Digital suverenitet: 9 grep for å ta tilbake kontrollen

I dag lener de aller fleste virksomheter seg på amerikansk digital infrastruktur for å fungere. – Vi er nødt til å ta innover oss risikoen ved våre avhengigheter, sier ekspert.

Av Redaksjonen

Google, Microsoft og Amazon dominerer når det kommer til sky- og plattformtjenester her til lands. Nær tre av fire statlige virksomheter oppgir at de er avhengige av Microsoft.

Store og små norske virksomheter har bygget driftsmodellene sine på globale leverandørkjeder og utenlandske skytjenester. Tjenestene er enkle å ta i bruk og krever lite ved oppstart – men det har også gjort oss sårbare.

For hva skjer om vilkårene for den regelbaserte verdensordenen, som vår digitale virkelighet er tuftet på, endrer seg? Kan vi være helt sikre på at vi har reell kontroll over egne systemer, data og teknologivalg?

– «Skyen» er ikke et nøytralt sted. Det å kjøpe eller å ta i bruk amerikansk skyinfrastruktur kan ha konsekvenser, som vi er nødt til å ha en høyere grad av bevissthet rundt, sier Paal Hatledal, forretningsansvarlig i IT-selskapet Redpill Linpro CloudOps.

Digital suverenitet handler imidlertid ikke om å avvise all utenlandsk teknologi, presiserer han:

– Det handler om å ta bevisste valg som gir deg handlingsrom når forutsetningene endrer seg.

Hva er egentlig digital suverenitet?

Digital suverenitet handler i bunn og grunn om ett spørsmål: Hvem har egentlig kontroll over din digitale infrastruktur? For ledere i norske virksomheter kan begrepet brytes ned i fem forhold:

Autonomi: Kan du endre, tilpasse eller flytte systemene dine uten å spørre leverandøren om tillatelse? Eller er du låst til én plattform med begrensede muligheter for selv å bestemme retningen?

Styring og prioritering: Hvem setter egentlig prioriteringene for hvordan systemene dine utvikles? Følger du produktveikartene til en amerikansk tech-gigant, eller kan du styre utviklingen etter egne behov?

Risiko: Hva skjer med virksomheten din hvis leverandøren stenger tilgangen, endrer vilkårene dramatisk, eller rammes av sanksjoner? Har du en plan B?

Lock-in og fleksibilitet: Hvor vanskelig og kostbart er det å bytte leverandør? Eier du dataene og løsningene dine i et format som kan flyttes, eller er alt låst til proprietære systemer?

Kostnader: Har du reell forhandlingsmakt, eller er du prisgitt leverandørens prisøkninger?

– Kan også påvirke mindre bedrifter

I 2025 fikk sjefanklageren i den internasjonale strafferettsdomstolen (ICC), Karim Khan, sin Microsoft-konto stengt, etter å ha havnet på Trump-administrasjonens sanksjonsliste.

– Etter dette har flere europeiske politikere blitt nektet visum til USA, fordi de har kritisert amerikansk politikk eller store tech-selskaper, forklarer Hatledal.

– Nå tilspisser den geopolitiske situasjonen seg. Se på det som skjer med Grønland og Danmark. Det er ikke utenkelig at norske politikere eller bedrifter kan komme til å oppleve de samme sanksjonene som andre europeiske politikere gjør.

Det kan virke usannsynlig for den enkelte virksomhet, men vi må ta inn over oss at man kan miste tilgang til data og tjenester, og i en digital verdikjede får dette raskt konsekvenser for flere.

Samtidig estimerer Nasjonal Sikkerhetsmyndighet (NSM) at 80 prosent av våre mest sensitive data og systemer vil ligge i skyen innen få år – og dermed potensielt utenfor norsk kontroll. ​

Denne situasjonen gjelder ikke bare for store, samfunnskritiske organer eller bedrifter. Også mindre bedrifter og enheter kan risikere å miste kontroll over egne data og systemer som følge av beslutninger de selv ikke rår over.

– Alle virksomheter, også i Norge, må ha et mer bevisst forhold til hvem vi kjøper teknologi fra, hvor data lagres, og hvilke utenlandske aktører som kan påvirke systemene våre, sier han.

Paal Hatledal, forretningsansvarlig i IT-selskapet Redpill Linpro CloudOps.
Paal Hatledal, forretningsansvarlig i IT-selskapet Redpill Linpro CloudOps.

Det finnes suverene skyalternativer

Det er ikke så enkelt å komme utenom de store plattformsleverandørene, som ofte refereres til som hyperscalere. Her er det gjerne snakk om Google Cloud, Microsoft Azure og Amazon Web Services, men også Apple, Meta, IBM og Oracle – samt kinesiske Alibaba og Huawei.

Tross alt er det en grunn til at de er så populære: De tilbyr markedsledende plattformstjenester hvor du får «alt på ett sted»: Systemene kan driftes i skyen, du får tilgang på lagringsplass og digitale arbeidsområder – samt robuste sikkerhetsløsninger.

