Pytanie, które jeszcze pięć lat temu brzmiało jak hipotetyczne ćwiczenie, dziś coraz częściej trafia na agendy zarządów: ile godzin średnia polska firma przetrwa bez dostępu do chmury największego amerykańskiego dostawcy? Sześć? Dwanaście? Co dzieje się po trzech dniach, kiedy nie da się wystawić faktury, zorganizować wysyłki, sprawdzić stanu magazynu?, zastanawia się w komentarzu eksperckim Wojciech Nowak, Partner Zarządzający w Sente.
Większość organizacji nie zna odpowiedzi. Jeszcze dekadę temu rozmowa o ciągłości działania kończyła się na backupach i serwerowniach. Dziś trzeba pytać o coś bardziej fundamentalnego: kto kontroluje warstwę, na której stoi codzienna operacja przedsiębiorstwa. To pytanie przestało być akademickie 20 października 2025 roku, gdy region AWS US-EAST-1 padł na 14 godzin i 32 minuty, paraliżując ponad 140 usług oraz aplikacje od Snapchata, przez Coinbase, po systemy bankowe. Dziewięć dni później, 29 października, awaria Azure Front Door na siedem godzin sparaliżowała Microsoft 365, Xbox, Heathrow, Vodafone, NatWest i Capital One.
Półtora roku wcześniej wadliwa aktualizacja CrowdStrike unieruchomiła 8,5 mln komputerów na całym świecie – tylko firmy z Fortune 500 oszacowały straty na 5,4 mld USD. Ubezpieczenie pokryło 10–20%. Limit odpowiedzialności dostawcy w umowie? Wartość uiszczonych opłat.
Geopolityka weszła do firmowego ERP-a tylnymi drzwiami
Wojna celna USA z resztą świata, spór o eksport chipów, nacisk Brukseli na suwerenność cyfrową – to nie są już tylko tematy z portali branżowych. Decyzja regulacyjna podjęta w Waszyngtonie albo Pekinie potrafi z dnia na dzień zmienić koszt nowych licencji, dostępność usługi albo prawo do przetwarzania określonych danych. Nie musi być wojny – wystarczy decyzja administracyjna. W lutym 2025 roku konto e-mail prokuratora Międzynarodowego Trybunału Karnego Karima Khana zostało zablokowane po tym, jak administracja USA nałożyła na niego sankcje; Trybunał ostatecznie przeniósł się z Microsoft Office na niemiecki, opensource’owy OpenDesk. W czerwcu 2025 dyrektor prawny Microsoft France pod przysięgą przed francuskim Senatem przyznał, że firma „nie może zagwarantować”, że dane francuskich klientów nie zostaną przekazane administracji USA na podstawie CLOUD Act – nawet jeśli serwery stoją we Frankfurcie. W styczniu 2026 cła Trumpa na zaawansowane chipy zmieniły z dnia na dzień ekonomię każdego polskiego projektu AI.
Realia są takie, że w typowym polskim przedsiębiorstwie kluczowe procesy – sprzedaż, finanse, magazyn, komunikacja – w dużej mierze działają na infrastrukturze trzech amerykańskich gigantów. Łącznie kontrolują oni 70% rynku chmurowego w Europie. Według raportu Asterès dla francuskiego stowarzyszenia Cigref, europejskie firmy wydają rocznie 264 mld euro na amerykańskie oprogramowanie i chmurę – kwotę porównywalną z rachunkiem energetycznym całej Unii. To ryzyko, którego najczęściej nie ma w żadnym formalnym rejestrze, choć skala uzależnienia bywa porównywalna z uzależnieniem od jednego dostawcy energii czy jednego rynku zbytu.
Pytanie, którego polski biznes nie lubi
Drugą warstwę problemu widać rzadziej, bo jest mniej techniczna i bardziej niewygodna:
kto faktycznie jest właścicielem dostawcy oprogramowania, na którym oparta jest firma?
