EDSO — European Digital Sovereignty Standard

EDSO · Standard européen · certification sur six domaines d'évaluation et quatre niveaux de maturité

Démontrer la souveraineté numérique. Auditable. Européenne.

EDSO est le standard européen de la souveraineté numérique — avec une certification auditable sur six domaines d'évaluation (D1–D6) et quatre niveaux de maturité (L1–L4). Les six domaines constituent le profil de souveraineté d'un fournisseur. Les quatre niveaux définissent la profondeur de l'audit et la robustesse des preuves exigées.

Démarrer l'auto-évaluation· 20 minRéserver un entretien stratégique

European Digital Sovereignty Standard · Élaboration du standard et évaluation de la conformité structurellement séparées

Pourquoi EDSO fonctionne dans la commande publique, les audits et la supervision

Pourquoi EDSO fonctionne dans la commande publique, les audits et la supervision

NIS2 · DORA · EUCS · AI Act
Aligné avec la réglementation

Les domaines et les preuves sont cartographiés sur les principaux cadres réglementaires de l'UE.

Auditable plutôt que déclaratif
Audit par des organismes d'évaluation indépendants

Élaboration du standard et évaluation de la conformité structurellement séparées. Pas d'auto-labellisation.

Registre public
Vérifiable pour les acheteurs

Les certificats sont lisibles par machine et vérifiables par clé publique.

Compatible avec la commande publique
Utilisable comme critère d'attribution MEAT

Utilisable comme critère d'attribution objectif dans les marchés publics européens.

Trois parcours

Quel est votre rôle ?

EDSO s'adresse à trois groupes avec des points d'entrée distincts. Sélectionnez votre rôle pour les étapes correspondantes.

Fournisseurs

Fournisseurs de services cloud, SaaS et de plateformes souhaitant démontrer leur souveraineté numérique de manière auditable aux acheteurs et aux autorités de supervision.

Certification pour fournisseurs

Organismes d'évaluation

Auditeurs et cabinets de conseil souhaitant réaliser des audits EDSO en tant qu'organismes d'évaluation reconnus.

Programme évaluateurs

Pourquoi maintenant

Trois forces convergent.

Réglementation
NIS2, DORA et l'AI Act exigent des preuves robustes sur l'ensemble de la chaîne d'approvisionnement informatique.
Géopolitique
Le US CLOUD Act et des régimes comparables transforment les dépendances aux pays tiers en risque d'entreprise.
Marché
Les acheteurs exigent une souveraineté européenne démontrable — un standard unifié faisait jusqu'ici défaut.

Conséquence : les fournisseurs sans preuve auditable sont de plus en plus écartés des appels d'offres — les promesses générales de souveraineté ne suffisent plus aux nouvelles exigences réglementaires et acheteurs.

Ce qu'EDSO évalue concrètement

Six domaines d'évaluation. Quatre paliers de certification.

Les domaines d'évaluation définissent ce qui est évalué — ensemble, ils forment le profil de souveraineté d'un fournisseur. Les niveaux de maturité définissent la profondeur et le caractère contraignant de l'évaluation, et donc la force de la preuve.

Six domaines d'évaluation (D1–D6)

D1

Juristische Verortung

Eigentum, Jurisdiktion, Konzernsteuerung, extraterritoriale Zugriffsrechte.

D2

Infrastruktur

Standorte, Subunternehmerkette, Betriebs- und Supportorganisation.

D3

Datenhoheit

Schlüsselhoheit, privilegierte Zugriffe, Log-Integrität, Anbieter-Vertraulichkeit.

D4

Lieferkette

Hardware- und Software-Lieferkette, geopolitische Choke Points, EU-Alternativen.

D5

Resilienz & Exit-Fähigkeit

Offene Standards, dokumentierte und getestete Exit-Pfade, RTO/RPO, Migrationsfähigkeit.

D6

Governance

Verantwortung auf Leitungsebene, ISMS-Integration, Eskalationswege, Transparenzbericht.

Quatre niveaux de maturité (L1–L4)

L1

EU-aligned

Auto-évaluation structurée. Siège juridique UE, transparence minimale, divulgation des sous-traitants majeurs. Usage : projets standards sensibles.

