Oppsummering av et forskningsstudie gjennomført med Klarsyn Analyse. Basert på underlagsrapportene listet nedenfor.

1. Bakgrunn og formål

Studien undersøkte hva «Sovereign Cloud v2» faktisk er i 2026 — teknologisk, regulatorisk og strategisk — og hva det betyr for virksomheter og stater som ønsker å redusere avhengigheten av utenlandsk skyinfrastruktur. Forskningsspørsmålet var tredelt: Hvem er de viktigste aktørene og teknologiene? Hva er de reelle adopsjonsmodellene og fremtidsutsiktene? Og hvilken rolle spiller åpen kildekode som fundament for suverene sky-strategier?

Bakgrunnen er en ny geopolitisk realitet: eskalerende handelsspenninger mellom USA og EU, CLOUD Act kontra GDPR, og en voksende erkjennelse av at AI-infrastruktur ikke kan baseres utelukkende på ikke-europeisk-kontrollerte plattformer. Studien kombinerer en bred trendoversikt (Tech-puls), en aktør- og teknologigjennomgang (Sektorradar), en dybdeanalyse av adopsjon og implikasjoner (Tech-trendanalyse) og en OSS-helsesjekk av kjerneplattformen Sovereign Cloud Stack.

2. Nøkkelfunn

Investeringseksplosjon: Europeisk sovereign cloud-spending vokser 83 % i 2026 — fra 6,9 milliarder dollar (2025) til 12,6 milliarder dollar, og ventes å tredobles til nær 23 milliarder innen 2027 (Gartner). Globalt volum: 80 milliarder dollar i 2026.
Definisjonsskifte — v2 er mer enn geografi: Sovereign Cloud v2 handler ikke lenger bare om å plassere data på norsk eller tysk jord. Det kombinerer konfidensielle beregninger (Intel TDX, AMD SEV), kundestyrte krypteringsnøkler, operasjonell isolasjon (kun lokalt personell har tilgang) og EUCS High+-sertifisering. Juridisk kontroll og arkitekturåpenhet er nå like viktig som datalokalitet.
Tre samtidige bevegelser: Telekommunikasjonsoperatører bygger fødert edge-cloud (European Edge Continuum — DT, Orange, Telefónica, TIM, Vodafone, live demo MWC 2026); OSS-prosjekter standardiserer teknologistakken (Sovereign Cloud Stack, NeoNephos, OpenCloud); nasjonale aktører investerer i egne AI-fabrikker (Telenor AI Factory, annonsert MWC 2026).
Hyperscalerne tilpasser seg — men er ikke «suverene nok»: AWS åpnet European Sovereign Cloud i Brandenburg januar 2026 (7,8 milliarder euro). Microsoft har EU Data Boundary. Alle store hyperscalere har nå sovereign-produkter. Debatten raser om disse møter fremtidens EUCS High+-krav, særlig rundt operasjonell isolasjon og juridisk immunitet mot CLOUD Act.
EuroStack og EURO-3C som nye politiske tyngdepunkter: EURO-3C (Telefónica + 70+ europeiske organisasjoner, EU-finansiert) ble lansert 3. mars 2026. EuroStack vinner sterkere politisk støtte som en mer konkret og smal arvtager til Gaia-X — fokusert på faktisk stack-bygging fremfor sertifiseringspolitikk.
Sovereign AI som ny dimensjon: Kravet om at AI-modeller trenes og deployes på europeisk infrastruktur driver en helt ny arkitektur. Mistral AI (strategisk partnerskap med Microsoft, sovereign-modus på Azure) og NeoNephos (3,5 milliarder euro, IPCEI-CIS-finansiert) posisjonerer seg som kjerneplattformer for europeisk AI-suverenitet.
OSS-grunnmuren er solid men avhengig: Sovereign Cloud Stack (SCS) er teknisk moden (Release 8, april 2025), Gaia-X Lighthouse Project, 20+ bidragsytere. Men den tyske føderale finansieringen sluttet desember 2024. Videre utvikling hviler på kommersielle leverandører og samfunnet. OSIM er det svakeste enkeltleddet.
Markedsandel for europeiske aktører er fortsatt lav: Bare 15 % av det europeiske skymarkedet går til lokale leverandører (2026). Til tross for investeringseksplosjonen er hyperscaler-dominansen uforandret på kort sikt.

