Jeres servere er 5-7 år gamle. Garantien er udløbet, og I overvejer om næste skridt er nye fysiske servere eller Azure. Samtidig stiller NIS2 krav til fysisk sikring, som jeres nuværende serverrum sandsynligvis ikke lever op til. Denne guide giver jer det beslutningsgrundlag, I mangler – med fokus på pris, oppetid og sikkerhed for produktionsvirksomheder.

Det vigtigste fra artiklen

• 100 % cloud er sjældent realistisk for produktion. Latency-krav fra SCADA/MES-systemer kræver lokal compute. Hybrid cloud med Azure Arc giver jer cloud-governance uden at risikere produktionsstop.
• Hardware refresh er en compliance-trigger. Nye fysiske servere kræver fysisk sikring (adgangskontrol, overvågning, brandslukningsanlæg) under NIS2. Azure fjerner den byrde.
• Skjulte on-premise-omkostninger løber op. Strøm, køling, kvadratmeter og IT-personaletid gør lokale servere dyrere end de fleste regner med.
• Zero Trust er nemmere i cloud. Azure Entra ID og Conditional Access giver identitetsbaseret sikkerhed, som er svær at opnå på ældre on-premise netværk.
• Kortlæg jeres workloads først. Beslutningen er ikke enten-eller. Den rigtige fordeling afhænger af latency-krav, ERP-system og internet-redundans.

Hvorfor 100 % cloud er risikabelt for produktionslinjen

Produktionsmaskiner (OT) kommunikerer i realtid. En CNC-maskine eller et SCADA-system tolererer ikke 50 ms latency. Hvis jeres internetforbindelse falder ud i 10 minutter, stopper produktionen.

Ifølge Symestic (2025) kan cloud-baserede MES-systemer reducere deployment-tid fra måneder til dage – men de kræver stabil netværksarkitektur for at undgå produktionsstop ved internetudfald.

Løsningen for de fleste produktions-SMV’er er hybrid cloud. I beholder lokal compute til tidskritiske systemer og flytter alt andet til Azure.

Før → Efter: Produktionsstyring

Før: MES-server i serverrummet, ingen central overvågning, manuelt patching-vindue hver 3. måned.
Efter: MES kører lokalt via Azure Arc, men patches, overvågning og compliance-rapportering styres centralt fra Azure-portalen. Patching-tid reduceret fra 4 timer til 45 minutter pr. server.

Hvad koster Azure vs on-premise reelt?

De fleste sammenligner kun hardware-pris med Azure VM-pris. Det er misvisende. On-premise har skjulte omkostninger, som sjældent indgår i business casen.

Omkostning	On-premise	Azure IaaS
Hardware (servere, UPS, switches)	CAPEX – stor engangsinvestering hvert 5. år	Inkluderet i OPEX-abonnement
Strøm og køling	Løbende – stiger med energipriser	Inkluderet
Fysisk sikring (NIS2-krav)	Adgangskontrol, kameraer, alarmer	Microsofts datacenter håndterer det
Plads (m²)	Serverrum koster kvadratmeter	Inkluderet
IT-personaletid	Patching, fejlsøgning, hardware-udskiftning	Reduceret – men ikke elimineret
Nedetid ved hardware-fejl	Timer til dage (afhænger af reservedele)	SLA op til 99,99 % med Availability Zones

Ifølge Beaming (2025) flytter 27 % af SMV’er til cloud for at spare penge, men 26 % oplever stigende cloud-omkostninger som et problem. Uden FinOps-disciplin kan Azure-regningen løbe løbsk. Reserverede instanser og Azure Hybrid Benefit kan reducere compute-omkostninger med 40-70 %.

Før → Efter: IT-budget

Før: 800.000 kr. hvert 5. år til nye servere + 15.000 kr./md. i strøm, køling og vedligehold. Uforudsigelige udgifter ved hardware-fejl.
Efter: Fast månedlig Azure-udgift på ca. 22.000 kr./md. for tilsvarende kapacitet (med Reserved Instances). Ingen overraskelser, ingen CAPEX-spidser.

Tjekliste: Er I klar til Azure-migrering?

Brug denne tjekliste til at vurdere jeres parathed. Scor hvert punkt ja/nej.

1. Internet-redundans: Har I mindst to uafhængige internetforbindelser på produktionsfaciliteten? (Krav for cloud-afhængige workloads)
2. Workload-kortlægning: Ved I præcist, hvilke servere der kører hvilke applikationer – og hvilke der har latency-krav under 10 ms?
3. ERP-system: Kører I Dynamics NAV/C5 eller anden legacy-software, der kræver refactoring før cloud? Eller kører I allerede Dynamics 365/Business Central?
4. NIS2-scope: Er I underleverandør til kritisk infrastruktur? Hvis ja: dokumentér fysisk sikring af serverrum nu.
5. IT-ressourcer: Har I interne folk til at drifte et hybrid-miljø, eller har I brug for co-managed IT?
6. Backup-strategi: Tester I regelmæssigt restore af jeres backups? Azure immutable storage beskytter mod ransomware.
7. Hardware-alder: Er jeres servere ældre end 5 år? Hvis ja: hardware refresh er den oplagte trigger for migrering.

Tommelfingerregel: Scorer I ja på 5 af 7, er I klar til en pilot-migrering. Under 3: start med en Azure Readiness Assessment.