L2

EU-sovereign

Audit externe de base par un organisme d'évaluation accrédité. Gouvernance UE, résidence des données UE contractuelle, matrice de dépendances complète. Usage : acheteurs régulés.

L3

Critical Sovereignty

Audit externe approfondi. Maîtrise des clés, stratégie de sortie démontrable, chaîne d'approvisionnement auditée. Usage : infrastructures critiques, fonctions soumises à NIS2/DORA.

L4

Strategic Sovereignty

Certification complète. Pilotage des risques au niveau du conseil, scénarios de sortie testés, chaîne d'approvisionnement résiliente UE. Usage : objectifs de protection les plus élevés, pilotage d'infrastructures critiques.

Simuler mon niveauStandard en détail

Le parcours de certification

Quatre étapes. Effort clairement défini.

  1. Étape 01

    Auto-évaluation

    Questionnaire en ligne structuré comme mode de preuve du niveau de certification L1 (EU-aligned).

    Durée
    env. 20 min.
    Coût
    500 €/mois
  2. Étape 02

    Demande et cadrage

    Définition du périmètre d'audit avec un organisme d'évaluation accrédité. Devis ferme.

    Durée
    1 à 2 semaines
    Coût
    selon l'effort
  3. Étape 03

    Audit et évaluation

    Audit par domaine selon le référentiel EDSO. Examen des preuves, de l'architecture et des contrats.

    Durée
    8 à 16 semaines
    Coût
    selon l'effort
  4. Étape 04

    Certificat et inscription

    Délivrance du certificat lisible par machine selon le niveau atteint (L1–L4) et inscription du service certifié au registre public EDSO.

    Durée
    ≤ 2 semaines
    Coût
    selon l'effort
Démarrer la demande de certification Grille tarifaire

Bénéfices pour les clients

Une valeur concrète — précise, auditable, utilisable.

  • Preuve auditable dans les marchés publics de l'UE (critère d'attribution compatible MEAT).
  • Réduction de la charge d'audit réglementaire grâce à un cadre de référence reconnu.
  • Inscription au registre public EDSO — visibilité auprès des acheteurs.
  • Certificat lisible par machine, vérifiable cryptographiquement.
  • Lignes directrices SBOM, HYOK et de sortie comme produits dérivés immédiats.
  • Trajectoire d'évolution claire de L1 à L4 — des niveaux plutôt que des verdicts globaux.

EDSO est

  • Un cadre d'évaluation des dépendances numériques
  • Un instrument de transparence pour la commande publique
  • Un instrument de gouvernance pour la direction générale

EDSO n'est pas

  • Un instrument de signal politique
  • Une certification de sécurité informatique (p. ex. ISO 27001)
  • Un cadre de conseil

Programme Partenaires Pionniers · limité à 10 entreprises

Façonner le standard avant que le marché ne suive.

Les Partenaires Pionniers composent le conseil fondateur d'EDSO, influencent les critères et leurs pondérations et bénéficient de l'évaluation L1 (auto-évaluation structurée) incluse. Les conditions fondatrices sont fixées pour trois ans.

Option A

4 950 EUR HT

paiement unique

Option B

12 × 500 EUR HT

mensuel

Prestations (identiques pour les deux options) : certification L1 (EU-aligned) sur la base de l'auto-évaluation structurée incluse (redevance annuelle incluse en cas de réussite et inscription au registre public EDSO), siège au conseil fondateur, titre « Partenaire Pionnier », co-élaboration des critères et de la feuille de route.

Devenir Partenaire Pionnier Réserver un entretien stratégique

Questions fréquentes

Ce que les décideurs veulent savoir en premier.

