Amerikanska molnet, från självklarhet till strategisk osäkerhet
I maj 2025 rapporterades att Internationella brottmålsdomstolens (ICC) chefsåklagare fick sitt Microsoftbaserade e-postkonto otillgängligt efter att USA infört sanktioner mot domstolen. Microsoft har samtidigt offentligt sagt att bolaget inte upphörde eller suspenderade tjänster till ICC som organisation. Oavsett exakt teknisk orsak blottlade händelsen något europeiska organisationer inte längre kan ignorera: det amerikanska molnet är inte bara en tjänst vi köper. Det som spelar roll är inte vem som tryckte på knappen, utan att det finns en beroendekedja som kan påverkas politiskt, med kort varsel, av skäl som inte har något med vår verksamhet att göra. Det menar cybersäkerhetsexperten Emanuel Lipschütz.
Redaktionen
Uppdaterad: 25 februari 2026Publicerad: 26 februari 2026
Emanuel Lipschütz
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
För bara några år sedan var valet av molnleverantör en icke-fråga. När svenska företag och myndigheter behövde molntjänster var svaret nästan alltid Amazon Web Services, Microsoft Azure eller Google Cloud. Det var bekvämt, tekniskt överlägset och få ifrågasatte det.
Idag ser bilden annorlunda ut. Amerikanska molnleverantörer som en gång betraktades som självklara har blivit en strategisk osäkerhet och det är hög tid att vi behandlar dem som en sådan. Enligt Synergy Research Groups marknadsbedömningar står AWS, Microsoft och Google tillsammans för omkring 70 procent av Europas marknad för molninfrastruktur (IaaS, PaaS och hosted private cloud). I Sverige är beroendet i praktiken mycket högt, men jämförbara, öppet publicerade marknadsandelar är svåra att fastställa.
Det innebär att en överväldigande del av vår digitala infrastruktur, inklusive känslig företags- och myndighetsinformation, ytterst kontrolleras av aktörer som lyder under amerikansk lagstiftning. Det här är inte längre ett teoretiskt problem. För många organisationer ligger dessutom identitet, e-post och samarbetsytor i samma leverantörskedja, vilket gör beroendet operativt och inte bara juridiskt.
ANNONS
När molnet blir ett påtryckningsmedel
Den amerikanska Cloud Act (2018) innebär att amerikanska myndigheter kan kräva ut data från amerikanska leverantörer genom rättsliga krav, så länge leverantören kan komma åt datan, oavsett om den lagras i eller utanför USA. Det betyder att serverns geografiska placering inte i sig neutraliserar jurisdiktionsrisken, så länge leverantören är amerikansk och har kontroll över datan. I praktiken innebär det att detta är en ofta underskattad risk i europeisk cybersäkerhet.
ICC:s agerande efter detta var talande. Mot den bakgrunden rapporterades under andra halvåret 2025 att ICC rörde sig bort från Microsoft 365-liknande verktyg till europeiska alternativ, där openDesk nämndes som ett exempel. Österrikes försvarsmakt har gjort en liknande förflyttning genom att gå över till LibreOffice. I Tyskland har Bundeswehr via sitt IT-systemhus BWI tecknat ramavtal om openDesk som suverän arbetsplats- och kollaborationslösning, ett tydligt steg mot minskat Microsoftberoende.
Data Privacy Framework, rättsligt och politiskt sårbart
Många företag lutar sig idag mot EU-USA Data Privacy Framework som rättslig grund för att överföra data till amerikanska molntjänster. Men ramverkets två föregångare, Safe Harbor och Privacy Shield, har båda ogiltigförklarats av EU-domstolen. Det gör att många bedömare ser en reell processrisk även för dagens ramverk. Data Privacy Framework är giltigt idag. Den 3 september 2025 avvisade EU:s tribunal (General Court) en talan som syftade till att få ramverket ogiltigförklarat. Det betyder inte att frågan är avförd för all framtid. Tvärtom är den politiska och institutionella bärigheten en del av risken.
Den 27 januari 2025 avskedade president Trump de demokratiska ledamöterna i Privacy and Civil Liberties Oversight Board (PCLOB), den instans som ska bidra till att övervaka att amerikanska underrättelsetjänster inte missbrukar europeisk data. När PCLOB inte fungerar fullt ut, bland annat vid risk för bristande beslutsförhet, ökar osäkerheten kring en av kontrollmekanismerna i Data Privacy Framework, särskilt om läget blir långvarigt. Det är just denna typ av svag länk som gör att organisationer måste planera för att rättsläget kan förändras snabbt.
