Nyere hendelser i verden har gjort dette ekstra viktig. Når store skyleverandører må følge lover i andre land, som USAs CLOUD Act, kan myndigheter der kreve innsyn i data, eller tjenester kan bli begrenset eller stengt på kort varsel.
For norske virksomheter reiser det et grunnleggende spørsmål: Hvem har egentlig kontroll over våre viktigste data og systemer? Derfor er skysuverenitet blitt avgjørende for organisasjoner som vil lede digitalt og samtidig håndtere risiko trygt.
Meld deg på frokostseminar om Cloud Sovereignty i Oslo 15. april
Hva er skysuverenitet eller Cloud Sovereignty?
Skysuverenitet er mer enn hvor data ligger. Det betyr at virksomheten beholder kontroll over egne data, applikasjoner og IT-infrastruktur i skyen, i tråd med lover, sikkerhetskrav og driftsbehov.
Vi ser at mange virksomheter enten gjør temaet for smalt til et spørsmål om datalagring eller for stort og diffust til å omsettes i praktiske beslutninger.
Det er her ledelsen må ta et tydelig grep.
Den viktigste erkjennelsen er denne: Suverenitet handler ikke om maksimal kontroll. Det handler om riktig kontroll. Målet er ikke å bremse teknologiutviklingen, men å etablere et styringsmessig og operasjonelt grunnlag som gjør det mulig å bruke skytjenester, data og AI på en trygg, forsvarlig og fremtidsrettet måte. I praksis handler det om kontroll på:
- Datalagring og lokalisering: hvor data fysisk lagres, og hvilket lands lover som gjelder.
- Kryptering og nøkkelhåndtering: At dere selv eier og styrer krypteringsnøklene. Ikke skyleverandøren.
- Databehandling og tilgang: Hvem som kan se, bruke og behandle dataene, og på hvilke vilkår.
- Teknologivalg og portabilitet: frihet til å velge, kombinere eller bytte leverandører uten å bli låst.
Dette gjør at du beholder styring på datastyring, personvern, cybersikkerhet og teknologivalg når dere bruker avanserte sky- og AI-tjenester.
Med den raske utviklingen i AI, som store språkmodeller og AI-agenter, blir suverenitet enda viktigere. Suveren AI betyr at dere kontrollerer hvordan modellene trenes, hvilke data de får, hvor prosesseringen skjer, og at resultatene kan forklares og etterprøves. Uten en tydelig plan kan sensitiv informasjon og persondata havne i systemer utenfor din kontroll.
Les mer: PwCs Agentic Factory
Åtte av ti tilpasser skystrategien på grunn av geopolitiske endringer
Globale endringer, inkludert utvikling av databeskyttelseslover, geopolitiske usikkerheter og AI-fremveksten, har intensivert søkelyset på skysuverenitet. PwCs 2025 EMEA Cloud Business Survey avdekket at:
- 94 % av organisasjoner planlegger å justere sin skyarkitektur for bedre skala, fleksibilitet og suverenitet.
- Over 80 % tilpasser skystrategier på grunn av geopolitiske eller regulatoriske endringer.
- Agentisk AI-funksjonalitet blir avgjørende i valg av skytilbydere.
Disse dynamikkene understreker at skysuverenitet er ikke bare et samsvarskrav eller IT-bekymring. Det er et styringsmessig strategisk prioritet som gir motstandskraft, tillit og konkurransefortrinn.
Selv om skysuverenitet er relevant for alle organisasjoner, er behovet særlig akutt i sektorer der data er spesielt sensitiv eller samfunnskritisk, som offentlig sektor og forsvar, helse, finans, energi og kritisk infrastruktur. For disse sektorene handler skysuverenitet ikke bare om å etterleve regulering, det handler om å beskytte kjernevirksomheten og opprettholde nasjonal tillit.
Den vanligste feilen: å starte med teknologi
Når suverenitet kommer på agendaen, begynner mange i feil ende. Diskusjonen går raskt til plattformvalg, datalokasjon eller leverandørnavn.
Det er sjelden det riktige startpunktet.
En god suverenitetsstrategi begynner med formål. Ledelsen må først avklare hva virksomheten faktisk prøver å oppnå. Er målet å redusere regulatorisk risiko? Beskytte særlige datatyper? Øke beredskap og kontinuitet? Redusere avhengighet til enkeltleverandører? Skape tryggere grunnlag for AI-bruk? Eller alt dette i kombinasjon?
