Suwerenność cyfrowa w Polsce: temat bez właściciela

Francja ogłosiła plan. Polska prowadzi debatę. To zdanie mogłoby być pointą, ale jest otwarciem — i trochę go wstyd, bo minął rok od momentu, który miał wszystko zmienić.

W styczniu 2025 roku Emmanuel Macron stał na forum w Davos i mówił o obronie suwerenności narodowej, terytorialnej i gospodarczej w świecie, który przestał udawać, że jest stabilny. Kilka tygodni później Francja poinformowała, że zamierza eliminować z administracji publicznej cyfrowe narzędzia dostarczane przez firmy z USA. Nie jako eksperyment, nie jako dyskusja robocza — jako plan.

W Polsce w tym samym czasie wicepremier Gawkowski ogłosił, że „2025 rok definitywnie skończył okres, w którym życie w cyberprzestrzeni było beztroskie”. Słowa mocne. Potem przyszła cisza.

Debata tak, decyzje — poczekamy

Raport EY „Barometr Suwerenności Cyfrowej 2025” pokazuje, że w Europie świadomość tematu rośnie. Niemal cztery na pięć organizacji uznaje suwerenność cyfrową za kryterium, które w przyszłości zyska na znaczeniu. Trend jest realny — firmy włączają go do wyborów technologicznych, od chmury po dobór partnerów.

W Polsce obserwujemy podobny ruch świadomościowy. Problem polega na tym, że zatrzymuje się on dokładnie w miejscu, gdzie zaczyna kosztować.

Dane Fundacji Instrat są w tej sprawie bezwzględne: zdecydowana większość przetargów na kluczowe usługi cyfrowe w sektorze publicznym nadal de facto wzmacnia zależność od jednego, amerykańskiego dostawcy. Nie dlatego, że decydenci nie słyszeli o suwerenności. Dlatego, że zmiana oznacza ryzyko, wysiłek i budżet — a żaden z tych zasobów nie ma w Polsce wyznaczonego właściciela.

Piotr Zielaskiewicz z DAGMA Bezpieczeństwo IT komentuje to wprost: „Inne kraje UE odważniej podejmują działania zmniejszające zależność od pozaeuropejskich gigantów, traktując cyfrową autonomię jako element bezpieczeństwa państwa i odporności gospodarki. W Polsce nadal częściej rozmawiamy o potrzebie suwerenności cyfrowej niż wdrażamy konkretne mechanizmy.”

Warto zaznaczyć: DAGMA jest dostawcą europejskich rozwiązań security, więc ma interes w tej narracji. Ale obserwacja pozostaje trafna niezależnie od tego, kto ją formułuje.

Cloud Act to nie teoria spiskowa

Rozmowy o suwerenności cyfrowej łatwo zbagatelizować jako polityczny performance albo technologiczny protekcjonizm w nowym opakowaniu. Warto jednak zatrzymać się przy jednym konkretnym argumencie, który nie jest ani abstrakcją, ani ideologią.

Amerykańskie regulacje — w szczególności Cloud Act — mogą w określonych sytuacjach zobowiązywać firmy podlegające jurysdykcji USA do udostępniania swoich danych administracji federalnej. Niezależnie od tego, gdzie fizycznie te dane są przechowywane. Nawet jeśli serwery stoją w centrum danych w Warszawie.

Nie jest to scenariusz apokaliptyczny. Jest to natomiast realne ryzyko prawne, które każda organizacja przetwarzająca wrażliwe dane — od szpitala po urząd — powinna brać pod uwagę przy wyborze dostawcy chmury. I które rzadko pojawia się w dokumentach przetargowych.

Aleksander Kostuch z Stormshield — też europejski dostawca, też z interesem w temacie — stawia kwestię precyzyjnie: „Uzależnienie od dostawców, głównie z USA i Izraela, oznaczać może, że w newralgicznym momencie dostęp do kluczowych narzędzi bezpieczeństwa będzie zależeć od decyzji obcych państw.”

Równocześnie ten sam ekspert ostrzega przed pójściem za daleko w drugą stronę: nadmierny protekcjonizm ograniczyłby tempo innowacji i zdolność do operacyjnej współpracy z sojusznikami NATO i UE. Cyberbezpieczeństwo opiera się na globalnej wymianie informacji o zagrożeniach — a izolacja technologiczna nie jest receptą na bezpieczeństwo.

Vendor lock-in w nowym wydaniu

Jest jeszcze jeden wątek, który zaczyna docierać do świadomości polskich firm — nie przez pryzmat geopolityki, lecz przez pryzmat portfela.

Paweł Śmigielski ze Stormshield opisuje zmianę, którą obserwuje w codziennych rozmowach z klientami: „Dostrzegają oni ryzyka związane z uzależnieniem się od jednego dostawcy — tzw. vendor lock-in — i potencjalne problemy związane z migracją w przypadku, gdy aktualny dostawca wstrzyma świadczenie usług lub znacząco podniesie opłaty licencyjne — na przykład ze względu na nowe polityki celne.”

To ostatnie zdanie ma konkretny kontekst. Taryfy celne administracji Trumpa, które weszły w życie w 2025 roku, przełożyły się bezpośrednio na wyceny umów licencyjnych u części dostawców. Firmy, które opierały swoją infrastrukturę na jednym dostawcy, nagle odkryły, że nie mają alternatywy — i muszą płacić nowe stawki.

Dywersyfikacja przestała być postulatem geopolitycznym. Stała się kwestią zarządzania ryzykiem biznesowym.

Gdzie jest właściciel tego tematu?

Budowanie suwerenności cyfrowej nie jest projektem na jeden przetarg ani na jedną kadencję. Kostuch z Stormshield szacuje, że osiągnięcie realnej autonomii — z uwzględnieniem specyfiki łańcucha dostaw w cyberbezpieczeństwie — „oznacza potężne inwestycje”. Zielaskiewicz dodaje, że bez zmian w podejściu do zamówień publicznych, budowy własnej infrastruktury przetwarzania danych i rozwoju kompetencji technologicznych trudno będzie mówić o realnej autonomii cyfrowej.

Obaj mają rację. I obaj mówią o czymś, co wymaga decyzji, których nikt w Polsce nie podjął — bo nie ma wyznaczonego miejsca, z którego takie decyzje mogłyby paść.

Francja ma plan. Niemcy mają strategię chmury federalnej. Polska ma debatę.

Debata to dobry początek. Problem zaczyna się, gdy staje się celem samym w sobie.