V lednu 2026 spustilo AWS svůj European Sovereign Cloud v Braniborsku. Airbus vypsalo €50milionový tendr na migraci mission-critical aplikací do suverénního cloudu. 61 % evropských CIO hlásí, že chtějí zvýšit využití lokálních cloud providerů. A IDC predikuje, že do roku 2028 bude 60 % nadnárodních firem provozovat AI stacky rozdělené napříč suverénními zónami — s trojnásobnými integračními náklady. Digitální suverenita přestala být politické buzzword. Pro evropské podniky je to otázka business continuity.
Tři americké cloudové platformy — AWS, Microsoft Azure a Google Cloud — dnes kontrolují přibližně 70 % evropského trhu s cloudovou infrastrukturou. Evropští poskytovatelé drží pouhých 15 %. Tato závislost, dlouho považovaná za přijatelné riziko výměnou za inovace a škálovatelnost, se v roce 2026 stala strategickým problémem.
Průzkum Gartneru mezi CIO a IT lídry v západní Evropě z konce roku 2025 odhalil jasný trend: více než polovina respondentů uvádí, že geopolitické faktory jim brání v dalším prohlubování závislosti na amerických hyperscalerech. Gartner odhaduje, že IT výdaje v Evropě v roce 2026 vzrostou o 11 % na 1,4 bilionu dolarů — a značná část poputuje do sovereign cloud řešení a on-premises/edge architektur.
Důvod není abstraktní strach z regulace. Je to konkrétní business risk. Americký CLOUD Act umožňuje americkým úřadům přístup k datům uloženým u amerických firem — bez ohledu na to, kde fyzicky leží. Microsoft sám přiznal, že nemůže garantovat nezávislost dat od amerických orgánů. Pro firmy v regulovaných odvětvích — bankovnictví, zdravotnictví, obrana, energetika — to není akademická diskuse, ale existenční riziko.
Rok 2025 a začátek 2026 přinesly bezprecedentní vlnu EU regulací, které přímo ovlivňují cloudovou strategii evropských firem. Nejde o jednu směrnici — jde o komplex vzájemně provázaných pravidel, která dohromady vytvářejí nový regulatorní rámec:
Směrnice NIS2 vstoupila v platnost v říjnu 2024 a členské státy ji v průběhu roku 2025 a 2026 transponují do národních zákonů. Rozšiřuje okruh regulovaných subjektů na středně velké a velké podniky v 18 sektorech — od energetiky přes zdravotnictví po digitální infrastrukturu. Pro české firmy to znamená povinné řízení rizik dodavatelského řetězce (včetně cloud providerů), 24hodinovou lhůtu pro hlášení incidentů a osobní odpovědnost managementu. Pokud váš cloud provider nemůže garantovat compliance s NIS2, máte problém.
DORA vstoupila v účinnost v lednu 2025 a specificky cílí na finanční sektor — banky, pojišťovny, investiční firmy a jejich ICT poskytovatele. Vyžaduje explicitní řízení koncentračního rizika u třetích stran (čti: hyperscalerů), stress testing ICT systémů, exit strategie od cloud providerů a registr smluvních vztahů s ICT dodavateli. Pro české banky implementující AI to znamená, že nemohou provozovat kritické workloady u jednoho providera bez dokumentované exit strategie.
EU Data Act vstoupí v plnou účinnost v září 2025 s postupnou implementací v roce 2026. Vyžaduje, aby cloud provideři podporovali přenos dat mezi platformami, odstraňovali technické bariéry pro switching a poskytovali data ve standardních formátech. Cíl je jasný: snížit vendor lock-in a zvýšit konkurenci. V praxi to znamená, že firmy konečně budou mít reálnou možnost přejít od hyperscalera k evropskému poskytovateli — alespoň teoreticky.
EU AI Act kategorizuje AI systémy podle rizika a stanovuje povinnosti pro poskytovatele a uživatele high-risk AI. Evropský parlament současně tlačí na Komisi, aby v připravovaném Cloud and AI Development Act (CADA) — očekávaném v první polovině 2026 — definovala kritéria pro sovereign cloud. CADA má za cíl propojit požadavky na datovou suverenitu s AI infrastrukturou a vytvořit jednotný evropský rámec. Pro firmy nasazující agentní AI systémy to znamená nutnost řešit suverenitu dat nejen u storage, ale i u inference a training pipeline.
