Komunikat prasowy nadszedł w piątek 17 kwietnia 2026, trzy dni przed otwarciem Targów w Hanowerze. Rolf Schumann i Christian Müller, współ-CEO Schwarz Digits, zaprezentowali European Sovereign Stack Standard — ES³ — z wyraźną ambicją zostania europejską miarą suwerenności cyfrowej. Format: model dojrzałości w czterech poziomach — Basic, Initial, Advanced, Future-Proof. Mechanizm: katalog ponad 100 kryteriów. Marker wiarygodności: niezależna weryfikacja przez BDO AG, której przewodniczący zarządu Parwäz Rafiqpoor podpisał atest.

Schumann podsumował propozycję: „Przekształcamy potrzebę suwerenności cyfrowej w mierzalny standard dla firm przemysłowych, MŚP i sektorów regulowanych." Następnie pojawiło się oświadczenie weryfikacyjne BDO: „Audyt modelu dojrzałości suwerenności przez BDO potwierdza: model dojrzałości ES³ stanowi niezależną, praktyczną podstawę dla wzmocnienia suwerenności cyfrowej w Europie."

To pierwszy europejski arkusz oceny suwerenności, który przyszedł z infrastrukturą audytową. Jest też pisany przez firmę konkurującą na rynku, który teraz ocenia.

Co proponuje ES³

Cztery poziomy dojrzałości mają być progresywne. Basic obejmuje minimalne deklaracje o miejscu danych. Initial ustanawia operacyjną niezależność od kontroli spoza UE. Advanced wymaga pełnej architektonicznej separacji od zależności spoza UE. Future-Proof deklaruje weryfikowalną ciągłość w wrogich warunkach geopolitycznych.

Katalog, według publicznego podsumowania, obejmuje jurysdykcję, własność, kontrolę operacyjną, łańcuch dostaw i pieczę nad kluczami. Weryfikacja BDO obejmuje metodologię, a nie indywidualne oceny produktów — to znacząca dystynkcja. Zweryfikowana metodologia to nie to samo, co zweryfikowana ocena produktu; ES³ certyfikuje, jak oceniać, a nie kto ocenił dobrze.

Kupujący sektora publicznego mogą wpisać do warunków przetargu konkretny poziom ES³ i odrzucać oferty poniżej niego. Już to zmienia strukturę bodźców. Do czasu ES³ suwerenność w europejskich zamówieniach była albo deklaracją binarną, albo oceną opartą na wibracjach. Teraz istnieje liczba.

Argument za

Trzy rzeczy, które ES³ robi, a których nikt obecnie nie robi.

Stawia liczbę na suwerenności. Przed ES³ suwerenność w języku przetargowym była słowem marketingowym bez zdefiniowanej treści. Model dojrzałości z audytem oznacza, że publiczny kupujący może odrzucić ofertę, która nie spełnia wskazanego poziomu. Najbliższe porównywalne europejskie ramy — Gaia-X labelling — zostały skrytykowane za ogólnikowość i powolną realizację. ES³ jest szybsze i bardziej konkretne.

Ustanawia warstwę weryfikacji, którą konkurenci muszą zaadresować. Gdy istnieje mierzalny standard, alternatywy muszą albo dorównać jego kryteriom, albo publicznie wyjaśnić, dlaczego wybrały inne. Tak ramy regulacyjne stają się operacyjne.

Przyszedł w momencie, gdy europejskie zamówienia aktywnie szukały kryteriów. Niemiecki Vergabebeschleunigungsgesetz, uchwalony sześć dni później, uczynił suwerenność dopuszczalnym kryterium oceny. ES³ dostarcza kryteria, które prawo uznaje za dopuszczalne. Synchronizacja nie jest przypadkowa.

Konflikt w sercu sprawy

Schwarz Digits to ramię IT i cyfryzacji Schwarz Gruppe — spółki-matki Lidla i Kauflandu — i operuje StackIT, znaczącym europejskim dostawcą chmury konkurującym bezpośrednio z AWS, Azure i Google Cloud w europejskich przetargach. Bernd Wagner, CSO Schwarz Digits, który wprowadził detal techniczny na stoisku w Hannover Messe, prowadzi architekturę bezpieczeństwa zaprojektowaną według kryteriów, które spółka-matka teraz też napisała. Schwarz Digits nie jest neutralnym ciałem standaryzacyjnym. To uczestnik rynku piszący reguły własnego rynku.

Samo w sobie to nie dyskwalifikujące. Standardy ISO, IEEE i IETF rutynowo powstają u dostawców mających interes w grze. Ale jest to strukturalnie identyczne z Microsoftem piszącym standard, względem którego ocenia się Microsoft Sovereign Cloud, lub AWS publikującym kryteria certyfikacji European Sovereign Cloud. Powinien tu obowiązywać ten sam sceptycyzm, który oczywiście obowiązywałby tam.

Rutynowo oferuje się dwie linie obrony i każda nie wytrzymuje.

Pierwsza linia obrony: ktoś musiał to zrobić, a rynek nie poczekałby na neutralne ciało. To prawda. Europejskie prace nad formalnymi standardami toczą się w skali czasu CEN-CENELEC i ETSI — lata aż do dekad. Działający dostawcowy standard teraz jest prawdopodobnie bardziej użyteczny niż powolny neutralny w 2032. Ale „prawdopodobnie bardziej użyteczny" to nie „neutralny". Adopcję tego standardu trzeba dyskutować odpowiednio.