Uten et tydelig formål blir suverenitet fort enten for dyrt, for generelt eller for teknisk.
De mest treffsikre virksomhetene starter med noen grunnleggende spørsmål:
- Hvilke data, systemer og prosesser er mest kritiske for oss, og hvorfor er disse avgjørende for vår virksomhet og samfunnsrolle?
- Hvilke regulatoriske krav gjelder for oss, og hvorfor er vi omfattet av dem?
- Hvilke trusler og avhengigheter er mest relevante, og hvorfor utgjør de en risiko for oss?
- Hvor mye kontroll trenger vi i ulike deler av virksomheten, og hvorfor varierer kontrollbehovet
- Hvilket ambisjonsnivå er realistisk, gitt vår modenhet, kapasitet og økonomi, og hvorfor er dette nivået riktig nå?
Når disse spørsmålene besvares først, blir det langt lettere å gjøre riktige teknologiske og kommersielle valg.
Balansen mellom kontroll og innovasjon
Skysuverenitet betyr ikke å isolere skyen eller gi opp fordelene hos store leverandører som Azure, AWS og Google Cloud. Poenget er å bygge en trygg og balansert løsning som lar dere innovere med tillit uten at krav til suverenitet blir en brems.
Slik får du det til:
- Teknisk sikkerhet: Kryptering med egne nøkler, nulltillit (Zero Trust) og tydelig styring av identiteter og tilganger, så bare autoriserte brukere og systemer får innsyn.
- Juridiske sikkerhetsnett: Klare avtaler og etterlevelse av regler som GDPR, EU AI Act og bransjeforskrifter for å redusere juridisk risiko.
- Styring (governance): Tydelig ansvarsfordeling, sporbarhet (revisjonsspor) og god endringsstyring som gir ledelsen innsikt og kontroll.
Med denne tilnærmingen kan dere plassere arbeidslaster etter hvor sensitive de er: Bruk privat eller suveren sky for de mest kritiske dataene, og offentlig sky der fleksibilitet og skalerbarhet er viktigst. Slik får dere både høy sikkerhet og høy smidighet.
Fra begrep til styringssak for toppledelsen
For toppledelsen bør digital suverenitet forstås som et spørsmål om virksomhetsstyring, risiko og strategisk handlefrihet.
I praksis består dette av tre tett sammenvevde dimensjoner:
- Datasuverenitet handler om kontroll over hvordan data lagres, behandles, flyttes og beskyttes og hvilke juridiske rammer og tilgangsmekanismer som gjelder.
- Skysuverenitet handler om hvorvidt virksomheten beholder kontroll over data, applikasjoner, nøkkelmekanismer, tilgang og arkitekturvalg, selv når den bruker moderne skytjenester.
- Digital suverenitet er den bredeste dimensjonen. Den omfatter ikke bare data og sky, men også operasjonell robusthet, leverandøravhengighet, teknologiske valg, regulatorisk etterlevelse og evnen til å opprettholde virksomhetskritiske funksjoner over tid.
– For ledelsen betyr det at suverenitet må inn i anskaffelser, kontrakter og leverandøroppfølging. Suverenitet er forutsetningen for ansvarlig innovasjon, sier Christine Ask Ottesen som er partner i PwC og ekspert på teknologijuss.
Skysuverenitet som en driver for AI og vekst
Skysuverenitet er ikke en hindring for innovasjon. Det er forutsetningen for å innovere trygt. For norske virksomheter som vil bruke AI og avansert analyse, gir en suveren skyarkitektur en sikker ramme for å teste, skalere og skape verdi, samtidig som dere beholder kontroll over sensitiv informasjon, intellektuell eiendom og personopplysninger.
Med riktig kontroll får du et mer robust grunnlag for AI, bedre styring av regulatorisk risiko, tydeligere ansvarslinjer og større handlingsrom dersom leverandørforhold, marked eller myndighetskrav endrer seg.
I norsk og europeisk sammenheng handler dette også om å bygge kompetanse og robuste løsninger som tåler raske endringer i regelverket. Organisasjoner som investerer i skysuverenitet nå, er bedre forberedt på nye krav og tjenester som EU AI Act, DORA og NIS2. Som igjen reduserer behovet for dyre endringer senere.