ENISA (Agentura EU pro kybernetickou bezpečnost) od roku 2020 připravuje European Cybersecurity Certification Scheme for Cloud Services (EUCS). Nejvyšší úroveň certifikace by měla definovat kritéria pro „suverénní cloud". Vývoj ale stojí — k únoru 2026 schéma stále není finalizováno kvůli neshodám mezi členskými státy ohledně toho, zda mají být americké firmy z nejvyšší úrovně vyloučeny. Sledujte vývoj — finální podoba EUCS zásadně ovlivní, co se bude smět nazývat sovereign cloud.
Termín „sovereign cloud" nemá oficiální definici. To je problém. Každý vendor si ho interpretuje po svém. AWS nabízí „European Sovereign Cloud". Azure má „EU Data Boundary". Google provozuje partnerství S3NS ve Francii. Jsou to suverénní řešení? Záleží na tom, koho se zeptáte.
V říjnu 2025 publikoval DGIT (IT oddělení Evropské komise) framework s 8bodovou definicí a vzorcem pro výpočet „sovereignty score". Definice zahrnuje tyto dimenze:
V praxi existuje spektrum. Na jednom konci je „plná suverenita" — kompletně evropská infrastruktura, software i operace (OVHcloud, Scaleway, Hetzner). Na druhém konci jsou „sovereign features" amerických hyperscalerů — data v EU datacentrech, ale právní entita v Seattlu. Většina firem se bude pohybovat někde uprostřed.
Data mohou fyzicky ležet ve Frankfurtu, ale vaše smlouva je s americkou korporací. CLOUD Act umožňuje americkým úřadům vyžádat si data od amerických firem bez ohledu na lokaci. Azure Data Boundary a AWS EU Region nejsou právní firewall — jsou to technické kontroly v rámci americké jurisdikce. Pro citlivé workloady (národní bezpečnost, průmyslové IP, zdravotní záznamy) je to rozdíl mezi „data residency on paper" a skutečnou suverenitou.
Američtí hyperscaleři zareagovali na poptávku vytvořením „suverénních" variant svých služeb. V lednu 2026 spustilo AWS svůj European Sovereign Cloud — fyzicky a logicky oddělený cloud v Braniborsku, provozovaný EU rezidenty pod německým právem. Řídí ho Stéphane Israël (EU občan) s advisory boardem složeným výhradně z EU občanů. AWS plánuje rozšíření o Local Zones v Belgii, Nizozemsku a Portugalsku.
Podobné modely existují i jinde: Google provozuje partnerství S3NS s Thales ve Francii (certifikace SecNumCloud), Microsoft spolupracuje na projektu Bleu (s Orange a Capgemini) a Delos v Německu (se SAP). V Německu Microsoft také spustil „Sovereign OpenAI" pro enterprise zákazníky.
Otázka zůstává: je partnerství s americkou firmou, byť s EU legal wrapperem, skutečně suverénní? Obchodní sdružení CISPE (Cloud Infrastructure Service Providers in Europe) tvrdí, že ne — a obviňuje EU Sovereignty Framework z toho, že je nastavený ve prospěch amerických incumbentů.
Skutečně evropské alternativy existují a v roce 2026 dospěly do stádia, kdy jsou reálnou volbou pro produkční workloady:
| Provider | Původ | Silné stránky | Vhodný pro |
|---|---|---|---|
| OVHcloud | Francie 🇫🇷 | Nejširší evropské portfolio, certifikace SecNumCloud, vlastní datacentra, GPU cloud | Enterprise workloady, AI inference, regulované odvětví |
| Scaleway | Francie 🇫🇷 | Developer-friendly, managed Kubernetes, AI/ML služby, Terraform podpora | Startupy, dev týmy, cloud-native workloady |
| Hetzner | Německo 🇩🇪 | Nejlepší poměr cena/výkon, bare metal, datacentra v EU a Finsku | Self-managed infrastruktura, CI/CD, compute-heavy workloady |
| T-Systems / Open Telekom Cloud | Německo 🇩🇪 | Enterprise-grade, BSI C5 certifikace, GDPR-native, konzultační služby | Velké korporace, veřejný sektor, bankovnictví |
| STACKIT | Německo 🇩🇪 | Schwarz Group (Lidl/Kaufland), Kubernetes, managed databáze | Retail, enterprise se zaměřením na německý trh |
| Aruba Cloud | Itálie 🇮🇹 | Datacentra v 5 EU zemích, certifikace ISO 27001/27017/27018 | SMB, web hosting, IoT backendové služby |
Důležitý je také open source ekosystém, který umožňuje budovat sovereign infrastrukturu bez závislosti na proprietárním softwaru. OpenNebula jako alternativa k VMware pro virtualizaci, Nextcloud místo Microsoft 365 pro kolaboraci, Kubernetes jako univerzální orchestrační vrstva — Francie už aktivně tlačí státní správu na tyto alternativy a vyměňuje Zoom a Teams za lokální řešení.
