Tel: 70 26 48 50
Opret din support sag       Remote support 

IT-outsourcing og NIS2: Hvornår I bør sige nej

Ledelse og IT-chef gennemgår NIS2-ansvar og leverandørstyring for Microsoft 365

IT-outsourcing og NIS2: Hvornår I bør sige nej

Af Sten Albert Person A-one Solutions ·
·
Kategori: Compliance

En “all-inclusive” driftsaftale kan føles som ro i maven. Problemet er, at den ofte flytter viden, adgang og beslutninger væk fra jer – mens ansvaret bliver hos jer. Under NIS2 kan ledelsen stadig hænge på konsekvenserne, selv om en leverandør kører driften. Her får I klare beslutningsregler for, hvornår fuld IT-outsourcing er et dårligt valg, og hvad I gør i stedet.

Key takeaways (så I kan handle i denne uge)

  • Behold “Govern” internt: Fastlæg risikoniveau, krav og godkendelser i ledelsen – brug leverandøren til udførelse og dokumentation (NIST CSF 2.0, 2025).
  • Undgå single point of failure: Spred kritiske sikkerhedsfunktioner og sørg for exit-plan, så én MSP ikke kan tage hele jeres sikkerhed ned (Forrester, 2026).
  • Skær ned på leverandørens admin-rettigheder: Brug PIM og tidsbegrænset adgang, så et kompromitteret MSP-login ikke giver fuld kontrol (CISA, 2025; Microsoft, 2025).
  • Stop configuration drift: Overvåg ændringer i jeres M365/Azure-konfiguration og kræv change-log – ellers mister I baseline og audit-spor.
  • Outsource drift – ikke datagovernance: Klassificér data, ryd op i SharePoint/Teams og håndhæv DLP internt, før Copilot/AI skaleres (Auxis/IBM, 2026; JD Supra, 2026).

Tjekliste på skærm for leverandørstyring og adgangsrettigheder i Microsoft 365

Hvorfor IT-outsourcing ikke fritager jer for NIS2-ansvar

NIS2 skubber leverandørstyring op på ledelsesniveau. Pointen er enkel: I kan godt udlicitere opgaver, men I kan ikke udlicitere ansvar. ENISA peger på supply chain-sikkerhed som et kerneområde, og det er jer, der skal kunne dokumentere styring af leverandørens adgang, ændringer og beredskab (ENISA, 2025).

NISTs Cybersecurity Framework 2.0 tilføjer “Govern” som en selvstændig funktion. Det er en direkte besked: strategi, risikotolerance, roller og kontrol skal forankres internt – også når en MSP driver miljøet (NIST, 2025).

Beslutningsregel: hvornår er fuld outsourcing et rødt flag?

  • I har ingen navngivne interne ejere af: identitet (Entra ID), data (Purview), sikkerhed (Defender) og ændringer (change management).
  • Leverandøren ejer jeres dokumentation, scripts og konfigurationer, og I får dem ikke udleveret som standard.
  • I kan ikke få en uafhængig adgangsrapport over leverandørens privilegerede konti og aktiviteter.
  • Kontrakten har ingen testet exit-plan (tidsplan, dataudlevering, adgangsoverdragelse, rollback).

Fejl der koster dyrt: “black-box MSP” i Microsoft 365

De fleste problemer starter ikke med ondsindede leverandører. De starter med manglende transparens: brede admin-rettigheder, utydelige ændringsprocesser og ingen baseline. Microsoft beskriver, hvordan angribere i stigende grad går efter IT-leverandører for at ramme mange kunder via samme adgang (Microsoft Digital Defense Report, 2025: kilde).

Før → Efter (1):
Før: Leverandøren er Global Admin “for en sikkerheds skyld”, og I får kun statusmails.
Efter: Leverandøren bruger PIM med tidsbegrænset adgang, separate break-glass-konti ejes af jer, og alle privilegerede handlinger logges og gennemgås månedligt (CISA, 2025: Secure by Design).

Før → Efter (2):
Før: Sikkerhedspolitikker ændres løbende uden tydelig change-log; I opdager det først ved audit eller incident.
Efter: I har en fast konfigurationsbaseline for M365/Azure, og afvigelser udløser en opgave: “godkend, revert eller dokumentér” (konfigurationsovervågning/UTCM).

