Sveriges nya molnpolicy - Ett osäkert steg i rätt riktning

Policyn belyser tydligt hur det geopolitiska och “i grunden förändrade säkerhetsläget” medför risker som var offentlig aktör nu måste öppna upp ögonen inför, ta hänsyn till och analysera. Analysen lämnas för var och en att göra och att balansera mot den bredare kravbilden (“bl.a. funktion, säkerhet, rådighet, suveränitet, robusthet och kostnadseffektivitet”) utifrån lokala behov och förutsättningar. Dock slår policyn fast att “digital teknik berör numera närmast varje del av det svenska samhället” och att offentliga aktörer måste säkra sin “tillgång till och rådighet över samhällsviktiga system, tjänster och funktioner” för att “fortsätta att bedriva sin verksamhet även vid avbrott i en molntjänst” i alla lägen, vilket inkluderar kris, höjd beredskap och (i värsta fall) krig.

Policyn italasätter också hur “användningen av digitala tjänster i Europa präglas av ett beroende av leverantörer med hemvist utanför EU”. Undersökningar pekar ut hur tre amerikanska leverantörer star för 70% av den Europeiska molnmarknaden och enbart en mindre del av Europeiska alternativ. Och ja, detta medför en tydlig “risk för inlåsningseffekter och höga priser vid bristande konkurrens, men även behov av datasäkerhet och rådighet över data”.

Bland de “principer för användning av molntjänster i den offentliga förvaltningen” som presenteras av policyn trycks det på hur offentliga aktörer måste göra en bedömning över datamängders skyddsvärden och välja molnlösning därefter. Principerna trycker också på behovet av portabilitet med avseende på risker för “den offentliga aktören” att bli “låst till en molntjänst och dess leverantör”. Här är det “viktigt att offentliga aktörer säkerställer att det finns möjlighet att, vid behov, skyndsamt överföra data till och hantera system hos någon annan leverantör eller i egen regi.” Skrivningarna är vaga men pekar indirekt på öppen källkod, öppna standarder, exit- och beredskapsstrategier som en delmängd av lösningarna. Här skulle det vara önskvärt att man gick steget längre och pratade mer öppet om verktygslådan som flertalet andra länder runt om i Europa (ex. FR, DE, NL, DK mfl.) gör redan på policynivå.

Principerna trycker repetitivt på kring balansbrädan av att “stärka Sveriges digitala suveränitet, minska strategiska beroenden och samtidigt stärka den offentliga förvaltningens möjlighet att välja olika typer av digitala lösningar”. En pragmatisk bild kommuniceras där risker ska tydliggöras och rådighet säkras, men inte mer än nödvändigt. Försäkringskassans inköp av Teams speglas klart och tydligt, något som Marcus Jerring kontrasterar i Computer Sweden. Dock är verkligheten vad man gör den till. Att det inte upplevs finnas alternativ till Teams är en inställningsfråga om förändringsvilja och incitament. Lyfter man blicken mot Europa så kan man notera en annan inställning - något som kommer bli tydligare, ex. genom EUs suveränitetspaket med CADA (Cloud and AI Development Act) och Open Source strategi som kommer släppas inom de närmsta dagarna där tydliga mål finns uppställda om hur offentlig sektor ska gå mot öppna och suveräna kommunikations, samverkans och produktivitetsverktyg (bl.a).

