I mai 2025 mistet sjefsanklageren i Den internasjonale straffedomstolen tilgang til e-posten sin. Ikke på grunn av teknisk feil eller hacking, men fordi han ble satt på en amerikansk sanksjonsliste og Microsoft stengte tilgangen.  

Eksempelet er ekstremt, men prinsipielt relevant: Tilgang til kritisk infrastruktur kan i praksis styres av beslutninger i USA.  

En fersk rapport fra Europe’s Tech Sovereignty Watch viser at 96 prosent av norske virksomheter bruker amerikanske teknologiløsninger. Bare Island er mer avhengig. Til sammenligning er andelen 58 prosent i Tyskland og 66 prosent i Frankrike. Det betyr i praksis at store deler av norsk næringsliv er avhengig av teknologi som kontrolleres utenfor Norge. Nasjonal sikkerhetsmyndighet peker samtidig på at geopolitiske spenninger i ytterste konsekvens kan gjøre det umulig å bruke tjenester fra amerikanske leverandører. 

Full uavhengighet fra amerikansk teknologi er verken realistisk eller nødvendigvis ønskelig. De store leverandørene tilbyr tjenester som i dag er bedre, mer modne og mer skalerbare enn alternativene. Amerikansk teknologi gir effektivitet og innovasjon. Samtidig gjør den oss sårbare. 

Derfor bør norske virksomheter stille seg ett spørsmål: Hva kan vi gjøre i dag dersom tilgangen til Microsoft, Google eller Amazon forsvinner i morgen? 

Min påstand er at de fleste ikke har et klart svar på dette. De fleste har beredskapsplaner for brann, strømbrudd og fysiske hendelser. Få har tilsvarende beredskap for at digitale kjernefunksjoner plutselig blir utilgjengelige. Beredskapen må være etablert før tilgangen eventuelt blir utilgjengelig. 

Målet for norske virksomheter som er avhengige av amerikanske leverandører, bør være å oppnå en «transisjonsklar tilstand»: En situasjon der virksomheten har tilstrekkelig kontroll over kritiske prosesser og data til å kunne flytte til alternative løsninger innenfor et akseptabelt tidsrom – uten at driften stopper opp.

En transisjonsklar tilstand innebærer at man bør ha svar på tre grunnleggende spørsmål:  

1.  Hvilke prosesser er kritiske for å opprettholde drift? Hva er minimumet som må fungere for at virksomheten fortsatt opererer? 

2. Hvor befinner dataene seg – fysisk og juridisk? Under hvilken jurisdiksjon lagres de, og kan de faktisk flyttes? 

3. Finnes det en plan for bortfall av tilgang og er den testet? 

Min erfaring er at mange ikke har gode svar på disse spørsmålene. Det representerer en konkret og undervurdert risiko. Hvis tilgangen forsvinner i morgen, er spørsmålet enkelt: Vet virksomheten hva den skal gjøre eller stopper alt opp? 

For mange er svaret det siste. Det er en risiko som bør tas på alvor.