Europa kan ikke lovgive sig til digital suverænitet

Af Michael Holm, grundlægger og bestyrelsesformand, Systematic.

Debatindlægget er oprindeligt publiceret i Altinget d. 24. juni 2026.

På papiret er Europa langt fremme. Vi sætter globale standarder, som amerikanske og asiatiske virksomheder er tvunget til at følge. Men lovgivningen regulerer kun virksomhedernes adfærd. Den regulerer ikke, hvem der har den faktiske kontrol over infrastrukturen.

I 2022 nægtede Elon Musk at aktivere sin satellitbaserede internettjeneste, Starlink, over den ukrainske kyst og afbrød dermed et planlagt militært angreb på den russiske flåde. En enkelt mand med en satellit traf en beslutning med direkte militære konsekvenser for et land i krig. Det er digital suverænitet i praksis – eller rettere: fraværet af den.

Danmarks nye firkløverregering har netop præsenteret et regeringsgrundlag, der lover at styrke europæisk teknologisk autonomi og prioritere danske og europæiske løsninger i Forsvaret. Det er et vigtigt skridt – men det illustrerer samtidig, hvor langt vi endnu har at gå.

Digital suverænitet handler grundlæggende om ét spørgsmål: Hvem kontrollerer den infrastruktur, samfundet afhænger af? Svaret bør aldrig være en privat aktør i et andet land.

Jeg har brugt 35 år på at bygge software, som demokratier er afhængige af, når liv er på spil. Kommando- og kontrolsystemer, der bruges af Nato selv og mere end 50 nationer verden over. Fra det udgangspunkt kan jeg sige noget, som sjældent siges højt nok: Man kan ikke lovgive sig til digital suverænitet. Det skal praktiseres.

Spørgsmålet er enkelt: Kan vi stole på vores systemer – eller kan vi ikke?

På papiret er Europa langt fremme

Europa har gjort noget bemærkelsesværdigt de seneste ti år. Vi har bygget en sofistikeret juridisk arkitektur til den digitale tidsalder. GDPR. NIS2. AI-forordningen.

På papiret er Europa langt fremme. Vi sætter globale standarder, som amerikanske og asiatiske virksomheder er tvunget til at følge. Men lovgivningen regulerer kun virksomhedernes adfærd. Den regulerer ikke, hvem der har den faktiske kontrol over infrastrukturen.

Du kan ikke være suveræn, hvis dine data ligger på en andens infrastruktur. Du kan ikke være suveræn, hvis en beslutning i en bestyrelsessal i San Francisco kan ændre servicevilkårene for den software, din forsvarsstyrke, dit sundhedsvæsen eller dit valgsystem afhænger af. Og du kan ikke lovgive dig til modstandskraft, hvis den kritiske infrastruktur befinder sig uden for europæisk jurisdiktion.

Det er vores grundlæggende problem.

Mange Nato-allierede har i dag kritisk kommandoinfrastruktur, der kører på amerikanske hyperscaler-clouds eller platforme. Det var et valg, der på et tidspunkt gav mening: hurtigere, billigere, mere skalerbart. Men det var et valg med konsekvenser, som vi nu begynder at mærke.

De politiske skift i Washington de seneste år har gjort det, der engang var teoretisk, til en operationel bekymring: et USA, der ikke nødvendigvis deler europæiske værdier og interesser til enhver tid i enhver krise.

For al kritisk infrastruktur handler suverænitet om fire konkrete spørgsmål:

Hvem har skrevet koden? Hvor ligger dataene? Hvem kan tilgå dem? Og hvem kan slukke for systemet? Ingen serviceaftale med en ikke-europæisk leverandør besvarer disse spørgsmål tilfredsstillende.

Åbne standarder er vejen frem

Her er det vigtigt at undgå en fejlslutning. Digital suverænitet betyder ikke, at hvert land skal bygge sin egen teknologi. Det ville føre til fragmentering og svaghed, ikke styrke. Det, vi har brug for, er fælles europæiske standarder, systemer, der kan tale sammen, og betroede partnerskaber mellem demokratier.

Vi har i Europa allerede gjort det på andre områder – med luftfart, med finansiel infrastruktur, med fødevaresikkerhed. Nu skal vi gøre det med digital infrastruktur.

Nato er et bevis på, at det kan lade sig gøre. Med kommandokontrolsystemet SitaWare deler forsvarsstyrker efterretninger og koordinerer operationer på tværs af sprog, systemer og grænser, uden at nogen afgiver suveræn kontrol til en enkelt aktør. Åbne standarder er vejen. Afhængighed af en enkelt leverandør er fjenden.

Europa har evnerne

NIS2, Cyber Resilience Act og GDPR er nødvendige. Men de er ikke tilstrækkelige.

Et af de manglende politiske greb er indkøbspolitikken. Den nye firkløverregering skriver ganske vist i sit regeringsgrundlag, at militært materiel og software i højere grad skal indkøbes hos danske og europæiske virksomheder – og at dansk forskning og uddannelsespolitik skal understøtte europæisk autonomi og teknologisk uafhængighed. Det er de rigtige ord. Nu skal de omsættes til praksis – også uden for Forsvaret.

Skala betyder noget. Derfor skal europæiske regeringer begynde at købe europæiske løsninger i stor skala – ikke pilotprojekter, ikke proof-of-concepts. Europæiske løsninger er ikke en garanti i sig selv, men de giver os de juridiske og politiske redskaber til at stille krav, føre tilsyn og gribe ind. Det kan vi ikke med en server i Virginia.

Europas virksomheder har evnerne. Men vi kan ikke bygge suveræne systemer, hvis vores egne regeringer ikke vil købe dem. Det kræver langsigtede indkøbskontrakter og politisk vilje til at stille suverænitetskrav som betingelse for offentlige indkøb af kritisk infrastruktur.

En vigtig erkendelse

Regeringen konstaterer selv i sit grundlag, at få store tech-virksomheder uden for Europa dominerer afgørende kritiske teknologier – og at det er en sårbarhed, der truer vores demokratier. Det er en vigtig erkendelse. Men erkendelsen er ikke nok, og den leder os direkte til spørgsmålet om demokratisk ansvarlighed.

Uigennemsigtig, fremmedkontrolleret infrastruktur er grundlæggende uforenelig med demokratisk ansvarlighed. Hvis en regering ikke kan se, hvem der har adgang til borgernes data – eller ikke kan operere sine systemer selvstændigt i krisesituationer – så slår demokratiets modstandskraft revner.

Om fem år er succeskriteriet ikke, om vi har vedtaget endnu en forordning. Det er, om europæiske institutioner og forsvarsstyrker kan operere kritisk digital infrastruktur uafhængigt, sikkert og i overensstemmelse med demokratiske værdier – også under pres.

Det afgørende spørgsmål er ikke teknologisk. Det er politisk: Er vi villige til at finansiere og praktisere suverænitet – ikke bare lovgive om den?