Wczoraj zgłosiłeś buga. Drobiazg w marginesach rendera dokumentów, piętnaście linii kontekstu, dwa zrzuty ekranu. Podpisałeś go swoim prawdziwym imieniem i nazwiskiem. Twój profil GitHub to pokazuje; projekt, europejska inicjatywa suwerenności, wydał ci się dokładnie tym rodzajem pracy, który zasługuje na podpis.

Dziś rano twoja karta kredytowa przestaje działać.

Ten ciąg zdarzeń nie jest, na dzień dzisiejszy, udokumentowany. Jest kształtem ciągu, który ostatnie osiemnaście miesięcy uczyniło stopniowo coraz bardziej prawdopodobnym. 5 maja 2025 konto Microsoft 365 Karima Khana, głównego prokuratora Międzynarodowego Trybunału Karnego, przestało działać po tym, jak administracja Trumpa objęła go indywidualnymi sankcjami na podstawie Executive Order 14203. W maju 2026 Microsoft przekazał dane osobowe i korespondencję holenderskich urzędników — regulatorów egzekwujących unijny Digital Services Act — amerykańskiej podkomisji Kongresu w odpowiedzi na subpoena. W obu przypadkach dotknięte osoby wybrały lata wcześniej dostawcę z siedzibą w USA na podstawie rozsądnych instytucjonalnych zasad zamówieniowych. Konsekwencja polityczna była właściwością łańcucha dostaw, którego nie poddali audytowi.

Dziś sojusz europejskich firm wypuszcza alternatywę dla Microsoft 365. Komunikat prasowy nazywa to kamieniem milowym europejskiej suwerenności cyfrowej. Kod źródłowy jest hostowany przez Microsoft. Pipeline buildów działa na serwerach Microsoftu. Obrazy kontenerów są dystrybuowane przez rejestr kontenerów Microsoftu. Każdy wkład w europejską suwerenność jest rejestrowany w bazie Microsoftu w chwili powstania — pod twoim prawdziwym imieniem i nazwiskiem.

To nie jest przeciek, skandal ani przeoczenie. Repozytoria Euro-Office pod github.com/euro-office są jawnie obserwowalne. Sojusz stojący za premierą — IONOS, Nextcloud, EuroStack, Open-Xchange, XWiki, OpenProject oraz sześć innych szanowanych europejskich organizacji OSS — wybrał ten hosting świadomie i nadal uważa go za właściwy. Branżowa relacja prasowa z dzisiejszej premiery o tym nie wspomina. Komunikaty premierowe o tym nie wspominają. Pakiet Suwerenności Technologicznej Komisji Europejskiej, opracowywany równolegle, się tym nie zajmuje.

Warto powiedzieć wprost: to jest absurd. Nie w potocznym sensie zaskoczenia — przy spokojnej lekturze publicznej dokumentacji jest to dokładnie to, czego należałoby oczekiwać — ale w sensie, że każda standardowa definicja suwerenności cyfrowej, jaką europejski dyskurs wyprodukował w ciągu ostatnich czterech lat, jest niezgodna z tym, co właśnie się stało. Albo Euro-Office nie jest produktem suwerennościowym, albo definicje suwerenności w obiegu nie są spójne. Premiera wymusza wybór.

Użyteczna wersja tego artykułu to nie oburzenie, które pisze się samo. To audyt, przeramowanie i pytanie o zamówienia publiczne, które wynika z przyjęcia, że obecny dyskurs suwerennościowy ma nośny błąd w samym środku — i że bug, którego zgłoszenie wysłałeś wczoraj, jest, na wystarczająco długiej osi czasu, częścią ścieżki audytowej.

Co dzisiaj startuje

Euro-Office publikuje wersję 1.0 we wtorek 9 czerwca 2026. Sojusz, który za nim stoi, jest technicznie spójny: IONOS hostuje wariant chmury zarządzanej z Karlsruhe, Nextcloud integruje pakiet w Hub 26 jako domyślny zamiennik Collabora, Open-Xchange wnosi dziedzictwo groupware, a XWiki, OpenProject, Soverin, Abilian, BTactic i Office.eu dorzucają sąsiednie warstwy współpracy i hostingu.

