Digital suverenitet og skystrategi som risikostyring

Digital suverenitet, skystrategi og risikostyring har blitt helt sentrale temaer i 2026. Økende geopolitisk usikkerhet og skjerpede sikkerhetskrav gjør teknologivalg til strategiske beslutninger som påvirker beredskap, styringsevne og virksomhetskontroll.

Data representerer makt, og teknologiplattformer påvirker både sikkerhet og kontinuitet. Likevel forenkles debatten ofte til datasenterlokasjon eller leverandørvalg.

I praksis handler digital suverenitet om kontroll: hvem som styrer data, hvilke rammebetingelser som gjelder og hvordan virksomheten påvirkes når geopolitiske eller regulatoriske forhold endrer seg. Det er derfor et styringsspørsmål – ikke et teknologivalg.

Full teknologisk selvforsyning er heller ikke realistisk for land som Norge. Begrenset markedsstørrelse, kapital og kompetanse gjør det umulig å bygge komplette teknologistakker alene. Samtidig viser erfaring at isolasjon ofte svekker innovasjon og sikkerhet. Det avgjørende er derfor hvordan avhengigheten til globale leverandører håndteres, ikke at man forsøker å eliminere den.

Skyvalg handler ikke lenger primært om kostnader og skalerbarhet. Geopolitisk uro, regulatoriske krav og cybertrusler gjør skybeslutninger til en viktig del av virksomhetens beredskap.

Styrer og toppledere vurderer i økende grad hvordan kritiske tjenester kan opprettholdes i krisesituasjoner. Evnen til rask omstilling, robust drift og tydelig ansvarliggjøring har blitt viktige elementer i helhetlig risikostyring.

I vårt arbeid med styrer og ledergrupper ser vi at skystrategi nå er et viktig verktøy for:

• robust tjenesteleveranse
• rask omstillingsevne
• tydelig ansvarliggjøring

Dette gjør skystrategi til en integrert del av virksomhetens totale risikostyring.

En moden skystrategi bygger derfor på risikobasert differensiering mellom samfunnskritiske, skjermingsverdige og mindre kritiske data. Dette åpner for kombinasjoner av offentlig sky, hybrid‑ og multisky – og i enkelte tilfeller sovereign cloud når juridisk og operasjonell kontroll er avgjørende.

Slike kombinasjoner gir fleksibilitet og handlingsrom, samtidig som virksomheten kan utnytte globale tjenester uten å miste styring.

Reell digital suverenitet forutsetter også evne til å flytte data eller bytte leverandør når det er nødvendig. Dette krever bevisste arkitekturvalg, tilstrekkelig kompetanse og prosesser som gjør endring mulig uten å sette drift i fare. Dataportabilitet og byttbarhet undervurderes ofte, men bør behandles som sikkerhetskrav – ikke bare kontraktsmessige detaljer.

Fysisk datalokasjon kan være relevant, men er sjelden avgjørende. Mange virksomheter oppnår høy grad av kontroll gjennom kundestyrt nøkkelhåndtering, avansert logging, revisjonsspor og tydelige varslingsmekanismer. Slik blir risiko mer håndterbar og styring mer transparent. Kontroll handler derfor mest om forvaltning, ikke geografi.

Kombinasjonsmodeller gir fleksibilitet. Kombinasjoner av skyløsninger gir virksomheten:

• fleksibilitet
• handlingsrom
• tilgang til globale tjenester
  

– uten å miste styring.

Reell digital suverenitet forutsetter at virksomheten faktisk kan flytte data eller bytte leverandør ved behov.

Dette krever:

• kloke arkitekturvalg
• intern kompetanse
• prosesser som gjør endring trygg

Dataportabilitet som sikkerhetskrav:

I KPMG ser vi at dataportabilitet ofte undervurderes. Det bør behandles som et sikkerhetskrav, ikke bare en kontraktsmessig formalitet.

Tiltak som styrker kontroll: Lokasjon betyr noe, men er sjelden avgjørende alene.

Mange virksomheter kan oppnå høy kontroll selv i globale skyer ved hjelp av:

• kundestyrt nøkkelhåndtering
• avansert logging
• revisjonsspor
• tydelige varslingsmekanismer

Kontroll oppnås gjennom forvaltning. Risiko forsvinner ikke, men blir mer håndterbar og transparent. Kontroll handler derfor mer om forvaltning enn om geografi.

Digital suverenitet må ikke reduseres til en ideologisk øvelse. Den største risikoen oppstår når virksomheter velger løsninger basert på symbolikk i stedet for reell risikovurdering. Skystrategi er en strategisk beslutning som må eies av styret og toppledelsen for å sikre riktig retning og nødvendige prioriteringer.

Virksomheter som lykkes er de som gjør skystrategi til en eksplisitt styresak – før en krise oppstår. De erfarer større robusthet og bedre evne til å håndtere både teknologiske og geopolitiske skift.