Die **Europäische Kommission** hat diese Woche eine transformative Reihe von Gesetzen und Strategien vorgelegt, die darauf abzielen, die Abhängigkeit der **Europäischen Union** (EU) von ausländischen Technologien zu verringern und langjährige technologische Abhängigkeiten anzugehen, die nun als kritische Sicherheitslücken angesehen werden. **Henna Virkkunen**, die Technologieführerin der Kommission, beschrieb die Vorschläge als „einen großen Wandel in der Art und Weise, wie Europa technologische Souveränität angeht“. Das Paket umfasst den **Chips Act 2.0** und ein **Cloud and AI Development Act (CADA)**, zusammen mit einer **Open-Source-Strategie** und einer Roadmap für die Digitalisierung des Energiesystems. Diese Initiativen sollen „die Auswahl an Kerntechnologien für EU-Unternehmen, Bürger und öffentliche Verwaltungen erweitern“. **Virkkunen** betonte die untrennbare Verbindung zwischen Geopolitik und Technologie und erklärte: „Es ist an der Zeit, dass Europa die Kontrolle über seine Daten, seine Lieferketten und seine Zukunft auf saubere und nachhaltige Weise übernimmt.“ Laut der Kommission ist die EU derzeit für über 80 % ihrer wichtigsten digitalen Produkte, Dienstleistungen, Infrastrukturen und geistigen Eigentums von ausländischen Ländern abhängig. Dieser strategische Schwenk zielt darauf ab, den Griff großer amerikanischer und chinesischer Anbieter zu lockern, angetrieben von der Sorge, dass eine solche Abhängigkeit als Waffe eingesetzt werden könnte. ## Sicherheit von Open Source im Vordergrund Die **Open-Source-Strategie** ist ein Eckpfeiler der neuen Vorschläge und verspricht, europäische Open-Source-Alternativen in vorrangigen Bereichen zu skalieren, einschließlich Cybersicherheit. Eine Schlüsselkomponente ist die Finanzierung der langfristigen Wartung und Sicherheit der kritischen Open-Source-Infrastruktur Europas. Diese Finanzierung adressiert die Anfälligkeit von unterfinanzierten Komponenten, die durch Vorfälle wie die **XZ Utils backdoor** hervorgehoben wurden. Die Strategie zielt darauf ab, die mehr als 3 Millionen europäischen Open-Source-Beitragenden zu nutzen und öffentliche Verwaltungen zu ermutigen, Open-Source-Tools durch neue Beschaffungsrichtlinien zu übernehmen. Der Open-Source-Anbieter **SUSE** begrüßte den Ansatz und bestätigte seine Argumentation, dass inspizierbare, offen gewartete Software besser für Souveränitätsziele geeignet ist als proprietäre Stacks, obwohl er warnte, dass die Umsetzung der eigentliche Test sein würde. **Alexandra Paulus** vom **Deutschen Institut für Internationale und Sicherheitsfragen** hat zuvor argumentiert, dass die Förderung europäischer Cybersicherheitsalternativen untrennbar mit der Förderung von Open Source verbunden ist. Dies macht die Open-Source-Sicherheitsfinanzierung der Strategie zu einer potenziellen, wenn auch noch unbewiesenen, Startrampe für europäische Anbieter. ## Stärkung der Chip-Souveränität Im Bereich der Halbleiter räumt die Kommission die starke Abhängigkeit Europas von Drittländern bei der fortschrittlichen Produktion und dem Chipdesign ein. Während die Abhängigkeit von **Taiwan Semiconductor Manufacturing Company (TSMC)** für die fortschrittliche Fertigung nahezu universell ist und sowohl die Vereinigten Staaten als auch die EU betrifft, lässt die Strategie die Erwähnung von **ASML**, dem niederländischen Lithografiehersteller, der ein nahezu Monopol auf Maschinen für die Herstellung fortschrittlicher Chips weltweit hält, bemerkenswert aus. Chipdesign stellt eine klarere Schwäche für Europa dar. US-Unternehmen wie **Nvidia**, **AMD**, **Qualcomm**, **Apple** und **Broadcom** dominieren das fortschrittliche Logikdesign, und Großbritanniens **Arm** kontrolliert die Lizenzierung von Prozessoren-IP weltweit. Der **Chips Act 2.0** führt konkrete Instrumente zur Schließung der Produktionslücke ein. Er verpflichtet die nationalen Regierungen, Planungs-, Umwelt- und Genehmigungsverfahren für neue Fertigungsanlagen innerhalb von 12 Monaten abzuschließen. Er verlängert auch staatliche Beihilfen für „erstklassige“ Anlagen, die innerhalb der EU noch nicht vorhanden sind. Der ursprüngliche Chips Act 2023 mobilisierte über 52 Milliarden Euro (60,3 Milliarden US-Dollar) an öffentlichen und privaten Investitionen, verfehlte jedoch sein Ziel von 