Europejski rynek chmury wchodzi w etap, w którym sama rezydencja danych przestaje wystarczać. Dla firm działających w sektorach regulowanych coraz większe znaczenie ma nie tylko to, gdzie przechowywane są dane, ale także kto ma do nich dostęp, jak zarządzane są obciążenia, jakie mechanizmy kontroli obejmują środowisko IT oraz czy rozwiązania oparte na AI można wdrażać w sposób bezpieczny, audytowalny i zgodny z wymaganiami UE. Dyrektywa NIS2 wzmacnia europejskie podejście do cyberbezpieczeństwa, obejmując szerszy katalog sektorów i nakładając większy nacisk na zarządzanie ryzykiem, raportowanie incydentów, bezpieczeństwo łańcucha dostaw oraz odpowiedzialność kadry zarządzającej. W tym kontekście suwerenność chmury coraz częściej oznacza architekturę projektowaną od początku z myślą o kontroli, odporności i zgodności. Na ten trend odpowiada rozwijana współpraca Capgemini i Google Cloud, której najnowszym elementem jest Google Cloud AI Enterprise Hub – inicjatywa mająca przyspieszyć wdrażanie agentowej AI w środowiskach produkcyjnych przedsiębiorstw.
Suwerenność chmury to więcej niż lokalizacja danych
Jeszcze niedawno rozmowa o suwerenności cyfrowej koncentrowała się głównie na tym, w jakim regionie przechowywane są dane i czy organizacja może ograniczyć ich transfer poza określone granice geograficzne. Dziś to podejście jest zbyt wąskie. Rezydencja danych pozostaje ważnym fundamentem, ale nie wyczerpuje tematu zgodności, bezpieczeństwa ani kontroli operacyjnej.
Organizacje coraz częściej potrzebują odpowiedzi na szerszy zestaw pytań: kto może uzyskać dostęp do danych i metadanych, jakie usługi są objęte mechanizmami kontroli, jak dokumentowane są działania administracyjne, czy środowisko pozwala wykazać zgodność podczas audytu oraz jak ograniczyć ryzyka wynikające z korzystania z usług, które nie spełniają określonych wymogów.
Google Cloud rozwija w tym obszarze m.in. EU Data Boundary w ramach Assured Workloads. Dokumentacja Google wskazuje, że pakiet ten obejmuje kontrole dotyczące rezydencji danych, wspiera wykorzystywanie regionów unijnych oraz określa listę wspieranych produktów, punktów API i ograniczeń, które należy uwzględniać przy projektowaniu środowisk zgodnych z wymaganiami suwerenności danych. To pokazuje, że suwerenna architektura nie powstaje przez sam wybór regionu chmurowego. Wymaga świadomego dobrania usług, polityk dostępu, zasad organizacyjnych i procesów operacyjnych.
NIS2 przesuwa cyberbezpieczeństwo na poziom zarządzania
Rosnące znaczenie suwerenności chmury wynika także z szerszej zmiany regulacyjnej. NIS2 ustanawia wspólne ramy cyberbezpieczeństwa dla 18 krytycznych sektorów w UE, wzmacniając obowiązki związane z zarządzaniem ryzykiem, zgłaszaniem istotnych incydentów, współpracą między państwami członkowskimi oraz nadzorem. Komisja Europejska podkreśla również, że nowe przepisy zwiększają odpowiedzialność najwyższego kierownictwa za niewłaściwe zarządzanie ryzykiem cyberbezpieczeństwa. W praktyce oznacza to, że decyzje dotyczące suwerennej chmury i AI przestają być wyłącznie decyzjami technologicznymi, a stają się elementem zarządzania ryzykiem, odpowiedzialności i zdolności operacyjnej organizacji. Szczególnie dotyczy to takich sektorów jak energetyka, finanse, ubezpieczenia, produkcja, telekomunikacja czy infrastruktura cyfrowa, gdzie systemy IT wspierają procesy krytyczne dla działania firm i ich klientów.
AI zwiększa stawkę. Systemy agentowe muszą być gotowe na produkcję
Równolegle firmy wchodzą w kolejny etap wykorzystania sztucznej inteligencji. Coraz więcej organizacji chce wyjść poza pilotaże i wdrażać AI w realnych procesach biznesowych: obsłudze klienta, analizie danych, marketingu, produkcji, usługach finansowych, telekomunikacji czy zarządzaniu operacjami. To istotnie zwiększa wymagania wobec architektury chmurowej.
Agentowe systemy AI nie działają w izolacji. Mogą integrować się z aplikacjami, korzystać z danych operacyjnych, wykonywać zadania w wielu systemach i wspierać decyzje podejmowane w czasie rzeczywistym. Dlatego potrzebują nie tylko modeli i narzędzi programistycznych, ale również spójnych mechanizmów zarządzania tożsamością, kontroli dostępu, monitorowania, obserwowalności, oceny jakości i audytowalności działań.
Google Cloud, ogłaszając Gemini Enterprise Agent Platform, wskazuje m.in. na funkcje takie jak Agent Identity, Agent Registry, Agent Gateway, Agent Simulation, Agent Evaluation i Agent Observability, czyli elementy związane z kontrolą, śledzeniem, bezpieczeństwem i oceną działania agentów AI. Dla firm działających w Europie jest to szczególnie istotne, bo innowacyjność AI musi iść w parze z wymaganiami regulacyjnymi i operacyjnymi.
