I marts mistede EU-Kommissionen 340 gigabyte data. I maj ramte samme hackergruppe Europas mest profilerede AI-alternativ til de amerikanske modeller. Europæisk adresse var ikke nok.
Indgangen var en softwarepakke
I marts 2026 brød en hackergruppe ind i EU-Kommissionens cloud-infrastruktur via en kompromitteret version af et open source-sikkerhedsværktøj. EU’s cybersikkerhedsenhed bekræftede, at angriberne stjal over 340 gigabyte data fra mindst 71 klienter på tværs af EU-institutioner.
Indgangen var ikke et password eller en phishing-mail. Det var en softwarepakke, hentet gennem normale opdateringskanaler.
To måneder senere: Europas AI-flagskib
Den 11. maj ramte samme gruppe et europæisk AI-selskab, der er det mest fremtrædende alternativ til amerikanske AI-modeller. Selskabets softwarepakker i to store offentlige pakkeregistre blev kompromitteret i et koordineret forsyningskædeangreb, der ramte over 170 pakker på under 24 timer.
Selskabet bekræftede hændelsen i en offentlig sikkerhedsmeddelelse dagen efter.
Hvorfor lige denne sag er vigtig
AI-selskabet er ikke et tilfældigt offer. Det er grundlagt i Paris i 2023. Open source-modeller. Fransk jurisdiktion. Ingen amerikansk lovgivning over data. Præcis det fundament, som suverænitetsdiskussionen peger mod.
Og præcis derfor er denne sag vigtig. Selskabet har de rigtige jurisdiktionsfordele. Men et forsyningskædeangreb interesserer sig ikke for jurisdiktion. Det interesserer sig for softwarepakker, udviklermiljøer og adgangsoplysninger.
Tre lag, og to er ikke nok
I en tre-lagsmodel for digital suverænitet skelner man mellem dataresidens, operationel kontrol og juridisk suverænitet. AI-selskabet scorer højt på det første og tredje lag. Men denne hændelse rammer det andet: operationel kontrol. Den dimension, der handler om, hvordan en leverandør beskytter sine udviklingsprocesser og sin forsyningskæde.
EU-Kommissionen illustrerer det samme fra den anden side. Data på amerikansk cloud, hacket via et europæisk open source-værktøj. Hverken hostinglokation eller jurisdiktion forhindrede bruddet.
Branddør uden lås
Amerikansk lovgivnings ekstraterritoriale rækkevidde er stadig en konkret risiko. Det ændrer disse sager ikke på. Men jurisdiktion er ikke en sikkerhedsgaranti. Det er en juridisk ramme. Og en juridisk ramme uden operationel sikkerhed er som en branddør uden lås.
Når I vælger europæiske alternativer, er jurisdiktion det første spørgsmål. Men det bør ikke være det eneste.
Tre ting at spørge jeres leverandør om
Hvordan verificerer de deres softwarepakker? Et forsyningskædeangreb kommer via de komponenter, leverandøren selv bygger på. Hvis de ikke kan forklare, hvordan de sikrer deres udviklingsproces, er det en risiko, I overtager.
Har de gennemgået en uafhængig sikkerhedsaudit? Ikke en persondataerklæring. En uafhængig gennemgang af udviklingsprocesser, adgangsstyring og deployment-praksis.
Har de en offentlig praksis for sikkerhedsmeddelelser? AI-selskabet i denne sag publicerede sin advisory inden for 24 timer. Det er et godt tegn. Leverandører, der tier ved hændelser, er en større risiko end dem, der er åbne.
Et leverandøraudit kan afdække, om jeres leverandørers operationelle sikkerhed matcher den tillid, I har vist dem. En uafhængig cybersikkerhedsaudit viser, om jeres egne udviklingsprocesser og forsyningskæde er beskyttet.
Hvilke spørgsmål stiller I jeres europæiske IT-leverandører ud over “hvor ligger vores data”?
Har du brug for et leverandøraudit eller en gennemgang af jeres forsyningskædesikkerhed?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