En quoi EDSO se distingue-t-il de l'European Sovereign Stack Standard (ES³) ?
ES³ a été publié par Schwarz Digits — un fournisseur cloud qui opère lui-même sur le marché évalué. EDSO est conçu comme une organisation indépendante, avec un conseil de surveillance multi-parties prenantes regroupant industrie, société civile, monde académique et secteur public. Sur le fond, les deux se réfèrent à l'EU Cloud Sovereignty Framework et utilisent un modèle de maturité à quatre niveaux avec principe du minimum ; EDSO évalue sur six domaines orientés direction générale (D1–D6) plutôt que neuf dimensions, publie l'intégralité de sa méthodologie et n'exclut par définition aucun fournisseur — y compris les hyperscalers — mais rend les différences visibles. ES³ peut ainsi être un candidat à la certification sous EDSO, au même titre que SecNumCloud, BSI C5 ou DigiD.
En quoi EDSO se distingue-t-il d'ISO 27001, BSI C5 ou EUCS ?
ISO 27001, C5 et EUCS traitent de sécurité informatique. EDSO traite de souveraineté numérique — c'est-à-dire de maîtrise des données, chaîne d'approvisionnement, juridiction et capacité de sortie. Les deux sont complémentaires.
Combien de temps prend une certification ?
Auto-évaluation en environ 20 minutes. De la demande au certificat délivré, généralement 3 à 6 mois, selon le niveau de maturité et le cadrage.
Qui réalise l'audit ?
Des organismes d'évaluation accrédités, structurellement indépendants de l'organisation parrainante. Élaboration du standard et évaluation sont organisationnellement séparées.
Que se passe-t-il si un niveau de maturité n'est pas atteint ?
Vous recevez un rapport détaillé avec les écarts et des mesures concrètes. Une re-certification est possible sans répéter l'effort d'audit complet.
Combien coûte une certification ?
La certification L1 (EU-aligned) basée sur l'auto-évaluation structurée coûte 500 € par mois et, en cas de résultat positif, donne lieu à une inscription au registre public EDSO. Les niveaux supérieurs L2 (audit externe de base), L3 (audit externe approfondi) et L4 (certification complète) sont facturés selon l'effort et sont réalisés exclusivement par des organismes d'évaluation accrédités.
Wie lange ist ein EDSO-Zertifikat gültig?
Ein EDSO-Zertifikat ist zwölf Monate gültig; danach erfolgt eine verkürzte Re-Zertifizierung. Bei strukturellen Änderungen — etwa Eigentümerwechsel, Verlagerung von Hosting-Standorten oder neuen Subunternehmern — besteht eine sofortige Meldepflicht, damit das ausgewiesene Level jederzeit belastbar bleibt.
Gibt es K.-o.-Kriterien, die eine Zertifizierung ausschließen?
Ja. In D1 (Juristische Verortung) führen ein fehlender EU/EWR-Rechtssitz, eine intransparente Eigentümerstruktur oder ein nachweisbarer Drittstaat-Kontrollzugriff zur Ablehnung. In D5 (Resilienz und Exit-Fähigkeit) begrenzt eine fehlende oder nicht dokumentierte Exit-Strategie das erreichbare Level — unabhängig vom Ergebnis in anderen Domänen. Diese Kriterien sind nicht durch hohe Werte an anderer Stelle kompensierbar.
Welche vier Reifegrade gibt es — und wann ist welcher relevant?
L1 EU-aligned ist der strukturierte Self-Assessment-Einstieg für sensible Standardprojekte (indikative Selbsteinschätzung, kein Audit). L2 EU-sovereign ist das externe Basis-Audit durch eine akkreditierte Prüfstelle für regulierte Auftraggeber. L3 Critical Sovereignty ist das vertiefte externe Audit für KRITIS-nahe Projekte. L4 Strategic Sovereignty ist die vollständige Zertifizierung für höchste Anforderungen, insbesondere in öffentlichen Aufträgen. Höhere Reifegrade setzen die Erfüllung aller darunterliegenden voraus.
Strebt EDSO eine offizielle Normierung an?
Ja. EDSO ist als privatwirtschaftlicher Standard gestartet, mit dem Entwicklungspfad zur DIN-SPEC als Vorstufe zu einer offiziellen Norm. Der Einreichungsprozess ist für 2026/2027 vorgesehen. Spezifikation und Methodik werden öffentlich gepflegt, damit sie institutionell anschlussfähig bleiben.
Voir toutes les FAQ

Prochaine étape

Deux parcours clairs — choisissez celui qui convient.

Démarrer l'auto-évaluation

Environ 20 minutes. Vous obtenez une première indication étayée de votre niveau de maturité.

Commencer

Réserver un entretien stratégique

Positionnement personnel sur le niveau de maturité adapté et le programme Partenaires Pionniers.

Demander un rendez-vous