Warum 2026 ein Wendepunkt ist: Die regulatorischen Treiber
Der Druck auf Unternehmen, ihre Cloud-Strategie souverän zu gestalten, kommt nicht aus abstrakten IT-Überlegungen. Er kommt aus der Regulierung und ist in den letzten 18 Monaten erheblich gestiegen.
NIS2 (in Kraft seit Dezember 2025): Das NIS2-Umsetzungsgesetz verpflichtet rund 30.000 Unternehmen in Deutschland, Cybersicherheitsmaßnahmen nachweisbar umzusetzen, inklusive Anforderungen an Kryptographie, Datenschutz und Lieferkettensicherheit. Wer kritische Workloads bei einem Anbieter ohne europäische Gerichtsbarkeit betreibt, hat ein strukturelles Compliance-Problem. Mehr zum Thema NIS2: NIS2 in der Praxis: Persönliche Haftung, Nachweispflicht und was Geschäftsführer jetzt konkret tun müssen – Manage Now
EU Cloud Sovereignty Framework (seit 29. Oktober 2025)
Das Cloud Sovereignty Framework dient als ein standardisierter Bewertungsrahmen für Cloud-Souveränität. Das Framework definiert acht Souveränitätsziele (SOV-1 bis SOV-8), die strategische, juristische, operative, technologische, Daten- und KI-Souveränität sowie Nachhaltigkeit und Lieferkettenresilienz abdecken. Zur Bewertung wird ein fünfstufiges System namens Sovereignty Effective Assurance Levels (SEAL 0-4) eingesetzt. Cloud-Anbieter müssen definierte Mindestlevels erreichen, um in Ausschreibungen berücksichtigt zu werden
Zusätzlich wird ein Sovereignty Score berechnet, der die Qualität und Einbindung des Anbieters in das EU-Ökosystem bewertet, einschließlich Eigentümerstruktur, Governance, Investitionen und rechtlicher Exposition gegenüber Drittstaaten wie dem US CLOUD Act
EU Data Act (seit 12. September 2025): Der EU Data Act regelt, wer unter welchen Bedingungen auf Daten zugreifen darf und stärkt das Recht auf Datenportabilität. Für Unternehmen, die Daten in proprietären Cloud-Umgebungen speichern, entstehen neue Nachweispflichten und potenzielle Wechselhürden.
DORA (seit Januar 2025): Für den Finanzsektor gilt zusätzlich die Digital Operational Resilience Act, die explizite Anforderungen an die Resilienz von IT-Dienstleistern und Cloud-Anbietern stellt, inklusive Exit-Strategien und Kontrollrechten.
Geopolitische Fragmentierung: Jenseits der Regulierung hat sich die geopolitische Risikolage verändert. IT-Entscheider, die ihre gesamte kritische Infrastruktur bei einem einzigen Hyperscaler aus einem Drittland konzentriert haben, sind mit einem Risiko konfrontiert, das vor drei Jahren noch theoretisch war.