Sådan løser Azure Arc hybrid-udfordringen

Azure Arc gør det muligt at administrere on-premise servere og edge-enheder direkte fra Azure-portalen. I får cloud-governance (patching, overvågning, policy-håndhævelse) uden at flytte selve workloaden til skyen.

For produktionsvirksomheder betyder det:

• SCADA/MES-servere forbliver lokale – ingen latency-risiko.
• Patching og sikkerhedspolicies styres centralt fra Azure.
• Én samlet oversigt over alle servere – uanset om de står i serverrummet eller kører i Azure.

Azure Arc’s basale server-management er gratis. Tilføjer I Defender for Servers, koster det fra $5/server/md. (Pump, 2025).

Fejl der koster: IT/OT-sikkerhed ved cloud-migrering

Den største sikkerhedsrisiko ved cloud-migrering i produktionen er ikke selve skyen. Det er den bro, I bygger mellem kontor-IT og produktions-OT.

Ifølge CISA’s guidance om IT/OT-konvergens øger direkte cloud-forbindelser fra OT-netværk angrebsfladen markant. Ransomware, der rammer kontor-IT, kan sprede sig til produktionsmaskinerne, hvis netværket ikke er segmenteret.

Tre ting I skal gøre:

1. Segmentér netværket. OT-netværk og IT-netværk skal være fysisk eller logisk adskilt. Brug firewalls og DMZ-zoner.
2. Brug edge-gateways. Produktionsdata skal passere gennem en edge-gateway, før de sendes til Azure. Ingen direkte forbindelser fra maskiner til internet.
3. Implementér Zero Trust. Azure Entra ID + Conditional Access sikrer, at ingen enhed eller bruger får adgang uden verifikation. Det er markant nemmere at håndhæve i Azure end på legacy on-premise netværk (NIST SP 800-207).

Hvorfor NIS2 gør cloud-valget lettere

NIS2-direktivet stiller krav til fysisk sikring af IT-infrastruktur. For SMV’er med et serverrum i kælderen betyder det: adgangskontrol, overvågning, brandslukningsanlæg og dokumentation.

Flytter I workloads til Azure, overtager Microsoft ansvaret for den fysiske sikring af datacenteret. Det fjerner ikke jeres compliance-ansvar, men det reducerer den praktiske byrde markant.

Har I stadig lokale servere (fx til OT), skal I stadig dokumentere fysisk sikring. Men omfanget bliver mindre.

FAQ: Azure vs on-premise for produktionsvirksomheder

Hvad koster en Azure-server sammenlignet med en fysisk server?

En typisk Azure VM (D4s v5, 4 vCPU, 16 GB RAM) koster ca. 1.200 kr./md. med 3-årig Reserved Instance. En tilsvarende fysisk server koster 30.000-50.000 kr. i indkøb plus løbende strøm, køling og vedligehold. Over 5 år er Azure ofte billigere, når I medregner skjulte omkostninger.

Kan vi flytte vores SCADA-system til Azure?

Sjældent. SCADA-systemer har typisk latency-krav under 10 ms og skal fungere ved internetudfald. Behold dem lokalt, men administrér dem via Azure Arc for central overvågning og patching.

Hvad sker der med vores data, når de ligger i Azure?

Microsoft har datacentre i EU (bl.a. i Danmark og Holland). I kan vælge, at data kun opbevares i en specifik region. Microsoft krypterer data i transit og at rest som standard.

Er hybrid cloud dyrere end ren cloud?

Hybrid kræver kompetencer i begge verdener, og det kan øge driftsomkostningerne. Men for produktionsvirksomheder er det ofte den eneste realistiske model. Azure Arc reducerer kompleksiteten ved at give ét management-lag.

Hvordan håndterer vi NIS2, hvis vi har servere både lokalt og i Azure?

Dokumentér ansvarsfordelingen. Azure dækker fysisk sikring af cloud-workloads. I dækker fysisk sikring af lokale servere og netværkssegmentering. Brug en compliance-ramme til at kortlægge gaps.

Hvad hvis vores internet går ned – stopper alt i Azure så?

Ja, for cloud-afhængige workloads. Derfor er internet-redundans (to uafhængige linjer) et krav, før I flytter kritiske systemer. Produktionssystemer med høje oppetidskrav bør forblive lokale.

Kan vi starte småt med Azure?

Ja. Start med ikke-kritiske workloads: filservere, backup, testmiljøer. Når I har erfaring og tillid til platformen, kan I flytte flere workloads. En typisk pilot tager 4-6 uger.

Næste skridt: Sådan kommer I i gang

1. Kortlæg alle workloads. Lav en liste over servere, applikationer og deres latency-krav. Markér hvilke der er produktionskritiske.
2. Auditér jeres serverrum. Dokumentér fysisk sikring i forhold til NIS2. Identificér gaps.
3. Beregn Total Cost of Ownership. Medregn strøm, køling, plads, personaletid og nedetidsrisiko – ikke kun hardware-pris.
4. Vælg pilot-workloads. Start med filservere, backup eller testmiljøer. Undgå produktionskritiske systemer i første bølge.
5. Etablér internet-redundans. Bestil en sekundær internetlinje, hvis I ikke allerede har det.
6. Implementér Azure Arc på lokale servere. Få central overvågning og patching fra dag ét – uden at flytte noget.
7. Book sparring med en Azure-arkitekt for at validere jeres plan og undgå de typiske faldgruber.