Polska Chmura Test suwerenności
Pobierz raport

Raport Polskiej Chmury

Cyfrowa racja stanu

Suwerenność cyfrowa jako narzędzie bezpieczeństwa, rozwoju i polityki przemysłowej państwa.

Serwer stoi w Polsce, a dostawca podlega obcemu prawu. Kto wtedy naprawdę kontroluje dane?

Test suwerenności
0
Wymiary suwerenności
0

Autorzy raportu: Michał Myśliwiec · Maria Świetlik · dr Jan Oleszczuk-Zygmuntowski - badacze ze Stowarzyszenia Polska Sieć Ekonomii
Raport powstał z inicjatywy: Polska Chmura – Związek Pracodawców

Wyścig już trwa

Wyścig o suwerenność już trwa — Polska w nim nie uczestniczy

W kwietniu 2026 r. Francja ruszyła z największą migracją administracji w historii Europy: docelowo 2,5 mln urzędników przejdzie na Linux. Macron mówi wprost — Europa nie może być „technologicznym wasalem” Stanów Zjednoczonych ani Chin. Niemcy, Dania i Komisja Europejska idą w tę samą stronę.

A Polska? Płaci coraz wyższy rachunek za zagraniczne usługi cyfrowe, nie budując przy tym ani własnych kompetencji, ani aktywów. A stawką jest bezpieczeństwo państwa, miejsca pracy i zdolność samodzielnego decydowania — w czasach, gdy chmura, AI i dane decydują o sprawczości.

Dla Polski ten sam wyścig jest też szansą — kołem zamachowym, które może przesunąć kraj z półperyferii bliżej centrum światowej gospodarki.

Najważniejsze wnioski

Sześć zdań, które ustawiają debatę

Szybka ścieżka dla decydentów, administracji i mediów.

  1. 01

    To jest bezpieczeństwo narodowe

    Chmura, rejestry i systemy administracji są infrastrukturą krytyczną — równie ważną jak sieć energetyczna. Ich awaria albo eksterytorialny dostęp do nich to nie incydent IT, lecz utrata zdolności państwa.

  2. 02

    Lokalizacja danych nie wystarczy

    Serwer w Polsce, a kontrola za granicą — tak wygląda dziś większość kontraktów chmurowych. CLOUD Act i FISA pozwalają sięgnąć po dane przechowywane w UE, bez zgody administratora i poza zasięgiem szyfrowania.

  3. 03

    Uzależnienie ma swoją cenę

    Po przejęciu VMware przez Broadcom faktury za licencje rosły o 800–1500%. To nie wyjątek, lecz mechanizm: tani start, a po zamknięciu w ekosystemie — podwyżki, których nie da się ominąć.

  4. 04

    Zamówienia publiczne to polityka przemysłowa

    Z analizy Fundacji Instrat wynika, że 99% przetargów pośrednio lub wprost wyklucza konkurencję wobec Big Techu. Każda złotówka albo buduje krajowe kompetencje, albo zasila cudzy budżet.

  5. 05

    Brakuje twardego prawa

    WIIP i SCCO to wytyczne bez mocy wiążącej, ustawy chmurowej wciąż nie ma, a krajowy schemat certyfikacji nie został wydany. Administracja działa bez realnej osłony.

  6. 06

    Potrzebny jest test suwerenności

    Kaskadowy model, w którym wymagana kontrola rośnie wraz z krytycznością systemu — stosowany w zamówieniach, z podstawą ustawową. Zapowiedziany przez premiera w czerwcu 2026 r.

Dlaczego to sprawa państwa

Infrastruktura cyfrowa jest infrastrukturą krytyczną państwa

Kto traci kontrolę nad infrastrukturą krytyczną, traci granice swojej autonomii decyzyjnej. Od niej zależy zdolność państwa do odtwarzania trzech filarów swojego działania.

Władza publiczna

Zdolność stanowienia, egzekwowania i implementacji decyzji — w tym z zakresu bezpieczeństwa.

Wiedza instytucjonalna

Zdolność wytwarzania, przetwarzania i utrzymywania informacji niezbędnej do decyzji.

Zasoby i infrastruktura

Centra danych, sieci, energia, sprzęt, oprogramowanie i ich łańcuchy dostaw.

Suwerenność cyfrowa oznacza zdolność państwa i jego instytucji do egzekwowania swoich praw oraz interesów, w tym bezpieczeństwa narodowego, w kontekście infrastruktury cyfrowej — przy jednoczesnym zachowaniu konkurencyjnego poziomu produktów i usług.

