Det som var rätt igår är inte rätt idag

Det finns en berättelse som börjar ta plats i den europeiska debatten om digital suveränitet. Den går ut på att vi sitter fast hos amerikanska hyperskalare. Att vi inte hade något val. Att geopolitiken kan dra mattan undan oss vilken dag som helst. Att vi är offer för omständigheter vi inte rådde över.

Berättelsen är bekväm. Den är också felaktig.

Det som hände var inte att vi tog dåliga beslut. Det som hände var att vi tog bra beslut, och sedan slutade ompröva dem.

Den distinktionen avgör vad som händer nu.

Goda beslut har en hållbarhetstid

När en svensk myndighet eller ett företag valde Microsoft 365 år 2015 var det ett bra beslut. Kostnaden var hanterbar. Tillgängligheten hög. Kompetensen fanns på arbetsmarknaden. Säkerheten var bättre än det interna alternativet. Risken för geopolitisk friktion var teoretisk.

När samma organisation lade till identitetshantering, sedan filer, sedan rapportering, sedan AI-tjänster, var varje steg också ett rationellt val. Vart och ett kunde försvaras med samma argument som det första. Vart och ett byggde på det föregående.

Det är inte här problemet uppstod.

Problemet uppstod när världen runt besluten förändrades, men besluten själva inte omprövades. Och när omprövningen uteblev, blev konsekvenserna synliga i flera dimensioner samtidigt.

Räkningen som växte under tiden

Den första dimensionen är ekonomisk.

Microsoft genomförde sin första breda kommersiella prishöjning på Microsoft 365 i mars 2022, mellan 8 och 25 procent. Det var den första substantiella höjningen sedan Office 365 lanserades 2011. I april 2023 följde en 15-procentig höjning för svenska kunder, kopplad till en ny halvårsvis valutajusteringsmekanism mot USD. Det var inte längre enskilda beslut. Det var en strukturell mekanism som gjorde att priserna kunde justeras två gånger om året.

I januari 2025 höjdes konsumentpriserna för Microsoft 365 Personal och Family för första gången på över ett decennium, mellan 30 och 43 procent, samtidigt som Copilot bakades in i tjänsten. I april 2025 höjdes alla årsbundna licenser med månadsbetalning med 5 procent, och Power BI Pro med upp till 40 procent. Den 4 december 2025 meddelade Microsoft ytterligare en global prisjustering från 1 juli 2026, mellan 5 och 33 procent, motiverad med AI- och säkerhetsfunktioner som inte kan väljas bort.

För en svensk organisation har den ackumulerade licenskostnaden för standardpaket ökat med i storleksordningen 70 till 100 procent sedan 2020, beroende på paket, avtalsform och tillval. Som räkneexempel: för en kommun med 2 000 anställda är det skillnaden mellan ungefär 1,2 miljoner och 2,2 miljoner kronor per år för bara den lägsta licensnivån, innan Copilot, säkerhetstillägg eller Power BI räknas in.

Broadcom har sedan förvärvet av VMware 2023 genomfört prishöjningar som enligt branschorganisationen CISPE överstiger 1 000 procent, i vissa fall upp till 1 500 procent. I januari 2026 avslutade Broadcom dessutom sitt europeiska VMware Cloud Service Provider-program, vilket fick CISPE att lämna in en formell konkurrensanmälan till EU-kommissionen i mars 2026. För kunder vars arbetslaster är certifierade endast för VMware är ett byte inte en konfigurationsfråga utan en arkitekturövning som tar lång tid och kostar ordentligt.

Det här är inte konkurrens. Det är prissättningsmakt över organisationer som inte längre har en exit.

Säkerheten som offras tyst

När licensbudgeten växer snabbare än hela IT-budgeten, sker besparingen någon annanstans. Den sker på säkerhetskompetens som inte längre kan rekryteras. På incidenthantering som skjuts upp. På redundansarkitektur som aldrig byggs. På loggövervakning som outsourceas till lägstabjudande. På utbildning som ströks i förra omgången.

