Waarom de CADA er komt
Europa is voor meer dan 70% van zijn cloudinfrastructuur afhankelijk van drie Amerikaanse bedrijven: Amazon Web Services, Microsoft Azure en Google Cloud. Die afhankelijkheid is niet alleen technisch — het is ook juridisch: via de Amerikaanse CLOUD Act kan de VS toegang vorderen tot data die op Europese servers staat, zolang de provider een Amerikaans bedrijf is.
De Cloud and AI Development Act (CADA) is het Europese antwoord. Op 3 juni 2026 presenteerde de Europese Commissie het voorstel als onderdeel van het bredere Tech Sovereignty Package. De wet moet drie dingen realiseren: cloudsoevereiniteit verankeren in wetgeving, de Europese datacenter-capaciteit verdrievoudigen, en de afhankelijkheid van niet-Europese AI-infrastructuur verminderen.
De vier soevereiniteitsniveaus uitgelegd
Het hart van de CADA is een raamwerk met vier verzekeringsniveaus (Union assurance levels) waaraan cloudproviders moeten voldoen om diensten te mogen leveren aan de publieke sector:
Niveau 1 — EU-datalocatie
De basiseis: alle dataverwerking en -opslag moet plaatsvinden binnen EU-infrastructuur. Dit is de drempel voor elke cloudprovider die aan overheden wil leveren. AWS met servers in Frankfurt of Azure West Europe voldoen hier al aan. De Europese Commissie schat dat het overgrote deel van de overheidscontracten op dit niveau zal vallen.
Niveau 2 — onafhankelijkheid en transparantie
Naast EU-datalocatie moet de provider aantoonbaar onafhankelijk zijn van derde landen en transparantie bieden over de volledige softwaretoeleveringsketen. Dit niveau raakt naar verwachting circa 20% van de overheidscontracten. Voor Amerikaanse hyperscalers wordt dit lastiger: ze moeten aantonen dat hun Europese operaties niet onderhevig zijn aan buitenlandse jurisdictie.
Niveau 3 — Europees eigendom en controle
De provider moet in eigendom en onder operationele controle zijn van Europese entiteiten. Ook aan het personeel worden eisen gesteld, zoals EU-burgerschap voor sleutelposities. Minder dan 10% van de overheidscontracten zal hier naar verwachting onder vallen, maar het is precies het segment waar gevoelige overheidstoepassingen en NIS2-kritieke sectoren terechtkomen.
Niveau 4 — volledige soevereiniteit
Het hoogste niveau eist volledige transparantie en controle over de gehele softwaretoeleveringsketen, plus de garantie dat er geen interferentie van een derde land mogelijk is. Dit geldt naar verwachting voor ongeveer 1% van de contracten, voornamelijk in defensie en inlichtingendiensten.
De CADA zegt niet dat je geen AWS of Azure mag gebruiken. De wet zegt: als je werkt met gevoelige overheidsdata, moet je weten op welk soevereiniteitsniveau je provider opereert — en daar bewust voor kiezen.
Tijdlijn: wanneer geldt wat?
De CADA volgt een gefaseerd schema:
- 3 juni 2026 — Europese Commissie publiceert het voorstel
- 15 juli 2026 — publicatie in het Publicatieblad van de EU
- 4 augustus 2026 — formele inwerkingtreding
- Q3 2026 — verwachte start triloogonderhandelingen tussen Commissie, Parlement en Raad
- Q4 2027 — streeftermijn voor definitieve wetgevende overeenstemming
- Februari 2028 — eerste soevereiniteitseisen (niveau 1) van toepassing
- Augustus 2029 — hoogste soevereiniteitsniveau (niveau 4) verplicht waar van toepassing
Het wetgevingsproces voor complexe digitale wetgeving duurt historisch gezien 12 tot 36 maanden. De definitieve tekst kan dus nog wijzigen tijdens de triloogonderhandelingen. Maar de richting is duidelijk — en wachten tot het af is, is niet slim.
Niet alleen de overheid: doorwerking naar de private sector
Een cruciaal detail dat in de eerste berichtgeving vaak wordt gemist: de CADA geeft de Europese Commissie de bevoegdheid om via gedelegeerde handelingen (delegated acts) vergelijkbare soevereiniteitsrisicobeoordelingen op te leggen aan private bedrijven in sectoren die onder de NIS2-richtlijn vallen.
Concreet betekent dit dat als jij SaaS levert aan een zorginstelling, energiebedrijf, waterschap of transportbedrijf, je klant straks mogelijk verplicht is om een soevereiniteitsrisicobeoordeling uit te voeren van zijn cloudafhankelijkheden — inclusief jouw dienst. Brancheorganisaties waarschuwen dat dit de Europese markt kan fragmenteren, maar de wet is er niet minder om.
De CADA is geen wet die alleen de hyperscalers raakt. Als je software levert aan organisaties in NIS2-sectoren, word je indirect onderdeel van de soevereiniteitsketen.
Wat verandert er voor SaaS-aanbieders?
Als je een SaaS-product bouwt of beheert, zijn er vier gebieden waar de CADA impact heeft:
1. Cloudarchitectuur wordt een compliance-vraagstuk
Waar je data staat en wie er toegang toe heeft, is niet langer alleen een technische keuze. De CADA maakt het een juridisch vraagstuk. Als je SaaS draait op AWS in Frankfurt, voldoe je aan niveau 1. Maar als je klant een overheidsinstelling is die niveau 2 of 3 eist, moet je kunnen aantonen dat je infrastructuur onafhankelijk is van niet-Europese jurisdictie.
2. Leveranciersbeoordeling in de supply chain
Organisaties moeten hun volledige cloudafhankelijkheidsketen in kaart brengen: niet alleen de primaire cloudprovider, maar ook managed service providers, compliance-tooling en AI-systemen die op die infrastructuur draaien. Als jouw SaaS een schakel in die keten is, word je onderdeel van de beoordeling.
