Europa produkuje i przetwarza ogromne ilości informacji, ale wciąż w dużej mierze korzysta z infrastruktury kontrolowanej przez firmy spoza UE. Według European Data Market Monitoring Tool Europa odpowiada za ok. 20-25 proc. światowej gospodarki danych. Jednocześnie rynek usług chmurowych pozostaje zdominowany przez amerykańskich hyperskalerów, co coraz częściej wywołuje pytania o suwerenność cyfrową, bezpieczeństwo danych i ryzyko technologicznego uzależnienia od zewnętrznych dostawców.
Kto kontroluje europejskie dane?
Według danych francuskiego stowarzyszenia branży cyfrowej Numeum amerykańskie firmy odpowiadają za ok. 80 proc. rocznych wydatków Unii Europejskiej na profesjonalne usługi w chmurze, których wartość przekracza 301 mld USD. Z kolei według danych CRN oraz Synergy Research Group AWS, Microsoft Azure i Google Cloud kontrolowały w drugim kwartale 2025 r. ok. 63 proc. globalnego rynku infrastruktury chmurowej dla przedsiębiorstw.
To oznacza nie tylko gigantyczny odpływ kapitału poza Europę, ale również rosnącą zależność od dostawców działających w obcych jurysdykcjach prawnych, objętych m.in. amerykańskim CLOUD Act, który umożliwia władzom USA dostęp do danych przechowywanych przez amerykańskie firmy — niezależnie od miejsca ich fizycznego składowania.
Skala rynku rośnie błyskawicznie. Według Fortune Business Insights wartość europejskiego rynku cloud computingu wyniosła 153,39 mld USD w 2024 r. Wartość ta ma wzrosnąć do 177,14 mld USD w 2025 r., a do 2032 r. osiągnąć poziom 525,42 mld USD przy średniorocznym tempie wzrostu (CAGR) wynoszącym 16,8 proc.
Suwerenność zamiast autarkii
Debata o cyfrowej suwerenności coraz mocniej wychodzi poza środowisko ekspertów IT. W ostatnich miesiącach zaczęła być elementem głównego nurtu polityki gospodarczej i bezpieczeństwa państwa.
– Wierzymy głęboko w to, że ten local content to także rozwój polskiej myśli technologicznej i bezpieczeństwa – mówił premier Donald Tusk podczas prezentacji założeń polityki local content. Szef rządu podkreślał, że nie chodzi o budowę gospodarczej autarkii, ale o zdolność państwa do podejmowania samodzielnych decyzji dotyczących kluczowej infrastruktury i technologii.
– Nie chodzi o staromodne wyobrażenia, że będziemy w 100 proc. samowystarczalni, ale żeby gospodarka była suwerenna, żeby decyzje o tym, co produkujemy, sprzedajemy i co jest potrzebne Polsce zapadały tutaj, w Polsce – podkreślał premier.
Według Gartnera do końca dekady ponad 75 proc. przedsiębiorstw będzie posiadać własną strategię suwerenności cyfrowej. Coraz więcej organizacji zaczyna więc traktować lokalizację danych, kontrolę nad infrastrukturą i niezależność od hyperskalerów jako element zarządzania ryzykiem biznesowym i geopolitycznym.
Chmura jako nowa infrastruktura krytyczna
Eksperci Polcom zwracają uwagę, że infrastruktura chmurowa staje się dziś tym, czym jeszcze dekadę temu były sieci energetyczne czy telekomunikacyjne – fundamentem funkcjonowania państwa i gospodarki.
– Suwerenność cyfrowa nie oznacza odcięcia się od globalnych dostawców technologii. Chodzi o zachowanie kontroli nad danymi, procesami i możliwością podejmowania niezależnych decyzji operacyjnych. Niemniej jednym z największych zagrożeń staje się dziś zjawisko vendor lock-in, czyli technologicznego uzależnienia od jednego dostawcy – mówi Albert Szczepaniak, Dyrektor Działu Bezpieczeństwa i Jakości z Polcom. – Problem zaczyna się wtedy, gdy organizacja buduje całe procesy biznesowe wokół zamkniętych usług jednego hyperskalera. Migracja staje się kosztowna, trudna technicznie, a czasem praktycznie niemożliwa bez wieloletnich inwestycji – dodaje.
Vendor lock-in staje się dziś jednym z centralnych tematów europejskiej debaty o suwerenności technologicznej. Chodzi nie tylko o ceny usług, ale o realną możliwość utraty kontroli nad strategicznymi systemami państwa czy przedsiębiorstw.
Tym bardziej, że według analiz IDC globalna ilość danych tworzonych i replikowanych rocznie mogła osiągnąć ok. 175 zettabajtów w 2025 r. Sama Europa odpowiada za znaczącą część tej gospodarki, ale większość infrastruktury, na której są one przechowywane i analizowane, pozostaje poza europejską kontrolą właścicielską i technologiczną.
Otwarte standardy zamiast zakazów
Najbardziej systemowe podejście do ograniczania tego ryzyka wdrażają Niemcy. Berlin nie zdecydował się na otwartą wojnę z amerykańskimi gigantami, ale wykorzystał siłę zamówień publicznych. Kluczowym narzędziem stał się system EVB-IT Cloud – obowiązkowy wzorzec umów dla administracji publicznej dotyczących usług chmurowych. Nowe regulacje wymuszają m.in. obowiązkową strategię wyjścia z usług dostawcy, możliwość pełnej migracji danych, wsparcie dla otwartych standardów i API, interoperacyjność z rozwiązaniami open source oraz rygorystyczną certyfikację bezpieczeństwa BSI C5. W praktyce oznacza to, że nawet AWS czy Microsoft muszą dostosowywać swoje usługi do niemieckich wymogów dotyczących suwerenności i interoperacyjności.