„Lokalny partner” bywa polskim szyldem na zagranicznym kapitale – i nie ma w tym nic
złego, dopóki nie zdarza się sytuacja, w której decyzja o roadmapie produktu, cenniku
albo wsparciu zapada w zupełnie innym kraju, niż wynikałoby to z logo na fakturze. W
ostatnich dwunastu miesiącach 62% transakcji M&A na polskim rynku IT odbyło się z
udziałem inwestora zagranicznego (raport CMT/Fordata, 2025).
Między pełną zależnością a wolnością
Żaden poważny analityk nie zarekomenduje dziś odcięcia się od AWS, Google’a czy
Microsoftu. Najlepsze modele językowe wciąż powstają w Stanach Zjednoczonych i
przez jakiś czas tak pozostanie – CEPA wyliczyła, że pełna replikacja amerykańskiego
stosu technologicznego kosztowałaby Europę 3,6 biliona euro. Ale między „pełną
zależnością” a „autarkią” jest cała przestrzeń decyzji, których się po prostu nie podejmuje,
bo nikt o nie nie pyta. Rosja po 2022 roku jest tu kontrintuicyjną lekcją: nawet z
bezprecedensowymi dotacjami państwa, lokalnym czempionem (1C) i pełną wolą
polityczną, migracja największych firm z SAP-a zajmuje już piąty rok i wciąż nie jest
zakończona. Czas budowy alternatywy mierzy się w kwartałach, czas utraty dostępu – w
godzinach.
Trzy pytania warte postawienia na poziomie zarządu i dyrektora IT jeszcze w tym
kwartale. Po pierwsze: które systemy muszą wstać w 24 godziny, gdyby zniknął główny
dostawca chmury – i czy istnieje na to plan, czy tylko nadzieja, oraz kiedy ostatnio
przeprowadzono test. Po drugie: jaka część stosu technologicznego jest oparta na
rozwiązaniach open source, możliwych do uruchomienia niezależnie od polityki
licencyjnej dowolnej korporacji, i kto ma fizyczny dostęp do kluczy szyfrowania. Po
trzecie: w jakim kraju faktycznie zapadają decyzje o produktach, od których zależy
operacja firmy, w jakiej walucie indeksowane są ceny i pod jaką jurysdykcją zawarto
kontrakt.
Suwerenność cyfrowa nie jest hasłem – jest kategorią ryzyka
Europa przez najbliższe dwa lata będzie przyspieszać w trzech obszarach: open source
w warstwie infrastruktury, własne LLM-y i chmura europejska. Polska ma w tej układance
własne karty: Operator Chmury Krajowej obsługujący Ministerstwo Finansów, Centrum
e-Zdrowia i ING, modele językowe Bielik (mecenat InPost, Beyond i EY) oraz PLLuM
rozwijany w konsorcjum HIVE pod NASK. To nie są zamienniki dla GPT, ale wystarczają
tam, gdzie chodzi o wrażliwe dane klienta i polski język. Od 3 kwietnia 2026 roku
obowiązuje znowelizowana ustawa o KSC wdrażająca NIS2; podmioty kluczowe muszą
udokumentować analizę ryzyka łańcucha dostaw ICT. Można się z tego śmiać, można
ignorować, można też zacząć dobierać partnerów technologicznych tak, jakby to miało
znaczenie. Bo zaczyna mieć.
Suwerenność cyfrowa przestała być technologicznym wyborem, a stała się twardą
kategorią zarządzania ryzykiem. W świecie nieprzewidywalnej geopolityki i globalnych
awarii bezpieczeństwo biznesu zależy od zachowania pełnej kontroli nad operacjami,
zanim ktoś inny – świadomie lub przez przypadek – odetnie nam do nich dostęp.
Ostatecznie przetrwają nie te firmy, które dysponują najnowocześniejszą chmurą, lecz te,
które w godzinie próby będą trzymać własne klucze do systemów, zyskując tym samym
jedyną realną gwarancję ciągłości działania.
