Vad innebär outsourcad IT-säkerhet i praktiken?

Begreppet "outsourca IT-säkerhet" spänner från att köpa en enskild tjänst till att lägga ut hela säkerhetsfunktionen. I praktiken handlar det om tre nivåer:

Nivå 1: Enskilda tjänster

Ni köper specifika funktioner som sårbarhetsskanning, penetrationstester eller e-postfiltrering. Interna resurser hanterar incidenter och strategi. Passar organisationer med en befintlig säkerhetsfunktion som behöver komplettering.

Nivå 2: Managed Security Services (MSS)

En extern partner driftar ert SOC, hanterar logganalys, utför hotjakt och svarar på incidenter enligt definierade SLA:er. Ni behåller den strategiska styrningen men slipper rekrytera skiftbemannat operativt team. Det här är den modell som växer snabbast bland svenska medelstora företag.

Nivå 3: Fullständigt outsourcad CISO-funktion

Leverantören tillhandahåller även strategisk säkerhetsledning — en virtuell CISO (vCISO) som rapporterar till er ledningsgrupp, ansvarar för riskbedömningar och driver säkerhetsarbetet på policynivå. Relevant för företag som saknar intern säkerhetskompetens på ledningsnivå.

NIS2 och GDPR: Outsourcing förändrar inte ert ansvar

Det här är den punkt där många organisationer gör ett tankemässigt misstag: att outsourca driften betyder inte att ni outsourcar ansvaret.

NIS2-direktivets krav

NIS2 — som trädde i kraft i EU och successivt implementeras i svensk lag — ställer explicita krav på riskhantering i leverantörskedjan. Organisationer som klassas som "väsentliga" eller "viktiga" entiteter ska:

• Genomföra riskbedömningar av sina leverantörer, inklusive säkerhetsleverantörer
• Säkerställa incidentrapportering inom 24 timmar (tidig varning) och 72 timmar (fullständig rapport)
• Kunna dokumentera att leverantören uppfyller direktivets krav

I praktiken innebär det att ert avtal med en säkerhetsleverantör måste specificera rapporteringsansvar, revisionsrättigheter och ansvarsfördelning vid incident.

GDPR och tredjelandsöverföring

Om er säkerhetsleverantör analyserar loggar som innehåller personuppgifter — vilket nästan alltid är fallet — är de personuppgiftsbiträde enligt GDPR. Det kräver ett biträdesavtal (artikel 28) och, om data behandlas utanför EU/EES, kompletterande skyddsåtgärder efter Schrems II.

Opsios perspektiv: Vi driftar SOC från Karlstad (Sverige) och Bangalore (Indien) med tydliga databehandlingsavtal som specificerar vilken data som behandlas var. Molnresurser i eu-north-1 (Stockholm) eller Sweden Central håller kunddata inom svensk jurisdiktion. Molnsäkerhet

Kostnadsanalys: Intern drift kontra outsourcing

Kostnaden för att bygga ett internt 24/7-säkerhetsteam underskattas nästan alltid. Här är en realistisk uppskattning:

Intern SOC — minimiuppställning

• Personalstyrka: Minst 5–6 analytiker för att täcka dygnet runt med semester och sjukfrånvaro, plus teamledare och CISO
• Löner: En erfaren SOC-analytiker i Stockholm kostar 45 000–65 000 SEK/månad inklusive arbetsgivaravgifter. En CISO: 85 000–120 000 SEK/månad
• Verktyg: SIEM-licenser (Splunk, Microsoft Sentinel eller motsvarande), EDR, SOAR, threat intelligence-flöden — räkna med 500 000–2 000 000 SEK per år beroende på volym
• Rekryteringstid: Säkerhetsspecialister är bland de svåraste rollerna att rekrytera. Genomsnittlig tid till anställning: 3–6 månader

Total årskostnad: Ofta 5–10 miljoner SEK för ett medelstort företag, innan ni har hanterat en enda incident.

Outsourcad SOC

En managed SOC-tjänst med 24/7-övervakning, logganalys och incidentrespons kostar typiskt 30 000–150 000 SEK per månad beroende på antal endpoints, loggarvolymer och SLA-nivå. Årskostnad: 360 000–1 800 000 SEK.

Skillnaden är inte bara ekonomisk — den handlar om att outsourcing ger förutsägbarhet. Ni slipper risken att en nyckelrekrytering misslyckas eller att ert team brinner ut.

Så väljer ni rätt leverantör: Checklista

Marknaden för managed security-tjänster är bred och kvaliteten varierar enormt. Här är vad ni bör kräva:

Teknisk kompetens

• Certifieringar: ISO 27001 för leverantörens egen verksamhet. SOC 2 Type II om de hanterar kunddata i sin infrastruktur
• SIEM/SOAR-plattform: Vilken plattform används? Har ni tillgång till dashboards och rådata?
• Molnkompetens: Om ni driftar i AWS, Azure eller GCP behöver leverantören specifik molnsäkerhetskompetens — inte bara traditionell nätverkssäkerhet

Operativ kapacitet

• Faktisk 24/7-bemanning: Be om bevis. Många leverantörer marknadsför "24/7" men förlitar sig på on-call under nätter och helger
• Genomsnittlig responstid: Kräv SLA med definierade tider — exempelvis 15 minuter för kritiska incidenter
• Incidenthanteringsprocess: Dokumenterad, övad och testad. Be om att få se en anonymiserad incidentrapport

Avtalsmässiga krav

• Ansvarsfördelning: Vem gör vad vid en incident? Dokumentera gränssnitten
• Revisionsrätt: Ni ska kunna genomföra (eller låta tredje part genomföra) en granskning av leverantörens säkerhet
• Exit-plan: Hur får ni tillbaka kontroll och data om ni byter leverantör? Definiera övergångsperiod och format på dataexport
• NIS2-rapportering: Vem ansvarar för att rapportera till MSB inom tidsgränserna?

