Vi har tidigare uppmärksammat att regeringen nyligen beslutat om en molnpolicy för Sverige – för ökad säkerhet, effektivitet och innovation i den offentliga förvaltningen. I den mediarapportering som följde framkom bland annat att Försvarsmakten har en egen molnstrategi. Försvarsmaktens hybrida multimolnstrategi beslutades den 18 december 2025, dnr FM2024-3120:26. I strategin framställer Försvarsmakten sina behov, inriktning och krav på skydd samt fastställer ett antal styrande principer.
Gemensam inriktning inom Försvarsmakten
Syftet med strategin är att ge en gemensam inriktning för hur Försvarsmakten ska nyttja molnteknik som en strategisk resurs för att stärka den operativa förmåga, främja innovation och möjliggöra digital transformation. Molnteknik är därtill en central möjliggörare för Sveriges del i Natos digitala transformation och för att uppnå interoperabilitet mellan medlemsländernas molnförmågor. Strategin definierar ramar för hur molntjänster väljs, utvecklas, används, styrs och avvecklas.
Försvarsmaktens molnvision
Ett kontrollerat och tillförlitligt ekosystem av molnlösningar som både möjliggör digital suveränitet och ett stort snabbare föränderligt tjänsteutbud, som krävs för att genomföra militära operationer i hela konfliktskalan i alla domäner – ett ekosystem som förenar totalförsvar, allierade, förband och beslutsfattare i realtid.
Sju effektmål
Försvarsmakten formulerar sju effektmål för sin molnstrategi
- Skalbarhet och flexibilitet
- Integrerad och gemensam molnmiljö
- Säkerhet och robusthet
- Interoperabilitet och snabbare beslut
- Data- och AI-driven insikt
- Organisatorisk förmåga
- Accelererad innovation och teknologiskt försprång
Digital suveränitet i tre dimensioner
Försvarsmakten delar in digital suveränitet i tre dimensioner
Datasuveränitet
Datasuveränitet handlar om att säkerställa att information omfattas av det regelverk som gäller i den region där den genereras och används. Den utgör grunden för många organisationers strategier inom säkerhet, regulatorisk efterlevnad och riskhantering. I praktiken innebär datasuveränitet att organisationen har full teknisk och juridisk kontroll över var data lagras, behandlas och skyddas. Detta inkluderar inte bara primärdata, utan även metadata, loggar och faktureringsinformation – alla komponenter som kan avslöja känslig information om verksamheten.
Datasuveränitet kan uppnås genom en kombination av olika åtgärder, till exempel:
- Begränsningar i var data får lagras, användas och bearbetas.
- Säkerställande av ägarskap och kontroll
- Åtkomstkontroll.
- Spårbarhet.
För försvarssektorn innebär full datasuveränitet att information aldrig får lämna svensk jurisdiktion och att tekniska säkerhetsmekanismer är centrala. Molnleverantörer möter dessa krav genom att erbjuda datacenter inom kundens jurisdiktion i kombination med avtal för hur data får hanteras. Men detta ger inte per automatik full datasuveränitet. Det är avgörande vilka lagar som gäller i den jurisdiktion som leverantörens huvudkontor tillhör, att kunden har kontroll över krypteringsnycklar, att ingen oönskad replikering sker och att leverantören inte kan flytta data till andra regioner – vare sig av misstag eller för att tillgodose funktioner som endast finns i utländska miljöer.
Informationssjälvbestämmande är en central princip för datasuveränitet. Kunden ska ha insyn i var och hur data behandlas, kunna agera vid förändringar och aktivt styra sin hantering.
Operativ suveränitet
Operativ suveränitet innebär kontroll över drift, personal, åtkomst och support. För Försvarsmakten innebär full operativ suveränitet att driftsmiljön måsta bemannas av försvarsmaktspersonal eller säkerhetsprövad svensk personal, att support och incidenthantering sker inom myndigheten samt att ingen utländsk aktör har insyn eller möjlighet att påverka den operativa verksamheten.
Åtgärder för operativ suveränitet är bland annat:
- Egen eller säkerhetsprövad svensk personal och support.
- Möjlighet till oberoende revision och insyn i drift.
- Kontroll över processer och rutiner, så att de inte styrs av utländska aktörer eller lagar.
För organisationer med strikta krav på informationssäkerhet, såsom myndigheter och försvarssektorn, är operativ suveränitet särskilt relevant.
Nackdelen med full operativ suveränitet är att det är svårt att upprätthålla full kontroll och insyn samtidigt som kostnaderna ökar genom behovet av avancerade hanterings- och övervakningsverktyg, kontrollmekansimer och bemanning.
Teknologisk suveränitet
Teknologisk suveränitet innebär oberoende från utländska teknologier och leverantörskedjor. Exempel på åtgärder för att skapa teknologisk suveränitet är att använda öppen källkod eller egenutvecklade lösningar, med portabilitet, baserade på öppna standarder och utan proprietära inlåsningseffekter. Det innebär också att kritiska komponenter – såväl hårdvara som mjukvara – ska kunna granskas och valideras ur ett säkerhetsperspektiv.
Teknologisk suveränitet uppnås bland annat genom:
- Möjlighet att flytta arbetslaster mellan leverantörer tillbaka till egen miljö.
- Användning av öppna standarder och öppen källkod där det är möjligt, för att undvika inlåsningseffekter.
