Kenen pilvi, kenen säännöt? EU:n teknologiapaketin sokeat pisteet
Brysselistä on viimein tullut laillinen määritelmä digisuvereniteetille. Euroopan komission teknologiasuvereniteettipaketti julkaistiin 3. kesäkuuta 2026 kolmen lykkäyksen jälkeen, ja se kattaa pilvi-infrastruktuurin, puolijohteet, tekoälyn ja avoimen lähdekoodin.
Teksti: Martti Asikainen, 10.6.2026 | Kuva: Adobe Stock Photos
Toukokuussa 2025 Kansainvälisen rikostuomioistuimen (ICC) pääsyyttäjä Karim Khan menetti pääsyn Microsoftin sähköpostiinsa. Hänen pankkitilinsä jäädytettiin. Taustalla vaikuttivat Yhdysvaltain presidentti Donald Trumpin asetuksella asettamat pakotteet, jotka olivat tehneet amerikkalaisten teknologiayritysten palveluiden tarjoamisesta hänelle laillisesti riskialtista (Quell 2025).
Se, toimiko Microsoft suoraan vai vetäytyikö se sivuun vaatimustenmukaisuuspaineiden kasvaessa, on edelleen kysymysmerkki. Lopputulos oli kuitenkin sama. Käsite ”katkaisija” (eng. kill switch) päätyi pian eurooppalaisen poliittisen keskustelun ytimeen, eikä se ole poistunut sieltä tähän mennessä.
Kolmen lykkäyksen jälkeen julkaistu EU:n teknologiasuvereniteettipaketti on Euroopan komission tähänastisista ehdotuksista jäsentynein vastaus tämänkaltaiseen haavoittuvuuteen. Myös luvut ovat karut. Komission omien arvioiden mukaan yli 80 % EU:n keskeisistä digitaalisista tuotteista, palveluista ja immateriaalioikeuksista on eurooppalaisten ulkopuolisten toimijoiden käsissä (Euroopan komissio 2026).
Pelkästään se, että paketti on olemassa, on merkittävä askel. EU on nyt tunnustanut, että digitaalinen infrastruktuuri on geopoliittinen kysymys eikä pelkkä tekninen yksityiskohta. Riippuvuus ulkoisista toimijoista herättää aiheellista ja oikeutettua huolta. Samaan aikaan on kuitenkin myönnettävä, että paketti vastaa siihen vain osittain, eikä tällä hetkellä ole lainkaan varmaa, onko ehdotetusta lääkkeestä ylipäänsä apua.
Mitä paketti oikeasti sisältää
Teknologiasuvereniteettipaketti koostuu neljästä pääelementistä, jotka ovat uudistettu siruteollisuuslaki, jolla vahvistetaan paikallista puolijohdekapasiteettia, uudesta pilvi- ja tekoälykehityslaista (CADA), joka luo porrastetun suvereniteettikehyksen pilvihankinnoille, sitomattomasta avoimen lähdekoodin strategiasta sekä tekoälyn ja energian digitalisoinnin tiekartasta (Euroopan komissio 2026).
Näistä selvästi merkittävin on CADA, joka on nähdäkseni myös kokonaisuuden lainsäädännöllinen ydin. Se jakaa pilvipalvelut neljään eri luokkaan sen mukaan, kuinka arkaluonteista dataa ne käsittelevät. Herkimmässä luokassa ovat esimerkiksi pankit, terveydenhuolto, julkishallinto. Näiden palveluntarjoajien on täytettävä eurooppalaiset toimitusketjuvaatimukset. Käytännössä tämä tarkoittaa sitä, ettei amerikkalaisia pilvipalveluja saa käyttää arkaluontoisiin tietoihin.
Logiikka on varsin suoraviivainen. Käytännössä sairaanhoitopiiri, joka tähän asti on joutunut itse arvioimaan pilvipalvelunsa suvereniteettiriskin, saa nyt lakiin kirjatun kehyksen, ja vastuu siitä siirtyy sääntelyjärjestelmälle. Se tulee olemaan helpotus tuhansille julkisen sektorin hankinta-asiantuntijoille, koska eurooppalaisessa infrastruktuurissa säilytetty data ei ole ulkopuolisten tahojen pakotteiden ulottuvissa. Lisäksi paketti velvoittaa arvioimaan suvereniteettiriskit järjestelmällisesti, kun nykyinen tapauskohtainen arviointi korvautuu rakenteellisella harkinnalla. Se on aito edistysaskel oikeaan suuntaan.
