Säkerhetskopiering för företag – molnet eller lokal backup?

Varför backup är ett affärsbeslut – inte ett IT-beslut

Dataförlust för ett SME-företag handlar sällan om hårddiskar som kraschar. Det handlar om verksamhetsstopp. 60 % av små företag som drabbas av allvarlig dataförlust uppger att verksamheten är borta inom sex månader. Den absolut vanligaste orsaken till dataförlust är inte hårdvarufel – det är mänskliga misstag och ransomware-attacker.

Myndigheten för samhällsskydd och beredskap (MSB), idag Myndigheten för civilt försvar (MCF) rapporterade 2024 att antalet anmälda IT-incidenter mot svenska företag ökade med 38% på ett år, där ransomware står för över hälften av de allvarliga fallen. För ett medelstort kontor med 25 anställda innebär en veckas driftstopp typiskt 400 000–700 000 kr i förlorad arbetstid – innan eventuell lösensumma eller kostnad för återställning räknas in.

Backup är därför inte en IT-utgift. Det är en försäkringspremie mot verksamhetsstopp, och kostnaden för en professionell backup-lösning ligger nästan alltid under en bråkdel av kostnaden för en enda incident.

Molnbackup vs lokal backup – snabbjämförelse

Molnbackup vinner på säkerhet mot fysiska hot och ransomware. Lokal backup vinner på återställningshastighet och kostnad över tid för stora datamängder. För nästan alla svenska SME-företag är svaret en hybrid – inte ett antingen-eller-val.

3-2-1-regeln – branschens accepterade grundprincip

Den globala backup-standarden 3-2-1 togs ursprungligen fram av amerikanska fotografen och författaren Peter Krogh och har anammats av bland annat amerikanska cybersäkerhetsmyndigheten CISA som en grundrekommendation för företag.

Regeln säger:

3 kopior av all kritisk data (originalet plus två backuper)
2 olika medietyper (t.ex. en NAS och ett moln)
1 kopia på annan geografisk plats (vanligtvis molnet)

En modern variant kallas 3-2-1-1-0: lägg till 1 offline- eller immutable-kopia (skyddad mot ransomware) och 0 fel vid verifiering. Den varianten rekommenderas allt oftare av svenska MSP-leverantörer för SME-kunder, just för att ransomware-attacker idag försöker hitta och kryptera även backup-systemen.

När är molnbackup rätt val?

Molnbackup passar bäst när verksamheten redan ligger i molnet, datamängderna är hanterbara och återställningstiden inte är extremt kritisk.

Molnet är typiskt rätt huvudlösning när:

• Ni använder Microsoft 365, Google Workspace eller liknande SaaS-tjänster och vill skydda er data där (Microsoft själva rekommenderar tredjepartsbackup av M365)
• Total datavolym understiger 5–10 TB
• Ni har flera kontor eller distansarbetande personal som ska skyddas på samma sätt
• Verksamheten kan tåla 4–24 timmars återställningstid vid ett större incident
• Ni vill undvika kapitalinvestering i egen serverhårdvara

Det är värt att notera att Microsoft 365 inte i sig är en backup. Microsoft skyddar plattformen mot driftstopp – inte er data mot raderade filer, kompromissade konton eller ransomware. Det här är en av de vanligaste missförstånden.

När är lokal backup rätt val?

Lokal backup passar bäst när återställningshastighet är affärskritisk, datamängden är stor eller känslig data inte får lämna lokalen.

Lokal backup är typiskt rätt huvudlösning när:

• Ni hanterar stora filtyper (CAD-ritningar, video, sjukvårdsdata, arkiv) över 10 TB
• Ett driftstopp på över 1–2 timmar skulle stoppa fakturerbar verksamhet
• Internetuppkopplingen är instabil eller bandbredden begränsad
• Sektorspecifika regler kräver att data lagras på svensk eller europeisk mark under er kontroll
• Ni redan har personal med IT-kompetens som kan sköta drift och övervakning

För arkitekt-, ingenjörs-, mediaproduktions- och tillverkningsbolag är en NAS eller dedikerad backup-server ofta första försvarslinjen, just eftersom återställning av en raderad mapp kan ske på minuter istället för timmar.

Hybridmodellen – det som passar nästan alla företag

För 80–90% av svenska små och medelstora företag landar svaret på en hybrid: lokal backup som primär återställningskälla plus molnbackup som geografisk redundans och ransomware-skydd. Det är också den modell som svenska MSP-leverantörer (Managed Service Providers) typiskt levererar i sina backup-as-a-service-erbjudanden.

En vanlig hybriduppsättning innehåller:

• En lokal NAS eller backup-server som tar dagliga ögonblicksbilder av servrar, klienter och Microsoft 365
• En molnreplika som synkroniseras nattetid till en svensk eller europeisk datacenterleverantör
• Immutability eller air-gap på minst en av kopiorna, så att ransomware inte kan kryptera backup-historiken
• Övervakning och larm med daglig rapport om backup-status
• Återställningstester kvartalsvis – en backup som inte testats är en gissning

Branschorganisationen ENISA (European Union Agency for Cybersecurity) rapporterar att 58% av företag som drabbas av ransomware och har testade backuper kan återställa verksamheten utan att betala lösensumma. Hos företag utan testade backuper sjunker den siffran till 19%.

