Bør bedriften din ha en exit-strategi for sky-tjenester?
28. mai 2025
Lesetid: 4 min
Norske bedrifter migrerer til skytjenester for å øke innovasjon, skalerbarhet og operasjonell effektivitet. Endringer i det geopolitiske landskapet, skjerpede krav til personvern og datasuverenitet (for eksempel Schrems II-avgjørelsen), og utfordringer knyttet til leverandøravhengighet, gjør at bedriftsledere må spørre seg: Hvilke beredskapsplaner har vi dersom en endring av skyleverandør blir nødvendig eller ønskelig?
Kompleksiteten øker i skyen
Utenlandske skyleverandører tilbyr et bredt spekter av løsninger, fra fundamental infrastruktur til avanserte forretningsapplikasjoner. Selv om skytjenestene brukes for å øke fleksibilitet og effektivitet, kan de også medføre en betydelig økning i operasjonell og administrativ kompleksitet. Denne kompleksiteten stammer fra et stadig mer mangfoldig landskap av ulike tjenester og leverandører, krevende systemintegrasjoner, et fragmentert ansvar for informasjonssikkerhet på tvers av plattformer, samt en stadig mer intrikat regulatorisk situasjon. En proaktiv og velutviklet exit-strategi er derfor ikke en indikasjon på en umiddelbar endring, men heller en sentral del av robust risikostyring og en langsiktig digital strategi.
Hvorfor exit-strategier er aktuelt nå
Det er flere faktorer du bør vurdere dersom du tenker å lage en exit-strategi:
Regulatorisk etterlevelse
Personvernforordningen (GDPR) stiller strenge krav til behandling og overføring av personopplysninger. Lovgivning i tredjeland, slik som den amerikanske CLOUD Act, kan medføre utfordringer knyttet til vern av data lagret hos leverandører underlagt slik jurisdiksjon, uavhengig av serverlokasjon. Dette krever grundige vurderinger og potensielle risikoreduserende tiltak.
Leverandøravhengighet (vendor lock-in)
En sterk integrasjon med én enkelt leverandørs proprietære teknologi og økosystem kan begrense bedriftens fleksibilitet og forhandlingsposisjon. Kostnadene og kompleksiteten ved et eventuelt bytte kan bli betydelige.
Geopolitisk og økonomisk usikkerhet
Endringer i internasjonale relasjoner, handelsavtaler eller sanksjoner kan påvirke tilgjengeligheten og stabiliteten til tjenester levert fra spesifikke jurisdiksjoner. Leverandørers prismodeller kan også endres, og påvirke den langsiktige kostnadseffektiviteten.
Sikring av forretningskontinuitet
Uforutsette hendelser som oppkjøp av leverandører, endringer i deres tjenesteportefølje, økonomisk ustabilitet hos leverandøren, eller alvorlige sikkerhetshendelser, kan true kontinuiteten i tjenesteleveransen. En exit-strategi er en kritisk del av en helhetlig plan for forretningskontinuitet.
Exit-strategi er strategisk beredskap
En exit-strategi for skytjenester er en formalisert plan som beskriver hvordan en virksomhet på en kontrollert og effektiv måte kan migrere sine data, applikasjoner og tjenester fra en nåværende skyleverandør til en alternativ løsning. Formålet er å minimere operasjonelle forstyrrelser, datatap og unødvendige kostnader, dersom en slik overgang blir nødvendig. Det handler om å sikre valgfrihet og strategisk handlingsrom.
Kjerneelementer i utviklingen av en exit-strategi
Prosessen kan deles inn i følgende hovedfaser:
Fase 1: Kartlegging og risikoanalyse
Det er helt nødvendig at vi har en grundig forståelse an nå-situasjonen.
- Kartlegg tjenesteporteføljen: Identifiser samtlige utenlandske skytjenester dere bruker, inkludert de som eventuelt ikke er formelt administrert ("skygge-IT"). Dokumenter formålet med hver tjeneste, hvilke data som behandles (inkludert klassifisering av sensitivitet og personopplysninger), og hvilke forretningsprosesser som er avhengige av dem.
- Risikoanalyse: Vurder de spesifikke risikoene knyttet til hver tjeneste. Dette inkluderer risiko relatert til datasuverenitet, leverandøravhengighet, kostnadsstruktur, datasikkerhet og operasjonell stabilitet. Identifiser hvilke tjenester som er mest forretningskritiske.
Fase 2: Identifisere alternativer og utforming av migreringsplaner
Med en klar risikoprofil kan dere starte arbeidet med å identifisere og planlegge for alternativer.
- Undersøk markedet for alternative leverandører, med et særskilt fokus på norske og europeiske aktører som opererer innenfor EØS-regelverket. Evaluer disse basert på funksjonalitet, kostnad, sikkerhetsprofil (inkludert GDPR-etterlevelse), datalokasjon, og migreringskompleksitet. Vurder også ulike leveransemodeller som hybridsky eller multi-cloud.
- For de mest kritiske tjenestene, utarbeid skisserte migreringsplaner. Disse bør adressere dataeksport og -import, rekonfigurering av applikasjoner og integrasjoner, samt estimert tidsbruk og ressursbehov.
- Definer utløsende faktorer ("triggere"). Fastsett spesifikke hendelser eller terskelverdier som vil initiere en beslutning om å iverksette exit-planen. Dette kan inkludere vesentlige prisøkninger, endringer i lovgivning, alvorlige sikkerhetsbrudd, eller vedvarende brudd på tjenestenivåavtaler (SLA).
Fase 3: Forberedelser og risikoreduserende tiltak
Implementering av visse tiltak i forkant kan betydelig forenkle en eventuell fremtidig migrering.
- Der det er mulig, favoriser åpne standarder og teknologier som fremmer portabilitet, slik som containerisering (f.eks. Docker). Dette reduserer teknisk binding til spesifikke plattformer.
- Etabler robuste rutiner for uavhengig sikkerhetskopiering av data fra skytjenester, fortrinnsvis til en separat lokasjon (ideelt sett innenfor EØS). Gjennomfør regelmessige tester av datagjenoppretting.
- Gjennomgå eksisterende avtaler med skyleverandører med fokus på vilkår for dataportabilitet, oppsigelse og assistanse ved tjenesteavvikling. Vær bevisst på disse aspektene ved inngåelse av nye avtaler.
Fase 4: Kontinuerlig vedlikehold og oppdatering
En exit-strategi er et dynamisk dokument som krever periodisk revisjon.
- Gjennomgå og oppdater strategien årlig, eller ved vesentlige endringer i virksomhetens IT-miljø, risikobilde, eller det regulatoriske landskapet.
- Følg med på utviklingen hos nåværende og potensielle alternative leverandører, samt relevante endringer i lovgivning og trusselbildet.
Innledende tiltak
- Intern forankring: Plasser temaet på agendaen for ledelsen og relevante beslutningstakere.
- Prioriter kartlegging: Begynn med en kartlegging og risikovurdering av de mest forretningskritiske utenlandske skytjenestene.
- Søk kompetanse: Vurder å engasjere eksterne rådgivere med spesialisert kompetanse innen IT-sikkerhet, skyarkitektur og regulatorisk etterlevelse for å støtte prosessen.

Bjarte Malmedal Fagdirektør digital sikkerhet bma@nsr-org.no +47 99094838
Oppdatert: 28. mai 2025
Publisert: 25. mai 2025