Tutkijoiden kohdalla tilanne on toinen. Käytännön muutokset alkavat näkyä tutkijoiden arjessa jo ennen asetuksen hyväksyntää tai lain voimaantuloa. Useat Euroopan hallitukset ovat ryhtyneet aktiivisesti siirtymään pois yhdysvaltalaisista teknologiatarjoajista. Esimerkiksi Ranska on ilmoittanut luopuvansa muiden kuin eurooppalaisten yritysten tuotteista arkaluonteisissa hallintotehtävissä. Osa yliopistoista seuraa hallitustensa esimerkkiä, tosin ei aina ilman vastahakoisuutta (Kwon 2026).
Tyypillisesti kansainväliset tutkijayhteisöt ovat rakentaneet työskentelytapansa jaettujen pilvitallennustilojen, hallinta-alustojen ja kansainvälisen tietoinfrastruktuurin varaan. Nyt he tulevat huomaamaan, että infrastruktuurin geopolitiikka määrittää yhä enemmän sitä, mikä on käytännössä mahdollista, ja kenen kanssa yhteistyö on sujuvaa.
Samaan aikaan toisessa salissa
Euroopan komission ehdottamaa teknologiasuvereniteettipakettia ei voi arvioida irrallaan kontekstistaan. Se julkaistiin samalla viikolla kuin toinen merkittävä lainsäädäntöpaketin esitys. Kyse on Digital Omnibusista, joka heikentää sekä porrastetusti voimaan astunutta Euroopan tekoälyasetusta (AI Act) että yleistä tietosuoja-asetusta (GDPR) yksinkertaistamisen nimissä. Tämä on ristiriita, jota ei voi sivuuttaa.
EU:n aiemmat saavutukset digitaalisessa sääntelyssä nojasivat tiettyyn käsitykseen suvereniteetista: kansalaisilla ja demokraattisilla instituutioilla on oikeus vaikuttaa heitä koskeviin järjestelmiin. Teknologiasuvereniteettipaketti siirtää painopistettä pois tästä, kohti kilpailukykyä ja strategista turvallisuutta.
Kriitikot ovat puhuneet suvereniteettipesusta, jossa sääntelyä puretaan strategisen autonomian nimissä, mutta tosiasiassa kansalaisten suoja heikkenee samalla kun yrityksiä suojellaan kilpailulta. Heidän mukaansa eurooppalaiseen lainsäädäntöön rakennetut oikeussuojan takeet rapautuvat, mutta samaan aikaan kokonaisuus esitetään kansalaisille suvereniteettivoittona. Kyse on valinnasta.
Centre for European Policy (CEP) varoittaa, että suojeltuihin kotimarkkinoihin nojaava suvereniteetti tuottaa tyypillisesti pikemminkin mukavuudenhaluisia vakiintuneita toimijoita kuin kilpailukykyisiä teknologiayrityksiä, ja että Eurooppa, joka voittaa digitaalisen tulevaisuutensa sulkemalla muut kilpailun ulkopuolelle, ei ole ratkaissut teknologiaongelmiaan vaan lykännyt niitä myöhemmäksi (CEP 2026).
EU on julistanut tavoitteekseen kilpailla laadulla, mutta paketin rakenteelliset kannustimet osoittavat kriitikoiden mukaan täysin päinvastaiseen suuntaan. Euroopan syvemmät rakenteelliset haasteet, kuten pirstaleiset pääomamarkkinat, korkeat energiakustannukset ja osaamisvaje eivät ratkea pelkillä hankintapreferensseillä (Sterling 2026). Pahimmassa tapauksessa preferenssipolitiikka suojelee vakiintuneita toimijoita juuri siltä kilpailupaineelta, joka olisi kasvun kannalta välttämätöntä.
Bryssel-efekti tekee kuperkeikan
EU-sääntelyssä on hyvin dokumentoitu ilmiö nimeltä ”Bryssel-efekti”. Tämä kuvaa ketjua, jossa eurooppalaiset asetukset päätyvät globaaleiksi vertailukohdiksi, jonka myötä maat omaksuvat tai mukauttavat niin omiin tarpeisiinsa, vaikka ne eivät olleet mukana laadintapöydässä (Bradford 2012). Efektin vaikuttavuus on historiallisesti nojannut paitsi EU:n markkinavoimaan myös eurooppalaisen sääntelyn koettuun legitiimiyteen (Blauberger & Schmidt 2023).
