Det som var rätt igår är inte rätt idag

Det finns en berättelse som börjar ta plats i den europeiska debatten om digital suveränitet. Den går ut på att vi sitter fast hos amerikanska hyperskalare. Att vi inte hade något val. Att geopolitiken kan dra mattan undan oss vilken dag som helst. Att vi är offer för omständigheter vi inte rådde över.

Berättelsen är bekväm. Den är också felaktig.

Det som hände var inte att vi tog dåliga beslut. Det som hände var att vi tog bra beslut, och sedan slutade ompröva dem.

Den distinktionen avgör vad som händer nu.

Goda beslut har en hållbarhetstid

När en svensk myndighet eller ett företag valde Microsoft 365 år 2015 var det ett bra beslut. Kostnaden var hanterbar. Tillgängligheten hög. Kompetensen fanns på arbetsmarknaden. Säkerheten var bättre än det interna alternativet. Risken för geopolitisk friktion var teoretisk.

När samma organisation lade till identitetshantering, sedan filer, sedan rapportering, sedan AI-tjänster, var varje steg också ett rationellt val. Vart och ett kunde försvaras med samma argument som det första. Vart och ett byggde på det föregående.

Det är inte här problemet uppstod.

Problemet uppstod när världen runt besluten förändrades, men besluten själva inte omprövades. Och när omprövningen uteblev, blev konsekvenserna synliga i flera dimensioner samtidigt.

Räkningen som växte under tiden

Den första dimensionen är ekonomisk.

Microsoft genomförde sin första breda kommersiella prishöjning på Microsoft 365 i mars 2022, mellan 8 och 25 procent. Det var den första substantiella höjningen sedan Office 365 lanserades 2011. I april 2023 följde en 15-procentig höjning för svenska kunder, kopplad till en ny halvårsvis valutajusteringsmekanism mot USD. Det var inte längre enskilda beslut. Det var en strukturell mekanism som gjorde att priserna kunde justeras två gånger om året.

I januari 2025 höjdes konsumentpriserna för Microsoft 365 Personal och Family för första gången på tolv år, mellan 30 och 40 procent, samtidigt som Copilot bakades in utan möjlighet att välja bort. I april 2025 höjdes alla årsbundna licenser med månadsbetalning med 5 procent, och Power BI Pro med 40 procent. Den 4 december 2025 meddelade Microsoft ytterligare en global prisjustering från 1 juli 2026, mellan 5 och 33 procent, motiverad med AI- och säkerhetsfunktioner som inte kan väljas bort.

För en svensk organisation har den ackumulerade licenskostnaden för standardpaket i praktiken fördubblats sedan 2020. För en kommun med 2 000 anställda är det skillnaden mellan ungefär 1,2 miljoner och 2,2 miljoner kronor per år för bara den lägsta licensnivån, innan Copilot, säkerhetstillägg eller Power BI räknas in.

Broadcom har sedan förvärvet av VMware genomfört prisökningar som europeiska molnleverantörers branschorganisation offentligt har protesterat mot. Kunder kan inte migrera bort, eftersom vissa arbetslaster är certifierade endast för VMware och ett byte kräver ombyggnad som tar 18 till 24 månader.

Det här är inte konkurrens. Det är prissättningsmakt över organisationer som inte längre har en exit.

Säkerheten som offras tyst

När licensbudgeten växer snabbare än hela IT-budgeten, sker besparingen någon annanstans. Den sker på säkerhetskompetens som inte längre kan rekryteras. På incidenthantering som skjuts upp. På redundansarkitektur som aldrig byggs. På loggövervakning som outsourceas till lägstabjudande. På utbildning som ströks i förra omgången.

Det är inte teori. Det är vad varje CISO ser i sin budget just nu. Pengarna som tidigare gick till att skydda organisationen finansierar nu att ligga kvar hos samma leverantör som höjer priset. Det är en omfördelning från proaktiv säkerhet till passiv beroende-finansiering, och den sker utan att någon styrelse uttryckligen har fattat beslutet.

Den andra säkerhetsdimensionen är systemisk. Själva koncentrationen är en sårbarhet. När en stor del av Europas digitala infrastruktur ligger hos två eller tre leverantörer, blir varje störning hos någon av dem en systemisk händelse.

I oktober 2025 inträffade två sådana händelser inom en vecka. Först AWS, sedan Azure. Avbrotten tog ner flygbolag, sjukhus, energileverantörer och offentlig förvaltning över hela kontinenten. Den uppskattade ekonomiska skadan låg på 16 miljarder dollar. Det var inga attacker. Det var konfigurationsfel.

En motiverad angripare som söker maximal effekt har redan kartan. Det är samma karta som varje europeisk regering har när de planerar kontinuitetsövningar och inte hittar några oberoende noder att falla tillbaka på. Koncentration är inte bara en konkurrenspolitisk fråga. Det är en angreppsyta. Och vi har själva designat den, en migration i taget, varje gång vi valde det enklaste alternativet.

