Kick-off: Suwerenność chmurowa w przetargach UE. O co chodzi z SOV i SEAL.

Przez lata dyskusja o chmurze obliczeniowej koncentrowała się niemal wyłącznie na warstwie technicznej i ekonomicznej. Suwerenność danych – czyli kwestia prawnej i operacyjnej kontroli nad zasobami – nie tyle była problemem niejednoznacznym, co po prostu drugoplanowym. Dopóki systemy działały sprawnie, a centra danych znajdowały się fizycznie w Europie, rzadko wnikano w to, jakiej jurysdykcji podlega dostawca usługi.

Ten okres „milczącej zgody” dobiega jednak końca. Komisja Europejska, publikując Cloud Sovereignty Framework, kończy etap, w którym suwerenność była kwestią jedynie deklaratywną. Dokument ten, stworzony na potrzeby unijnych przetargów (Cloud III DPS), wymusza powrót do pytań, które przez lata spychano na margines. Od 2025 roku nowe pojęcia – SOV (cele suwerenności) i SEAL (poziomy pewności) – staną się twardym wymogiem w kontraktach publicznych, a wkrótce prawdopodobnie rynkowym standardem weryfikacji dostawców.

Poniżej analizujemy, jak ten mechanizm działa w praktyce i dlaczego wpłynie on na sposób kontraktowania usług IT nie tylko w administracji.

Dlaczego suwerenność chmurowa staje się tematem numer jeden?

Przez wiele lat chmura była przede wszystkim narzędziem optymalizacji. Migracje napędzały potrzeby automatyzacji i skalowalności. Dziś ta perspektywa zmienia się fundamentalnie pod wpływem trzech czynników:

• Geopolityka i prawo: Regulacje przestają koncentrować się wyłącznie na fizycznej lokalizacji danych. Kluczowe jest to, kto sprawuje realną kontrolę nad danymi oraz które porządki prawne mogą mieć do nich dostęp.
• AI jako zasób strategiczny: dynamiczny rozwój sztucznej inteligencji podnosi wartość danych jako zasobu, wymagającego znacznie głębszego nadzoru.
• Łańcuch dostaw i uzależnienie: coraz wyraźniej widać ryzyka związane z dominacją globalnych dostawców chmury, w tym uzależnienie technologiczne i ryzyko, że jurysdykcji spoza UE podlega choćby jeden element łańcucha (np. komponent, biblioteka, czy podwykonawca supportu).

Cloud Sovereignty Framework – co to jest?

Czym w praktyce jest ten Framework? Cloud Sovereignty Framework to sformalizowany system oceny usług chmurowych, stworzony na potrzeby unijnego systemu zakupowego Cloud III Dynamic Purchasing System (DPS). Jego zadaniem jest ujednolicenie sposobu, w jaki instytucje UE definiują swoje wymagania bezpieczeństwa w przetargach. Zamiast ogólnych haseł o „lokalizacji danych”, CSF wprowadza mierzalne parametry. Dokument ten definiuje konkretne cele suwerenności (Sovereignty Objectives – SOV) oraz poziomy pewności (SEAL), które muszą zostać spełnione przez dostawców startujących w postępowaniach.

Kogo dotyczy Cloud Sovereignty Framework?

Choć Framework został stworzony z myślą o instytucjach unijnych, jego wprowadzenie w 2025 roku ma szersze implikacje. Wpływa on bezpośrednio na konstrukcję kontraktów IT: wymusza na zamawiających precyzyjne określenie poziomu kontroli nad danymi, a na dostawcach – transparentne udokumentowanie łańcucha dostaw i podległości prawnej. W efekcie, standard ten zaczyna pełnić rolę rynkowego punktu odniesienia (benchmarku) również dla sektora regulowanego i prywatnego, porządkując relacje na linii klient–dostawca chmury.

Jak działa mechanizm oceny: SOV i SEAL

Cloud Sovereignty Framework zmienia podejście do weryfikacji dostawców. Zamiast binarnej oceny (spełnia/nie spełnia), wprowadza on system stopniowania suwerenności oparty na dwóch filarach – SOV i SEAL.

SOV: Cele Suwerenności (Sovereignty Objectives)

To kompleksowy zestaw kryteriów, który pozwala ocenić chmurę nie tylko jako usługę technologiczną, ale jako element strategicznej infrastruktury cyfrowej Europy. Dokument wyróżnia osiem obszarów (SOV), w których usługa chmurowa poddawana jest analizie. Ramy te obejmują kwestie:

• aspektów prawnych i własnościowych (SOV-1, SOV-2): analiza struktury kapitałowej dostawcy oraz jurysdykcji, której podlega. Sprawdzane jest ryzyko dostępu do danych przez rządy państw trzecich.
• danych i operacji (SOV-3, SOV-4): weryfikacja, kto sprawuje faktyczną kontrolę techniczną nad danymi oraz kto realizuje procesy operacyjne (np. support techniczny).
• technologii i łańcucha dostaw (SOV-5, SOV-6): ocena zależności od zewnętrznych technologii, podwykonawców oraz pochodzenia komponentów infrastruktury.
• zrównoważonego rozwój i bezpieczeństwa (SOV-7, SOV-8): kwestie związane z odpornością na incydenty oraz odpowiedzialnością środowiskową.

SEAL: Poziomy Pewności (Sovereignty Effectiveness Assurance Levels)

Każdy z powyższych celów oceniany jest w skali SEAL od 0 do 4. To kluczowy mechanizm przetargowy:

• SEAL 0: Rozwiązania w pełni zależne od podmiotów spoza Europejskiego Obszaru Gospodarczego, niegwarantujące suwerenności.
• SEAL 3-4: Poziomy oznaczające wysoką lub pełną kontrolę europejską nad danymi, operacjami i technologią, często wymagane w przypadku danych wrażliwych lub systemów krytycznych.

