Bruksela wyznacza datę suwerenności chmury
Ustawa o Chmurze i SI, rozporządzenie które Komisja Europejska przedstawiła w czerwcu, ukaże się w Dzienniku Urzędowym 15 lipca 2026 i wchodzi w życie 4 sierpnia. To pierwsze ogólnounijne ramy, które wskazują urzędom w sektorach wrażliwych, obronie, wymiarze sprawiedliwości, bezpieczeństwie i infrastrukturze krytycznej, jak ważyć, kto kontroluje ich chmurę, zanim ją kupią.
Powodem jest fakt rynkowy. Trzej amerykańscy dostawcy, Microsoft, Amazon Web Services i Google, mają ponad 70 procent europejskiego rynku chmury, podczas gdy dostawcy europejscy pozostają przy około 15 procentach. Przez lata debata o suwerenności opierała się na dobrowolnych znakach i siatkach punktacji. To moment, w którym staje się ona datowaną ustawą z obowiązkiem zakupowym.
Cztery poziomy i to, gdzie naprawdę lądują pieniądze
Ustawa ustala cztery poziomy gwarancji. Poziom 1 wymaga danych na serwerach w UE oraz gwarancji, że żadne prawo nie zmusza dostawcy do ujawnienia luk w oprogramowaniu państwu trzeciemu. Poziom 2 dodaje, że żadne obce państwo nie może sięgnąć po dane ani uruchomić wyłącznika awaryjnego. Poziom 3 wymaga, by dostawca był wolny od kontroli państw trzecich, aż po personel. Poziom 4 żąda komponentów i produktów bez żadnej obcej ingerencji oraz najwyższej certyfikacji cyberbezpieczeństwa.
Rozkład to część, którą pomija większość nagłówków. Komisja spodziewa się około 70 procent kontraktów na Poziomie 1, około 20 procent na Poziomie 2, poniżej 10 procent na Poziomie 3 i około 1 procent na Poziomie 4. Innymi słowy, większość chmury publicznej w Europie nadal dopuszcza hiperskalerów. Ustawa ich nie wypędza, lecz ocenia, a ścisłe poziomy rezerwuje dla niewielkiej części obciążeń, gdzie kontrola nie podlega negocjacji.
Wyjścia awaryjne wpisano celowo
Dwa odstępstwa łagodzą uderzenie celowo. Artykuł 30 dopuszcza wyjątek, gdy nie istnieje odpowiednia ani rozsądna usługa alternatywna, echo sprawy z 2023 roku, gdy Francja uznała, że tylko Microsoft może prowadzić jej Health Data Hub. Artykuł 18 otwiera drogę dostawcom z powiązanych państw trzecich objętych decyzją UE o adekwatności, drzwi, które w zasadzie mogłyby objąć Stany Zjednoczone, choć wymogi przeciw wyłącznikowi awaryjnemu i tak mogą je wykluczyć.
Ta struktura pokazuje, jak czytać krótki termin. Europejski nabywca nie musi wyrywać AWS ani Azure w tym roku. Natychmiastowa praca to klasyfikacja: przypisanie każdego kontraktu do poziomu, udokumentowanie dlaczego i obrona wyboru. Kwestia suwerenności przechodzi ze sloganu w pozycję w aktach przetargowych, zmiana mniejsza, niż sugeruje retoryka, i trwalsza.
Prawdziwa dźwignia to beton, nie prawo
Twardsza ambicja ustawy jest fizyczna. Dąży do co najmniej potrojenia unijnej mocy centrów danych w ciągu pięciu do siedmiu lat i próbuje utorować drogę szybszymi pozwoleniami oraz lepszym dostępem do energii, gruntu, wody i finansowania. Jej trzy filary, badania, moc i autonomia, stawiają budowę na równi z regulaminem, bo suwerenność, której nie da się hostować, jest deklaracją na papierze.
Harmonogram potwierdza, gdzie są zęby. Rozporządzenie wchodzi w życie 4 sierpnia 2026, ale pierwszy poziom wymogów suwerenności obowiązuje od lutego 2028, a najwyższy poziom staje się obowiązkowy do sierpnia 2029. Zegar zgodności i zegar budowy biegną razem, a dostawcy z mocą kontrolowaną przez UE w terenie w 2028 to ci, których ścisłe poziomy miały uprzywilejować.
Co właściciel robi przed sierpniem
Praktyczny ruch to inwentaryzacja chmury odczytana przez cztery poziomy: które obciążenia mógłby zakłócić obcy nakaz, które leżą w sektorach wrażliwych i które nie przeszłyby dziś testu Poziomu 3. Firmy sprzedające chmurę lub oprogramowanie europejskim podmiotom publicznym stają przed odwrotną stroną tego pytania, bo ich nabywcy wkrótce poproszą o poziom, a nie o logo. Konflikt transatlantycki jest realny: dostawca złapany między żądaniem z US CLOUD Act a gwarancją CADA staje przed niemożliwym wyborem, a to ryzyko należy teraz do ocen dostawców.
Warto zachować uczciwość co do granic. Jak zauważa analityk prawny Kenneth Propp, UE próbowała już instrumentów suwerenności, od statutu blokującego po Data Act, z ograniczonym skutkiem praktycznym, a samo istnienie CADA czyta się raczej jako objaw niskiego zaufania transatlantyckiego niż lekarstwo. Ustawa nie wyłącza amerykańskich chmur w tym roku. Doczepia do zależności datowaną, ocenną cenę, a właściciele, którzy zmapują tę cenę teraz, nie będą tymi, którzy biegną w 2028.
Czytaj dalej: Nowa bramka w kontraktach chmurowych | PEGI ocenia teraz twój model biznesowy