Du må kunne vise hvilke tiltak du har gjort
At det stilles strengere krav ved overføring av personopplysninger ut av EU/EØS er kjent for mange. Også andre steder i norsk lov finner vi krav om at data som hovedregel skal oppbevares eller lagres i Norge eller i et bestemt utvalg av land.
Dersom manglende kontroll over data først utgjør en risiko for virksomhetens behandling av data, vil det få flere regulatoriske utslag på lik linje med andre cyberrisikoer. Selv der dagens regulatoriske krav gir spillerom for hvor virksomheten lagrer og behandler data, stilles det altså krav til fremgangsmåten.
Disse regelsettene tar gjerne form som krav til at virksomhetens strategier og risikovurderinger er dokumentert og tåler kontroll. Virksomheten vil ikke bare måtte kunne vise myndigheter og kunder at den forstår risikobildet den opererer i, men også hvilke tiltak som er fattet for å holde risikoen under kontroll. Dette krever en forståelse av leverandørkjeden, hvilke av leverandørenes tjenester virksomheten faktisk bruker og hvordan de er innstilt.
Er du etablert utenfor Norge? Suverenitetsstrategien kan gi deg en fordel
For virksomheter som er etablert eller ønsker å etablere seg utenfor Norge, oppstår i tillegg spørsmålet om suverenitetsstrategien står seg på tvers av jurisdiksjoner. Selv om en felles tilnærming til strategi tar form på EU-nivå, varierer implementasjonen av nasjonale krav mellom medlemslandene.
Utenfor EU/EØS vokser kompleksiteten ytterligere, og virksomheter med global tilstedeværelse må navigere regelverk som i stadig større grad preges av geopolitiske motsetninger. En suverenitetsstrategi som er kompatibel med krav internasjonalt, åpner nye markeder for virksomheten og kan fungere som en konkurransefordel.
Slik gir skysuverenitet verdi til din bedrift
- Raskere digital utvikling: Suverene skyløsninger gir et trygt grunnlag for nye satsinger. Fra AI-baserte kundeopplevelser til automatisering av kjerneprosesser. Samtidig som data behandles i tråd med norske og europeiske krav.
- Etterlevelse nå og fremover: Dere følger dagens og kommende AI- og dataregler og unngår kostbare omstillinger når nye krav trer i kraft.
- Bedre kontroll og sikkerhet: Klare regler for datastyring, løpende overvåking og tydelig ansvarsdeling reduserer risikoen for datainnbrudd, bøter og omdømmetap.
- Styrket kompetanse: Arbeid med skysuverenitet bygger intern kompetanse på teknologi, juss og forretning og gjør dere bedre rustet for endringer.
Hva ledere bør gjøre nå
For mange er ikke utfordringen å forstå at temaet er nødvendig å forholde seg til, men å vite hvordan de skal gripe det an uten at det blir et rent teknologi- eller compliance-spor. Nettopp derfor bør digital suverenitet behandles som et tverrfaglig ledertema.
Det innebærer for det første å løfte diskusjonen ut av kun IT. Beslutninger om suverenitet påvirker virksomhetens risikobilde, investeringsprioriteringer, kontraktsstrategi, beredskap, datastyring og innovasjonsevne. Derfor må både forretning, sikkerhet, juss, anskaffelser, arkitektur og drift involveres tidlig.
For det andre må virksomheten etablere et tydelig beslutningsgrunnlag. Mange organisasjoner sitter med fragmentert innsikt: Sikkerhetsmiljøet kjenner trusselbildet, juridisk kjenner regelverket, IT kjenner plattformene og forretningen kjenner kritiske prosesser. Men uten et samlet bilde blir det vanskelig å gjøre prioriteringer. Ledelsen trenger derfor ha en strukturert tilnærming til problemstillingen.
Skysuverenitet må bygges over tid
For det tredje bør ledere være bevisste på at suverenitet ikke er et engangsvalg. Det er en evne som må bygges over tid. Virksomheter trenger derfor ikke vente på en perfekt fremtidsmodell før de starter. Ofte er det mer verdifullt å begynne med de områdene der behovet for kontroll er tydeligst, og der gevinsten av bedre styring er størst.
Det betyr i praksis å tenke trinnvis: Styrke dataklassifisering, få bedre oversikt over avhengigheter, bygge sterkere krav inn i anskaffelser, etablere tydeligere prinsipper for nøkkelhåndtering og tilgang, og designe arkitektur med større grad av portabilitet og segmentering der det er nødvendig.
