Koniec ery „najniższej ceny”
Zgodnie z doniesieniami agencji Reuters z 1 czerwca 2026 roku, Komisja Europejska przygotowuje bezprecedensowy pakiet legislacyjny, który może trwale przemodelować europejski rynek IT. Sercem zmian jest projekt ustawy o rozwoju chmury i sztucznej inteligencji (CADA – Cloud and AI Development Act) oraz nowa odsłona aktu w sprawie czipów (Chips Act 2.0). Oba te projekty, określane mianem „pakietu suwerenności technologicznej”, mają zostać oficjalnie zaprezentowane przez unijną komisarz ds. technologii, Hennę Virkkunen.
Głównym założeniem nowej strategii Brukseli jest wprowadzenie obowiązkowych kryteriów pozacenowych w przetargach publicznych na usługi chmurowe w tzw. sektorach krytycznych (takich jak bankowość, energetyka, ochrona zdrowia, sądownictwo oraz administracja publiczna). W praktyce oznacza to promowanie oprogramowania i sprzętu opracowanego bezpośrednio na terenie Unii Europejskiej.
„Pakiet suwerenności technologicznej jest kluczowy dla wzmocnienia własnych zdolności technologicznych Europy, dla jej konkurencyjności oraz bezpieczeństwa” – oświadczyła wymijająco Komisja Europejska, odmawiając jednocześnie komentarza do szczegółów wycieku.
Amerykański „CLOUD Act” na celowniku
Dlaczego Europa decyduje się na tak radykalny ruch właśnie teraz? Odpowiedź kryje się w konflikcie jurysdykcji i obawach o szpiegostwo gospodarcze. Choć amerykańskie bigtechy posiadają swoje centra danych na terenie UE, firmy te podlegają amerykańskiemu prawu. Kluczowym punktem spornym jest amerykańska ustawa CLOUD Act z 2018 roku. Daje ona organom ścigania i wywiadowi USA prawo do żądania od amerykańskich dostawców chmury wydania danych użytkowników, bez względu na to, na jakim serwerze na świecie są one fizycznie przechowywane. Dla europejskich decydentów to niedopuszczalna luka w bezpieczeństwie.
Christoph Strnadl, dyrektor ds. technologii w europejskiej grupie standardów chmurowych Gaia-X, stawia sprawę jasno: „żadna amerykańska firma nie może zagwarantować, że rząd USA nigdy nie uzyska dostępu do Twoich danych”.
Architektura wykluczenia
Z ujawnionych projektów wynika, że ograniczenia nie będą miały charakteru całkowitego zakazu (blanket ban), lecz przyjmą formę stopniowego zarządzania ryzykiem zależnie od wrażliwości danych. Proponowane kryteria wyboru dostawców mają uwzględniać:
-
Poziom ochrony danych i ich lokalizację.
-
Stopień kontroli, jaką państwa trzecie mogą sprawować nad infrastrukturą dostawcy.
-
Wykazanie tzw. „odporności na prawo państw trzecich” (foreign law immunity).
Co ciekawe, w projekcie pojawia się pomysł, aby Komisja Europejska działała jako centralny organ zakupowy dla państw członkowskich, co pozwoliłoby na odgórne narzucanie tych restrykcyjnych standardów i ujednolicenie rynku.
Europa ma już zresztą lokalne precedensy. Wzorcem dla unijnych przepisów jest m.in. francuski certyfikat SecNumCloud (część tzw. Doktryny Zaufanej Chmury), który wyklucza z przetargów podmioty posiadające więcej niż 39% kapitału zagranicznego. Ponadto, zaledwie kilka dni przed wyciekiem unijnych planów, Holandia powołała się na przepisy o ochronie interesu publicznego i zablokowała przejęcie lokalnego dostawcy systemów tożsamości (Solvinity) przez powiązaną z USA firmę Kyndryl, argumentując to właśnie ryzykiem wynikającym z amerykańskiego CLOUD Act.
Eksperci podzieleni: Suwerenność czy technologiczny regres?
Ruch Brukseli wywołuje skrajne emocje wśród analityków rynkowych. Z jednej strony mowa jest o koniecznej ochronie strategicznych zasobów, z drugiej – o ogromnej luce technologicznej. Amerykańscy giganci – Amazon, Microsoft i Google – kontrolują obecnie blisko 70% europejskiego rynku chmurowego. Odcięcie ich od przetargów rządowych może uderzyć w sprawność cyfryzacji urzędów i szpitali.
Alba Ribera Martínez, redaktor naczelna projektu Stanford Computational Antitrust, w komentarzu dla The Economic Times zwraca uwagę na fundamentalny problem Europy: „w obszarze infrastruktury chmurowej unijny blok pozostaje w tyle za Stanami Zjednoczonymi o lukę inwestycyjną rzędu jednego biliona euro”.
Z kolei Francisco Mingorance, sekretarz generalny organizacji branżowej CISPE (reprezentującej europejskich dostawców chmury), krytykuje dotychczasową niekonsekwencję instytucji unijnych, podając za przykład niedawne przyznanie przez KE kontraktu o wartości 180 mln euro konsorcjum opartemu… na infrastrukturze Google Cloud. Mingorance określił to mianem „autogola”, który instytucjonalizuje tzw. sovereignty washing (pozorną suwerenność) na najwyższych szczeblach władzy.
Droga legislacyjna i geopolityczne reperkusje
Przedstawiony dokument to na razie projekt (draft), który przed oficjalną publikacją może ulec zmianom. Ponieważ propozycja dotyka kwestii bezpieczeństwa narodowego i gospodarczego, jej wejście w życie nie będzie ani łatwe, ani szybkie. Aby przepisy weszły w życie, pakiet Cloud and AI Development Act musi zyskać jednomyślne poparcie wszystkich 27 państw członkowskich oraz Parlamentu Europejskiego. Państwa o tradycyjnie wolnorynkowym podejściu lub silnie polegające na amerykańskiej technologii mogą dążyć do złagodzenia zapisów.
Należy się również spodziewać ostrej reakcji ze strony Waszyngtonu. Administracja USA już wcześniej krytykowała unijny akt o rynkach cyfrowych (DMA) oraz akt o usługach cyfrowych (DSA). Oficjalne zablokowanie dostępu do lukratywnych kontraktów rządowych dla amerykańskich firm z pewnością zaostrzy i tak już napięte relacje handlowe na linii Bruksela–Waszyngton.
