Opsio - Cloud and AI Solutions
Disaster Recovery4 min read· 838 words

Backup i molnet – komplett guide för svenska företag

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Published: ·Updated: ·Reviewed by Opsio Engineering Team

Quick Answer

Snabbsvar: Backup (säkerhetskopiering) är kopior av data som hålls åtskilda från primärsystemet för att kunna återställas vid dataförlust, hårdvarufel, användarfel eller cyberattack. I ransomware-eran har backup gått från ett driftslika till en strategisk säkerhetsfunktion – utan fungerande backup kan en ransomware-attack bli företagshotande. Den grundläggande designregeln är 3-2-1: minst tre kopior av viktig data, på två olika medietyper, med minst en kopia utanför det primära datacentret (eller molnet). Modern molnbackup utnyttjar immutabilitet, cross-region replication och air-gapped kopior för att motstå attacker. Denna guide går igenom strategierna, leverantörsvalen, kostnaderna och de compliance-krav som gör testad backup obligatorisk för NIS2 -, DORA- och GDPR -omfattade verksamheter. 3-2-1-regeln i molneran Klassiska 3-2-1: 3 kopior av varje viktigt dataset (primär + två backup) 2 olika medietyper (disk + tape, eller disk + objektlagring) 1 kopia off-site (fysiskt skild från produktionen) Uppdaterad 3-2-1-1-0 för ransomware-eran: +1 kopia immutable (kan inte raderas eller ändras under retentionsperioden,

Key Topics Covered

Snabbsvar: Backup (säkerhetskopiering) är kopior av data som hålls åtskilda från primärsystemet för att kunna återställas vid dataförlust, hårdvarufel, användarfel eller cyberattack. I ransomware-eran har backup gått från ett driftslika till en strategisk säkerhetsfunktion – utan fungerande backup kan en ransomware-attack bli företagshotande. Den grundläggande designregeln är 3-2-1: minst tre kopior av viktig data, på två olika medietyper, med minst en kopia utanför det primära datacentret (eller molnet). Modern molnbackup utnyttjar immutabilitet, cross-region replication och air-gapped kopior för att motstå attacker. Denna guide går igenom strategierna, leverantörsvalen, kostnaderna och de compliance-krav som gör testad backup obligatorisk för NIS2-, DORA- och GDPR-omfattade verksamheter.

3-2-1-regeln i molneran

Klassiska 3-2-1:

  • 3 kopior av varje viktigt dataset (primär + två backup)
  • 2 olika medietyper (disk + tape, eller disk + objektlagring)
  • 1 kopia off-site (fysiskt skild från produktionen)

Uppdaterad 3-2-1-1-0 för ransomware-eran:

  • +1 kopia immutable (kan inte raderas eller ändras under retentionsperioden, ens av admin)
  • 0 fel vid restore-test – backupen är inte verkligen en backup förrän ni har testat att återställa den

Backup-tjänster i molnet

  • AWS Backup: Centraliserad backup för EC2, RDS, EFS, DynamoDB, S3, FSx. Policy-baserad retention och cross-region copy.
  • Azure Backup: För VM:er, SQL, SAP HANA, File Shares. Integration med Azure Site Recovery för kombinerad DR.
  • Google Cloud Backup and DR: Färre funktioner än AWS/Azure, men räcker för majoriteten av GCP-baserade workloads.
  • Tredjepart: Veeam, Commvault, Rubrik, Cohesity – bättre för komplexa hybridscenarier eller där granularitet över datacenter och moln behövs.
Kostnadsfri experthjälp

Behöver ni hjälp med Disaster Recovery?

Boka ett kostnadsfritt 30-minuters möte med en av våra specialister inom Disaster Recovery. Vi analyserar ert behov och ger konkreta rekommendationer — helt utan förpliktelse.

Solution ArchitectAI-specialistSäkerhetsexpertDevOps-ingenjör
50+ certifierade ingenjörerAWS Advanced Partner24/7 support
Helt kostnadsfritt — ingen förpliktelseSvar inom 24h

Ransomware-skyddet är backupens nya huvudroll

Moderna ransomware-attacker riktar sig aktivt mot backupen – ofta innan krypteringen av primärdata börjar. Kritiska skyddsmekanismer:

  • Immutabilitet: S3 Object Lock, Azure Blob Immutable Storage – backups kan inte raderas förrän retentionstiden gått ut, inte ens av root-admins.
  • Cross-account backup (AWS): Backups replikeras till ett separat AWS-konto med egen autentisering. Angripare med tillgång till produktionskontot når inte backupen.
  • Air-gapped kopior: Tape eller fristående lagring utan permanent nätverksåtkomst. Återhämtning långsammare men opåverkbar av attack.
  • MFA delete: Raderingsoperationer kräver extra autentisering – inte bara en komprometterad API-nyckel.