Iniciativa Gaia-X, spuštěná v roce 2019 Německem a Francií, měla ambici vytvořit „Airbus cloudu" — federovanou evropskou datovou infrastrukturu. V praxi se projekt potýká s pomalým postupem, neshodami mezi členy a kritikou, že zapojení amerických firem podkopává samotný účel. Přesto Gaia-X vytvořil důležité standardy pro federované datové prostory (data spaces) a jeho trust framework se stává základem pro sektorové datové ekosystémy — například v automobilovém průmyslu (Catena-X) a zdravotnictví. Gaia-X není cloud provider. Je to framework pro interoperabilitu. A v tom je jeho skutečná hodnota.
Největší výzva sovereign cloudu v roce 2026 je AI infrastruktura. LLM training vyžaduje tisíce GPU, které dnes kontrolují primárně americké firmy — NVIDIA dominuje trhu a její top-end chipy (H100, B200) podléhají americkým exportním kontrolám. IDC predikuje, že do roku 2028 bude 80 % enterprise organizací prioritizovat AI suverenitu pro mission-critical workloady prostřednictvím non-public hostingu, open technologií a regionálních partnerů.
IDC FutureScape pro rok 2026 identifikuje klíčový problém: do roku 2028 bude 60 % nadnárodních firem provozovat AI stacky rozdělené napříč suverénními zónami. Výsledek? Trojnásobné integrační náklady kvůli regulatorní fragmentaci a rizikům v dodavatelském řetězci. Pro firmy provozující RAG systémy v produkci to znamená, že datové zdroje, embedding modely a inference endpointy mohou každý spadat pod jinou jurisdikci.
Konkrétní řešení se ale rýsují:
Pokud provozujete AI agenty zpracovávající citlivá data, zvažte hybridní architekturu: training na hyperscaler GPU (anonymizovaná data), inference na sovereign infrastruktuře (citlivá data, embeddingy, vektorová databáze). Open source modely jako Mistral Large nebo Llama 3 lze provozovat na dedikovaném hardware u OVHcloud nebo Hetzner s plnou kontrolou nad daty. Pro architekturální doporučení k zabezpečení viz náš článek o bezpečnosti AI agentů.
Nejviditelněji se trend sovereign cloudu projevil u Airbusu. Evropský letecký gigant na konci roku 2025 vyhlásil desetiletý tendr v hodnotě €50 milionů na migraci mission-critical aplikací do suverénního evropského cloudu. Catherine Jestin, výkonná viceprezidentka pro digitalizaci, to shrnula jednoduše: „Chceme zajistit, aby tyto informace zůstaly pod evropskou kontrolou."
Airbus požaduje kompletní stack pod EU jurisdikcí:
Pro průmyslové firmy s citlivým IP — a v českém kontextu sem spadají Škoda Auto, zbrojní průmysl, energetické společnosti a samozřejmě bankovní sektor — je Airbus vzorem toho, kam směřuje budoucnost. Není to otázka jestli, ale kdy a jak rychle.
Přechod na sovereign cloud není binární rozhodnutí „všechno přesunout". Je to rizikově řízená klasifikace workloadů a postupná migrace. Zde je 6-krokový framework:
Proveďte inventuru všech cloudových workloadů: aplikace, databáze, storage, AI/ML pipeline, SaaS nástroje. Ke každému přiřaďte klasifikaci dat (veřejná, interní, důvěrná, regulovaná) a regulatorní požadavky (GDPR, NIS2, DORA, sektorová regulace). Výstupem je matice workload × citlivost × regulace × aktuální provider. Bez tohoto inventáře děláte rozhodnutí poslepu.
