Exit-strategier har vært et sentralt tema inn i 2026. Senest 6. februar understreket Nasjonal sikkerhetsmyndighet (NSM) den betydelige avhengigheten norske virksomheter har til et fåtall skyleverandører.
Betyr dette at norske virksomheter umiddelbart bør terminere sine kontrakter med skyleverandører? Vi mener at svaret er nei – men at virksomheter må bli langt mer bevisste på håndtering av utkontrakteringsrisiko og konsentrasjonsrisiko helt fra kontraktsinngåelsen.
Debatten om exit-strategi
Debatten om exit-strategier har i stor grad fokusert på begrunnelsen for leverandørbytte. To hovedformål dominerer diskusjonen: For det første digital suverenitet – ønsket om å redusere avhengigheten til amerikanske teknologigiganter. For det andre diversifisering – behovet for å spre risikoen ved å benytte flere leverandører.
Begge perspektivene er relevante, men de adresserer utelukkende motivasjonen for en exit. Vi mener debatten også bør adressere hva som må være på plass før en exit kan gjennomføres. En vellykket exit forutsetter grundig utkontrakteringsrisikovurdering og kontraktsforankring.
Når skyen svikter
Norske virksomheter har i dag en betydelig avhengighet til et fåtall amerikanske skyleverandører og har dermed lagt alle eggene sine i én digital kurv. Dersom en av disse leverandørene blir kompromittert, vil dette kunne ramme store deler av den digitale infrastrukturen i Norge. Driftsproblemene hos Microsoft og Amazon i oktober 2025 illustrerte nettopp denne risikoen.
Som sikkerhetsmyndighetene har påpekt, er det ikke lenger et spørsmål om tjenestene blir rammet, men når. Virksomhetenes motstandsdyktighet og beredskap er derfor avgjørende ved bruk av skyleverandører.
Lovverket
Det regulatoriske landskapet er fragmentert, men enkelte regelverk pålegger virksomheter eksplisitte krav til regulering av exit i sine kontrakter, herunder DORA og NIS2. Data Act inneholder også ufravikelige krav til skytjenesteleverandører om å tilrettelegge for exit. Ut over dette må virksomheter håndtere utkontrakteringsrisiko og konsentrasjonsrisiko gjennom egne risikovurderinger og forhandlinger, noe som stiller krav til virksomhetenes exit-strategi og skykontraktenes innhold.
Mange virksomheter er kjent med at det bør utarbeides en exit-strategi, men dette vies sjelden tilstrekkelig oppmerksomhet ved kontraktsinngåelsen. Dersom kontraktene allerede er inngått uten nødvendige exit-mekanismer, må dette oppnås gjennom reforhandling. Sentralt er tiltak for å hindre leverandørlåsing («lock-in»).
Virksomheter bør blant annet sikre følgende kontraktsmekanismer:
- Dataportabilitet: Virksomheten må sikre kontraktsfestet rett til å hente ut samtlige data i et standardisert format som er kompatibelt med alternative leverandørers systemer
- Bistandsplikt: Leverandøren skal yte nødvendig bistand ved overføring til ny leverandør.
- Overgangsperiode: Kontrakten må sikre virksomheten tilstrekkelig tid til å gjennomføre en kontrollert overgang til ny leverandør.
- Eierskap til data og løsninger: Kontrakten må uttrykkelig regulere at virksomheten beholder eierskap til egne data, samt til konfigurasjoner og integrasjoner som er utviklet spesifikt for virksomheten.
- Lisensrettigheter i overgangsperioden: Dersom leverandøren innehar lisenser som er nødvendige for virksomhetens drift, må kontrakten regulere virksomhetens rett til å overta eller videreføre disse lisensene ved exit.
De store skyleverandørene tilbyr tjenester av høy kvalitet. En exit bør derfor ikke initieres uten at virksomheten først har gjennomført en helhetlig vurdering av alternative leverandører, da et skifte uten tilstrekkelig analyse kan medføre nye og uforutsette risikoer.
Europa bygger digital suverenitet – Norge må bidra
