Valg af IT-leverandør: 5 røde flag der afslører en dårlig MSP
·
Kategori: Drift
Jeres IT-leverandør har adgang til alt: jeres data, jeres brugere, jeres forretningskritiske systemer. Alligevel vælger de fleste SMV’er leverandør ud fra mavefornemmelse og pris pr. time. Ifølge en analyse fra Computerworld og DI (2026) føler 2 ud af 3 danske virksomheder, at de ikke kan skifte IT-leverandør – selv når de er utilfredse. Denne artikel giver jer de konkrete advarselstegn, I skal kigge efter ved valg af IT-leverandør, og de spørgsmål I skal stille, før I skriver under.
Det vigtigste fra artiklen
- Break/fix-modellen er dyrere end fastpris: Timepris-IT skaber et incitament, hvor leverandøren tjener mere, jo flere problemer I har. Skift til managed services med fast pris pr. bruger.
- Jeres MSP er et angrebsmål: Ransomware-angreb mod MSP-kunders miljøer er steget 33 % (Gitnux, 2026). Kræv dokumentation for leverandørens egen sikkerhed.
- Vendor lock-in er reelt: Sørg for exit-klausuler, dataejerskab og adgang til jeres egen M365-tenant fra dag 1.
- NIS2 gør jer ansvarlige for leverandørens sikkerhed: En dårlig MSP kan gøre jer non-compliant – uanset hvor godt I selv kører.
- Kræv konkrete SLA’er: “Vi svarer hurtigst muligt” er ikke en SLA. Forlang dokumenterede RTO- og RPO-mål.

Rødt flag 1: Leverandøren sælger timer – ikke oppetid
Den klassiske break/fix-model fungerer sådan: noget går i stykker, I ringer, leverandøren fakturerer pr. time. Problemet? Leverandøren har nul incitament til at forebygge nedetid. Tværtimod: jo flere problemer, jo højere omsætning.
Ifølge Forrester (2025) skifter markedet markant fra per-device og timepris til per-user og value-based pricing. Moderne managed IT-services inkluderer proaktiv overvågning, patching og sikkerhed i én fast pris. Det giver leverandøren et direkte incitament til at holde jeres miljø stabilt.
Før: I betaler 1.200 kr./time for brandslukninger. Nedetid koster jer 15.000–50.000 kr. pr. time i tabt produktivitet – men det står ikke på IT-fakturaen.
Efter: Fast pris pr. bruger med proaktiv overvågning. Leverandøren opdager og løser problemer, før I mærker dem. Nedetid falder typisk 40–60 %.
Rødt flag 2: Ingen dokumentation for MSP’ens egen sikkerhed
Jeres IT-leverandør har admin-adgang til jeres Microsoft 365-tenant, jeres servere og jeres backup. Hvis leverandøren selv bliver kompromitteret, er I næste offer.
Gitnux (2026) dokumenterer, at ransomware-angreb mod MSP-kunders miljøer er steget 33 % på ét år. CISA anbefaler, at SMV’er kræver adskilte admin-konti og log-opbevaring fra deres MSP – netop for at undgå supply-chain-angreb.
Spørg jeres leverandør direkte:
- Bruger I MFA på alle admin-konti og RMM-værktøjer?
- Er jeres admin-konti adskilt fra andre kunders miljøer?
- Har I en SOC, der overvåger jeres eget miljø 24/7?
- Kan I fremvise en uafhængig sikkerhedsaudit?
Hvis svaret er vagt eller undvigende, er det et rødt flag. Under NIS2 (ENISA, 2025) er I som virksomhed ansvarlige for dokumenteret risikostyring hos jeres IT-leverandør.

Rødt flag 3: I ejer ikke jeres egne data og tenant
Computerworld/DI (2026) viser, at 66 % af danske virksomheder oplever tekniske eller kontraktuelle barrierer, når de vil skifte leverandør. Den hyppigste årsag: leverandøren kontrollerer M365-tenanten, DNS-domæner eller backup-løsningen.
Kræv fra dag 1:
- At jeres Microsoft 365-tenant er registreret i jeres virksomheds navn.
- At I har Global Admin-adgang (opbevaret sikkert hos jer selv).
- At kontrakten indeholder en exit-klausul med tidsramme for overdragelse.
- At backup-data er jeres ejendom og kan eksporteres i standardformat.
Før: Leverandøren ejer tenanten. Skift tager 3–6 måneder og koster en formue i migration.
Efter: I ejer tenanten fra start. Skift af leverandør kræver kun ændring af delegeret admin-adgang – uden datatab.
Rødt flag 4: SLA’en siger “hurtigst muligt”
En SLA uden målbare forpligtelser er ikke en SLA. Den er en hensigtserklæring. Når jeres ERP-system er nede fredag eftermiddag, hjælper “hurtigst muligt” ikke.
Kræv som minimum:
- Responstid pr. prioritet: P1 (forretningskritisk nedbrud) = maks 30 min. P2 = maks 2 timer. P3 = maks 8 timer.
- RTO (Recovery Time Objective): Hvor hurtigt er I oppe igen efter nedbrud?
- RPO (Recovery Point Objective): Hvor meget data kan I maksimalt miste?
- Oppetidsgaranti: 99,5 % oppetid er ikke det samme som 99,9 %. Forskellen er 3,6 timer pr. måned.
Er I usikre på, om jeres nuværende IT-aftale lever op til kravene? Book 30 minutters fortrolig sparring med A-one Solutions – vi gennemgår jeres kontrakt og SLA og peger på konkrete huller. Book sparring her.
Rødt flag 5: Sikkerhed er et tilkøb – ikke en del af grundpakken
Ifølge Microsofts Digital Defense Report (2025) starter over 90 % af cyberangreb mod SMV’er via kompromitterede identiteter. MFA, Conditional Access og EDR er ikke “nice to have”. Det er minimumskrav.
Hvis jeres leverandør tilbyder antivirus og firewall som “sikkerhedspakke” og fakturerer MFA, backup og overvågning som ekstra moduler, kører I på en forældet model.
Tjekliste: Hvad en moderne MSP-aftale skal indeholde i 2026
| Komponent | Forældet MSP (2020) | Moderne MSP (2026) |
|---|---|---|
| Endpoint-sikkerhed | Antivirus | EDR/XDR (fx Microsoft Defender for Business) |
| Identitetsbeskyttelse | Password-politik | MFA + Conditional Access + Entra ID-overvågning |
| Backup | Daglig backup til lokal NAS | Immutable cloud-backup med dokumenteret RPO |
| Overvågning | Reaktiv (I ringer ved fejl) | Proaktiv RMM + SOC med AI-trusselsdetektion |
| Prismodel | Timepris / per enhed | Fast pris pr. bruger (alt inkluderet) |
| Governance | Ingen rapportering | Månedlig rapport + kvartalsvis strategimøde |
| Compliance | “Vi overholder GDPR” | Dokumenteret NIS2-risikostyring + audit trail |
| Exit-strategi | Ingen aftale | Kontraktuel exit-klausul med overdragelsesplan |

