Когато Amazon Web Services (AWS) прекъсва дейността си в световен мащаб през октомври 2025 г., милиони потребители внезапно осъзнават колко невидима, но незаменима е станала облачната технология.
От банки и болници до авиокомпании и платформи за търговия на дребно, цели сектори забавят или напълно спират работата си. Смущенията идват след друга катастрофа по-рано през юли 2024 г., когато софтуерната актуализация на CrowdStrike спира операциите по целия свят.
Различни компании. Различни каузи. И все пак и двете събития разкриват една и съща неудобна истина: световната дигитална инфраструктура, мрежите, сървърите и софтуерът, които са в основата на почти всяка съвременна услуга, са далеч по-крехки, отколкото ни се иска да вярваме.
Технически погледнато, това бяха много различни провали, но приликата се крие в това колко бързо се разпространяват. Една-единствена грешка в една-единствена компания се разпространява в глобални системи, които изобщо нямат пряка връзка с тази компания.
Илюзията за устойчивост
Години наред доставчиците на облачни услуги се представят на пазара като решение на подобна нестабилност. Разпределените изчисления, автоматизираното архивиране и резервните системи би трябвало да поддържат данните и услугите онлайн, дори когато локалните компоненти се повредят.
Облачните услуги работят през интернет, затова ако връзката е бавна или прекъсне, системата също започва да се забавя или да има проблеми. Това помага да се намалят някои сривове (защото има резервни механизми), но не може напълно да направи системата „неразрушима“ или безотказна — винаги остава възможност за проблеми.
Както показват инцидентите с AWS и CrowdStrike, това, че нещо звучи добре на теория, не винаги означава устойчивост на практика.
В основата на проблема е концентрацията на облачни услуги. Малък брой компании, предимно AWS, Microsoft и Google, сега хостват по-голямата част от световната дигитална инфраструктура. Още повече, че облачните технологии са се превърнали в гръбнака на съвременния изкуствен интелект, разчитайки на големи, централизирани центрове за данни, които предлагат значителна процесорна мощност и мащабируемост.
Правителства, университети, болници и дори конкуренти управляват своите критични услуги на същите тези платформи. Удобството и икономическата ефективност са неоспорими. Но тази консолидация създава структурна уязвимост. Една единствена неправилна конфигурация или софтуерен недостатък в един от тези доставчици може да има глобални последици, подобно на това как голям банков фалит може да дестабилизира финансовата система.
Ситуацията се усложнява допълнително от непрозрачността: доставчиците на облачни услуги рядко разкриват пълни подробности за своите взаимозависимости или вътрешни практики за устойчивост. Клиентите често нямат ясна карта за това как се разпределят услугите им, къде се намират данните им или на кои други системи разчитат косвено. Когато се случат прекъсвания, дори определянето кой е отговорен може да бъде предизвикателство.
Зависимостта на Европа и „цифровият суверенитет“
Това, което прави тези инциденти особено обезпокоителни, е, че те включват частни компании, управляващи публична инфраструктура. AWS и CrowdStrike не обслужват само търговски клиенти, те са в основата на болници, летища, енергийни мрежи и правителствени системи. Когато те се сринат, се провалят цели екосистеми, а не само техните директни клиенти. И все пак, надзорът върху тези критични зависимости остава минимален.
За Европа тези прекъсвания превръщат абстрактния дебат за „цифровия суверенитет“ в много конкретен проблем на зависимостта. Дигиталният суверенитет е свързан с капацитета да се гарантира, че критичните данни, инфраструктурата и системите с изкуствен интелект работят съгласно правилата на ЕС и остават контролируеми при кризи.
Тази рамка на суверенитета свързва прекъсванията с по-широки въпроси, свързани с юрисдикцията (достъп на САЩ до данни), търговската мощ и стратегическата автономия за критични сектори, като финанси, здравеопазване и публична администрация.
Политически, това е отговор на зависимостта от шепа американски хиперскалиращи компании, които държат над 70% от европейския пазар на облачни услуги и също така са обект на американските закони, като например Закона CLOUD.
