Ugruntowana – po wielu latach eksperymentów – argumentacja uzasadniająca zalety chmury publicznej na rynku usług IT właśnie zostaje poddana w wątpliwość. Dotychczas, obok elastyczności i skalowalności, jedną z immanentnych cech chmury była swoboda wyboru lokalizacji repozytorium danych, o ile dostawca usługi taki wybór zapewniał lub w ogóle o tej lokalizacji informował. Takie podejście wskazywane było jako panaceum na ryzyko wystąpienia regionalnych konfliktów zbrojnych lub katastrof naturalnych, jednak w praktyce nikt tą lokalizacją się nie przejmował, o ile oczywiście usługa działała nieprzerwanie i szybko. Jednak czasy się zmieniły, a ryzyko zagrożeń fizycznych zdominowane zostało przez te cyfrowe. Przechowywanymi w chmurze gigantycznymi repozytoriami zaczęły interesować się rządy niekoniecznie sprzyjających nam państw i nawet jeśli nie będą w stanie ich wykraść (dopóki komputery kwantowe nie ułatwią łamania szyfrów), to mogą w znacznym stopniu utrudnić nam możliwość bezproblemowego korzystania z nich.

Sytuacja ta spowodowała, że podczas rozważań o wyborze konkretnych usług chmury publicznej analizowane powinny być takie kryteria, jak suwerenność danych czy zgodność z obowiązującymi w kraju użytkownika regulacjami. Sporą część temu zagadnieniu poświęcił Gartner w opublikowanym niedawno raporcie „Top Strategic Technology Trends for 2026”. Analitycy wprowadzili określenie geopatriacji (geopatriation) i określili je jako kluczowe dla kolejnych lat funkcjonowania chmury publicznej. Ich zdaniem do 2030 r. ponad 75 proc. przedsiębiorstw w Europie i na Bliskim Wschodzie przeniesie swoje wirtualne zasoby z globalnych chmur publicznych do regionalnych providerów lub własnych centrów danych zaprojektowanych z myślą o ograniczeniu ryzyka geopolitycznego.

Na scenie pojawiły się trzy rodzaje nacisku: regulacyjny, reputacyjny i operacyjny. Po pierwsze, ustawodawstwa wielu krajów (i regionów, jak w przypadku UE) coraz mocniej podkreślają konieczność zapewnienia suwerenności danych i definiują warunki przekazywania ich za granicę. Po drugie, klienci coraz częściej pytają o to, gdzie znajdują się ich dane, mając świadomość, że nonszalancja w tym zakresie może w skrajnym przypadku doprowadzić do kryzysu wizerunkowego, który w dobie nominacji mediów społecznościowych może być dotkliwy w skutkach. I wreszcie po trzecie, przy obecnych, delikatnie mówiąc „dziwnych” zachowaniach niektórych najważniejszych na świecie polityków może okazać się, że łączność z krajem, który reprezentują, może zostać ograniczona, co przełoży się na opóźnienia w dostępie do danych. Jednym słowem, bezrefleksyjne korzystanie z globalnej chmury praktycznie raz na zawsze przestało być bezpieczne.

Zjawisko geopatriacji zyskuje w Unii Europejskiej mocne umocowanie prawne. Punktem zwrotnym jest wejście w życie we wrześniu br. rozporządzenia Data Act, które reguluje dostęp, przenoszenie i udostępnianie danych przemysłowych, a także ogranicza zjawisko vendor lock-in. W ślad za nim wkrótce pojawi się dokument EU Cloud Rulebook, porządkujący zasady korzystania z usług chmurowych w sektorze publicznym i komercyjnym.

Regulacje te nie tylko wzmacniają suwerenność danych, ale też wymuszają zmianę modeli biznesowych dostawców chmury oraz tworzenie usług ograniczonych do jurysdykcji UE. Dla Polski oraz innych krajów członkowskich oznacza to realne konsekwencje. Podmioty z branż regulowanych (finansowa, medyczna, administracyjna) będą wymagały gwarancji lokalizacji danych i zgodności z europejskimi przepisami. To z kolei otwiera szansę dla lokalnych dostawców centrów danych i integratorów, którzy potrafią łączyć infrastrukturę krajową z globalnymi chmurami w modelu hybrydowym. W praktyce o rynkowej przewadze będzie decydować nie tylko technologia, lecz także zdolność do zapewnienia zgodności z Data Act i krajowymi interpretacjami zapisów tego rozporządzenia. Daje to też europejskim podmiotom gwarancję utrzymania lokalnych klientów i brak ryzyka ich odpływu, chociażby do rosnącej w siłę w kontekście usług chmurowych Azji.

Nie oznacza to jednak, że globalne chmury tracą sens. Globalni dostawcy nie znikną – chodzi raczej o elastyczność modelu i możliwość wyboru. Klientowi trzeba zaoferować coś więcej niż standardowa chmura: warunki lokalizacji, możliwość „wyjścia” z globalnej chmury, warunki przechowywania i przetwarzania danych w konkretnych jurysdykcjach. No i oczywiście koniecznie warto obserwować globalnych dostawców usług chmurowych, bo oni też z pewnością nie dadzą pojmać się żywcem. Google już zmniejszył opłaty za transfer danych, AWS zapowiada rozszerzenie pakietu usług świadczonych z terytorium Europy, obsługiwanych przez pracowników z UE, a także Red Hat rozpoczął świadczenie usługi gwarantowanego suwerennego wsparcia dla podmiotów z Unii Europejskiej.

Ten kolejny zakręt, w który wchodzą usługi chmurowe, niewątpliwie spowoduje, że oferta integratorów usług będzie musiała stać się przemyślana pod kątem modelu finansowania i rozliczeń, z uwzględnieniem takich elementów jak lokalizacja danych, dostępność w lokalnym centrum danych, SLA związane z regionalnymi przepisami itd. Natomiast czas pokaże, czy rzeczywiście jest to uzasadniona potrzeba europejskiego rynku, obliczona nie tylko w interesie bezpieczeństwa, ale także ekonomicznym.

Krzysztof Jakubik Krzysztof Jakubik  

Dziennikarz CRN Polska