Men at det ikke finnes alternativer til hyperscalere, sier Hatledal er en myte.

– Vi har drevet med suveren sky i mer enn ti år. Det finnes også flere aktører, både i Norge, Norden og ellers i Europa som leverer modne skytjenester, sier Hatledal og nevner:

– Blant de nordiske er Elastx og UpCloud. Utover i Europa finner vi franske OVHcloud og Scaleway, samt tyske Hetzner, som alle er skyplattformer. LibreOffice tilbyr kontorstøtte, Mattermost er en funksjonell samarbeidsplattform og Jitsi for videomøter. NextCloud er en fullverdig erstatning for O365 for de aller fleste bedrifter. Bruk gjerne tjenester som Choose European for å søke frem andre, europeiske alternativer.

Hatledal er tydelig på at ingen av disse kan konkurrere med utvalget og bredden som hyperscalere tilbyr, verken når det kommer til tjenester eller datakraft.

– Men en typisk norsk bedrift har ikke behov for alle disse tjenestene. Mesteparten forblir ubrukt, men representerer likevel en kompleksitet som gir uforutsigbare kostnader, sier han.

Her er Hatledals 9 tips til hva du bør gjøre for å få et mer bevisst forhold til egne avhengigheter og digital suverenitet.

1. Se på skystrategien og kartlegg risikoer

Det første man bør gjøre, er å kartlegge virksomhetens faktiske behov og egen risiko.

Start med å identifisere hvilke systemer og data som er kritiske for drift og verdiskaping, og prioriter kontroll og fleksibilitet nettopp der.

– Hva er grunnen til at man er i skyen? Er det nødvendig at hele driften er i skyen, eller kan deler flyttes andre steder – og hva er eventuelt nedsiden ved det?

Finnes det data og systemer virksomheten ikke klarer seg uten, og hva er det verste som kan skje om disse blir utilgjengelige?

Hva vil det i så fall kreve å drifte systemkritiske tjenester på en annen måte?

– Hvis du gjør en god vurdering, så kan det hende konklusjonen blir at noe kan ligge i amerikansk sky, mens andre ting bør håndteres på en suveren måte. Det er ikke alt eller ingenting, sier han.

2. Bygg inn suverenitet

Å bygge inn suverenitet handler om hvordan løsninger settes opp og brukes i hverdagen.

Det kan for eksempel innebære å lagre data i standardformater som enkelt kan flyttes videre, eller å sørge for at kritiske funksjoner ikke er låst til propertiære løsninger.

For noen kan dette handle om noe så enkelt som å begynne med å bytte e-postleverandør. For andre kan det handle om å flytte en funksjon som innlogging og tilgangsstyring ut av en plattformsky, og drifte den på europeisk infrastruktur.

– På denne måten kan virksomheten redusere avhengigheter og beholde handlingsrom, selv når deler av driften ligger i skyen.

Suverenitet kan også bygges gradvis: Først der man må, senere der man kan.

3. Vær bevisst den geopolitiske situasjonen

Kampen om kontroll over data, infrastruktur og digitale verdikjeder påvirkes av politiske beslutninger, handelskonflikter og internasjonale spenninger.

Det som skjer i Det hvite hus, eller i forholdet mellom stormakter, kan derfor få direkte konsekvenser, også for norske virksomheter.

– Derfor er det viktig å ta denne virkeligheten inn over seg, også når det kommer til spørsmål rundt digitalisering. Og at man tar teknologivalg som gir handlingsrom, kontroll og robusthet over tid.

Norske virksomheter med Europa som sitt marked vil ha fordeler hvis de benytter suveren digital infrastruktur, sier Hatledal og nevner flere store EU-programmer som støtter digital suverenitet: DIGITAL Europe-programmet (KI-utvikling mv-), Horizon Europe, IPCEI-CIS (skyinfrastruktur), EIC (for startups) – og for offentlige anskaffelser gjelder Cloud III DPS (suverene sky-anbud).

– Flere av disse er relevante for Norge, ettersom vi er fullverdige medlemmer eller assosierte medlemmer, sier Hatledal – og henviser til Innovasjon Norge og Forskningsrådet for ytterligere informasjon.

– Hovedpoenget er at EU satser massivt, med over ti milliarder euro som nå går direkte til suverene digitale løsninger. EU bruker sin kjøpekraft aktivt!

4. Unngå lock-in

Lock-in betyr leverandørbinding, og beskriver en situasjon hvor du er såpass låst til din leverandør, at det ikke lenger er mulig å forlate avtalen til en forsvarlig pris, uten risiko.

– Det er sjeldent noe man tenker over, og noe som ikke er synlig før du faktisk prøver å forlate leverandøren. Da kommer de reelle problemene og kostnadene.

Han mener forretningsmodellen til hyperscalere handler om å binde deg til masten. Du får reelle gevinster, og inngangskostnaden er lav.