W praktyce przetargowej określony poziom SEAL (np. minimum SEAL 3 dla danych osobowych) działa jak filtr wstępny. Dostawca, który nie spełnia tego wymogu w konkretnym obszarze SOV, nie może ubiegać się o kontrakt, niezależnie od atrakcyjności cenowej oferty.

Sovereignty Score: Kwantyfikacja zaufania

Uzupełnieniem modelu jest Sovereignty Score – mechanizm punktacji, który agreguje oceny z poszczególnych obszarów SOV. Umożliwia to zamawiającym porównywanie ofert w ustandaryzowany sposób.

Wprowadzenie punktacji zmienia charakter negocjacji. Zapewnienia o bezpieczeństwie przestają być kwestią deklaratywną, a stają się mierzalnym parametrem, który można zestawić z ceną czy poziomem SLA.

Skąd potrzeba tak szczegółowych standardów?

Znaczenie suwerenności chmurowej zaczęło rosnąć wraz ze świadomością, że sama lokalizacja zasobów w europejskich centrach danych nie zawsze przesądza o pełnej kontroli nad nimi. W coraz bardziej złożonym otoczeniu geopolitycznym i prawnym kluczowa staje się nie tylko kwestia tego, gdzie dane są przechowywane, ale także kto i na jakich zasadach może mieć do nich dostęp.

Równolegle globalni hiperskalerzy skupiają w swoich rękach ponad 80% rynku usług IaaS i PaaS, co skłania wiele organizacji do refleksji nad długoterminowymi skutkami takiej koncentracji – od ryzyka uzależnienia technologicznego po ograniczoną elastyczność wyboru dostawców.

Istotną rolę odgrywają również regulacje, takie jak NIS2, DORA, AI Act czy Data Act. Przesuwają punkt ciężkości z deklarowanej zgodności na rzeczywistą, możliwą do zweryfikowania kontrolę operacyjną nad danymi, infrastrukturą i procesami.

Rozwój sztucznej inteligencji dodatkowo wzmacnia tę zmianę. Dane i modele stają się zasobami strategicznymi, co przesuwa europejską debatę z pytania „czy chmura jest bezpieczna?” na znacznie bardziej konkretne: „kto i na jakich zasadach sprawuje nad nią faktyczną kontrolę?”.

Konsekwencje dla rynku technologicznego

Implementacja Cloud Sovereignty Framework w sektorze publicznym prawdopodobnie wpłynie na standardy obowiązujące na całym rynku IT. Należy spodziewać się następujących zmian:

• Ewolucja zapytań ofertowych: Klienci zaczną zadawać bardziej szczegółowe pytania dotyczące nie tylko miejsca przechowywania danych, ale także struktury własnościowej dostawcy, jurysdykcji prawnej oraz pochodzenia komponentów infrastruktury.
• Lepszy punkt startowy dla dostawców europejskich: Firmy z siedzibą i kapitałem w UE, naturalnie spełniające wysokie poziomy SEAL, zyskują merytoryczny argument w walce o kontrakty w sektorach regulowanych.
• Adaptacja globalnych dostawców: Dostawcy chmurowi spoza Europy będą zmuszeni do dalszego dostosowywania swoich modeli operacyjnych (np. poprzez tworzenie spółek celowych czy partnerstwa z lokalnymi operatorami), aby spełnić wymogi wyższych poziomów SEAL.
• Większa świadomość klientów w doborze infrastruktury: Klienci zyskali „zestaw narzędzi”, by zadawać właściwe pytania. Nie „gdzie są dane?”, ale: „kto ma klucze?”, „kto ma obowiązek wydać dane na żądanie obcego państwa?”, „kto zarządza infrastrukturą w nocy o 2:00?”, „z czyich komponentów składa się infrastruktura?”

Podsumowanie

Cloud Sovereignty Framework to przejście od teoretycznych dyskusji o cyfrowej niezależności do etapu wdrożeniowego. Dla osób odpowiedzialnych za zakupy technologii i strategię IT oznacza to konieczność aktualizacji wiedzy i procesów. Suwerenność danych staje się parametrem technicznym, który należy uwzględniać w specyfikacjach i umowach na równi z wydajnością czy dostępnością usług.

Co dalej? W kolejnych materiałach przyjrzymy się szczegółowo każdemu z 8 obszarów SOV, analizując, w jaki sposób organizacje mogą przygotować się do nowych wymogów i jak skutecznie weryfikować deklaracje dostawców.

Ostatnie wpisy

• 

  news | technologia

  Kto naprawdę kontroluje Twoje dane? Governance i jurysdykcja w ujęciu SOV-1 i SOV-2

• 

  news | technologia

  Postęp Prac w Projekcie Next Gen Cloud – Zadanie 1

• 

  news | technologia

  Next Gen Cloud przyspiesza – bezpieczeństwo, skalowalność i technologia made in EU  

Może zainteresują Cię także…

• 

  usługi

  Dlaczego warto korzystać z DRaaS i jak za to nie płacić?

  26 stycznia 202331 stycznia 2023
• 

  usługi | wdrożenia

  Success story: Worksmile o migracji do chmury Oktawave

  23 marca 202114 listopada 2022
• 

  news | usługi

  EZD RP – przyszłość cyfrowej administracji publicznej

  12 grudnia 202429 stycznia 2025