W dniach 30 czerwca – 1 lipca 2026 roku wzięliśmy udział w drugiej edycji GITEX AI Europe 2026. To jedno z największych wydarzeń technologicznych w Europie. Tegoroczna edycja odbyła się na terenie Messe Berlin i zgromadziła ponad 25 000 uczestników. Ponadto do Berlina przyjechało blisko 1400 firm i startupów oraz ponad 200 prelegentów ze stu krajów. Wśród nich znaleźli się między innymi noblista Geoffrey Hinton oraz ministrowie cyfryzacji Niemiec i Holandii. Przez dwa dni śledziliśmy berlińską debatę o przyszłości europejskiej gospodarki cyfrowej. Poniżej dzielimy się zatem naszymi spostrzeżeniami z perspektywy prawno-regulacyjnej.
GITEX AI Europe to wydarzenie innego kalibru niż klasyczne konferencje branżowe. To przede wszystkim targi, na których technologia spotyka się z polityką, kapitałem i regulacją. Tegoroczne hasło przewodnie brzmiało „Driving a Bold, Open & Connected Digital Future for Europe”. Z kolei agenda została podzielona na pięć strategicznych filarów:
- Compute & AI Stack,
- Secure Infrastructure & Cyber Power,
- Policy to Production,
- DeepTech & Critical Supply Chains,
- Capital & Scale-Up Engine.
Wniosek jest jasny. Europa przestaje mówić o AI w kategoriach eksperymentu. Zamiast tego zaczyna mówić o infrastrukturze, suwerenności oraz twardych obowiązkach prawnych. Dlatego dla kancelarii doradzającej w obszarze AI Act, NIS2, DORA i RODO trudno o lepszy punkt obserwacyjny.
1. Suwerenność cyfrowa – od politycznego hasła do wymogów kontraktowych
Jeden temat zdominował tegoroczny Berlin: suwerenność cyfrowa. Wątek przewijał się bowiem przez niemal każdą scenę. Mówił o nim między innymi dr Karsten Wildberger, niemiecki minister ds. transformacji cyfrowej. Głos zabrała również Willemijn Aerdts, holenderska minister ds. gospodarki cyfrowej i suwerenności. Głośnym echem odbiła się także prezentacja dr. Heinera Genzkena. Porównał on pozycję Europy do lokatora nowoczesnego domu, w którym klucze należą do kogoś innego. Czynsz stale rośnie, a nieposłuszeństwo grozi „cyfrową eksmisją”.
Z perspektywy sali konferencyjnej brzmi to jak geopolityka. Jednak z perspektywy naszej praktyki to bardzo konkretne pytania. Dotyczą one umów chmurowych, lokalizacji danych, planów wyjścia (exit plans) oraz uzależnienia od jednego dostawcy. W rezultacie klienci coraz częściej pytają nas nie o to, „czy chmura jest legalna”. Pytają raczej, jak zbudować umowę, która pozwoli im z niej wyjść.
⚖️ KOMENTARZ PRAWNY KANCELARIA IT
Suwerenność cyfrowa ma już twarde odzwierciedlenie w prawie. Przede wszystkim Data Act, stosowany od września 2025 r., przyznaje klientom usług chmurowych prawo do zmiany dostawcy. Ponadto stopniowo eliminuje opłaty za migrację danych. To z kolei bezpośrednio przekłada się na treść umów SaaS i IaaS. Do tego dochodzą wymogi DORA dotyczące umów z dostawcami ICT, na przykład strategie wyjścia i prawo audytu. Nie można też zapominać o reżimie transferów danych na gruncie rozdziału V RODO. Dlatego rekomendujemy klientom przegląd umów chmurowych pod kątem tych trzech reżimów łącznie, a nie każdego z osobna.
2. AI Act na finiszu – „Policy to Production” w praktyce
Ścieżka Policy to Production odbywała się w symbolicznym momencie. Do najważniejszej daty w kalendarzu regulacyjnym AI został bowiem dokładnie miesiąc. Od 2 sierpnia 2026 r. w pełni stosowane będą przepisy AI Act dotyczące systemów wysokiego ryzyka. W kuluarach słychać było natomiast dwa nastroje. Z jednej strony europejskie scale-upy narzekały na koszty zgodności. Z drugiej strony rośnie przekonanie, że zgodność z AI Act staje się argumentem sprzedażowym. Dotyczy to zwłaszcza sektora publicznego i regulowanego.