Cztery główne repozytoria pod github.com/euro-officeeurooffice-nextcloud (PHP, AGPL-3.0), server (JavaScript, AGPL-3.0), sdkjs-forms (JavaScript, AGPL-3.0) oraz document-templates (Apache-2.0) — przyjmują defensywną postawę licencyjną właściwą dla oprogramowania hostowanego jako usługa: każdy komercyjny dostawca oferujący hostowany Euro-Office musi publikować swoje modyfikacje. Apache-2.0 na szablonach to słuszny wybór dla treści. To najmocniejsza kombinacja licencyjna na europejskim rynku pakietów biurowych OSS, materialnie mocniejsza niż MPL-2.0 Collabora Online czy AGPL z jednym dostawcą w OnlyOffice.

Kompatybilność formatów z Office Open XML działa na obciążeniach, które historycznie rozbijały europejskie migracje biurowe OSS: wielokartowe skoroszyty Excela z tabelami przestawnymi, dokumenty Worda ze śledzeniem zmian i komentarzami, PowerPoint z osadzonymi animacjami. Dostępne opcje wdrożenia obejmują chmurę zarządzaną, hybrydę oraz self-hostowany Docker lub Kubernetes na własnym Proxmoksie albo VMware klienta. Suwerenność runtime’owa jest realna: dane w niemieckich centrach danych, licencja chroniona przed forkiem zamkniętoźródłowym, niezależność formatu od kadencji wydań Microsoftu.

Na tej części nie ma gwiazdki. Produkt jest dobry. Decyzja zakupowa jako decyzja produktowa jest do obrony.

Audyt

Decyzja zakupowa jako decyzja suwerennościowa to miejsce, w którym architektura przestaje współpracować.

Każdy commit do każdego repozytorium Euro-Office, każdy issue, każdy pull request, każde uruchomienie pipeline’a CI/CD, każdy build obrazu kontenera i każdy artefakt wydania przepływa przez github.com. GitHub jest w pełni zależną spółką córką Microsoftu od czerwca 2018. Komunikaty premierowe tego nie podejmują. Branżowa relacja prasowa z premiery tego nie podejmuje. Sojusz nie zobowiązał się do utrzymywania lustra w Codeberg czy Forgejo i nie ogłosił zamiaru prowadzenia pozaamerykańskiego pipeline’a buildów.

To nie jest problem kontraktowy — licencja AGPL zachowuje prawo do lustrowania, forkowania i przebudowy — to problem operacyjny. Prawo do lustra jest bezwartościowe, dopóki lustro nie istnieje.

Precedens egzekucyjny jest udokumentowany i konkretny. W lipcu 2019 GitHub ograniczył dostęp do prywatnych repozytoriów i płatnych kont organizacyjnych deweloperom w Iranie, Syrii i na Krymie, w ramach zgodności z sankcjami OFAC. Projekty prywatne zniknęły z dnia na dzień. Publiczne repozytoria pozostały dostępne w trybie tylko do odczytu, ale działająca infrastruktura — issue tracker, pull requesty, GitHub Actions, obrazy kontenerów, dystrybucja pakietów — była niedostępna dla dotkniętych kont aż do uzyskania przez GitHub licencji OFAC w styczniu 2021, kiedy przywrócono usługę irańskim deweloperom. W marcu i kwietniu 2022 ten sam mechanizm zastosowano do podmiotów w Rosji oraz do okupowanych części Ukrainy objętych wskazaniem OFAC. Konta powiązane z sankcjonowanymi podmiotami straciły dostęp; płatne konta organizacyjne na Krymie oraz w obwodach donieckim i ługańskim pozostają ograniczone do dziś. Zasady dopuszczalnego użytkowania GitHuba nadal wskazują zgodność z amerykańską kontrolą eksportu jako regułę nadrzędną.

