Jag har gått
och burit på en sorts “orosmoln i magen” ett tag nu. Det började inte med en
rubrik eller en rapport, utan med oändliga samtal och dialoger i branschen. Från
juridikstudenter, systemvetare, beteendevetare, sakkunniga inom cybersäkerhet
och otaliga andra med insyn och åsikter tilltog en åsikt som formades i huvudet.
Den tog verklig form efter många samtal ledningar som är smarta, pressade och
mänskliga men med andra fokus än vad cybersäkerhetsexperter som jag har. Samma
mönster återkom: när vi pratar om digital suveränitet, digitalt oberoende, blir
vi ofta väldigt duktiga på att peka på en plats, ett land, en flagga och lite
sämre på att svara på den jobbiga frågan: vem har kontrollen när stormen
kommer?
För i en
digital värld kommer stormen förr eller senare, incidenter händer och kommer
fortsätta hända. Det är inte dramatiskt, det är bara… väder. Nyckfulla
politiker kommer och går, beslutsfattare med mer eller mindre förståelse och
insikt i den digitala världen. Geopolitiska lägen stormar och har stiltje med
klarblå himmel och vänliga moln (avsiktlig poäng). Verksamheter är likt båtar
på detta enorma digitala hav. Och det är här jag vill placera hela debatten:
digital suveränitet är inte en fråga om var båten är registrerad. Det är en
fråga om vilka livbåtar som faktiskt går att sjösätta, vem som har nycklarna,
och om besättningen övat på att ta sig i land när det blåser. Sjövärdighet på
förnuftig grund med kontroll.
Det här låter
kanske självklart. Ändå har vi fastnat i ett samtal som ofta glider mot två
ytterligheter. Den ena sidan låter som att geografi löser allt. Den andra sidan
låter som att skala löser allt. Jag tror båda sidor missar något. Men jag tror
också att den “geografiska” sidan riskerar att missa mest och dyrast för det
digitala samhället.
Den seriösa invändningen: jurisdiktion är inte
foliehatt, det är risk
Jag vill säga
detta först, för det är viktigt för integriteten i detta inlägg: det finns
sakliga skäl att vara skeptisk till beroenden och jurisdiktion. När europeiska
aktörer lyfter extraterritoriell tillämpning av icke-europeiska lagar som en
cybersäkerhetsrisk är det inte per automatik konspiration. Frankrikes
presidentkansli har till exempel uttryckligen pekat ut extraterritoriell
tillämpning av icke-europeisk rätt kopplat till digital teknik som en
riskdimension som Europa måste kunna hantera (Élysée, 2025).
Det finns
också försök att nyktra till debatten rätt rejält, särskilt när det gäller den
amerikanska CLOUD Act som fått vissa att gå ner i brottarbrygga. Vissa analyser
försöker reda ut vad den faktiskt innebär i praktiken, vilka missförstånd som
cirkulerar, och vilka kontroller som kan minska risken (CMS, 2026).
Poängen är
enkel: jurisdiktion kan vara en relevant sårbarhet, särskilt för det
mest känsliga och samhällskritiska. Att låtsas som att den inte finns är lika
ohederligt, lite som att låtsas som att den automatiskt innebär att “allt är
övervakat”. Båda håll skapar mer värme än ljus.
Men, och här
kommer min ståndpunkt, jurisdiktion är inte en geografisk dom. Det är en
riskfaktor som måste översättas till kontrollkrav som är proportionerliga.
När debatten tappar fotfästet: suveränitetsteater
Det jag blir
allergisk mot är när suveränitet reduceras till att byta flagga på fakturan från
tjänsteleverantören och sedan kalla det kontroll, check på compliance. Det är
då vi hamnar i suveränitetsteater: vi målar om livbåtarna och hoppas att
stormen blir imponerad. Det är inget kort än falsk trygghet, säkerhet och
kontroll.
Här tycker jag
att Europeiska kommissionen är inne på något klokt: att försöka göra
suveränitet mätbar och evidensbaserad, i stället för symbolisk. Deras Cloud
Sovereignty Framework beskriver suveränitet i flera dimensioner och syftar till
att göra det till något man kan pröva, inte bara känna (European Commission,
2025).