Managerade molntjänster

Hybridmodellen: Varför den fungerar bäst

Vår erfarenhet efter hundratals kunduppdrag är att renodlad full outsourcing sällan är optimalt. Det som fungerar är en hybridmodell:

Internt: Säkerhetsstyrning, riskbedömningar, affärsspecifik hotmodellering, leverantörsuppföljning, intern säkerhetskultur.

Externt: Operativ SOC-drift, logganalys, sårbarhetsskanning, incidentrespons, compliance-rapportering, teknisk rådgivning.

Modellen ger er strategisk kontroll utan att kräva att ni löser dygnet-runt-bemanningen själva. Den interne säkerhetsansvarige (eller vCISO) fokuserar på affärsrisk och styrning, medan den externa partnern levererar operativ kapacitet.

Onboarding: Vad ni kan förvänta er

En seriös leverantör börjar inte med att "plugga in" sitt SIEM. Processen ser typiskt ut så här:

1. Behovsanalys och riskbedömning (vecka 1–2) — Kartläggning av er IT-miljö, affärskritiska system och befintliga säkerhetskontroller

2. Gap-analys (vecka 2–3) — Identifiering av vad som saknas i förhållande till er riskprofil och regulatoriska krav

3. Teknisk implementation (vecka 3–8) — SIEM-integration, loggkällor, detektionsregler, larm-trösklar

4. Tuning-period (vecka 8–12) — Minskning av falska positiva, anpassning av detektionslogik till er miljö

5. Steady-state — Löpande drift med månatliga rapporter, kvartalsvis genomgång och årlig revisjon

Förvänta er att det tar 2–3 månader innan en outsourcad SOC-tjänst levererar fullt värde. Leverantörer som lovar "plug-and-play" på en vecka levererar sannolikt generisk övervakning utan affärskontext.

Molnmigrering

Vanliga misstag vid outsourcing av IT-säkerhet

Misstag 1: Att välja enbart på pris

Den billigaste leverantören saknar ofta kapacitet för genuin incidentrespons. Vid en allvarlig ransomware-attack — när det verkligen gäller — vill ni inte upptäcka att ert "SOC" bestod av ett automatiserat larmsystem utan mänsklig analys.

Misstag 2: Bristfälliga SLA:er

"Vi övervakar dygnet runt" är inte ett SLA. Definiera: Vad räknas som en incident? Vad är responstiden per allvarlighetsgrad? Vad händer om SLA:n bryts? Vilka eskaleringsvägar finns?

Misstag 3: Att outsourca och glömma

Outsourcing kräver aktiv styrning. Ni behöver en intern motpart som granskar rapporter, ifrågasätter avvikelser och driver förbättringar. Utan det tappar ni insyn och kontrollen urholkas gradvis.

Misstag 4: Att ignorera datalokaliseringskrav

Inte alla leverantörer kan garantera att er data stannar inom EU. För organisationer under NIS2 eller med känsliga personuppgifter är det en showstopper att loggar analyseras utanför godkänd jurisdiktion.

Cloud FinOps

Framtidssäkra ert säkerhetsarbete

Hotlandskapet förändras snabbare än någonsin. AI-drivna attacker, ökad reglering och molnmiljöernas komplexitet gör att säkerhetsarbetet aldrig blir "klart". En bra outsourcingpartner utvecklas med hoten — investerar i nya detektionsmetoder, utbildar sina analytiker löpande och anpassar sig till ny reglering.

Flexeras State of the Cloud har konsekvent visat att säkerhet är en av de högst rankade utmaningarna för molnbaserade organisationer. Gartners Magic Quadrant for Managed Security Services ger en strukturerad utvärdering av marknadens aktörer — värd att konsultera som referens, men aldrig som enda beslutsunderlag.

Det som avgör er säkerhetsmognad är inte vilken leverantör ni väljer, utan hur ni styr relationen. Outsourcing är ett verktyg. Styrning är strategin.

Managerad DevOps

Vanliga frågor

Vilka säkerhetsfunktioner bör man outsourca först?

Börja med SOC-övervakning och logganalys. Det är den funktion som kräver mest dygnet-runt-bemanning och där extern kompetens ger snabbast värde. Incidentrespons och sårbarhetsskanning är naturliga nästa steg.

Hur påverkar NIS2-direktivet outsourcad IT-säkerhet?

NIS2 gör organisationen juridiskt ansvarig oavsett om driften är outsourcad. Ni måste säkerställa att leverantören uppfyller direktivets krav på incidentrapportering, riskhantering och leverantörskedjan genom tydliga avtal och regelbundna revisioner.

Vad kostar outsourcad IT-säkerhet för ett medelstort företag?

Kostnaden varierar beroende på scope, men räkna med 30 000–150 000 SEK per månad för managed SOC och grundläggande säkerhetstjänster. Jämför det med att rekrytera tre till fem säkerhetsspecialister internt med skiftschema — då landar ni ofta på 5–10 miljoner SEK per år.

Kan vi behålla kontrollen över känslig data vid outsourcing?

Ja. Med rätt avtal och arkitektur behåller ni dataägarskapet. Kräv att leverantören driftar från EU-baserade datacenter, att loggar lagras i er egen miljö och att ni har full insyn via dashboards och rapporter.

Hur utvärderar vi en potentiell säkerhetsleverantör?

Kräv ISO 27001-certifiering, dokumenterad incidentresponsprocess och transparenta SLA:er. Be om kundcase från er bransch, verifiera att de kan hantera NIS2-rapportering och testa deras responstid genom en kontrollerad övning.