Prawdopodobieństwo, że ten mechanizm egzekucyjny dotknie niemieckie Stadtwerke albo francuski établissement public w którymkolwiek konkretnym kwartale, jest niskie. Prawdopodobieństwo w pięcioletnim horyzoncie zamówieniowym, wobec stosu Euro-Office z kilkuset upstreamowymi zależnościami OSS utrzymywanymi globalnie, jest materialnie wyższe niż zero. Właściwa stopa bazowa to nie nagłówkowe przypadki — Iran, Rosja, Krym — ale długi ogon: dowolna jedna krytyczna zależność, hostowana przez dowolnego jednego dewelopera w dowolnej jednej jurysdykcji, która stanie się istotna dla OFAC z dowolnej z dziesiątek prawdopodobnych przyczyn w ciągu pięciu lat. Większości tych zdarzeń wdrażający Euro-Office nie odczują. Niektóre odczują.

Istnieje druga kategoria ekspozycji łańcucha dostaw, operacyjnie bardziej prawdopodobna niż egzekwowanie sankcji: presja polityczna na operatora platformy, która prowadzi do dobrowolnego dostosowania. Wzorzec zgodności Microsoftu z lat 2025–2026 — zawieszenie skrzynki prokuratora MTK w maju 2025 po sankcjach USA, dobrowolne przekazanie nazwisk holenderskich regulatorów amerykańskiemu Kongresowi w maju 2026 — siedzi w tej kolumnie. Gdy dostawca usług z siedzibą w USA staje wobec amerykańskiej presji politycznej, odpowiedzią jest zgodność, nie opór. GitHub to ta sama architektura. Przyszła administracja USA, która uznałaby, że europejskie projekty suwerennościowe zasługują na uwagę, nie potrzebowałaby OFAC. Zasady dopuszczalnego użytkowania są wystarczającą podstawą do ograniczenia, według uznania samej platformy.

Wniosek z audytu jest prosty i niepochlebny: wdrożenie Euro-Office bez SBOM, bez infrastruktury lustra i bez planu ciągłości nie jest architektonicznie bardziej suwerenne niż wdrożenie M365, które zastępuje. Jest kontraktowo bardziej suwerenne — dane są w Karlsruhe, licencja to AGPL — ale łańcuch dostaw kończy się na tej samej platformie repozytoryjnej należącej do Microsoftu, na której znalazłaby się dystrybucja źródła M365, gdyby źródło M365 było w ogóle dostępne, czym nie jest.

Ludzie wewnątrz audytu

Dotychczasowy wywód architektoniczny traktował ryzyko instytucjonalnie — co dzieje się ze Stadtwerke, co dzieje się z decyzją zakupową. Ten sam wywód brzmi inaczej, gdy zaczyna się od ludzi, których nazwiska są udokumentowane.

Zacznijmy od Khana. MTK jest stałą instytucją międzynarodową z siedzibą w Hadze, poza jurysdykcją USA. Komunikacja głównego prokuratora była na Microsoft 365, ponieważ MTK podjął tę samą decyzję zakupową, którą w tym samym czasie podejmował każdy inny duży nabywca sektora publicznego w Europie, na tych samych rozsądnych-w-tamtej-chwili przesłankach. Gdy administracja Trumpa wskazała Khana na podstawie Executive Order 14203 w lutym 2025, ani prokurator, ani trybunał nie mieli sensownej opcji operacyjnej: Microsoft to firma z siedzibą w USA, obowiązek OFAC jest wiążący, zawieszenie nastąpiło. Decyzja zakupowa została podjęta lata wcześniej; konsekwencja przyszła w maju, imienna i osobista.

