Din cloud-afhængighed er nu en reguleret risiko. De fleste virksomheder kan ikke engang se deres egen.

Hvad har egentlig ændret sig?

I årevis var cloud-spørgsmålet praktisk: hvilken leverandør, til hvilken pris. Den europæiske teknologiske suverænitetspakke (European Technological Sovereignty Package) fra 2026, og Cloud and AI Development Act inden i den, ændrer spørgsmålet. Den indfører en firetrins suverænitetsramme, der vurderer, hvor uafhængig din infrastruktur er af en enkelt udenlandsk leverandør. Hvor dine systemer kører, og hvem der i sidste ende kontrollerer dem, er nu et reguleret anliggende, ikke blot et arkitekturvalg.

Den kommer ikke alene. Den lander oven på DORA, NIS2, Data Act og AI Act, der hver især har deres egne forpligtelser omkring kontinuitet, sikkerhed og ansvarlighed. For en virksomhed, der opererer i Europa, er resultatet et compliance-miljø, hvor koncentration på en enkelt hyperscaler ikke længere blot er bekvem. Det er en dokumenteret eksponering.

Hvorfor kan de fleste virksomheder ikke se deres egen eksponering?

Fordi afhængigheden er begravet. Få organisationer afhænger af en enkelt cloud på en måde, de kan se på en enkelt side. Den reelle afhængighed løber gennem managed services, compliance-værktøjer, de AI-systemer, de har taget i brug, analyseplatforme, identitetsinfrastruktur og udviklingspipelines, hvoraf mange stille og roligt fører tilbage til de samme en eller to leverandører.

Så når en bestyrelse spørger, om virksomheden kunne fortsætte med at køre, hvis dens hovedleverandør svigtede eller blev erklæret non-compliant, er det ærlige svar som regel, at ingen har kortlagt det. Det er det hul, de nye regler er ved at blotlægge, og det, DORA allerede kræver, at regulerede virksomheder lukker.

Hvad bør en seriøs virksomhed gøre nu?

Kortlæg afhængighedskæden, før en tilsynsmyndighed eller et nedbrud kortlægger den for dig. Identificer hvilke kritiske funktioner der fører tilbage til en enkelt leverandør, hvor du ikke har testet failover, og hvor et suverænitetstrin ville sætte dig udenfor. Dette er ikke en opfordring til at opgive hyperscalerne. Det er en opfordring til at vide præcist, hvad du ville gøre uden dem, og at kunne fremvise det.

Resiliens har altid handlet om den afhængighed, du ikke kan erstatte. De nye regler gør blot den afhængighed til noget, du nu er nødt til at se, dokumentere og forsvare. De virksomheder, der kortlægger den tidligt, vil behandle fristerne som rutine. De, der venter, vil opdage formen på deres afhængighed på det værst tænkelige tidspunkt.

Læs videre: Hvorfor hæver AI prisen på hardware, du aldrig købte?  ·  Hvorfor er AI's største omkostning nu en månedlig lejeregning?