Władza publiczna
Zdolność stanowienia, egzekwowania i implementacji decyzji — w tym z zakresu bezpieczeństwa.
Raport Polskiej Chmury
Suwerenność cyfrowa jako narzędzie bezpieczeństwa, rozwoju i polityki przemysłowej państwa.
Serwer stoi w Polsce, a dostawca podlega obcemu prawu. Kto wtedy naprawdę kontroluje dane?
Wyścig już trwa
W kwietniu 2026 r. Francja ruszyła z największą migracją administracji w historii Europy: docelowo 2,5 mln urzędników przejdzie na Linux. Macron mówi wprost — Europa nie może być „technologicznym wasalem” Stanów Zjednoczonych ani Chin. Niemcy, Dania i Komisja Europejska idą w tę samą stronę.
A Polska? Płaci coraz wyższy rachunek za zagraniczne usługi cyfrowe, nie budując przy tym ani własnych kompetencji, ani aktywów. A stawką jest bezpieczeństwo państwa, miejsca pracy i zdolność samodzielnego decydowania — w czasach, gdy chmura, AI i dane decydują o sprawczości.
Dla Polski ten sam wyścig jest też szansą — kołem zamachowym, które może przesunąć kraj z półperyferii bliżej centrum światowej gospodarki.
Najważniejsze wnioski
Szybka ścieżka dla decydentów, administracji i mediów.
Chmura, rejestry i systemy administracji są infrastrukturą krytyczną — równie ważną jak sieć energetyczna. Ich awaria albo eksterytorialny dostęp do nich to nie incydent IT, lecz utrata zdolności państwa.
Serwer w Polsce, a kontrola za granicą — tak wygląda dziś większość kontraktów chmurowych. CLOUD Act i FISA pozwalają sięgnąć po dane przechowywane w UE, bez zgody administratora i poza zasięgiem szyfrowania.
Po przejęciu VMware przez Broadcom faktury za licencje rosły o 800–1500%. To nie wyjątek, lecz mechanizm: tani start, a po zamknięciu w ekosystemie — podwyżki, których nie da się ominąć.
Z analizy Fundacji Instrat wynika, że 99% przetargów pośrednio lub wprost wyklucza konkurencję wobec Big Techu. Każda złotówka albo buduje krajowe kompetencje, albo zasila cudzy budżet.
WIIP i SCCO to wytyczne bez mocy wiążącej, ustawy chmurowej wciąż nie ma, a krajowy schemat certyfikacji nie został wydany. Administracja działa bez realnej osłony.
Kaskadowy model, w którym wymagana kontrola rośnie wraz z krytycznością systemu — stosowany w zamówieniach, z podstawą ustawową. Zapowiedziany przez premiera w czerwcu 2026 r.
Dlaczego to sprawa państwa
Kto traci kontrolę nad infrastrukturą krytyczną, traci granice swojej autonomii decyzyjnej. Od niej zależy zdolność państwa do odtwarzania trzech filarów swojego działania.
Zdolność stanowienia, egzekwowania i implementacji decyzji — w tym z zakresu bezpieczeństwa.
Zdolność wytwarzania, przetwarzania i utrzymywania informacji niezbędnej do decyzji.
Centra danych, sieci, energia, sprzęt, oprogramowanie i ich łańcuchy dostaw.
Suwerenność cyfrowa oznacza zdolność państwa i jego instytucji do egzekwowania swoich praw oraz interesów, w tym bezpieczeństwa narodowego, w kontekście infrastruktury cyfrowej — przy jednoczesnym zachowaniu konkurencyjnego poziomu produktów i usług.
Warstwy kontroli
Suwerenności nie daje sama lokalizacja serwera. Kontrola rozkłada się na cały stos — od jurysdykcji i beneficjenta rzeczywistego, przez klucze, panel administracyjny i personel uprzywilejowany, po podwykonawców. Jeśli dostawca podlega prawu państwa trzeciego, może wydać dane bez wiedzy administratora, a szyfrowanie i izolacja tego nie zatrzymają.
Skanowanie stosu kontroli…
Koszt zależności
Lock-in i zdolność wyjścia
Tani start, a po zamknięciu w ekosystemie — podwyżki i bariera wyjścia. Otwarte standardy, FOSS i przenoszalność danych to konkretne narzędzia, które tę barierę obniżają.
