EU:s suveränitetspaket visar vägen mot digital rådighet

Efter lång väntan kom äntligen EUs sk. Suveränitetspaket, och detta i en tid av förändring. Urusla von der Leyen uttrycker sig:

"We cannot afford to depend on others for the technologies that keep our hospitals running, our energy grids stable and our services secure. This is about protecting our citizens, defending our interests and making our own choices. Europe has the talent, the research excellence, the industrial base and the Single Market. Together, we must turn these strengths into technological sovereignty.”

Det omfattande paketet består av fyra huvudsakliga delar. Chips Act 2.0 syftar till att stärka Europas ekosystem och tillverkningskedjor för halvledare, inklusive initiativ för att öka den inhemska efterfrågan och bygga upp egen avancerad produktionskapacitet. Cloud and AI Development Act (CADA) fokuserar på att utveckla EU:s moln- och AI-industri, säkerställa att teknologin används inom Europa och samtidigt hantera risker kopplade till beroenden av tredjeland. Open source-strategin syftar till att stärka Europas autonomi över hela mjukvarustacken och öka användningen av öppen källkod, särskilt inom offentlig sektor. Slutligen omfattar paketet en reglering och strategisk inriktning för digitalisering och AI inom energisektorn, med syfte att säkerställa hållbarheten i utbyggnaden av Europas datacenterindustri.

I denna analys och översikt fokuserar jag särskilt på CADA och open source-strategin – två centrala komponenter i EU:s ambition att stärka sin digitala rådighet.

Ett omfattande europeiskt beroende av globala leverantörer

Paketet målar upp EU:s beroenden kring råmaterial och teknologi för förnybar energi, samt nyckelelement för avancerad digital infrastruktur såsom halvledare, moln, AI-hårdvara och kritisk mjukvara, där Europa i stor utsträckning fortsatt är beroende av import från framför allt USA och Sydostasien. Dokumenten beskriver hur EU idag till cirka 80 % är beroende av utomeuropeiska leverantörer för digitala produkter, tjänster, infrastruktur och immateriella rättigheter. EU sägs vidare årligen spendera 264 miljarder Euro, varav mestadels på amerikansk IT produkter och tjänster vilket stärker beroendena. Endast omkring 10 % av världens halvledare produceras inom EU, och beroendet av externa aktörer är särskilt starkt avseende tillgång till halvledare som är nödvändiga för industrin. Inom molnmarknaden uppgår Europas andel till cirka 15 %, medan amerikanska leverantörer står för omkring 70 %. 

Dessa asymmetriska beroenden har tidigare betraktats som naturliga i en globaliserad och handelsdriven värld, men har i takt med den geopolitiska utvecklingen kommit att utgöra en strategisk sårbarhet. Exportkontroller, begränsade investeringar, sanktioner och andra restriktiva åtgärder används i allt högre grad som politiska verktyg, vilket ytterligare förstärker behovet av ökad kontroll och resiliens. 

Teknologisk suveränitet – en kollektiv förmåga för rådighet och resiliens

Paketet bygger sina skrivningar utifrån begreppet teknologisk suveränitet vilket definieras som Europas förmåga att utveckla, kontrollera och skala upp kritiska teknologier, infrastruktur, tjänster och data, samt de tillhörande ekosystem som utgör grunden för ekonomi, säkerhet och samhälle. Samtidigt framhålls att teknologisk suveränitet inte handlar om isolationism eller protektionism, utan om att kombinera öppenhet, partnerskap och jämbördig konkurrens med förmågan att motstå otillbörligt utomeuropeiskt inflytande och hantera globala beroenden utan att kompromissa med europeiska värden och intressen. 

För att främja denna suveränitet lyfts behovet av att stärka den europeiska industrins kapacitet genom hela värdekedjan, säkerställa tillgången till kritisk digital teknik och samtidigt kraftigt minska beroendet av enskilda utomeuropeiska leverantörer. En central del är också att säkra kontrollen över data och digital infrastruktur, samt att etablera standarder för strategiska teknologier. 

Ambitionen att bygga en europeisk teknikstack

En återkommande ambition i paketet är att bygga en sammanhållen europeisk teknikstack, där europeiska alternativ främjas längs hela värdekedjan – från halvledare till molninfrastruktur, AI och applikationer. I detta sammanhang lyfts särskilt utvecklingen av AI-kapacitet genom etableringen av så kallade AI-gigafabriker som en grundbult, med an ambition om att trippla Europas datacenterkapacitet inom de kommande 5-7 åren. Utvecklingen av halvledare inom Europa ska också främjas genom nya tillverkningsmöjligheter, kompetenssatsningar och investeringar.

