Suwerenność technologiczna to zdolność do świadomego wyboru

Patronat medialny

• Eksperci wskazywali podczas dyskusji, że suwerenność technologiczna nie oznacza izolacji od zagranicznych dostawców, lecz zdolność państwa do świadomego wyboru, kontroli nad danymi, ciągłości działania oraz zarządzania zależnościami technologicznymi.
• Pełna suwerenność technologiczna jest celem idealnym, trudnym do osiągnięcia, dlatego praktycznym podejściem powinno być określenie granicy akceptowalnych zależności.
• Najbardziej rozbudowana część dyskusji dotyczyła zamówień publicznych, a uczestnicy wskazywali, że obecne procedury często nie nadążają za tempem rozwoju technologii.

W gronie przedstawicieli sektora publicznego, technologicznego, naukowców, dziennikarzy i ekspertów KIGC podczas spotkania pt. „Suwerenne i bezpieczne IT jako fundament zarządzania ryzykiem” dyskutowano o filarach budowy suwerenności technologicznej naszego kraju.

Wśród uczestników byli reprezentanci m.in. Ministerstwa Cyfryzacji, Ministerstwa Edukacji Narodowej, Urzędu Zamówień Publicznych, NASK, Instytutu Łączności i Sieci Badawczej Łukasiewicz.

Suwerenność technologiczna nie ma jednej oczywistej granicy – musimy się na nią umówić. Gdy zaczynamy ją rozkładać na czynniki pierwsze – sprzęt, chmurę, oprogramowanie, własność, łańcuch dostaw – okazuje się, że pełna kontrola jest w praktyce nieosiągalna. Dlatego zamiast idealizować, powinniśmy realistycznie definiować, gdzie ta granica suwerenności przebiega. Kluczowe są tu dwa elementy: bezpieczeństwo i świadomość. Bezpieczeństwo jako fundament funkcjonowania państwa i infrastruktury. Świadomość decyzyjna – to wiedza, jakie mamy opcje i jakie ryzyka się z nimi wiążą.Bo suwerenność to nie izolacja, tylko zdolność do podejmowania świadomych wyborów. I do zarządzania zależnościami w świecie, który z natury jest współzależny.
Dr inż. Marcin Grabarczyk, Dyrektor Pionu Transferu Technologii i Rozwoju Biznesu, NASK-PIB

Suwerenność technologiczność nie oznacza izolacji

Eksperci wskazywali, że suwerenność technologiczna nie oznacza izolacji od zagranicznych dostawców, lecz zdolność państwa do świadomego wyboru, kontroli nad danymi, ciągłości działania oraz zarządzania zależnościami technologicznymi.

Suwerenność cyfrowa to przede wszystkim zdolność zapewnienia dostępu do technologii – infrastruktury, oprogramowania i usług – w sposób świadomy i kontrolowany. Tam, gdzie to możliwe, powinniśmy opierać się na rozwiązaniach polskich i europejskich, ale jednocześnie umieć korzystać z technologii globalnych, gdy jest to potrzebne. Kluczowe jest jednak to, by zachować realną kontrolę nad danymi systemami i bezpieczeństwem łańcucha dostaw. Chodzi o to, żeby nie być tylko nieświadomym użytkownikiem technologii, ale mieć wpływ na jej wybór i sposób wykorzystania, rozumiejąc wszystkie istotne aspekty i konsekwencje. Suwerenność technologiczna to dzisiaj przede wszystkim mądre zarządzanie zależnościami, a nie ich całkowite eliminowanie, w szczególności tam gdzie jeszcze brakuje rodzimych rozwiązań o podobnej jakości, czy funkcjonalności.
Marcin Wysocki, zastępca Dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji.

Podkreślano, że kluczowe jest nie tylko „co” administracja kupuje, ale „jak” kupuje: czy potrafi uwzględniać bezpieczeństwo, interoperacyjność, dywersyfikację dostawców i realną kontrolę nad krytycznymi systemami.

Suwerenność to przede wszystkim świadomy wybór i realna możliwość jego zmiany. Nie chodzi o budowanie wszystkiego samemu, to nie jest realistyczne. Konieczne jest takie zarządzanie systemem, które daje kontrolę nad kierunkiem i alternatywami. To oznacza plan nie tylko na działanie, ale też na wyjście i scenariusze awaryjne – na wypadek, gdy którykolwiek z kluczowych elementów stanie pod znakiem zapytania.
Paweł Melon – Dyr. Biura Architektury i Infrastruktury IŁ-PIB

Suwerenność danych i kontroli nad systemami

Uczestnicy zdefiniowali suwerenność cyfrową jako połączenie kilku elementów: suwerenności danych, operacyjnej kontroli nad systemami, kompetencji po stronie państwa, odporności na kryzysy oraz zdolności do wymiany komponentów i dostawców.

Suwerenność technologiczną dzielę na cztery kluczowe elementy. Po pierwsze – suwerenność danych: gdzie dane są przechowywane, kto nimi zarządza i kto ma do nich realny dostęp.  Po drugie – suwerenność operacyjna, czyli zdolność do zarządzania systemami i realna kontrola nad ich działaniem. Trzeci element to odporność i ciągłość działania – czy jesteśmy w stanie funkcjonować, gdy jeden z dostawców przestaje działać, czyli kwestia dywersyfikacji. I wreszcie kompetencje – czy mamy ludzi i know-how, żeby tym wszystkim zarządzać. Suwerenność to więc nie tylko technologia, ale cały ekosystem: dane, kontrola, odporność i kompetencje.
Jacek Terpiłowski, wiceprezes zarządu, Exatel SA

Pełna suwerenność jest trudna do osiągnięcia

Zwracano uwagę, że pełna suwerenność technologiczna jest celem idealnym, trudnym do osiągnięcia, dlatego praktycznym podejściem powinno być określenie granicy akceptowalnych zależności.

W wielu obszarach trudno dziś mówić o pełnej suwerenności technologicznej – zwłaszcza w najbardziej zaawansowanych technologiach.Ale to, co możemy i powinniśmy robić, to budować interoperacyjność i kompatybilność systemów, żeby móc elastycznie zmieniać dostawców i unikać zależności. Drugi kluczowy element to dane – bo to one są krwiobiegiem całego systemu. Pytanie nie brzmi, gdzie jest infrastruktura, tylko czy mamy kontrolę nad danymi i możliwość ich przenoszenia. Bo moc obliczeniową można dziś kupić wszędzie – ale kontrola nad danymi decyduje o realnej suwerenności.
Adam Tomczak, Territory Development Executive CEE, AMD

Bezpieczeństwo cyfrowe to filar suwerenności

Dużo miejsca w debacie poświęcono cyberbezpieczeństwu. Wskazano, że powinno być traktowane jako fundament funkcjonowania państwa i gospodarki, a nie jako dodatkowy koszt.

Z jednej strony widać dziś rosnącą świadomość znaczenia bezpieczeństwa – szczególnie w kontekście danych, gospodarki i funkcjonowania państwa. To są absolutnie kluczowe kwestie. Z drugiej strony sama świadomość to za mało – równie ważna jest zdolność do dokonywania świadomych wyborów technologicznych. I tu pojawia się problem: wiele organizacji nie zna dostępnych alternatyw, w tym rozwiązań lokalnych czy europejskich. W efekcie decyzje często zapadają nie na podstawie pełnej wiedzy, ale ograniczonego wyboru. To uderza nie tylko w efektywność, ale też w rozwój naszej gospodarki. Dlatego kluczowe jest budowanie kompetencji decyzyjnych i realnej świadomości dostępnych opcji. Bo suwerenność zaczyna się od świadomego wyboru.
Karolina Charewicz-Jakubowska, CEO ITCORNER

Jednocześnie uczestnicy zgodzili się, że bezpieczeństwo musi być projektowane „by design”, być możliwie niewidoczne dla użytkownika i niewykluczające wygody korzystania z usług cyfrowych.

Postawiłbym znak równości między bezpieczeństwem a suwerennością, ale z zastrzeżeniem: one nie zawsze się pokrywają. Suwerenność nie zawsze oznacza większe bezpieczeństwo – czasem współzależność może je wzmacniać. Nie chodzi o to, żeby nie korzystać z globalnych rozwiązań, ale żeby mieć wybór, gdzie i jak są one wdrażane. Jednocześnie musimy brać pod uwagę realia – skoro powstaje infrastruktura globalnych dostawców, trudno ją całkowicie ignorować. Dlatego to nie jest prosta decyzja „albo–albo". I tu widzę dużą rolę edukacyjną państwa – żeby pomagać zamawiającym podejmować bardziej świadome decyzje.
Karol Tokarczyk, starszy analityk ds. gospodarki cyfrowej, Polityka Insight

Suwerenność ważna w czasie kryzysu

Podczas dyskusji podkreślono także kluczowe znaczenie przygotowania na sytuacje kryzysowe.

Interesy państw i partnerów nie zawsze są w pełni zbieżne – raczej się równoważą i wzajemnie kontrolują, i to jest naturalne. Ta symbioza działa w czasie pokoju, ale prawdziwym testem jest kryzys. I właśnie na takie scenariusze państwo musi być przygotowane. Jego rolą jest zapewnienie, że w sytuacji zakłóceń zachowujemy kontrolę – szczególnie nad danymi i kluczowymi systemami. Bo suwerenność sprawdza się nie wtedy, gdy wszystko działa, tylko wtedy, gdy coś przestaje działać.
Piotr Otrębski, zastępca Dyrektora Departamentu Innowacji i Rozwoju, Ministerstwo Edukacji Narodowej

Edukacja i kompetencje jako element bezpieczeństwa

Istotnym wątkiem podczas dyskusji była cyberedukacja, czyli budowanie świadomości cyfrowej obywateli, urzędników, zamawiających i użytkowników końcowych.

Świadomość bezpieczeństwa rośnie – i to jest bardzo dobra wiadomość. Problemem organizacji jest jednak częsty brak kompetencji technologicznych i narzędzi, by kupować rozwiązania cyfrowe w sposób bezpieczny i suwerenny. Dziś nadal kupujemy systemy IT w tym samym modelu, co na przykład krzesła – czyli z pominięciem skali i znaczenia projektu. Do tego dochodzi rozproszenie odpowiedzialności – między IT, prawem i zamówieniami publicznymi. Bez zmiany podejścia – większego nadzoru, certyfikacji kompetencji i współpracy z rynkiem – ten model się nie obroni. To nie jest zadanie dla jednej instytucji, ale wspólna odpowiedzialność administracji i branży, jeśli chcemy kupować technologie świadomie i dbając o suwerenność.
Tomasz Panufnik, Sales Director Public Sector, Dell Technologies

Zamówienia publiczne a nowe technologie i cyfryzacja

Najbardziej rozbudowana część dyskusji dotyczyła zamówień publicznych. Uczestnicy wskazywali, że obecne procedury często nie nadążają za tempem rozwoju technologii, a system zamówień publicznych traktuje zakup prostych produktów podobnie jak zakup złożonych systemów IT.

System zamówień publicznych obejmuje dziś ponad 30 tysięcy zamawiających. Ustawa Prawo zamówień publicznych jest aktem prawnym o charakterze uniwersalnym. Przewiduje procedury i rozwiązania, które – właściwie stosowane - umożliwiają efektywny zakup różnych przedmiotów zamówienia. Oczywiście możemy wprowadzać segmenty, specjalne regulacje czy wyjątki, ale na końcu tego systemu zawsze jest konkretny człowiek, który musi to wszystko spiąć proceduralnie. Dlatego projektując ewentualne zmiany, musimy patrzeć całościowo – nie tylko na potrzeby technologii, ale też na wiele innych aspektów, np. realne możliwości i ograniczenia po stronie zamawiających.
Michał Trybusz, rzecznik prasowy Urzędu Zamówień Publicznych

Jak wskazywali przedstawiciele rynku, problemem jest dominacja kryterium ceny, brak kompetencji technologicznych po stronie zamawiających, obawa przed odwołaniami do KIO oraz niewystarczający dialog między działami technicznymi, prawnymi i zamówieniowymi.

