Valg af IT-leverandør: 5 røde flag der afslører en dårlig MSP

Dansk virksomhedsleder gennemgår IT-leverandørkontrakt med tjekliste for røde flag

Valg af IT-leverandør: 5 røde flag der afslører en dårlig MSP

Af Sten Albert Person A-one Solutions ·
·
Kategori: Drift

Jeres IT-leverandør har adgang til alt: jeres data, jeres brugere, jeres forretningskritiske systemer. Alligevel vælger de fleste SMV’er leverandør ud fra mavefornemmelse og pris pr. time. Ifølge en analyse fra Computerworld og DI (2026) føler 2 ud af 3 danske virksomheder, at de ikke kan skifte IT-leverandør – selv når de er utilfredse. Denne artikel giver jer de konkrete advarselstegn, I skal kigge efter ved valg af IT-leverandør, og de spørgsmål I skal stille, før I skriver under.

Det vigtigste fra artiklen

  • Break/fix-modellen er dyrere end fastpris: Timepris-IT skaber et incitament, hvor leverandøren tjener mere, jo flere problemer I har. Skift til managed services med fast pris pr. bruger.
  • Jeres MSP er et angrebsmål: Ransomware-angreb mod MSP-kunders miljøer er steget 33 % (Gitnux, 2026). Kræv dokumentation for leverandørens egen sikkerhed.
  • Vendor lock-in er reelt: Sørg for exit-klausuler, dataejerskab og adgang til jeres egen M365-tenant fra dag 1.
  • NIS2 gør jer ansvarlige for leverandørens sikkerhed: En dårlig MSP kan gøre jer non-compliant – uanset hvor godt I selv kører.
  • Kræv konkrete SLA’er: “Vi svarer hurtigst muligt” er ikke en SLA. Forlang dokumenterede RTO- og RPO-mål.

Sammenligning af break-fix timepris versus managed services fastpris for dansk SMV

Rødt flag 1: Leverandøren sælger timer – ikke oppetid

Den klassiske break/fix-model fungerer sådan: noget går i stykker, I ringer, leverandøren fakturerer pr. time. Problemet? Leverandøren har nul incitament til at forebygge nedetid. Tværtimod: jo flere problemer, jo højere omsætning.

Ifølge Forrester (2025) skifter markedet markant fra per-device og timepris til per-user og value-based pricing. Moderne managed IT-services inkluderer proaktiv overvågning, patching og sikkerhed i én fast pris. Det giver leverandøren et direkte incitament til at holde jeres miljø stabilt.

Før: I betaler 1.200 kr./time for brandslukninger. Nedetid koster jer 15.000–50.000 kr. pr. time i tabt produktivitet – men det står ikke på IT-fakturaen.
Efter: Fast pris pr. bruger med proaktiv overvågning. Leverandøren opdager og løser problemer, før I mærker dem. Nedetid falder typisk 40–60 %.

Rødt flag 2: Ingen dokumentation for MSP’ens egen sikkerhed

Jeres IT-leverandør har admin-adgang til jeres Microsoft 365-tenant, jeres servere og jeres backup. Hvis leverandøren selv bliver kompromitteret, er I næste offer.

Gitnux (2026) dokumenterer, at ransomware-angreb mod MSP-kunders miljøer er steget 33 % på ét år. CISA anbefaler, at SMV’er kræver adskilte admin-konti og log-opbevaring fra deres MSP – netop for at undgå supply-chain-angreb.

Spørg jeres leverandør direkte:

  • Bruger I MFA på alle admin-konti og RMM-værktøjer?
  • Er jeres admin-konti adskilt fra andre kunders miljøer?
  • Har I en SOC, der overvåger jeres eget miljø 24/7?
  • Kan I fremvise en uafhængig sikkerhedsaudit?

Hvis svaret er vagt eller undvigende, er det et rødt flag. Under NIS2 (ENISA, 2025) er I som virksomhed ansvarlige for dokumenteret risikostyring hos jeres IT-leverandør.