Kontroll över data och digital infrastruktur framhålls som avgörande, där EU Digital Identity och European Business Wallet återkommer som centrala komponenter i den framtida digitala offentliga infrastrukturen (DPIs). Samtidigt betonas vikten av att säkerställa cybersäkerhet, interoperabilitet och öppenhet för att skapa ett trovärdigt och robust digitalt ekosystem. 

Nya krav på riskbedömning av moln- och AI-tjänster

För att hantera tekniska beroenden lyfts behovet av att utveckla trovärdiga partnerskap och diversifierade leveranskedjor, samtidigt som EU upprätthåller regulatorisk och operativ kontroll över sin digitala infrastruktur. Inom CADA (artikel 29-30) introduceras exempelvis krav på obligatoriska riskbedömningar av suveränitet av molntjänster som ska utföras dels vid anskaffning, men även proaktivt vartannat år. Klassificeringen av behov och leverantör görs utifrån fyra nivåer:

• Nivå 1: där data behandlas och lagras i infrastruktur som är lokaliserad inom EU;
• Nivå 2: där leverantörer måste kunna visa oberoende från tredjeländer och transparens i sin mjukvaruförsörjningskedja;
• Nivå 3: där leverantörer måste vara ägda och kontrollerade från EU och uppfylla ytterligare kriterier, såsom personalens medborgarskap.
• Nivå 4: där leverantörer har full transparens och kontroll över sin mjukvaruförsörjningskedja och ingen påverkan från tredjeland.

Kommissionen ska ta fram stöd och ramverk som möjliggör riskbedömningarna. En indirekt koppling kan göras till Cloud Sovereignty Framework som tagits fram av kommissionen där åtta suveränitetsmål utvärderas utifrån flertalet kriterier, vilket i slutändan leder från till en slutlig nivå av suveränitet för ett leverantörserbjudande. Ramverket genomgår just nu en andra revision men kan redan utvärderas mer noggrannare till följd av dess Kommissionens tillämpning i sin egen molnupphandling.

För studen avser Nivå 4 enbart mjukvara och ej hårdvara, en medveten strategi från Kommissionen, men något som eventuellt kan komma att höjas avseende hårvara exempelvis. Nivåerna skulle därav kunna ge ett verktyg att progressivt förflytta marknaden mot allt mer "suveräna" tjänsteerbjudanden. Reaktionerna har hittills varit negativt som väntat från amerikanskt lobbyhåll tillika positvt från europeiskt.

Öppen källkod – en nyckel till digital suveränitet

Vikten av öppen källkod och öppna standarden som ett centralt verktyg för Europas digitala suveränitet går inte att ta miste på. Öppen källkod anses underbygga en stor del av Europas digitala tjänster inom områden som kommunikation, handel, hälsa och offentlig förvaltning. Europa uppskattas ha omkring tre miljoner utvecklare i sitt open source-ekosystem, men står samtidigt inför utmaningar kopplade till finansiering, skalbarhet, underhåll och marknadstillträde. 

CADAn kravställer (artikel 41-43) att EU och medlemsstaterna ska uppmuntra offentlig sektor att använda och återanvända öppen källkod, särskilt vid utveckling av moln- och AI-lösningar, där man särskilt ska ta objektiva och rättvisa faktorer i beaktning som säkerhet, funktionalitet och total ägandekostnad. Vidare ska offentliga aktörer som delar programvara de äger ska göra det som öppen källkod och publicera den i kataloger (likt offentligkod.se) samt i EUs gemensamma open source katalog. Det nämns även specifikt att länder genom sina AI- och moln-strategier ska även vidta åtgärder för stödja utvecklingen av molnteknologier byggda på öppen hårdvara och källkod (artikel 7.2(g)).

Det kan nämnas att de föreslagna lagtexterna inte har skallkrav på att öppen källkod ska beaktas vid utveckling och anskaffning, något vi ser alltmer bland Europeiska länder. Dock är det en tydlig markering att det ska uppmuntras, och likaså en otvetydig rational bakom underbyggt av suveränitet, interoperabilitet, konkurrenskraft och innovation.

