Relacja z Gaia-X Summit 2025 w Porto – europejskie standardy i cyfrowa suwerenność jako priorytet

Na zaproszenie organizatorów przyjechałem do Porto, aby wziąć udział w konferencji Gaia-X Summit 2025. Tematy poruszane podczas tego wydarzenia są, moim zdaniem, wśród najbardziej istotnych w europejskiej branży technologicznej. 

Najpierw odrobinę wyjaśnienia: czym jest Gaia-X? Jest to europejska inicjatywa mająca wzmocnić cyfrową suwerenność poprzez stworzenie otwartego, interoperacyjnego i zdecentralizowanego ekosystemu danych oraz usług chmurowych. Działa od 2021 r. początkowo zainicjonowana przez Niemcy i Francję, dziś wspierana jest przez większość państw UE, instytucje publiczne i firmy technologiczne. W Polsce Hub Gaia-X działa od 2021 roku, a w inicjatywie uczestniczą m.in. PIIT i PCSS. Gaia-X standaryzuje usługi chmurowe, ułatwiając działanie mniejszym dostawcom i umożliwiając certyfikację, dzięki której najbardziej wrażliwe dane mogłyby być przetwarzane wyłącznie w UE. Inicjatywa ma wzmocnić europejską niezależność technologiczną, podnieść poziom bezpieczeństwa i transparentności oraz wesprzeć rozwój innowacji opartych na danych.

Tyle teoria. Praktyka? Niezwykle trudno jest przebić pewien schemat, który funkcjonuje od dawna. W przypadku naszej branży schematem tym jest dominacja podmiotów spoza Europy, głównie amerykańskich. Zamiast jednak prowadzić walkę z wiatrakami, Gaia-X prowadzi włączającą politykę budowania standardów.

Gaia-X wchodzi w fazę „Data Spaces in Action”. Po kilku latach intensywnych prac architektonicznych i politycznych – takich jak wypracowanie trust framework, zgodności z Data Act czy budowa modeli etykietowania suwerenności – organizacja zaczyna rozliczać się z konkretów. I to właśnie konkrety dominowały podczas konferencji prasowej, która otworzyła tegoroczny szczyt Gaia-X. Konferencję jednakże omówię na końcu, gdyż zawiera ona treści, które stanowią doskonałe podsumowanie wydarzenia.

Gaia-X Summit 2025 w Porto to przede wszystkim punkt zwrotny w europejskiej polityce danych. Po latach budowy koncepcji, tworzenia ram architektonicznych i przygotowywania podwalin legislacyjnych, inicjatywa Gaia-X deklaruje wejście w etap „Season Two” – okres, w którym teoretyczne fundamenty mają ustąpić miejsca rzeczywistym wdrożeniom. Premiera Gaia-X Trust Framework 3.0 „Danube”, stanowi nie tylko aktualizację techniczną, lecz przede wszystkim formalizację ambicji: Europa chce mieć własną, interoperacyjną i suwerenną gospodarkę danych, zdolną konkurować z dominującymi modelami amerykańskimi i chińskimi.

Wpasowuje się to zresztą w trend obecny w polityce europejskiej. Komisja Europejska oczekuje konsolidacji i federacji istniejących przestrzeni danych. Lata tworzenia Data Governance Act, Data Act czy szeregu regulacji sektorowych doprowadziły Unię do punktu, w którym warstwa prawna nie jest już przeszkodą, lecz zasobem. Z tych regulacji wyłania się europejski model zarządzania danymi, oparty na bezpieczeństwie, transparentności, zrównoważonym rozwoju i interoperacyjności. W tym kontekście Danube 3.0 pełnić ma rolę mechanizmu, pozwalającego automatyzować zgodność, rozszerzać identyfikację podmiotów oraz integrować zasady działania ekosystemów cyfrowych ponad granicami państw i sektorów.

