RTO och RPO – grunden för varje beslut

Recovery Time Objective (RTO) och Recovery Point Objective (RPO) är de två parametrar som styr hela din DR-arkitektur. Utan tydliga, verksamhetsförankrade värden för varje kritiskt system blir varje teknisk diskussion meningslös.

Så definierar du RTO och RPO rätt

Misstaget vi ser mest frekvent: IT-avdelningen sätter RTO/RPO utifrån teknisk magkänsla istället för affärspåverkan. Rätt process börjar med verksamheten:

• Identifiera kritiska processer – inte system, utan affärsprocesser. Vad händer om orderflödet ligger nere i 4 timmar?
• Kvantifiera nedtidskostnaden – förlorad intäkt, SLA-brott mot kunder, regulatoriska sanktioner, reputationsskada
• Tilldela RTO/RPO per system – nu kan du matcha teknisk lösning mot affärskrav

Poängen är enkel: du betalar för snabbhet. En RTO på 15 minuter kostar tio gånger mer än en RTO på 24 timmar. Utan affärsförankring riskerar du antingen att överinvestera eller att underestimera behovet för ett system som visar sig vara verksamhetskritiskt.

De fyra DR-strategierna i AWS

AWS Well-Architected Framework definierar fyra etablerade strategier, ordnade efter stigande kostnad och sjunkande återställningstid. Valet handlar alltid om avvägningen mellan kostnad och RTO/RPO.

Backup & restore

Den enklaste och billigaste strategin. Data kopieras regelbundet till en annan region via Amazon S3 Cross-Region Replication eller AWS Backup. Vid katastrof provisioneras ny infrastruktur och data återställs.

Styrkor: Låg löpande kostnad. Enkel att implementera.

Svagheter: Lång RTO (ofta 12–24 timmar). RPO begränsas av backup-frekvensen. Kräver att infrastruktur kan provisioneras snabbt – har du testat det?

Opsios erfarenhet: Backup & restore fungerar för icke-kritiska system, men vi ser regelbundet att organisationer underskattar tiden det tar att starta en hel miljö från grunden. Testa alltid en fullständig restore – inte bara att backup-filerna finns.

Pilot light

En minimal version av kärninfrastrukturen körs kontinuerligt i DR-regionen. Databaser replikeras, men applikationsservrar och frontend är avstängda. Vid failover skalas miljön upp.

Styrkor: Snabbare än backup & restore. Databasreplikering ger lägre RPO.

Svagheter: Kräver automatiserad uppskalning som faktiskt fungerar under stress. Konfigurationsavvikelser mellan produktion och pilot light är vanliga.

Warm standby

En nedskalad men fullt funktionell kopia av produktionsmiljön körs i DR-regionen. All data replikeras kontinuerligt. Vid failover skalas miljön upp till full kapacitet.

Styrkor: RTO i storleksordningen minuter till en timme. Kontinuerlig replikering ger RPO nära noll.

Svagheter: Betydligt högre löpande kostnad. Kräver disciplinerad konfigurationshantering – varje ändring i produktion måste speglas.

Multi-site active/active

Fullständig drift i två eller fler regioner samtidigt. Trafik fördelas via Route 53 eller Global Accelerator. Om en region faller bort absorberar övriga trafiken.

Styrkor: Nästintill noll RTO och RPO. Ingen failover-process – systemet är redan aktivt överallt.

Svagheter: Högst kostnad. Komplex datahantering med eventuell konsistens. Kräver applikationsarkitektur som stödjer multi-region.

AWS-tjänster för disaster recovery

AWS erbjuder ett brett ekosystem av tjänster som stödjer DR. Här är de mest relevanta för svenska organisationer:

AWS Elastic Disaster Recovery (DRS)

Tidigare CloudEndure Disaster Recovery. DRS replikerar servrar kontinuerligt till en staging-zon i din DR-region. Vid failover startas instanserna automatiskt. Tjänsten stödjer både EC2-baserade arbetsbelastningar och on-premises-servrar som migreras till AWS.

