EU gjør AI-sky til suverenitetskrav

EU-kommisjonen legger nå teknologisuverenitet inn som et eksplisitt krav i Europas AI- og skystrategi. Pakken som ble lagt frem 3. juni samler Chips Act 2.0, en ny Cloud and AI Development Act, en åpen kildekode-strategi og et veikart for digitalisering og AI i energisektoren.

Dette er ikke bare Brussel-retorikk. Forslaget peker rett inn i tre beslutninger norske virksomheter allerede må ta: hvor AI-kapasitet skal kjøpes, hvilke skyleverandører som kan brukes til kritiske arbeidslaster, og hvor langt man kan bygge på globale standardplattformer uten å miste kontroll på data, beredskap og forsyningskjede.

Kommisjonen sier selv at Europa fortsatt er tungt avhengig av leverandører utenfor EU for sentrale digitale produkter, tjenester, infrastruktur og immaterielle rettigheter. På den nye samlesiden for teknologisuverenitet skriver EU at unionen er avhengig av land utenfor EU for over 80 prosent av nøkkelprodukter, tjenester, infrastruktur og IP på digitalområdet. Samtidig øker etterspørselen etter beregningskraft kraftig når AI flyttes fra pilot til produksjon.

Det gjør pakken relevant også for Norge, selv om Norge ikke sitter ved EU-bordet på samme måte som medlemslandene. Norske banker, industriselskaper, helseaktører, energiselskaper og offentlige virksomheter kjøper teknologi i et EØS-nært regelverk og i europeiske verdikjeder. Når EU endrer kravene til sky, AI, chips og åpen kildekode, blir det raskt krav i anbud, leverandørdialog, internkontroll og revisjon også her.

Kjernen i forslaget er Cloud and AI Development Act. Den skal gjøre det enklere og raskere å bygge bærekraftig datasenter-, sky- og AI-infrastruktur i Europa. Kommisjonen setter en tydelig ambisjon: minst tredoble EUs datasenterkapasitet i løpet av fem til syv år. Det skal skje gjennom raskere konsesjoner, bedre tilgang til energi, land, vann og finansiering, og mer koordinert bruk av offentlig innkjøpsmakt.

For CIO og CFO betyr dette at europeisk AI-kapasitet blir et eget investerings- og leverandørmarked, ikke bare et vedheng til amerikansk hyperscaler-strategi. Kapasitet, pris og lokasjon kan bli mer politisk styrt. Det kan gi flere europeiske alternativer, men også mer kompleksitet i anskaffelser. En virksomhet som har standardisert alt på én global skyplattform, får et nytt spørsmål på bordet: hvilke arbeidslaster må kunne flyttes, isoleres eller kjøres på suverene nivåer dersom regulator, kunde eller styre krever det?

Den mest konkrete delen er EUs forslag til fire nivåer for sky- og AI-suverenitet. Nivå 1 handler om at data behandles og lagres i infrastruktur lokalisert i EU. Nivå 2 krever at leverandøren kan vise uavhengighet fra tredjeland og åpenhet om programvareforsyningskjeden. Nivå 3 skjerper kravet til eierskap og kontroll fra EU, med tilleggskriterier som statsborgerskap for personell, samtidig som Kommisjonen kan anerkjenne leverandører fra tredjeland. Nivå 4 krever full åpenhet og kontroll over programvareforsyningskjeden og ingen innblanding fra tredjeland.

Dette er styringsspråk, ikke markedsføring. Det gir virksomheter et mulig rammeverk for å klassifisere AI- og skybruk etter risiko. Kundeserviceboten trenger kanskje ikke samme nivå som kjernejournal, kraftstyring, betalingsinfrastruktur eller produktutvikling med sensitiv IP. Men klassifiseringen må gjøres før kontrakten er signert og før dataene har flyttet inn i modellenes verktøykjede.

For CISO er den åpne kildekode-delen like viktig. EU vil bruke åpen kildekode som en del av teknologisuvereniteten, men ikke som fripass. Strategien peker på finansiering, vedlikehold, sikkerhet, avhengighetskartlegging og et eget vedlikeholdsinstrument for kritiske komponenter. Det er en direkte erkjennelse av det mange sikkerhetsmiljøer allerede ser: virksomheter er avhengige av åpen kode, men behandler den ofte som gratis infrastruktur uten eier, budsjett eller risikomodell.

Chips Act 2.0 binder pakken til fysisk kapasitet. Kommisjonen viser til at det opprinnelige chips-programmet mobiliserte mer enn 52 milliarder euro i offentlig og privat kapital, men at Europa fortsatt er avhengig av tredjeland i avansert chipproduksjon og design. Den nye planen skal blant annet støtte AI-brikker, raskere tillatelser, strategiske prosjekter og tettere kobling mellom chipprodusenter og etterspørsel fra datasentre, skytilbydere og AI-gigafabrikker.

Det er et viktig poeng for norske ledere: AI-strategi er ikke lenger bare et valg av modell. Den henger sammen med strøm, byggesaker, datasentre, chip-tilgang, nettverk, juridisk lokasjon, identitet, programvareforsyningskjede og leverandørmakt. Styret bør derfor ikke behandle AI som et isolert produktivitetsprogram. Det er et infrastrukturvalg.

I praksis bør virksomheter gjøre fire ting nå. Først: kartlegg hvilke AI- og skyarbeidslaster som er kritiske, regulerte eller strategisk sensitive. Andre: legg inn krav til datalokasjon, underleverandører, programvareforsyningskjede og exit i nye kontrakter. Tredje: bygg en portefølje der minst noen viktige AI-løp kan flyttes eller kjøres på alternative plattformer. Fjerde: gi åpen kildekode en eier, med budsjett for vedlikehold, sårbarhetsoppfølging og lisensstyring.

EU-pakken kommer ikke til å løse Europas AI-kapasitet over natten. Den kan også møte motstand fra leverandører, medlemsland og virksomheter som ikke vil ha mer kompleksitet i skyinnkjøp. Men retningen er klar: AI-infrastruktur blir et suverenitets- og beredskapsspørsmål. Norske virksomheter som venter til kravene dukker opp i et anbud eller et tilsyn, kommer sent til møtet.

Kilder og medier

Primærkilde: European Commission / Shaping Europe’s digital future, "Commission proposes tech sovereignty package to strengthen Europe's digital autonomy and resilience", publisert/oppdatert 3. juni 2026: https://digital-strategy.ec.europa.eu/en/news/commission-proposes-tech-sovereignty-package-strengthen-europes-digital-autonomy-and-resilience

Supplerende EU-kilder: European Commission, "Strengthening Europe’s Tech Sovereignty"; "Cloud and AI Development Act"; "Chips Act 2.0"; og "The EU Open Source Strategy".

Thumbnail: OpenAI Image 2 / hogby.ai.