EU Digital Sovereignty
obsah o projektu

English / Strojový překlad / Machine translation: Čeština · Deutsch

Diagnosis

Krajina rizik

Tři kvalitativně odlišné typy rizik, tři různé obranné strategie

Zveřejněno2026-05-04 · Naposledy revidováno2026-05-04

Evropská unie vstupuje do roku 2026 v paradoxním technologickém postavení: regulatorně suverénní, průmyslově závislá. EU drží světové vedení v litografii (ASML kontroluje 100 % trhu s EUV zařízeními), v automobilovém a průmyslovém čipovém průmyslu (Infineon, NXP, STMicroelectronics) a v podnikovém výrobním softwaru (SAP). Zároveň platí:

  • Pokročilá logika: 90 % světové produkce čipů na 2nm a 3nm pochází od TSMC na Tchaj-wanu; EU neprodukuje 0 %. ESMC v Drážďanech, vlajková loď zákona o čipech, bude od konce roku 2027 vyrábět na procesech 28/22 nm a 16/12 nm — tři až čtyři generace za vedoucím krajem.
  • HBM paměti pro AI akcelerátory: 100 % světové kapacity drží tři výrobci (SK hynix ~57 %, Samsung ~22 %, Micron ~21 %); kapacita na rok 2026 je vyprodána. EU nemá žádného domácího výrobce.
  • Hyperscale cloud: tři američtí poskytovatelé (AWS, Microsoft Azure, Google Cloud) drží přibližně 70 % evropského trhu IaaS/PaaS v hodnotě 75 miliard €. Evropští poskytovatelé mají na vlastním kontinentu 15 %.
  • Frontier modely AI: žádný evropský model nedosahuje výkonu nejlepších modelů od OpenAI, Anthropic nebo Google. Mistral je nejvýznamnějším evropským hráčem, avšak jeho tržní pozice je o řád menší.
  • Kritické minerální vstupy: Čína kontroluje přes 90 % světového zpracování vzácných zemin a v letech 2023 až 2025 zavedla vývozní kontroly na galium, germanium, grafit a magnety ze vzácných zemin.

Závěr Evropského účetního dvora z roku 2025 je jednoznačný: cíl zákona o čipech z roku 2023 — zdvojnásobit podíl EU na světové produkci čipů z 10 % na 20 % do roku 2030 — nebude naplněn. Po zrušení projektu Intel Magdeburg (červenec 2025), STMicro–GlobalFoundries v Crolles a Intel Wrocław zůstává podíl EU na úrovni 10 %.

Tento web nepracuje s panikou ani s výzvami k izolacionismu. Vychází z předpokladu, že rozdíl mezi závislostí a partnerstvím nespočívá v geografii dodavatele, nýbrž v architektuře smluvního a technického vztahu. USA jsou pro EU nepostradatelným technologickým partnerem; riziko spočívá v extrateritoriálních právních režimech (CLOUD Act, FISA 702), které mohou být aktivovány kdykoli, bez ohledu na přání evropského zákazníka. Čína představuje v tomto rámci kvalitativně odlišné riziko: je zdokumentována jako aktér, který využívá technologickou infrastrukturu — od solárních střídačů až po průmyslové čipy — jako nástroj geoekonomického nátlaku.

Skutečná otázka pro evropského CIO, nákupního ředitele nebo zákonodárce v roce 2026 nezní „na koho se můžeme spolehnout?", nýbrž „jakou architekturu právních, smluvních a technických vrstev musíme vybudovat, abychom si zachovali možnost přechodu, pokud se některá z těchto závislostí projeví v krizi?" Odpovědí je koncept, který tento web — po vzoru analytika Forrester Daria Maista — nazývá Minimum Viable Sovereignty (MVS) — pragmatická střední cesta mezi nákladnou autarkií a strategicky neudržitelnou totální závislostí.

Tři kvalitativně odlišná rizika

Globální technologická krajina roku 2026 je definována tím, co zpráva Světového ekonomického fóra Global Risks Report 2026 označuje jako „geoekonomickou konfrontaci" — využívání ekonomických nástrojů (vývozní kontroly, cla, sankční seznamy, investiční omezení, pravidla datové suverenity) jako standardních složek státní moci. Nejde již o okrajový jev krizových let; je to nová provozní normalita, na níž musí evropští lídři v oblasti IT stavět svá plánování v roce 2026.

Tento posun má tři kvalitativně odlišné vrstvy, z nichž každá vyžaduje jinou obrannou architekturu:

Vrstva 1: Adversariální geoekonomika (Čína)

Případ čínských solárních střídačů, odhalený agenturou Reuters v květnu 2025, přestal být teoretickým rizikem. Američtí experti provádějící bezpečnostní audity nalezli nedokumentované komunikační moduly — typicky 4G/LTE rádia — v zařízeních od více čínských výrobců. Tyto moduly jsou schopny obejít firewall operátora a vytvořit skrytý komunikační kanál zpět do Číny. Evropský průmyslový svaz ESMC odhaduje, že přes 200 GW evropské solární kapacity závisí na čínských střídačích — což odpovídá více než 200 jaderným elektrárnám. Společná zpráva SolarPower Europe a DNV z dubna 2025 dochází k závěru, že k destabilizaci evropské elektrizační soustavy by postačilo kompromitování pouhých 3 GW připojené kapacity (pro srovnání: výpadek ve Španělsku a Portugalsku v roce 2025 začal ztrátou přibližně 2 GW výrobní kapacity). V listopadu 2024 byly střídače dodané Čínou ve Spojených státech dálkově deaktivovány čínským dodavatelem Deye, což vedlo k obchodnímu sporu s americkou firmou Sol-Ark. Stejná logika platí pro průmyslové čipy, připojená vozidla, součásti dronů a zařízení chytrých sítí.