Praktiskt tips: DRS är kraftfullt men kräver nätverkskonfiguration som fungerar i båda riktningarna. Opsios NOC har sett fall där Security Groups i DR-regionen blockerade trafik som produktionsregionen tillät – något som bara upptäcks vid test.

AWS Backup

Centraliserad backup-tjänst som stödjer EBS, RDS, DynamoDB, EFS, S3 och fler. Stödjer cross-region och cross-account backup med policybaserad styrning.

Amazon S3 Cross-Region Replication

Automatisk replikering av S3-objekt till en sekundär region. Kritiskt för data som lagras i S3 – vilket i praktiken innebär de flesta moderna AWS-arkitekturer.

Amazon Route 53

DNS-baserad trafikstyrning med hälsokontroller. Möjliggör automatisk failover från primär till sekundär region baserat på endpoint-hälsa. Fundamentalt för alla DR-strategier utom backup & restore.

AWS CloudFormation / Terraform

Infrastructure as Code (IaC) är inte en DR-tjänst i sig, men den är förutsättningen för reproducerbar infrastruktur. Utan IaC blir varje DR-test en manuell process som tar dagar istället för minuter.

Managerad DevOps

NIS2, GDPR och svenska regulatoriska krav

Sedan NIS2-direktivet trädde i kraft ställs explicita krav på väsentliga och viktiga entiteter att upprätthålla driftkontinuitet och ha dokumenterade återställningsplaner. För svenska organisationer innebär det:

• Dokumenterad DR-plan som täcker identifierade kritiska tjänster
• Regelbunden testning med dokumenterade resultat
• Incidentrapportering till MSB inom 24 timmar vid betydande incident
• Ledningsansvar – styrelsen kan hållas personligt ansvarig för bristande cybersäkerhetsåtgärder

GDPR adderar ytterligare krav. Artikel 32 kräver "förmåga att återställa tillgänglighet och åtkomst till personuppgifter i rimlig tid vid en fysisk eller teknisk incident." En DR-plan som inte täcker personuppgifter är en GDPR-brist.

Regionval spelar roll: Om din DR-region ligger utanför EU/EES aktiveras Schrems II-problematik och krav på tilläggsåtgärder för dataöverföring. Håll dig inom EU – eu-west-1 (Irland) eller eu-central-1 (Frankfurt) är naturliga sekundära regioner till eu-north-1 (Stockholm).

Molnsäkerhet

Vanliga misstag – vad Opsios SOC/NOC ser i praktiken

Planen finns men har aldrig testats

Det absolut vanligaste problemet. En vackert formaterad DR-plan i Confluence som ingen har validerat sedan den skrevs för 18 månader sedan. Under tiden har infrastrukturen förändrats, nya mikrotjänster tillkommit, och IAM-roller modifierats. Vid en skarp incident tar det längre tid att felsöka den inaktuella planen än att improvisera.

Konfigurationsavvikelser mellan regioner

Produktion utvecklas organiskt – en ny Security Group här, en ändrad environment-variabel där. DR-regionen speglar inte dessa ändringar. Resultatet: failover startar instanserna men applikationen fungerar inte. IaC och automatiserade drift-pipelines är enda sättet att förhindra detta.

Underskattat nätverksberoende

Applikationen failar till DR-regionen, men tredjepartstjänster, DNS-cacher och VPN-tunnlar pekar fortfarande mot den primära regionen. Opsios rekommendation: kartlägg alla externa beroenden och inkludera dem i DR-testprotokollet.

FinOps-blindhet i DR-regionen

En warm standby som dimensionerades för ett år sedan men aldrig optimerades. Instanstyper som inte längre matchar produktion. Reserverade instanser som löpt ut och ersatts av on-demand-priser. DR-regionen förtjänar samma FinOps-disciplin som produktion.

