Susanna Mäkelä
Teknologinen suvereniteetti on noussut yhdeksi EU:n digitaalipolitiikan keskeisistä käsitteistä. Termillä viitataan pyrkimykseen hallita omia digitaalisia infrastruktuureja, datavirtoja ja teknologisia riippuvuuksia ilman yksipuolista altistumista kolmansien valtioiden lainsäädännölle tai geopoliittiselle paineelle. Tavoite on ymmärrettävä. Riippuvuuksien tunnistaminen ja hallinta kuuluu organisaation riskienhallinnan perusteisiin. Ongelma syntyy silloin, kun poliittinen ihanne sekoittuu tekniseen todellisuuteen — ja kun ”suvereniteetti” alkaa tarkoittaa mielikuvaa enemmän kuin mitattavaa kontrollia.
Miksi eurooppalaiset palvelut eivät poista riippuvuutta?
”Käytä vain eurooppalaisia pilvipalveluja” kuulostaa yksinkertaiselta ratkaisulta. Se ei kuitenkaan poista teknologista riippuvuutta — se siirtää sen näkymättömämpään kohtaan arvoketjussa. Tarkastele rakennetta kerros kerrokselta:
Laitteisto. Valtaosa eurooppalaisista konesaleista toimii yhdysvaltalaista alkuperää olevilla prosessoreilla (esim. Intel, AMD).
Käyttöjärjestelmät ja ohjelmistot. Linux-ydin on avoin, mutta sen kehitystä koordinoi Yhdysvalloissa rekisteröity Linux Foundation.
Internet-arkkitehtuuri. Monet keskeiset protokollat ja ohjelmistokomponentit ovat syntyneet yhdysvaltalaisessa tutkimus- ja yritysekosysteemissä.
Puolijohteet. Kehittyneiden sirujen valmistus on keskittynyt Aasiaan (TSMC, Samsung). Euroopan oma kapasiteetti on rajallinen.
Tämä ei ole kritiikki eurooppalaisia palveluntarjoajia kohtaan. Se on kuvaus globaalin teknologiaekosysteemin rakenteesta.
Juridinen suvereniteetti vs. tekninen suvereniteetti
On tärkeää erottaa toisistaan kaksi asiaa, jotka usein sekoitetaan:
Juridinen suvereniteetti tarkoittaa sitä, minkä valtion lainsäädäntö määrää palveluntarjoajan toimintaa: missä yhtiö on rekisteröity, missä sen tytäryhtiöt ja toiminta ovat. Juridinen suvereniteetti on analysoitavissa, sopimuksilla hallittavissa ja oikeudellisesti arvioitavissa.
Tekninen suvereniteetti tarkoittaisi sitä, että kaikki käytetty teknologia — laitteistosta ohjelmistoon, protokollista komponentteihin — on kehitetty, omistettu ja hallittu täysin kotimaisten tai EU-kotimaisten toimijoiden toimesta ilman kolmannen valtion lainsäädännön alaisia riippuvuuksia. Tässä mielessä ymmärrettynä täysi tekninen suvereniteetti on vuonna 2026 käytännössä saavuttamaton tila minkään eurooppalaisen toimijan osalta.
Tämä ero on olennainen. Juridista suvereniteettia voidaan arvioida, kehittää ja sopimuksilla vahvistaa. Teknistä suvereniteettia täydellisessä mielessä ei voi ostaa yhdeltäkään toimijalta — ei eurooppalaiselta eikä yhdysvaltalaiselta.
Mitä oikeasti pitäisi arvioida?
Jos täydellinen teknologinen suvereniteetti ei ole saavutettavissa, mikä on oikea kehys päätöksenteolle? Vastaus ei ole poliittisten mielikuvien optimointi. Se on systemaattinen riippuvuus- ja riskianalyysi, joka perustuu konkreettisiin kysymyksiin:
- Mitä dataa käsitellään ja minkä luokituksen alla?
- Mikä on palveluntarjoajan todellinen juridinen rakenne ja toiminta-alueet (maanosat)?
- Millaiset tekniset kontrollit — salaus, avaintenhallinta, pääsynhallinta — ovat käytettävissä?
- Mikä on todellinen riski suhteessa toiminnan jatkuvuuden riskeihin?
- Vastaako valittu rakenne kaiken sovellettavan lainsäädännön vaatimuksia?
- Kyberturvakyvykkyys ja investoinnit tietoturvaan
Teknologiavalintojen tulisi perustua näihin kysymyksiin — ei siihen, minkä maan lippu on palveluntarjoajan kotisivun kuvakkeessa.
Hallituksen vastuu — konkreettinen toimintalista
Hallituksen tehtävä ei ole optimoida poliittista mielikuvaa vaan varmistaa, että riippuvuudet on tunnistettu, riskit arvioitu ja päätökset perustuvat faktoihin. Teknologinen suvereniteetti ei ole slogan. Se on hallinnollinen kysymys kontrollista, kyvykkyydestä ja vastuusta.
Pää kylmänä.
Rakenteet ymmärtäen.
Vastuu tiedostaen.
CLOUD Actin toimivallasta, comity-periaatteesta ja viranomaisten tietopyyntöjen käytännöistä kirjoitan tarkemmin erillisessä artikkelissa.