Brüsseler Pressekonferenzraum nach einem Briefing der Europäischen Kommission, Journalistinnen packen Pressemappen mit deutscher und englischer Aufschrift in Taschen, leere Holzstühle und ein gefaltetes EU-Schild auf dem Rednerpult

EU SEAL-Framework 2026: Wie souverän sind Europas neue Sovereign Clouds wirklich?

Die EU-Kommission vergibt 180 Millionen Euro nach einem messbaren Souveränitätsraster. Drei Konsortien erreichen SEAL-3, eines nur SEAL-2 mit Google im Hintergrund.

Am 17. April 2026 hat die EU-Kommission erstmals einen Cloud-Auftrag nach dem neuen Cloud Sovereignty Framework vergeben. Vier Konsortien aus Luxemburg, Deutschland, Frankreich und Belgien teilen sich bis zu 180 Millionen Euro über sechs Jahre. Die fünf SEAL-Stufen und acht SOV-Objektive werden damit zur Referenz für jede Beschaffung in Behörden, regulierten Branchen und im Mittelstand.

Zusammenfassung

Die Europäische Kommission hat am 17. April 2026 erstmals einen Sovereign-Cloud-Auftrag in Höhe von bis zu 180 Millionen Euro über sechs Jahre an vier europäische Konsortien vergeben und dabei das neue Cloud Sovereignty Framework verbindlich angewandt. Drei Konsortien (Post Telecom mit OVHcloud und CleverCloud, STACKIT der Schwarz Gruppe, Scaleway) erreichten SEAL-3 (Digital Resilience), das Konsortium um Proximus mit S3NS, Clarence und Mistral nur SEAL-2 (Data Sovereignty). Das Framework misst Souveränität auf einer Skala von SEAL-0 bis SEAL-4 entlang acht gewichteter Objektive, wobei die Lieferkette mit 20 Prozent das größte Gewicht trägt. Die Aufnahme von S3NS, einem Joint Venture aus Thales und Google Cloud, hat eine harte Debatte um Sovereignty Washing ausgelöst: CISPE, der Verband mit 38 europäischen Cloud-Firmen, spricht von einem klaren Eigentor. Für deutsche Entscheider ist das Framework die erste belastbare Vergleichsgrundlage jenseits der Marketingbegriffe Sovereign Cloud und EU-Region. Empfehlung: SEAL-Score in Lastenheften und RFPs verbindlich verankern, bestehende Cloud-Verträge auf SOV-2, SOV-4 und SOV-5 prüfen, das Tech-Sovereignty-Paket am 27. Mai 2026 aktiv beobachten.

Was die Kommission am 17. April vergeben hat

Die Europäische Kommission hat am 17. April 2026 erstmals einen Cloud-Auftrag nach einem messbaren Souveränitätsraster vergeben. Vier europäische Konsortien teilen sich bis zu 180 Millionen Euro über sechs Jahre, ausgeschrieben im Oktober 2025 unter dem Cloud-III-Dynamic-Purchasing-System. Damit wird Souveränität zur quantifizierbaren Kategorie statt zum Marketingbegriff.

180 Mio €
Auftragsvolumen über sechs Jahre für vier Konsortien
4
europäische Konsortien aus DE, FR, LU und BE
5
SEAL-Stufen von SEAL-0 bis SEAL-4
8
gewichtete SOV-Objektive im Framework

Hintergrund ist die strukturelle Marktverteilung: US-Hyperscaler kontrollieren rund 70 Prozent des europäischen Cloud-Geschäfts, europäische Anbieter rund 15 Prozent. Politisch ist das nicht haltbar, technisch lange Zeit nicht messbar gewesen. Mit dem Cloud Sovereignty Framework hat die Kommission ein Instrument geschaffen, das den Anspruch auf Souveränität pruefbar macht. Henna Virkkunen, Executive Vice-President für Tech Sovereignty, Security und Demokratie, führt die Initiative.

Nicht-europäische Technologien können innerhalb eines strikten und angemessenen Rahmens das Mindestniveau an Souveränität erreichen, das wir verlangen.

Europäische Kommission, Pressemitteilung ,

Für innobus Zielgruppe, strategische Entscheider in Mittelstand, Enterprise und öffentlicher Verwaltung, ist der Vorgang ein Wendepunkt. Wer Cloud-Beschaffungen plant, hat erstmals eine offizielle Skala zur Hand. Die übergeordnete Debatte um die digitale Souveränität Europas haben wir im Hintergrund zu Frankreichs Souveränitäts-Direktive und in der Analyse zur Lobbyarbeit um EU-Rechenzentren beleuchtet.