20 % der globalen Halbleiterproduktion bis 2030, hauptsächlich weil die globale Kapazität schneller wuchs als der Anteil Europas. Jüngste Investitionen haben noch keine Ergebnisse gezeigt. **Intels** geplante fortschrittliche Produktionsanlage in Magdeburg, Deutschland, wurde im Februar abgesagt. Ein weiteres Projekt mit **TSMC** in Dresden zielt auf die Produktion bis Ende 2027 ab, wird sich jedoch auf ausgereifte 28-nm- und 16-nm-Chips konzentrieren, nicht auf die fortschrittlichen KI-Chips, die im Mittelpunkt der Ambitionen des Pakets stehen. Für das Design plant die Kommission eine Nachfragestrategie, indem sie Aufträge von EU-finanzierten Rechenzentren und KI-Gigafactories nutzt, um Chipdesigner nach Europa zu locken. Sie erwartet, dass KI-bezogene Komponenten bis 2030 über 70 % des Halbleitermarktes ausmachen werden. **Erik Rein**, Präsident der **European Semiconductor Industry Association**, bemerkte: „Europa kann sich nicht durch Regulierung an die Spitze der Halbleiterindustrie setzen.“ Die Kommission erwartet, im Juli einen Aufruf für KI-Gigafactories zu starten und wird sich mit den Mitgliedstaaten und der **Europäischen Investitionsbank-Gruppe** beraten, um eine „europäische Eigenkapitalfinanzierung im großen Maßstab“ aufzubauen, um ihre Ziele zu finanzieren. ## Cloud- und KI-Souveränität: Eine umstrittene Grenze Das umstrittenste Element des Pakets ist der Cloud-Souveränitätstest von **CADA**. Dieses Framework definiert vier Vertrauensstufen für öffentliche Stellen, die von Stufe 1 (Datenverarbeitung und -speicherung innerhalb der EU erforderlich) bis Stufe 4 (vollständige Lieferkettenkontrolle ohne Einmischung von Drittländern) reichen. Die Reaktionen der Industrie waren scharf geteilt. **CCIA Europe**, das große US-Technologieunternehmen vertritt, kritisierte **CADA** als diskriminierend und als „gefährliches Rezept für eine progressive Marktschließung“ und argumentierte, dass die Anforderungen der Stufen 3 und 4 geschlossene Marktbedingungen seien, die kein internationaler Anbieter erfüllen könne. Umgekehrt begrüßten europäische Cloud-Anbieter weitgehend die Richtung, warnten jedoch vor Schlupflöchern. Der Handelsverband **CISPE** lobte dies als „einen Schritt vorwärts für die strategische Autonomie Europas“, stellte jedoch fest, dass öffentliche Käufer nicht verpflichtet seien, nach europäischen Alternativen zu suchen, bevor sie ausländische Anbieter beauftragen. **CISPE** hatte zuvor vor „Souveränitäts-Wasching“ gewarnt, bei dem bloße EU-Präsenz oder Cybersicherheitskonformität als echte europäische Kontrolle falsch dargestellt wird. Unterdessen warnte das **Centre for European Policy Network**, dass Souveränität, die durch Beschaffungspräferenzen verfolgt wird, oft „geschützte Industrien hervorbringt, keine wettbewerbsfähigen“, und drängte die Gesetzgeber, strenge Anforderungen für wirklich sensible Systeme zu reservieren. Die Vorschläge entstehen inmitten einer breiteren Debatte darüber, ob Souveränität von Natur aus Sicherheit liefert. Analyst **Josh Gold** argumentierte in einem preisgekrönten Essay, dass die europäische Cyber-Resilienz mehr vom Design als von der Kontrolle abhängt. Er plädierte für eine „dünne und gezielte“ Souveränität, kombiniert mit „dicker Autonomie“, die Transparenz, Portabilität und Wiederherstellbarkeit über EU-Eigentum und Standortanforderungen stellt. **Gold** zitierte die angeschlagene **Gaia-X** Cloud-Initiative, die ein Teilnehmer als „einen vernichtenden Misserfolg, eine kolossale Zeitverschwendung und ebenso viele Jahre, die den Hyperscalern gewonnen wurden; mit anderen Worten, eine industrielle Katastrophe“ beschrieb, als warnendes Beispiel gegen die Skalierung von Infrastrukturen. Nach **Gold**s Maßstab ist das Paket dort am stärksten, wo es die Resilienz finanziert – wie die Vorbereitung auf Halbleiterkrisen, die Wartung von Open Source und die Interoperabilität – und am anfälligsten, wo es auf EU-Eigentum und Standort setzt. Sein endgültiger Sicherheitsertrag wird davon abhängen, wie die Mitgliedstaaten die verschiedenen Stufen anwenden. Alle Vorschläge bedürfen der Zustimmung des **Europäischen Parlaments** und des **Europäischen Rates**, wo Souveränitätskriterien, Beschaffungsverpflichtungen und Finanzierung politischen Verhandlungen unterliegen werden.