No size fits all
Det finnes ingen universell målmodell som passer alle. For de fleste virksomheter er ikke svaret enten “alt i offentlig sky” eller “alt i nasjonal, isolert infrastruktur”.
Virkeligheten er mer nyansert.
Det mest realistiske for mange er en modell der ulike arbeidslaster, datatyper og prosesser håndteres forskjellig, basert på kritikalitet, regulatoriske krav og risiko. Noen deler av virksomheten kan trygt ligge i standard skyløsninger. Andre vil kreve sterkere kontrollmekanismer, mer segmentering, egne nøkkelmodeller, strengere tilgangsregimer eller hybride arkitekturer.
Det er nettopp denne balansegangen som er avgjørende for ledelsen: Å finne et nivå der virksomheten beholder innovasjonsevne og skalerbarhet, samtidig som kontrollen er tilstrekkelig der den faktisk må være det.
I denne sammenhengen er det nyttig å se på suverenitet som en skala, ikke som et absolutt ja/nei-spørsmål.
Fem steg for ledere som vil ta kontroll
For virksomheter som ønsker å jobbe systematisk med digital suverenitet, er det nyttig å strukturere arbeidet som en reise. Ikke fordi alle skal til samme sted, men fordi de fleste trenger en mer bevisst progresjon fra dagens situasjon til et nivå av kontroll som er tilpasset virksomhetens behov.
1. Definer suverenitetsstrategien
Første steg er å avklare hva suverenitet skal bety for virksomheten. Det er ofte her de viktigste avveiningene starter.
For noen handler dette om å innfri regulatoriske krav eller redusere regulatorisk risiko. For andre handler det om å beskytte kritiske data, sikre kontinuitet eller legge grunnlag for trygg bruk av AI. Ofte handler det om flere hensyn samtidig.
Ledelsen bør derfor definere en tydelig retning: Hvilke forretningsmål skal støttes, hvilke risikoer skal reduseres, og hvor er behovet for sterkere kontroll reelt? Strategien må forankres bredt i virksomheten, på tvers av forretning, juss, risiko, anskaffelser, arkitektur og drift.
Når retningen er satt, må virksomheten også avklare hvilket omfang suverenitet faktisk skal gjelde for, og samtidig vurdere både egen modenhet og leverandørenes reelle kontrollmodeller. Dette handler om å forstå om organisasjonen selv har styringsmodeller, kompetanse, kapasitet og beredskap som kan bære et høyere suverenitetsnivå, og om den er villig til å ta eierskap til mer av arkitektur, drift og kontrollflater.
Parallelt må leverandørene vurderes med samme alvor: hvilke jurisdiksjoner de er underlagt, hvordan data håndteres, hvem som kontrollerer nøkler og grensesnitt, og i hvilken grad tjenesten faktisk kan operere innenfor virksomhetens definerte kontrollgrenser. Først når egen modenhet og leverandørenes mulighetsrom ses i sammenheng, blir det mulig å definere et presist og gjennomførbart suverenitetsomfang for virksomheten.
2. Tilpass modeller til strategiske mål
Når retningen er definert, må strategien oversettes til praktiske modellvalg.
Ulike deler av virksomheten vil ha ulike behov. Noen data og arbeidslaster kan håndteres i standard skyløsninger, mens andre krever sterkere grep som eksterne nøkler, segmentering eller hybride oppsett.
Poenget er ikke å velge én modell for alt, men å bygge modeller som samsvarer med virksomhetens mål og risikobilde. Dataklassifisering og kritikalitetsvurdering er derfor avgjørende for å unngå både over- og underbeskyttelse.
For ledelsen handler dette om å sørge for at arkitekturvalg og leverandørvalg ikke styres av vane eller kortsiktig bekvemmelighet, men av virksomhetens faktiske risikobilde og prioriteringer.
3. Sett klare og realistiske grenser
Det tredje steget handler om å definere grensene for kontroll.
Virksomheten må være tydelig på hvilke data som kan lagres hvor, hvem som kan administrere hvilke miljøer, hvem som kontrollerer nøklene, og hvor grensene går for leverandøravhengighet. Uten slike avklaringer blir det vanskelig å stille presise krav og bygge robust arkitektur.
