Anatomi av ett SLA som faktiskt fungerar

Ett SLA är ett juridiskt bindande avtal, men alltför ofta ser vi dokument som lästs av jurister men aldrig av driftteamet som ska leva med dem. Ett effektivt SLA har sex kärnkomponenter:

1. Tjänstedefinition med mätbara KPI:er

Varje tjänst som ingår måste definieras med kvantifierbara mål. "Vi övervakar era servrar" är ingen tjänstedefinition. Jämför med:

> "Leverantören övervakar kundens produktionsmiljö i AWS eu-north-1 (Stockholm) med 60-sekunders intervall. Vid detekterad anomali initieras incidentrespons inom 5 minuter (P1) respektive 30 minuter (P2)."

De KPI:er vi rekommenderar som minimum:

• Tillgänglighet (availability): 99,9 % per kalendermånad, mätt från extern syntetisk monitorering — inte leverantörens egna mätpunkter
• MTTR (Mean Time to Resolve): separata mål per prioritetsnivå (P1: ≤1 timme, P2: ≤4 timmar, P3: ≤24 timmar)
• RPO/RTO (Recovery Point/Time Objective): avgörande för backup och katastrofåterställning
• Svarstider för support: skillnad mellan respons och resolution — leverantörer som bara lovar svarstid utan lösningstid gömmer sig bakom vaga formuleringar

2. Eskaleringsrutiner

Ett SLA utan eskaleringsmatris är som en brandkår utan telefonnummer. Definiera vem som kontaktas, inom vilken tidsram, och vad som händer om leverantören inte eskalerar i tid.

3. Vitesklausuler och service credits

Om leverantören inte uppfyller SLA:et — vad händer då? Vi ser alltför ofta avtal där enda konsekvensen är "gemensam genomgång av händelsen". Det skapar inga incitament. Kräv service credits (typiskt 5–25 % av månadskostnaden per SLA-brott) eller vitesklausuler med ekonomisk verkan.

4. Säkerhetskrav och compliance

Med NIS2-direktivets implementering i svensk lagstiftning är säkerhetskraven inte längre förhandlingsbara. Ert SLA måste adressera:

• Incidentrapportering: NIS2 kräver initial notifiering inom 24 timmar vid väsentliga incidenter. Er leverantör måste ha rutiner som stödjer detta.
• Certifieringar: ISO/IEC 27001 är branschstandard. SOC 2 Type II ger ytterligare verifiering av kontroller över tid.
• Databehandling: GDPR-konforme biträdesavtal (DPA) med specificerad datalagring inom EU/EES, gärna med primär lagring i Sverige (exempelvis Azure Sweden Central eller AWS eu-north-1).

5. Ändringshantering och kommunikation

Hur hanteras planerade ändringar? Vem godkänner driftsättningar i produktion? Vilka underhållsfönster gäller? Dessa frågor avgör om er outsourcingrelation fungerar i vardagen.

6. Exit- och utfasningsklausuler

Det mest underskattade avsnittet i ett SLA. När avtalet upphör — frivilligt eller genom uppsägning — behöver ni:

• Specificerad överlämningsperiod (90–180 dagar)
• Dokumentationskrav under hela avtalsperioden (inte bara vid avslut)
• Äganderätt till data, konfigurationer och IaC-kod
• Samarbetsskyldighet vid migration till ny leverantör

Uptime-procent: vad siffrorna faktiskt betyder

"99,9 % uptime" låter tryggt. Men tabellen nedan visar vad olika tillgänglighetsnivåer innebär i praktisk drifttid:

Skillnaden mellan 99,9 % och 99,99 % ser liten ut på pappret men innebär en tiodubbling av kravet på leverantörens redundans, övervakning och incidentrespons — och en motsvarande kostnadsökning.

Opsios perspektiv: Vi rekommenderar 99,9 % som basnivå för produktion och 99,95 % för affärskritiska arbetsbelastningar. 99,99 % kräver multi-region-arkitektur med aktiv-aktiv failover, något vi konfigurerar genom managerade molntjänster men som bör analyseras mot den faktiska affärsnyttan innan ni skriver det i avtalet.

Prismodeller och FinOps-perspektivet

SLA-nivå och kostnad hänger ihop, men relationen är inte linjär. Vi ser tre dominerande prismodeller:

Fast månadspris

Förutsägbart, men riskerar att bli en "svart låda" där ni betalar för kapacitet ni inte använder. Kräv transparens i form av månatliga kostnadsrapporter och rätt till revision.

Rörligt pris (pay-as-you-go + management fee)

Speglar faktisk förbrukning men kräver att ni har insyn i molnkostnader. Här blir Cloud FinOps avgörande — utan aktiv kostnadsoptimering tenderar molnkostnader att växa 20–30 % snabbare än verksamheten.

Hybridmodell

Fast basavgift för grundläggande drift plus rörlig del för molnförbrukning. Ofta den bästa balansen mellan förutsägbarhet och transparens.

Oavsett modell: ert SLA bör specificera hur kostnadsrapportering sker, vilka optimeringsåtgärder leverantören förväntas genomföra, och hur besparingar fördelas.

NIS2 och regulatoriska krav i SLA:et

NIS2-direktivet har förändrat spelplanen för IT-outsourcing i Sverige. Integritetsskyddsmyndigheten (IMY) och Myndigheten för samhällsskydd och beredskap (MSB) bevakar efterlevnad, och ansvaret faller alltid tillbaka på den upphandlande organisationen — inte på leverantören.