Och
kommissionens Joint Research Centre uttrycker en position som jag tycker är
ovanligt vettig i en polariserad debatt: Europa ska vara öppet, men inte
maktlöst. Digital suveränitet handlar då om strategisk handlingsfrihet och
förmåga, inte om isolation eller protektionism för sakens skull (European
Commission, Joint Research Centre, 2025).
Det är precis
där jag vill landa: suveränitet som kontroll, inte som “här står
servern”.
Den andra seriösa invändningen: “men amerikanska
moln då, är inte de också en risk?”
Jo, Självklart. Om någon påstår att allt blir säkert bara det heter Azure, Amazon
Web Services eller Google Cloud, då har de blandat ihop marknadsföring med
meteorologi. Stormen bryr sig inte. Samtidigt måste vi ha en sak enormt klar
för oss: hyperscale-leverantörer har en skala som kan ge reell operativ
förmåga. Microsofts Digital Defense Report beskriver exempelvis omfattningen av
deras säkerhetsorganisation och signalbehandling (Microsoft, 2025) vilket är
rätt omatchat om det är verklig och enkel säkerhet vi är ute efter.
Jag citerar
inte detta för att säga “därför är amerikanska moln bäst”. Jag citerar det för
att säga: om vi jämför säkerhet måste vi jämföra förmåga. Det räcker
inte att säga “vi bygger själva” och tro att det automatiskt ger samma
livbåtskapacitet, samma övningsnivå och samma räddningskedja.
Det är här jag tycker den
geografiska suveränitetsdebatten riskerar att bli farlig. Inte för att den vill
minska beroenden, utan för att den ibland låtsas att man kan ersätta operativt
djup med politiska formuleringar. Och notera, det är också här lagstiftarna
i EU vill, motståndskraft på riktigt där förmågan att ha verklig kontinuitet är
mätbar.
“Splinternet” och data-lokalisering: när muren
blir en sårbarhet
Det finns ett
annat problem kring detta som ofta glöms bort. När vi bygger suveränitet som
murar riskerar vi att driva fragmentering och digital utanförskap. Och denna
typ av fragmentering har kostnader, både ekonomiska och säkerhetsmässiga.
Europeiska
parlamentets utredningstjänst har beskrivit hur internetfragmentering
(“splinternets”) innebär divergerande standarder och protokoll, och att det kan
få konsekvenser för innovation, interoperabilitet och styrning (European
Parliamentary Research Service, 2022).
Organisationen
för ekonomiskt samarbete och utveckling visar också hur
data-lokaliseringsåtgärder ökar och blir mer restriktiva, samt att de kan
påverka verksamheter och gränsöverskridande flöden (Ferencz & López
González, 2023).
Det här är ett
område där jag tycker att debatten ibland låter som att “lokalt alltid är
bättre” eller mer nära ”svenkst moln är bättre än amerikansk”. Men lokalt kan
också betyda: mindre ekosystem, färre kompetenspooler, dyrare redundans och flera
speciallösningar. Och speciallösningar är ofta, i praktiken, en säkerhetsrisk
eftersom komplexitet är en favoritmaträtt för både incidenter och angripare. Du
är faktiskt mer sårbar med lokalt och närodlat. Se bara på senaste tidens
incidenter som Miljödata.
Jag säger inte
att lokalisering alltid är fel. Jag säger att lokalisering är en åtgärd med
tydliga trade-offs. Och att låtsas som att trade-offs inte finns är att sälja
en livbåt utan bottenplugg. Eller i kontrollperspektivet. Har du den kontroll
du vill ha på din data i lokala moln och tekniska lösningar i paritet till
alternativen? Var är din data bäst trygg och säker sett till din
kärnverksamhet, kostnader, din förmåga och proportionalitet?
EU:s interna konflikt: det tekniska blev
politiskt
Om någon vill
se att “båda sidor” faktiskt existerar i EU självt, så räcker det att följa
debatten kring certifiering av molntjänster och suveränitetskrav. EU Institute
for Security Studies beskriver hur en teknisk fråga blivit ett politiskt
stresstest: hur Europa ska balansera säkerhet, prestanda och beroende av
dominerande amerikanska leverantörer (European Union Institute for Security
Studies, 2025).
Det här är bra
att ha i texten, för det visar att frågan inte är “enkelt anti-USA” eller
“enkelt pro-moln”. Den är en verklig intressekonflikt mellan risktyper:
juridisk kontroll, operativ robusthet, marknadsdynamik och geopolitisk
handlingsfrihet.
