• Beratung anfragen
  • Newsletter
  • Deutsch Deutsch Deutsch de
  • English English Englisch en
  • Italiano Italiano Italienisch it
  • Nederlands Nederlands Niederländisch nl
Greenbone
  • Produkte
    • OPENVAS BASIC
      • OPENVAS BASIC: Bestellung
    • OPENVAS SCAN
    • Upcoming Solutions
      • OPENVAS SECURITY INTELLIGENCE
      • OPENVAS AI
    • Lösungen für Ihre Branche
      • Bildungssektor
      • Gesundheitssektor
      • Öffentlicher Sektor
    • Technologie
      • Feedvergleich
      • Produktvergleich
        • OPENVAS vs. Nessus
      • Roadmap & Lifecycle
  • Service & Support
    • Technischer Support
    • Selflearning-Kurse
    • Dokumente
  • Events
    • Cybersec Europe 2026
    • Webinare
  • Partner
    • MSSP
  • Über Greenbone
    • Karriere
    • Kontakt
  • Blog
    • Know-how
      • Cyberangriffe und Verteidigung
      • Cyber Defense Security
      • Cyber Resilience Act
      • Datensicherheit
      • Digital Operational Resilience Act
      • IT- und Informationssicherheit
      • NIS2 Richtlinie
      • Open-Source-Vulnerability Management
      • Schwachstellenmanagement
      • Schwachstellen im Zeitverlauf
      • Zeitleiste Angriffsvektoren
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
  • Produkte
    • OPENVAS BASIC
      • OPENVAS BASIC: Bestellung
    • OPENVAS SCAN
    • Upcoming Solutions
      • OPENVAS SECURITY INTELLIGENCE
      • OPENVAS AI
    • Lösungen für Ihre Branche
      • Bildungssektor
      • Gesundheitssektor
      • Öffentlicher Sektor
    • Technologie
      • Feedvergleich
      • Produktvergleich
        • OPENVAS vs. Nessus
      • Roadmap & Lifecycle
    • IT-Schutz anfragen
  • Service & Support
    • Technischer Support
    • Selflearning-Kurse
    • Dokumente
  • Events
    • Cybersec Europe 2026
    • Webinare
  • Partner
    • MSSP
  • Über Greenbone
    • Karriere
    • Kontakt
    • Newsletter
  • Blog
    • Know-how
      • Cyberangriffe und Verteidigung
      • Cyber Defense Security
      • Cyber Resilience Act
      • Datensicherheit
      • Digital Operational Resilience Act
      • IT- und Informationssicherheit
      • NIS2 Richtlinie
      • Open-Source-Vulnerability Management
      • Schwachstellenmanagement
      • Schwachstellen im Zeitverlauf
      • Zeitleiste Angriffsvektoren
  • Deutsch
  • Englisch
  • Italienisch
  • Niederländisch
Greenbone AG

Souveränität war ein Versprechen. Jetzt wird sie zum Prüfkriterium.

Blog

EU-Gebäude als Symbol digitaler Souveränität – Greenbone erklärt die CADA-Souveränitätsstufen

Am 3. Juni 2026 hat die Europäische Kommission das Cloud and AI Development Act (CADA) vorgeschlagen – das Herzstück ihres neuen Tech Sovereignty Package. Im Kern: ein vierstufiges Modell, mit dem öffentliche Auftraggeber künftig bewerten sollen, wie souverän ein Cloud-Anbieter wirklich ist. Nicht nur, wo die Daten liegen. Sondern wem der Anbieter gehört, wer ihn kontrolliert, und welchem Rechtssystem er unterliegt.

Noch ist CADA ein Vorschlag, kein geltendes Recht, aber die Richtung ist bemerkenswert klar formuliert. Kommissions-Vizepräsidentin Henna Virkkunen hat es öffentlich benannt: Anbieter, die dem US CLOUD Act unterliegen, werden es strukturell schwer haben, die oberen beiden Level zu erreichen – unabhängig davon, wo ihre Rechenzentren in Europa stehen. Der CLOUD Act erlaubt US-Behörden den Zugriff auf Daten von US-Unternehmen, egal wo auf der Welt diese Daten liegen. Wer diesem Gesetz unterliegt, kann „keine Einflussnahme durch einen Drittstaat“ kaum glaubhaft versprechen. Genau das ist der Test für Level 4.

Die vier Level, kurz erklärt

Die vier CADA-Souveränitätsstufen im Überblick

L1

Standort EU

Daten und Infrastruktur liegen in der EU. Keine weiteren Anforderungen an Eigentum, Personal oder Software-Lieferkette.

✓ Für US-Hyperscaler mit EU-Region erreichbar

L2

Unabhängigkeit & Transparenz

Zusätzlich: nachweisbare Unabhängigkeit von Drittstaaten und Transparenz über die gesamte Software-Lieferkette.

⚠ Abhängig von Eigentümerstruktur und Transparenzpflichten

L3

EU-Eigentum & EU-Kontrolle

Der Anbieter muss in der EU ansässig, im EU-Eigentum und unter EU-Kontrolle stehen – inklusive Anforderungen an die Staatsbürgerschaft des Personals.