Framework

Das SEAL-Framework: Souveränität in fünf Stufen

Der Kern des neuen Frameworks ist die SEAL-Skala. Sie reicht von SEAL-0 (kein Souveränitätsanspruch) bis SEAL-4 (vollständige EU-Lieferkette von Chip bis Software). Behörden, regulierte Branchen und Mittelstand können damit erstmals einordnen, wieviel Kontrolle europäische Akteure über einen Cloud-Service tatsächlich haben. Die Skala ersetzt die bisherige Selbstauskunft durch eine pruefbare Bewertung.

SEAL (Sovereignty Effectiveness Assurance Levels) ist die fünfstufige Bewertungsskala der EU-Kommission, die misst, wieviel souveräne Kontrolle europäische Akteure über einen Cloud-Dienst tatsächlich ausüben. Mindestschwelle für die Vergabe öffentlicher EU-Aufträge ist SEAL-2.
Stufe Bezeichnung Was sie zusichert
SEAL-0 Keine Souveränität Vollständige Abhängigkeit von Drittstaaten, kein Schutz vor extraterritorialen Eingriffen
SEAL-1 Jurisdiktion EU-Recht ist auf den Vertrag anwendbar, aber technische Kontrolle bleibt extern
SEAL-2 Datenhoheit Daten unter EU-Kontrolle, Schlüsselverwaltung in EU-Händen, Mindestschwelle für den Tender
SEAL-3 Digitale Resilienz Immunität gegen Störungen aus Nicht-EU-Lieferketten, EU-Personal kann Service eigenständig betreiben
SEAL-4 Volle digitale Souveränität Vollständige EU-Lieferkette von Halbleitern bis Software, kein Drittstaat-Bezug zulässig
Auf einem Behördenschreibtisch liegt ein bedrucktes Konsultationsdokument der EU-Kommission, eine gelbe Markierung zieht eine Linie durch eine Anbieterbewertung, daneben ein schwarzer Kugelschreiber und eine Kaffeetasse
Das Cloud Sovereignty Framework macht Souveränität erstmals zur dokumentierbaren Beschaffungskategorie.

Der Tender hat SEAL-2 als Mindestschwelle definiert. Drei der vier Konsortien lagen über dieser Schwelle, eines genau darauf. Damit beweist das Framework in seiner ersten Anwendung, dass es eine echte Differenzierung erlaubt und nicht nur Augenwischerei produziert. Die Kommission hat zugleich klar gemacht, dass SEAL-4 als Zielzustand für besonders schutzwürdige Bereiche dient, im aktuellen Tender aber kein Anbieter erreicht hat.

Kernaussage

Mit SEAL hat Europa erstmals ein einheitliches Vokabular für Cloud-Souveränität. Wer ab jetzt von Sovereign Cloud spricht, sollte den SEAL-Score nennen können, sonst ist es Marketing.

Die acht SOV-Objektive und ihre Gewichtung

Das Framework misst Souveränität nicht eindimensional. Acht Objektive (SOV-1 bis SOV-8) ergeben in Summe 100 Prozent und gewichten unterschiedliche Dimensionen. Die höchste Gewichtung von 20 Prozent entfällt auf die Lieferkette, weil hier die strukturelle Abhängigkeit von US-Hardware und Hyperscaler-Software am härtesten greift. Daten und KI sind als gemeinsames Objektiv mit 10 Prozent gewichtet.

SOV-5 Lieferkette
20%
SOV-1 Strategie
15%
SOV-4 Operativ
15%
SOV-6 Technologie
15%
SOV-2 Recht und Jurisdiktion
10%
SOV-3 Daten und KI
10%
SOV-7 Sicherheit und Compliance
10%
SOV-8 Umwelt
5%

