Store deler av norsk digital infrastruktur er avhengig av skytjenester fra amerikanske leverandører. Amerikanske myndigheter kan pålegge disse leverandørene å gi innsyn i kundedata – selv når dataene er lagret i datasentre i Norge. Hendelsene der den internasjonale straffedomstolen mistet tilgang til Microsoft-tjenester etter amerikanske sanksjoner, viser hvor raskt kontrollen kan glippe.
Professor Haakon Bryhni foreslår å etablere en nasjonal sky under norsk kontroll. Vi deler hans bekymring og mener Norge må bygge kritisk digital infrastruktur for grunnleggende nasjonale funksjoner. Samtidig behandler ikke alle virksomheter skjermingsverdig informasjon. Samfunnskritiske virksomheter bør satse på en nasjonal sky, mens øvrige virksomheter bør vurdere europeiske alternativer.
I denne kronikken ønsker jeg å nyansere debatten: Hva betyr egentlig digital suverenitet? Hvordan påvirker ulike leveransemodeller graden av kontroll? Og hvilke europeiske initiativer kan være attraktive for Norge?
Fire grader av kontroll
Det finnes ingen entydig definisjon av digital suverenitet. Det er imidlertid konsensus om at 100 prosent kontroll ikke er mulig med dagens globale verdikjeder. Selv amerikanske teknologigiganter er avhengige av prosessorer designet i USA og bygget i Asia med fotolitografimaskiner fra Nederland. Vi definerer derfor digital suverenitet som evnen til å velge grad av kontroll langs fire dimensjoner:
- Juridisk: Hvilken lov gjelder for leverandøren?
- Operasjonell: Hvem drifter tjenestene?
- Teknologisk: Hvem utvikler teknologistakken?
- Data: Hvor lagres og prosesseres dataene?
Noen av dimensjonene kan vi påvirke direkte – andre ligger utenfor vår kontroll. Å forstå skillet er viktig for å kunne velge riktig leveransemodell i skyen.
Fire leveransemodeller
Privat og allmenn sky er for grove begreper til å beskrive graden av kontroll virksomheter faktisk har. Vi definerer derfor fire supplerende leveransemodeller som skiller seg etter juridisk eierskap, driftspersonell, teknologistakk og datalokasjon:
- Statlig sky: Eid og driftet av nasjonal myndighet, ofte med sikkerhetsklarert personell. Gir maksimal kontroll. Eksempel: Statens graderte plattformtjenester.
- Lokal sky: Eid og driftet av en leverandør med juridisk eierskap i Europa, ofte rettet mot et lokalt marked. Gir høy grad av kontroll. Eksempler: Intility Sovereign Cloud i Norge, OVH og Scaleway i Frankrike, IONOS og Hetzner i Tyskland.
- Allmenn sky med lokal drift: Eid av en hyperscaler og driftet av en lokal partner i Europa. Gir bedre kontroll enn tradisjonell allmenn sky, men amerikansk lov kan fortsatt gjelde avhengig av avtaleform. Eksempel: S3NS i Frankrike, der Google Cloud er driftet av Thales.
- Allmenn sky med lokale kontrollmekanismer: Eid og driftet av en hyperscaler, med utvidede kontrollmekanismer for kunder i Europa. Gir kontroll på lokasjon av data og håndtering av krypteringsnøkler, men amerikansk lov vil fortsatt gjelde. Eksempler: AWS European Sovereign Cloud, Microsoft EU Data Boundary.
Valget av leveransemodell handler dermed om å finne balansen mellom behov, risiko og kostnad. Kryptering og kundestyrte krypteringsnøkler beskytter konfidensialitet, men ikke nødvendigvis tilgjengelighet. En lokal sky reduserer risikoen for at amerikanske myndigheter stenger tjenester eller krever innsyn.
Bygge – ikke bare regulere
Norske virksomheter innen IT, telekom og energi har allerede kompetanse og kapasitet til å bidra til kritisk digital infrastruktur. Staten trenger ikke bygge en nasjonal sky alene, men kan fungere som en samlende kraft mellom offentlig og privat sektor – i Norge og Norden. Et rent nordisk initiativ vil likevel ikke være nok til å konkurrere med USA og Kina. Europas styrke ligger i samarbeid. Felles standarder, tilgang til kapital og redusert byråkrati er avgjørende for å bygge digital suverenitet.
13. februar i år lanserte industri, akademia og politikere EuroStack – et initiativ for å bygge en selvstendig europeisk teknologistakk. 18. november viste Frankrike og Tyskland i Summit on European Digital Sovereignty at de mener alvor angående digital selvstendighet, og 19. november lanserte EU-kommisjonen Digital Omnibus for å forenkle digital lovgivning. Når Europa går fra å regulere til å bygge, må Norge bli en del av dette økosystemet – ikke stå på sidelinjen.
Konkurransefaktor
Digital suverenitet handler ikke bare om data, men om økonomisk handlefrihet og konkurransekraft. I BCGs rapport Infrastructure for a Competitive Europe (2025) viser vi at Europa må investere over 12.000 milliarder euro i infrastruktur innen 2040 for å sikre vekst, bærekraft og konkurranseevne. En signifikant andel av investeringen vil gjelde digital infrastruktur som datasentre.
Norge må bidra – vi ligger geografisk i utkanten, men står i kjernen av Europas verdier og ambisjoner. Dette handler ikke om å vende ryggen til amerikanske leverandører, men om å styrke evnen til å ta egne valg når det virkelig gjelder.
På slagmarka i Ukraina er vi vitne til ein teknologisk revolusjon