3. Hovedanalyse

Fra politisk ambisjon til industrialisering. Det mest slående funnet på tvers av alle fire rapportene er at Sovereign Cloud i 2026 har krysset terskelen fra visjon til faktisk industrialisering — men ujevnt. Tech-puls-rapporten dokumenterer at investeringene eksploderer (83 % vekst i ett år), mens sektorradaren viser at de konkrete prosjektene er reelle og teknisk operative: European Edge Continuum hadde live-demo på MWC i februar 2026, Telenor AI Factory ble annonsert som et joint venture med Red Hat med norsk datalokalitet og GPU-akselerasjon. Det er ikke lenger bare EU-kommisjonsretorikk — det er fungerende infrastruktur.

Hyperscaler-paradokset. Et gjennomgående spenningspunkt på tvers av rapportene er at de aktørene som tilbyr «sovereign cloud» med sterkest markedsposisjon, er de samme aktørene som suverenitetsstrategien er ment å redusere avhengigheten av. AWS European Sovereign Cloud i Brandenburg, Microsofts EU Data Boundary og Googles sovereign cloud-produkter er reelle tekniske tiltak — men trendanalysen er tydelig på at ingen av disse møter det kommende EUCS High+-nivået fullt ut, særlig på kravet om operasjonell isolasjon fra morselskapet og juridisk immunitet mot CLOUD Act. Virksomheter som velger hyperscalernes sovereign-tilbud kjøper tid og compliance-dekning for NIS2 og GDPR, men ikke strategisk uavhengighet.

Åpen kildekode som nødvendig, men ikke tilstrekkelig fundament. OSS-helsesjekken av Sovereign Cloud Stack gir et nyansert bilde som kontrasterer positivt med den brede entusiasmen i de andre rapportene. SCS er teknisk solid — Release 8 er oppdatert, basert på modne prosjekter (OpenStack, Kubernetes), og har fått Gaia-X Lighthouse-status. Men enden på den tyske føderale finansieringen i desember 2024 er et reelt vendepunkt: prosjektet er nå avhengig av at de 20+ kommersielle leverandørene som har tatt SCS i produksjon, faktisk opprettholder bidragene. OSISM — referanseimplementasjonens kritiske IaaS-lag — er det svakeste leddet, med begrenset ekstern audit. Åpen kildekode gir arkitekturåpenhet og unngår lock-in, men suverenitet krever at noen faktisk tar ansvar for at koden vedlikeholdes.

Geografisk variasjon — Norge er ikke Europa. Sektorradaren trekker frem Telenor AI Factory som et nordisk gjennombrudd: Norges første sovereign AI-cloud, joint venture med Red Hat, NVIDIA GPU-akselerering, data i Norge. Dette er en sterk signal om at også mindre land kan bygge egne suverene AI-infrastrukturer — uten å være avhengige av hyperscaler-avtaler. Trendanalysen bekrefter at de sterkeste europeiske markedene for sovereign cloud er Frankrike, Tyskland, Norden og Benelux. Norge har et fortrinn via NIS2-implementeringen (oktober 2024) og NSMs anbefalinger, men mangler foreløpig det franske eller tyske volumet.

Regulering som akselerator, ikke bare barriere. CADA (Cloud and AI Development Act), som ventes lagt frem av EU-kommisjonen i H1 2026, vil definere det juridiske rammeverket for strategisk autonomi. EU Data Act er allerede fullt i kraft (januar 2025) med krav om portabilitet og leverandørbytte. AI Act blir fullt gjeldende august 2026. Samlet sett driver disse tre regelverkene frem en arkitektonisk standard der suverenitet ikke er et frivillig tillegg, men et designkrav — særlig for offentlig sektor, forsvar, finans og helse. Gaia-X Catalogue med 600 tjenester fra 15 leverandører (mars 2026) er en tidlig realisering av denne sertifiseringsinfrastrukturen.

