Är offentlig sektor på väg tillbaka till on-prem?

Markus Blomberg

Markus är specialist på datadriven marknadsföring med fokus på innehåll, innehållsstrategi, SEO, leadgenerering och automation. Van att arbeta nära komplexa B2B-erbjudanden, där budskapet behöver nå både tekniska och affärsorienterade beslutsfattare. Styrkor i struktur, analys och att omvandla kunskap till konkret kommunikation som driver affär.

Blogg

2026-02-03

8 min

Molnet har blivit norm i IT-branschen, men i offentlig sektor gör ett mer osäkert läge, skärpta krav och tydligare leverantörsberoenden att fler börjar tänka mer selektivt kring drift för att kunna skydda medborgare. Det betyder inte att man lämnar molnet, utan att man designar för; moln där det passar, on-prem eller egen drift där kontrollen behöver vara större. Särskilt för vissa datatyper.

Innehållsförteckning

Varför molnvalet är aktuellt

Därför blir Jira ett bra exempel när diskussionen vänder

Exitstrategi: Från moln och leverantör

Varför molnvalet är aktuellt

Den rådande världspolitiska osäkerheten leder till en generell oro bland både offentlig sektor och medborgare, men avvägningen mellan on-prem och molnet har varit aktuell under längre tid, av flera skäl.

För offentlig sektor har molnet länge varit ett praktiskt vägval: enklare förvaltning, snabbare uppdateringar och en tydligare kostnadsbild. Även om det ofta innebär att kostnadsbilden tyvärr växer med användandet. Det som förändrats är att fler nu utgår från risk, beredskap och handlingsutrymme.

Säkerhetspolisen beskriver hur cyberangrepp kan användas som verktyg mot samhällsaktörer, bland annat för att få tillgång till information och bygga kapacitet över tid. MSB:s sammanställning av IT-incidentrapporteringen visar att cyberangrepp har blivit den vanligaste bakomliggande orsaken till IT-incidenter.

MSB:s Nationella risk- och sårbarhetsbedömning 2025 konstaterar att MSB tar emot cirka 300 incidentrapporter per år, men att det verkliga antalet bedöms vara högre eftersom det finns ett mörkertal i incidentrapporteringen. Endast 8 av 120 statliga myndigheter uppfyllde kraven i MSB:s föreskrifter om säkerhetsåtgärder i informationssystem (MSBFS 2020:7).

Samtidigt har NIS2 implementerats i Sverige genom cybersäkerhetslagen som trädde i kraft den 15 januari 2026, vilket gör att fler behöver kunna visa strukturerad riskhantering och kontroll över leverantörsberoenden.

Parallellt innebär GDPR att ni måste kunna visa att behandlingen av personuppgifter är laglig och att risker är bedömda. Ni behöver också ha rätt avtal och skyddsåtgärder på plats, särskilt när molntjänster kan innebära att uppgifter överförs eller på annat sätt görs tillgängliga utanför EU/EES.

Det är i kombinationen av hotbild, krav och beroenden som tanken på ett skifte tillbaka blir relevant. Inte som ett nostalgiskt teknikval, utan som ett sätt att återta kontroll där det behövs.

Merparten av offentlig sektors drift är i egen regi idag, men det rör sig ofta om kombinationer av flera driftformer, och när det gäller molntjänster är de oftast i privat regi.

Det populära ärendehanteringssystemet Jira är ett bra exempel. Jira är på väg att stänga ned sina on-prem-alternativ och i ärendehantering kan vardagsdata snabbt bli verksamhetskritisk. Därför blir samtalet om ett möjligt steg tillbaka mot on-prem aktuellt igen, inte för att moln nödvändigtvis är fel för offentlig sektor, utan för att offentlig sektor behöver kunna stå för sina beroenden, sin spårbarhet och sin kontroll.

Det som driver ett skifte är sällan “molnet” i sig

Det är lätt att göra molndebatten binär. I praktiken handlar den i offentlig sektor nästan alltid om tre områden: datalagring, åtkomst och juridik.

Datalagring är mer än “EU eller inte EU”

För många räcker det inte att veta region. I en komplex IT-miljö behöver man förstå hur data hanteras över tid: replikering, backup, supportflöden, loggar och underleverantörskedjor. Det är ofta där verkliga beroenden uppstår – och där osäkerhet kan bli svår att motivera.

Åtkomst och spårbarhet blir ett styrningsproblem

När fler verksamhetskritiska processer ligger i tjänster blir identitet och behörighet navet. SKR:s rekommendationer om identitets- och behörighetshantering riktar sig till kommuner och regioner och betonar både arbetssätt och tekniska förutsättningar.

Jurisdiktion och tredjelandsfrågor blir praktiska i vardagen

IMY beskriver att överföring till tredjeland innebär att personuppgifter skickas eller på annat sätt görs tillgängliga för en mottagare utanför EU/EES.

I offentlig sektor, där personuppgifter och ibland samhällskritisk information hanteras varje dag, behöver molnvalet ofta kunna förklaras i detalj: vad händer med data i drift, support och vid incidenter?

Det finns en rädsla för en beroendekedja med underleverantörer i flera led. Många tar det säkra före det osäkra och väljer att data ska lagras i Sverige och svenska leverantörer.

