De fleste datatab i SMB’er skyldes ikke “total nedbrud” hos Microsoft, men sletninger, fejlkonfiguration, ransomware eller en fratrådt medarbejder. Problemet er, at mange forveksler synkronisering og retention med en reel backup. Resultatet er, at I først opdager hullet, når I står midt i en gendannelse. Her får I en praktisk guide til backup løsninger, der kan dokumenteres og testes.

Key takeaways I kan bruge i dag

• Skil oppetid fra gendannelse: M365 kan have høj oppetid, mens jeres data stadig kan være væk. Definér RTO/RPO og mål det med restore-tests.
• Stop “OneDrive er backup”-myten: Sync kopierer også fejl og kryptering. Indfør Microsoft 365 backup + endpoint backup for kritiske enheder.
• Gør backup ransomware-resistent: Kræv immutable backup (fx Object Lock/WORM) og adskil backup-miljøet fra produktion (air-gapped princip).
• Dokumentér til NIS2: Log hvem der kan slette hvad, hvor længe data er uforanderlige, og hvornår I har testet gendannelse.
• Prioritér identitet: Data-backup hjælper ikke, hvis adgangskontrol/Entra ID er kompromitteret. Planlæg backup af identitet og politikker.

Hvorfor Microsoft 365 ikke er en “backup” af jeres data

Microsoft driver platformen, men I ejer risikoen for jeres indhold og jeres konfiguration. Det er kernen i Microsofts Shared Responsibility Model. I praksis betyder det:

• Retention hjælper mod nogle sletninger, men er ikke en uafhængig kopi med fri gendannelse.
• Versionering kan blive utilstrækkelig ved “bulk-ændringer” (fx ransomware eller masseoverskrivning).
• Administratorfejl kan fjerne adgang, policies eller indhold hurtigere, end I kan nå at reagere.

Før → Efter #1 (klassikeren i SMB)

Før: “Vi har OneDrive og SharePoint, så vi har backup.”
Efter: I har en separat Microsoft 365 backup med egne admin-rettigheder, immutable opbevaring og dokumenterede restore-tests. I kan gendanne en mail, et site eller en hel bruger uden at vente på manuelle nødplaner.

Sådan hænger NIS2 backup krav sammen med jeres dagligdag

NIS2 handler ikke om at købe et produkt. Det handler om, at I kan dokumentere, at forretningen kan komme tilbage efter en hændelse. ENISA peger på behovet for dokumenteret gendannelse og adskillelse mellem produktion og backup (ENISA, 2025).

To konkrete konsekvenser for jer:

1. Backup uden test er ikke nok. Computerworld beskriver, at dokumentation af recovery-processer vægter lige så højt som selve backuppen (Computerworld DK, 2025).
2. Backup skal kunne overleve et angreb. Veeam rapporterer, at backup-repositorier ofte bliver mål i ransomware-angreb (Veeam, 2025). Derfor skal I kræve immutability.

Fejl der koster jer tid: retention, sync og “vi kan jo downloade igen”

Tre beslutningsregler, der hurtigt afslører om I står på et tyndt sikkerhedsnet:

• Hvis en admin kan slette backuppen: I har en risiko. Kræv immutable backup og separat adgangsmodel.
• Hvis “gendannelse” er et manuelt projekt: I har ikke styr på jeres RTO. Kræv restore-drills og rapportering.
• Hvis I ikke kan gendanne granularitet: I ender med at gendanne for meget (og forstyrre drift) eller for lidt (og miste data).

Tjekliste: sådan vurderer I jeres backup løsninger på 30 minutter

Brug tjeklisten som ledelsesværktøj. Den kan gennemgås sammen med jeres interne IT eller jeres MSP.

Område	Spørgsmål I skal kunne svare “ja” til	Hvad I kigger efter
Microsoft 365 backup	Har vi uafhængig backup af Exchange, SharePoint, OneDrive og Teams-data?	Daglige (eller hyppigere) snapshots, granular restore (mail/folder/site), klart retention-setup.
Immutable backup	Kan backuppen ikke ændres/slettes i en fast periode – heller ikke af en admin?	Object Lock/WORM, låste retention-perioder, tydelig audit-log.
Adskillelse (air-gap princip)	Er backup-miljø og credentials adskilt fra produktion?	Separate admin-konti, separat tenant/repository, netværks- og adgangssegmentering.
MFA og adgang	Er der 100% MFA på backup-konsoller og break-glass styring?	MFA/Conditional Access, mindst mulig adgang, regelmæssig review af privilegier (NovaBackup, 2026).
RTO/RPO	Har vi fastlagt RTO/RPO pr. datasæt og accepteret det på ledelsesniveau?	Én side med mål for fx mail, SharePoint, regnskab, kritiske laptops.
Test af backup	Har vi testet gendannelse inden for 12 måneder – og gemt bevis?	Restore-drill-rapport, logudtræk, sign-off og læringspunkter (Itm8, 2026).
Data-suverænitet	Ved vi hvor backup-data ligger, og kan vi vælge EU-lokation?	EU-hosting, kontraktuel klarhed, krav fra kunder/revisor (Keepit, 2026).
Endpoint backup	Kan vi gendanne en medarbejders laptop hurtigt – inkl. lokal data?	Endpoint backup eller kontrolleret data-placering + dokumenteret re-etablering (Intune/Autopilot).

