RPO och RTO: De enda två siffrorna som verkligen spelar roll

Innan ni utvärderar BaaS-leverantörer behöver ni definiera två parametrar:

Ett handelsföretag som processar ordrar kontinuerligt behöver RPO på minuter. En intern kunskapsdatabas som uppdateras veckovis klarar sig med daglig RPO. Kostnaden ökar exponentiellt ju lägre RPO och RTO ni kräver, så det handlar om att matcha skyddsnivån mot verksamhetens faktiska behov – inte att köpa maximal trygghet för alla system.

Vår rekommendation: klassificera era system i tre till fyra nivåer (affärskritiskt, viktigt, standard, arkiv) och tilldela RPO/RTO per nivå. Det ger en budget som är förankrad i verkligheten.

Hur modern BaaS fungerar under huven

Inkrementell och deduplicerad kopiering

Moderna BaaS-lösningar kopierar inte hela datamängden varje gång. Efter en initial fullbackup skickas enbart ändrade block (inkrementell backup). Kombinerat med deduplicering – där identiska datablock bara lagras en gång – reduceras både bandbreddsanvändning och lagringskostnad dramatiskt.

Kryptering i varje steg

Data krypteras vid källan innan den lämnar ert nätverk (in-transit, typiskt TLS 1.3), och förblir krypterad på lagringen (at-rest, typiskt AES-256). Nyckelhanterings modellen varierar: i bästa fall hanterar ni egna krypteringsnycklar (BYOK/Customer Managed Keys), vilket innebär att inte ens leverantören kan läsa er data.

Immutable backups

Det här är den enskilt viktigaste tekniska funktionen för ransomware-skydd. Immutable backups innebär att en kopia inte kan ändras, krypteras eller raderas under en konfigurerad retentionstid – oavsett vem som försöker, inklusive en administratör med komprometterade credentials. AWS S3 Object Lock och Azure Immutable Blob Storage är exempel på underliggande mekanismer.

Geografisk redundans

Data lagras i minst två fysiskt separerade datacenter. För svenska företag är den naturliga konfigurationen primär lagring i eu-north-1 (Stockholm) eller Azure Sweden Central, med replikering till en annan EU-region. Det ger skydd mot lokala katastrofer utan att bryta mot GDPR:s krav på datalagring inom EU/EES.

Regelkrav: GDPR, NIS2 och varför BaaS inte är valfritt

GDPR (artikel 32)

GDPR kräver att personuppgiftsansvariga vidtar "lämpliga tekniska och organisatoriska åtgärder" för att säkerställa säkerhetsnivån. Artikel 32(1)(c) nämner explicit "förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident." BaaS är det mest direkta sättet att uppfylla det kravet.

Tänk också på rätten till radering (artikel 17). Er BaaS-lösning måste kunna identifiera och radera specifika personers data ur backuper – eller ha en dokumenterad process för hur detta hanteras vid retentionsperiodens slut. Det här är en teknisk detalj som många leverantörer inte klarar elegant.

NIS2-direktivet

NIS2, som trädde i kraft i EU under 2024 och nu implementeras i svensk lagstiftning, utökar kretsen av organisationer som omfattas av cybersäkerhetskrav. Direktivet ställer krav på incidenthantering, riskhantering och affärskontinuitet – inklusive fungerande backup och återställningsplaner. Företag inom sektorer som energi, transport, hälsa, digital infrastruktur och offentlig förvaltning omfattas direkt.

Integritetsskyddsmyndigheten (IMY)

IMY har i flera tillsynsbeslut betonat vikten av tekniska skyddsåtgärder för personuppgifter. Att inte ha fungerande backup har i praktiken bedömts som en brist i det tekniska skyddet. Molnsäkerhet och regelefterlevnad

BaaS kontra egendrift: en ärlig jämförelse

Egendrift kan vara motiverat om ni har extremt känsliga arbetsbelastningar med regulatoriska krav som förhindrar extern lagring. I nästan alla andra fall är BaaS överlägset både ekonomiskt och operativt. Managerade molntjänster

De fem vanligaste misstagen vi ser från Opsios NOC

1. Ingen testar återställningen. Backup utan verifierade återställningstester är en förhoppning, inte ett skydd. Vi rekommenderar kvartalsvisa fullständiga återställningstester och månatliga stickprov.

2. Samma konto för produktion och backup. Om en angripare komprometterar ert AWS-rootkonto och backuperna ligger i samma konto, förlorar ni allt. Kräv separata konton eller prenumerationer – helst med annan identitetsleverantör.

3. RPO/RTO som aldrig definierats. Utan dokumenterade krav vet ni inte om backupen faktiskt skyddar det den ska. Och ni kan inte heller hålla leverantören ansvarig.