Oavsett förändringsvilja, lyfter policyn tydliga områden som bör beaktas vid kravställan och utvärdering i upphandling och anskaffning. Dessa inkluderar tekniska såsom kryptering av data, tillika otekniska som att “molntjänsterna tillhandahålls från datacenter som är lokaliserade i EU, med personal som är EU-medborgare och uppfyller nödvändiga säkerhetskrav, samt faller under svensk eller EU:s jurisdiktion.” Digital suveränitet kan här betraktas på en “skala där högre krav på suveränitet bör gälla där riskerna är som störst, t.ex. för kritiska data och inom funktioner eller sektorer av stor betydelse, såsom samhällsviktig verksamhet.” Vilka krav som ställs och hur den totala rådigheten säkerställs måste betraktas från ett helhetsperspektiv. Synsättet ligger här väl i linje med EU kommissionens Cloud Sovereignty Framework där åtta suveränitetsmål med flertalet underliggande kravställningar finns att se till. Ramverket lyfts fram som vägledning och kan potentiellt få en svenska instansiering genom de “cybersäkerhetsrelaterade krav vid offentlig upphandling och cybersäkerhet i leveranskedjan för IKT-produkter och IKT-tjänster (informations- och kommunikationsteknik)” som “Regeringen har gett NCSC vid FRA i uppdrag (Fö2026/00737) att ta fram” med redovisning “senast den 11 december 2026”.

Ytterligare och tydligare riktlinjer, tillika praktiskt stöd kommer bli avgörande i hur policyn faller på plats och efterlevs, särskilt med tanke på hur brett den riktar sig mot myndigheter, kommuner och regioner. Förmågekartan skiljer sig stort, tillika incitament, vilja och kultur i lednings- och tjänstemannaled. Då det i slutändan är upp till den enskilde aktören att göra bedömningen, och denna i grunden kan tolkas brett och subjektivt (ex. som vi sett gällande CLOUD Act and FISA 702), kan resultatet riskera bli tomhänt och ojämnt. Trots att digital suveränitet ses från en skala, kan vi inte ha att kommuner, regioner och myndigheter placerar sig på olika ändar av skalan efter egenhändigt tycke. En fragmenterad och okoordinerad rådighet kommer inte bära samhället genom en kris.

Några pusselbitar lyfts fram för att motverka detta. Bland annat ska ett nytt forum ska inrättas av Upphandlingsmyndigeten “som ska samordna upphandlingsstöd kopplat till inköpskategorin informationsteknik, och bidra till att främja måluppfyllelsen för de upphandlande myndigheterna och enheternas it-inköp”. Vidare lyfts det tidigare annonserade dynamiskt inköpssystemet för innovativa digitala lösningar för den offentliga förvaltningen, AI-verkstan, samt Regeringens förslag om ändrade upphandlingsregler gällande leverantörer från länder som saknar frihandelsavtal med EU. Detta låter allt bra, men kommer det räcka? Särskilt när de underbyggs av skrivelser med bör-krav istället för skall-krav?

Policyn blir återigen en spegling av den balansgång man hela tiden håller sig till från Svensk politik. Det finns en risk, men den är inte akut. Vi måste värna om vår data och rådighet men inte mer än nödvändigt. Ena stunden skriver regeringen under på transatlantiska “samarbeten” kring AI och halvledarteknik genom Pax Silica. Andra stunden skriver de under “deklarationen om digital suveränitet (Fi2025/02129)” med hänvisning till hur “Sveriges och Europas digitala suveränitet behöver öka”. Förvirring råder.

Slutligen kan det nämnas hur författarna sett till CADA (Cloud and AI Development Act) som kommer släppas från EU-nivå den tredje juni, då en hel del pekar åt samma håll. Exempelvis behovet av att “svenska och europeiska molntjänstföretag utvecklar tjänster för den svenska och europeiska marknaden, vilket främjar vårt oberoende och vår rådighet över tjänsterna”. Dock går EUs suveränitetspaket längre, hårdare och tydligare fram i sina skrivningar (iaf. utifrån de skisser som läckt ut). Skillnaderna riskerar bidra ytterligare till att diskussioner och förvirring sätter sig runt om det offentligas kaffeautomater med negativ påverkan i slutändan på policyns övergripande och goda intentioner.

Sverige behöver en kollektiv och nationell rådighet, inte en situation där sjukvård, el och vattenförsörjning och andra samhällskritiska tjänster i händelse av kris fungerar i vissa delar av landet, men inte i andra.