Esimerkiksi GDPR on replikoitu kymmenissä lainkäyttöalueissa, ja tekoälyasetusta konsultoivat jo lukuisat päätöksentekijät Brasiliasta, Intiasta ja Keniasta. Teknologiaa koskeva suvereniteettipaketti saattaa hyvin seurata samaa polkua, mutta kokonaisuutena se voi olla luonteeltaan aiempaa ongelmallisempi. CADA:n suvereniteettiluokkakehys nimittäin nojaa EU:n määritelmiin siitä, mikä lasketaan ”luotetuksi” infrastruktuuriksi.
Nämä määritelmät valuvat käytäntöön teknisen avun ohjelmien ja eurooppalaisrahoitteisten hankkeiden mukanaan viemien digitaalisen infrastruktuurin viitekehysten kautta myös globaalissa etelässä. Maat, jotka ovat vasta digitaalisen kehityksensä alkuvaiheissa ja joiden infrastruktuurivalintoihin rahoittajan vaikutus on jo nyt huomattava, voivat päätyä tilanteeseen, jossa EU:n toimitusketjupreferenssit toimivat tosiasiallisina standardeina ilman, että niitä on koskaan konsultoitu (Schoemaker 2026).
Tämä dynamiikka muistuttaa siitä, mitä Couldry ja Mejias (2019) kuvaavat datakolonialismin käsitteellään, joka on epäsymmetristen valtasuhteiden laajentamisesta digitaalisten infrastruktuurien hallinnan ja dataekstraktion kautta. Afrikan digitaalista infrastruktuurirahoitusta käsittelevä tutkimus osoittaa, että investointien lähde muovaa käytännössä niitä hallintatapoja, jotka hallituksille ovat ylipäätään mahdollisia (Schoemaker 2026).
EU:n suvereniteettiehtojen lisääminen tähän maisemaan ei avaa kumppanimaille tilaa kehittää omia järjestelmiään, vaan ohjaa olemassa olevan rajoitteen uuteen suuntaan. Komission digisuvereniteettipaketti kysyy aiheellisesti, kuka omistaa pilven, mutta ei sitä, miten pilveä hallitaan tai kuka kantaa siitä vastuun. Nämä ovat eri kysymyksiä, mutta ne ovat silti ratkaisevia EU:n rajojen ulkopuolella eläville ihmisille.
Paketti tekee silti paljon asioita oikein. Suvereniteettiriskin systemaattinen arviointi poistaa nykyisen tapauskohtaisen arvioinnin, avoimen lähdekoodin hankinnan edistäminen avaa tilaa kotimaisille vaihtoehdoille, ja siviiliyhteiskunnan osallistumiskynnys standardointielimissä madaltuu. Nämä kaikki ovat konkreettisia parannuksia, jotka ovat varmasti enemmän kuin tervetulleita.
Miltä vastuullinen vastaus näyttäisi
Mikään edellä esitetty kritiikki ei kuitenkaan ole argumentti sen puolesta, että Euroopan komission ehdottama digitaalinen infrastruktuuri jätettäisiin nykyiseen riippuvuustilaansa. Alussa mainitsemani katkaisijaskenaario on yhtä todellinen kuin komission arvio noin 80 %:n riippuvuudesta ulkoisista toimijoista.
Rakenteellisen haavoittuvuuden vähentäminen on ennen kaikkea järkevä ja lähes pakollinenkin tavoite nykyisen geopoliittisen tilanteen vuoksi. Myös useat paketin elementeistä, kuten suvereniteettiriskin arviointi, avoimen lähdekoodin hankinnan edistäminen ja siviiliyhteiskunnan osallistumiskynnyksen madaltaminen, ovat aitoja parannuksia nykytilaan. Huolta herättää lähinnä se käsite, jolla näitä tavoitellaan.
