Digital suveränitet – från osynliga beroenden till strategiska val

Medan teknologin och dess möjligheter accelererar begränsas dessa av våra beroenden och inlåsningar. Riskbilden kring ökande licenskostnader och bristande innovation kompletteras nu med geopolitiska omvärldsförändringar. Utomeuropeisk datalagstiftning som amerikanska CLOUD Act och FISA 702 tillika Kinesiska cybersäkerhetslagar kan inte tvättas bort och politiska ultimatum och sanktioner kopplat till digital infrastruktur är en de facto-risk. Detta i en tid när den digitala infrastrukturen blir en allt mer kritisk del av vår övergripande samhällsinfrastruktur. Det digitala behöver fungera såväl i fredstid som i kris, beredskap eller än värre krig, vilket ex. Covid-krisen och pågående krig i Ukraina visar tydligt.

Flertalet signaler och ställningstaganden har skickats från myndigheter (se ex. svenska och norska integritetsmyndigheter) och parlament (ex. i Nederländerna) som manar till försiktighet gällande datalagring och behov av exitstrategier. Nationella strategier och politiska avtal tar tydliga ställningstaganden för digital suveränitet som en fråga om nationell säkerhet (se ex. länder som Nederländerna, Frankrike och Tyskland). Samtidigt går flera länder (se ex. Österrike och Danmark), regioner (se ex. Schleswig-Holstein och Galicien) och kommuner (se ex. Aarhus och Amsterdam) från ord till handling och börjar byta ut och se över sin infrastruktur, med kontroll, interoperabilitet, öppenhet och transparens som nyckelord. Även från EU-nivå är ställningstaganden tydliga både from kommission och parlament.

Politik och industri visar att digital suveränitet inte är en fråga och risk som går att förbise. Likaså är det tydligt att digital suveränitet inte är en uteslutande europeisk fråga. Kanada har exempelvis gjort tydliga strategier och markeringar kring ökande behov för digital autonomi och resiliens i förhållande till sina beroenden. Detta betyder inte att de står ensamma. Behoven är liknande, likaså lösningarna, varför samverkan och delning av kunskap och lösningar är en naturlig väg fram. 

Suveränitet som beredskapsfråga

Digital suveränitet handlar inte om att bygga murar eller bunkrar. Det handlar om att ha kontroll och förmåga att göra sina egna tekniska val utan att vara utlämnad till externa beroenden. Digital infrastruktur måste börja liknas vid fysisk infrastruktur avseende kontroll, underhåll och resiliens. Tillgång måste säkras för att samhället ska kunna bibehålla sina funktioner och verksamheter fortsätta även i en tid av kris, höjd beredskap eller krig. Beredskapsplaner och hybrida sourcing- och försörjningsstrategier borde vara standard även för den digitala delen av samhället, som för den fysiska.

Sett till Sverige finns en hel del initiativ som arbetar i rätt riktning och som har en, i alla fall uttalad, medvetenhet om problematiken. Om Ena, Sveriges digitala infrastruktur, skriver DIGG ”att försörjning av livsmedel, vatten och el är väsentliga för samhällets robusthet är en självklarhet. I ett digitaliserat samhälle som det svenska har även Ena betydelse för totalförsvaret”. Civilministern har tidigare uttalat sig om hur det är av “största vikt för Sveriges säkerhet och välstånd att vi kan upprätthålla förmågan till tillförlitlig internationell och nationell digital kommunikation i alla lägen.”

Växande medvetenhet och initiativ i Sverige

Det s.k. NITIS samarbetet och underbyggande statliga förordnandet om samordnad och säker statlig IT-drift pekar på hur “utformningen av de it-driftstjänster som erbjuds ska [beakta] totalförsvarets behov.” AI-verkstaden med Försäkringskassan och Skatteverket har som mål att “stärka Sveriges civila beredskap och digitala suveränitet” varför de ser det “nödvändigt att analysera... potentiella beroenden och hur verkstaden kan bidra till att minska de risker de för med sig.” Identifiering och analys av beroenden är något man gör hands-on i Helsingborgs Stad i förhållande till kommunens IT‑miljö för att skapa en modell för digital suveränitet och krisberedskap som kan skala till andra kommuner. 