Warstwy kontroli

Lokalizacja danych
to nie wszystko

Suwerenności nie daje sama lokalizacja serwera. Kontrola rozkłada się na cały stos — od jurysdykcji i beneficjenta rzeczywistego, przez klucze, panel administracyjny i personel uprzywilejowany, po podwykonawców. Jeśli dostawca podlega prawu państwa trzeciego, może wydać dane bez wiedzy administratora, a szyfrowanie i izolacja tego nie zatrzymają.

  1. L1Jurysdykcja i beneficjent rzeczywisty
  2. L2Łańcuch dostaw i podwykonawcy
  3. L3Personel uprzywilejowany
  4. L4Panel administracyjny i telemetria
  5. L5IAM i klucze szyfrujące
  6. L6Orkiestracja chmury
  7. L7Hypervisor i wirtualizacja
  8. L8Sieć, energia, fizyczne data center

Skanowanie stosu kontroli…

Koszt zależności

Publiczne pieniądze finansują
cudzy ekosystem

0mld
Deficyt Polski w handlu produktami cyfrowymi w 2025 r. (mld zł). Do 2030 r. import technologii cyfrowych może przewyższyć koszt importu wszystkich surowców energetycznych. Sprzedajemy atomy za bity.
0mld
Wydatki centralnej administracji na systemy teleinformatyczne w 2024 r. (mld zł): 5,5 na wytworzenie i 1,5 na utrzymanie. Z odpowiedzi resortu nie wynika nawet, ile z tego trafia za granicę.
0mld
Roczna wartość komercyjna danych mieszkańców Polski (mld zł) — ok. 5 900 zł na osobę — przechwytywana głównie przez globalne platformy. Szac. Web3 Foundation.

Lock-in i zdolność wyjścia

Vendor lock-in vs architektura otwarta

Tani start, a po zamknięciu w ekosystemie — podwyżki i bariera wyjścia. Otwarte standardy, FOSS i przenoszalność danych to konkretne narzędzia, które tę barierę obniżają.

Otwarta architektura wygrywa. Zamknięty ekosystem blokuje wyjście i dusi migrację (port przekreślony), podczas gdy sieć otwarta rośnie, reorganizuje się po usunięciu węzła i przyjmuje nowe — realna kontrola i exit capability.
  • interoperacyjność
  • otwarte standardy
  • otwarte API
  • FOSS i copyleft
  • przenoszalność danych
  • exit capability

Osiem wymiarów

Suwerenność mierzy się
w ośmiu wymiarach

Schemat Suwerennej Chmury Komisji Europejskiej (2025) rozkłada ją na osiem uzupełniających się kategorii — tyle samo, ile warstw ma stos kontroli. Żadnej nie da się pominąć.

01 / 08

Strategiczna

Kto faktycznie kontroluje dostawcę i gdzie powstaje wartość: struktura własnościowa, wpływ podmiotów spoza UE, inwestycje, miejsca pracy oraz odporność na naciski zewnętrzne.

8
wymiarów

Obciążenie środowiskowe

Infrastruktura cyfrowa
pije wodę i prąd

Centra danych i modele AI zużywają wodę — do chłodzenia i do produkcji prądu — w skali wciąż systemowo niedoszacowanej. W Polsce ta infrastruktura skupia się wokół Warszawy i Mazowsza: regionu, w którym wody już dziś brakuje. Polityki cyfrowej nie da się oddzielić od wodnej i energetycznej.

  • Stres wodny — koncentracja inwestycji tam, gdzie zasobów wody jest najmniej.
  • Stranded infrastructure — centra szyte pod AI mogą stracić użyteczność po zmianie technologii.
  • Brak danych — w Polsce nie ma systemowej sprawozdawczości poboru wody i energii.

Ramy regulacyjne

Europa przesuwa debatę ku suwerenności operacyjnej

Ocena jurysdykcji i struktury kontrolnej dostawcy nie jest barierą handlową, lecz narzędziem oceny ryzyka — możliwym i koniecznym.

UE · 2025

Cloud Sovereignty Framework

Komisja opisała suwerenność dostawców ośmioma celami i skalą SEAL-0…4. Pierwszy przetarg na suwerenną chmurę — do 180 mln € — już ją stosuje obok ceny.

UE · 2026

CADA

Cloud and AI Development Act w Załączniku III każe audytować strukturę właścicielską aż do beneficjenta rzeczywistego, lokalizację, personel i łańcuch dostaw — bez udziału służb.

