Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den „Criteria enabling Cloud Computing Autonomy“ (C3A) einen Kriterienkatalog vorgelegt, der definieren soll, wann ein Cloud-Dienst als wirklich souverän gelten kann. Angesichts wachsender Abhängigkeiten von US-amerikanischen und asiatischen Hyperscalern wie AWS, Azure oder Huawei Cloud soll das Regelwerk vor allem Behörden und Betreiber kritischer Infrastrukturen bei der Auswahl geeigneter Angebote unterstützen.
Die C3A bauen auf dem bestehenden Cloud Computing Compliance Criteria Catalogue (C5) auf und ergänzen dessen Sicherheitskriterien um den Aspekt der digitalen Souveränität. Die Kriterien sind dabei konkret gefasst: Sie regeln unter anderem, was bei einer Abkopplung vom außereuropäischen Anbieter gewährleistet sein muss, dass Mitarbeiter mit Zugang zur Cloud-Infrastruktur EU-Staatsbürger mit EU-Wohnsitz sein müssen, und definieren sogar Anforderungen für den Verteidigungsfall. Für Hochsicherheitsanwendungen wird zusätzlich ein Wohnsitz innerhalb Deutschlands verlangt.