Tutkijat ovat jo pitkään huomauttaneet, ettei digisuvereniteetti ole yhtenäinen käsite, vaan joukko keskenään kilpailevia visioita aina valtiokontrollista teknologiseen autonomiaan, ja kollektiivisesta itsehallinnosta kansalaisten vaikutusvaltaan (Couture & Toupin 2019). Infrastruktuurin kansallisuus on digitaalisen autonomian välttämätön ehto, mutta samaan aikaan se luo täysin uudenlaisia uhkia demokratioihin.
Kerrostunut näkemys digisuvereniteetista myös osoittaa, ettei pelkkä infrastruktuurin hallinta takaa hallintaa standardeista, sovelluksista, datasta tai käyttäjien oikeuksista (Sheikh 2022). Eurooppalainen pilvitaso, joka käsittelee kansalaisten tietoja heikennetyn tekoälylain ja GDPR:n varjossa, ei tee kansalaisista yhtään sen suvereenimpia. Se vain nimeää uusia tahoja, jotka heidän dataansa saavat louhia.
Tekoälyn hallintaa koskevassa työssä käytännön kysymys ei muutenkaan yleensä ole se, kuka palvelinta pyörittää. Ensisijainen kysymys on, kuka asettaa säännöt ja kuka valvoo niiden noudattamista. Datan säilyttäminen eurooppalaisessa konesalissa on eri asia kuin sen varmistaminen, että dataa käsittelevä järjestelmä on vastuullinen, auditoitavissa ja yksilön oikeuksia kaikilla mahdollisilla tavoilla kunnioittava.
Teknologian suvereniteettipaketti painottaa enemmän ensimmäistä kuin jälkimmäistä. Palveluntarjoajan kansallisuuden sijaan tulisi myös selvittää, millainen hallintotapa palveluun sisältyy, kuka voi auditoida sen ja mitä oikeussuojakeinoja on käytettävissä, kun jokin menee pieleen. Suvereniteetti ilman vastuullisuutta on vain erilainen riippuvuus. Kaiken kaikkiaan paketti on kuitenkin askel. Seuraava kysymys on, kuka varmistaa, että askeleet johtavat oikeaan suuntaan — ja millä mekanismilla.
Kirjoittaja
Lähteet
Blauberger, M. & Schmidt, S. K. (2023). The Brussels Effect, European Regulatory Power and Political Capital: Evidence for Mutually Reinforcing Internal and External Dimensions of the Brussels Effect from the European Digital Policy Debate. DISO 2, 5 (2023). https://doi.org/10.1007/s44206-022-00031-1
Bradford, A. (2012). The Brussels Effect. Northwestern University Law Review, Vol. 107, No. 1, 2012, Columbia Law and Economics Working Paper No. 533. https://ssrn.com/abstract=2770634
Centre for European Policy Network. (2026, kesäkuu 3). EU Tech Sovereignty Package: Sovereignty as a prerequisite of openness in times of geopolitical shift. https://www.cep.eu/eu-topics/details/eu-tech-sovereignty-package.html
Couture, S. & Toupin, S. (2019). What does the notion of ”sovereignty” mean when referring to the digital? New Media & Society, 21(10), 2305–2322. https://doi.org/10.1177/1461444819865984
Euroopan komissio. (2026, kesäkuu 3). Commission proposes tech sovereignty package to strengthen Europe’s digital autonomy and resilience. IP/26/1187. https://ec.europa.eu/commission/presscorner/detail/en/ip_26_1187
Kwon, D. (2026, June 5). Europe is ditching US tech — what does this mean for researchers? Nature. https://doi.org/10.1038/d41586-026-01610-9
Quell, M. (2025, toukokuu 15). Trump’s sanctions on ICC prosecutor have halted tribunal’s work. Associated Press. https://apnews.com/article/icc-trump-sanctions-karim-khan-court-a4b4c02751ab84c09718b1b95cbd5db3
Schoemaker, E. (2026, kesäkuu 8). Europe’s new rules, everyone else’s problem. Global Policy Journal. https://www.globalpolicyjournal.com/blog/08/06/2026/europes-new-rules-everyone-elses-problem
Sheikh, H. (2022). European Digital Sovereignty: A Layered Approach. Digital Society, 1(25). https://doi.org/10.1007/s44206-022-00025-z
Sterling, T. (2026, kesäkuu 4). Europe’s tech ’liberation day’? Computer says not yet. Reuters. https://www.reuters.com/legal/litigation/europes-tech-liberation-day-computer-says-not-yet-2026-06-04/