Det är inte teori. Det är vad varje CISO ser i sin budget just nu. Pengarna som tidigare gick till att skydda organisationen finansierar nu att ligga kvar hos samma leverantör som höjer priset. Det är en omfördelning från proaktiv säkerhet till passiv beroende-finansiering, och den sker utan att någon styrelse uttryckligen har fattat beslutet.

Den andra säkerhetsdimensionen är systemisk. Själva koncentrationen är en sårbarhet. När en stor del av Europas digitala infrastruktur ligger hos två eller tre leverantörer, blir varje störning hos någon av dem en systemisk händelse.

I oktober 2025 inträffade två sådana händelser med nio dagars mellanrum. Den 20 oktober föll AWS region US-EAST-1 i ungefär 15 timmar efter ett DNS-relaterat konfigurationsfel. Tusentals tjänster slogs ut globalt, från flygbolag och betaltjänster till sjukvårdsplattformar. Den 29 oktober gick Azure Front Door ner efter en oavsiktlig konfigurationsändring. Microsoft 365, Outlook, Xbox, Copilot och tredjepartstjänster hos bland annat Alaska Airlines och Hawaiian Airlines slogs ut. Den uppskattade ekonomiska skadan av enbart Azure-händelsen ligger på upp till 16 miljarder dollar.

Det var inga attacker. Det var konfigurationsfel.

En motiverad angripare som söker maximal effekt har redan kartan. Det är samma karta som varje europeisk regering har när de planerar kontinuitetsövningar och inte hittar några oberoende noder att falla tillbaka på. Koncentration är inte bara en konkurrenspolitisk fråga. Det är en angreppsyta. Och vi har själva designat den, en migration i taget, varje gång vi valde det enklaste alternativet.

Det juridiska som inte längre är teoretiskt

Den tredje dimensionen är jurisdiktionell, och även där har det som tidigare beskrevs som teoretiskt blivit dokumenterat.

Den 6 februari 2025 utfärdade Trumpadministrationen en executive order som placerade ICC:s chefsåklagare Karim Khan under amerikanska sanktioner. I maj 2025 rapporterade Associated Press att Khan hade förlorat åtkomsten till sin Microsoft-e-post och flyttat sin korrespondens till Proton. Microsoft har förnekat att de stängde av kontot och hävdat att ICC själv genomförde flytten. Den exakta tekniska sekvensen är fortfarande omtvistad, men resultatet är inte: en av världens mest betydelsefulla juridiska aktörer förlorade tillgång till sin digitala arbetsplats efter ett amerikanskt myndighetsbeslut. Den 31 oktober 2025 bekräftade ICC att man byter från Microsoft Office till tyska OpenDesk.

Den 10 juni 2025 vittnade Anton Carniaux, Microsoft Frankrikes directeur des affaires publiques et juridiques, under ed inför franska senatens utredningskommission. På frågan om han kunde garantera att fransk medborgardata aldrig skulle lämnas ut till amerikanska myndigheter utan franska myndigheters godkännande svarade han: “Non, je ne peux pas le garantir.” Den juridiska sanningen, sade han, är att tekniska och kontraktuella garantier kan minska risken men inte upphäva effekten av en amerikansk domstolsorder mot ett amerikanskt företag.

CLOUD Act är inte längre en abstrakt risk i ett juridiskt seminarium. Det är ett dokumenterat juridiskt faktum med praktiska konsekvenser, bekräftat under ed.

Vad lagstiftaren faktiskt gjorde

Tre regelverk har nu trätt i kraft som har en gemensam underliggande logik. Cybersäkerhetslagen 2025:1506, NIS2 och DORA accepterar inte längre att leverantörsval är en operativ fråga som fattas en gång och sedan glöms.

NIS2 artikel 20 placerar ansvaret för cybersäkerhetsåtgärder direkt på styrelsenivå, med personligt ansvar för ledamöter som inte har sett till att riskhantering finns på plats. DORA går längre för finanssektorn och kräver formell hantering av koncentrationsrisk över ICT-leverantörer, med dokumenterade exit-strategier som ska kunna granskas. Cybersäkerhetslagen implementerar detta i svensk rätt sedan 15 januari 2026, med Myndigheten för civilt försvar (MCF) som samordnande myndighet och sektorsspecifika tillsynsmyndigheter inom 18 sektorer, däribland PTS för digital infrastruktur, Energimyndigheten för energi och Finansinspektionen för finansiella aktörer.

