Op 3 juni 2026 heeft de Europese Commissie haar voorstel voor de Cloud and AI Development Act ("CADA") gepubliceerd. Dit voorstel past in een reeks recente wetgevingsinitiatieven die gericht zijn op het versterken van de strategische autonomie van de EU in specifieke strategische sectoren, met overheidsopdrachten als cruciaal middel om dit doel te bereiken (zie onder meer de Net Zero Industry Act en de Industrial Accelerator Act). De CADA plaatst de soevereiniteit van de EU centraal wanneer aanbesteders clouddiensten en AI-systemen aankopen, maar draagt ook bij aan de complexiteit van de lappendeken die de Europese aanbestedingsregels in snel tempo aan het worden zijn.
Toepassingsgebied van de CADA
De voorgestelde CADA is van toepassing op aanbestedende overheden en EU-entiteiten bij de aanbesteding van cloudcomputingdiensten en AI-systemen. Overheidsbedrijven actief in de nutssectoren zijn niet aan de aanbestedingsregels in de CADA onderworpen.
In tegenstelling tot de gevestigde praktijk in het EU-aanbestedingsrecht, is de CADA niet uitsluitend boven specifieke drempelbedragen van toepassing. De CADA is van toepassing op alle aanbestedende overheden, maar de gradatie van de verplichtingen wordt bepaald door verplichte, tweejaarlijkse risicobeoordelingen die activiteiten van de publieke sector volgens vier zekerheidsniveaus classificeren.
Verplichte zekerheidsniveaus voor cloudcomputingdiensten
De CADA beoogt de kritieke afhankelijkheid van de EU van een beperkt aantal clouddienstverleners onder de controle van niet-EU-landen te verminderen, gelet op de risico's die met een dergelijke afhankelijkheid gepaard gaan (zoals toegang tot gevoelige informatie, economische dwang, technologische lock-ins en monopolistische prijsstelling). Om dit doel te bereiken, stelt de verordening een soevereiniteitskader met vier niveaus (zekerheidsniveaus 1 tot en met 4) vast waaraan clouddienstverleners moeten voldoen om met de publieke sector te kunnen samenwerken. Lidstaten moeten ook er ook naar streven dat ten minste 25% van de overheidsopdrachten voor cloudcomputingdiensten en AI-systemen aan innovatieve kmo’s gegund wordt.
Bij de aanbesteding van cloudcomputingdiensten voor hun exclusief gebruik moeten alle aanbestedende overheden ten minste voldoen aan zekerheidsniveau 1 (gegevens worden verwerkt en opgeslagen in infrastructuur die zich in de EU bevindt). De Commissie acht het algemeen verplicht stellen van zekerheidsniveau 1 noodzakelijk om een consistent minimumniveau van waarborgen voor de publieke sector vast te stellen. Zij hoopt ook op spillovereffecten naar de private sector, waarbij zekerheidsniveau 1 de marktstandaard wordt voor clouddienstverleners actief in de EU.
De zekerheidsniveaus in de CADA vullen de vereisten van de Algemene Verordening Gegevensbescherming ("AVG") aan. Terwijl de AVG reeds strenge voorwaarden stelt aan internationale gegevensoverdrachten (artikelen 44-49 AVG), voegt het soevereiniteitskader van de CADA er een laag van vereisten aan toe die specifiek is voor overheidsopdrachten. Met name de vereiste van zekerheidsniveau 1 dat gegevens moeten worden verwerkt en opgeslagen in infrastructuur die zich in de EU bevindt, sluit aan bij bekommernissen over gegevenslokalisatie die na het Schrems II-arrest (C-311/18) aan belang hebben gewonnen. Hogere zekerheidsniveaus, in het bijzonder de vereiste van niveau 4 dat er geen inmenging door derde landen mag zijn, bieden aanvullende waarborgen tegen toegang door buitenlandse overheden.
Wanneer uit de tweejaarlijkse risicobeoordeling van een lidstaat blijkt dat de activiteiten van een aanbesteder die cloudcomputingdiensten aankoopt relevant zijn voor de openbare orde (bijvoorbeeld in de sectoren van ordehandhaving, vervoer of gezondheidszorg), moet die aanbesteder een hoger zekerheidsniveau toepassen. De Commissie zal uitvoeringshandelingen vaststellen die de elementen preciseren waarmee rekening moet worden gehouden bij het bepalen van het toepasselijke zekerheidsniveau – waarbij zekerheidsniveau 4 (aanbieders hebben volledige controle over hun softwaretoeleveringsketen en er is geen inmenging door een niet-EU-land) het hoogste niveau is. Wanneer de risicobeoordeling de overstap naar een andere cloudcomputingdienst vereist, moet die overstap binnen 12 maanden plaatsvinden, met inachtname van de technische haalbaarheid en de continuïteit van dienstverlening.
Conformiteitszelfbeoordeling of externe audit, afhankelijk van het zekerheidsniveau
Clouddienstverleners die erkenning wensen als aanbieder van zekerheidsniveau 1, voeren een conformiteitszelfbeoordeling uit aan de hand van de relevante criteria en geven vervolgens een publiek toegankelijke EU-conformiteitsverklaring af. Deze conformiteitsverklaring wordt ter beoordeling aan de bevoegde nationale autoriteit voorgelegd, behalve indien de dienstverlener een kmo is – dan wordt de verklaring rechtstreeks en automatisch in de gehele EU erkend. Dienstverleners die erkenning wensen als aanbieder van zekerheidsniveau 2, 3 of 4, moeten een onafhankelijke audit ondergaan. Wanneer zij vervolgens een dergelijke erkenning verkrijgen, wordt die in een publiekelijk toegankelijk register geregistreerd. Dit stelt aanbesteders in staat om eenvoudig te verifiëren of zij offertes hebben ontvangen van clouddienstverleners die aan het vereiste zekerheidsniveau beantwoorden. Jaarlijkse actualisaties van de auditopinies zijn vereist.