– Men etterhvert har du kjøpt deg inn i et properitært økosystem som det er ekstremt vanskelig å komme seg ut av. Om vi først gir fra oss kontrollen, er det ingen enkel måte å få den tilbake på.

5. Ha en exit-strategi

Om behovet oppstår, er det derfor lurt å ha en konkret plan for hvordan du forlater en leverandør.

Hvilke systemer må flyttes, hvordan – og til hvem? Hvilke alternative løsninger finnes? Hvordan vil en trinnvis migrering se ut, hvilke systemer bør prioriteres?

– Dokumenter hvordan dere skal gå frem, test med piloter og juster planen underveis. Det er også lurt å inkludere egne exit-krav i nye avtaler, råder Hatledal.

6. Se på leverandørmulighetene

Er du for avhengig av én leverandør, har du ikke spesielt gode forhandlingskort på hånda.

Da den svenske kommunen Västra Götaland skulle signere en ny lisensavtale med Microsoft, ble avtalen 43,5 prosent dyrere enn den tidligere avtalen.

For de fleste virksomheter vil det gi store besparelser å ha en leverandørstrategi som innebærer å vurdere mer enn én leverandør.

– Kanskje man ikke alltid bør gå for den mest kjente eller den man tror er billigst. I noen tilfeller kan for eksempel det å velge noen som jobber med åpen kildekode og åpne standarder gi større fleksibilitet og gjøre at du i større grad eier løsningen selv.

7. Ha kontroll på dataene dine

Å ha kontroll på dataene, handler ikke bare om at de er samlet, strukturerte, og beskyttet med tilgangsstyringer

– Du bør også kunne svare på hvor dataene dine faktisk lagres fysisk, hvem som har tilgang og hvilken jurisdiksjon de faller under. Først da har du god kontroll. Det er god hygiene, rett og slett.

Her kommer et annet begrep inn i bildet, nemlig dataportabilitet. Det betyr i sin enkleste form at du enkelt kan hente ut og flytte egne data, dersom du må bytte leverandør, løsning eller driftsmodell.

8. Tenk annerledes rundt kompetanse

Å bygge suverenitet i den digitale infrastrukturen kan kreve en mer bevisst tilnærming til teknologivalg og arkitektur.

– Det handler ofte om å velge åpne og fleksible løsninger som gir bedre kontroll, gjenbruk og enklere videreutvikling over tid, uten at det nødvendigvis fører til høyere kompleksitet. Samtidig former teknologivalg hvilken kompetanse virksomheten bygger, sier Hatledal.

Når løsninger er tett knyttet til én skyleverandør, rekrutteres og sertifiseres ansatte på nettopp denne plattformen, noe som forsterker leverandørbindinger.

– Ved å prioritere kompetanse på åpne teknologier og grunnleggende byggesteiner, fremfor leverandørspesifikke tjenester, kan virksomheter bevare større handlingsrom over tid.

9. Bygg robusthet

Når man snakker om robusthet i dag, handler det ofte om redundans og oppetid. Men robusthet handler like mye om styring, kontroll og risikospredning, sier Hatledal:

– Virksomheter kan øke robustheten ved å unngå strategisk avhengighet til én leverandør, sikre reelle byttemuligheter, og ta bevisste valg som gir ledelsen handlingsrom dersom rammebetingelser, priser eller regulatoriske krav endrer seg.

– Begynn i dag!

– Digital suverenitet er ikke et mål du når én gang for alle – det er en kontinuerlig prosess, på samme måte som å jevnlig vurdere bankavtaler, forsikringer og andre kritiske leverandørforhold, sier Hatledal.

Han oppfordrer at man starter med det første tipset – og tar det derfra.

– Sett av tid til å kartlegge avhengighetene dine. Først når du vet hvor sårbar du faktisk er, kan du ta informerte beslutninger om veien videre.

For de fleste virksomheter handler det ikke om å forlate alle utenlandske leverandører over natten, men om å gradvis bygge opp handlingsrom og redusere risiko.

– Det viktigste er å komme i gang. Hver avhengighet du identifiserer, og hvert tiltak du gjennomfører, gir deg mer kontroll over egen fremtid.

Siste nytt

Sprekker KI-bobla i 2026?
Stikker Googles Gemini av med seieren i «KI-kampen»?
KI-bruken i næringslivet har doblet seg på to år
Mangfold er under press – kan data være løsningen?

Digital Norway

Universitetsgata 2 (Rebel), 0164 Oslo

post@digitalnorway.com

917362246 (Toppindustrisenteret AS)

Tema

Kunstig intelligensInnovasjonDataLedelseBærekraftSikkerhetDigitale teknologierPersonvern og GDPRDigital markedsføringJobb smartereTingenes internett

Snarveier

KursArrangementerNyhetsbrevAktueltOm ossPersonvernerklæringOfte stilte spørsmål

Hold deg oppdatert om nyheter, kurs og eventer.