Det här är inte tre olika regelverk som råkar handla om liknande saker. Det är en koordinerad förflyttning av ansvar uppåt i organisationen, kombinerad med ett krav på löpande omprövning. Inte som engångsbeslut. Som en pågående styrningsprocess.

Den förflyttningen är det som gör offerberättelsen så lockande just nu. När ansvaret var distribuerat och statiskt, kunde ingen pekas ut. När ansvaret är koncentrerat, personligt och dynamiskt, behövs en förklaring som inte landar hos den person som nu står ansvarig.

Berättelsen om att vi blev tvingade in i denna position är en sådan förklaring. Den fungerar bara inte regulatoriskt. Och den fungerar inte ekonomiskt heller, eftersom dräneringen av kassan är synlig i varje kvartalsrapport.

Det landskap som faktiskt byggs

Här är det värt att lyfta blicken. Johan Linåker på RISE publicerade i mars 2026 en bred genomgång av initiativ kring digital suveränitet i Sverige och Europa. Bilden han tecknar är mer hoppfull än debatten ofta antyder.

I Sverige finns AI-verkstaden där Försäkringskassan och Skatteverket arbetar för att stärka civil beredskap och digital suveränitet. SAFOS-plattformen som Försäkringskassan utvecklar erbjuder öppna kommunikations- och samverkansverktyg till andra myndigheter. Helsingborgs stad arbetar hands-on med beroendekartläggning av sin IT-miljö. Sambruk samlar mer än hälften av Sveriges kommuner kring gemensamma samverkansprojekt med ökat fokus på öppna lösningar. Alingsås och Sundsvall driver praktiskt arbete med öppen källkod. Sundsvalls Eneo-plattform för AI växer. KB-modellerna utvecklas. RESIST och WASP investerar i forskning.

I Europa har Tyskland sitt center för digital suveränitet, ZenDIS, med skrivbordssviten OpenDesk. Frankrike har DINUM med La Suite Numérique och har annonserat en flytt till Linux-baserade operativsystem. Schleswig-Holstein har migrerat ungefär 80 procent av sina beroenden till icke-europeiska leverantörer. Aarhus och Amsterdam fattar samma riktningsbeslut. Danmark har tagit fram en nationell färdplan. På EU-nivå formas EDIC-DC, ett samverkansorgan för digitala allmänningar, dit Italien och Luxemburg redan har anslutit sig.

Linåkers diagnos är skarp: kunskapen finns, både genom ramverk och föregångare. Initiativen finns, både nationellt och kommunalt. Problemet är att de förblir fragmenterade och saknar koordinering och samordnad strategi.

Det är en korrekt observation. Och den lägger ansvar på rätt nivå: politisk samordning behöver komma från politisk nivå. Men det betyder inte att enskilda organisationer ska vänta. Tvärtom. Fragmentering på systemnivå löses inte av enskilda organisationer, men varje enskild organisation kan börja med sin egen struktur. Och om tillräckligt många gör det, blir samordningen lättare när den väl kommer.

Omprövning är inte ånger

Det här är en distinktion som spelar roll.

Att ompröva ett beslut innebär inte att medge att beslutet var fel. Det innebär att erkänna att förutsättningarna har ändrats. En organisation som bytte från lokala servrar till moln 2015 fattade rätt beslut då. Samma organisation som ompröver det beslutet 2026 fattar också rätt beslut, eftersom den värld där det första beslutet togs inte längre finns.

Problemet är inte besluten. Problemet är frånvaron av en omprövningsprocess.

I de flesta organisationer finns ingen formell mekanism för att regelbundet ställa frågan: är detta fortfarande rätt val? Avtalen förnyas automatiskt. Integrationerna fördjupas. Kompetensen byggs runt befintliga plattformar. Det skapas en organisatorisk inertia som gör omprövning till en aktiv handling, medan fortsatt användning är passiv.

Det är där governance-strukturen brister. Inte i besluten själva, utan i frånvaron av en cykel som tvingar fram omprövning innan en regulator gör det.