Sprawa ACM/AP różni się od sprawy Khana w jednym ważnym punkcie. Nie było żadnego Executive Order. Subpoena przyszła od podkomisji ds. Uzbrojenia Rządu Federalnego Jima Jordana w komisji sądownictwa Izby Reprezentantów, której deklarowanym zakresem jest badanie tego, co sama nazywa “foreign censorship of American speech” — zagranicznej cenzury amerykańskiej mowy — sformułowanie, które na mocy własnego ramowania obejmuje unijny Digital Services Act i pracę urzędników Authority for Consumers and Markets (ACM) oraz Autoriteit Persoonsgegevens (AP), których nazwiska Microsoft przekazał. Holenderska sekretarz stanu ds. suwerenności cyfrowej Willemijn Aerdts wezwała w piątek, w którym ujawnienie stało się publiczne, amerykańskiego ambasadora. Dane były już w drodze. Zgodność Microsoftu była dobrowolna w sensie prawnym — firma odpowiadała na subpoena, nie na nakaz OFAC — i operacyjnie nieunikniona w sposób, w jaki nieunikniona byłaby zgodność każdego dostawcy usług z siedzibą w USA pod tą samą presją polityczną.

Ani Khan, ani pracownicy ACM i AP nie wybrali tego, by znaleźć się na powierzchni amerykańskiej presji politycznej. Wybrali Microsoft jako swojego dostawcę usług lata wcześniej, na podstawie całkowicie rozsądnych instytucjonalnych zasad zamówieniowych. Powierzchnia polityczna była właściwością łańcucha dostaw, którego nie poddali audytowi.

To jest warstwa, na której znajdują się teraz osoby kontrybuujące do Euro-Office i jednostki je wdrażające.

Każdy deweloper, który otwiera pull request przeciwko github.com/euro-office, tworzy w bazie danych Microsoftu rekord, który łączy jego osobistą tożsamość — imię i nazwisko zgodne z dowodem na większości kont, prawdziwy adres e-mail, adres IP na sesję, wzorce czasowe wkładów — z aktywnym udziałem w europejskim projekcie suwerenności cyfrowej, który elementy amerykańskiego Kongresu publicznie ramują jako wrogie amerykańskim interesom komercyjnym. Praca zawodowa kontrybutora, jego pracodawca, kraj zamieszkania i przynależność polityczna są wnioskowalne z publicznej historii commitów. Dziś ramowanie jest retoryczne. Sprawa Khana i sprawa ACM/AP pokazują, że odległość między ramowaniem retorycznym a osobistą konsekwencją wynosi co najwyżej jeden Executive Order.

Każda administracja publiczna, która wdraża Euro-Office, dziedziczy, tranzytywnie, ten sam łańcuch logowania. Każdy szef IT, który komentuje upstreamowy issue, ma swoją zawodową pozycję publicznie powiązaną z projektem. Każdy deweloper Stadtwerke, który zgłasza buga, ma swoją tożsamość zalogowaną w ścieżce audytowej Microsoftu. Miejski CISO, który wysyła e-mail do sojuszu z prośbą o wyjaśnienie kwestii bezpieczeństwa, inspektor ochrony danych, który pyta o brzegowy przypadek zgodności eksportowej — każda interakcja jest rejestrowana pod prawdziwym nazwiskiem, na infrastrukturze należącej do firmy, od której projekt ma uniezależniać.

Nic z tego nie jest ze strony Microsoftu złośliwe. To podstawowa mechanika prowadzenia usługi hostowania kodu. To jest też podstawowa mechanika przyszłej subpoeny. Sprawa Khana pokazuje, co się dzieje, gdy amerykański Executive Order wskazuje konkretną osobę. Sprawa ACM/AP pokazuje, co się dzieje, gdy subpoena Kongresu USA wskazuje całą kategorię. W obu przypadkach dotknięte osoby dowiedziały się o tym po tym, jak Microsoft już się dostosował.

Strategiczna implikacja jest bezsentymentalna. Każdy — indywidualnie albo instytucjonalnie — kto uczestniczy w europejskim projekcie suwerennościowym na poziomie kontrybutora lub adopta podczas gdy projekt jest hostowany na infrastrukturze Microsoftu — tworzy ścieżkę audytową pod własnym nazwiskiem, na platformie strony, od której projekt ma redukować zależność. Ścieżka jest tworzona dziś, w czasie rzeczywistym, przy każdym commicie i każdym komentarzu do issue. Strona, która ma do niej dostęp, nie musi z niej skorzystać, żeby była ona nośna konstrukcyjnie — wystarczy, że istnieje.