PL · KSCC

Art. 7 i art. 15

Eksterytorialny dostęp organów państwa trzeciego narusza poufność chronioną wprost — to „znane ryzyko”, więc kryterium jurysdykcji mieści się w delegacji ustawowej, a nie ją przekracza.

FISA §702 · CLOUD Act — eksterytorialny dostęp, którego nie usunie żadne szyfrowanie. Potwierdził to wyrok TSUE w sprawie Schrems II.

Serce raportu

Test suwerenności
Model kaskadowy

Nie próg kwotowy, lecz krytyczność systemu decyduje o wymaganiach. Im większe znaczenie infrastruktury dla państwa, tym wyższy reżim kontroli, jurysdykcji i zdolności wyjścia.

Czerwiec 2026 — premier zapowiedział na Europejskim Kongresie Finansowym test suwerenności dla zakupów technologicznych powyżej 5 mln zł (i 15 mln zł dla inwestycji infrastrukturalnych). Raport proponuje nadać mu podstawę ustawową i logikę krytyczności.

Krytyczność
Wpływ na suwerenność
Środowisko

Kryteria: operacyjne · jurysdykcyjne · ekonomiczne · poznawcze · środowiskowe · demokratyczne

KLASA 1 Reżim podstawowy

Świat już to robi

Reszta Europy już migruje — i liczy oszczędności

  • Wielka BrytaniaG-Cloud i Digital Marketplace — od 2011 r. GDS rozbił wielkie kontrakty na moduły i wpuścił MŚP; interoperacyjność stała się kryterium zakupowym.
  • FrancjaGendBuntu i plan DINUM — żandarmeria oszczędza ~2 mln € rocznie na licencjach; w 2026 r. ruszyła migracja 2,5 mln urzędników na Linux.
  • Trybunał w HadzeMTK po sankcjach USA — prokurator stracił dostęp do służbowej poczty Microsoft. Trybunał przeszedł na otwarty pakiet openDesk.
  • Szlezwik-HolsztynOdejście od Exchange i Outlooka — 30 tys. urzędników przechodzi na Open-Xchange i Thunderbirda, dla kontroli nad danymi.
  • Komisja EuropejskaPrzetarg na suwerenną chmurę — do 180 mln €, z suwerennością jako kryterium obok ceny, ocenianą skalą SEAL.
  • PolskaWiersz na razie pusty. Rekomendacje — w następnej sekcji.

Co powinna zrobić Polska

Dziewięć narzędzi, jedna strategia

Nie jeden przepis, lecz spójny zestaw: prawo, certyfikacja, zakupy publiczne, finansowanie, audyt i edukacja. Razem — polityka suwerenności cyfrowej.

  1. 01

    Ustawowy test suwerenności

    Z mocą prawa, a nie samej zapowiedzi — stosowany przy zakupie infrastruktury cyfrowej, zwłaszcza systemów krytycznych.

  2. 02

    Ustawa chmurowa

    Zamiast nienormatywnych WIIP i SCCO — twarde wymogi lokalizacji, interoperacyjności i przenoszalności usług.

  3. 03

    Certyfikat zaufanego dostawcy

    Ocena jurysdykcji, beneficjenta rzeczywistego i kontroli nad kluczami — spójna z poziomami zapewnienia CADA.

  4. 04

    Reforma zamówień publicznych

    Cena to nie wszystko: jurysdykcja, koszt migracji, ryzyko lock-in i exit capability jako kryteria postępowania.

  5. 05

    Audyt wydatków cyfrowych

    Państwo nie wie, ile płaci ani ile z tego wypływa za granicę. Najpierw trzeba to policzyć.

  6. 06

    Finansowanie przez PFR i BGK

    Krajowa chmura, FOSS i cyberbezpieczeństwo jako inwestycja w odporność, a nie koszt.

  7. 07

    Edukacja do wolności cyfrowej

    Od pakietu biurowego po rozumienie FOSS, AI i ich wpływu na demokrację — w szkole i w urzędzie.

  8. 08

    Local content

    Zamówienia, które budują krajowe kompetencje, miejsca pracy i zdolność utrzymania systemów.

  9. 09

    Krajowe centra danych

    Infrastruktura łącząca lokalizację, kontrolę operacyjną, bezpieczeństwo i efektywność zasobową.

Manifest

Państwo, które nie kontroluje swojej infrastruktury cyfrowej, traci zdolność działania

To nie izolacja, lecz zdolność wyboru, kontroli i bezpiecznego rozwoju. Okno na tę zmianę jest wąskie i nie powtórzy się w tej skali.