Druga linia obrony: weryfikacja BDO łagodzi konflikt interesów. Częściowo. Język atestu Rafiqpoora jest konkretny — potwierdza metodologię, nie indywidualne oceny produktów. Dostawcowo napisana metodologia, która dobrze przechodzi audyt, wciąż jest dostawcowo napisaną metodologią. Konflikt interesów leży w doborze kryteriów, nie w proceduralnej poprawności audytu.

Pytanie cui-bono upraszcza się. Schwarz Digits i StackIT zyskują, jeśli ES³ stanie się domyślnym arkuszem oceny suwerenności, ponieważ ich oferta jest zaprojektowana według kryteriów, które napisali. BDO zyskuje, będąc organem weryfikującym dla tego, co może stać się szeroko cytowanym europejskim standardem. Niemieckojęzyczny ekosystem suwerennej chmury szeroko zyskuje, jeśli niemieckie kryteria stają się de facto europejskim defaultem. Francuscy dostawcy suwerennej chmury — Outscale, OVHcloud, Atos, Linagora — nie współkształtowali kryteriów; tracą marginalnie, jeśli ES³ zostanie szeroko przyjęty.

Czego kryteria nie adresują — i gdzie nie są widoczne

Ponad 100 kryteriów obejmuje jurysdykcję, operacje, łańcuch dostaw i pieczę nad kluczami według publicznego podsumowania. Trzy warstwy architektoniczne są wyraźnie nieobecne w jakiejkolwiek znanej nam relacji.

Kanały aktualizacji dla podstawowych komponentów open source — większość wciąż płynie przez hosting kontrolowany w USA, głównie GitHub. Kryptograficzne zaufanie korzeniowe — które urzędy certyfikacji siedzą w łańcuchu weryfikacji. Gwarancje ciągłości pod sankcjami — co dzieje się, jeśli BDO, globalnie operująca firma usług profesjonalnych z amerykańską ekspozycją biznesową, sama zostałaby objęta sankcjami za weryfikację europejskiej suwerenności.

Poziom Future-Proof deklaruje adresowanie geopolitycznej ciągłości. Kryteria dla tego poziomu nie zostały publicznie wyliczone. Komunikat prasowy Schwarz Digits nie linkuje do katalogu. Relacja prasy branżowej opisuje model, ale nie reprodukuje tekstu kryteriów. Dopóki pełny katalog nie zostanie opublikowany, najwyższy poziom ES³ jest aspiracją z etykietą, a nie zweryfikowaną własnością.

Ten problem widoczności nie jest przypadkowy. Publiczna kontrola to mechanizm, który oddziela standard suwerenności od instrumentu marketingowego. Standard, który żyje za podsumowaniami i studiami przypadków, jest trudniejszy do skontrolowania niż ten, który publikuje pełny tekst. ES³ ustawił się na rynku, jeszcze nie poddając się rodzajowi inspekcji, na jaki ta pozycja zasługuje.

Czym ten artykuł nie jest

To nie jest twierdzenie, że ES³ jest zły. Europejskie zamówienia pilnie potrzebują kryteriów, a dostawcowo wiedziony standard z infrastrukturą audytową jest znacząco lepszy niż obecny stan.

To nie jest twierdzenie, że Schumann lub Müller działali w złej wierze. Konflikt interesów jest strukturalny, nie motywacyjny.

To nie jest twierdzenie, że standard zawiedzie. ES³ może stać się dominującą europejską referencją; może też zostać zastąpiony regulacyjnym systemem czterostopniowym CADA. Oba wyniki są możliwe.

Co zapytać przed przyjęciem

Pytanie dla kupujących sektora publicznego rozważających ES³ jako kryterium zakupowe jest krótkie i warte wypowiedzenia: czy przyjęlibyście model dojrzałości suwerenności napisany przez Microsoft i zweryfikowany przez KPMG na tych samych warunkach?

Jeśli odpowiedź brzmi „nie", odpowiednia ocena dla ES³ wymaga tego samego krytycznego sceptycyzmu. Konflikt interesów nie znika dlatego, że piszący dostawca jest europejski, a nie amerykański. Jest zmniejszony — ekspozycja jurysdykcyjna zmienia się między dostawcami — ale problem doboru kryteriów jest identyczny.

Następnym sygnałem do obserwacji jest sam katalog kryteriów. W chwili pisania pełny tekst nie jest publiczny. Nowa klauzula prawa zamówień Bundestagu potrzebuje konkretnych kryteriów do zakotwiczenia. Jeśli ES³ stanie się tym kotwicą, zanim katalog zostanie opublikowany, niemieckie zamówienia publiczne wynajmą swoją definicję suwerenności spółce zależnej Lidla. To niekoniecznie jest błędne. Jest strukturalnie identyczne z wynajmowaniem definicji suwerenności Microsoftowi, tylko z akcentem innej jurysdykcji.

Źródła

Przegląd tematu: Suwerenność cyfrowa w Europie Powiązane artykuły: Sovereignty washing — wyjaśnienie, Suwerenność w §58 VgV