TL;DR: Euroopan komissio julkaisi 3. kesäkuuta 2026 teknologisen suvereniteetin pakettinsa — Cloud and AI Development Act (CADA), Chips Act 2.0 ja EU:n ensimmäinen kattava avoimen lähdekoodin strategia. Otsikoista huolimatta se ei kiellä amerikkalaista teknologiaa. Se tekee jotakin eurooppalaisten organisaatioiden kannalta merkittävämpää: se muuttaa digitaalisen suvereniteetin poliittisesta tavoitteesta todennettavaksi hankintavaatimukseksi, jossa on neljä varmuustasoa ja jotka arvioidaan koko toimitusketjun läpi. Ja juuri tämä viimeinen yksityiskohta on tärkeämpi kuin useimmat uutisoinnit myöntävät — sillä suvereniteettiketju on vain niin vahva kuin sen heikoin lenkki, ja heikoin lenkki on yleensä integraatiokerros.

Olemme kirjoittaneet aiemmin, että Euroopan digitaalisen suvereniteetin vaikein ongelma ei ole yksittäisten eurooppalaisten työkalujen rakentaminen — vaan niiden saaminen toimimaan yhdessä yli rajojen, järjestelmien ja luottamusrajojen. Kesäkuun 3. päivänä tämä keskustelu sai konkreettisen lainsäädännöllisen muodon.

Komission paketti rakentuu kolmen toisiinsa kytkeytyvän aloitteen ympärille: Chips Act 2.0, Cloud and AI Development Act sekä EU:n avoimen lähdekoodin strategia. Niitä kannattaa lukea yhdessä eikä erikseen, sillä juuri niiden yhteinen logiikka päätyy eurooppalaisten organisaatioiden — niin julkisten kuin yksityisten — pöydille.

Mitä CADA tosiasiassa tekee

Aloitetaan siitä, mitä se ei tee, koska sosiaalisen median otsikot väittävät toisin: CADA ei kiellä amerikkalaista teknologiaa. Komissio on todennut selkeästi, että tavoitteena on vahvistaa Euroopan digitaalista autonomiaa ja resilienssiä sulkematta markkinaa, joka pysyy pitkälti avoimena samanmielisille kumppaneille. Komissaari Henna Virkkunen tiivisti taustalla olevan huolen suoraan: Eurooppa haluaa varmuuden siitä, ettei yhdelläkään kriittisten työkuormien tarjoajalla ole "hätäkatkaisinta" eurooppalaiseen dataan. Asiayhteyttä on vaikea kiistää — kolme yhdysvaltalaista toimijaa hallitsee noin 70:tä prosenttia Euroopan pilvimarkkinasta, ja Yhdysvaltain CLOUD Act tarkoittaa, että ne voidaan velvoittaa luovuttamaan dataa riippumatta siitä, missä se fyysisesti sijaitsee. Microsoftin oma lakimies vahvisti tämän valan alla Ranskan senaatissa vuonna 2025.

Sen sijaan CADA tekee kaksi asiaa, joilla on todellisia seurauksia.

Ensinnäkin se määrittelee neljä varmuustasoa pilvi- ja tekoälysuvereniteetille, joita julkisen sektorin organisaatiot soveltavat omien riskiarvioidensa perusteella. Kriteerit kattavat palvelun ja sen toimitusketjun hallinnan, sen miten tekoälyn päättelydataa käsitellään, infrastruktuurin sijainnin sekä kyberturvallisuuden tason. Korkeammat tasot edellyttävät osoitettua riippumattomuutta kolmansista maista sekä ohjelmistojen toimitusketjun läpinäkyvyyttä; korkein taso vaatii toimitusketjun täydellistä läpinäkyvyyttä ja hallintaa ilman mahdollisuutta kolmannen maan väliintuloon.

Toiseksi se velvoittaa jäsenvaltiot arvioimaan, mitkä julkisen sektorin järjestelmät ovat riippuvaisia ulkomaisesta pilvestä, luokittelemaan ne suvereniteettitason mukaan ja hankkimaan sen mukaisesti. Strategisesti herkillä aloilla — pankkitoiminta, energia, terveydenhuolto — julkisissa hankinnoissa painotetaan uusia, hinnasta riippumattomia kriteerejä, jotka suosivat EU:ssa kehitettyä ohjelmistoa ja laitteistoa kustannusten ohella. Sen taustalla oleva tavoite on yhtä lailla teollinen kuin sääntelyllinen: säädös tähtää EU:n datakeskuskapasiteetin kolminkertaistamiseen viidessä tai seitsemässä vuodessa.

Toisin sanoen kysymys ei ole enää "saammeko käyttää eurooppalaisia vaihtoehtoja?" Vaan "miten osoitat, millä suvereniteettitasolla toimit?" Se on hankintavaatimus — ja hankintavaatimukset, toisin kuin huippukokousten julistukset, muuttavat sitä, mitä organisaatiot todella ostavat.