Orwell doceniłby tę architekturę. Ruch organizuje się, by ograniczyć swoją zależność od pewnego podmiotu. Aby to zrobić, każdy uczestnik podpisuje swój wkład, pod własnym prawdziwym nazwiskiem, na platformie należącej do tego podmiotu. Podmiot przechowuje podpisy bezterminowo, w sposób przeszukiwalny, eksportowalny na żądanie prawne. To, czy podmiot kiedykolwiek na nich zadziała, jest w średnim terminie sprawą wtórną; to, czy architektura pozwala mu zadziałać, jest w średnim terminie rozstrzygnięte. Rozstrzyga się teraz, przy każdym tickecie, przez każdego, kto klika submit.

Suwerenność nie jest tym, co kupujesz

To jest przeramowanie, którego premiera nie pozwala uniknąć.

Branża zamówień publicznych wytresowała pytanie tak, by stało się problemem wyboru dostawcy. RODO, CLOUD Act, Pakiet Suwerenności Technologicznej, nowelizacja §58 VgV, model dojrzałości ES³ — wszystkie te instrumenty przyjmują założenie, że suwerenność to właściwość, którą nabywca zdobywa, wybierając właściwego dostawcę. ES³ certyfikuje dostawców. CADA klasyfikuje dostawców. §58 VgV pozwala nabywcom preferować określonych dostawców. Instrumenty są spójne w ramach założenia.

Premiera Euro-Office to najczystszy przypadek, w którym założenie wyraźnie zawodzi. Produkt jest najlepszą dostępną odpowiedzią na pytanie o dostawcę. Przyjęcie go bez pracy architektonicznej zmienia dostawcę na pozycji zamówieniowej i pozostawia faktyczną zależność niezmienioną. Dostawca na pozycji jest teraz europejski; łańcuch dostaw, od którego ten dostawca zależy, nie jest. Nabywca nabył pozór suwerenności bez substancji, a substancja — ciągłość łańcucha dostaw — nigdy nie była przedmiotem umowy zakupowej.

Suwerenność, w sensie istotnym dla pytania, na które nabywcy sektora publicznego i regulowanego sektora prywatnego faktycznie próbują odpowiedzieć, nie jest właściwością dostawców. Jest właściwością architektur. Organizacja jest cyfrowo suwerenna w zakresie, w jakim potrafi nadal funkcjonować, gdy jakikolwiek pojedynczy element jej programowego łańcucha dostaw stanie się niedostępny. Tę właściwość się buduje, nie kupuje. Decyzja o dostawcy stoi powyżej; praca nad staniem się suwerennym leży poniżej. Pominięcie pracy poniżej i nazwanie decyzji powyżej odpowiedzią suwerennościową to błąd, którego premiera Euro-Office nie pozwala już ignorować.

Praktyczna konsekwencja: stos Microsoft 365 i stos Euro-Office nie różnią się strukturalnie w wymiarze łańcucha dostaw. Różnią się w wymiarze runtime’owym (lokalizacja danych, jurysdykcja operatora) i różnią się w opcji zbudowania niezależności łańcucha dostaw. M365 zamyka tę opcję; Euro-Office ją zachowuje. Ale zachowanie opcji to nie to samo, co jej wykonanie. Wykonanie to praca.

Pytanie zamówień, które naprawdę się liczy

Jeśli pytanie suwerennościowe jest właściwie architektoniczne, pytanie zamówieniowe wynika z tego. Już nie od którego dostawcy kupujemy?. Staje się: jaka jest nasza architektura niezależności i gdzie siedzi w naszym P&L?

Trzy strumienie pracy odpowiadają na przeramowane pytanie. Nie są opcjonalne, nie są “mile widziane”, a jakiekolwiek zamówienie suwerennościowe, które je pomija, jest performansem zakupowym, nie decyzją zakupową.

