Intern SOC kontra SOC som tjänst: en realistisk jämförelse

Låt oss vara raka: ett eget SOC är i teorin överlägset, eftersom du har full kontroll. I praktiken har de flesta organisationer varken budget eller tillgång till kompetens för att bemanna det.

Kostnadssiffran för intern bemanning baseras på att en SOC-analytiker i Sverige har en genomsnittlig årslön kring 650 000–750 000 SEK enligt SCB:s lönestatistik, och att du behöver minst åtta personer för att täcka tre skift inklusive semester och sjukfrånvaro. I verkligheten landar de flesta på tio till tolv.

När intern SOC ändå är rätt val

För organisationer med strikta regulatoriska krav (försvar, myndigheter med säkerhetsskyddslagstiftning) eller mycket specifika hotbilder kan en intern SOC vara nödvändig. Även då ser vi ofta hybridmodeller där en extern leverantör hanterar nivå 1-triering medan det interna teamet fokuserar på avancerad analys och incidentledning.

Hotbilden mot svenska organisationer — varför dygnet-runt-övervakning inte är valfritt

MSB:s årsrapporter har konsekvent visat en kraftig ökning av cyberincidenter riktade mot svenska organisationer. Säkerhetspolisen har pekat ut statligt understödda cyberangrepp mot svensk infrastruktur som ett växande säkerhetshot. Det här är inte abstrakt — det påverkar tillverkningsföretag i Värmland, SaaS-bolag i Stockholm och kommuner i hela landet.

Tre hotmönster vi ser från Opsios SOC

1. Ransomware som affärsmodell. Professionella ransomware-grupper opererar med kundtjänst, affiliateprogram och SLA:er. De riktar sig mot svenska företag för att vi har betalningsvilja och ofta bristfällig segmentering av OT-miljöer.

2. Supply chain-angrepp. Under 2025 hanterade vi flera incidenter där angriparen tog sig in via en komprometterad leverantörs VPN-tunnel. Den som inte övervakar trafik från betrodda partners missar dessa helt.

3. Identitetsbaserade attacker. Stulna eller phishade credentials som används för lateral förflyttning i molnmiljöer — särskilt Microsoft 365 och Azure AD. Här räcker det inte med perimeterförsvar; du behöver beteendeanalys i realtid.

Enligt IBM:s Cost of a Data Breach-rapport tar det globalt i genomsnitt över 200 dagar att identifiera ett dataintrång utan aktiv övervakning. Med en dygnet-runt-bemannad SOC kan den tiden minskas till timmar. Det är skillnaden mellan en kontrollerad incident och en existentiell kris.

NIS2-direktivet och vad det kräver av din säkerhetsövervakning

NIS2 trädde i kraft i EU under 2024 och den svenska implementeringen skärper kraven på en bred grupp organisationer — inte bara kritisk infrastruktur utan även deras leverantörskedjor.

De krav som direkt berör säkerhetsövervakning:

• Incidentrapportering inom 24 timmar efter att en betydande incident upptäcks (tidig varning till MSB/CERT-SE)
• Fullständig incidentrapport inom 72 timmar med analys av orsak och påverkan
• Kontinuerlig riskhantering inklusive tekniska åtgärder för hotdetektering

I praktiken innebär 24-timmarskravet att du måste ha förmåga att upptäcka incidenter i realtid. Om ingen tittar på larmen en fredagskväll och attacken pågår hela helgen har du redan brutit mot rapporteringstidslinjerna innan du ens vet att något hänt.

En SOC-tjänst löser den operativa delen, men det är viktigt att förstå att det regulatoriska ansvaret alltid kvarstår hos organisationen. Din leverantör ska kunna visa exakt hur rapporteringsprocessen fungerar — från larmtriering till MSB-rapport.

Molnsäkerhet

Så väljer du rätt SOC-leverantör

Marknaden för säkerhetsövervakning växer snabbt och det finns stora kvalitetsskillnader. Här är de frågor vi rekommenderar att du ställer vid utvärdering:

Teknisk kapacitet

• Vilken SIEM-plattform används? Fråga om plattformen stödjer dina loggsources utan dyra specialintegrationer. Moderna SOC-plattformar bör stödja molnnatativa loggar (AWS CloudTrail, Azure Monitor, GCP Cloud Logging) out of the box.
• Erbjuds MDR (Managed Detection and Response)? Ren SIEM-övervakning utan endpoint-respons är otillräckligt. MDR innebär att leverantörens analytiker kan vidta åtgärder direkt på dina endpoints.
• Var lagras data? För svenska organisationer bör loggdata lagras inom EU, helst i Sverige. Fråga om eu-north-1 (Stockholm) eller Sweden Central används.

