EDSO · Europäischer Standard · Zertifizierung in vier Domänen

Digitale Souveränität nachweisen. Prüfbar. Europäisch.

EDSO ist der europäische Standard für digitale Souveränität — mit prüfbarer Zertifizierung in vier Bewertungsdomänen (D1–D4) und vier Reifegraden (L0–L3). Anerkannt als Referenzrahmen in europäischen Vergabe- und Compliance-Kontexten.

Self-Assessment starten· 20 Min · kostenfrei Positionspapier (PDF)Strategiegespräch buchen

European Digital Sovereignty Standard · Standardentwicklung und Prüfung strukturell getrennt

Warum EDSO in Vergaben, Audits und Aufsichtskontexten wirkt

NIS2 · DORA · EUCS · AI Act: Regulatorisch anschlussfähig
Prüfbar statt deklarativ: Audit durch unabhängige Prüfstellen
Öffentliches Register: Verifizierbar für Auftraggeber
Vergabefähig: Einsetzbar als B-Kriterium (MEAT)

Drei Pfade

Welche Rolle haben Sie?

EDSO adressiert drei Gruppen mit unterschiedlichen Einstiegspfaden. Wählen Sie Ihre Rolle für die jeweils passenden Schritte.

Anbieter

Cloud-, SaaS- und Plattformanbieter, die digitale Souveränität gegenüber Auftraggebern und Aufsichtsbehörden prüfbar nachweisen wollen.

Zertifizierung für Anbieter

Auftraggeber

Öffentliche Hand und regulierte Branchen, die EDSO als Referenzrahmen in Ausschreibungen und Lieferantenbewertungen verwenden.

EDSO in Vergaben nutzen

Prüfstellen

Auditoren und Beratungshäuser, die als anerkannte Prüfstelle EDSO-Audits durchführen wollen.

Prüfer-Programm

Warum jetzt

Drei Kräfte treffen aufeinander.

Regulatorik: NIS2, DORA und der EU AI Act fordern belastbare Nachweise in der IT-Lieferkette.
Geopolitik: US CLOUD Act und vergleichbare Regelungen machen Drittstaat-Abhängigkeiten zum Unternehmensrisiko.
Markt: Einkäufer fordern nachweisbare europäische Souveränität — ein einheitlicher Standard fehlt bislang.

Konsequenz: Anbieter ohne prüfbaren Nachweis fallen zunehmend aus Vergaben heraus — pauschale Souveränitätsversprechen genügen den neuen regulatorischen und auftraggeberseitigen Anforderungen nicht mehr.

Was EDSO konkret bewertet

Vier Domänen. Vier Level.

Jede Organisation erhält eine präzise Standortbestimmung über vier Domänen und einen definierten Entwicklungspfad über vier Level (L0–L3).

Bewertungsdomänen

Rechtliche & organisatorische Transparenz

Eigentum, Jurisdiktion, Subunternehmer, extraterritoriale Zugriffsrechte.

Operative Transparenz & Datenkontrolle

Schlüsselhoheit, Datenresidenz, privilegierter Zugriff, Log-Integrität.

Technische Souveränität & Interoperabilität

Offene Standards, SBOM, dokumentierte Exit-Pfade, Migrationsfähigkeit.

Nachhaltigkeit & Lieferketten-Resilienz

Hardware- und Software-Lieferkette, geopolitische Choke Points, EU-Alternativen.

Reifegrade

Undurchsichtige Blackbox

Keine prüfbare Transparenz. Strukturell ungeeignet für souveränitätskritische Workloads.

Fundament der Transparenz

Eigentum, Architektur und Lieferkette dokumentiert und prüfbar. Einsatz: nicht-kritische Workloads.

Operative Kontrolle

Schlüsselhoheit, Zugriffsentzug, Datenstandort und Exit-Pfad nachgewiesen. Einsatz: NIS2-/DORA-pflichtige Funktionen.

Strukturelle Souveränität

Strukturelle EU-Unabhängigkeit über den gesamten Stack. Einsatz: KRITIS und höchste Schutzziele.

Mein Level simulieren Standard im Detail

Der Weg zur Zertifizierung

Vier Schritte. Klar definierter Aufwand.

Schritt 01
Self-Assessment
Online-Fragebogen zur Standortbestimmung. Liefert eine fundierte Indikation des erreichbaren Reifegrads.
Dauer
ca. 20 Min.
Kosten
kostenfrei
Schritt 02
Antrag & Scoping
Festlegung des Prüfumfangs gemeinsam mit einer akkreditierten Prüfstelle. Verbindliche Angebotskalkulation.
Dauer
1–2 Wochen
Kosten
nach Aufwand
Schritt 03
Audit & Bewertung
Domänen-Audit nach EDSO-Referenzwerk. Prüfung von Nachweisen, Architektur und Verträgen.
Dauer
8–16 Wochen
Kosten
siehe Gebühren
Schritt 04
Zertifikat & Listung
Ausstellung des maschinenlesbaren Zertifikats und Eintrag in das öffentliche EDSO-Register.
Dauer
≤ 2 Wochen
Kosten
Jahresgebühr

Zertifizierungsantrag starten Gebührenordnung

Was Kunden davon haben

Konkreter Nutzen — präzise, prüfbar, einsetzbar.