Was die Objektive im Detail abdecken

  • SOV-1 Strategische Souveränität (15%): EU-Eigentum, Schutz vor ausländischer Einflussnahme, Eigentümerstruktur des Anbieters.
  • SOV-2 Recht und Jurisdiktion (10%): Insulation gegen extraterritoriale Gesetze, insbesondere US CLOUD Act und FISA 702.
  • SOV-3 Daten und KI (10%): Datenstandort, Verschlüsselung, Schlüsselverwaltung, unabhängige KI-Services ohne Hyperscaler-Abhängigkeit.
  • SOV-4 Operative Souveränität (15%): EU-Personal kann Services eigenständig betreiben, warten und im Notfall ohne Drittparteien wiederherstellen.
  • SOV-5 Lieferkette (20%): Geografische Herkunft von Komponenten, Halbleitern, Software-Stacks und Lieferanten.
  • SOV-6 Technologie (15%): Offene Standards, Open-Source-Verfügbarkeit, kein Vendor-Lock-in, Portabilität von Workloads.
  • SOV-7 Sicherheit und Compliance (10%): EU-Zertifizierungen wie BSI C5, EUCS, unabhängige Patches, EU-basierte Security Operations.
  • SOV-8 Umwelt und Nachhaltigkeit (5%): Energieeffizienz, CO2-Bilanz, Offenlegung der Verbrauchsdaten.

Warum die Gewichtung wichtig ist: Ein Anbieter kann einzelne Objektive kompensieren, aber nicht alle. Wer bei SOV-5 schwächelt, kann mit starkem SOV-1 und SOV-4 vieles ausgleichen. Genau diese Kompensationslogik hat in der ersten Vergabe für Diskussionen gesorgt, weil sie auch grenzwertige Konstellationen wie S3NS in den SEAL-2-Bereich heben kann.

Die Sovereignty-Washing-Debatte um S3NS

Die kontroverseste Entscheidung der Kommission ist die Aufnahme von S3NS in das Proximus-Konsortium. S3NS ist ein Joint Venture zwischen Thales (Mehrheitsgesellschafter) und Google Cloud, das Google-Technologie unter EU-Regie betreibt. Die Kommission begründet die Aufnahme damit, dass nicht-europäische Technologien innerhalb eines strikten Rahmens das Mindestniveau an Souveränität erreichen können. CISPE, der Verband mit 38 europäischen Cloud-Firmen, sieht darin ein Eigentor.

Lange Reihe von Server-Racks hinter einer Glasabtrennung in einem europäischen Colocation-Rechenzentrum, Patchkabelbündel und kleine grüne und gelbe Status-LEDs sichtbar, ein Wartungswagen am Ende des Korridors
S3NS betreibt Google-Technologie in europäischen Rechenzentren unter Mehrheitskontrolle von Thales, dennoch bleibt der Konzern dem US CLOUD Act unterworfen.
Position S3NS und Kommission
Vollständige Mehrheitskontrolle durch Thales
EU-Personal mit Sicherheitsfreigaben
Physisch separierte Rechenzentren in Frankreich
Strikte logische und operative Trennung
Google-Support nur eingeschränkt, kein Systemzugriff
Position CISPE und Kritiker
Google bleibt Lieferant kritischer Software-Komponenten
CLOUD Act und FISA 702 gelten weiter für Google
Microsoft hat unter Eid eingeräumt, Schutz vor US-Anordnungen nicht garantieren zu können
SEAL-2 als Mindestschwelle institutionalisiert Sovereignty Washing
Schwächt das Signal an reine EU-Anbieter

Die Anerkennung von S3NS, das auf Googles Cloud-Technologie aufbaut, als souverän ist klar ein Eigentor und droht Sovereignty Washing auf höchster Ebene zu institutionalisieren.

Francisco Mingorance, Generalsekretär CISPE, April 2026

Die juristische Lage ist eindeutig. Der US CLOUD Act erlaubt US-Behörden, Daten weltweit von US-Cloud-Konzernen herauszuverlangen, auch wenn die Daten in der EU liegen. Eine Microsoft-Führungskraft hat bereits 2021 unter Eid vor dem französischen Senat eingeräumt, dass das Unternehmen nicht garantieren kann, dass französische Kundendaten von US-Anordnungen verschont bleiben. Die operative Trennung mag in der Praxis robust sein, sie hebelt die rechtliche Zugriffsmöglichkeit nicht aus.

Trotzdem ist die Entscheidung nicht ohne Argument. Die EU braucht funktionsfähige KI-Plattformen, und Mistral als europäischer Foundation-Model-Anbieter braucht skalierbare Infrastruktur, die kurzfristig nur unter Beteiligung von Hyperscaler-Technologie verfügbar ist. Wer SEAL-2 als pragmatischen Übergang versteht und perspektivisch SEAL-3 oder SEAL-4 anstrebt, kann den Schritt verteidigen. Wer ihn als Endzustand akzeptiert, hat die Souveränitätsdebatte verloren.