IT-incidenter kan få stora spridningseffekter via digitala leveranskedjor och monoberoenden (många verksamheter beroende av en och samma tjänst/leverantör), vilket är särskilt relevant för offentlig sektor.

Därför blir Jira ett bra exempel när diskussionen vänder

De största diskussionerna börjar inte alltid i de mest “dramatiska” systemen. Ofta börjar de i vardagsverktyg som är centrala för hur arbetet faktiskt leds: ärendehantering.

Jira används ofta för incidenter, förändringar, projekt och samordning. Det låter neutralt; men innehållet blir snabbt mer känsligt än många tänker, eftersom spårbarhet, bilagor, loggutdrag och kommentarer ofta speglar verkliga händelser och beslut.

Driftfrågan är både aktuell och tidskritisk

I september 2025 presenterade Atlassian (Jira) en tidslinje för att fasa ut Data Center för berörda produkter. Slutdatumet är satt till 28 mars 2029, och redan från 30 mars 2026 påverkas nya köp.

Att internationella leverantörer föredrar molnet och har en “cloud-first”-strategi, och är på väg emot en ”cloud only”-strategi, är vedertaget. Vissa leverantörer erbjuder dock ”Gov Cloud”, men många tänker idag att även detta följer med en tilltagande grad av osäkerhet.

Det här är en viktig del av varför skiftet tillbaka till on-prem ens hamnar på bordet: när en leverantörs färdplan blir styrande får offentlig sektor ofta behov av ett alternativt handlingsutrymme och problem med befintliga integrationer, datamodeller och anpassningar.

Ett “tillbaka”-skifte handlar ofta om selektivitet

När offentlig sektor pratar om ett möjligt skifte tillbaka handlar det sällan om att återgå till exakt samma plattform. Det handlar om driftprincipen: att vissa flöden behöver kunna ligga mer kontrollerat, mer avskilt eller mer “i egen regi”.

I praktiken kan det betyda:

Att vissa typer av ärenden/uppgifter inte ska ligga i en publik SaaS-tjänst.
Att man vill kunna isolera vissa dataflöden tydligare.
Att man vill minimera beroenden i en redan komplex IT-miljö.
Att man vill ha större frihet att byta väg om omvärld eller regelverk ändras.

Det här syns också i hur marknaden pratar om alternativen: många leverantörer beskriver att organisationer behöver välja mellan moln, hybrid eller on-prem-alternativ.

Tips!

Fundera över delar ni kan fortsätta ha i molnet och vilka ni måste flytta, isolera eller drifta med större kontroll.

Exitstrategi: Från moln och leverantör

Antingen anpassar ni er till leverantörens molnväg, eller så tar ni fram ett alternativ. En exitstrategi för att kunna gå från moln till on-prem (eller egen drift) handlar om att säkra tre saker: data, funktion och beroenden. Konkret behöver ni:

Dataportabilitet: Exakt vilka data som ska ut (ärenden, bilagor, kommentarer, historik och loggar), i vilket format, hur ofta, och hur ni verifierar att inget saknas.
Datamodell och metadata: Mappning mellan nuvarande datamodell och målmiljön, inklusive klassning, retention/gallring, diariekoppling, versionshantering och spårbarhet.
Integrationer: Komplett integrationskarta (API:er, filflöden, webhookar samt identitet och åtkomst, t.ex. SSO och IdP) och en plan för att ersätta eller återskapa dem utan att bryta verksamhetsflöden.
Identitet och behörighet: Hur roller, grupper, privilegier och administratörsåtkomst flyttas, inklusive loggning, revisionsspår och spårbarhet (vem gjorde vad, när och varför).
Drift- och säkerhetskrav: Målarkitektur för on-prem/egen drift (miljöer, patchning, backup, återställning, övervakning och incidentrutiner) samt krav på underleverantörer.
Migreringsmetod: Stegvis migrering eller “big bang”, parallell drift, cutover-plan, rollback-plan och tydlig acceptans/test.
Rätt partner: Det är även en god tanke att hitta en stabil digital partner som kan förvaltning och som vidareutvecklar sin plattform.
Avtal och tidplan: Uppsägningsvillkor, åtkomst till exportverktyg, stöd vid migrering, ägande av konfigurationer och eventuella licens/feature-gap i målmiljön.

En bra tumregel är att om ni inte kan exportera och återskapa data, integrationer och behörigheter på ett kontrollerat sätt, så har ni ingen exit, utan bara en ambition. När det gäller kravinsamling ska ni tänka på vad verksamheten behöver, inte vad ett gammalt system eller molnet erbjuder.

Multisoft, offentlig sektor och exemplet ärendehanteringssystem

Multisoft bygger skräddarsydda systemstöd för offentlig sektor där ärendehantering, datamodeller, behörighetsstyrning och integrationer kan utformas för att stödja en mer selektiv driftprincip, tydliga revisionsspår och stabil informationsförvaltning över tid.

Det innebär bland annat att ni kan få ett systemstöd med tydlig ansvarsfördelning, spårbarhet i varje steg, möjlighet att styra livscykel och metadata för information, samt kontrollerad loggning och uppföljning.

Vi har många kunder inom offentlig sektor och samhällsnära verksamheter med skräddarsydda lösningar med höga krav på säkerhet och tillgänglighet. Allt från utländska kommuner till svenska kärnkraftverk.

4,7/5

Multisoft har 4,7 av 5 i NKI efter genomfört implementationsprojekt.