Na scenach głównych o AI mówiono jednak przede wszystkim językiem wdrożeń. Geoffrey Hinton opowiadał o przyszłości systemów rozumujących oraz o ograniczaniu halucynacji modeli. Z kolei Jarek Kutyłowski z DeepL mówił o skalowaniu AI w środowisku enterprise. To dokładnie ten moment, w którym pytania techniczne i prawne stają się nierozłączne. Każde z tych wdrożeń trzeba będzie bowiem zakwalifikować na gruncie AI Act.
⚖️ KOMENTARZ PRAWNY KANCELARIA IT
Do 2 sierpnia 2026 r. każda organizacja korzystająca z AI powinna zamknąć trzy zadania:
- po pierwsze, inwentaryzację systemów AI oraz ich klasyfikację na gruncie art. 6 i Załącznika III AI Act;
- po drugie, rozstrzygnięcie własnej roli: dostawca, podmiot stosujący, importer czy dystrybutor. Z każdej z nich wynikają bowiem inne obowiązki. Co więcej, modyfikacja cudzego systemu może przenieść na organizację obowiązki dostawcy;
- po trzecie, przygotowanie dokumentacji przejrzystości i nadzoru ludzkiego (art. 13 i 14 AI Act) oraz procedur monitorowania po wdrożeniu.
3. Agentic AI – kto odpowiada za działania agenta?
Jednym z najbardziej komentowanych wystąpień była prezentacja Ryana Foutty’ego z Perplexity. Przekonywał on, że kolejnym etapem rozwoju AI będą action engines. To systemy, które nie tylko odpowiadają na pytania, ale również samodzielnie realizują zadania. Innymi słowy: rezerwują, kupują, negocjują i wykonują procesy biznesowe w imieniu użytkownika. Hale wystawowe AI Everything Europe pokazywały ponadto, że to nie wizja, lecz gotowe produkty.
Dla prawnika to moment, w którym klasyczne konstrukcje cywilistyczne zaczynają trzeszczeć. Kto składa oświadczenie woli, gdy transakcję wykonuje autonomiczny agent? Czy błąd agenta obciąża użytkownika, dostawcę modelu, czy integratora? Co więcej, jak wygląda odpowiedzialność, gdy agent korzysta z narzędzi kilku różnych dostawców?
⚖️ KOMENTARZ PRAWNY KANCELARIA IT
Kluczowa zmiana nadchodzi wraz z nową dyrektywą o odpowiedzialności za produkty wadliwe (2024/2853). Państwa członkowskie mają ją wdrożyć do grudnia 2026 r. Dyrektywa wprost obejmuje oprogramowanie oraz systemy AI. Przewiduje ponadto odpowiedzialność za wady wynikające z aktualizacji i samodzielnego uczenia się systemu. W określonych sytuacjach ułatwia także poszkodowanemu dowodzenie wadliwości. Dlatego dostawcy i integratorzy rozwiązań agentowych powinni przemyśleć na nowo trzy kwestie. Chodzi o klauzule ograniczenia odpowiedzialności, zakres autonomii agentów oraz mechanizmy logowania ich działań. To właśnie logi będą bowiem głównym materiałem dowodowym w przyszłych sporach.
4. GISEC Europe i „Europe’s Digital Shield” – cyberodporność jako projekt regulacyjny
Blok cyberbezpieczeństwa zorganizowano pod szyldem GISEC Europe. Obejmował on m.in. program spotkań CISO z całej Europy oraz inicjatywę Europe’s Digital Shield. Ta ostatnia jest poświęcona wzmacnianiu europejskiej cyberodporności. W dyskusjach panelowych powracał natomiast jeden motyw. Bezpieczeństwo przestało być problemem działu IT, a stało się warunkiem dostępu do rynku. Egzekwują go bowiem jednocześnie regulator, kontrahenci oraz ubezpieczyciele.
Z naszej perspektywy najciekawsze były jednak rozmowy o Cyber Resilience Act. To rozporządzenie wciąż jest niedoceniane na tle NIS2 i DORA. Tymczasem obejmie ono praktycznie każdy produkt z elementami cyfrowymi na rynku UE. Co więcej, pierwsze obowiązki zaczną obowiązywać już za kilka tygodni.