Osiem wymiarów
Schemat Suwerennej Chmury Komisji Europejskiej (2025) rozkłada ją na osiem uzupełniających się kategorii — tyle samo, ile warstw ma stos kontroli. Żadnej nie da się pominąć.
01 / 08
Kto faktycznie kontroluje dostawcę i gdzie powstaje wartość: struktura własnościowa, wpływ podmiotów spoza UE, inwestycje, miejsca pracy oraz odporność na naciski zewnętrzne.
Obciążenie środowiskowe
Centra danych i modele AI zużywają wodę — do chłodzenia i do produkcji prądu — w skali wciąż systemowo niedoszacowanej. W Polsce ta infrastruktura skupia się wokół Warszawy i Mazowsza: regionu, w którym wody już dziś brakuje. Polityki cyfrowej nie da się oddzielić od wodnej i energetycznej.
Ramy regulacyjne
Ocena jurysdykcji i struktury kontrolnej dostawcy nie jest barierą handlową, lecz narzędziem oceny ryzyka — możliwym i koniecznym.
Komisja opisała suwerenność dostawców ośmioma celami i skalą SEAL-0…4. Pierwszy przetarg na suwerenną chmurę — do 180 mln € — już ją stosuje obok ceny.
Cloud and AI Development Act w Załączniku III każe audytować strukturę właścicielską aż do beneficjenta rzeczywistego, lokalizację, personel i łańcuch dostaw — bez udziału służb.
Eksterytorialny dostęp organów państwa trzeciego narusza poufność chronioną wprost — to „znane ryzyko”, więc kryterium jurysdykcji mieści się w delegacji ustawowej, a nie ją przekracza.
FISA §702 · CLOUD Act — eksterytorialny dostęp, którego nie usunie żadne szyfrowanie. Potwierdził to wyrok TSUE w sprawie Schrems II.
Serce raportu
Nie próg kwotowy, lecz krytyczność systemu decyduje o wymaganiach. Im większe znaczenie infrastruktury dla państwa, tym wyższy reżim kontroli, jurysdykcji i zdolności wyjścia.
Czerwiec 2026 — premier zapowiedział na Europejskim Kongresie Finansowym test suwerenności dla zakupów technologicznych powyżej 5 mln zł (i 15 mln zł dla inwestycji infrastrukturalnych). Raport proponuje nadać mu podstawę ustawową i logikę krytyczności.
Kryteria: operacyjne · jurysdykcyjne · ekonomiczne · poznawcze · środowiskowe · demokratyczne
Świat już to robi
Co powinna zrobić Polska
Nie jeden przepis, lecz spójny zestaw: prawo, certyfikacja, zakupy publiczne, finansowanie, audyt i edukacja. Razem — polityka suwerenności cyfrowej.
Z mocą prawa, a nie samej zapowiedzi — stosowany przy zakupie infrastruktury cyfrowej, zwłaszcza systemów krytycznych.
Zamiast nienormatywnych WIIP i SCCO — twarde wymogi lokalizacji, interoperacyjności i przenoszalności usług.
Ocena jurysdykcji, beneficjenta rzeczywistego i kontroli nad kluczami — spójna z poziomami zapewnienia CADA.
Cena to nie wszystko: jurysdykcja, koszt migracji, ryzyko lock-in i exit capability jako kryteria postępowania.
Państwo nie wie, ile płaci ani ile z tego wypływa za granicę. Najpierw trzeba to policzyć.
Krajowa chmura, FOSS i cyberbezpieczeństwo jako inwestycja w odporność, a nie koszt.
Od pakietu biurowego po rozumienie FOSS, AI i ich wpływu na demokrację — w szkole i w urzędzie.
Zamówienia, które budują krajowe kompetencje, miejsca pracy i zdolność utrzymania systemów.
Infrastruktura łącząca lokalizację, kontrolę operacyjną, bezpieczeństwo i efektywność zasobową.
Centrum raportu
Pełny raport i streszczenie dla decydentów — w jednym miejscu, bezpłatnie.
Pobierz pełny raport PDF · Cyfrowa racja stanu · 2026Manifest
To nie izolacja, lecz zdolność wyboru, kontroli i bezpiecznego rozwoju. Okno na tę zmianę jest wąskie i nie powtórzy się w tej skali.
Pobierz raport
Dziękujemy! Pobieranie raportu rozpoczęło się automatycznie.
Jeśli plik nie zaczął się pobierać, kliknij tutaj.