Norges dataskyddsmyndighet (Datatilsynet) har i vägledning lyft behovet av exitstrategi och varnat för att ett ogiltigförklarande kan få effekt utan övergångsperiod.
För mig som arbetat med cybersäkerhet i trettio år är mönstret bekant: vi bygger på fundament som vi antar är stabila, tills de visar sig inte vara det. Att behandla Data Privacy Framework som en permanent lösning är ungefär lika klokt som att sluta med säkerhetsuppdateringar för att det inte hänt något ännu.
Europa vaknar, men för långsamt
Det positiva är att Europa har börjat agera. Eurostack-initiativet har lanserat ett “buy European”-inriktat policyförslag där minst 25 procent av nya offentliga digitala inköp föreslås vara europeiska, med mål om 50 procent till 2030. Initiativet har fått politiskt gehör i delar av Europa och har lyfts särskilt i tysk debatt. Europeiska alternativ som OVHcloud, Hetzner och Scaleway växer, liksom svenska aktörer som City Network och Elastx. EU har i policyarbete föreslagit en Cloud and AI Development Act, med ambition att kraftigt öka Europas datacenterkapacitet, i vissa beskrivningar att tredubbla den inom 5 till 7 år.
Men låt oss vara ärliga: det går för långsamt. De amerikanska hyperscalernas försprång handlar inte bara om serverkapacitet. Det är ett ekosystem av utvecklarverktyg, AI-tjänster, global skalbarhet och hundratusentals integrationer som europeiska organisationer har byggt sina processer kring. Att byta bort Azure eller AWS innebär inte bara att flytta data. Det innebär att omarbeta arbetsflöden, omskolning av personal och ofta kompromisser med funktionalitet.
Det är en av anledningarna till att inlåsningen är så effektiv, och varje månad utan förberedelse gör den djupare. Det är också naivt att tro att AWS, Microsoft och Google kommer att stå över och titta på medan Europa bygger alternativ. De lanserar redan så kallade suveräna moln inom EU, men så länge leverantören ytterst kontrolleras av ett amerikanskt moderbolag kvarstår jurisdiktions- och kontrollfrågan som en risk, även om data lagras i EU.
Vad bör svenska organisationer göra?
Min uppmaning till svenska företagsledare och myndighetschefer är tydlig.
Styrelsens och ledningens checklista
Klassning och riskanalys. Kartlägg var er mest känsliga data lagras idag och vilka amerikanska leverantörer ni är beroende av.
Identifiera beroendepunkter. Vilka identiteter, till exempel SSO (t.ex. Entra ID), är en operativ single point of failure. Vilka nycklar och loggar kontrollerar ni själva.
Plan B. Ha en realistisk exitstrategi om de juridiska eller geopolitiska förutsättningarna förändras.
Nyckelkontroll. Kräv kundstyrd nyckelhantering, BYOK och där det är möjligt HYOK, och var tydliga med vilka SaaS-funktioner som kan påverkas, till exempel funktioner som kräver indexering eller insyn i klartext.
Segmentera känsligt. Överväg europeiska alternativ för känsliga arbetsbelastningar. Det behöver inte vara allt eller inget. En multicloudstrategi där det mest känsliga hålls inom europeisk jurisdiktion är ett förnuftigt första steg.
Följ regelverksutvecklingen. NIS2, DORA, Cyber Resilience Act och den föreslagna Cloud and AI Development Act ställer hårdare krav. De som inte förbereder sig nu riskerar att hamna på efterkälken.
Fördjupning av två punkter
Kryptering reducerar risken kraftigt, men eliminerar inte allt. Metadata, identitets- och åtkomstloggar, samt funktioner som kräver klartextbehandling, kan fortfarande utgöra risk. Därför måste kryptering kombineras med arkitekturval, loggstrategi och tydliga beslut om vilka funktioner man accepterar att förlora eller begränsa.
En exitstrategi måste vara praktiskt testbar. Det räcker inte med en policy. Den måste innehålla migreringsvägar för identitet, e-post, samarbetsytor, backup, loggning, nyckelhantering och integrationer.
Avslutning
Den tid då valet av molnleverantör var en ren teknikfråga är över. Det är nu en fråga om geopolitik, juridik och ytterst om organisationens överlevnad. När de styrande i USA visar att teknikinfrastruktur kan användas som påtryckningsmedel är det hög tid för Sverige och Europa att slå in på en annan väg.
Digital suveränitet är inte en lyx. Det är en nödvändighet.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
Manage Consent
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional Alltid aktiv
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
