Komisja Europejska ogłosiła ambitny plan uwolnienia się od niemal całkowitej zależności od zagranicznych technologii.
W tym, co nazwała „decydującym momentem dla potwierdzenia swojej suwerenności technologicznej”, Komisja przedstawiła Europejski pakiet na rzecz suwerenności technologicznej: kompleksowy wniosek mający na celu(nowe okno) wzmocnienie pozycji Europy w dziedzinie półprzewodników, sztucznej inteligencji, chmury i otwartego kodu źródłowego.
Jego cel jest jednoznaczny: zmniejszenie zależności infrastrukturalnej Europy od zagranicznych technologii. Oficjalny komunikat Komisji stwierdza, że „UE pozostaje strukturalnie zależna od dostawców spoza UE w przypadku ponad 80% swoich produktów cyfrowych(nowe okno), usług, infrastruktury i własności intelektualnej”.
Ten plan jest w gruncie rzeczy wezwaniem do działania dla europejskich przedsiębiorstw, aby przeanalizowały swoje własne ryzyka związane z technologiami z USA. Ten artykuł zawiera omówienie każdego z czterech elementów tego pakietu:
- Chips Act 2.0
- Ustawa o rozwoju chmury i sztucznej inteligencji (CADA)
- Strategia UE w zakresie otwartego kodu źródłowego
- Strategiczny plan działania na rzecz cyfryzacji i sztucznej inteligencji w sektorze energetycznym
Dlaczego Europa stawia teraz niezależność infrastruktury na pierwszym miejscu
Wspólnota zaczyna dostrzegać to, przed czym wielu ekspertów ds. technologii ostrzegało od dawna: Europa musi przestać traktować strukturalną zależność jako akceptowalną cenę za wygodę.
Jak ujęła to przewodnicząca Komisji Ursula von der Leyen: „Nie możemy pozwolić sobie na zależność od innych w zakresie technologii, które zapewniają funkcjonowanie naszych szpitali, stabilność sieci energetycznych i bezpieczeństwo usług. Chodzi o ochronę naszych obywateli, obronę naszych interesów i dokonywanie własnych wyborów”.
Zależność infrastrukturalna naraża każdy kraj UE na ryzyko związane z:
- Wyłącznikami awaryjnymi (kill switches). Zagraniczny rząd może wyłączyć lub zakłócić działanie usług, od których zależą Twoje szpitale, sieci energetyczne i instytucje publiczne. Szefowa UE ds. technologii Henna Virkkunen nazwała to wprost(nowe okno): „Chcemy mieć pewność, że w kluczowych obszarach zawsze będziemy w stanie kontrolować usługi i dane w Europie”.
- Prawnymi tylnymi furtkami (backdoors). Amerykańskie prawo wymaga od dostawców chmury z siedzibą w USA przekazywania danych amerykańskim organom, nawet jeśli są one przechowywane w Europie(nowe okno). Europejskie dane w amerykańskiej infrastrukturze nie są chronione przez europejską jurysdykcję. Zgodność z GDPR tego nie zmienia.
- Wykluczeniem z przetargów. Kluczowe zamówienia publiczne — w sektorze opieki zdrowotnej, energetyki i obronności — są obecnie realizowane przez dostawców, którzy nie są kontrolowani przez podmioty europejskie(nowe okno). Proponowane przez Komisję rozwiązanie, wymagające oprogramowania i sprzętu wyprodukowanego w UE w przypadku najbardziej wrażliwych przetargów publicznych, jest przyznaniem, że obecna sytuacja jest nie do utrzymania.
- Naciskiem politycznym. Gdy firmy obsługujące Twoją infrastrukturę mają bliskie powiązania z rządem wrogim Twoim interesom, zależność staje się obciążeniem w negocjacjach(nowe okno). MTK nie opuścił Microsoftu z własnej woli — został do tego skutecznie zmuszony. To po prostu inny rodzaj mechanizmu Kill Switch i to już się wydarzyło.
Przeczytaj więcej: Raport na temat zagrożeń związanych z technologiami z USA
Co proponuje Europejski pakiet suwerenności technologicznej
Pakiet składa się z czterech elementów. Dla europejskich firm najważniejsze są dwa z nich: ustawa o rozwoju chmury i sztucznej inteligencji (CADA) oraz strategia w zakresie otwartego kodu źródłowego.
Chips Act 2.0
Europa produkuje zaledwie około 10% światowych półprzewodników i pozostaje silnie uzależniona od USA i Azji Wschodniej zarówno w zakresie chipów powszechnego użytku, jak i tych zaawansowanych. Ustawa Chips Act 2.0(nowe okno) ma na celu wzmocnienie europejskiego przemysłu półprzewodników i jego łańcucha dostaw.
Dla europejskich firm: Należy spodziewać się, że ujawnianie informacji o łańcuchu dostaw półprzewodników stanie się powszechniejsze. Będzie ono wymagane w przypadku „ogłoszonego kryzysu”, będzie warunkiem dla firm ubiegających się o dofinansowanie z UE oraz będzie zalecane przy zamówieniach publicznych. Jeśli Twoi dostawcy nie potrafią określić, skąd pochodzą ich układy scalone, należy liczyć się z tym, że zostanie to potraktowane jako brak zaufania.
Ustawa o rozwoju chmury i sztucznej inteligencji (CADA)
Ponad 70% europejskiego rynku chmury jest kontrolowane przez trzech dostawców z USA, podczas gdy udział własny UE spadł z 29% w 2017 roku do 15% w 2022 roku.
