Cel Komisji Europejskiej, by w ciągu pięciu do siedmiu lat potroić rynek centrów danych UE, wymagałby głębokiej ingerencji w rynek, a CADA dokładnie to zapewnia.
Komisja Europejska przedstawiła niedawno projekt aktu o rozwoju chmury i sztucznej inteligencji (CADA). Jego celem jest pobudzenie europejskiego sektora chmury i AI poprzez przebudowę infrastruktury, rynku usług chmurowych w UE oraz zasad funkcjonowania administracji publicznej w przyszłości.
REKLAMA
REKLAMA
CADA skupia się na trzech filarach: inwestycjach w badania, rozwój i innowacje; rozbudowie mocy – tak, by w ciągu najbliższych pięciu–siedmiu lat potroić rynek centrów danych w Europie; oraz na kompleksowych zasadach autonomii, obejmujących cztery poziomy suwerenności i bezpieczeństwa oraz nowe obowiązki dla państw członkowskich.
CADA budzi mieszane reakcje
Dotychczas projekt spotkał się z mieszanymi ocenami. Organizacje branżowe, takie jak CCIA Europe, określają go jako dyskryminujący, ponieważ CADA wymagałaby od państw członkowskich UE wskazania zastosowań wymagających określonych poziomów suwerenności, których dostawcy spoza UE „z założenia nie byliby w stanie spełnić”.
Polski prawnik specjalizujący się w nowych technologiach, Mikołaj Barcenciewicz, już wcześniej podkreślał, że CADA powinna opierać się na analizie ryzyka, a nie sztywnych kategoriach; podejście poszczególnych państw i zasada pomocniczości powinny być zachowane, a nie ujednolicane.
Szwedzki europoseł Jörgen Warborn niedawno odniósł się do projektu CADA na LinkedIn. Zaznaczył, że cele europejskiej suwerenności cyfrowej trzeba uzupełnić dalszym upraszczaniem przepisów i lepszymi warunkami prowadzenia biznesu, tak aby wzmocnić „perspektywę zwrotu z inwestycji”.
Dodał, że cele UE dotyczące suwerenności należy rzeczywiście wzmacniać w zastosowaniach krajowych związanych z bezpieczeństwem narodowym. Mniej wrażliwe obszary powinny jednak pozostać otwarte na bezpośrednie inwestycje zagraniczne, ponieważ „zdecydowana większość światowego majątku znajduje się poza UE” i to Unia powinna zabiegać o przyciąganie tych inwestycji, a nie odwrotnie.
Fińska europosłanka, Aura Salla, natomiast zaapelowała o jeszcze bardziej scentralizowane podejście do stress-testowania zależności technologicznych i oceny ryzyka na poziomie państw członkowskich.
Część zainteresowanych podmiotów – na przykład niemiecki dostawca oprogramowania Nextcloud – uważa z kolei, że obecny projekt jest zbyt mało ambitny i powinien objąć także sektor prywatny.
Limit 12 miesięcy na pozwolenia, ale więcej obowiązków
Tytuł III CADA wprowadza dwa główne mechanizmy szybkiego zwiększania mocy centrów danych w UE: strefy przyspieszonego rozwoju centrów danych (Data Centre Acceleration Zones) oraz strategiczne projekty centrów danych (Data Centre Strategic Projects).
W ciągu sześciu miesięcy od wejścia rozporządzenia w życie każde państwo członkowskie ma wyznaczyć co najmniej jedną taką strefę. Musi ją włączyć do lokalnych planów zagospodarowania, biorąc pod uwagę dostępność sieci energetycznej, przepustowość łączy oraz wyraźne pierwszeństwo dla terenów już zagospodarowanych (brownfield).
Inwestycje zlokalizowane w takich strefach lub objęte indywidualnym statusem strategicznego projektu zyskują „zielony korytarz”: procedura wydawania pozwoleń ma trwać maksymalnie 12 miesięcy.