Min slutsats: kontroll är livbåten, geografi är
bara hamnen
Här är min
kärnpoäng, och den står jag för även efter att ha lyssnat in “andra sidan”
ordentligt. Digital suveränitet är verklig först när vi kan visa kontroll i tre
enkla frågor:
För det
första: kan vi styra åtkomst och nycklar på ett sätt som står pall för både
tekniska och juridiska chocker?
För det andra:
kan vi upptäcka och isolera skada snabbt, även när leverantörskedjan strular?
För det
tredje: kan vi återställa, på riktigt, och visa det med övningar, inte med
dokument?
Det spelar
ingen roll om båten är europeisk eller amerikansk om livbåtarna inte går att
sjösätta. Och det är här jag tycker att konspiratoriskt lagdas argument blir
ett problem för vårt digitala samhälle och verksamheter i det offentliga och
näringsliv. Inte för att de alltid har “fel” i sin oro, utan för att de ofta
hoppar över många viktiga steg för att bevisa sin tes och linje. De ersätter
riskarbete med moralpanik. De låter som att de söker kontroll. Men sanningen är
att de levererar ofta bara rädsla, okunskap och ibland panik.
Rädsla kan få
oss att röra på oss. Men rädsla kan också få oss att springa åt fel håll.
Flockimmunitet som vuxet svar i en gränslös storm
Min egen
position i allt detta är därför en kombination som jag tycker är både
realistisk och ansvarsfull: samarbete med likasinnade demokratier där det går,
och selektiv, evidensbaserad suveränitet där konsekvensen kräver det.
EU och USA har
redan strukturer för samverkan kring teknik, standarder och resilienstänk via
Trade and Technology Council, vilket visar att “allianslogik” i det digitala
rummet är en konkret, pågående strategi, inte bara en idé (U.S. Trade
Representative, 2024).
Det betyder
inte att vi ska vara naiva. Det betyder att vi ska vara vuxna. I en värld där
angripare, leverantörskedjor och geopolitik korsar gränser som om de vore
streck i sanden, blir den mest praktiska formen av suveränitet ofta gemensamma
minimikrav, gemensam hotbild och gemensam förmåga att återhämta oss.
Jag tror att
framtidens konkurrenskraft kommer att mätas i hur väl vi kan hålla kursen i
storm på de globala digitala oceanerna. Inte i hur högt vi ropar
“självständighet” från däck medan vi seglar runt i en optimistjolle i den
lokala hamnen.
Slutkläm: stormen kommer ändå, frågan är om vi
övat
Om jag ska
lämna dig som läsar med en enda bild så är det denna. Se framför dig en kapten
som står på bryggan med en karta där alla faror är markerade. Kartan är vacker.
Men den är också värdelös om livbåtarna aldrig provats, om nycklarna sitter på
fel nyckelknippa och om besättningen aldrig övat på att agera när det händer.
Digital
suveränitet är inte en adress. Det är en förmåga. Det är kontroll.
Och om vi vill
ha integritet i debatten måste vi klara av att säga detta samtidigt: ja,
jurisdiktion och beroenden är en verklig risk. Ja, hyperscale kan vara en
verklig styrka. Ja, murar kan bli en verklig sårbarhet. Och nej, vi får inte
göra trygghet till teater.
För stormen
bryr sig inte om våra slogans. Den bryr sig om våra livbåtar.
Referenser
European
Commission. (2025). Cloud Sovereignty Framework (PDF).
European
Commission, Joint Research Centre. (2025). Open but Not Powerless: Towards a
Common Understanding of EU Digital Sovereignty (Policy brief).
European
Parliamentary Research Service. (2022). “Splinternets”: Addressing the
renewed debate on internet fragmentation (PE 729.530).
European Union
Institute for Security Studies. (2025). Technical is political: When a cloud
certification scheme divides Europe.
Élysée.
(2025). Achieving Europe’s Cloud and Data Sovereignty.
Ferencz, J.,
& López González, J. (2023). The Nature, Evolution and Potential
Implications of Data Localisation Measures (OECD Trade Policy Papers, No.
278). OECD Publishing.
Microsoft.
(2025). Microsoft Digital Defense Report 2025.
U.S. Trade
Representative. (2024). U.S.–EU Joint Statement of the Trade and Technology
Council.