Cloud FinOps

Steg-för-steg: bygg din AWS DR-plan

1. Affärsanalys – Identifiera kritiska processer, kvantifiera nedtidskostnad, definiera RTO/RPO per system

2. Arkitekturval – Välj DR-strategi per systemkategori baserat på RTO/RPO och budget

3. Regionval – Primär i eu-north-1, sekundär inom EU. Validera GDPR-efterlevnad

4. Implementera IaC – All infrastruktur i Terraform eller CloudFormation. Ingen manuell konfiguration

5. Sätt upp replikering – DRS för compute, S3 CRR för objekt, RDS cross-region read replicas för databaser

6. Dokumentera runbooks – Steg-för-steg-instruktioner för failover och failback, inklusive roller och eskaleringsvägar

7. Testa kvartalsvis – Kör fullständig failover till DR-regionen. Dokumentera resultat. Åtgärda avvikelser

8. Integrera i CI/CD – Varje deploy till produktion ska automatiskt uppdatera DR-regionen

9. Granska halvårsvis – Matcha planen mot förändrad infrastruktur, nya system och uppdaterade affärskrav

Molnmigrering

Så hjälper Opsio med AWS disaster recovery

Opsios SOC/NOC i Karlstad och Bangalore övervakar kunders DR-beredskap dygnet runt. Vi erbjuder inte bara implementering utan kontinuerlig validering: automatiserade DR-tester, konfigurationskontroller mellan regioner och kvartalsvis rapportering till ledningsgruppen. Vårt perspektiv som managerad tjänsteleverantör (MSP) innebär att vi ser mönster över hundratals AWS-konton – och kan identifiera risker som en enskild organisation missar.

Managerade molntjänster

Vanliga frågor

Vad är skillnaden mellan RTO och RPO?

Recovery Time Objective (RTO) anger hur lång nedtid verksamheten tolererar. Recovery Point Objective (RPO) anger hur mycket data du har råd att förlora, mätt i tid. Ett RPO på 1 timme innebär att du accepterar att förlora maximalt en timmes data. Dessa två värden styr vilken DR-strategi – och vilken budget – som krävs.

Räcker det med backup för disaster recovery?

Nej. Backup är en del av DR, men inte hela lösningen. En backup i samma region skyddar inte mot regionala avbrott. Dessutom saknar en ren backup-strategi orkestrering – vem startar vad, i vilken ordning, och hur verifieras att systemet fungerar? En DR-plan inkluderar backup, men adderar failover-mekanismer, testrutiner och dokumenterade ansvarskedjor.

Vilken AWS-region ska jag använda för DR i Sverige?

Primär drift i eu-north-1 (Stockholm) är naturligt för svenska företag. För DR behöver du en sekundär region – eu-west-1 (Irland) eller eu-central-1 (Frankfurt) är vanliga val inom EU. Kontrollera att din sekundära region uppfyller GDPR-kraven för dataöverföring och att latensen är acceptabel för dina RTO-mål.

Hur ofta ska vi testa vår DR-plan?

Minst kvartalsvis för verksamhetskritiska system. Opsios SOC ser regelbundet att organisationer som testar årligen upptäcker konfigurationsavvikelser som gjort planen oanvändbar. Automatiserade tester via AWS Elastic Disaster Recovery kan köras oftare utan att störa produktion. NIS2 kräver dokumenterad testning – utan loggar har du inget att visa tillsynsmyndigheten.

Vad kostar AWS disaster recovery?

Det varierar enormt beroende på strategi. En pilot light-uppsättning kan kosta några tusen kronor i månaden, medan en multi-site active/active-lösning lätt når sexsiffriga belopp. Nyckeln är att matcha DR-kostnaden mot affärskostnaden för nedtid. Om en timmes avbrott kostar 500 000 SEK i förlorad intäkt är en warm standby för 15 000 SEK/månad en självklar investering.