Regulacijom do digitalnog suvereniteta

Postoji jedna neugodna istina koju u Bruxellesu nerado izgovaraju naglas: ne možete propisati ono što niste izgradili. A Europa upravo to pokušava.

Posljednjih pola stoljeća kontinent koji je svijetu dao i industrijsku revoluciju i temelje moderne računalne znanosti sustavno je podinvestirao u tehnološku i sigurnosnu infrastrukturu. Dok su Sjedinjene Države gradile platforme, a Kina vlastiti zatvoreni ekosustav, Europa je gradila tržište i postala vrhunski kupac i potrošač tuđih tehnologija. Danas naši podaci, naša računalna snaga i sve češće naša poslovna logika počivaju na infrastrukturi koju ne kontroliramo. To je činjenica iz svake ozbiljnije procjene rizika koju sam vidio u proteklih desetak godina rada, posebice na projektima koji su bili vezani uz governance i compliance.

I sada, suočena s tom ovisnošću, Europa poseže za jedinim alatom koji je doista usavršila, a to je regulacija. Tu logiku ponudila je sama Europska komisija. Na izravno pitanje o hiperregulaciji, njezini su predstavnici tržištu poslali poruku da je za razliku od drugih tržišta, Europa visoko demokratsko društvo u kojem se odluke donose tek kada se sve članice usuglase, a regulacija je prijeko potrebna i na globalnoj razini, pa takve inicijative netko mora pokrenuti. To je odgovor koji zaslužuje poštenu kritiku. Točno je da je sporazum dvadeset i sedam država dragocjeno civilizacijsko postignuće i da je netko morao prvi postaviti standard, a GDPR je dokazao da Europa to može probati učiniti za cijeli svijet. No iz perspektive nekoga tko vodi posao, demokratski legitimitet procesa ne otklanja njegovu cijenu. Konsenzus dvadeset i sedam članica nije besplatan i on znači sporost, kompromise koji svima pomalo ne odgovaraju, i regulatorne okvire koji do trenutka stupanja na snagu već kasne za tehnologijom koju nastoje urediti.

Drugim riječima, ono što je vrlina u domeni vrijednosti, slabost je u domeni konkurentnosti. Tržišta s kojima se natječemo ne čekaju konsenzus, ona donose odluke brzo, ulažu agresivno i standarde postavljaju činjenicama na terenu, a ne pregovorima. Biti prvi koji regulira nije isto što i biti prvi koji gradi.

Regulacija kao refleks, ne kao strategija

GDPR, NIS2, CRA, EU AI Act. Svaki od ovih okvira ima legitimnu jezgru. GDPR je svijetu nametnuo standard zaštite podataka kojeg se, budimo realni, nisu svi držali, a možda su ga kasnije kopirali. NIS2 napokon tretira kibernetičku sigurnost kao pitanje upravnog odbora, a ne IT odjela, iako je niti uključenost Uprave nije novost, već nam je dobro poznata iz ISO norme. CRA uvodi odgovornost za sigurnost proizvoda kroz cijeli životni ciklus. AI Act je prvi ozbiljan pokušaj da se postave pravila igre za AI tehnologije keja će redefinirati svaku industriju.

Problem nije u namjeri. Problem je u tome što regulacija rješava simptom, a ne uzrok.

Suverenitet ne nastaje kada propišete kako se tuđa tehnologija smije koristiti. Nastaje kada imate vlastitu alternativu. Kada europska tvrtka mora birati između američkog clouda i drugog američkog clouda, svaka uredba o lokalizaciji podataka samo je elegantan način da se upravlja ovisnošću, a ne da je se ukloni.

Za one od nas koji svakodnevno provodimo ove okvire kroz stvarne organizacije, kontradikcija je opipljiva, trošimo energiju na dokazivanje usklađenosti s pravilima o tehnologijama koje su upitno u skladu sa regulatornim zahtjevima i u konačnici ih ionako ne možemo zamijeniti.

Teret koji pada na pogrešna pleća

Veliki globalni igrači imaju cijele odjele posvećene usklađivanju. Za njih je svaki novi europski okvir trošak poslovanja, neugodan, ali podnošljiv. Za europsko malo i srednje poduzetništvo, koje čini okosnicu našeg gospodarstva, isti taj okvir može biti egzistencijalno pitanje. Paradoks je okrutan. Regulacija osmišljena da nas zaštiti od dominacije velikih, ali često učvršćuje upravo tu dominaciju, jer samo veliki imaju resurse da je bezbolno apsorbiraju. Usklađenost je postala ulazna barijera. A svaka ulazna barijera pogoduje onome tko je već unutra.

Što bi suverenitet zapravo tražio

Da budem jasan, ovo nije argument protiv regulacije. Pravila igre su nužna i dobra regulacija može biti konkurentska prednost. Ovo je argument protiv iluzije da je regulacija dovoljna. Pravi digitalni suverenitet zahtijeva tri stvari koje se ne mogu propisati uredbom. Europa nedvojbeno ima novac, ali ga ulaže oprezno. Suverenitet se gradi na strpljivom, hrabrom kapitalu spremnom financirati infrastrukturu čiji se povrat mjeri desetljećima, a ne kvartalima. Nijedan europski cloud, čip ili AI model neće preživjeti ako ga europske institucije i tvrtke ne kupuju. Suverenitet je i odluka o nabavi, ne samo o politici. Predugo izvozimo svoje najbolje inženjere u Silicijsku dolinu. Zadržati ih znači graditi ekosustav u kojem ambicija ima gdje rasti kod kuće.

Što nas čeka

Iako možda ne vidimo smisao u svim propisima, usklađenje ne možemo izbjeći. Kratkoročno, usklađenost nije izborna, NIS2 i CRA donose stvarnu odgovornost na razinu upravljačkog tijela i tretirati ih kao puku papirologiju je strateška pogreška. Ali dugoročno, nemojte usklađenost zamijeniti za sigurnost, a nipošto za neovisnost. Organizacija koja je savršeno usklađena, a potpuno ovisna o jednom stranom dobavljaču, nije suverena, samo je uredno dokumentirana u svojoj ranjivosti. Mi još uvijek ima sve, i talente, i kapital, i tržište. Ono što nam nedostaje je odluka da se gradi, a ne samo propisuje. Suverenitet se ne piše u službenom listu. Suverenitet se izgrađuje.