Jeden: inwentaryzacja. Audyt Software Bill of Materials obecnych produkcyjnych komponentów OSS, obejmujący każdy system z runtime’ową ekspozycją na internet lub dane klientów. Wynik na komponent: główny punkt dystrybucji, licencja, głębokość drzewa zależności, jurysdykcja utrzymującego. Dla średniej organizacji prowadzącej 50–80 odrębnych komponentów OSS w produkcji audyt zajmuje 6–10 tygodni i kosztuje 25 000–55 000 € u zewnętrznego specjalisty. Wynikiem jest lista, nie plan; plan wynika z listy. Większość organizacji odkrywa, że 80% ich ekspozycji łańcucha dostaw koncentruje się w 15% ich komponentów i że ta koncentracja nie jest tam, gdzie się spodziewały.

Dwa: infrastruktura lustra. Self-hostowana instancja Forgejo, dwukierunkowo synchronizowana z GitHubem dla krytycznych komponentów zidentyfikowanych w strumieniu pierwszym. Hostowana w istniejącej infrastrukturze (Proxmox, VMware lub VM w Hetznerze), dwie maszyny wirtualne, oddzielone od produkcji. Koszt gotówkowy jest pomijalny; praca to 8–15 osobodni czasu architekta w ciągu dwunastu tygodni, w zależności od liczby repozytoriów. Lustro nie zastępuje GitHuba w codziennym rozwoju; przeżywa GitHuba dla ciągłości. Codeberg może je zastąpić tam, gdzie self-hosting Forgejo nie jest uzasadniony.

Trzy: pilotaż. Zakresowy pilotaż Euro-Office na workflow bez ekspozycji publicznej — finanse, wewnętrzne HR, kontrolowany groupware — trwający 6–12 miesięcy, z wyraźnymi kryteriami go/no-go powiązanymi z osiągnięciem przez infrastrukturę lustra niezawodności klasy produkcyjnej. Koszt: 8 000–20 000 € wsparcia setupu od partnera Nextclouda plus czas wewnętrzny. Pilotaż waliduje produkt; strumienie pierwszy i drugi walidują suwerenność.

Nabywca, który prowadzi wszystkie trzy, kupił Euro-Office i zbudował suwerenność. Nabywca, który prowadzi sam strumień trzeci, kupił innego dostawcę. Decyzja zakupowa jest taka sama w obu przypadkach. Decyzja architektoniczna nie.

Pytanie o strategiczne pozycjonowanie na najbliższe dwanaście miesięcy nie brzmi, czy Euro-Office jest właściwym produktem. Brzmi, czy twoja organizacja jest gotowa traktować suwerenność jako architekturę, a nie jako zamówienia publiczne — i czy twój zarząd, twoi audytorzy i twój regulator zaakceptują odpowiedź architektoniczną jako odpowiedź suwerennościową. Coraz częściej tak. Pakiet Suwerenności Technologicznej proponuje klasyfikację poziomu CADA do 2027. ES³ certyfikuje już metodologię, a nie produkty. Sygnały z warstwy regulacyjnej zbiegają się ku architekturze, nie ku logo dostawcy. Logo dostawcy to wskaźnik opóźniony; architektura to wskaźnik wyprzedzający.

Czym ten artykuł nie jest

To nie jest twierdzenie, że Euro-Office jest złym wyborem. Produkt jest najmocniejszą otwartoźródłową alternatywą dla M365 na rynku europejskim. To nie jest twierdzenie, że GitHub zablokuje europejskich deweloperów. To jest twierdzenie, że suwerenność jako kategoria zamówień publicznych jest błędną ramą, premiera Euro-Office jest najczystszym dostępnym przykładem dlaczego, a praca, którą ta rama ukrywała, jest faktyczną odpowiedzią na pytanie, które nabywcy sektora publicznego i regulowanego sektora prywatnego próbują zadać.

Źródła

Przegląd tematu: Suwerenność cyfrowa w Europie Powiązane artykuły: Pakiet Suwerenności Technologicznej UE, Microsoft przekazał nazwiska Holendrów