Od pilotażu do działania w środowisku klienta
Odpowiedzią Capgemini i Google Cloud na rosnącą złożoność wdrożeń AI jest rozszerzenie strategicznego partnerstwa oraz uruchomienie Google Cloud AI Enterprise Hub. Inicjatywa ma wspierać przedsiębiorstwa w skalowaniu Google Cloud Gemini Enterprise poprzez model inżynierii osadzonej bezpośrednio w środowiskach klientów. Capgemini zapowiada utworzenie zespołów Outcome Deployed Engineers, które będą pracować w dedykowanych podach razem z Forward Deployed Engineers Google, projektując, budując i wdrażając agentów AI wokół rzeczywistych procesów biznesowych.
To podejście dobrze wpisuje się w zmianę oczekiwań na rynku. Firmy nie potrzebują już kolejnych demonstracji możliwości AI, lecz rozwiązań, które działają w środowisku produkcyjnym, uwzględniając złożoność branży, istniejące systemy, dane, procesy i wymagania regulacyjne. W przypadku organizacji działających w Europie oznacza to konieczność projektowania AI równolegle z zasadami bezpieczeństwa, zgodności i suwerenności danych – a nie dopiero dostosowywania jej do tych wymogów po zakończeniu fazy eksperymentów.
– Aby przejść od potencjału AI do realnego wpływu biznesowego, przedsiębiorstwa potrzebują wyspecjalizowanej inżynierii głęboko osadzonej w ich kluczowych operacjach. Dzięki nowemu Google Cloud AI Enterprise Hub Capgemini pomaga klientom z większą pewnością budować i skalować agentowe systemy AI, które przynoszą mierzalne rezultaty – komentuje Kevin Ichhpurani, President, Global Partner Ecosystem w Google Cloud.
„Sovereign-by-design” jako warunek skalowania AI
W praktyce podejście „sovereign-by-design” polega na tym, aby kwestie suwerenności, cyberbezpieczeństwa i zgodności regulacyjnej nie były traktowane jako dodatkowa warstwa nakładana na gotowe rozwiązanie. Powinny być uwzględniane już na etapie projektowania architektury, wyboru usług, modelu danych, zasad dostępu, automatyzacji, monitoringu i procesów operacyjnych.
Dla firm wdrażających AI oznacza to kilka kluczowych decyzji: określenie, które dane i procesy wymagają szczególnej ochrony, dobór usług chmurowych zgodnych z wymaganymi mechanizmami kontroli, zapewnienie widoczności działań oraz zdolność wykazania, że przyjęte rozwiązania faktycznie działają. Rezydencja danych odpowiada na pytanie „gdzie?”. Model „sovereign-by-design” idzie dalej i pyta: „kto?”, „jak?”, „na jakich zasadach?”, „z jakim poziomem kontroli?” oraz „czy można to udowodnić w audycie?”.
– Dyskusja i decyzje o chmurze i AI przesuwają się dziś z technologii na trzy kluczowe obszary: compliance architecture, AI governance oraz sovereign cloud. Architektura zgodności przestaje być warstwą „po fakcie”. Staje się elementem projektowania systemów – obejmując modele dostępu, zarządzanie tożsamością i pełną audytowalność działań, tak aby organizacje mogły spełniać wymagania regulacyjne, oraz je wykazać. Równolegle rośnie znaczenie AI governance. Wraz z wejściem AI do środowisk produkcyjnych konieczne jest zapewnienie kontroli nad działaniem modeli i agentów – w tym nad zarządzaniem dostępem do danych, monitorowaniem decyzji oraz ich audytowalnością. AI staje się częścią krytycznej infrastruktury operacyjnej. Uzupełnieniem jest suwerenna infrastruktura (sovereign cloud), która wykracza poza wybór regionu czy dostawcy. To projektowanie środowisk zapewniających faktyczną kontrolę nad danymi, procesami i operacjami w zgodzie z regulacjami. Połączenie tych trzech elementów pozwala skalować chmurę i AI w sposób bezpieczny, zgodny i gotowy na realne wymagania biznesowe – podkreśla Artur Kmiecik, Head of Cloud and Infrastructure Delivery w Capgemini Polska.
Chmura suwerenna to kierunek, nie jednorazowy projekt
Europejskie wymagania regulacyjne, rozwój agentowej AI i rosnąca skala wykorzystania chmury prowadzą do jednego wniosku: organizacje potrzebują bardziej dojrzałego modelu zarządzania technologią. Suwerenność nie jest pojedynczą funkcją platformy ani jednorazową decyzją zakupową. To proces obejmujący architekturę, operacje, dane, bezpieczeństwo, odpowiedzialność i ciągłą weryfikację zgodności.
W erze NIS2 pytanie nie brzmi już, czy firmy będą korzystać z chmury i AI. Kluczowe staje się to, czy potrafią robić to w sposób kontrolowany, audytowalny i odporny – zaprojektowany od początku zgodnie z zasadą „sovereign-by-design”.
