Vad en MSP faktiskt gör (och inte gör)

Begreppet "managed services" är vagt. Vissa leverantörer menar att de skickar en larmnotifikation till er. Andra tar fullt operativt ansvar. Skillnaden är enorm.

Kärntjänster att kräva

• Proaktiv övervakning 24/7: Inte bara larm — utan personal som agerar på larmen. En SOC/NOC som analyserar, eskalerar och åtgärdar.
• Incidenthantering med definierad MTTR: Mean Time to Resolve ska vara specificerad i SLA:t, inte "rimlig tid".
• Patch- och uppdateringshantering: Säkerhetspatchar inom definierade tidsramar, med testning i staging-miljö först.
• Backup och disaster recovery: Regelbundna tester av återställning — inte bara att backup körs, utan att den fungerar.
• Kostnadsoptimering (FinOps): Löpande granskning av resursutnyttjande, rightsizing av instanser, Reserved Instance-planering.
• Compliance-stöd: Dokumentation och processer som stödjer NIS2, GDPR och branschspecifika krav.

Managerade molntjänster

Vad MSP:n normalt inte gör

En MSP ansvarar sällan för er applikationslogik, affärsprocesser eller produktstrategi. Gränsdragningen bör vara tydlig: infrastruktur och plattform hos MSP:n, applikationskod och affärsbeslut hos er. Gråzonen — deployment pipelines, CI/CD, containerorkestering — bör specificeras explicit i avtalet.

Managerad DevOps

Säkerhet och compliance: NIS2 ändrar spelplanen

Sedan NIS2-direktivet trädde i kraft ställs hårdare krav på incidentrapportering, riskhantering och leverantörskedjor. För svenska företag som klassas som "väsentliga" eller "viktiga" entiteter innebär det att outsourcing inte fritar er från ansvar — men det ger er en partner som kan hjälpa er uppfylla kraven.

Konkreta compliance-krav att adressera i avtalet

1. Incidentrapportering: NIS2 kräver initial notifiering inom 24 timmar. Er MSP måste ha processer som säkerställer att ni informeras omedelbart vid säkerhetsincident.

2. Datalokalitet: GDPR och Schrems II gör att datalagring inom EU — helst i Sverige (eu-north-1 eller Sweden Central) — är starkt att föredra. Kräv transparens om var data faktiskt landar.

3. Databiträdesavtal (DPA): Obligatoriskt enligt GDPR artikel 28. Specificera kategorier av personuppgifter, behandlingsändamål och underbiträden.

4. Revisionsrätt: Ni måste kunna granska MSP:ns processer. ISO/IEC 27001-certifiering och SOC 2 Type II-rapporter ger en bra grund, men ersätter inte er egen tillsyn.

5. Integritetsskyddsmyndigheten (IMY): Säkerställ att MSP:n har rutiner för att hantera kontakt med tillsynsmyndigheten vid personuppgiftsincidenter.

Molnsäkerhet

Ekonomin: från CapEx till förutsägbar OpEx

Det ekonomiska argumentet för outsourcing handlar inte om att det alltid blir billigare. Det handlar om att kostnaderna blir förutsägbara och att ni slipper investera i tillgångar som snabbt tappar i värde.

Den dolda kostnaden av intern drift

Många organisationer underskattar vad intern molndrift egentligen kostar. Utöver löner tillkommer:

• Rekryteringskostnader: Att hitta en senior molnarkitekt i Sverige tar i snitt 3–6 månader. Under tiden står projekt stilla.
• Kompetensutveckling: AWS och Azure släpper hundratals nya tjänster per år. Att hålla teamet uppdaterat kräver löpande utbildning.
• Beredskapstillägg: 24/7-beredskap med minst tre personer kostar snabbt 500 000–1 000 000 SEK per år enbart i tillägg.
• Verktygslicenser: Övervakningsverktyg, SIEM-plattformar, IaC-verktyg — licenserna adderar upp.

En MSP fördelar dessa kostnader över sin kundbas, vilket ger stordriftsfördelar som enskilda företag inte kan matcha. Det är samma logik som gör att ni hyr kontor istället för att bygga egna fastigheter.

Cloud FinOps

Så väljer ni rätt MSP: en praktisk checklista

Marknaden är full av leverantörer som kallar sig MSP. Kvalitetsskillnaderna är enorma. Här är vad ni ska utvärdera — baserat på vad vi ser fungera (och fallera) i praktiken.

Teknisk kapacitet

• Multicloud-kompetens: Kan partnern hantera AWS, Azure och GCP, eller bara en plattform? Multicloud-kompetens minskar vendor lock-in.
• IaC som standard: All infrastruktur bör hanteras med Terraform, Pulumi eller likvärdigt. Om MSP:n klickar i konsoler manuellt — spring.
• Kubernetes-mognad: Om ni kör eller planerar containerbaserade arbetsbelastningar, verifiera att MSP:n har produktionserfarenhet av Kubernetes, inte bara certifikat.

Operativ mognad

• Eget SOC/NOC: Fråga var det ligger, hur många som bemannar det, och vilka skift som gäller. En MSP utan eget SOC outsourcar i sin tur — och då tappar ni kontroll ytterligare ett led.
• Dokumenterade processer: ITIL-baserade eller liknande ramverk för incidenthantering, ändringshantering och problemhantering.
• SLA med faktiska konsekvenser: Ett SLA utan ekonomiska påföljder vid brott är ett papper, inte ett löfte.