3. Europese cloudproviders worden aantrekkelijker
De CADA maakt het voor Europese cloudproviders als KPN/STACKIT, OVHcloud, Scaleway en Hetzner eenvoudiger om aan de hogere niveaus te voldoen. Zij hebben van nature Europees eigendom en operationele controle. Voor een SaaS-aanbieder die levert aan de publieke sector kan het aantrekkelijk worden om (deels) naar een Europese provider te migreren — niet omdat AWS slecht is, maar omdat het de compliance-last verlaagt.
4. Contractuele implicaties
Verwacht dat overheidsinkopers en NIS2-organisaties de CADA-niveaus gaan opnemen in hun inkoopvoorwaarden en leveranciersvragenlijsten. Als je software levert aan de publieke sector, moet je straks kunnen onderbouwen op welk niveau jouw cloudinfrastructuur opereert.
CADA in de context van het Europese regellandschap
De CADA staat niet op zichzelf. Het is onderdeel van een breder web van Europese digitale wetgeving dat steeds meer impact heeft op software en clouddiensten:
- NIS2 / Cyberbeveiligingswet — regelt cybersecurity-eisen voor organisaties in essentiële en belangrijke sectoren. De CADA bouwt voort op NIS2 door cloudsoevereiniteit toe te voegen als beoordelingscriterium.
- EU Data Act — regelt dataportabiliteit en het recht om van cloudprovider te wisselen. De Data Act zorgt dat je weg kunt; de CADA bepaalt bij wie je terecht kunt.
- EU AI Act — regelt de veiligheid en transparantie van AI-systemen. De CADA adresseert de infrastructuurlaag waarop die AI-systemen draaien.
- Cyber Resilience Act — stelt security-eisen aan digitale producten. Samen met de CADA ontstaat een keten van eisen van product tot infrastructuur.
Op 7 juli 2026 presenteerde de Europese Commissie bovendien een EU Action Plan on Cybersecurity and AI dat €200 miljoen investeert in de kruising van cybersecurity en AI. De boodschap is helder: Europa wil niet alleen regels stellen, maar ook de infrastructuur en capaciteit opbouwen om die regels waar te maken.
Wat kun je nu al doen?
De CADA treedt gefaseerd in werking, maar dat betekent niet dat je moet wachten. Vier stappen die je nu al kunt zetten:
1. Breng je cloudafhankelijkheden in kaart
Maak een overzicht van alle cloudproviders, subverwerkers en SaaS-diensten waar je organisatie op draait. Noteer bij elke dienst: waar staat de data, wie is de provider, onder welke jurisdictie valt die provider? Dit is dezelfde inventarisatie die je nodig hebt voor NIS2-leveranciersbeoordelingen.
2. Beoordeel je positie in de soevereiniteitsketen
Als je software levert aan overheden of aan organisaties in NIS2-sectoren, bepaal dan op welk CADA-niveau je cloudinfrastructuur opereert. De meeste Nederlandse softwarebedrijven die op AWS EU-regio's draaien zitten op niveau 1. Dat is voor het gros van de use cases voldoende — maar weet het, zodat je het kunt onderbouwen.
3. Evalueer Europese alternatieven
Je hoeft niet morgen te migreren, maar het is slim om Europese cloudproviders als optie te evalueren — vooral als je merkt dat overheidsklanten vaker naar soevereiniteit vragen. KPN/STACKIT in Nederland, OVHcloud en Scaleway in Frankrijk, en Hetzner in Duitsland zijn volwassen alternatieven die van nature aan hogere CADA-niveaus voldoen.
4. Houd je architectuur provider-agnostisch
De beste voorbereiding is een architectuur die niet vastzit aan één cloudprovider. Gebruik abstractielagen, vermijd proprietaire diensten waar standaardalternatieven bestaan, en zorg dat migratie naar een andere provider technisch haalbaar is. Dat is niet alleen CADA-verstandig — het is ook goed Data Act-compliant en verstandige engineering.
Kritiek en kanttekeningen
De CADA is niet zonder controverse. De Computer & Communications Industry Association (CCIA) waarschuwt dat de hogere niveaus de facto discrimineren tegen niet-Europese providers en de Europese markt kunnen fragmenteren. Het International Center for Law & Economics noemt de wet een ambitieus maar fragiel project dat riskeert autarkie boven innovatie te plaatsen.
Die kritiek is niet ongegrond. De Europese cloudindustrie heeft op dit moment niet de capaciteit om alle overheidswerklasten op te vangen — de CADA spreekt niet voor niets over het verdrievoudigen van de EU-datacentercapaciteit. En de hogere niveaus stellen eisen waaraan zelfs sommige Europese providers niet zonder meer voldoen.
Tegelijkertijd is de realiteit dat de geopolitieke context — exportcontrole op AI-modellen, de Amerikaanse overheid die Europese AI-diensten kan uitschakelen, en de CLOUD Act — het soevereiniteitsvraagstuk niet langer theoretisch maakt. De CADA is het Europese antwoord op dat risico.
Wat Coding Agency adviseert
Wij bouwen software die draait op AWS via Laravel Vapor, bewust in EU-regio's. Dat voldoet aan CADA-niveau 1 en is voor de overgrote meerderheid van onze klanten meer dan voldoende.
Voor klanten die leveren aan de publieke sector of in NIS2-kritieke sectoren adviseren we een gesprek over cloudstrategie: welk niveau past bij jouw situatie, en hoe richt je je architectuur zo in dat je flexibel blijft als de eisen verscherpen? Dat gesprek begint niet bij technologie, maar bij de vraag: met welke data werk je, en voor wie?