Ne všechno musí být sovereign. Veřejný web klidně může běžet na Cloudflare. Ale core banking systém, zdravotní záznamy nebo AI model trénovaný na zákaznických datech — to jsou kandidáti. Vyhodnoťte každý workload podle čtyř os: citlivost dat (co se stane při úniku?), regulatorní povinnost (vyžaduje to zákon?), operační suverenita (co se stane, když provider odpojí?) a cost impact (kolik stojí migrace vs. riziko?). Použijte stupnici 1–5 pro každou osu a stanovte threshold pro sovereign deployment.
Pro většinu firem je odpovědí hybridní model: citlivé workloady na sovereign infrastruktuře (OVHcloud, T-Systems, on-premises), méně citlivé na hyperscalerech (lepší služby, nižší cena), edge computing pro latency-kritické operace. Klíčem je standardizovaná abstrakční vrstva — Kubernetes jako orchestrační platforma, Terraform pro infrastructure-as-code, a jasně definované networking a security policy napříč prostředími. Viz náš průvodce Platform Engineeringem pro detaily k Internal Developer Platform.
DORA to vyžaduje explicitně, ale měla by to mít každá firma: dokumentovanou exit strategii pro každého cloud providera. Zahrnuje: formát exportu dat, časový rámec migrace, alternativní cílovou platformu, testovací scénáře a zodpovědné osoby. EU Data Act od září 2025 vyžaduje, aby provideři technicky podporovali switching. Testujte exit strategie pravidelně — stejně jako testujete disaster recovery.
Začněte s workloady, které mají nejvyšší sovereignty score a nejnižší migrační složitost. Typicky: storage citlivých dat, backup a DR, logging a audit, development/staging prostředí. Teprve po validaci migrujte produkční workloady. Používejte blue-green nebo canary deployment pattern. Každá iterace musí zahrnovat performance benchmarking a compliance validaci. Pro techniky migrace bez výpadku viz náš průvodce cloud migrací.
Nastavte kontinuální monitoring compliance: automatizované audity dat residency (kde leží data doopravdy?), pravidelné přezkoumání smluv s providery, sledování regulatorních změn (CADA, EUCS, národní transpozice NIS2) a incident response plány pro případy, kdy provider poruší sovereignty SLA. Integrujte sovereignty metriky do vašeho observability stacku — data residency a encryption status by měly být monitorované stejně jako uptime.
Česká republika je v unikátní pozici. Na jedné straně je silně integrovaná do evropského průmyslového řetězce (automotive, strojírenství, obranný průmysl), na druhé straně má relativně malý lokální cloud trh. Většina českých enterprise firem provozuje workloady na AWS (Frankfurt, Irsko), Azure (Holandsko, Irsko) nebo Google Cloud (Belgická, Finsko) — tedy v EU, ale u amerických firem.
Pro české firmy v regulovaných sektorech doporučujeme zvážit:
Sovereign cloud řeší IaaS a PaaS, ale co SaaS? Microsoft 365, Google Workspace, Salesforce, Slack — všechno americké firmy pod CLOUD Act. Francie už aktivně migruje státní správu na Nextcloud a lokální videokonferenční řešení. Pro české firmy s highest-sensitivity daty (obrana, energetika, bankovnictví) by měla být SaaS sovereignty na roadmapě — minimálně pro email, dokumenty a komunikaci.
Sovereign cloud není o tom zahodit AWS a vrátit se k serverům pod stolem. Je to o vědomé diversifikaci — rozpoznat, že 90% závislost na americké cloudové infrastruktuře je single-point-of-failure na geopolitické úrovni. Je to o tom mít exit strategii, než ji budete potřebovat. Je to o tom splnit regulace NIS2 a DORA dřív, než přijde audit. A je to o tom ochránit data zákazníků před jurisdikcí, kterou nekontrolujete.
Rok 2026 je inflexní bod. AWS spustilo European Sovereign Cloud. EU chystá CADA. Airbus migruje. 61 % CIO mění strategii. České firmy v regulovaných sektorech by měly začít sovereignty assessmentem — ne za rok, ale teď.
Začněte krokem 1: zmapujte, co máte, kde to běží a pod čí jurisdikcí. Výsledek vás pravděpodobně překvapí.