Eksisterende rammeverk, som EU Cloud Sovereignty Framework, fungerer som et beslutningsverktøy som gir virksomheter et felles språk for å vurdere både leverandører og egen modenhet på en strukturert måte, slik at forretningsbehov, risiko, regulering og teknologivalg kan kobles i én samlet vurdering.
Samtidig må grensene være realistiske. For ambisiøse krav uten tilstrekkelig kompetanse eller kapasitet skaper ofte mer kompleksitet enn kontroll.
4. Design suverenitet i arkitekturen
Når strategi, modeller og grenser er definert, må suverenitet bygges inn i arkitekturen.
Kontroll oppstår ikke av seg selv. Den må realiseres gjennom tekniske og operative mekanismer, som identitets- og tilgangsstyring, kryptering, nøkkelhåndtering, segmentering, logging, backup og portabilitet.
For ledelsen er poenget at arkitektur er et styringsverktøy. Hvis kontrollkravene ikke reflekteres i løsningenes design, blir de i praksis svake. Suverenitet må derfor bygges inn fra start.
5. Bygg strategiske partnerskap
Det femte steget handler om å bygge de riktige partnerskapene.
Suverenitet kan ikke håndteres alene. Virksomheten må derfor vurdere leverandører og partnere ut fra mer enn teknologi alene. Transparens, dokumentasjon, kontrollmekanismer og evne til å møte regulatoriske og operative behov er like viktig.
For ledelsen betyr dette at suverenitet må inn i anskaffelser, kontrakter og leverandøroppfølging. Det holder ikke å spørre om en leverandør støtter suverenitet — man må forstå hvordan det faktisk realiseres.
Hvorfor dette er blitt en lederagenda
Det er flere grunner til at digital suverenitet nå har beveget seg opp på styre- og konsernledelsesnivå.
For det første skjerpes kravene til etterlevelse og robusthet. Norske virksomheter må forholde seg til et landskap preget av strengere forventninger til sikkerhet, kontroll, revisjon og ansvarlighet. Dette gjelder på tvers av bransjer, men blir særlig tydelig i virksomheter med sensitive data, samfunnskritiske funksjoner eller komplekse verdikjeder.
For det andre øker kompleksiteten når bruk av skytjenester og AI blir en integrert del av virksomhetsutviklingen. Jo mer virksomheter bygger inn avanserte skytjenester, automatisering og AI-baserte kapabiliteter i kjerneprosesser, desto viktigere blir det å forstå hvem som kontrollerer dataflyt, modellbruk, prosessering, nøkkelmekanismer og operasjonelle avhengigheter.
For det tredje har geopolitisk uro og økt regulatorisk oppmerksomhet gjort leverandøravhengighet mer synlig. Mange virksomheter har i utgangspunktet valgt globale skytjenester av gode grunner: Skalerbarhet, innovasjonstakt, tilgjengelighet og kostnadseffektivitet. Men de samme valgene reiser også spørsmål om jurisdiksjon, kontroll, forsyningskjede og operasjonell autonomi.
Dette betyr ikke at globale leverandører skal velges bort. Men det betyr at virksomheter må bli langt mer bevisste på hvilke kontrollmekanismer de trenger rundt dem.
Veien videre: Suverenitet som forretningsbehov
For norske virksomheter blir den viktigste oppgaven fremover ikke å jage maksimal autonomi, men å bygge en modell for bevisst kontroll.
Det betyr å være tydelig på hva som må beskyttes, hva som kan standardiseres, hvor avhengigheter er akseptable, og hvor de ikke er det. Det betyr også å erkjenne at ulike deler av virksomheten vil kreve ulike løsninger og at god suverenitetsstyring derfor må være både risikobasert, forretningsforankret og praktisk gjennomførbar.
De virksomhetene som lykkes best, vil være de som klarer å kombinere moderne sky- og AI-kapabiliteter med tydelige kontrollmekanismer, realistiske ambisjonsnivåer og en styringsmodell som tåler endring.
Digital suverenitet er derfor ikke et mål i seg selv. Det er et strategisk virkemiddel for å skape tillit, robusthet og varig innovasjonsevne.
Bransjer vi hjelper med rådgivning
Vi har kompetansen som skal til for å løse sammensatte problemstillinger i en rekke bransjer.
Value in motion
Kunstig intelligens, klimaendringer og geopolitiske skift snur opp ned på verdensøkonomien. Vi har kartlagt hvor verdiskapingen flytter seg det neste tiåret, slik at du kan bygge en virksomhet som utnytter den.