✗ Unter US CLOUD Act strukturell nicht erreichbar

L4

Vollständige digitale Souveränität

Volle Transparenz und Kontrolle über die gesamte Software-Lieferkette, keine Einflussnahme durch Drittstaaten. Der höchste Grad an digitaler Unabhängigkeit, den das Regelwerk kennt.

✗ Unter US CLOUD Act strukturell nicht erreichbar

Warum das nicht bei Cloud-Infrastruktur endet

CADA ist explizit für die öffentliche Beschaffung von Cloud-Diensten geschrieben. Aber die Frage, die dahintersteckt, ist keine Cloud-spezifische Frage. Sie lautet: Wer kontrolliert die Software, die in kritischer Infrastruktur läuft – und welchem Rechtssystem ist derjenige rechenschaftspflichtig?

Diese Frage stellt sich mit derselben Berechtigung für jede sicherheitskritische Softwarekomponente. Und kaum eine Komponente sitzt tiefer im Herzen der IT-Sicherheitsarchitektur als das Vulnerability-Management-System, das weiß, wo jede Schwachstelle in der Infrastruktur eines Landes liegt.

Wer diese Software liefert, wer sie kontrolliert, wer im Zweifel gezwungen werden könnte, Zugriff zu gewähren oder zu schweigen – das ist keine akademische Frage mehr. Es ist die Frage, die CADA für Cloud-Anbieter gerade verbindlich macht.

Legt man diesen Maßstab an: Wo steht Greenbone?

Wir sind kein Cloud-Anbieter im Sinne von CADA und werden entsprechend nicht „CADA-zertifiziert“. Aber legt man dieselben Kriterien an ein IT-Sicherheitssystem an, zeigt sich ein klares Bild:

  • Kontrolle & Rechtssystem: Greenbone ist ein in Deutschland gegründetes, europäisch verankertes Unternehmen. Wir unterliegen deutschem und europäischem Recht, nicht dem US CLOUD Act.
  • Personal: Unser Entwicklungs- und Betriebsteam sitzt in Deutschland und der EU.
  • Software-Lieferkette: OPENVAS ist Open Source. Nicht „auditierbar auf Anfrage“ – sondern vollständig einsehbar, für jeden, jederzeit. Das ist eine stärkere Position als „auditable software“, wie es CADA für Level 2/3 verlangt.
  • Offenlegungspflichten: Weil wir keinem US-Recht unterliegen, gibt es keine rechtliche Konstruktion, über die wir zu stillschweigender Zusammenarbeit mit Drittstaats-Behörden gezwungen werden könnten – die Art von „hidden disclosure“, vor der CADA schützen will.

Viele etablierte Namen sind in den USA beheimatet. Diese strukturelle Tatsache macht CADA gerade zum ersten Mal messbar. Eine EU-Rechenzentrumsregion ändert daran nichts, solange das Mutterunternehmen dem CLOUD Act unterliegt.

Was das für Sie bedeutet

CADA ist noch nicht in Kraft. Aber die Kommission hat zum ersten Mal präzise definiert, was „digitale Souveränität“ konkret bedeutet – in vier überprüfbaren Stufen statt in Marketingsprache. Für Behörden, KRITIS-Betreiber und öffentliche Auftraggeber wird das absehbar zur Frage im Lastenheft.

Wer heute schon auf diesem Fundament steht, muss morgen nicht migrieren.

 

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
8. Juli 2026/von Greenbone AG
Eintrag teilen
  • Teilen auf LinkedIn
  • Per E-Mail teilen
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Greenbone AG https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Greenbone AG2026-07-08 11:27:502026-07-08 11:27:50Souveränität war ein Versprechen. Jetzt wird sie zum Prüfkriterium.

Suche

Search Search

Archiv

  • 2026
  • 2025

Newsletter

Jetzt abonnieren

OPENVAS BASIC

Unser Einstiegsprodukt

14 Tage kostenlos testen

Produkte & Lösungen

  • OPENVAS PRODUKTE
  • OPENVAS SECURITY INTELLIGENCE
  • OPENVAS SCAN
  • OPENVAS BASIC
  • OPENVAS FREE
  • OPENVAS AI
ISO9001-DE

Service & Support

  • Technischer Support
  • FAQ
  • Dokumente
  • Gewährleistung
  • Open-Source-Vulnerability Management
  • Cyber Resilience Act
ISO27001-DE

Über uns

  • Über Greenbone
  • Partner
  • MSSP
  • Lizenzinformation
  • Datenschutzerklärung
  • AGB
ISO14001-DE

Kontakt mit uns

  • Kontakt
  • Pressekontakt
  • Karriere
  • Security Response
  • Impressum
  • Grounding Page

Community

  • Community Portal
  • Community Forum
© Copyright - Greenbone AG 2020-2026
  • Link zu LinkedIn
Link to: Das fehlende Handoff: Wie KIX und Greenbone Schwachstellenscans in konkrete Maßnahmen umsetzen Link to: Das fehlende Handoff: Wie KIX und Greenbone Schwachstellenscans in konkrete Maßnahmen umsetzen Das fehlende Handoff: Wie KIX und Greenbone Schwachstellenscans in konkrete...
Nach oben scrollen Nach oben scrollen Nach oben scrollen
Kontakt
IT Schutz anfragen Kontakt aufnehmen Newsletter abonnieren Auf LinkedIn folgen