En strategi om öppenhet från hårdvara, moln och AI till skrivbord, chat och sociala medier

Medan CADAn håller en högre nivå går Open source strategin mer på djupet och beskriver detaljerat mål och investeringar som är nödvändiga med en samlad budget på motsvarande 2 miljarder Euro av offentliga och privata medel över den kommande sjuårsperioden. Här nämns initiativ kopplade till

• Uppskalning av Open Internet Stack – en katalog av open source komponenter och suveräna lösningar för Europa.
• Ökad kunskap och medvetenhet kring suveränitet inom leveranskedjor, ex. genom att ta fram metoder för riskbedömning (som också nämns i CADAn)
• Främjande öppna lösningar inom ekosystemet runt EU Digital identity
• Samverkan mellan medlemsstater, särskilt genom DC-EDIC, för att nå 30 miljoner aktiva användare till 2030 inom öppna samverkans, kommunikations och produktivitetsverktyg – ett starkt stöd för pågående arbete kring openDesk/LaSuite Numerique/Mijn Bureau-sviterna.
• Stärkandet av öppna och federerade sociala medieplattformar

Man vill vidare bidra till att bygga europeiska open source alternativ till proprietära lösningar. Öppen källkod ska vara utgångspunkt kommande forsknings och innovationsprogram. Nyckelteknologier som kommer prioriteras inkluderar

• Öppen hårdvara baserad på RISC-V, samt investering i öppna EDA verktyg
• Operativsystem för dator, mobil, IoT, robotar, drönare
• Utveckling och infrastruktur för framtidens internet Web 4.0
• Mjukvarustack för hela spektrat mellan Moln och Edge
• Verktyg för att stärka säkerhet och compliance inom mjukvaruutveckling
• Öppna AI modeller, agentramverk och mjukvarustackar till AIGFs/AI factories
• Verktyg för identifiering av cyberhot, verktyg för sårbarhetshantering, och verktyg för att stödja efterlevnad med Cyber Resilience Act

Förmågeutveckling för att omsätta öppen källkod från lagtext till verklighet

Att omsätta policy till verklighet kräver förmågor och faktiskt samverkan, vilket också lyfts i paketet. CADAn lyfter fram den formella etableringen (av det redan existerande) Europeiska nätverket för offentliga aktörers Open Source Program Offices (OSPOs) – dvs. supportfunktioner för nyttjande, utveckling och samverkan kring öppen källkod (artikel 44). Allt fler länder arbetar med att etablera sådana formella funktioner på nationell, regional och kommunal nivå, och får ofta en koordinerande och kunskapsfrämjande funktion. Sett till paketets omfattning och skrivningar kommer behovet av OSPOs och etableringen därav med stor förmodan att öka – något även Sverige bör beakta.

En ytterligare central pusselbit i förmågeutvecklingen rör de sk. open source stewards, ett begrepp som introducerades genom Cyber Resilience Act och omfattar organisationer som förvaltar och faciliterar samverkan kring öppna programvaruprojekt. Inom industri och det bredare open source ekosystemet är detta en vanlig samverkansform med kända exempel som Linux och Eclipse foundations. Motsvarande konstruktion finns även i det offentliga ock särskilt på kommunal nivå – ex. genom Sambruk och Eneo i Sverige, OS2 i Danmark, och Addulact i Frankrike. Dock ser man ett uttryckligt behov av flera och en harmoniserad samverkans och styrningsprocess för att Europa och dess medlemmsländer ska kunna skalera utveckling och samverkan på ett hållbart sätt – något jag är helt enig i. I Sverige skulle motsvarande konstruktion vara värdefull på myndighetsnivå (ex. genom Digitaliseringsmyndigheten), men även regionalt för att möjliggöra hantering och investering av gemensamma vårdsystem.

För att främja utvecklingen föreslås skapandet av ett ”open source steward toolkit” och en studie kring möjligheter för ett EU-gemensamt ramverk som möjliggör för open source stewards att styras och verka utifrån en serie gemensamma regler. För att hantera EU-gemensamma och kritiska projekt föreslås tom. skapandet av en ”Euopean Digital Public Infrastructure Steward” i nära samarbete med det sedan tidigare och nylige etablerade DC-EDIC – en samverkansstruktur för medlemsländer kring utveckling och samverkan runt öppna programvaruprojekt och relaterade stödinitiativ – något Sverige bör undersöka närmre i detalj för att inte hamna efter ytterligare, tillika skapa synergieffekter med ex. det pågående samverkansinitiativet kring skrivbords och kommunikationsapplikationer och Försäkringskassans motsvarighet i SAFOS.

Industrin – en förutsättning för stärkt europeisk rådighet

Förmågeutveckling ses inte bara isolerat till offentlig sektor men också industrin i bred mening omfattas och ses som en nyckel till en stärkt digital suveränitet för Europa – ett steg i riktning mot vad annars Japan och Sydkorea har haft som fokus. Konkret föreslås

• Riktade Apply AI Strategy utlysningar inom fordon, energi, hälso, tillverkning, försvar och rymdsektorer.
• Stärkande av industriella samverkansplattformar där konkurrenter kan mötas och samutveckla öppna byggblock till gemensamma plattformar – något som aktivt och framgångsrikt pågår med den Europeiska bilindustrin i byggandet av en gemensam plattform för Software Defined Vehicles.