Deutsche und EU-Perspektive: STACKIT, Mistral und der CADA-Fahrplan

Für deutsche Entscheider sind drei Konsequenzen sofort relevant. STACKIT der Schwarz Gruppe ist als deutscher SEAL-3-Anbieter im Kreis der vier Auserwählten und damit der erste deutsche Hyperscaler-Konkurrent mit offizieller EU-Souveränitäts-Bestätigung. Das Framework wird über die Kommissionsausschreibung hinaus zur Referenz für nationale Behörden. Der Cloud and AI Development Act (CADA) wird das Framework in Gesetzesform giessen.

1
deutscher SEAL-3-Anbieter im Tender (STACKIT, Schwarz Gruppe)
200 MW
europäische KI-Rechenkapazität, die Mistral bis Ende 2027 plant
27. Mai
geplante Vorlage des Tech-Sovereignty-Pakets durch die Kommission

Was sich für deutsche Akteure jetzt ändert

  • STACKIT als nationaler Champion: Die Cloud-Marke der Schwarz Gruppe hat den ersten verbindlichen SEAL-3-Nachweis und ist damit für Bundes- und Landesausschreibungen direkt anschlussfähig.
  • Mistral mit europäischer Infrastruktur: 13.800 NVIDIA-GB300-GPUs in einem Pariser Cluster mit 44 Megawatt, finanziert über 830 Millionen US-Dollar von einem Konsortium aus sieben Banken um Bpifrance, BNP Paribas, Crédit Agricole und HSBC.
  • SAP EU AI Cloud: Das Walldorfer Unternehmen hat im November 2025 vier Bereitstellungsmodelle angekündigt, darunter Delos Cloud für den deutschen öffentlichen Sektor. Wir haben das im Kontext zu SAP MaKo Cloud und SAP Joule 2026 ausführlich behandelt.
  • Cloud and AI Development Act: Das CADA-Gesetz soll am 27. Mai 2026 vorgelegt werden, nachdem die Kommission die Veröffentlichung zweimal verschoben hat. Es soll das Framework von freiwilliger Bewertung in Pflicht überführen.
  • Bundesverwaltung als Pilotmarkt: Behörden in Deutschland orientieren sich zunehmend an EU-Frameworks. Die Kill-Switch-Sorge der Lünendonk-Studie 2026 (83 Prozent der DACH-Unternehmen halten ein Szenario für realistisch) bekommt durch SEAL ein Gegenmittel.

Den Ausbau unserer Infrastruktur in Europa zu skalieren ist entscheidend, damit unsere Kunden Innovation und Autonomie behalten und KI weiterhin im Mittelpunkt Europas steht.

Arthur Mensch, CEO Mistral AI ,

Im Vergleich zur Frankreich-Direktive vom 8. April 2026, die wir in Frankreich handelt, Deutschland zögert beschrieben haben, ergänzen sich die beiden Bewegungen: Frankreich liefert die politische Forderung, die Kommission liefert das Messinstrument. Beides zusammen erhöht den Druck auf deutsche Behörden, eigene Souveränitätsstrategien aus der Schublade zu holen.

Herausforderungen und Risiken

Das Framework hat Schwächen, die deutsche Entscheider kennen müssen. CISPE und IT-Juristen kritisieren, dass die Kriterien an mehreren Stellen interpretationsoffen sind und damit großen Anbietern mit Lobbymacht in die Hände spielen. Auch der reine SEAL-Score sagt nichts über Funktionalität, Performance oder Preis aus. Eine SEAL-3-Plattform ohne passenden KI-Stack hilft einem Versicherer wenig, der Modelltraining auf eigenen Daten betreiben will.

Niedrige Mindestschwelle

SEAL-2 als Zugangskriterium lässt US-Beteiligungen zu, solange operative Trennung dargelegt wird. Damit normalisiert das Framework Konstellationen wie S3NS für die nächsten sechs Jahre.

Kompensationseffekte

Die acht Objektive lassen sich gegeneinander aufrechnen. Schwäche in der Lieferkette (SOV-5) kann durch Stärke in Strategie (SOV-1) und Operativ (SOV-4) ausgeglichen werden. Wer nur den Gesamtscore liest, übersieht das.