Även Sambruk, Alingsås och Sundsvall är väl värda att framhäva som exempel där man jobbar praktiskt kring att utveckla och undersöka alternativ baserat på öppen källkod och hur upphandling kan användas som verktyg för förändring. En förstudie är nyligen beställd via Kammarkollegiet som ska undersöka förutsättningar för ett nytt statligt inköpssystem för digitala lösningar ska stärka Sveriges digitala suveränitet och samtidigt gynna mindre företag. På en nationell nivå har Försäkringskassan under längre tid arbetat på en paketering av öppna kommunikations- och samverkansvektyg genom SAFOS som fortsätter att växa och bli mer utåtriktat. Samma myndighets undersökning av och investering i öppna protokoll för kommunikation visar också på en väg framåt som kan bli grund för en interoperabel och federerad kommunikationslösning som ger frihet by-design. Forskningsinitiativ som Forum Totalförsvar ger ytterligare hopp.

Beroenden i hela den digitala värdekedjan, Full rådighet som ouppnåeligt ideal

Viktigt att ha med i dessa sammanhang är en förståelse för att digital suveränitet inte enbart är en fråga om att byta/se över skrivbordsapplikationer. Vår beroendeproblematik är mycket större. Från molnen till hela ”trafikljus- och transportsystemet för internet” med undervattenskablar och satelliter. Från kalkyl och presentationsverktyg, till verktyg och plattformar för kommunikation och samverkan, och AI-stöd. Därtill kan läggas hela värdekedjan för halvledare med kritiska mineraler, EDA-verktyg för chipdesign, och foundries för tillverkning (till största del koncentrerat till TSMC i Taiwan).

Precis som Försäkringskassan och Skatteverket skriver kopplat till AI-verkstan är ”full rådighet i bokstavlig mening… sannolikt i de allra flesta fall en omöjlighet för ett land som Sverige. Det skulle innebära ett totalt oberoende av andra aktörer när det gäller all hårdvara, mjukvara och förmågor. Detta konstaterade även AI-kommissionen. En sådan fullständig kontroll, inklusive över hela försörjningskedjan, är dock inte vanligtvis vad som avses när det talas om full rådighet, och vore i de allra flesta fall inte heller proportionerligt när det gäller att uppnå en acceptabel nivå av digital suveränitet och en god beredskap.”

Strategi och riktning kring digital suveränitet formas runt om i Europa

Det som nämns är en viktig insikt att ha med sig. Det behövs ett pragmatiskt tillvägagångssätt och syn på vad digital suveränitet betyder och innebär, och vilken rådighet som behövs. Detta behöver sättas från ledningsnivå i en tydlig policy och strategi som kan hjälpa att vägleda verksamheten därefter. Nederländerna har satt en tydlig strategi sedan något år och arbetar metodiskt med att etablera nya verksamhetssystem som kan täcka upp den gemene tjänstemannens grundläggande behov. I Tyskland har digital suveränitet varit ett återkommande ämne i koalitionsavtalen, medan Frankrike haft skrivningar sedan flera år tillbaka.

På EU-nivå kan vi se en tydlig utveckling i retoriken både från parlamentet och kommissionen som också börjar återspeglas i regelverken. Vid korsningen Q1/Q2 väntas ett ”suveränitetspaket” bestående av Cloud and AI Development Act tillika vad som beskrivs som EU:s open source-strategi, bägge två med suveränitet i fokus. Bägge väntas, tillsammans med den kommande Public Procurement Directive, främja och förespråka ett mer Europa-centrerat köpbeteende under parollen ”Buy European” som drivs på av industriinitiativet Eurostack. Motsvarande inställning reflekteras redan i den politiska styrningen i länder som Tyskland och Frankrike. 

Stödstrukturer och OSPO-funktioner nödvändiga för att gå från "policy to action"

För att omsätta policy till praxis behövs stödstrukturer som kan hjälpa offentlig sektor på vägen och utveckla de förmågor som behövs. Varje enskild kommun eller myndighet kan inte lämnas själv i hanterandet av beroenden och i dilemmat hur öppen källkod eller datarådighet bör kravställas. Avseende öppen källkod specifikt har s.k. Open Source Program Offices (OSPOs) börjat uppstå runtom i Europa på nationella, regionala och kommunala nivåer med motsvarande funktion även inom EU kommissionen. 

Tysklands center för digital suveränitet ZenDIS är ett exempel som på nationellt plan arbetar med att stödja myndigheter av alla slag i samverkan och delning/återanvändning av öppna lösningar i syftet att stärka den digitala suveräniteten på systemnivå. I Frankrike gör det interministeriella myndigheten DINUM motsvarande uppgift, en funktion som också håller på att växa fram mellan de holländska myndigheterna. I Danmark, som nyligen tagit fram en nationell färdplan för digital suveränitet, finns bland annat på förslag att ta fram ett nationellt center fokuserat på digital suveränitet, likt den tyska modellen.