Illustration af adgangsstyring med PIM og tidsbegrænset admin-adgang for ekstern MSP

Sådan vælger I mellem fuld outsourcing og co-managed IT

For mange danske SMB’er er den praktiske løsning co-managed IT: I beholder beslutningsretten og ejerskab over identitet, data og risikostyring, mens en partner leverer drift, specialister og vagtordning. Det reducerer vendor lock-in og gør jer mindre sårbare, hvis leverandøren får problemer (Forrester, 2026: kilde).

Hvad skal være internt (selv om I outsourcer drift)?

  • Risikoejer: hvem accepterer risiko, og hvem kan sige “stop” ved ændringer.
  • Identitet og privilegier: ejerskab af Entra ID, break-glass, Conditional Access-politikker, PIM-model.
  • Datagovernance: klassifikation, retention, DLP og godkendelse af AI/Copilot-scope.
  • Leverandørstyring: krav til logs, rapporter, review-møder, audit og exit-plan.

Hvad giver mening at outsource?

  • 24/7 overvågning og drift: patching, backup/restore-test, hændelseshåndtering, standardændringer.
  • Specialister: Azure netværk/landing zone, Defender-konfiguration, Purview-opsætning.
  • Dokumentationsproduktion: runbooks, change-log, compliance-artefakter – men med jer som ejere.

Vil I have en co-managed plan, der holder til NIS2?
Book 30 min sparring. Vi gennemgår jeres M365/Azure-roller, leverandøradgange og dokumentation – og giver en konkret plan for, hvad I skal eje selv, og hvad vi kan drifte for jer. Kontakt A-one Solutions.

Tjekliste: Leverandørstyring i M365/Azure (NIS2-praktisk)

Brug tjeklisten som beslutningsgrundlag, før I forlænger en MSP-aftale, eller når I vil fra fuld outsourcing til co-managed.

Kontrolpunkt Hvad I kigger efter Minimumskrav (tommelregel)
Privilegeret adgang Hvem har admin-roller, hvordan gives adgang, og hvor længe? PIM + tidsbegrænset adgang. Ingen “permanent Global Admin” til eksterne. Break-glass ejes af jer.
Adskillelse af pligter Kan samme person ændre politik og godkende ændringen? 4-øjne på sikkerhedskritiske ændringer (Conditional Access, mail flow, DLP, MFA).
Change management Change-log, risikovurdering, rollback-plan Alle ændringer dokumenteres med “hvorfor”, “hvad”, “hvem”, “hvornår” + rollback.
Configuration drift Overvågning af afvigelser fra baseline Baseline for M365/Azure + alarm ved afvigelser (fx UTCM) og månedlig review.
Logging & audit Kan I selv tilgå logs og rapporter? I har læseadgang til relevante logs. Leverandøren leverer månedlig rapport med top admin-actions.
Resiliens og nedetid Hvad sker der ved tredjepartsnedbrud? Beredskab for SaaS/MSP-fejl, test af restore og kommunikationsplan (Uptime Institute, 2025: kilde).
Exit-strategi Hvordan overtager I drift uden downtime? Skrevet plan + gennemført tabletop-test. Adgang og dokumentation udleveres løbende, ikke “ved opsigelse”.

Diagram over co-managed IT hvor virksomheden ejer governance og leverandøren udfører drift

Hvorfor AI og Copilot er et særligt “nej” til fuld outsourcing

Når I ruller Copilot og AI-funktioner ud, bliver datatilgængelighed pludselig et produktivitetskrav. Hvis jeres SharePoint/Teams er præget af oversharing, får I et accelereret datalæk internt. Auxis/IBM peger på, at 97% af AI-relaterede databrud skyldes manglende intern governance (2026: kilde). Det er ikke et driftsspørgsmål. Det er ledelse, dataejerskab og arbejdsprocesser.

JD Supra fremhæver samtidig IP-risiko ved outsourcing af AI-processer: uden klare krav til data, modeller, rettigheder og exit, kan I ende med at miste kontrol over jeres egne forretningsaktiver (2026: kilde).