От гледна точка на Закона CLOUD, обясненията на доставчици и анализатори, фокусирани върху ЕС, подчертават, че облачните фирми със седалище в САЩ (включително AWS, Microsoft, Google) са обект на Закона за изясняване на законното използване на данни в чужбина, който може да задължи разкриването на данни, съхранявани в европейски центрове за данни.
Рамките за суверенитет в облачните технологии и изкуствения интелект определят къде се съхраняват и обработват чувствителните данни, под какви закони попадат, както и доколко лесно европейските потребители могат да преместят, прехвърлят или пренастроят системите си при сривове или геополитически рискове.
Последните инициативи в Европейския съюз третират големите облачни доставчици и основните компании в сферата на информационните и комуникационните технологии не просто като обикновени доставчици, а като част от критичната инфраструктура.
Съгласно Закона за цифрова оперативна устойчивост (DORA), който е в сила от 2025 г., финансовите регулатори в ЕС имат правомощието да определят определени ИКТ доставчици като „критични трети страни“ и да ги поставят под пряк надзор с цел ограничаване на системните рискове.
Дебатите в ЕС относно облачните технологии все повече се фокусират върху възможността за „изход“ (exit), преносимост на данните и мулти-облачни архитектури. Според тях устойчивостта не зависи просто от това да има повече доставчици, а от избягването на структурна зависимост, която на практика прави невъзможно лесното преминаване към друга платформа или осигуряването на резервни решения.
Регламентът DORA разглежда въпроса кой управлява критичната дигитална инфраструктура във финансовия сектор и как Европейският съюз може да я наблюдава и тества чрез стрес тестове, третирайки тези доставчици като системни участници в икономиката.
Гарантиране на киберсигурността в цяла Европа
Законът за киберустойчивост (CRA), който е в сила от декември 2024 г., е начинът на ЕС за твърдо внедряване на „устойчивост още по дизайн“ в целия набор от свързан хардуер и софтуер, който е в основата на европейската цифрова инфраструктура.
CRA разглежда какви характеристики трябва да притежават всички мрежови цифрови продукти, за да не внасят неуправляем киберриск или непрозрачно управление на уязвимости в ЕС.
Директивата NIS2 (ЕС 2022/2555) влиза в сила през януари 2023 г. и трябва да бъде въведена в националните закони до октомври 2024 г. Тя разширява обхвата на предишната директива NIS1, като вече включва средни и големи организации в сектори като енергетика, транспорт, здравеопазване, финанси, дигитална инфраструктура (включително облачни услуги), публична администрация, производство и други.
NIS2 на практика прилага идеята за „суверенитет“ на ниво организации: критичните оператори трябва да спазват европейските стандарти за сигурност и устойчивост, дори когато използват доставчици извън ЕС. По този начин се създава обща базова рамка за устойчивост в целия единен пазар.
Директивата работи в синхрон с други регулации като CRA, DORA и инициативите за облачни услуги, като изисква от организациите да гарантират, че техните доставчици отговарят на същите нива на устойчивост. Така се затварят пропуските по цялата верига на зависимости.
Отвъд регулациите, Комисията изгражда практически инструменти за суверенитет около облачните технологии и изкуствения интелект.
През 2025 г. е стартирана обществена поръчка за „ Рамка за облачен суверенитет“ на стойност до 180 милиона евро за период от 6 години. През април 2026 г. тя е възложена на компании като люксембургската Post Telecom, германската StackIT, френската Scaleway (част от Iliad) и белгийската Proximus.
Тази рамка въвежда конкретни критерии за суверенитет, включително стратегически, правни, оперативни и екологични изисквания, както и прозрачност на веригата за доставки, откритост на системите, сигурност и съответствие с европейското законодателство.
Тя се прилага към облачните услуги, които се използват от институциите на Европейския съюз, като гарантира, че те отговарят на единни стандарти за контрол, сигурност и съвместимост с правото на ЕС.
Източник: Christine Abdalla Mikhaeil, Assistant professor in information systems, IÉSEG School of Management/The Conversation