Ulrich Ahle, CEO Gaia-X, podkreślił, że dojrzałość technologiczna została osiągnięta. Seria projektów pilotażowych, realizowanych od 2020 r., miała charakter eksploracyjny – sprawdzano, jak różne sektory definiują swoje potrzeby, w jaki sposób chcą wymieniać dane i na jakich zasadach chcą zachować kontrolę nad własnością intelektualną. Teraz zaczyna się etap infrastrukturalny. W jego centrum znajdują się: chmura, zautomatyzowane mechanizmy potwierdzeń zaufania oraz model biznesowy dla dataspace’ów, który pozwoli im funkcjonować bez stałego dofinansowania publicznego. To kluczowe, bo – jak zwracano uwagę – tylko kilka europejskich przestrzeni danych funkcjonuje w oparciu o stabilne ekonomicznie modele.

Wprowadzenie „Danube” to przede wszystkim stworzenie spójnego języka technicznego – zestawu reguł, interfejsów i metod walidacji – który może być adoptowany przez dowolny sektor, niezależnie od jego specyfiki regulacyjnej czy wymogów bezpieczeństwa. Dr. Christoph Strnadl, CTO Gaia-X, zwrócił uwagę na fakt, że nowy model pozwala budować zaufanie ponad granicami jurysdykcji, co w praktyce oznacza możliwość federacji wielu równoległych ekosystemów. Z perspektywy europejskich firm technologicznych jest to narzędzie umożliwiające działanie na jednolitym rynku danych, a nie w dwudziestu siedmiu rozproszonych rynkach narodowych.

Znaczenie tych zmian dobrze widać w sektorach strategicznych, których przedstawiciele wystąpili w Porto. Lotnictwo, energetyka czy zarządzanie miastem, to tylko część aktywności, które reprezentowali zaproszeni goście. Airbus, wdrażający własny dataspace DECADE-X, traktuje modele Gaia-X jako sposób na utrzymanie kontroli nad know-how i łańcuchami dostaw, a jednocześnie jako narzędzie obniżające ryzyko zależności od globalnych dostawców chmurowych. Podobnie sektor energetyki atomowej, który zaprezentował projekt Data4NuclearX, postrzega framework Gaia-X jako warstwę niezbędną dla certyfikowalności, audytowalności i weryfikowalności dostaw danych.

Wydarzenie w Porto miało również wymiar pozaeuropejski. Ogłoszenie powstania Gaia-X Hub Digital Trust Canada wskazło, że koncepcja europejskiej suwerenności danych zaczyna przyciągać partnerów spoza kontynentu. Nie brakowało przy tym gości z Japonii czy Brazylii. Idea, która stoi za tą geograficzną ekspansją, jest jasna: w tym modelu suwerenność nie oznacza zamknięcia, lecz zdefiniowaną i negocjowaną współpracę, opartą na transparentnych zasadach.

Należy więc zadać sobie pytanie: czy to wszystko nie pozostanie w fazie formalnych standardów, które nie będą de facto wykorzystywane, bo amerykańscy hyperscalerzy zadziałają wyłącznie w zgodności z własnym interesem? Niewykluczone, ale Gaia-X broni się przed tym scenariuszem na kilka, całkiem sprytnych sposobów. Przede wszystkim przedstawiciele amerykańskich gigantów są członkami organizacji. Mają więc pewien wpływ na powstawanie standardów kreowanych przez Gaia-X, co sprawić ma, że trudno będzie im owe standardy zanegować. Co więcej, każdy z członków organizacji, czy to niewielki operator data center z Niemiec, operator telekomunkkacyjny z Polski czy amerykański gigant chmurowy, posiada jeden głos, a w zarządzie zasiadać mogą przedstawiciele jedynie podmiotów europejskich. W ten sposób „europejskość” Gaia-X pozostaje nienaruszona, mimo iż w samej organizacji znajdują się też podmioty spoza UE.

Konferencja prasowa – wiele odpowiedzi w obszarze suwerenności Europy

Jak wspomniałem na początku, wydarzenie rozpoczęło się od dość kameralnej konferencji prasowej. Jej charakter natomiast był dość dynamiczny i, w mojej ocenie, obfitował w interesujące treści. Przedstawiciele Gaia-X nie opowiadali o tym, co mogłoby powstać, ale o tym, co faktycznie działa, co jeszcze nie działa i gdzie leżą bariery. Momentami brzmiało to bardziej jak raport z pola walki o europejską suwerenność cyfrową, niż jak wystąpienie organizacji standaryzacyjnej.