4. Risikoer og usikkerheter

5. Konklusjon og anbefaling

Risiko	Alvorlighet	Kommentar
CADA-usikkerhet: Forventet EU-lovgivning ikke vedtatt	Middels	Virksomheter som investerer i sovereign-arkitektur nå, kan oppleve at de juridiske kravene endres når CADA vedtas. Vent med store arkitektoniske veddemål til utkastet foreligger.
Hyperscaler EUCS-gap: AWS/Microsoft/Google møter ikke EUCS High+	Høy	Virksomheter i regulerte sektorer som velger hyperscalernes sovereign-produkter, kan stå overfor compliance-brudd når EUCS High+-nivå blir obligatorisk. Risikoen er særlig høy for offentlig sektor og kritisk infrastruktur.
SCS finansieringsusikkerhet etter føderalt bortfall (desember 2024)	Middels	Sovereign Cloud Stack mister tysk statsstøtte. Prosjektets videre utvikling avhenger av at 20+ kommersielle aktører opprettholder bidragene. Ingen garantier foreligger — særlig bekymringsfullt for OSISM-vedlikehold.
OSISM som kritisk svakt ledd i SCS-stakken	Middels	OSISM (IaaS-referanseimplementasjon) er mindre kjent og færre-audited enn OpenStack og Kubernetes. En sikkerhetssårbarhet her vil påvirke alle SCS-baserte deployments. Bør prioriteres for ekstern sikkerhetsaudit.
Europeisk markedsandel forblir lav: 15 % til lokale aktører	Høy	Til tross for investeringseksplosjonen beholder hyperscalerne 85 % av det europeiske skymarkedet. Sovereign cloud-visjonen kan materialisere seg politisk og teknisk uten å endre markedsstrukturen vesentlig på 2-3 års sikt.
Fragmenteringsrisiko: For mange parallelle europeiske initiativer	Middels	Gaia-X, EuroStack, NeoNephos, EURO-3C, European Edge Continuum og SCS konkurrerer delvis om de samme ressursene og politisk oppmerksomhet. Manglende koordinering kan gi duplisert arbeid og svak interoperabilitet.
Sovereign AI: europeiske modeller mangler konkurransedyktig kapasitet	Høy	Mistral AI er eneste europeiske aktør i internasjonal frontlinje. Gapet til OpenAI, Anthropic og kinesiske modeller er stort. Sovereign AI-infrastruktur uten konkurransedyktige modeller gir begrenset strategisk verdi.

Sovereign Cloud v2 er ikke en fremtidig trend — det er en pågående industriell transformasjon med konkrete produkter, vedtatt regulering og målbar vekst. Svaret på studiets forskningsspørsmål er tydelig: digital suverenitet er gjennomførbart, men krever bevisste arkitektoniske valg og gir ikke et gratis valg mellom full uavhengighet og full avhengighet. Den realistiske posisjonen er «managed interdependence» — å bruke hyperscalernes sovereign-tilbud for lav-risiko arbeidsbelastninger, mens sensitive arbeidsbelastninger (AI-inferens, helsedata, forsvar, kritisk infrastruktur) flyttes til EUCS High+-sertifiserte miljøer basert på SCS, NeoNephos eller nasjonale AI-fabrikker.

Tre konkrete anbefalinger:

Regulerte virksomheter (offentlig sektor, finans, helse): Sett EUCS High+-sertifisering som minimumskrav for alle nye skyleverandøravtaler som inkluderer sensitive arbeidsbelastninger. Vent ikke på CADA — EU Data Act og NIS2 er allerede gjeldende.
Teknologiinvestorer og strategiske partnere: Sovereign Cloud Stack, NeoNephos og Mistral AI er de viktigste OSS-baserte inngangspunktene. SCS er teknisk moden men trenger finansieringsmessig støtte etter bortfallet av tysk statsstøtte — bidragsengasjement nå gir langsiktig innflytelse over standarden.
Norske virksomheter spesifikt: Telenor AI Factory er et sjeldent norsk forsprang. Vurder partnerskap eller tidlig adopsjon før dette modenner til et generisk tilbud. NSMs anbefalinger om sovereign-tilnærming for kritisk infrastruktur bør tolkes som en operasjonell forpliktelse, ikke bare en politisk anbefaling.

Studieoppsummering: Sovereign Cloud v2

Digital suverenitet i skyen — Mars 2026

1. Bakgrunn og formål

2. Nøkkelfunn

3. Hovedanalyse

4. Risikoer og usikkerheter

5. Konklusjon og anbefaling

6. Underlagsrapporter