Tjekliste med sikkerhedsspørgsmål til IT-leverandør ved kontraktforhandling

Rødt flag 3: I ejer ikke jeres egne data og tenant

Computerworld/DI (2026) viser, at 66 % af danske virksomheder oplever tekniske eller kontraktuelle barrierer, når de vil skifte leverandør. Den hyppigste årsag: leverandøren kontrollerer M365-tenanten, DNS-domæner eller backup-løsningen.

Kræv fra dag 1:

  • At jeres Microsoft 365-tenant er registreret i jeres virksomheds navn.
  • At I har Global Admin-adgang (opbevaret sikkert hos jer selv).
  • At kontrakten indeholder en exit-klausul med tidsramme for overdragelse.
  • At backup-data er jeres ejendom og kan eksporteres i standardformat.

Før: Leverandøren ejer tenanten. Skift tager 3–6 måneder og koster en formue i migration.
Efter: I ejer tenanten fra start. Skift af leverandør kræver kun ændring af delegeret admin-adgang – uden datatab.

Rødt flag 4: SLA’en siger “hurtigst muligt”

En SLA uden målbare forpligtelser er ikke en SLA. Den er en hensigtserklæring. Når jeres ERP-system er nede fredag eftermiddag, hjælper “hurtigst muligt” ikke.

Kræv som minimum:

  • Responstid pr. prioritet: P1 (forretningskritisk nedbrud) = maks 30 min. P2 = maks 2 timer. P3 = maks 8 timer.
  • RTO (Recovery Time Objective): Hvor hurtigt er I oppe igen efter nedbrud?
  • RPO (Recovery Point Objective): Hvor meget data kan I maksimalt miste?
  • Oppetidsgaranti: 99,5 % oppetid er ikke det samme som 99,9 %. Forskellen er 3,6 timer pr. måned.

Er I usikre på, om jeres nuværende IT-aftale lever op til kravene? Book 30 minutters fortrolig sparring med A-one Solutions – vi gennemgår jeres kontrakt og SLA og peger på konkrete huller. Book sparring her.

Rødt flag 5: Sikkerhed er et tilkøb – ikke en del af grundpakken

Ifølge Microsofts Digital Defense Report (2025) starter over 90 % af cyberangreb mod SMV’er via kompromitterede identiteter. MFA, Conditional Access og EDR er ikke “nice to have”. Det er minimumskrav.

Hvis jeres leverandør tilbyder antivirus og firewall som “sikkerhedspakke” og fakturerer MFA, backup og overvågning som ekstra moduler, kører I på en forældet model.

Tjekliste: Hvad en moderne MSP-aftale skal indeholde i 2026

Komponent Forældet MSP (2020) Moderne MSP (2026)
Endpoint-sikkerhed Antivirus EDR/XDR (fx Microsoft Defender for Business)
Identitetsbeskyttelse Password-politik MFA + Conditional Access + Entra ID-overvågning
Backup Daglig backup til lokal NAS Immutable cloud-backup med dokumenteret RPO
Overvågning Reaktiv (I ringer ved fejl) Proaktiv RMM + SOC med AI-trusselsdetektion
Prismodel Timepris / per enhed Fast pris pr. bruger (alt inkluderet)
Governance Ingen rapportering Månedlig rapport + kvartalsvis strategimøde
Compliance “Vi overholder GDPR” Dokumenteret NIS2-risikostyring + audit trail
Exit-strategi Ingen aftale Kontraktuel exit-klausul med overdragelsesplan

Oversigt over moderne MSP-stack med EDR, immutable backup og proaktiv overvågning

Hvorfor valg af IT-leverandør er et sikkerhedsspørgsmål – ikke kun et driftsspørgsmål

NIST Cybersecurity Framework 2.0 (2024) tilføjede “Govern” som ny kernefunktion. Det betyder, at virksomheder skal dokumentere kontrol med hele deres forsyningskæde – inklusiv IT-leverandøren. ENISA’s NIS2-retningslinjer (2025) skærper dette yderligere: en MSP uden dokumenteret sikkerhed gør jer non-compliant.