RPO och retentionsplanering – balans mellan kostnad och skydd

Två kritiska beslut per system:

  • RPO: Hur ofta ska backup tas? En gång per dygn (standard), var fjärde timme (hög), kontinuerlig replikering (RPO nära noll).
  • Retention: Hur länge ska backup behållas? Typiskt schema: dagliga backuper 30 dagar, veckovisa 12 veckor, månadsvisa 12 månader, årliga 7 år för compliance-data.

För GDPR-reglerade data: glöm inte att retention också är ett tak, inte bara ett minimum. Backuper av persondata måste också raderas när de inte längre behövs.

Testa – eller det är inte en backup

En backup som aldrig återställts är en förhoppning, inte en backup. Testprotokoll:

  • Månadsvis: Återställ en slumpmässig fil från varje backupsystem och verifiera innehållet.
  • Kvartalsvis: Återställ en hel databas till en isolerad miljö och kör integritets-kontroll.
  • Årligt: Fullskalig recovery-test för ett kritiskt system – simulerad produktionsincident.
  • Löpande: Automatiserade test-restores för högkritiska system (AWS Backup stödjer detta via Restore Testing).

NIS2 och DORA kräver bägge dokumenterade återställningstester. Försäkringsbolag börjar kräva testdokumentation för att täcka ransomware-skador.

Relaterade guider i kunskapsbasen

FAQ – Vanliga frågor om Backup i molnet – komplett guide för svenska företag

Vad är skillnaden mellan backup och disaster recovery?

Backup är datakopior. Disaster Recovery är hela processen att återställa driften – inklusive infrastruktur, nätverk, applikationer, data och personer. Backup är en komponent i DR, men DR utan körbara system och dokumenterad process är inte komplett. Ett typiskt scenario: backup löser förlorad fil, DR löser förlorat datacenter.

Hur skyddar vi backupen mot ransomware?

Immutable storage (S3 Object Lock, Azure Immutable Blob), separata backup-konton med egen autentisering, air-gapped kopior för kritiska data, MFA på raderingsoperationer, och segmenterat nätverk mellan produktion och backup. Implementera alla fyra – enstaka kontroller räcker inte när angripare aktivt söker och förstör backups.

Vad kostar molnbackup?

Kostnaden beror på datastorlek, retention och åtkomstfrekvens. Storleksordning på AWS: S3 Standard ~230 SEK/TB/månad, S3 Glacier Deep Archive ~11 SEK/TB/månad (men långsammare återläsning). För ett medelstort företag med 50 TB produktionsdata och standardretention landar backup typiskt på 5 000–20 000 SEK/månad.

Räcker det med molnleverantörens inbyggda backup?

För de flesta scenarier: ja, om det är rätt konfigurerat. Cross-region replikering, immutabilitet och separata konton fyller baskraven. Tredjepartsverktyg (Veeam, Rubrik) lönar sig när ni kör hybridmiljö, har heterogen applikationsportfölj eller behöver mer granulär återställning än molnets inbyggda erbjuder.

Måste vi ha backup om vi redan kör i molnet?

Ja. Molnets tillgänglighet skyddar mot infrastruktur-haverier, inte mot användarfel, korrupt data, ransomware eller kvarhållna systemfel. En raderad databas försvinner lika fullständigt i AWS RDS som på en egen server. Backup är ert eget ansvar – shared responsibility-modellen.

Backup i molnet – komplett guide för svenska företag med Opsio

Opsio är en svensk managed cloud-leverantör med AWS Premier Tier-status och över 15 års erfarenhet av att driva molnmiljöer för svenska företag i reglerade branscher. Vi hjälper er från strategi till löpande drift – med svensk fakturering, lokal support och dokumenterad efterlevnad mot NIS2, GDPR och DORA. Boka en konsultation för att diskutera ert behov.

Written By

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO at Opsio

Fredrik is the Group Chief Operating Officer and Chief Information Security Officer at Opsio. He focuses on operational excellence, governance, and information security, working closely with delivery and leadership teams to align technology, risk, and business outcomes in complex IT environments. He leads Opsio's security practice including SOC services, penetration testing, and compliance frameworks.

View all articles →LinkedIn

Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.