Det juridiska som inte längre är teoretiskt

Den tredje dimensionen är jurisdiktionell, och även där har det som tidigare beskrevs som teoretiskt blivit dokumenterat.

I maj 2025 stängdes Internationella brottmålsdomstolens chefsåklagare ute från sin e-post efter att USA infört sanktioner mot domstolen. Avbrottet beskrevs av en hög tjänsteman i Haag som en röd flagga på alla nivåer av regeringen. Nederländerna inledde därefter en omfattande granskning av sin digitala infrastruktur.

I juni 2025 vittnade Microsoft Frankrikes chef för offentliga och juridiska frågor under ed inför franska senaten. På frågan om han kunde garantera att fransk medborgardata aldrig skulle lämnas ut till amerikanska myndigheter svarade han: “Non, je ne peux pas le garantir.” Den juridiska sanningen, sade han, är att tekniska och kontraktuella garantier kan minska risken men inte upphäva effekten av en amerikansk domstolsorder mot ett amerikanskt företag.

CLOUD Act är inte längre en abstrakt risk i ett juridiskt seminarium. Det är ett dokumenterat juridiskt faktum med praktiska konsekvenser, bekräftat under ed.

Vad lagstiftaren faktiskt gjorde

Tre regelverk träder nu i kraft som har en gemensam underliggande logik. Cybersäkerhetslagen 2025:1506, NIS2 och DORA accepterar inte längre att leverantörsval är en operativ fråga som fattas en gång och sedan glöms.

NIS2 artikel 20 placerar ansvaret för cybersäkerhetsåtgärder direkt på styrelsenivå, med personligt ansvar för ledamöter som inte har sett till att riskhantering finns på plats. DORA går längre för finanssektorn och kräver formell hantering av koncentrationsrisk över ICT-leverantörer, med dokumenterade exit-strategier som ska kunna granskas. Cybersäkerhetslagen implementerar detta i svensk rätt med MSB som tillsynsmyndighet.

Det här är inte tre olika regelverk som råkar handla om liknande saker. Det är en koordinerad förflyttning av ansvar uppåt i organisationen, kombinerad med ett krav på löpande omprövning. Inte som engångsbeslut. Som en pågående styrningsprocess.

Den förflyttningen är det som gör offerberättelsen så lockande just nu. När ansvaret var distribuerat och statiskt, kunde ingen pekas ut. När ansvaret är koncentrerat, personligt och dynamiskt, behövs en förklaring som inte landar hos den person som nu står ansvarig.

Berättelsen om att vi blev tvingade in i denna position är en sådan förklaring. Den fungerar bara inte regulatoriskt. Och den fungerar inte ekonomiskt heller, eftersom dräneringen av kassan är synlig i varje kvartalsrapport.

Det landskap som faktiskt byggs

Här är det värt att lyfta blicken. Johan Linåker på RISE publicerade i mars 2026 en bred genomgång av initiativ kring digital suveränitet i Sverige och Europa. Bilden han tecknar är mer hoppfull än debatten ofta antyder.

I Sverige finns AI-verkstaden där Försäkringskassan och Skatteverket arbetar för att stärka civil beredskap och digital suveränitet. SAFOS-plattformen som Försäkringskassan utvecklar erbjuder öppna kommunikations- och samverkansverktyg till andra myndigheter. Helsingborgs stad arbetar hands-on med beroendekartläggning av sin IT-miljö. Sambruk samlar mer än hälften av Sveriges kommuner kring gemensamma samverkansprojekt med ökat fokus på öppna lösningar. Alingsås och Sundsvall driver praktiskt arbete med öppen källkod. Sundsvalls Eneo-plattform för AI växer. KB-modellerna utvecklas. RESIST och WASP investerar i forskning.

I Europa har Tyskland sitt center för digital suveränitet, ZenDIS, med skrivbordssviten OpenDesk. Frankrike har DINUM med La Suite Numérique och har annonserat en flytt till Linux-baserade operativsystem. Schleswig-Holstein har migrerat ungefär 80 procent av sina beroenden till icke-europeiska leverantörer. Aarhus och Amsterdam fattar samma riktningsbeslut. Danmark har tagit fram en nationell färdplan. På EU-nivå formas EDIC-DC, ett samverkansorgan för digitala allmänningar, dit Italien och Luxemburg redan har anslutit sig.

Linåkers diagnos är skarp: kunskapen finns, både genom ramverk och föregångare. Initiativen finns, både nationellt och kommunalt. Problemet är att de förblir fragmenterade och saknar koordinering och samordnad strategi.

Det är en korrekt observation. Och den lägger ansvar på rätt nivå: politisk samordning behöver komma från politisk nivå. Men det betyder inte att enskilda organisationer ska vänta. Tvärtom. Fragmentering på systemnivå löses inte av enskilda organisationer, men varje enskild organisation kan börja med sin egen struktur. Och om tillräckligt många gör det, blir samordningen lättare när den väl kommer.

Omprövning är inte ånger

Det här är en distinktion som spelar roll.