I Sverige saknas formella stödstrukturer liknande andra nämnda exempel. Dock visar ex. det Svenska OSPO-nätverket som samlar 60+ av Sveriges största industriföretag och myndigheter att kunskap och organisation finns på organisationsnivå, dock ej sammanhängande. Sambruk utgör en växande plattform för kommunsidan där man samlar mer än hälften av kommunerna kring gemensamma samverkansprojekt vilket allt mer inkluderar öppna programvarulösningar. På nationell nivå finns potential att DIGG (snart sammanslaget med PTS) skulle kunna ta en motsvarande roll sett till de uppgifter de fått kring öppen källkod genom digitaliseringsstrategin, samt den rapport som nyligen släpptes där en nationell kodsamverkansplattform föreslås tillsammans med ett expertråd som skulle kunna stödja offentlig sektor i bredare meningi annamandet och samverkan kring öppen källkod.

Gemensamma byggblock, referensstackar och samverkansstrukturer

Gemensamt för vissa av dessa OSPOs och center är hur de investerar i att växa tekniska förmågor och driva på utvecklingen av alternativa systemlösningar eller byggblock. OpenDesk av ZenDIS Tyskland och La Suite Numérique av DINUM i Frankrike utgör kompletta skrivbordssviter utvecklade av öppna komponenter. Utveckling sker även på systemnivå där Frankrike (återigen) visar framdrift med sin annonserade flytt till Linux-baserade operativsystem (även om detta funnits sedan länge inom enskilda delar som landets polismyndighet). I Danmark experimenterar man på en motsvarander lösning. Motsvarande planer finns även hos Schleswig-Holstein som kanske kommit längst i Europa som migrerat bort cirka 80% av sina digitala beroenden till icke-europeiska leverantörer.

Ett annat intressant exempel framhävs av Tyskland genom sin stack av standarder och referensimplementationer Deutschland Stack som ger konkreta förslag på öppna byggblock och arkitekturmönster som täcker större delen av de underliggande tekniklagrena som de allmänna tjänsterna och applikationerna körs ovanpå. Alltihop kan också liknas vi det tillvägagångssätt som Englands Goverment Digital Services (GDS) var tidigt ute med runt 2010 som i sin tur kopierats av länder som Island och Nya Zeeland. 

De överlappande utvecklingsinitiativen mellan Frankrike, Tyskland och Nederländerna har nyligen mynnat ut i etablerandet av en ny EU-baserad samverkansstruktur för digitala allmänningar, kallat European Digital Infrastructure Consortium for Digital Commons (EDIC-DC). Ambitionen är att skala projektet för en offentlig skrivbordsvit till fler länder med gemensam finansiering och styrning, och även bredda till andra initiativ som är kritiska för den digitala suveräniteten och där alternativ saknas. Italien och Luxemburg har redan gått med, och flera länder har anslutit sig som observatörer (inklusive Polen, Danmark och Finland). Från Sveriges håll finns det tydliga synergieffekter kopplat till SAFOS-plattformen som utvecklas av Försäkringskassan.

Suveränitet, AI och nya plattformar

Suveränitet och AI är ett annat område där det sker mycket utveckling och där Sverige gladeligen ligger väl på. AI-verkstaden som går från AI-kommissionens ord till handling visar potential framåt, tillsammans med initiativ som Eneo-plattformen från Sundsvall där Försäkringskassan verkar vara på väg in härnäst. Utvecklingen av KB-modellerna och likaså rykten om ytterligare varianter lovar också gott i kombination med modellutvecklingen inom EU och andra länder som ex. Polen och Norge. Forskningsprogram som RESIST, WASP och investeringar i datahallskapacitet som med Mistral nyligen utgör också viktiga komponenter.

Underhåll, robusthet och kritisk infrastruktur

Medan innovation likt detta är kritiskt för Europas framdrift och konkurrenskraft behöver vi också se till andra sidan myntet och hur all samhällsbärande teknik underhålls och (för)blir robust och säker. System idag består av otalet beroenden som växer sig brett i flera nivåer. Många av dessa byggblock underhålls av enskilda personer mer eller mindre på sin fritid eller del av ett uppdrag som kan ändras över en natt. 