Kulturell matchning

• Språk och tidszon: En MSP som förstår svensk affärskultur, arbetar i samma tidszon och kan kommunicera på svenska vid eskalering gör samarbetet smidigare.
• Transparens: Kräv tillgång till dashboards, incidentloggar och kostnadsrapporter i realtid. Om MSP:n är motvillig att ge insyn, fundera på varför.

Avtalsmässiga skydd

• Exitklausul: Specificera hur övergång till annan leverantör eller insourcing ska gå till, inklusive tidsramar och dataexport.
• IP-ägande: All IaC-kod som skrivits för er miljö bör tillhöra er.
• Underbiträden: Lista alla underbiträden och kräv godkännande vid byten.

Vanliga misstag vi ser hos nya kunder

Efter att ha onboardat hundratals svenska organisationer ser vi återkommande mönster:

1. Otydlig ansvarsfördelning: Ingen vet vem som äger DNS-posterna, vem som godkänner ändringar eller vem som ansvarar vid incident. Lösning: RACI-matris i avtalet.

2. Överdimensionerade miljöer: Företag som migrerat i panik har ofta tre gånger fler resurser än de behöver. Lösning: rightsizing-analys inom första månaden.

3. Ingen testad disaster recovery: Backup finns, men ingen har testat återställning. Lösning: kvartalsvis DR-test som krav i SLA:t.

4. Vendor lock-in via proprietära tjänster: Överanvändning av molnleverantörens egna tjänster (t.ex. AWS-specifika databastjänster) utan exitplan. Lösning: medveten arkitekturstrategi med portabilitet i åtanke.

Molnmigrering

Migreringen: hur övergången fungerar i praktiken

Att flytta från intern drift till en MSP är ett projekt i sig. En ansvarsfull MSP genomför det i faser:

1. Discovery (2–4 veckor): Kartläggning av befintlig miljö, beroenden, dataflöden och compliance-krav.

2. Designfas (2–4 veckor): Målarkitektur, IaC-uppsättning, nätverksdesign och säkerhetsbaslinjer.

3. Migrering (4–12 veckor): Stegvis flytt med parallellkörning. Kritiska system migreras sist, efter validering.

4. Hypercare (4 veckor): Förstärkt övervakning och snabb ärendehantering direkt efter go-live.

5. Steady state: Löpande drift med månatliga rapporter och kvartalsgenomgångar.

Tidsramarna varierar kraftigt beroende på komplexitet. Ett företag med 20 servrar och ren AWS-miljö kan vara klart på sex veckor. En organisation med hybridmiljö, legacy-system och strikta regulatoriska krav bör räkna med tre till sex månader.

Opsios perspektiv: vad vi har lärt oss

Vi driver SOC/NOC i Karlstad och Bangalore, vilket ger oss follow-the-sun-modell med bemanning dygnet runt. Det vi ser konsekvent är att de kunder som lyckas bäst med outsourcing har tre saker gemensamt:

• En intern kontaktperson med mandat: Någon som äger relationen och kan fatta beslut snabbt.
• Tydliga affärsmål: Inte "flytta till molnet" utan "minska oplanerad nedtid med 80 % och sänka driftkostnaden med 25 % inom tolv månader".
• Vilja att samarbeta: Outsourcing är inte abdikering. De bästa resultaten uppstår när kund och MSP arbetar som ett team.

Vanliga frågor

Vad kostar det att outsourca molndrift?

Kostnaden varierar med miljöns storlek och komplexitet, men de flesta MSP:er arbetar med månatliga abonnemangsmodeller. Räkna med att en fullständig managed service för ett medelstort företag med 50–200 anställda landar mellan 30 000 och 150 000 SEK per månad, beroende på SLA-nivå, antal arbetsbelastningar och säkerhetskrav. Jämför alltid med den verkliga totalkostnaden för intern drift — inte bara löner, utan även utbildning, licenser och beredskapstillägg.

Hur säkerställer vi GDPR-efterlevnad vid outsourcing?

Teckna ett databiträdesavtal (DPA) enligt GDPR artikel 28. Kräv att MSP:n kan visa var data lagras geografiskt — helst i eu-north-1 (Stockholm) eller Sweden Central. Granska leverantörens certifieringar (ISO/IEC 27001, SOC 2) och säkerställ att Integritetsskyddsmyndigheten (IMY) kan kontaktas vid incident. NIS2 ställer ytterligare krav på incidentrapportering inom 24 timmar.

Vad händer om vi vill byta MSP?

En seriös MSP dokumenterar hela miljön med Infrastructure as Code (IaC) och erbjuder exitklausuler i avtalet. Kräv en övergångsplan som specificerar tidsramar, dataexport och kunskapsöverföring. Utan sådana klausuler riskerar ni vendor lock-in — ett av de vanligaste misstagen vid outsourcing.

Passar molnoutsourcing även små företag?

Ja. Mindre organisationer har sällan resurser att bemanna intern IT dygnet runt. En MSP ger tillgång till samma verktyg, kompetens och säkerhetsnivå som storföretag använder — fast till delad kostnad. Det avgörande är att välja en partner vars minsta paket faktiskt matchar er verksamhets behov, inte en nedskalad enterprise-lösning.

Hur mäter vi om outsourcingen faktiskt levererar?

Definiera KPI:er i avtalet: upptid (SLA), mean time to resolve (MTTR), antal incidenter per månad och kostnadsavvikelse mot budget. Kräv månadsrapporter och kvartalsgenomgångar. Om MSP:n inte kan visa tydlig datadriven förbättring efter sex månader bör ni eskalera — eller byta.

For hands-on delivery in India, see managed drift.