Prüfbarer Nachweis in EU-Vergaben (MEAT-fähiges B-Kriterium).
Reduktion regulatorischer Auditlast durch anerkannten Referenzrahmen.
Listung im öffentlichen EDSO-Register — Sichtbarkeit für Auftraggeber.
Maschinenlesbares Zertifikat, kryptografisch verifizierbar.
SBOM-, HYOK- und Exit-Leitlinien als unmittelbare Beiprodukte.
Klarer Entwicklungspfad von L0 zu L3 — Stufen statt Pauschalurteile.

Das ist EDSO

Bewertungsrahmen für digitale Abhängigkeiten
Transparenzinstrument für Vergaben
Governance-Instrument für C-Level

Das ist EDSO nicht

Politisches Signalinstrument
IT-Sicherheitszertifizierung (z. B. ISO 27001)
Beratungsframework

Pionierpartner-Programm · limitiert auf 10 Unternehmen

Den Standard mitprägen, bevor der Markt folgt.

Pionierpartner formen den EDSO-Gründungsbeirat, nehmen Einfluss auf Kriterien und Gewichtungen und erhalten die L1-Prüfung inklusive. Gründungskonditionen sind für drei Jahre fixiert.

Option A

4.950 EUR netto

einmalig

Option B

12 × 500 EUR netto

monatlich

Leistungen (beide Optionen identisch): L1-Prüfung inklusive (bei Bestehen inkl. Jahresgebühr), Sitz im Gründungsbeirat, Titel „Pionierpartner“, Mitgestaltung von Kriterien und Roadmap.

Pionierpartner werden Strategiegespräch buchen

Trägerschaft & Neutralität

Strukturell getrennt: Standardentwicklung, Prüfung, Trägerschaft.

EDSO wird als neutrale, eigenständige Marke von der Mission TOP 5 GmbH (München) getragen. Standardentwicklung (Beirat) und Prüfung (Audits) sind strikt von Trägerschaft und Vermarktung getrennt. Initiatoren: Dan Bauer und Oliver Lucas.

Unterstützt von: Prof. Dr. C. Stummeyer (THI), H. Heesen, St. Willkommer (tech-division), H. Meischner (FACT-Finder), St. Schultz (PAYBACK), C. Hagemeyer (Scale Commerce), B. Scheffer (Websale), R. Hünermann (Odoscope), U. Neumeier, A. Ertl, T. Endres u. v. m.

Positionspapier (PDF)

Häufige Fragen

Was Entscheider zuerst wissen wollen.

Wie unterscheidet sich EDSO vom European Sovereign Stack Standard (ES³)?: ES³ wurde von Schwarz Digits herausgegeben — also einem Cloud-Anbieter, der selbst im bewerteten Markt steht. EDSO ist als unabhängige Organisation konzipiert, mit Multi-Stakeholder-Beirat aus Wirtschaft, Zivilgesellschaft, Wissenschaft und öffentlicher Hand. Inhaltlich orientieren sich beide am EU Cloud Sovereignty Framework und nutzen ein vierstufiges Reifegradmodell mit Minimum-Prinzip; EDSO bewertet in vier managementtauglichen Domänen (D1–D4) statt neun Dimensionen, legt die vollständige Methodik öffentlich offen und schließt keine Anbieter — auch keine Hyperscaler — per Definition aus, sondern macht Unterschiede sichtbar. ES³ ist damit ein möglicher Zertifizierungskandidat unter EDSO, ebenso wie SecNumCloud, BSI C5 oder DigiD.
Wie unterscheidet sich EDSO von ISO 27001, BSI C5 oder EUCS?: ISO 27001, C5 und EUCS adressieren IT-Sicherheit. EDSO adressiert digitale Souveränität — also Datenhoheit, Lieferkette, Rechtsraum und Exit-Fähigkeit. Beides ist komplementär.
Wie lange dauert eine Zertifizierung?: Self-Assessment in ca. 20 Minuten. Vom Antrag bis zum ausgestellten Zertifikat typischerweise 3–6 Monate, abhängig von Reifegrad und Scoping.
Wer führt die Prüfung durch?: Akkreditierte, von der Trägerschaft strukturell unabhängige Prüfstellen. Standardentwicklung und Prüfung sind organisatorisch getrennt.
Was passiert, wenn ein Reifegrad nicht erreicht wird?: Sie erhalten einen detaillierten Befund mit Lücken und konkreten Maßnahmen. Eine Re-Zertifizierung ist ohne neuerlichen vollen Audit-Aufwand möglich.
Was kostet eine Zertifizierung?: Self-Assessment ist kostenfrei. Audit-Kosten richten sich nach Reifegrad und Umfang; pauschale Jahresgebühren sind in der Gebührenordnung dokumentiert.

Alle FAQ ansehen

Nächster Schritt