Miksi avoin lähdekoodi nousi keskiöön

Ensimmäistä kertaa pakettiin sisältyy kattava avoimen lähdekoodin strategia. Tämä ei ole sivuhuomautus. Komissio esittää avoimen lähdekoodin keinona vähentää riippuvuuksia koko teknologiapinossa ja kehittää eurooppalaisia vaihtoehtoja alueilla, joilla EU yhä turvautuu yhden toimittajan hallitsemiin suljettuihin ratkaisuihin.

Katso uudelleen korkeimman suvereniteettitason kriteerejä: ohjelmistojen toimitusketjun täydellinen läpinäkyvyys ja hallinta, ei kolmannen maan väliintuloa. Käytännössä se on kuvaus avoimesta lähdekoodista. Suljettu teknologiapino voi luvata läpinäkyvyyttä; avoimen lähdekoodin pino voi todistaa sen. Et voi täysin auditoida sitä, mitä et voi lukea.

Tähän samaan johtopäätökseen päädyimme FastHubia rakentaessamme — eri reittiä, samaan paikkaan. Avoin lähdekoodi ei ole myyntimateriaaliin listattava ominaisuus. Se on luottamusarkkitehtuuri. Kun asiakas kysyy, miten hän voi varmistua siitä, että hänen datansa käsitellään oikein ja lainkäyttöalueiden rajoissa, vastaus ei voi olla "luota meihin." Vastaus on "lue koodi."

FastHub on rakennettu kokonaan avoimen lähdekoodin komponenteista — Kubernetes, Keycloak, Open Policy Agent, Apache Camel, Quarkus — ja se toimii 100-prosenttisesti EU:ssa isännöidyllä infrastruktuurilla. Jokainen kerros voidaan auditoida. Yksikään yritys ei voi vetää mattoa alta, eikä yksikään ulkomainen viranomainen voi pakottaa takaovea järjestelmään, jonka jokaisen rivin asiakas voi itse tarkastaa.

Heikoin lenkki on se, jota kukaan ei luokittele

Tässä on paketin osa, joka ansaitsisi enemmän huomiota kuin se saa. Suvereniteettitasot arvioidaan koko toimitusketjun läpi — ei komponentti kerrallaan irrallaan. Tällä on seuraus, jonka useimmat suvereniteetin tiekartat sivuuttavat hiljaa.

Kuvittele eurooppalainen organisaatio, joka on tehnyt kaiken oikein: ranskalainen SecNumCloud-sertifioitu pilvi, saksalainen avoimen lähdekoodin yhteistyöalusta, virolainen sähköisen hallinnon rajapinta — kukin erikseen vaatimustenmukainen, kukin korkealla varmuustasolla. Kysy nyt: mikä yhdistää ne? Jos vastaus on yhdysvaltalaisen hallitsema integraatioalusta — suljettu iPaaS, joka altistuu juuri samalle CLOUD Act -riskille, jota koko harjoituksen oli tarkoitus välttää — silloin ketjun todellinen suvereniteetti romahtaa tuon lenkin tasolle. Jokainen työnkulku, jokainen datavirta, jokaiset tunnistetiedot kulkevat sen yhden kerroksen läpi, jota kukaan ei tullut luokitelleeksi.

Integraatiokerros ei ole suvereniteettikysymyksen vierellä. Se on suvereniteettikysymys, koska se on kerros, joka koskettaa kaikkea.

Ja juuri siinä Euroopan pirstaloitunut maisema synnyttää eniten kitkaa. Kuka varmistaa, että datavirrat kunnioittavat jokaista lainkäyttöalueen rajaa samalla kun liiketoiminta toimii yhtenä organisaationa? Kuka hallitsee sitä, mitkä tekoälymallit käsittelevät mitäkin dataa ja missä? Suvereniteettia ei toteuteta huippukokouksilla ja julistuksilla. Se toteutetaan arkisella, välttämättömällä työllä, jossa järjestelmiä yhdistetään, dataa siirretään ja organisaatiot pidetään käynnissä — niiden vaatimustenmukaisuussääntöjen sisällä, joista 3. kesäkuuta lähtien on tulossa hankintalainsäädäntöä.

Juuri tätä varten FastHub rakennettiin. Ei uudeksi merkinnäksi Euroopan kasvavaan suvereenien vaihtoehtojen luetteloon, vaan yhdistäväksi kerrokseksi, joka tekee niistä yhdessä käyttökelpoisia — toimittajariippumattomaksi, täysin auditoitavaksi ja suvereeniksi samalla mittapuulla, jonka täyttämisessä se auttaa asiakkaitaan.

FastHub on AI-natiivi integraatioalusta, joka on rakennettu Turussa, Suomessa — kokonaan avoimen lähdekoodin teknologioista ja 100-prosenttisesti EU:ssa isännöitynä.