Vad ska säkerhetskopieras?

Allt som inte enkelt kan återskapas och som behövs för att verksamheten ska fungera. I praktiken: filservrar, e-post, ekonomidata, CRM, projekthanteringssystem, virtuella maskiner och konfigurationer av nätverksutrustning.

Den minsta acceptabla scope:n för en B2B-backup är:

• Filservrar och delade mappar
• Microsoft 365 (e-post, OneDrive, SharePoint, Teams) eller Google Workspace
• Affärssystem och databaser (Fortnox, Visma, SAP, kundlistor, projektdata)
• Virtuella maskiner och konfigurationer
• Konfiguration av brandväggar, switchar och accesspunkter
• Klientdatorer för nyckelmedarbetare (åtminstone profiler och dokumentmappar)

En riktig backup-strategi specificerar RPO (Recovery Point Objective – hur mycket data ni kan tåla att förlora) och RTO (Recovery Time Objective – hur snabbt ni måste vara igång igen) per system. För ett ekonomisystem är RPO ofta 15–60 minuter och RTO 1–4 timmar. För ett arkiv kan RPO vara 24 timmar och RTO 1–3 dagar.

Vad kostar säkerhetskopiering för företag?

En professionell hybridbackup för ett medelstort svenskt SME (10–50 användare, 1–5 TB data) kostar typiskt 3 500–12 000 kr per månad inklusive licens, lagring, övervakning och support. Engångskostnaden för installation ligger vanligtvis på 15 000–60 000 kr.

Som riktmärken:

Molnbackup av Microsoft 365 (per användare/månad): 35–80 kr
Molnbackup per TB skyddad data/månad: 200–500 kr
NAS för lokal backup (10–40 TB): 18 000–80 000 kr engångskostnad
Backup-mjukvara (per server/månad): 250–1 200 kr
Övervakning, hantering och support (managed backup): 2 500–8 000 kr per månad
Återställningstester (årligen): 4 000–15 000 kr

Jämför detta med en typisk ransomware-incident i SME-segmentet: enligt det amerikanska försäkringsbolaget Coveware låg medianbeloppet för utbetald lösensumma 2024 på cirka 200 000 kr, och total återställningskostnad (lösensumma exkluderad) på över 600 000 kr. Då är produktionsbortfallet inte inräknat.

5 vanliga misstag i backup-strategier

1. Ingen testar återställningen. En backup som aldrig återställts är inte en backup – det är en förhoppning.
2. Backup ligger på samma nätverk som det skyddar. Ransomware som kommer in på huvudnätet hittar och krypterar då även backupen.
3. Microsoft 365 antas vara backat av Microsoft. Det är det inte. Microsoft skyddar plattformen, inte er data.
4. Backup-fönstret är för långt. Om backupen tar 18 timmar och ändras under tiden får ni inkonsekventa kopior.
5. Ingen äger backupen. När det inte är någons formella ansvar slutar den fungera tyst – ofta i månader innan det upptäcks.

Vanliga frågor om säkerhetskopiering för företag

Räcker det att Microsoft 365 säkerhetskopierar våra mejl och filer?

‍
Nej. Microsoft skyddar tjänstens drift och hårdvara, men inte er data mot raderade filer, kompromissade konton, ransomware eller mänskliga misstag. Microsofts egna villkor (Shared Responsibility Model) säger uttryckligen att kunden ansvarar för sin data. För all M365-data behövs en separat backup-lösning från en tredjepartsleverantör.

Hur ofta bör företag säkerhetskopiera?

‍
Beror på systemet. Affärskritiska system (ekonomi, CRM, projektdata) bör backas upp minst varje timme. Filservrar och e-post räcker oftast med kontinuerlig synk eller var 4:e timme. Sällan ändrad arkivdata kan backas upp dygnsvis. RPO – hur mycket data ni tål att förlora – ska sättas per system, inte gemensamt för hela bolaget.

Vad är skillnaden mellan backup och redundans?

‍
Redundans (RAID, kluster, replikering) skyddar mot hårdvarufel genom att data lagras på flera ställen samtidigt. Det skyddar **inte** mot raderade filer, krypterande malware eller mänskliga misstag – då sprids felet till alla kopior. Backup är en separat, tidsförskjuten kopia som kan återställas till en tidigare tidpunkt. Båda behövs.

Hur länge ska vi spara backuper?

‍
Standardpraxis är 7 dagliga, 4 veckovisa, 12 månadsvisa och 7 årliga kopior (kallas GFS – Grandfather-Father-Son). Bokföringslagen i Sverige kräver att räkenskapsinformation sparas i 7 år. För personuppgifter under GDPR gäller motsatt princip – data ska tas bort när den inte längre behövs. Bra backup-system stödjer båda.

Vad är immutable backup och varför är det viktigt?

‍
Immutable backup innebär att en kopia inte går att ändra eller radera under en bestämd period – inte ens av en administratör. Det skyddar mot ransomware som specifikt försöker hitta och kryptera backup-system. För 2026 betraktas immutability som en grundkomponent i en B2B-backup-strategi, inte som ett tillval.

‍