Tysklands Sovereign Tech Agency ses till av många som en modell för hur myndigheter kan bidra till hållbarheten genom offentlig upphandling och punktinsatser. På EU-nivå propageras det, som en del av pågående budgetförhandlingar, för en EU-fond som kan bidra till underhållet av kritisk infrastruktur, vilket också aktivt undersöks inom ramen för EDIC-DC. Bidrag är dock bara en del av lösningen. Inkludering av bidrags- och underhållskrav i offentlig upphandling, och likaså som kvalifikationskrav är ytterligare ett sätt för att tvinga ut ansvar hos dem som konsumerar och utvecklar på de olika lösningarna att också ge tillbaka.

Tillgång, efterfrågan och nya marknadsdynamiker

En viktig grupp, både för säkerställandet av underhåll och för Europas förmåga att stärka sin digitala suveränitet, är industrin och leverantörsekosystemet specifikt. Offentlig sektor saknar vanligen egna tekniska förmågor att ta in, anpassa och drifta öppna lösningar. 

Sett till molndelen av infrastrukturen, finns många bra och kapabla leverantörer, men behöver dessa bli fler. Amerikanska molnleverantörer står idag för ca 70 % av marknaden, medan europeiska motsvarigheter står för cirka 15 %. EuroStack samlar en stor del av dessa inom Europa, inklusive bredare delar av industrin, där de trycker på för att europeiska alternativ ska prioriteras i upphandlingar, ökade investeringar, samt ökad samverkan mellan leverantörer. 

I grunden måste tillgång och efterfrågan växa och möta varandra. Ökad efterfrågan ger ökade incitament att investera och växa för leverantörer och dess ägare. Ökad tillgång på tjänster ger trygghet, förtroende och kapacitet (och i längden en bättre prisbild) för kunderna att gå över från utomeuropeiska alternativ där så behövs.

För kundsidan, och däri framförallt offentlig sektor, behövs dock stöd och vägledning. Även om begränsat, så börjar ramverk att växa fram. Esam i Sverige driver ett fokuserat arbete framåt. Just nämnda EuroStack har en serie grundprinciper att utgå från. Likaså erbjuder Europeiska kommissionens Cloud Sovereignty Framework ett annat ramverk för att definiera och bedöma ”suveräna” molntjänster. Det omfattar mål som jurisdiktionell kontroll, driftsäkerhet och datahantering. Kommissionen gick nyligen ut med hur ramverket tillämpades vid anskaffningen av ett nytt ramavtal för molnleverantörer, samt att de ämnar revidera ramverket i en kommande upplaga.

Ytterligare ett initiativ är SecNumCloud, ett franskt kvalificeringssystem från 2013 som certifierar molntjänster mot omfattande säkerhets-, juridiska och organisatoriska krav. Systemet har blivit en de facto-referens för högrisk- och offentlig sektor-användning, men har kritiserats för komplexitet, lång certifieringstid och för att godkänna tjänster som, genom ägarstrukturer, involverar amerikanska leverantörer, vilket fått externa experter att betrakta dem som “icke-suveräna”. 

Ett fjärde initiativ, också det med certifieringsmöjligheter för molnleverantörer, är det tyska standardramverket för molnarkitektur och tjänster Sovereign Cloud Stack som ställer krav kring transparens, interoperabilitet och datahantering.

Fragmentering som huvudutmaning

Digital suveränitet är inte ett enskilt projekt utan en riktning: från osynliga beroenden till medvetna vägval i hela den digitala värdekedjan. För att lyckas krävs både gemensamma byggblock, nya affärsmodeller och styrning som premierar robusthet, öppenhet och europeisk innovationsförmåga.

Som vi kan se, finns det kunskap, både genom ramverk och föregångare som vi kan ta lärdom av om vi lyfter blicken till grannländer som Danmark, Nederländerna, Tyskland och Frankrike. Samma gäller i Sverige på nationell nivå med initiativ som AI-verkstan, SAFOS och statlig molndrift, och på kommunal nivå kring resilienskartläggning, öppen programvara och upphandling. Problemet är att initiativ likt dessa förblir fragmenterade och saknar koordinering och samordnad strategi.

RISE har i uppdrag att stärka både offentlig sektor och svenskt näringsliv i den digitala omställningen, och där är digital suveränitet och resiliens centrala byggstenar. Vill du diskutera hur din organisation kan stärka sin digitala suveränitet – genom arkitekturval, upphandling, öppna lösningar eller nya samverkansformer – är du välkommen att ta kontakt med oss.