CADA wprowadza cztery unijne poziomy pewności (Union Assurance Levels), które przesuwają suwerenność chmurową poza samą lokalizację przechowywania danych (data residency) w stronę trudniejszych kwestii, takich jak kontrola, jurysdykcja, własność, przejrzystość łańcucha dostaw oprogramowania oraz ingerencja państw trzecich.
- Poziom 1: Dane są przetwarzane i przechowywane w infrastrukturze zlokalizowanej w UE.
- Poziom 2: Dostawcy must wykazać się niezależnością od państw trzecich oraz przejrzystością swojego łańcucha dostaw oprogramowania.
- Poziom 3: Dostawcy muszą należeć do podmiotów z UE i być przez nie kontrolowani, a także spełniać dodatkowe kryteria, przy jednoczesnym pozostawieniu miejsca dla uznanych, zaufanych dostawców z krajów trzecich.
- Poziom 4: Dostawcy muszą zapewnić pełną przejrzystość i kontrolę nad swoim łańcuchem dostaw oprogramowania oraz brak jakichkolwiek ingerencji ze strony państw trzecich.
Dla europejskich firm: Lokalizacja danych (data residency) to nie to samo co suwerenność. Należy uważać na dostawców, którzy zmieniają markę istniejącej infrastruktury kontrolowanej przez USA na „europejską”, nie spełniając wymagań dotyczących własności i kontroli, jakich faktycznie wymagają poziomy pewności. Poziom 3 wymaga własności i kontroli w UE. Europejsko brzmiąca nakładka na AWS nie oznacza poziomu 3.
Strategia UE w zakresie otwartego kodu źródłowego
UE wydaje obecnie 264 miliardy euro rocznie, głównie na zastrzeżone produkty i usługi IT z USA. Odpowiedzią tej strategii jest oprogramowanie, które można kontrolować, ponownie wykorzystywać, dostosowywać i utrzymywać w Europie — wspierane przez Instrument Utrzymania Otwartego Oprogramowania (Open Source Maintenance Instrument) w celu finansowania bezpieczeństwa i utrzymania kluczowych komponentów, a także mapowanie zależności i możliwości tworzenia kopii lustrzanych w celu zapewnienia stałego dostępu do najbardziej krytycznej infrastruktury.
Strategia ta jest skierowana w szczególności na infrastrukturę chmurową, aplikacje do cyfrowego miejsca pracy, narzędzia do współpracy i produktywności, komunikatory internetowe oraz bezpieczny e-mail, stawiając sobie za cel 30 milionów aktywnych użytkowników alternatyw o otwartym kodzie źródłowym do 2030 roku.
Zasada „publiczne pieniądze, publiczny kod” zobowiązuje administrację publiczną do domyślnego korzystania z otwartego kodu źródłowego tam, gdzie to możliwe.
Dla europejskich firm: Kryteria zamówień przesuwają się w stronę audytowalności, interoperacyjności i oprogramowania, które można poddać kontroli. Jeśli Twoje obecne narzędzia są zamknięte, własnościowe i kontrolowane przez podmioty z USA, spodziewaj się presji — regulacyjnej i konkurencyjnej — aby uzasadnić ten wybór.
Strategiczny plan działania na rzecz cyfryzacji i sztucznej inteligencji w sektorze energetycznym
Nowe rozporządzenie delegowane wprowadzi ogólnounijne oceny zrównoważonego rozwoju dla centrów danych, zapewniając przejrzystość w zakresie wpływu na środowisko i kładąc kres greenwashingowi. Jeśli oprogramowanie obsługujące krytyczną infrastrukturę energetyczną znajduje się poza europejską jurysdykcją, suwerenność energetyczna pozostaje tak samo teoretyczna jak suwerenność danych.
Dla europejskich firm: Warto śledzić, jak oceny zrównoważonego rozwoju stają się wyznacznikiem przy zamówieniach — oraz jak krajowe pojemności centrów danych otwierają drzwi dla nowej generacji europejskich dostawców, którzy wcześniej nie byli konkurencyjni pod względem samej infrastruktury.
Co ten pakiet oznacza dla Europy
Pakiet Komisji Europejskiej jest ważny, ale to jeszcze nie rewolucja. Jest on ambitny, ale jego wymogi są ograniczone. Wiele zależy od tego, jak propozycje zostaną opracowane, wynegocjowane, wdrożone, poddane audytowi i wyegzekwowane.
Jeśli Europa chce, aby suwerenność technologiczna coś znaczyła, musi wyjść poza fazę diagnozy. Zasady zamówień publicznych, finansowanie publiczne, ramy certyfikacji i oceny ryzyka muszą nagradzać tych dostawców, którzy zmniejszają zależność, zamiast ją utrwalać.
Niezależność cyfrowa jest budowana poprzez tysiące decyzji technologicznych podejmowanych przez rządy, firmy i osoby prywatne.
W Proton pomagamy ułatwić cyfrową transformację w kierunku suwerennych, stawiających na prywatność europejskich alternatyw(nowe okno). Proton jest już w pełni zgodny z unijnym pakietem suwerenności technologicznej: wszystkie nasze aplikacje mają otwarty kod źródłowy(nowe okno) i wykorzystują silną kryptografię(nowe okno), w tym szyfrowanie end-to-end oraz szyfrowanie zero-access. Jako dostawca z siedzibą w Szwajcarii oferujemy naszym klientom silną ochronę prywatności.
Aby pomóc kolejnym firmom w przejściu na europejską technologię, wprowadziliśmy niedawno funkcję Easy Switch dla firm, która umożliwia zespołom migrację wiadomości e-mail, kalendarzy i kontaktów z Google Workspace do Proton przy minimalnym wysiłku i bez przerw w działaniu.