4. Backupen täcker bara servrar – inte SaaS. Microsoft 365, Google Workspace, Salesforce – data i SaaS-tjänster skyddas inte automatiskt. Microsofts egna retentionspolicyer ersätter inte backup. Kräv SaaS-backup som del av BaaS-avtalet.

5. Krypteringsnycklar hos leverantören utan dokumentation. Om leverantören hanterar krypteringsnycklarna behöver ni förstå exakt under vilka omständigheter de kan komma åt era data. Dokumentera det i biträdesavtalet.

Hur ni väljer rätt BaaS-leverantör

Ställ dessa frågor i upphandlingen:

• Var lagras data fysiskt? Kräv svar på specifik region, inte bara "EU."
• Erbjuds immutable backups? Om inte – gå vidare till nästa leverantör.
• Hur hanteras krypteringsnycklar? BYOK bör vara ett alternativ.
• Ingår regelbundna återställningstester? Hur ofta, och får ni rapport?
• Finns biträdesavtal enligt GDPR? Leverantören agerar personuppgiftsbiträde och måste ha fullständigt avtal.
• Vilken SLA gäller för RTO? Med vilka konsekvenser vid brott?
• Hur skalas prissättningen? Per GB, per server, per användare? Finns det dolda kostnader för egress (utdata)?

Molnmigrering

BaaS som del av en bredare strategi

Backup är en fundamental byggsten, men den fungerar inte isolerat. En mogen IT-organisation kombinerar BaaS med:

• Disaster Recovery as a Service (DRaaS) för fullständig failover av kritiska system till en annan region
• FinOps-praxis för att optimera lagringskostnader – data som inte behöver snabb åtkomst kan lagras i arkivklasser (S3 Glacier, Azure Archive) Cloud FinOps
• SOC/NOC-övervakning 24/7 som fångar incidenter innan de kräver återställning Managerad DevOps och drift
• IaC (Infrastructure as Code) via Terraform eller Pulumi, så att infrastrukturen själv kan återskapas från kod – inte bara data

Enligt Flexeras State of the Cloud har kostnadshantering konsekvent rankats som den största utmaningen vid molnadoption. BaaS utan kostnadskontroll riskerar att bli en budget som skenar – särskilt om retentionspolicyer inte trimmats efter faktiskt behov.

Praktisk checklista för BaaS-implementation

1. Inventera och klassificera – vilka system och data finns, och i vilken prioritetsordning?

2. Definiera RPO/RTO per klass – förankra med verksamheten, inte bara IT.

3. Välj leverantör – använd frågorna ovan som utvärderingsramverk.

4. Konfigurera och verifiera – första fullbackup + verifierad återställning innan driftsättning.

5. Automatisera testning – schemalägg kvartalsvisa tester med dokumenterade resultat.

6. Granska kvartalsvis – datavolymer, kostnader, nya system som tillkommit.

7. Uppdatera vid förändringar – ny SaaS-tjänst, ny applikation, förändrat regelverk.

Vanliga frågor

Vad är skillnaden mellan backup som tjänst och traditionell backup?

Traditionell backup kräver egen hårdvara, licenser och personal för drift. BaaS är en managerad molntjänst där leverantören ansvarar för infrastruktur, övervakning, testning och uppdateringar. Ni betalar en förutsägbar månadsavgift istället för stora kapitalinvesteringar, och får automatiserad säkerhetskopiering med geografisk redundans utan att hantera tekniken själva.

Hur snabbt kan vi återställa data med BaaS?

Det beror på avtalad RTO (Recovery Time Objective). En typisk BaaS-tjänst erbjuder RTO från minuter för enskilda filer till några timmar för fullständig serveråterställning. Avgörande faktorer är datavolym, nätverkskapacitet och om leverantören erbjuder lokal cache. Definiera alltid RTO i SLA:t innan ni signerar.

Uppfyller BaaS GDPR-kraven på dataskydd?

BaaS kan uppfylla GDPR – men det beror på leverantörens implementation. Kräv att data lagras inom EU/EES, att kryptering används vid vila och transit, att leverantören agerar personuppgiftsbiträde med fullständigt biträdesavtal, samt att ni kan hantera raderingsförfrågningar i backuper.

Vad kostar backup som tjänst för ett medelstort företag?

Prismodellen baseras vanligtvis på datavolym, antal skyddade system och avtalad RTO/RPO. Ett medelstort företag med 5–20 TB kan förvänta sig kostnader som är väsentligt lägre än motsvarande egendrift – särskilt när man räknar in personal, hårdvara, lokaler och testning. Begär alltid en totalkalkyljämförelse.

Skyddar BaaS mot ransomware?

Ja, förutsatt att lösningen inkluderar immutable backups – kopior som inte kan ändras eller raderas under en definierad retentionstid. Utan immutability kan ransomware kryptera även backuperna. Kräv också logiskt separerade kopior och regelbundna återställningstester som bevisar att data faktiskt går att återskapa.