In uitzonderlijke, behoorlijke gemotiveerde gevallen kunnen aanbesteders het toepasselijke zekerheidsniveau buiten beschouwing laten wanneer geen enkele erkende aanbieder de diensten kan leveren, een eerdere aanbestedingsprocedure niet tot geschikte offertes heeft geleid of wanneer het zekerheidsniveau tot onevenredige kosten zou leiden. Opmerkelijk is dat de voorgestelde CADA niet aangeeft wanneer kosten onevenredig zijn, in tegenstelling tot het recente voorstel voor de Industrial Accelerator Act. In dat voorstel worden geschatte kostenverschillen van meer dan 25% geacht onevenredig te zijn, waarmee de toepasbaarheid van de daarin vervatte "Buy European"-criteria aanzienlijk wordt beperkt. Indien aanbesteders van de door de CADA aangereikte afwijkingsmogelijkheid gebruikmaken, bestaat er een reële kans op betwisting van de gunningsbeslissing.
Aanbesteders zullen zich dus bewust moeten zijn van het zekerheidsniveau dat hun specifieke aankoop vereist en zullen de regelmatigheid van de offertes op dit punt moeten nagaan.
Gunningscriteria inzake Europese toegevoegde waarde
De voorgestelde CADA vereist voorts dat bij de aanbesteding van innovatieve cloudcomputingdiensten en AI-systemen, ongeacht de opdrachtwaarde, gunningscriteria worden toegepast die de bijdrage van inschrijvers aan de ontwikkeling van een Europees cloud- en AI-ecosysteem als onderdeel van de kwaliteitsbeoordeling van de offertes evalueren. Concreet moeten aanbesteders beoordelen in welke mate een inschrijver bijdraagt aan de versterking van de digitale toeleveringsketen van de EU, in de EU ontwikkelde technologieën integreert en diensten levert met behulp van hardware die in de EU is ontworpen of geproduceerd.
Opvallend is dat de CADA bepaalt dat deze verplichte gunningscriteria voor de gunning van de opdracht niet doorslaggevend hoeven te zijn. In de inleidende overwegingen wordt een voorgestelde weging van maximaal 15 op 120 punten aangehaald. Zelfs dergelijke beperkte weging kan evenwel voor de gunning doorslaggevend zijn. De aanbesteder kan nooit voorspellen wat de bandbreedte van de aangeboden prijzen en kwaliteit zal zijn.
Europese Commissie als aankoopcentrale
De voorgestelde CADA bepaalt verder nog dat de Europese Commissie kan optreden als aankoopcentrale voor de aanbesteding van datacenterdiensten, cloudcomputingdiensten, software en AI-systemen. De Commissie kan dit niet alleen voor EU-entiteiten maar ook ten behoeve van nationale aanbesteders en partnerorganisaties doen. Een overeenkomst hierover tussen de Commissie en ten minste twee lidstaten is vereist, maar nationale aanbesteders zullen ook van de door de Commissie aanbestede raamovereenkomsten en dynamische aankoopsystemen kunnen afnemen indien hun lidstaat geen partij bij die overeenkomst is.
Er kunnen objectieve en niet-discriminerende voorwaarden worden vastgesteld voor de toetreding van nationale aanbesteders, met name met betrekking tot hun omvang, de minimumbedragen van de beoogde opdrachten en de aanvaarding van door de Commissie verstrekte ondersteunende diensten. Er kunnen ook specifieke regels worden opgelegd aan nationale aankoopcentrales die wensen toe te treden. De voorgestelde CADA bepaalt voorts dat de Commissie een gemeenschappelijk aanbestedingsplatform kan opzetten om het gebruik van de diensten die zij centraal zal aankopen en aan de geïnteresseerde partijen zal leveren, te vergemakkelijken.
Het feit dat de Commissie zelf de rol van aankoopcentrale op zich neemt, ook ten behoeve van nationale aanbesteders, is tamelijk uniek binnen het Europese aanbestedingsrecht. Het lijkt erop dat de Commissie meent dat de sectoren van cloudcomputing, datacenters en AI-systemen in het bijzonder behoefte hebben aan interventie om de koopkracht van de EU ter versterking van haar soevereiniteit op deze gebieden aan te wenden. Het valt af te wachten of de Commissie specificaties kan opstellen voor een raamovereenkomst die aanbesteders in staat stelt diensten voor een breed scala aan digitale projecten te verwerven.
Verhouding tot de aanbestedingsrichtlijnen
De voorgestelde CADA wordt gepubliceerd tegen de achtergrond van de langverwachte hervorming van de (algemene) aanbestedingsrichtlijnen, waarvoor in de loop van dit jaar ook voorstellen worden verwacht. In de voorgestelde CADA stelt de Europese Commissie dat een gerichte sectorale aanpak voor cloudcomputing- en AI-systeemdiensten nodig is, die via de algemene aanbestedingsrichtlijnen moeilijk tot stand kan worden gebracht. Wat er ook van zij, de hernieuwde keuze van de Commissie voor een sectorale benadering maakt het Europese aanbestedingsrecht nog complexer. Hopelijk zullen de voorstellen van de Commissie voor de nieuwe aanbestedingsrichtlijnen (of verordeningen) de wisselwerking met de diverse sectorale initiatieven die de afgelopen jaren zijn genomen voldoende in acht nemen.
In elk geval volgen onze teams actief in overheidscontracten en data deze ontwikkelingen nauwgezet op en staan zij klaar om u bij de implementatie ervan bij te staan.