Beslutningsregel: Hvornår må Copilot/AI ikke rulles ud via “hurtig pakke”?

  • Ingen dataklassifikation eller labels på kritiske dokumentbiblioteker.
  • Ingen klar ejer af SharePoint-sites og Teams (hvem godkender eksterne delinger?).
  • Ingen DLP-politikker for persondata/kontrakter/økonomi.
  • Ingen plan for, hvilke grupper der får Copilot først (pilot), og hvad der måles på.

FAQ: IT-outsourcing, NIS2 og leverandørstyring

Hvem har ansvaret for NIS2 ved IT-outsourcing?

I har ansvaret. Leverandøren kan levere kontroller og dokumentation, men ledelsen skal kunne vise styring af leverandørrisiko og adgang (ENISA, 2025).

Kan man outsource NIS2 compliance?

I kan outsource arbejdet (kontroller, overvågning, rapporter), men ikke beslutningerne. Tommelfingerregel: alt der handler om risikotolerance, godkendelser og prioritering skal være jeres “Govern” (NIST CSF 2.0, 2025).

Hvad er ledelsens ansvar i NIS2 (Artikel 20) i praksis?

At sikre, at sikkerhed og leverandørstyring bliver gennemført og kan dokumenteres: roller, adgangskontrol, hændelsesberedskab, og at der bliver fulgt op. Hvis I ikke kan forklare jeres kontroller og få rapporter frem hurtigt, er I sårbare ved audit og incident.

Hvordan overvåger man sin IT-leverandør i Microsoft 365?

Kræv (1) PIM/tidsbegrænset adgang til privilegerede roller, (2) månedlig rapport over admin-aktiviteter, (3) change-log med rollback, og (4) baseline-overvågning mod configuration drift (fx UTCM). CISA anbefaler aktiv kunde-overvågning af MSP-adgange (2025: kilde).

Hvad er co-managed IT?

En model hvor I ejer strategi, data og kritiske beslutninger, mens en partner udfører drift og sikkerhedsopgaver efter jeres krav. Det giver jer kontrol og gør leverandørskifte realistisk uden panik-migrering.

Hvilke tegn peger på vendor lock-in i M365?

Hvis kun leverandøren kan: ændre Conditional Access, tilgå dokumentation, forklare opsætningen, eller udlevere scripts/konfigurationsdata. En anden indikator er, at alt faktureres som “pakke”, så I ikke kan se, hvad der faktisk bliver gjort (Forrester, 2026).

Hvad er den største praktiske risiko ved fuld outsourcing i 2026?

At en tredjepartsfejl eller kompromitteret leverandør rammer jer hårdt og hurtigt. Uptime Institute peger på tredjepartsfejl som en stor årsag til kritiske outages (2025: kilde). Det taler for exit-plan, segmentering af adgang og tydelig governance.

Sådan kommer I i gang (konkrete skridt)

  1. Udpeg 4 ejere internt: identitet (Entra ID), data (Purview), sikkerhed (Defender) og leverandørstyring (kontrakt + audit).
  2. Kortlæg privilegerede roller: lav en liste over alle admin-konti (inkl. eksterne), og fjern permanent høj adgang. Indfør PIM.
  3. Fastlæg en konfigurationsbaseline: definér jeres minimum for MFA/Conditional Access, mail flow, DLP og logging. Aftal hvad der kræver 4-øjne.
  4. Indfør change-log og månedlig review: én side pr. change: formål, risiko, test, rollback, godkender. Gennemgå afvigelser og driftshændelser fast.
  5. Byg exit-planen nu: skriv processen for overdragelse, adgang, dokumentation og nøglekonti. Kør en tabletop-test med leverandøren.
  6. Hvis I vil have Copilot/AI: start med dataklassifikation, SharePoint-ejerskab og DLP – pilotér med én afdeling og mål oversharing-fund før bred udrulning.

Hvis I vil have hjælp til at sætte governance og drift op som co-managed IT, kan I læse mere om vores tilgang til compliance og drift.

Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed er en gratis garanti hos os!

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde