Z raportu ENISA Threat Landscape 2025 wynika, że ataki na systemy operacyjne infrastruktury krytycznej – sieci energetycznych, wodociągów, systemów przemysłowych – stanowią już niemal jedną piątą wszystkich zagrożeń cybernetycznych w Europie.

Zarządzanie lokalne jest niezbędne

Sebastian Wąsik, Country Manager baramundi software w Polsce, podkreśla, że fundamentem odpornej architektury jest pełna przejrzystość i lokalna kontrola nad infrastrukturą IT.

„Organizacja musi w czasie rzeczywistym wiedzieć, jakie urządzenia działają w sieci, jaki jest ich stan i gdzie znajdują się podatności. Powinna móc zarządzać nimi lokalnie, nawet przy braku dostępu do Internetu. Dlatego utrzymywanie krytycznych systemów on-premises, niezależnych od decyzji zewnętrznych dostawców, to dziś konieczność” – zaznacza Sebastian Wąsik.

Suwerenność cyfrowa w praktyce

Szwajcarski dostawca energii, gazu, wody i ciepła – Regionalwerke Baden – zbudował architekturę gotową na sytuacje kryzysowe, od awarii zasilania po odizolowanie sieci w wyniku cyberataku. Krytyczne systemy funkcjonują lokalnie, a zarządzanie odbywa się przez szyfrowane kanały. Natomiast automatyczne skanowanie podatności pozwala wykrywać i eliminować luki.

„Systemy oparte wyłącznie na chmurze szybko osiągają swoje granice podczas awarii zasilania, ograniczonej łączności czy cyberataków” – podkreśla Philippe Bähler, kierownik IT Regionalwerke Baden. „Dlatego korzystamy z chmury tam, gdzie ma to techniczny sens, ale pełną kontrolę utrzymujemy lokalnie. Zapewnia nam to maksymalną niezależność operacyjną, bez technologicznej izolacji” – wyjaśnia kierownik.

Suwerenność cyfrowa – 7 filarów według baramundi:

1 Alternatywy open source
Oprogramowanie oparte na zamkniętych ekosystemach uzależnia firmy od jednostronnych decyzji licencyjnych producenta. Rozwiązania open source zapewniają natomiast pełną widoczność kodu, niższe koszty i mniejsze ryzyko uzależnienia od jednego dostawcy.

2 Technologie produkowane w UE
Suwerenność danych zależy od jurysdykcji dostawcy (od kraju, w jakim zarejestrowana jest firma), nie od lokalizacji serwerów. Dostawcy europejscy podlegają RODO i unijnym regulacjom, co daje pewność prawną i możliwość skutecznego egzekwowania praw.

3 Bezpieczeństwo danych w chmurze
Kluczowe są trzy zasady. Są to: szyfrowanie end-to-end, przejrzyste modele autoryzacji oparte na zasadzie minimalnych uprawnień oraz udokumentowane procedury trwałego usuwania danych po zakończeniu współpracy.

4 On‑premises tam, gdzie to kluczowe
Lokalne rozwiązania eliminują ryzyko dostępu osób trzecich do wrażliwych zasobów. Gwarantują również pełną kontrolę nad infrastrukturą i pozwalają działać nawet przy braku Internetu.

5 Odpowiedzialność partnerów
Umowy powinny wymagać audytów, transparentności łańcucha podwykonawców oraz określać jednolite standardy bezpieczeństwa.

6 Strategie wyjścia
Każdy system powinien mieć zidentyfikowaną alternatywę. Regularna inwentaryzacja zależności to element podstawowej higieny zarządzania ryzykiem.

7 Współzarządzanie i dywersyfikacja
Korzystanie z kilku kompatybilnych systemów (podejście „best of breed”) zmniejsza ryzyko uzależnienia od jednego dostawcy i zwiększa elastyczność.

Chmura też ma być suwerenna

Eksperci podkreślają znaczenie rozwiązań lokalnych dla suwerenności cyfrowej, natomiast trend ku technologicznej niezależności nie omija rynku IaaS. Gartner spodziewa się, iż w latach 2025-2026 europejskie wydatki na suwerenną chmurę wzrosną o 83 proc., do 12,6 mld dol. Z tym że dostawcami są w tym kontekście również globalni giganci, jak AWS, obsługujący klientów w UE ze swoich europejskich centrów danych.