Blogg
Att behålla kontrollen: varför digital suveränitet är viktig för europeiska organisationer
I en alltmer osäker omvärld blir digital suveränitet bara viktigare och viktigare. Organisationer måste nu lära sig att navigera en mindre förutsägbar kontext, där beroendet av amerikanska IT-bolag innebär att data inte är så privat som man tidigare trott.
Vad är digital suveränitet?
Digital suveränitet är ett lands eller regionens förmåga att kontrollera sin egen digitala infrastruktur, data och reglering, istället för att förlita sig på utländska makter eller företag. Den berör allt från var data lagras och vem som har laglig tillgång till den, till vilka standarder som styr molntjänster, mjukvaruplattformar och framväxande teknologier.
Under de senaste åren har digital suveränitet blivit en mer akut fråga i Europa. I takt med att regeringar, företag och offentliga institutioner blir alltmer beroende av molntjänster och globala teknikplattformar, många av dem med huvudkontor utanför EU, har frågor om kontroll, motståndskraft och långsiktig autonomi gått från abstrakta politiska debatter till konkreta operativa frågor.
Ett föränderligt globalt landskap för Europas digitala infrastruktur
I februari 2025 utfärdade den amerikanska administrationen sanktioner riktade mot Internationella brottmålsdomstolen. Microsoft vidtog åtgärder för att stänga av chefsåklagarens e-postkonto, med hänvisning till efterlevnad av amerikanska sanktioner. För många europeiska organisationer sågs detta som ett bevis på att efterlevnad av amerikanska sanktioner under vissa omständigheter kan leda till tvångsstopp för digitala tjänster.
Bland de påtagligaste riskerna finns amerikansk lagstiftning som Cloud Act. Den tillåter amerikanska myndigheter att få tillgång till data lagrad av företag med huvudkontor i USA, även om den lagras i andra länder.
I ett sammanhang där cirka 70 % av EU:s marknad drivs av amerikanska IT-leverantörer när det gäller molnservrar, har detta gjort den internationella situationen kring digital suveränitet alltmer osäker.
Hur Europa svarar på digitalt beroende
EU har svarat genom att införa Cyber Resilience Act. Inom Europa finns det exempel på företag och regioner som vidtagit åtgärder för att öka sin resiliens och digitala suveränitet.
Ett exempel är regionen Schleswig-Holstein i Tyskland, som har tillbringat tio år med att skapa digital infrastruktur utan Microsoft, trots att många kommentatorer menat att det inte skulle vara möjligt.
Men det är inte bara i Tyskland. Det speglar en bredare europeisk trend där flera militärer och nationella myndigheter går bort från USA-kontrollerade molntjänster för att säkra sin digitala infrastruktur.
En växande medvetenhet om datakontroll och tillgänglighet
Även om exemplet från SchleswigHolstein är ett ovanligt fall, blir företag alltmer medvetna om var deras data lagras. Många organisationer har insett att även om data lagras i EU betyder det inte nödvändigtvis att det är otillgängligt för aktörer i andra jurisdiktioner.
Inom cybersäkerhet är en vanlig referensmodell CIA-triaden, som styr hur data, system och nätverk skyddas genom sekretess, integritet och tillgänglighet (Confidentiality, Integrity och Availability). Det intressanta är att fram till nyligen fokuserade de flesta på C och I, men nu börjar de oroa sig för A – tillgänglighet, att säkerställa att användarna har pålitlig tillgång till data och system.
Det ökande fokus på tillgänglighet driver intresset för europeiska lösningar. Organisationer börjar ifrågasätta om befintliga plattformar kan garantera fortsatt tillgång under mer oförutsägbara geopolitiska förhållanden.
I praktiken påverkar detta redan upphandlingar. Under anbudsprocesser efterfrågar europeiska kunder i allt högre grad datacenter som är etablerade i Europa och fria från amerikansk jurisdiktion. I vissa fall utesluter detta en betydande andel av tillgängliga lösningar och tvingar organisationer och leverantörer att omvärdera vilka teknologier som kan uppfylla striktare krav.