Det innebär att ert SLA måste:

• Specificera leverantörens rapporteringsskyldighet vid säkerhetsincidenter, inklusive tidsramar som möjliggör er egen rapportering till tillsynsmyndigheten
• Kräva dokumenterad åtkomstkontroll (vem har tillgång till era system, från vilka platser, med vilka behörigheter)
• Inkludera rätt till säkerhetsrevisioner, antingen genom tredjepartsaudit eller genom att leverantören delar SOC 2-rapporter regelbundet
• Adressera leverantörskedjans djup — om er leverantör i sin tur anlitar underleverantörer måste detta framgå och samma säkerhetskrav gälla nedåt i kedjan

GDPR-aspekten kvarstår parallellt: biträdesavtal (DPA) ska tydligt ange ändamålet med behandlingen, kategorier av personuppgifter, lagring inom EU/EES, och rutiner för radering vid avtalets upphörande.

Så utvärderar du en outsourcingleverantörs SLA

Innan ni signerar, ställ dessa frågor — och acceptera bara skriftliga svar:

1. Var finns er SOC/NOC, och hur bemannas den? En SOC som stänger kl. 17:00 svensk tid ger er ingen trygghet under kvällar och helger. Opsio löser detta med personal i både Karlstad och Bangalore, vilket ger faktisk 24/7-bevakning utan att förlita sig på joursamtal.

2. Hur mäter ni uptime — från er sida eller kundens? Extern syntetisk monitorering är den enda objektiva metoden.

3. Visa mig er incidenthistorik de senaste 12 månaderna. En leverantör som inte kan (eller vill) dela detta har något att dölja.

4. Hur hanterar ni kapacitetsplanering? Proaktiv skalning baserad på trender är vad som skiljer en managerad tjänsteleverantör från en reaktiv helpdesk.

5. Vad händer vid en tvist om SLA-mätning? Avtala om en oberoende mätmetod eller tredjepartsverktyg som båda parter litar på.

Migration och onboarding: SLA från dag ett

Många företag gör misstaget att behandla migrationsfasen som separat från det löpande SLA:et. Men det är just under molnmigrering som riskerna är som störst.

Vi rekommenderar ett dedikerat migrations-SLA som adresserar:

• Rollback-plan: Om migrationen misslyckas, hur snabbt kan ni återgå till befintlig miljö?
• Parallellkörning: Under vilken period körs gamla och nya miljön samtidigt?
• Acceptanskriterier: Vilka tester måste passera innan den nya miljön anses produktionsklar?
• Kunskapsöverföring: Hur dokumenteras den nya miljön, och vilken utbildning ingår för er interna personal?

Först när migrationen är godkänd enligt överenskomna kriterier bör det löpande drifts-SLA:et träda i kraft.

DevOps och automatisering i SLA-kontexten

Moderna outsourcingrelationer bygger på managerad DevOps — och det bör speglas i SLA:et. Specifikt:

• CI/CD-pipeline-tillgänglighet: Om leverantören ansvarar för byggpipelines bör deras tillgänglighet SLA-beläggas
• Infrastructure as Code (IaC): All infrastruktur ska vara versionshanterad i Terraform, Pulumi eller likvärdigt. Detta är ingen bonus — det är en förutsättning för reproducerbarhet och exit
• Deployment-frekvens och ledtider: Om SRE-ansvar ingår kan deployment-frekvens och change failure rate vara relevanta SLA-mål

Vanliga frågor

Vad bör ett SLA för IT-outsourcing innehålla som minimum?

Minst: definierade tjänster med mätbara KPI:er (uptime-procent, MTTR, RPO/RTO), eskaleringsrutiner med tidsramar, vitesklausuler vid avtalsbrott, säkerhetskrav inklusive certifieringar som ISO 27001, datahantering enligt GDPR samt tydliga villkor för uppsägning och utfasning.

Hur påverkar NIS2 våra outsourcingavtal?

NIS2-direktivet kräver att organisationer i väsentliga och viktiga sektorer ansvarar för hela leverantörskedjans säkerhet. Det innebär att ert SLA måste innehålla krav på incidentrapportering inom 24 timmar, regelbundna säkerhetsrevisioner och dokumenterad åtkomstkontroll. Ansvaret kan inte delegeras — bara verkställandet.

Vad är skillnaden mellan uptime-SLA och tillgänglighets-SLA?

Uptime mäter om infrastrukturen är tekniskt igång. Tillgänglighet mäter om tjänsten faktiskt fungerar för slutanvändaren. Ni vill ha det senare. En server kan ha 99,99 % uptime men om applikationen svarar med 30 sekunders latens är tjänsten i praktiken otillgänglig.

Hur undviker vi inlåsningseffekter vid IT-outsourcing?

Kräv exitklausuler med specificerade överlämningsperioder (normalt 90–180 dagar), dokumentationskrav under hela avtalsperioden, och äganderätt till era data och konfigurationer. Använd öppna standarder och IaC (Terraform, Ansible) för att hålla infrastrukturen portabel.

Vad kostar IT-outsourcing med SLA för ett medelstort svenskt företag?

Prisspannet varierar kraftigt beroende på omfattning. En grundläggande managerad molntjänst med 24/7 övervakning och SLA på 99,9 % uptime ligger typiskt mellan 25 000 och 150 000 SEK per månad för 50–200 användare. Komplexare uppsättningar med dedikerad SOC-kapacitet kostar mer, men jämför alltid med kostnaden för en intern driftorganisation.