Digitale Souveränität nachweisen. Prüfbar. Europäisch.

Warum EDSO in Vergaben, Audits und Aufsichtskontexten wirkt

Warum EDSO in Vergaben, Audits und Aufsichtskontexten wirkt

NIS2 · DORA · EUCS · AI Act

Regulatorisch anschlussfähig

Domänen und Nachweise sind auf die zentralen EU-Rahmenwerke gemappt.

Prüfbar statt deklarativ

Audit durch unabhängige Prüfstellen

Standardentwicklung und Prüfung strukturell getrennt. Kein Self-Labeling.

Öffentliches Register

Verifizierbar für Auftraggeber

Zertifikate sind maschinenlesbar und über Public Key prüfbar.

Vergabefähig

Einsetzbar als B-Kriterium (MEAT)

Nutzbar als objektives Zuschlagskriterium in europäischen Vergaben.

Warum jetzt

Drei Kräfte treffen aufeinander.

Regulatorik

NIS2, DORA und der EU AI Act fordern belastbare Nachweise in der IT-Lieferkette.

Geopolitik

US CLOUD Act und vergleichbare Regelungen machen Drittstaat-Abhängigkeiten zum Unternehmensrisiko.

Markt

Einkäufer fordern nachweisbare europäische Souveränität — ein einheitlicher Standard fehlt bislang.

Konsequenz: Anbieter ohne prüfbaren Nachweis fallen zunehmend aus Vergaben heraus — pauschale Souveränitätsversprechen genügen den neuen regulatorischen und auftraggeberseitigen Anforderungen nicht mehr.

Der Weg zur Zertifizierung

Vier Schritte. Klar definierter Aufwand.

1. Schritt 01

   Self-Assessment

   Strukturierter Online-Fragebogen als Prüfmodus der Zertifizierungsstufe L1 (EU-aligned).

   Dauer

   ca. 20 Min.

   Kosten

   500 €/Monat

2. Schritt 02

   Antrag & Scoping

   Festlegung des Prüfumfangs gemeinsam mit einer akkreditierten Prüfstelle. Verbindliche Angebotskalkulation.

   Dauer

   1–2 Wochen

   Kosten

   nach Aufwand

3. Schritt 03

   Audit & Bewertung

   Domänen-Audit nach EDSO-Referenzwerk. Prüfung von Nachweisen, Architektur und Verträgen.

   Dauer

   8–16 Wochen

   Kosten

   nach Aufwand

4. Schritt 04

   Zertifikat & Listung

   Ausstellung des maschinenlesbaren Nachweises gemäß erreichtem Reifegrad (L1–L4) und Eintrag des zertifizierten Services in das öffentliche EDSO-Register.

   Dauer

   ≤ 2 Wochen

   Kosten

   nach Aufwand

Häufige Fragen

Was Entscheider zuerst wissen wollen.

Wie unterscheidet sich EDSO vom European Sovereign Stack Standard (ES³)?

ES³ wurde von Schwarz Digits herausgegeben — also einem Cloud-Anbieter, der selbst im bewerteten Markt steht. EDSO ist als unabhängige Organisation konzipiert, mit Multi-Stakeholder-Beirat aus Wirtschaft, Zivilgesellschaft, Wissenschaft und öffentlicher Hand. Inhaltlich orientieren sich beide am EU Cloud Sovereignty Framework und nutzen ein vierstufiges Reifegradmodell mit Minimum-Prinzip; EDSO bewertet in sechs managementtauglichen Prüfdomänen (D1–D6) statt neun Dimensionen, legt die vollständige Methodik öffentlich offen und schließt keine Anbieter — auch keine Hyperscaler — per Definition aus, sondern macht Unterschiede sichtbar. ES³ ist damit ein möglicher Zertifizierungskandidat unter EDSO, ebenso wie SecNumCloud, BSI C5 oder DigiD.

Wie unterscheidet sich EDSO von ISO 27001, BSI C5 oder EUCS?

ISO 27001, C5 und EUCS adressieren IT-Sicherheit. EDSO adressiert digitale Souveränität — also Datenhoheit, Lieferkette, Rechtsraum und Exit-Fähigkeit. Beides ist komplementär.

Wie lange dauert eine Zertifizierung?

Self-Assessment in ca. 20 Minuten. Vom Antrag bis zum ausgestellten Zertifikat typischerweise 3–6 Monate, abhängig von Reifegrad und Scoping.

Wer führt die Prüfung durch?

Akkreditierte, von der Trägerschaft strukturell unabhängige Prüfstellen. Standardentwicklung und Prüfung sind organisatorisch getrennt.

Was passiert, wenn ein Reifegrad nicht erreicht wird?

Sie erhalten einen detaillierten Befund mit Lücken und konkreten Maßnahmen. Eine Re-Zertifizierung ist ohne neuerlichen vollen Audit-Aufwand möglich.

Was kostet eine Zertifizierung?

Die L1-Zertifizierung (EU-aligned) auf Basis des strukturierten Self-Assessments kostet 500 €/Monat und führt bei positivem Ergebnis zur Listung im öffentlichen EDSO-Register. Die höheren Reifegrade L2 (externes Basis-Audit), L3 (vertieftes externes Audit) und L4 (vollständige Zertifizierung) werden nach Aufwand kalkuliert und ausschließlich durch akkreditierte Prüfstellen durchgeführt.

Wie lange ist ein EDSO-Zertifikat gültig?

Ein EDSO-Zertifikat ist zwölf Monate gültig; danach erfolgt eine verkürzte Re-Zertifizierung. Bei strukturellen Änderungen — etwa Eigentümerwechsel, Verlagerung von Hosting-Standorten oder neuen Subunternehmern — besteht eine sofortige Meldepflicht, damit das ausgewiesene Level jederzeit belastbar bleibt.

Gibt es K.-o.-Kriterien, die eine Zertifizierung ausschließen?

Ja. In D1 (Juristische Verortung) führen ein fehlender EU/EWR-Rechtssitz, eine intransparente Eigentümerstruktur oder ein nachweisbarer Drittstaat-Kontrollzugriff zur Ablehnung. In D5 (Resilienz und Exit-Fähigkeit) begrenzt eine fehlende oder nicht dokumentierte Exit-Strategie das erreichbare Level — unabhängig vom Ergebnis in anderen Domänen. Diese Kriterien sind nicht durch hohe Werte an anderer Stelle kompensierbar.

Welche vier Reifegrade gibt es — und wann ist welcher relevant?

L1 EU-aligned ist der strukturierte Self-Assessment-Einstieg für sensible Standardprojekte (indikative Selbsteinschätzung, kein Audit). L2 EU-sovereign ist das externe Basis-Audit durch eine akkreditierte Prüfstelle für regulierte Auftraggeber. L3 Critical Sovereignty ist das vertiefte externe Audit für KRITIS-nahe Projekte. L4 Strategic Sovereignty ist die vollständige Zertifizierung für höchste Anforderungen, insbesondere in öffentlichen Aufträgen. Höhere Reifegrade setzen die Erfüllung aller darunterliegenden voraus.

Strebt EDSO eine offizielle Normierung an?

Ja. EDSO ist als privatwirtschaftlicher Standard gestartet, mit dem Entwicklungspfad zur DIN-SPEC als Vorstufe zu einer offiziellen Norm. Der Einreichungsprozess ist für 2026/2027 vorgesehen. Spezifikation und Methodik werden öffentlich gepflegt, damit sie institutionell anschlussfähig bleiben.