Integris (2026) viser, at cybersikkerhed vokser 18 % årligt som MSP-ydelse, og 56 % af MSP’er bruger nu AI til trusselsdetektion. Hvis jeres leverandør ikke kan forklare, hvordan de opdager trusler proaktivt, halter de bagefter. Læs mere om compliance-krav til IT-leverandører.

Ofte stillede spørgsmål om valg af IT-leverandør

Hvad er forskellen på break/fix og managed IT-services?

Break/fix fakturerer pr. time, når noget går i stykker. Managed services er en fast månedlig pris, der inkluderer proaktiv overvågning, sikkerhed og support. Managed services giver leverandøren incitament til at forebygge problemer – break/fix belønner det modsatte.

Hvad koster managed IT-services for en SMV?

Typisk 500–1.500 kr. pr. bruger pr. måned afhængigt af sikkerhedsniveau og kompleksitet. Sammenlign med jeres reelle break/fix-omkostninger inkl. nedetid – de fleste SMV’er betaler mere for reaktiv IT, når alt regnes med.

Hvordan skifter man IT-leverandør uden nedetid?

Kræv en overdragelsesplan i kontrakten. Sørg for, at I ejer jeres M365-tenant og DNS-domæner. En struktureret transition tager typisk 2–4 uger med den rette forberedelse. Læs mere om IT-drift og transition.

Hvad skal en IT-kontrakt indeholde?

Minimum: SLA med målbare responstider (P1/P2/P3), RTO/RPO, oppetidsgaranti, exit-klausul med tidsramme, dataejerskab, og dokumentation for leverandørens egen sikkerhed.

Er min virksomhed ansvarlig for IT-leverandørens sikkerhed under NIS2?

Ja. NIS2 kræver dokumenteret risikostyring af hele forsyningskæden. Hvis jeres MSP bliver kompromitteret, og I ikke kan dokumentere, at I har stillet krav til deres sikkerhed, er I non-compliant.

Hvad er vendor lock-in, og hvordan undgår jeg det?

Vendor lock-in opstår, når tekniske eller kontraktuelle barrierer gør det dyrt eller umuligt at skifte leverandør. Undgå det ved at eje jeres egen tenant, kræve standardformater til dataeksport og forhandle exit-klausuler inden kontraktunderskrift.

Hvad er co-managed IT?

En model hvor jeres interne IT-ansvarlige samarbejder med en ekstern MSP. MSP’en leverer specialistkompetencer, 24/7 overvågning og enterprise-værktøjer – den interne IT-mand beholder kontrollen og det daglige overblik. Læs mere om co-managed IT-drift.

Sådan handler I nu: 5 konkrete skridt

  1. Auditér jeres nuværende kontrakt: Tjek om I har dokumenterede SLA’er med RTO/RPO, exit-klausul og dataejerskab. Mangler ét af disse punkter, er det en forhandling værd.
  2. Verificér tenant-ejerskab: Log ind på admin.microsoft.com og bekræft, at jeres virksomhed er registreret som ejer af M365-tenanten. Gør det i dag.
  3. Stil de 4 sikkerhedsspørgsmål: Spørg jeres leverandør om MFA på admin-konti, adskilte tenants, SOC-overvågning og uafhængig audit. Dokumentér svarene.
  4. Sammenlign jeres reelle IT-omkostninger: Læg timeforbrug, nedetid og ad hoc-fakturaer sammen over 12 måneder. Sammenlign med et managed services-tilbud pr. bruger.
  5. Book en second opinion: Få en uafhængig vurdering af jeres IT-setup, sikkerhedsniveau og kontrakt. Kontakt A-one Solutions for 30 minutters fortrolig sparring.

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?