Vrstva 2: Extrateritoriální právní expozice (USA)

Vztah s americkými technologickými poskytovateli je kvalitativně odlišný — USA jsou demokratickým spojencem a partnerem v rámci NATO, Rady EU–USA pro obchod a technologie a Rámce EU–USA pro ochranu soukromí dat. Riziko zde nespočívá v žádném záměru poškodit evropského zákazníka; spočívá v právní architektuře. CLOUD Act z roku 2018 opravňuje americké orgány k vynucení přístupu k datům uchovávaným americkými poskytovateli kdekoli na světě. FISA Section 702 umožňuje sledování komunikace osob, které nejsou občany USA, u amerických poskytovatelů elektronických komunikací. Rámec EU–USA pro ochranu soukromí dat, schválený v červenci 2023, tento problém částečně řeší pro komerční přenosy, avšak čelí opakovaným právním výzvám před Soudním dvorem Evropské unie. Pro evropské podniky to znamená trvalou strukturální nejistotu: i když americký poskytovatel jedná v dobré víře, jeho právní rámec může vynutit jednání, které je v rozporu s GDPR nebo s komerčními zájmy zákazníka.

Vrstva 3: Riziko koncentrace bez geopolitického záměru

Ne každé riziko dodavatelského řetězce má geopolitický původ. Výpadek CrowdStrike Falcon v červenci 2024 — který během jediného dne ochromil odhadem 8,5 milionu zařízení Windows po celém světě — prokázal, že koncentrace na jednoho bezpečnostního dodavatele je sama o sobě systémovým rizikem. Zadní vrátka v knihovně xz-utils, odhalená v dubnu 2024, při nichž útočník strávil dva roky jako legitimní správce open-source projektu, prokázala totéž v případě softwarového dodavatelského řetězce.

Každé riziko vyžaduje jinou obranu

Tyto tři vrstvy vyžadují různé nástroje. Adversariální riziko (Čína) je řešeno prostřednictvím odstupňovaného přístupu podle citlivosti aplikace: v kritické infrastruktuře (energetika, telekomunikace, chytrá síť, obrana) úplné vyloučení dodavatele; v mírně citlivých systémech izolace nebo air-gapping, kdy je čínská komponenta technicky odpojena od kritické sítě a nemůže ji ovlivnit; v běžných spotřebitelských a nízkorizikových aplikacích, kde ekonomický přínos převažuje nad bezpečnostním rizikem, je volba ponechána zákazníkovi se standardními monitorovacími nástroji. Extrateritoriální riziko (USA) je řešeno prostřednictvím smluvní a architektonické izolace — umístění dat, šifrovacích klíčů pod evropskou kontrolou, modelů BYOK (Bring Your Own Key) a HYOK (Hold Your Own Key), partnerství v oblasti suverénního cloudu. Riziko koncentrace je řešeno prostřednictvím diverzifikace a redundance napříč dodavateli a architekturami.

Zbývající kapitoly tohoto webu rozvíjejí tyto tři odpovědi do konkrétní diagnostiky, alternativ, partnerských struktur a operačních kroků.

Top 5 globálních rizik podle WEF Global Risks Report 2026 (krátkodobý výhled, 2 roky)

# Kategorie rizika Dopad na technologický dodavatelský řetězec
1 Geoekonomická konfrontace Zbraňové využití vývozních kontrol, cel, sankčních seznamů, státních dotací a nekalých obchodních praktik
2 Státem vedený ozbrojený konflikt Narušení výrobních center (Tchaj-wan) a logistiky
3 Dezinformace a misinformace Eroze důvěry v digitální původ a obsah generovaný AI
4 Extrémní povětrnostní jevy Výpadky ve vodně náročných továrnách (Tchaj-wan, Arizona)
5 Nepříznivé dopady AI Systémové riziko z nekontrolovaných autonomních agentů

Citované zdroje

  1. European Court of Auditors, Special report 12/2025: The EU's strategy for microchips – Reasonable progress in its implementation but the Chips Act is very unlikely to be sufficient to reach the overly ambitious Digital Decade target , 2025-04-28 . link · archived
  2. World Economic Forum, The Global Risks Report 2026 , 2026-01-14 . link · archived
  3. Reuters, Rogue communication devices found in Chinese solar power inverters , 2025-05-14 . link · archived
  4. European Solar Manufacturing Council, Restrict Remote Access of PV Inverters from High-Risk Vendors , 2025-04-30 . link
  5. SolarPower Europe and DNV, Solutions for PV Cyber Risks to Grid Stability , 2025-04-29 . link · archived
  6. U.S. Congress, H.R.4943 - Clarifying Lawful Overseas Use of Data Act (CLOUD Act) , Public Law 115-141 (Consolidated Appropriations Act, 2018, Division V) , 2018-03-23 . link · archived
  7. U.S. Congress, FISA Section 702 — Foreign Intelligence Surveillance Act of 1978 Amendments Act of 2008, Title VII Section 702 , Public Law 110-261 , 2008-07-10 . link · archived
  8. Kovrr, The UK Cost of the CrowdStrike Incident , 2024-08 . link · archived
  9. Andres Freund, backdoor in upstream xz/liblzma leading to ssh server compromise , oss-security mailing list , 2024-03-29 . link · archived