Før → Efter #2 (test gør forskellen)

Før: “Backup kører hver nat. Vi har aldrig prøvet at gendanne.”
Efter: I har en kvartalsvis restore-drill med et fast scenarie (fx gendan en SharePoint-mappe, en brugers mailbox og en Teams-kanal). I måler tid, fejl og afhængigheder og justerer, indtil I rammer jeres RTO.

Hvordan vælger I mellem cloud backup virksomhed og on-prem?

SMB’er ender ofte bedst med en model, hvor backup er operativt enkel og sikker mod sletning. Tommelfingerregler:

• Hvis I primært har M365-data: vælg en dedikeret Microsoft 365 backup-løsning med granular restore og immutable opbevaring.
• Hvis I har blandet miljø (NAS/server/Azure): vælg en samlet strategi, der stadig kan låse kopier (immutable) og kan testes ensartet.
• Hvis kunder kræver EU-data: vælg backup med klar EU-datasuverænitet (Keepit, 2026).

Uanset model: følg 3-2-1-1-0-princippet, som CISA anbefaler, inkl. én offline/immutable kopi og nul fejl ved test (CISA, 2025).

Sådan planlægger I test af backup gendannelse (restore-drill)

Itm8 peger på, at mange danske virksomheder ikke får testet backup og recovery løbende (Itm8, 2026). Gør det til en fast øvelse med disse fem trin:

1. Vælg 3 scenarier: fx gendan en slettet mailbox, et krypteret SharePoint-bibliotek og en stjålet laptop.
2. Definér RTO/RPO pr. scenarie: hvor meget data må I miste (RPO), og hvor hurtigt skal brugerne være kørende (RTO).
3. Gendan “for real”: ikke bare en rapport. Gendan til test-placering eller isoleret restore.
4. Log og dokumentér: tid brugt, fejl, hvilke rettigheder der krævede adgang, og hvilke beslutninger der blev taget.
5. Justér og gentag: ændr retention, licenser, adgang eller segmentering. Gentest samme scenarie.

FAQ om backup løsninger, Microsoft 365 og NIS2

Tager Microsoft backup af Office 365?

Microsoft beskytter platformen og har forskellige mekanismer til databevaring, men det er ikke det samme som en uafhængig backup, hvor I selv kan gendanne på tværs af tid og scenarier. Beslutningsregel: Hvis I ikke kan gendanne udenfor Microsofts native værktøjer og tidsvinduer, har I et gap.

Er OneDrive en backup-løsning?

Nej. OneDrive er primært synkronisering. Hvis en fil overskrives, slettes eller krypteres, kan ændringen synkroniseres videre. Brug OneDrive til arbejdsfiler, men suppler med Microsoft 365 backup og/eller endpoint backup for at kunne rulle tilbage.

Hvad er immutable backup, og hvorfor nævnes det så ofte ved ransomware?

Immutable backup betyder, at backup-kopier ikke kan ændres eller slettes i en fast periode (WORM/Object Lock). Veeam (2025) beskriver, at angribere ofte går efter backup-repositorier, så immutability er et minimumskrav, hvis I vil kunne gendanne efter et angreb.

Kræver NIS2 immutable backups?

NIS2 kræver, at I kan gendanne og dokumentere modstandsdygtighed. ENISA (2025) fremhæver adskillelse mellem produktion og backup. I praksis er immutability en af de mest direkte måder at sikre, at en angriber ikke kan ødelægge jeres sidste redningsnet.

Hvor ofte skal vi teste gendannelse?

Minimum årligt for hele virksomheden og kvartalsvis for de mest kritiske datasæt. Beslutningsregel: Hvis jeres forretning ikke kan tåle en dags nedetid på mail/SharePoint, så test oftere og automatisér, hvor det giver mening.

Hvad betyder RTO og RPO i praksis?

RPO er hvor meget data I kan miste (fx “maks 4 timer”). RTO er hvor hurtigt I skal være i drift igen (fx “maks 8 timer”). Sæt dem pr. system/datasæt, og mål dem i en restore-drill. Hvis I ikke kan måle dem, har I dem ikke.

Hvad skal en Microsoft 365 backup som minimum dække?

Som minimum: Exchange Online, SharePoint Online, OneDrive for Business og Teams-relateret indhold. For mange SMB’er er det også relevant at tænke identitet (Entra ID) ind, så I ikke står med data, I ikke kan få adgang til. Se evt. vores fokus på IT-sikkerhed og compliance.

Sådan kommer I fra “backup på papir” til driftbar sikkerhed

1. Kortlæg jeres kritiske data: M365 (mail, SharePoint, Teams), økonomi, kundedata og nøgle-laptops.
2. Sæt RTO/RPO: én side med mål pr. datasæt. Få ledelsen til at godkende.
3. Vælg backup-lag: Microsoft 365 backup + mindst én immutable kopi + offsite/adskilt adgang.
4. Luk admin-hullet: 100% MFA, adskilte roller, og fjern “alle er admin” på backup-konsollen.
5. Kør en restore-drill: vælg 3 scenarier og dokumentér resultatet. Gem rapporten.
6. Gør det til drift: planlæg test-interval, review af logs, og kvartalsvis rapport til ledelsen.

Kilder (udvalgte)

• CISA (2025): Ransomware Guide
• ENISA (2025): NIS2 Implementation Guidelines
• Veeam (2025): Data Protection Trends Report
• Microsoft (2026): SMB Technology & Cyber Resilience
• Keepit (2026): Data Sovereignty in Europe
• Itm8 (2026): Danske virksomheder slækker på cyberoprustning
• Computerworld DK (2025): NIS2 backup cases