Operativ mognad

• Hur ser skiftbemanningen ut? "Follow-the-sun" med analytiker i flera tidszoner (som Opsios modell med Karlstad och Bangalore) ger bättre täckning än ett litet team som försöker bemanna nätter med trötta analytiker.
• Vilka SLA:er gäller? Be om konkreta siffror: tid till initial triering, tid till eskalering, tid till aktiv respons.
• Hur hanteras false positives? En SOC som skickar varje larm vidare till dig skapar mer problem än den löser. Fråga om andelen larm som filtreras bort innan de når dig.

Regelverk och certifieringar

• Leverantören bör ha SOC 2 Type II eller ISO/IEC 27001-certifiering
• Dokumenterade processer för NIS2-incidentrapportering
• Tydliga databehandlingsavtal (GDPR-kompatibla)

Managerade molntjänster

Vad ingår i Opsios SOC-tjänst

Opsio driftar SOC med team i Karlstad och Bangalore — en modell som ger äkta dygnet-runt-bemanning utan att förlita sig på nattskift. När det är natt i Sverige är det arbetsdag i Indien, och vice versa. Analytikerna arbetar mot samma plattform, samma larmqueue och samma kundkontext.

Tjänsten inkluderar:

• SIEM-övervakning med stöd för AWS, Azure och hybridmiljöer
• MDR med aktiv respons på endpoints via EDR-integration
• Threat intelligence baserad på observationer hos hela Opsios kundbas
• Incidenthantering med dokumenterade playbooks för NIS2-rapportering
• Månatliga säkerhetsrapporter med trendanalys och rekommendationer
• Dedikerad säkerhetsrådgivare för strategisk dialog

Vi ser oss inte som en larmcentral utan som en förlängning av ditt IT-team. Det betyder att vi tar emot larm, analyserar dem, vidtar åtgärder och rapporterar tillbaka — inte att vi väcker dig klockan tre på natten med ett ofiltrerat larm.

Molnmigrering

Kompetensbristen — elefanten i rummet

ISC2:s Cybersecurity Workforce Study har konsekvent visat ett globalt underskott på miljontals cybersäkerhetsspecialister. I Norden är problemet särskilt påtagligt — vi kombinerar hög digitaliseringsgrad med en relativt liten arbetsmarknad.

Det här märks konkret: rekryteringar av SOC-analytiker tar ofta fyra till sex månader, och när du väl har hittat rätt person erbjuder konkurrenten högre lön innan prövotiden är slut. Att bygga ett stabilt internt SOC-team kräver inte bara budget utan också tålamod och en arbetsgivarvarumärkesstrategi som de flesta organisationer inte har.

SOC som tjänst kringgår problemet. Leverantören har redan löst rekryteringen, utbildningen och retention — och sprider kostnaden över hela kundbasen.

Managerad DevOps

Vanliga frågor

Vad är skillnaden mellan SOC som tjänst och en intern SOC?

En intern SOC bemannas av egna anställda och kräver investeringar i personal, SIEM-licenser och infrastruktur. SOC som tjänst innebär att en extern leverantör tar ansvar för övervakning och incidenthantering, med delade resurser och specialister som ser hotbilder hos hundratals kunder. Du får samma dygnet-runt-kapacitet till en bråkdel av kostnaden.

Uppfyller SOC som tjänst kraven i NIS2-direktivet?

NIS2 kräver bland annat incidentrapportering inom 24 timmar och kontinuerlig riskhantering. En kvalificerad SOC-leverantör kan hjälpa dig uppfylla dessa krav genom dygnet-runt-övervakning, dokumenterade processer och stöd vid rapportering till MSB. Ansvaret vilar dock alltid på den egna organisationen.

Hur lång tid tar det att komma igång med SOC som tjänst?

Onboarding tar typiskt 2–6 veckor beroende på miljöns komplexitet. De första stegen är inventering av loggsources, integration med SIEM-plattformen och framtagning av larmregler anpassade till din hotbild. Under Opsios SOC-onboarding kör vi parallellt med eventuell befintlig övervakning tills vi har full täckning.

Vilken data lämnar Sverige vid SOC som tjänst?

Det beror helt på leverantörens arkitektur. Opsio driftar sin SIEM-plattform i eu-north-1 (Stockholm) och Sweden Central, och loggdata lagras inom EU. Fråga alltid din leverantör om dataresidency, subprocessorer och hur GDPR-kraven hanteras i praktiken.

Vad kostar SOC som tjänst för ett medelstort svenskt företag?

Priset varierar med antal loggsources, endpoints och komplexitet, men för en organisation med 200–500 anställda ligger kostnaden typiskt mellan 40 000 och 120 000 SEK per månad. Det kan jämföras med 6+ MSEK per år bara i löner för ett internt SOC-team — innan licenser och infrastruktur.