Sveriges AI-strategi saknar en avgörande pusselbit: leverantörskedjan

Idag presenterade regeringen Sveriges första heltäckande AI-strategi. Ambitionen är tydlig: Sverige ska bli topp tio i världen inom AI. Strategin nämner ansvarsfull utveckling, säkerhet och tekniskt oberoende. Det är bra.

Men det finns ett glapp.

Två spår som inte möts

Sedan den 15 januari 2026 gäller Cybersäkerhetslagen, Sveriges implementering av EU:s NIS2-direktiv. Lagen kräver att organisationer inom kritisk infrastruktur identifierar och hanterar risker i sina leverantörskedjor. Det inkluderar IT-leverantörer, molntjänster och, i allt högre grad, AI-tjänster.

Regeringens AI-strategi talar om att öka AI-användningen i offentlig sektor, med AI-uppdrag till över 100 myndigheter. Varje sådant uppdrag innebär nya leverantörsrelationer: språkmodeller, inferensplattformar, databehandlingstjänster, API-integrationer. Varje relation är ett nytt beroende i leverantörskedjan.

Strategin nämner inte hur dessa beroenden ska hanteras under Cybersäkerhetslagen.

Vad lagen faktiskt kräver

Cybersäkerhetslagen (2025:1506) ställer specifika krav på säkerhet i leveranskedjan. Organisationer ska:

• Kartlägga leverantörer och underleverantörer
• Bedöma risker kopplade till tredjelandsexponering och jurisdiktion
• Övervaka förändringar löpande, inte årligen
• Dokumentera arbetet för att kunna visa vid tillsyn

Det innebär att när en myndighet börjar använda en AI-tjänst behöver de veta: Var bearbetas data? Vem äger leverantören? Vilka underleverantörer används? Vilken jurisdiktion gäller vid en incident?

De flesta AI-tjänster som svenska myndigheter sannolikt kommer utvärdera, från OpenAI, Google, Anthropic och Microsoft, är amerikanska. Enligt CLOUD Act kan amerikanska myndigheter begära ut data från dessa bolag oavsett var datan fysiskt lagras.

Det är inte ett politiskt påstående. Det är en juridisk realitet som Cybersäkerhetslagen kräver att organisationer förhåller sig till.

Strategin talar om oberoende, men inte om hur

Civilminister Erik Slottner nämner "tekniskt oberoende gentemot andra delar av världen" som en drivkraft. Det är rätt insikt. Men strategin adresserar den på makronivå: sjökablar, forskningssamarbeten, internationella relationer. Den kopplar inte till det operativa arbete som varje enskild organisation nu måste utföra under Cybersäkerhetslagen.

Oberoende är inte en strategisk ambition. Det är ett löpande verifieringsarbete. Varje gång en myndighet tecknar avtal med en ny AI-leverantör, varje gång en leverantör byter underleverantör, varje gång en molntjänst ändrar var data lagras. Då förändras organisationens faktiska beroende.

Vad som saknas

Strategin hade kunnat adressera:

Kopplingen mellan AI-adoption och leverantörsrisk. Fler AI-tjänster innebär fler tredjepartsberoenden. Organisationer behöver verktyg och processer för att kartlägga och hantera dessa, inte bara policyer.

Vägledning kring jurisdiktionsfrågor. När en svensk myndighet använder en AI-tjänst vars modell tränas i USA, vars inferens körs i EU men vars ägarbolag lyder under amerikansk lag, vilka krav ställer Cybersäkerhetslagen? MSB har ännu inte publicerat detaljerad vägledning.

Tredjepartsriskhantering (TPRM) som en del av AI-styrning. AI-strategin talar om ansvarsfull AI. Cybersäkerhetslagen talar om säkerhet i leveranskedjan. Dessa är inte separata frågor. En organisations AI-leverantörskedja *är* en del av den leveranskedja som lagen reglerar.

Slutsats

Sveriges AI-strategi är ett nödvändigt steg. Ambitionen att bli ledande är välkommen.

Men ambitionen att använda mer AI och ambitionen att säkra leveranskedjan är inte två separata projekt. De är samma projekt. Varje ny AI-tjänst som införs utan att leverantörskedjan kartläggs och övervakas skapar en exponering som Cybersäkerhetslagen kräver att organisationen hanterar.

Frågan är inte om svenska organisationer ska använda AI. Frågan är om de kan verifiera att deras AI-leverantörskedjor uppfyller de krav som redan gäller.