Att ompröva ett beslut innebär inte att medge att beslutet var fel. Det innebär att erkänna att förutsättningarna har ändrats. En organisation som bytte från lokala servrar till moln 2015 fattade rätt beslut då. Samma organisation som ompröver det beslutet 2026 fattar också rätt beslut, eftersom den värld där det första beslutet togs inte längre finns.

Problemet är inte besluten. Problemet är frånvaron av en omprövningsprocess.

I de flesta organisationer finns ingen formell mekanism för att regelbundet ställa frågan: är detta fortfarande rätt val? Avtalen förnyas automatiskt. Integrationerna fördjupas. Kompetensen byggs runt befintliga plattformar. Det skapas en organisatorisk inertia som gör omprövning till en aktiv handling, medan fortsatt användning är passiv.

Det är där governance-strukturen brister. Inte i besluten själva, utan i frånvaron av en cykel som tvingar fram omprövning innan en regulator gör det.

Vad som faktiskt går att göra

Den första uppgiften är inte att byta leverantör. Den är att etablera en omprövningscykel.

Vilka beslut fattades för fem år sedan baserat på förutsättningar som inte längre gäller? Vilka beroenden uppstod gradvis utan att någonsin formellt godkännas? Vilka avtal förnyas nästa år, och vad skulle krävas för att den förnyelsen ska bli en faktisk omprövning snarare än en formalitet?

Den andra uppgiften är att skilja medvetna beroenden från ackumulerade. Ett medvetet beroende har en ägare, en exit-plan och ett dokumenterat resonemang om varför nyttan överstiger risken under nuvarande förutsättningar. Ett ackumulerat beroende har inget av detta. Det första är hanterligt. Det andra är en tickande regulatorisk skuld.

Den tredje uppgiften är att bygga in omprövning i den löpande styrningen. Koncentrationsrisk över ICT-leverantörer behöver rapporteras till styrelsen regelbundet, inte vid kris. Förändringar i regelverk, geopolitik och leverantörsvillkor behöver utlösa formella granskningar. Det är inte styrelsens fel att den inte ser något som ingen visar. Men efter NIS2 och DORA är det styrelsens ansvar att begära att se det. Och som vi konstaterade i Mognadsrapporten är skriven för ledningen: den styrelse som bara läst om risken har inte testat förmågan att hantera den.

Den fjärde uppgiften är att behandla nya beslut annorlunda. Nästa avtalsförnyelse, nästa systemval, nästa AI-integration är inte fristående beslut. De är tillägg till en redan existerande riskposition under förutsättningar som kommer att förändras igen.

Suveränitet är inte ett tillstånd

Diskussionen om digital suveränitet har fastnat i en falsk binäritet. Antingen ligger man kvar hos hyperskalarna, eller så bygger man om allt. Den framställningen tjänar ingen.

Försäkringskassan och Skatteverket formulerar saken pragmatiskt i sitt regeringsuppdrag om AI-verkstaden: full rådighet i bokstavlig mening är “sannolikt i de allra flesta fall en omöjlighet för ett land som Sverige.” Det är inte heller målet. Målet är “en acceptabel nivå av digital suveränitet och en god beredskap.”

Det är rätt formulerat. Suveränitet är inte ett tillstånd man uppnår. Det är en förmåga att löpande ompröva sina beslut när förutsättningarna förändras.

En organisation kan ligga kvar på samma plattform i tio år och ändå vara suverän, om beslutet att ligga kvar fattas medvetet, regelbundet och med synlighet över alternativen. En annan organisation kan migrera till EU-baserad infrastruktur och ändå vara osuverän, om migrationen var ett engångsbeslut som aldrig omprövas.

Det är inte plattformen som avgör. Det är cykeln.

Det som återstår

Det som var rätt igår är inte rätt idag eller för framtiden. Det är inte en anklagelse mot dem som fattade gårdagens beslut. Det är en beskrivning av vad som krävs av dem som fattar dagens.

För det fanns ett val. Det fanns hundra val. Vart och ett av dem fattades av någon, någonstans i organisationen, ofta utan att den sammanlagda effekten någonsin blev synlig för någon som hade mandat att göra något åt den.

Det är inte coercion. Det är governance debt. Och governance debt går att betala av. En post i taget.

Frågan är inte om man valde rätt en gång. Frågan är om organisationen har en struktur som kan välja rätt igen, när kostnaderna fortsätter stiga, koncentrationen fortsätter öka, regelverken fortsätter skärpas och förutsättningarna fortsätter förändras.

Suveränitet börjar inte med en plattform. Den börjar inte med en strategi. Den börjar med en inventering, ett kontrakt, ett identitetssystem, en arkitekturprincip. Den börjar med att någon säger: jag äger detta beslut, och nästa gång det fattas blir det fattat med öppna ögon.

Det är inte stort. Men det är riktigt.

Behöver ni stöd med att etablera en omprövningscykel för era ICT-leverantörer eller bygga upp den styrning DORA och NIS2 nu kräver? Kontakta oss för en kostnadsfri genomgång.