Funktionsluecken

Europäische Anbieter sind im Bereich Foundation Models und Managed-AI-Services dünn aufgestellt. Mistral, Aleph Alpha und OpenGPT-X füllen die Lücke nur teilweise. Wer Sprachmodelle in Spitzenqualität braucht, landet schnell wieder bei US-Anbietern.

Skalierungsfrage

180 Millionen Euro reichen für die EU-Institutionen, nicht für einen Wechsel der gesamten europäischen Verwaltung. Bundesländer, Stadtwerke und Gesundheitssystem brauchen eigene Programme, sonst bleibt das Framework ein Brüsseler Schaufenster.

Risiko Doppelvergabe: Behörden könnten parallel SEAL-3-Verträge und Hyperscaler-Konten halten und damit faktisch nichts gewinnen. Die operative Souveränität entsteht nur, wenn der Wechsel auch wirklich vollzogen wird. US-Hyperscaler bauen parallel eigene EU-Sovereign-Angebote, die SEAL-2 erreichen können (Microsoft Cloud for Sovereignty, Google Sovereign Controls, AWS European Sovereign Cloud) und mit Funktionsbreite punkten.

Playbook

Was Unternehmen jetzt tun sollten

Für deutsche Entscheider ist das SEAL-Framework die Chance, Souveränität in Beschaffung, Architektur und Verträgen zu verankern, ohne ideologische Debatten führen zu müssen. Die nächsten zwölf Monate entscheiden, ob das Raster zum Standard für Behörden und regulierte Branchen wird oder als reine EU-Bezugsregel marginal bleibt. Wer jetzt handelt, hat einen Verhandlungsvorteil gegenüber Anbietern.

  1. SEAL-Score in Lastenheften verankern

    Bei jeder neuen Cloud-Ausschreibung mindestens SEAL-2 für Daten mit Personenbezug, SEAL-3 für kritische Infrastruktur fordern. Die Skala in RFPs als hartes Bewertungskriterium führen, nicht nur als Marketing-Frage.

  2. Bestehende Verträge auf SOV-Schwerpunkte prüfen

    SOV-2 (Recht und Jurisdiktion), SOV-4 (operative Kontrolle) und SOV-5 (Lieferkette) sind die heikelsten Punkte bei laufenden Hyperscaler-Verträgen. Eine Bestandsaufnahme schafft Klarheit über die echte Souveränitätsposition.

  3. KI-Workloads getrennt bewerten

    Foundation-Model-Anbieter wie Mistral, Aleph Alpha oder OpenGPT-X sind seltener SEAL-konform als reine Infrastruktur. Wer Modell und Plattform getrennt einkauft, kann Souveränität flexibler steuern.

  4. Exit-Strategie dokumentieren

    57 Prozent der DACH-Unternehmen haben laut Lünendonk 2026 keinen Plan B für Hyperscaler-Ausfälle. Eine dokumentierte Exit-Strategie mit definierten Daten- und Service-Pfaden ist Voraussetzung für jeden ernsthaften Souveränitätsanspruch.

  5. Verhandlungsposition gegenüber US-Anbietern nutzen

    US-Anbieter werden ihre EU-Sovereign-Angebote 2026 nachbessern, weil das Framework Druck aufbaut. Wer jetzt verhandelt, kann zusätzliche Garantien zu Schlüsselverwaltung, EU-Personal und Auditrechten verankern.

  6. CADA-Vorlage am 27. Mai aktiv beobachten

    Der Cloud and AI Development Act überführt das Framework in eine verbindliche Rechtsnorm. Wer früh prüft, welche Anforderungen am eigenen Cloud-Setup andocken, hat 12 bis 18 Monate Vorlauf für Umstellungen.

