Hvordan lage en exit-strategi fra skygigantene
I februar gikk Nasjonal Sikkerhetsmyndighet ut med en tydelig oppfordring til norske virksomheter: Lag en exit‑strategi. Men, hva betyr egentlig det i praksis? Og hvor starter du hvis du ikke allerede har en?
I denne artikkelen vil vi gi deg konkrete tiltak til hvordan en norsk SMB bør forholde seg til verdensbildet, og samtidig være digitalt robuste.
Publisert: 12.03.2026
«Vi tar en håndsopprekking. Bør vi erstatte «big tech»?». Heldigvis må du ikke finne ut av alt selv …
En exit-strategi er en beredskapsplan
Hvis et IT-system blir utilgjengelig for bedriften din på grunn av geopolitikk, kan det føre til stopp i produksjon, økonomiske tap og i beste fall redusert produktivitet. Formålet med en exit-strategi er å sikre at du kan drive bedrift, selv i krisesituasjoner. Vi anbefaler alle våre kunder å lage en exit-strategi. Men, denne bør være en del av en større strategi, også kalt en beredskapsplan. Denne planen gjør at du kan snu deg kjapt om ting brenner, enten «triggeren» er geopolitisk eller et hackerangrep.
For å lage en exit-strategi må bedriften din …
1. kartlegge alle systemer dere bruker
2. evaluere risikoen
3. skrive ned tiltak til hva dere skal gjøre hvis risikoen blir for stor
Har du gjort dette, er du helt i tråd med NSM sine sikkerhetsanbefalinger for 2026.
Før vi går i gang med kartlegging, er det viktig å understreke at en exit-strategi ikke nødvendigvis betyr at du må bort fra skyen eller «big tech» som Microsoft og Google. Det handler heller om å få kontroll og ha alternative muligheter klare for et bytte, dersom risikoen blir for høy.
Med det sagt, la oss komme i gang med planen!
1. Kartlegging
Alle IT-systemer som bedriften din bruker, bør kartlegges i en exit-strategi. Start med å liste dem opp, mens du svarer på følgende spørsmål:
Hva er formålet med tjenesten?
> Hvilke data behandles?
> Hvilke prosesser er avhengige av systemet?
> Hvilken sky ligger dette systemet i?
> Rutiner for backup fra system?
> Hva påvirkes av eventuell stans?
> Hvem er ansvarlig?
For eksempel bruker flere av våre kunder Visma til å kjøre lønn og timeføring.
Det kunne gjerne sett slik ut:
Tabell: Enkel kartlegging av skysystem
2. Risikovurdering
Når du har en oversikt over alle systemer, må du vurdere hvor kritisk systemene er for bedriften din og hvilken risiko som følger med dersom systemet blir utilgjengelig.
Definer «triggere» for å iverksette en exit-plan. Det kan for eksempel være prisendringer, alvorlige sikkerhetsbrudd, brudd på personvernet eller tjenestenekt.
Risiko regner vi gjerne sammen med våre kunder, ut fra hvor sannsynlig det er for at en hendelse inntreffer, mot hvor alvorlig det er dersom hendelsen skjer.
Eksempel: Hvis Visma plutselig blir utilgjengelig har det en alvorlig konsekvens for organisasjonen, men sannsynligheten for at det skjer er lav.
Det utgjør en moderat risiko.
Risikovurderingen vil legge føringer for hva du prioriterer i en exit-plan. Det er gjerne opplagt, men vi skriver det likevel: start med systemene som er mest kritiske for din bedrift.
Tips! En tommelfingerregel bør være at kritisk infrastruktur og sensitive data ikke må være låst til løsninger du ikke kan kontrollere eller forlate.
3. Tiltak
Med en oversikt over risiko kan dere begynne å tenke på en eventuell plan B. Her er det konkrete tiltak som skal iverksettes dersom verdensbildet krever det.
Start på toppen, med dine mest kritiske systemer.
Vurder:
> Hvor enkelt er det å eksportere data fra eksisterende leverandør?
> Hvilke regler har de for eventuell oppsigelse?
> Finnes det europeiske aktører som opererer innenfor EØS-regelverket?
> Har alternativet funksjonaliteten vi trenger?
En enkel øvelse kan for eksempel se slik ut:
Prosesskart: Kartlegging av leverandør (klikk på bildet for å få det større)
Eller med Visma som eksempel:
Prosesskart: Kartlegging av Visma (klikk på bildet for å få det større)
Hva så, etterpå?
Fornøyd kan du nå lene deg tilbake med din helt egne exit-strategi. Nesten.
Det gjenstår fremdeles noe arbeid før du kan hive beina på bordet.
Et av våre viktigste tips er å forankre arbeidet hos ledelse og i organisasjonens strategiarbeid. Dette prosjektet kan ikke bare eies av IT-avdelingen, men bør sees på som en del av en større beredskapsplan.
Exit-strategien trenger også jevnlig pleie med oppdateringer årlig, eller oftere dersom det har skjedd større endringer i deres interne IT-miljø eller i verdensbildet generelt.
En exit-strategi oppsummert
For å etterleve NSM sin anbefaling er selve vurderingen av risiko og alternative leverandører nøkkelen i en exit-strategi. Ikke nødvendigvis at du må iverksette en exit fra skygigantene nå.
Realiteten er at de fleste europeiske alternativene til selskap som Microsoft, Google og Amazon er ikke i nærheten av gode nok enda. Verken med tanke på funksjonalitet, pris, IT-sikkerhet eller brukervennlighet. Stordriftsfordelene som «big tech» kommer med, er det rett og slett få, eller ingen, europeiske alternativer som kan matche. Enda … (leses med håp i stemmen).
Et bytte for å være «føre var» kan rett og slett hemme innovasjon og fremskritt for en vanlig norsk SMB.
[ Ønsker du din egen exit-strategi? ]
Vi hjelper deg gjerne.
Lei av å fylle ut skjemaer?
Du kan også ringe 51 22 70 00, mandag–fredag kl. 07-21, eller sende noen ord til hei@upheads.no.
-
Hvorfor snakker alle om skyen?
Det virker som at skyen er alt «alle» snakker om for tiden, men diskusjonene kan fort bli svevende. ...
→ Les mer -
Notepad++ hacket av statssponsede banditter
Et av verdens mest brukte Windows‑verktøy er blitt hacket i et statlig støttet cyberangrep. Notepad...
→ Les mer -
Phishing: Hvordan kan du beskytte deg mot dataangrep?
Har du fått en e-post om at du har arvet flere milliarder fra en slektning du aldri har hørt om? Ell...
→ Les mer