Kluczowe w definicji suwerenności technologicznej jest rozróżnienie na relację przedmiotową i podmiotową. W ujęciu przedmiotowym – opartym tylko na technologii czy zasobach – trudno mówić o realnej suwerenności. Dopiero w relacji podmiotowej, czyli tam, gdzie mamy zdolność działania, współpracy i wpływu możemy mówić o suwerenności w praktyce. Suwerenność to zdolność do realnego działania. A jakie są obecne uwarunkowania? Unijny chips Act zakładał uzyskanie suwerenności technologicznej na poziomie 20% w obszarze półprzewodników do roku 2030, tymczasem ostatnia ewaluacja wdrożenia ujawnia, że przy aktualnym tempie będzie to 11,7%. Bez realnej europejskiej konkurencji dla amerykańskich bigtechów czy tajwańskich i chińskich chipów Europa, a zatem też Polska, nie będą mogły się cieszyć suwerennością technologiczną.
Adw. dr Adam Rogala-Lewicki, doradca Prezesa, Centrum Łukasiewicz

Potrzeba wsparcia dla zamawiających

Pojawiły się postulaty tworzenia rekomendacji, rejestru zweryfikowanych rozwiązań IT, szerszego stosowania certyfikacji oraz wsparcia zamawiających przez instytucje publiczne. Eksperci podkreślali istotną rolę państwa jako „pierwszego klienta” i wzorca dla rynku.

Zaznaczali, że administracja powinna pokazywać konkretne przykłady wdrożeń bezpiecznych, suwerennych i efektywnych rozwiązań, zamiast ograniczać się do ogólnych deklaracji.

Obecne Prawo zamówień publicznych jest elastyczne – daje możliwość stosowania różnych rozwiązań, które mogą wspierać nowoczesne zakupy, także w obszarze IT. Natomiast mamy też świadomość, że kluczowym wyzwaniem pozostaje praktyka – czyli to, jak te narzędzia są faktycznie wykorzystywane. Dlatego bardzo ważne jest, że pojawia się temat nowej Polityki Zakupowej Państwa, która zaczyna zmieniać sposób myślenia o zamówieniach publicznych – z czysto proceduralnego na bardziej strategiczny
Michał Trybusz, rzecznik prasowy Urzędu Zamówień Publicznych

Biznes i administracja, administracja i biznes

W końcowej części dyskusji uczestnicy zastanawiali się, jakie elementy działalności operacyjnej mogłaby przejąć administracja od biznesu, a także wskazywano na oczekiwania administracji wobec rynku.

Najczęściej wskazywano: tempo działania, zwinność, efektywność zakupową, myślenie o całym cyklu życia projektu, odwagę decyzyjną, ciągłość zarządzania i większą otwartość na dialog z rynkiem.

Z kolei wobec biznesu formułowano oczekiwanie poczucia odpowiedzialności za bezpieczeństwo państwa, które może i powinno iść w parze z dbałością o rachunek ekonomiczny.

Suwerenność technologiczna to nie tylko dostęp do sprzętu czy samych technologii – choć to oczywiście fundament. To również dostęp do kompetencji, do specjalistów, którzy potrafią te technologie rozwijać, utrzymywać i bezpiecznie wykorzystywać – a tu akurat mamy w Polsce całkiem silną pozycję. Ale na tym się nie kończy. Suwerenność to także zdolność do zarządzania tymi zasobami, podejmowania świadomych decyzji i utrzymania kontroli nad całym środowiskiem technologicznym. Dopiero połączenie technologii, ludzi i zdolności operacyjnych daje realną, a nie tylko deklaratywną suwerenność.
Piotr Pawłowski, ekspert KIGC

Wnioski

Z debaty wynikało kilka wspólnych wniosków i rekomendacji, które zebrali moderujący debatę Mikołaj Rogalewicz z Cyberdefence24.pl i Bartosz Loba z KIGC:

• Suwerenność technologiczna powinna być rozumiana jako zdolność do świadomego wyboru, kontroli i zarządzania zależnościami, a nie jako izolacja.
• Cyberbezpieczeństwo musi być traktowane jako element podstawowy, projektowany od początku, a nie dodawany po wdrożeniu systemu.
• Państwo potrzebuje kompetencji, rekomendacji, certyfikacji i narzędzi wspierających zamawiających w bezpiecznych zakupach IT.
• Zamówienia publiczne wymagają większej elastyczności, lepszego wykorzystania istniejących narzędzi oraz odejścia od dominacji najniższej ceny.
• Kluczowe znaczenie ma edukacja: obywateli, urzędników, prawników, działów zakupów i decydentów.
• Administracja i biznes muszą prowadzić stały dialog, aby rozwiązania technologiczne były jednocześnie innowacyjne, bezpieczne i możliwe do wdrożenia.