Lista wymogów zgodności w CADA jest jednak bardzo rozbudowana. Operatorzy infrastruktury będą musieli stosować ujednolicone unijne wskaźniki zrównoważonego rozwoju, a przydział lokalnych zasobów będzie ściśle kontrolowany, aby zapobiec spekulacyjnemu blokowaniu terenów lub praktykom antykonkurencyjnym.
W praktyce państwa członkowskie mają zaledwie sześć miesięcy, by w złożonych lokalnych systemach planowania wyznaczyć strefy spełniające wszystkie kryteria, a potem kolejne, równie napięte 12 miesięcy na wydanie indywidualnych pozwoleń.
Samo budowanie centrów danych już dziś napotyka poważne bariery w świecie fizycznym. Tylko kilku wyspecjalizowanych wykonawców ma wymagane certyfikaty, każdy etap inwestycji podlega szczegółowym audytom, a nawet stosunkowo niewielkie obiekty powstają czasem latami.
Nakładając tak rozbudowane obowiązki regulacyjne na państwa członkowskie i dostawców infrastruktury, unijni decydenci ryzykują, że limit „maksymalnie 12 miesięcy” stanie się jedynie mało znaczącym punktem odniesienia w z natury skomplikowanym procesie inwestycyjnym.
Duże zmiany w zamówieniach publicznych
Tytuł IV CADA wraz z załącznikami wprowadza sztywny nowy schemat, który dokładnie określa, jakie rodzaje oprogramowania i usług chmurowych mogą kupować państwa członkowskie.
Potrzeby sektora publicznego będą ściśle przypisane do czterech poziomów bezpieczeństwa określonych w załączniku II do CADA.
Poziom 1 obejmuje podstawową suwerenność i bezpieczeństwo; dopuszczalna jest własność korporacyjna z państw trzecich.
Poziom 2 dotyczy znacznej suwerenności cyfrowej. Własność korporacyjna z państw trzecich jest nadal możliwa, pod warunkiem że wszystkie operacje, infrastruktura, personel i wsparcie pozostaną ściśle na terenie UE, są objęte „istotną” certyfikacją cyberbezpieczeństwa, a dane klientów nie mogą być wykorzystywane do trenowania systemów AI w państwach trzecich.
Poziom 3 oznacza wysoki poziom suwerenności i bezpieczeństwa narodowego. Kontrola korporacyjna z państw trzecich jest tam co do zasady zakazana, z nielicznymi wyjątkami przyznawanymi przez Komisję Europejską. Poziom 4 to maksymalna autonomia i bezpieczeństwo infrastruktury krytycznej, gdzie kontrola podmiotów z państw trzecich jest całkowicie wykluczona.
Jak państwa członkowskie mają wdrożyć nowe ramy CADA w praktyce? Po pierwsze, muszą wyznaczyć jeden lub kilka krajowych organów właściwych, które będą egzekwować przepisy, kontrolować dostawców i rozpatrywać wnioski o uznanie dostawców usług chmurowych.
W ciągu roku państwa członkowskie mają przeprowadzić ocenę ryzyka – powtarzaną następnie co dwa lata – aby zidentyfikować działania sektora publicznego zależne od usług chmurowych i przypisać im odpowiedni poziom bezpieczeństwa.
Obecny projekt CADA całkowicie zmieni sposób, w jaki dotąd wyglądały zamówienia publiczne na usługi chmurowe.
Dotychczas instytucje publiczne w państwach członkowskich mogły swobodnie wybierać dostawców chmury, kierując się ceną, jakością usług, własnymi potrzebami organizacyjnymi oraz krajowymi przepisami dotyczącymi zarządzania danymi, opartymi na analizie ryzyka dla suwerenności.
Tam, gdzie wcześniej w przetargach dominowały cena i standardowe parametry techniczne, państwa członkowskie będą teraz musiały brać pod uwagę także kryteria pozacenowe, na przykład to, w jakim stopniu dany dostawca wzmacnia europejski ekosystem cyfrowy.
Artykuł ukazał się pierwotnie w serwisie EU Tech Loop (źródło w Angielski) i został opublikowany w Euronews na mocy porozumienia.