- Kontroll över tekniska plattformar, inklusive hårdvara och mjukvara, så att organisationen kan fortsätta sin verksamhet även om tillgången till leverantörens tjänster upphör.
Teknologisk suveränitet är särskilt viktig för verksamheter med höga krav på säkerhet, verksamhetskontinuitet och regelefterlevnad.
Nackdelen med full teknisk suveränitet är ökade kostnader och behov av egen kompetens, och att det kan begränsa tillgången till de senaste innovationerna med tillhörande tjänsteutbud från ledande molnleverantörer.
Val av suveränitetsnivå
Valet av suveränitetsnivå för den digitala infrastrukturen kräver strategiska beslut och avvägningar. Organisationer måste därför prioritera vilka dimensioner av suveränitet – data, operativ eller teknologisk – som bäst motsvarar de verksamhetskritiska behoven i förhållande till krav på skalbarhet, flexibilitet och tjänsteutbud.
Modeller för olika grad av molnsuveränitet

Hybrid multimolnstrategi som inriktning
För att uppnå en balanserad avvägning mellan digital suveränitet och skalbarhet och tjänsteutbud använder många organisationer en hybrid multimolnstrategi, det vill säga användning av molntjänster från flera molnleverantörer i kombination med privata moln.
Försvarsmaktens inriktning är att upprätta en hybrid multimolnlösning, där privata molnlösningar kompletteras med publika och isolerade molnlösningar.
Genom att nyttja en hybrid multimolnlösning och samtidigt använda specifika moln för specifika syften kan behovet av oberoende kompletteras med nödvändigt tjänsteutbud.
Denna lösning kräver olika samarbeten, informationsflöden mellan moln och tillgång till ett ekosystem av flera leverantörer och olika typer av molninfrastruktur där organisationen väljer funktioner som passar verksamhetsbehoven och samtidigt säkerställer tillräcklig digital suveränitet.
Försvarsmakten visualiserar sin modell för hybrid multimolnstrategi på följande sätt:

Hantering av säkerhetsskyddsklassificerad information
Möjligheten att hantera säkerhetsskyddsklassificerade information sträcker sig från låg till hög och delas in i svenska nationella och Natos säkerhetsskyddsklasser. Varje nivå av informationsklassificering ställer olika krav på kontroll och säkerhet, vilket i sin tur påverkar valet av leveransmodell.
Nato rekommenderar publika molnlösningar för hantering av information upp till och med Nato Restricted. För hantering av information av Nato Confidential och över ska isolerade, och/eller privata molnlösningar användas.
Vid val av molnlösning ska följande vägas in i bedömningen:
- Informationsklassificering.
- Digital suveränitet (grad av egen regi).
- Skalbarhet och tjänsteutbud.
Bedömningen ska alltid ske med hänsyn till en kombination av verksamhetsförmågor, tillhörande processer, informationsbehov och tekniska lösningar. Det ger en möjlighet att balansera behovet av säkerhet och kontroll mot fördelarna med skalbarhet och brett tjänsteutbud. Bedömningen är inte statisk, utan kräver analys över tid.
Styrande principer
Försvarsmakten har antagit femton styrande principer som ska hjälpa myndigheten att tillämpa hybrida moln som inriktning och säkra rätt nivå av digital suveränitet samt guida medarbetare och underlätta beslutsfattande i vardagen och styra mot önskad effekt.
Molnanvändning
- Molnbaserade tjänster ska vara förstahandsvalet vid utveckling och införande av nya digitala lösningar i linje med Natos standarder.
- Hybrid multimolnstrategi ska tillämpas för att möjliggöra parallell eller kompletterande användning av flera molnleverantörer.
- Molntjänster som tillhandahålls via centrala och gemensamma ICT-plattformar ska användas i första hand inom Försvarsmakten.
Suveränitet och kontroll
- Graden av digital suveränitet ska vara anpassad efter verksamhetsbehov och regulatoriska krav.
- Det ska vara möjligt att följa upp var och hur data lagras samt vem som har åtkomst.
Molnarkitektur
- Molnarkitekturen ska möjliggöra interoperabilitet vid datadelning och utformas enligt överenskomna standarder, exempelvis Nato-standarder.
- Molnarkitekturen ska vara skalbar och flexibel, med kontrollerbar säkerhet.
- Digitala arbetslaster ska kunna flyttas mellan olika miljöer utan betydande hinder.
- All molninfrastruktur ska hanteras som kod enligt principen Infrastructure as Code.
Säkerhet och skydd
- Säkerhet ska integreras i varje lager av arkitekturen enligt principen Security by Design.
- All åtkomst till molnbaserade resurser och tjänster ska baseras på principen om Zero Trust.
- Försvarbarhet ska integreras i alla lager av arkitekturen i syfte att möjliggöra och stödja defensiva och offensiva cyberoperationer.
- Skyddsnivå ska vara kravställd för molnlösningar i egen regi och vara känd för externa lösningar.
Ekonomi, uppföljning och organisation
- Molntjänster ska anskaffas och vidmakthållas utifrån faktisk användning, med kontinuerlig kostnadskontroll och effekt i fokus genom uppföljning av tillgänglighetskrav.
- Organisering för utveckling, drift och vidmakthållande av molntjänster ska väljas för bästa effekt för verksamheten.