⚖️ KOMENTARZ PRAWNY KANCELARIA IT
Od 11 września 2026 r. producenci produktów z elementami cyfrowymi będą zgłaszać aktywnie wykorzystywane podatności oraz poważne incydenty. Pierwsze wczesne ostrzeżenie trzeba będzie przekazać w ciągu 24 godzin. Pełny pakiet wymogów CRA zacznie natomiast obowiązywać w grudniu 2027 r. Obejmie on bezpieczeństwo w cyklu życia produktu, obsługę podatności oraz oznakowanie CE. Jednak procesów zgłoszeniowych nie da się zbudować w tydzień. Równolegle przypominamy o polskiej implementacji NIS2 w ramach nowelizacji ustawy o KSC. Dla wielu podmiotów oznacza ona pierwszą formalną kwalifikację jako podmiot kluczowy lub ważny. Wiąże się z tym również odpowiedzialność zarządu za zgodność.
5. GITEX Quantum Expo – kryptografia postkwantowa przestaje być tematem akademickim
Osobną halę poświęcono technologiom kwantowym. Wystąpili tam m.in. Markus Pflitsch z Terra Quantum oraz dr Katrin Kobe z Bosch Quantum Sensing. Wniosek z paneli był jednoznaczny. Pytanie brzmi już nie „czy”, ale „kiedy” komputery kwantowe zagrożą obecnej kryptografii. Wielokrotnie przywoływano ponadto scenariusz harvest now, decrypt later. Dane przechwytywane dziś mogą bowiem zostać odszyfrowane za kilka lat.
Niektóre organizacje przetwarzają dane o długim „okresie wrażliwości”. Chodzi na przykład o dokumentację medyczną, tajemnice przedsiębiorstwa czy dane sektora publicznego. Dla nich to ryzyko prawne materializuje się już teraz, w momencie przechwycenia danych. Nie trzeba zatem czekać na chwilę ich odszyfrowania.
📌 REKOMENDACJA PRAKTYCZNA
Migracja do kryptografii postkwantowej (PQC) to dziś element należytego zarządzania ryzykiem. Wynika to zarówno z NIS2, jak i z DORA. Ponadto unijna mapa drogowa zakłada skoordynowaną migrację, zaczynając od infrastruktury krytycznej. Dlatego rekomendujemy klientom trzy kroki:
- po pierwsze, inwentaryzację stosowanej kryptografii (tzw. crypto inventory);
- po drugie, ujęcie wymogu crypto-agility w umowach z dostawcami ICT;
- po trzecie, uwzględnienie harmonogramu migracji PQC w analizach ryzyka i planach ciągłości działania.
Organizacje, które zaczną teraz, potraktują to jako projekt. Natomiast te, które odłożą temat, potraktują go jako incydent.
Co zabieramy z Berlina
GITEX AI Europe 2026 potwierdza to, co obserwujemy w naszej praktyce od kilkunastu miesięcy. Europejska debata o technologii przestała bowiem oddzielać innowację od regulacji. O suwerenności cyfrowej mówili w Berlinie ministrowie i prezesi. Jednak dla naszych klientów oznacza ona bardzo przyziemne decyzje. Na przykład: jak skonstruować umowę chmurową i jak sklasyfikować system AI przed sierpniem 2026 r. Albo: jak przygotować się do obowiązków CRA oraz jak rozpocząć migrację kryptograficzną, zanim wymusi ją regulator.
W najbliższych miesiącach szczególnie uważnie przyglądamy się zatem trzem obszarom. Po pierwsze, pełnemu stosowaniu AI Act wobec systemów wysokiego ryzyka. Po drugie, odpowiedzialności za autonomiczne systemy agentowe na gruncie nowej dyrektywy produktowej. Po trzecie, pierwszym obowiązkom raportowym Cyber Resilience Act.
Dziękujemy organizatorom za znakomicie przygotowane wydarzenie. Do zobaczenia w Berlinie w 2027 roku!
mec. Igor Sumara
Prawnik, Kancelaria IT
Masz pytania dotyczące zgodności Twojej organizacji z AI Act, NIS2, DORA lub Cyber Resilience Act?
Kancelaria IT oferuje kompleksowe doradztwo w zakresie prawa nowych technologii i cyberbezpieczeństwa. Wspieramy klientów od klasyfikacji systemów AI i audytu umów chmurowych, przez wdrożenie dokumentacji zgodności, aż po reprezentację w postępowaniach regulacyjnych.