För att stärka och växa Europas leverantörsekosystem för öppen källkod vill man bl.a. sätta upp affärsacceleratorer för att hjälpa utvecklare med mentorskap, träning, och stöd. Genom European Competition Fund (ECF) vill man hjälpa öppna programvaror att bli kommersiellt gångbara, och hjälpa leverantörer och integratörer till marknad

Säkerhet – incitament och risk som kräver investering och bidrag

Många fördomar kring öppen källkod kopplar till säkerhet och risker för sårbarheter. Här går CADAn tydligt ut och snarare förklarar hur öppen källkod spelar en viktig roll för att säkerställa transparens, säkerhet och effektivitet i den offentliga sektorns användning av digital teknik. Tillgång till källkoden möjliggör granskning, främjar samarbete och återanvändning samt minskar beroendet av en enskild leverantör, vilket därmed begränsar risken för leverantörsinlåsning. Att främja användningen av öppen källkod är därför avgörande för att stödja innovation, säkerställa bättre värde för offentliga utgifter och stärka unionens digitala autonomi. 

Lika viktigt är dock att säkerställa och bidra till ett hållbart underhåll av det öppna programvaruekosystemet. Open Source strategin föreslår här flertalet insatser såsom främjandet av frivilliga attesteringsprogram kopplat till Cyber Recilience Act, etablerandet av ett register över kritiska och säkerhetsrelaterade open source beroende med hjälp av ENISA, etablerandet av ett ”open source maintenance instrument” för hållbar finansiering, samt främja en förmåga för Europa att forka open soure projekt. Det sistnämnda väcker en del frågetecken men pekar på möjligheterna med öppen källkod - om utvecklingen i ett projekt inte går i den riktning du föredrar och du saknar möjlighet att påverka kan du kopiera källkoden med all historik och fortsätta i ny riktning, själv eller med andra. 

Kompetens och utbildning – avgörande för Europas framtid

Utbildning och kompetensutveckling nämns återkommande i CADAn och open source strategin. Det beskrivs hur skolor och universitet ofta i stor utsträckning använder proprietära lösningar för att utbilda studenter, stödja lärare och hantera utbildningsdata. Detta har gjort det möjligt för stora teknikföretag att få ett starkt grepp om europeiska skolor och lärosäten. 

För att förbättra de färdigheter som krävs för att använda öppna teknikstackar samt utveckla och bidra till öppna teknologier vill kommissionen bl.a. stödja utvecklingen av masterprogram som berör öppen källkod, inklusive utveckling, communitystyrning och hållbara modeller. Likaså främja studentutbyten (Erasmus+) för att öka kunskap om och erfarenhet av öppen källkod, uppmuntra samarbete mellan organisationer för att öka användningen av öppna lösningar, samt utöka utbildning för offentliganställda inom öppen källkod och digital interoperabilitet. Utöver öppen källkod läggs ett särskilt fokus på behovet av kompetens kring AI och halvledarteknik.

Från europeisk ambition till svensk tillämpning

Sammanfattningsvis representerar suveränitetspaketet en bred strategisk omställning där EU strävar efter att minska asymmetriska beroenden, stärka sin teknologiska bas och samtidigt förbli en öppen och global aktör. Begreppet “öppen strategisk autonomi” genomsyrar ansatsen, där ökad självständighet kombineras med fortsatt internationell samverkan.

För Sverige kommer denna utveckling parallellt med införandet av en ny nationell molnpolicy, som på liknande sätt syftar till att stärka kontrollen över data, minska beroenden och öka möjligheten att byta leverantör. Policyn är ett viktigt steg i rätt riktning och adresserar flera av de utmaningar som också lyfts på EU-nivå, inte minst behovet av riskbedömning, portabilitet och minskad inlåsning. En tydlig skillnad framstår dock kring tydlighet och tyngd i kravställan, tillika lösningsfokuset där EU:s suveränitetspaket går märkbart längre, inte minst i synen på öppen källkod som strategiskt verktyg.

Hur Sverige väljer att agera framåt blir därför avgörande. Att omsätta principer till konkreta arbetssätt, arkitekturval och upphandlingar kommer i praktiken att avgöra graden av digital rådighet - en utveckling och riktning RISE kommer arbeta aktivt för att stödja och främja. Suveränitetspaketet och open source strategin specifikt utgör en god utgångspunkt och checklista för arbetet.