Już na początku CEO Gaia-X, Ulrich Ahle, określił ton całego wydarzenia: „Technologia jest gotowa. Jest używana w wielu projektach. Mamy ponad 150 projektów implementacyjnych w Europie, ale wciąż tylko garstkę w pełni operacyjnych data spaces”

W tych kilku zdaniach zawarł zasadniczy problem – Europa ma standardy, ma narzędzia, ma pierwsze wdrożenia, ale nie ma jeszcze skali. A skala jest kluczowa, jeśli europejskie data spaces mają konkurować z globalnymi platformami, takimi jak AWS, Google Cloud czy Microsoft Azure z jednej strony, a Alibaba Cloud czy Tencent Cloud z drugiej, które od lat działają w oparciu o modele współdzielenia danych, ale pod innymi standardami i inną jurysdykcją.

Ahle podkreślił, że świat nie zamierza czekać na europejskie decyzje. Powiedział wprost: „Na digital sovereignty  summit w Berlinie było absolutnie jasne, że zapotrzebowanie na to, co robimy, jest ogromne – nie tylko ze strony korporacji jak Siemens czy SAP, ale też MŚP i startupów”  – I dodał, że podobne rozmowy prowadził niedawno w Japonii, Korei, Brazylii i Kanadzie, gdzie koncepcja suwerennego zarządzania danymi rośnie w siłę.

Kontekst jest istotny, bo – jak przypomniał CEO – rozwiązania Gaia-X mają działać również poza Europą, respektując lokalne legislacje. „Dzięki trust framework możemy zapewnić globalną współpracę przy zachowaniu lokalnych przepisów. To jak GSM w telekomunikacji. Telefon działa tak samo w Europie, USA czy Japonii. Nasze podejście do danych ma działać analogicznie” – stwierdził Ahle

Tegoroczna konferencja w Porto była także momentem publicznej prezentacji pierwszej wersji katalogu usług opartych na standardach Gaia-X. Jak zapowiedział Ahle: „W pierwszej wersji katalog prezentuje 600 usług od 15 dostawców. Do końca roku chcemy mieć 1000”

Co ważne, katalog od razu klasyfikuje usługi według czterech poziomów bezpieczeństwa i suwerenności. Najwyższy – Label Level 3 – mogą otrzymać tylko dostawcy z europejską siedzibą główną. Ahle wyjaśnił powód bardzo jasno: „To poziom, który może być spełniony tylko przez dostawców mających siedzibę w Europie, by uniknąć ryzyka podlegania zagranicznej jurysdykcji, jak amerykański Cloud Act”

Kwestia hyperscalerów – Microsoftu, Google i AWS – wracała w pytaniach dziennikarzy jak bumerang. I nie bez powodu. Ich działania w obszarze „sovereign cloud” budzą mieszane uczucia w Europie. CTO Gaia-X, dr Christoph Strnadl, nie unikał tematu: „Sovereignty Cloud Index Komisji Europejskiej to nie jest zero-jedynkowe ‘tak’ lub ‘nie’. To skala. Jeśli spełniasz nasze wymogi Label Level 2 lub 3, automatycznie spełniasz 50–80% celów suwerenności cyfrowej UE” – tłumaczył. Po chwili dodał jednak kluczowe zdanie: „Usługodawca podlegający Cloud Act nie może spełnić wymogów poziomu 3. To wynika z prawa, nie z opinii”

Jeszcze mocniej wybrzmiał głos Catherine Justin, która odpowiadała na pytanie o realność „suwerennych” usług hyperscalerów:

„Uwielbiam pracować z AWS, korzystam z Google i Microsoftu, ale nie dla najbardziej krytycznych zastosowań. Po prostu nie mogę zaufać usługom, które w każdej chwili mogą zostać objęte amerykańskim Cloud Act, niezależnie od bieżącej praktyki. To nie jest kwestia marketingu, tylko prawa” – powiedziała. Dodała też, nawiązując do kwestii bezpieczeństwa danych w relacji z partnerami zza Atlantyku: „To, że coś nie wydarzyło się w przeszłości, nie znaczy, że nie wydarzy się w przyszłości. A jeśli francuska ANSSI lub niemiecki BSI mówią mi, że coś nie jest wystarczająco bezpieczne – to nie jest wystarczająco bezpieczne”

Dużo emocji wywołał również wątek Chin. Jeden z dziennikarzy zapytał, czy Europa nie popełnia strategicznego błędu, skoro Chiny wprowadzają koncepcję data spaces, a jednocześnie pozostają krajem stosującym systemy nadzoru oparte na danych. Roland Fadrany, COO Gaia-X odpowiedział szczerze:

„Chińska agencja rządowa zajmująca się danymi ogłosiła strategię stworzenia 100 zaufanych data spaces do 2028 roku. Zrobili to sami, bez naszego udziału. Nie możemy im zabronić korzystania z naszej koncepcji, bo wszystko, co robimy, jest open source” – COO Gaia-X dodał jeszcze bardziej bezpośrednio: „Nie możemy promować suwerenności i jednocześnie mówić innym krajom, że nie mogą rozwijać własnych rozwiązań. To byłoby sprzeczne z samą ideą suwerenności, prawda?”

W trakcie konferencji pojawił się również temat bezpieczeństwa danych w kontekście komputerów kwantowych. Strnadl, z wykształcenia fizyk teoretyczny, odparł: „Każdy komputer kwantowy potrzebuje klasycznego interfejsu. To on jest bramą, która podlega certyfikacji. W architekturze Gaia-X dopuszczamy dowolny poziom szyfrowania, jaki ekosystem uzna za stosowny – w tym standardy postkwantowe. Już teraz pracujemy z FIPS 204 i 205”

Jednym z najbardziej pragmatycznych fragmentów była wypowiedź Justin dotycząca przyszłości data spaces: „Musimy zbudować model ekonomiczny. Konektory, katalogi, tożsamości, kontrakty – to wszystko trzeba utrzymywać. Jeśli firmy nie będą gotowe zapłacić choćby niewielkiej kwoty za korzyści, nie stworzymy żadnego trwałego ekosystemu”

To bardzo europejski problem: technologia powstaje, często naprawdę dobra, ale jej urynkowienie pozostaje niewielkie, a nieraz nie opuszcza murów uczelnianych. W porównaniu z modelem amerykańskim czy chińskim, może wydawać się to, niestety dla Europy, systemem mało efektywnym. Justin wypowiedziała to, co w kuluarach mówią wszyscy: bez modelu biznesowego data spaces pozostaną projektami pilotażowymi.

Finalne pytania wróciły do polityki. „Czy zaufanie do amerykańskich hyperscalerów pogorszyło się po zmianach politycznych w USA?” – padło z sali. Justin skomentowała krótko: „Na pewno się nie poprawiło. A dyskusja o europejskiej suwerenności cyfrowej wróciła na poważnie około dziewięć miesięcy temu. To już nie tylko francuska obsesja – jak powiedział ostatnio kanclerz Mertz, Europa zaczyna rozumieć, że brak suwerenności ma realną cenę”

Widać wyraźnie, że Gaia-X działa jak podmiot, który ma na stole gotową technologię, realne przykłady wdrożeń (EDF i projekt Data for Nuclear były często przywoływane) i rosnącą grupę przemysłowych odbiorców, którzy doskonale wiedzą, czego chcą. Jeśli lata 2021–2023 były czasem budowania podstaw, a rok 2024 okresem przyspieszenia, to 2025–2026 będzie testem dorosłości Gaia-X. Prawdziwym sprawdzianem będzie nie liczba prezentacji, ale liczba działających, przynoszących wartość data spaces. Bo – jak podsumował Ahle – „Data spaces muszą działać. Dopiero wtedy przynoszą korzyści gospodarce. I dopiero wtedy ich idea ma sens”