– Niemcy zrozumieli, że największym zagrożeniem nie jest sama obecność globalnych hyperskalerów, ale brak możliwości zmiany dostawcy i utrata kontroli nad własnym środowiskiem IT. Przy czym jeszcze dalej poszła Francja. Tamtejszy model opiera się na certyfikacji SecNumCloud tworzonej przez agencję ANSSI – komentuje Albert Szczepaniak z Polcom.
Kluczowe znaczenie mają nie tylko kwestie techniczne, ale również prawne i właścicielskie. Aby obsługiwać najbardziej wrażliwe dane państwowe, dostawca musi być odporny na wpływ obcych jurysdykcji – przede wszystkim amerykańskiego CLOUD Act. Efektem są specjalne modele współpracy, takie jak Bleu – partnerstwo Orange i Capgemini wykorzystujące technologię Microsoft Azure – oraz S3NS, czyli projekt Thales i Google Cloud. W obu przypadkach amerykańska technologia pozostaje jedynie warstwą technologiczną, natomiast pełna kontrola operacyjna i prawna nad infrastrukturą pozostaje po stronie francuskiej.
Inne kraje stawiają bardziej na ograniczanie uzależnienia od zamkniętych ekosystemów poprzez open source.
W Danii ministerstwo cyfryzacji rozpoczęło pilotażowe przechodzenie z Microsoft 365 na LibreOffice oraz Linux. Z kolei największe samorządy — Kopenhaga i Aarhus – otwarcie deklarują chęć uniezależnienia się od Microsoftu. Austria z kolei wybrała model hybrydowy. Tamtejsze ministerstwa wykorzystują Nextcloud i lokalną infrastrukturę dla danych wrażliwych, jednocześnie zachowując kompatybilność z usługami Microsoftu tam, gdzie jest to konieczne.
Bruksela zaostrza kurs
Coraz wyraźniej zmienia się również podejście też samej Komisji Europejskiej. Nowy Cloud Sovereignty Framework (Europejskie Ramy Suwerenności Cyfrowej) wprowadza system oceniania dostawców pod kątem jurysdykcji prawnej, kontroli nad danymi, otwartości technologicznej, odporności na vendor lock-in, wykorzystania open source oraz zależności od podmiotów spoza UE. Równolegle Bruksela pracuje nad Cloud and AI Development Act (CAIDA), który ma stworzyć prawne podstawy dla rozwoju europejskiej, suwerennej infrastruktury AI i chmury.
Jednocześnie pojawiają się kolejne projekty wspierające local content i europejską produkcję technologii — jak Industrial Accelerator Act, który ma wzmacniać unijne łańcuchy dostaw i ograniczać zależność od technologii spoza Europy.
– Europa zaczyna dostrzegać, że bez realnej kontroli nad warstwą cyfrową nie da się budować ani autonomii gospodarczej, ani bezpieczeństwa państwa. Chmura przestaje być jedynie usługą IT – staje się krytyczną infrastrukturą, od której zależy suwerenność technologiczna i stabilność całych sektorów gospodarki – podkreśla ekspert z Polcom.
Polska szuka własnego modelu
Polska rozwija własne rozwiązania w ramach projektu Wspólnej Infrastruktury Informatycznej Państwa oraz systemu ZUCH, który pełni funkcję centralnego katalogu zweryfikowanych usług chmurowych dla administracji. Ekspert Polcom wskazuje jednak, że wciąż brakuje bardziej zdecydowanych mechanizmów ograniczających vendor lock-in oraz preferujących otwarte standardy i interoperacyjność. Jednocześnie coraz wyraźniej widać, że kwestia suwerenności technologicznej staje się jednym z priorytetów polityki państwa.
Podczas Europejskiego Kongresu Finansowego premier Donald Tusk podkreślał, że suwerenność gospodarcza i technologiczna nie oznacza zamknięcia się przed światem, lecz odpowiedzialność za bezpieczeństwo państwa. Zwrócił również uwagę, że Polska pozostaje silnie uzależniona od importu rozwiązań cyfrowych, którego wartość w 2025 r. ma wynieść około 45 mld zł. Jak zaznaczył, państwo musi zachować możliwość świadomego wyboru technologii i budować kompetencje pozwalające na rozwój własnych rozwiązań.
Szczególne znaczenie ma również zapowiedziane przez rząd wprowadzenie tzw. testu suwerenności dla wybranych projektów i usług zamawianych przez administrację publiczną. Mechanizm ma pozwolić oceniać poziom niezależności technologicznej państwa, kontrolę nad danymi oraz wpływ zakupów na bezpieczeństwo cyfrowe kraju.
W praktyce oznacza to, że podobnie jak w energetyce czy przemyśle obronnym, również infrastruktura cyfrowa zaczyna być postrzegana jako element strategicznego bezpieczeństwa państwa.
– Dziś pytanie o to, gdzie przetwarzane są dane i kto kontroluje infrastrukturę chmurową, przestaje być kwestią technologiczną – staje się zagadnieniem bezpośrednio powiązanym z bezpieczeństwem państwa, odpornością gospodarki oraz zdolnością do prowadzenia suwerennej polityki cyfrowej. Stawka jest bezprecedensowa. Nie chodzi już wyłącznie o to, kto będzie generował przychody z usług chmurowych, lecz przede wszystkim o to, kto sprawuje kontrolę nad danymi, modelami AI i cyfrowymi fundamentami europejskiej gospodarki – wskazuje Albert Szczepaniak, Dyrektor Działu Bezpieczeństwa i Jakości w Polcom.