Vad som faktiskt går att göra

Den första uppgiften är inte att byta leverantör. Den är att etablera en omprövningscykel.

Vilka beslut fattades för fem år sedan baserat på förutsättningar som inte längre gäller? Vilka beroenden uppstod gradvis utan att någonsin formellt godkännas? Vilka avtal förnyas nästa år, och vad skulle krävas för att den förnyelsen ska bli en faktisk omprövning snarare än en formalitet?

Den andra uppgiften är att skilja medvetna beroenden från ackumulerade. Ett medvetet beroende har en ägare, en exit-plan och ett dokumenterat resonemang om varför nyttan överstiger risken under nuvarande förutsättningar. Ett ackumulerat beroende har inget av detta. Det första är hanterligt. Det andra är en tickande regulatorisk skuld.

Den tredje uppgiften är att bygga in omprövning i den löpande styrningen. Koncentrationsrisk över ICT-leverantörer behöver rapporteras till styrelsen regelbundet, inte vid kris. Förändringar i regelverk, geopolitik och leverantörsvillkor behöver utlösa formella granskningar. Det är inte styrelsens fel att den inte ser något som ingen visar. Men efter NIS2 och DORA är det styrelsens ansvar att begära att se det. Och som vi konstaterade i Mognadsrapporten är skriven för ledningen: den styrelse som bara läst om risken har inte testat förmågan att hantera den.

Den fjärde uppgiften är att behandla nya beslut annorlunda. Nästa avtalsförnyelse, nästa systemval, nästa AI-integration är inte fristående beslut. De är tillägg till en redan existerande riskposition under förutsättningar som kommer att förändras igen.

Suveränitet är inte ett tillstånd

Diskussionen om digital suveränitet har fastnat i en falsk binäritet. Antingen ligger man kvar hos hyperskalarna, eller så bygger man om allt. Den framställningen tjänar ingen.

Försäkringskassan och Skatteverket formulerar saken pragmatiskt i sitt regeringsuppdrag om AI-verkstaden: full rådighet i bokstavlig mening är “sannolikt i de allra flesta fall en omöjlighet för ett land som Sverige.” Det är inte heller målet. Målet är “en acceptabel nivå av digital suveränitet och en god beredskap.”

Det är rätt formulerat. Suveränitet är inte ett tillstånd man uppnår. Det är en förmåga att löpande ompröva sina beslut när förutsättningarna förändras.

En organisation kan ligga kvar på samma plattform i tio år och ändå vara suverän, om beslutet att ligga kvar fattas medvetet, regelbundet och med synlighet över alternativen. En annan organisation kan migrera till EU-baserad infrastruktur och ändå vara osuverän, om migrationen var ett engångsbeslut som aldrig omprövas.

Det är inte plattformen som avgör. Det är cykeln.

Det som återstår

Det som var rätt igår är inte rätt idag eller för framtiden. Det är inte en anklagelse mot dem som fattade gårdagens beslut. Det är en beskrivning av vad som krävs av dem som fattar dagens.

För det fanns ett val. Det fanns hundra val. Vart och ett av dem fattades av någon, någonstans i organisationen, ofta utan att den sammanlagda effekten någonsin blev synlig för någon som hade mandat att göra något åt den.

Det är inte coercion. Det är governance debt. Och governance debt går att betala av. En post i taget.

Frågan är inte om man valde rätt en gång. Frågan är om organisationen har en struktur som kan välja rätt igen, när kostnaderna fortsätter stiga, koncentrationen fortsätter öka, regelverken fortsätter skärpas och förutsättningarna fortsätter förändras.

Suveränitet börjar inte med en plattform. Den börjar inte med en strategi. Den börjar med en inventering, ett kontrakt, ett identitetssystem, en arkitekturprincip. Den börjar med att någon säger: jag äger detta beslut, och nästa gång det fattas blir det fattat med öppna ögon.

Det är inte stort. Men det är riktigt.

Behöver ni stöd med att etablera en omprövningscykel för era ICT-leverantörer eller bygga upp den styrning DORA och NIS2 nu kräver? Kontakta oss för en kostnadsfri genomgång.