Hybridmoln
En ny diskussion om digital suveränitet
Det vi ser är en ny diskussion i Europa. Företagsledare frågar sig i allt högre grad om de känner sig bekväma med att vara helt beroende av amerikanska teknikleverantörer.
Amerikanska leverantörer är djupt integrerade i de flesta organisationers digitala miljöer. Detta betyder dock inte att det inte finns några val. Ett alternativ är att börja balansera din teknikportfölj och ta ett mer medvetet grepp om användningen av utomeuropeiska teknikleverantörer.
Det finns leverantörer med rötter i Europa och Japan, även om få organisationer förespråkar den typ av genomgripande förändring som ses i Tyskland. Det kan ge effekt att bara ställa dessa frågor. Det signalerar till stora amerikanska leverantörer att kunderna omvärderar sina beroenden och förväntar sig större flexibilitet och tillit.
Att ompröva risk i en mindre förutsägbar värld
När organisationer bestämmer vilka teknologier som ska antas är riskbedömningar fortfarande avgörande. Dessa väger vanligtvis sannolikheten för en händelse mot de potentiella konsekvenserna.
I det nuvarande klimatet har det blivit svårare att genomföra sådana bedömningar, men också viktigare. Företag är redan vana vid att tillämpa denna typ av granskning på vissa regioner. Till exempel genom att bedöma om produkter från Kina kan innehålla bakdörrar som kan exponera känslig data.
Faktiska sanktionsfall har visar att tillgången till tjänster kan begränsas när leverantörer måste följa lokala myndighetsbeslut. Detta är också en del av att ha en bredare diskussion om europeisk digital suveränitet. Inte bara att börja balansera din portfölj utan samtidigt bedöma risk mer intelligent.
AI, data och risken för låsning
Data för träning har blivit en strategisk och kritisk resurs i utvecklingen av AI-förmågor. AI är därför en central punkt i diskussionen om digital suveränitet. Inte bara när det gäller hur företag tränar sina AI med vilken data, utan också var dessa data finns.
AI är beroende av tillgång till stora datamängder och tillräcklig processorkraft. Men många organisationer underskattar hur viktigt det är att förstå var deras mest värdefulla data finns. När data lagras i molnet är företag de facto sammankopplade med sin leverantörs AI-tjänster. Att flytta dessa data någon annanstans kan medföra betydande avgifter och påverka prissättningsmodeller. Och så kan tekniska beroenden göra migrering mer komplex och kostsam än den initiala användningen.
Det finns också risk för begränsad flexibilitet när en organisation har investerat i en viss AI-plattform. Att byta leverantör, särskilt för utbildningsändamål, är ofta komplext och kostsamt, vilket ökar risken för långsiktig låsning.
Denna utmaning är redan synlig för dataintensiva organisationer. Danska energibolag har till exempel enorma mängder data och tydliga möjligheter att tillämpa AI. Frågan är inte om man ska använda AI, utan var den datan ska lagras. Alternativen kan inkludera att driva egen infrastruktur eller samarbeta med leverantörer som verkar inom EU. Vilka båda också måste anpassa sig till regulatoriska krav i olika jurisdiktioner.
Om AI är den ’nya oljan’ måste organisationer säkerställa att de behåller kontrollen över den, istället för att ge bort den automatiskt utan en tanke om konsekvenserna.
Om författaren
Thomas Grønne
Direktör, säkerhetsverksamheten, Conscia Danmark A/S
Thomas har en magisterexamen från DTU och mer än 30 års erfarenhet av IT-säkerhet. Han grundade IT-säkerhetsföretaget RespektIT, som senare gick samman med Credocom och förvärvades av Conscia. Thomas är säkerhetschef på Conscia Danmark, där han säkerställer att våra kunder förstår komplexiteten i IT-säkerhetslandskapet.
Relaterat