SEAL-2
Mindestschwelle für personenbezogene Daten
SEAL-3
Empfehlung für kritische Infrastruktur
12-18
Monate Vorlauf bis CADA-Pflicht

Weiterführende Informationen

Europäische Kommission: Pressemitteilung zur Sovereign-Cloud-Vergabe (17. April 2026) Help Net Security: EU vergibt 180 Mio. Euro für Sovereign Cloud The Register: Sovereign-Cloud-Pick mit Google im Hintergrund VSHN: Detailanalyse SEAL und SOV-Objektive Interoperable Europe: Cloud Sovereignty Framework Methodik EU-Startups: Mistral baut Pariser GB300-Cluster aus innobu: Digitale Souveränität - Frankreich handelt, Deutschland zögert innobu: Microsoft diktiert EU-Transparenzregeln innobu: Sovereign AI und EU-first Lösungen für Deutschland innobu: Sovereign AI für Deutschlands Industriezukunft innobu: OpenAI for Germany im öffentlichen Sektor innobu: SAP Joule 2026 und Agentic Enterprise-KI

Häufig gestellte Fragen

Was ist das SEAL-Framework der EU-Kommission? +

SEAL steht für Sovereignty Effectiveness Assurance Levels und definiert fünf Reifegrade für die Souveränität von Cloud-Diensten. SEAL-0 bedeutet keine Souveränität, SEAL-2 garantiert Datenhoheit, SEAL-3 zusichert Resilienz gegen Störungen aus Nicht-EU-Lieferketten und SEAL-4 verlangt eine vollständige EU-Lieferkette von Halbleitern bis Software. Das Framework wurde am 17. April 2026 erstmals verbindlich für eine Vergabe in Höhe von 180 Millionen Euro angewandt.

Welche vier Anbieter haben den EU Sovereign Cloud Tender 2026 gewonnen? +

Vier Konsortien haben den Zuschlag erhalten: Post Telecom aus Luxemburg mit OVHcloud und CleverCloud, STACKIT der Schwarz Gruppe aus Deutschland, Scaleway aus Frankreich sowie Proximus aus Belgien mit S3NS, Clarence und Mistral. Drei Konsortien erreichten SEAL-3, das Proximus-Konsortium nur SEAL-2. Der Vertrag läuft sechs Jahre und umfasst bis zu 180 Millionen Euro.

Was sind die acht SOV-Objektive des Cloud Sovereignty Frameworks? +

Das Framework misst Souveränität entlang acht gewichteter Objektive: Strategische Souveränität (15 Prozent), Recht und Jurisdiktion (10 Prozent), Daten und KI (10 Prozent), Operative Souveränität (15 Prozent), Lieferkette (20 Prozent, höchste Gewichtung), Technologie (15 Prozent), Sicherheit und Compliance (10 Prozent) sowie Umwelt und Nachhaltigkeit (5 Prozent). Die Lieferkette hat das größte Gewicht, weil hier die strukturelle Abhängigkeit von US-Hardware und Hyperscaler-Software am stärksten greift.

Warum kritisiert CISPE die Aufnahme von S3NS in den Tender? +

S3NS ist ein Joint Venture zwischen Thales und Google Cloud, das Google-Technologie unter EU-Regie betreibt. CISPE, der Verband mit 38 europäischen Cloud-Anbietern, sieht in der Anerkennung als souverän ein klares Eigentor und warnt vor institutionalisiertem Sovereignty Washing. S3NS argumentiert, dass es vollständig von Thales kontrolliert wird, EU-Personal einsetzt und Rechenzentren physisch separiert betreibt. Trotzdem unterliegt Google als US-Konzern dem CLOUD Act.

Was bedeutet das Framework für deutsche Behörden und Unternehmen? +

Deutsche Bundesbehörden und Landesverwaltungen erhalten erstmals eine harte Vergleichsgrundlage für Cloud-Beschaffungen jenseits von Marketingbegriffen wie Sovereign Cloud oder EU-Region. Mittelstand und Enterprise können den SEAL-Score in Lastenheften und RFPs verbindlich einfordern. Empfehlung: mindestens SEAL-2 für Daten mit Personenbezug, SEAL-3 für kritische Infrastruktur. STACKIT der Schwarz Gruppe ist der einzige deutsche SEAL-3-Anbieter im aktuellen Tender.

Wann kommt der Cloud and AI Development Act? +

Die Europäische Kommission hat die Veröffentlichung des gesamten Tech-Sovereignty-Pakets bereits zweimal verschoben und plant die Vorlage nun für den 27. Mai 2026. Der Cloud and AI Development Act soll das SEAL-Framework von einer freiwilligen Bewertung in eine verbindliche Rechtsnorm überführen, gemeinsam mit Chips Act 2, einer Open-Source-Strategie und einem Fahrplan für KI in der Energiewirtschaft. Das Paket steht unter Federführung von Henna Virkkunen, Executive Vice-President für Tech Sovereignty.