Hvorfor valg af IT-leverandør er et sikkerhedsspørgsmål – ikke kun et driftsspørgsmål
NIST Cybersecurity Framework 2.0 (2024) tilføjede “Govern” som ny kernefunktion. Det betyder, at virksomheder skal dokumentere kontrol med hele deres forsyningskæde – inklusiv IT-leverandøren. ENISA’s NIS2-retningslinjer (2025) skærper dette yderligere: en MSP uden dokumenteret sikkerhed gør jer non-compliant.
Integris (2026) viser, at cybersikkerhed vokser 18 % årligt som MSP-ydelse, og 56 % af MSP’er bruger nu AI til trusselsdetektion. Hvis jeres leverandør ikke kan forklare, hvordan de opdager trusler proaktivt, halter de bagefter. Læs mere om compliance-krav til IT-leverandører.
Ofte stillede spørgsmål om valg af IT-leverandør
Hvad er forskellen på break/fix og managed IT-services?
Break/fix fakturerer pr. time, når noget går i stykker. Managed services er en fast månedlig pris, der inkluderer proaktiv overvågning, sikkerhed og support. Managed services giver leverandøren incitament til at forebygge problemer – break/fix belønner det modsatte.
Hvad koster managed IT-services for en SMV?
Typisk 500–1.500 kr. pr. bruger pr. måned afhængigt af sikkerhedsniveau og kompleksitet. Sammenlign med jeres reelle break/fix-omkostninger inkl. nedetid – de fleste SMV’er betaler mere for reaktiv IT, når alt regnes med.
Hvordan skifter man IT-leverandør uden nedetid?
Kræv en overdragelsesplan i kontrakten. Sørg for, at I ejer jeres M365-tenant og DNS-domæner. En struktureret transition tager typisk 2–4 uger med den rette forberedelse. Læs mere om IT-drift og transition.
Hvad skal en IT-kontrakt indeholde?
Minimum: SLA med målbare responstider (P1/P2/P3), RTO/RPO, oppetidsgaranti, exit-klausul med tidsramme, dataejerskab, og dokumentation for leverandørens egen sikkerhed.
Er min virksomhed ansvarlig for IT-leverandørens sikkerhed under NIS2?
Ja. NIS2 kræver dokumenteret risikostyring af hele forsyningskæden. Hvis jeres MSP bliver kompromitteret, og I ikke kan dokumentere, at I har stillet krav til deres sikkerhed, er I non-compliant.
Hvad er vendor lock-in, og hvordan undgår jeg det?
Vendor lock-in opstår, når tekniske eller kontraktuelle barrierer gør det dyrt eller umuligt at skifte leverandør. Undgå det ved at eje jeres egen tenant, kræve standardformater til dataeksport og forhandle exit-klausuler inden kontraktunderskrift.
Hvad er co-managed IT?
En model hvor jeres interne IT-ansvarlige samarbejder med en ekstern MSP. MSP’en leverer specialistkompetencer, 24/7 overvågning og enterprise-værktøjer – den interne IT-mand beholder kontrollen og det daglige overblik. Læs mere om co-managed IT-drift.
Sådan handler I nu: 5 konkrete skridt
- Auditér jeres nuværende kontrakt: Tjek om I har dokumenterede SLA’er med RTO/RPO, exit-klausul og dataejerskab. Mangler ét af disse punkter, er det en forhandling værd.
- Verificér tenant-ejerskab: Log ind på admin.microsoft.com og bekræft, at jeres virksomhed er registreret som ejer af M365-tenanten. Gør det i dag.
- Stil de 4 sikkerhedsspørgsmål: Spørg jeres leverandør om MFA på admin-konti, adskilte tenants, SOC-overvågning og uafhængig audit. Dokumentér svarene.
- Sammenlign jeres reelle IT-omkostninger: Læg timeforbrug, nedetid og ad hoc-fakturaer sammen over 12 måneder. Sammenlign med et managed services-tilbud pr. bruger.
- Book en second opinion: Få en uafhængig vurdering af jeres IT-setup, sikkerhedsniveau og kontrakt. Kontakt A-one Solutions for 30 minutters fortrolig sparring.