Advania logo
    Kontakta oss
    Gå tillbaka

    RTO & RPO

    Vad är RTO och RPO?

    Recovery Time Objective (RTO) och Recovery Point Objective (RPO) är två grundmått inom kontinuitets- och katastrofplanering. RTO anger hur lång tid det maximalt får ta innan ett system eller en tjänst är igång igen efter ett avbrott. RPO anger hur mycket data verksamheten maximalt tål att förlora, uttryckt som tid – till exempel "högst en timmes data". Tillsammans sätter de ribban för hur er Disaster Recovery-lösning måste designas.

    Betydelsen av RTO och RPO

    Utan tydliga RTO- och RPO-mål blir kontinuitetsarbetet gissningar. Måtten översätter affärskrav till tekniska krav: hur ofta data måste säkerhetskopieras, vilken redundans som behövs och vad återställningen får kosta. De är också centrala när krav från regelverk som NIS2 och DORA ska omsättas i praktiken – tillsynsmyndigheter förväntar sig att kritiska tjänster har definierade och testade återställningsmål. Skillnaden mellan en RTO på fyra timmar och fyra dygn kan vara skillnaden mellan en hanterbar incident och allvarlig skada för verksamheten, kunderna och varumärket.

    Så fungerar RTO och RPO

    Måtten sätts per system eller tjänst, utifrån hur kritisk den är för verksamheten:

    • RTO – tid till återställning: Klockan startar när avbrottet inträffar och stannar när tjänsten fungerar igen. En RTO på två timmar kräver helt andra lösningar (standby-miljöer, automatisk failover) än en RTO på två dygn.
    • RPO – acceptabel dataförlust: Avgör hur ofta data måste kopieras. En RPO på 24 timmar klaras med nattlig backup; en RPO nära noll kräver kontinuerlig replikering.
    • Differentiering: Alla system ska inte ha samma mål. Affärskritiska tjänster får snäva mål, stödsystem generösare – annars blir lösningen onödigt dyr.
    • Dokumentation och test: Målen skrivs in i DRP:n och verifieras genom återkommande återställningstester. Ett mål som aldrig testats är bara en förhoppning.

    Generellt gäller: ju snävare RTO och RPO, desto högre kostnad. Konsten är att hitta nivån där kostnaden för skyddet möter kostnaden för avbrottet.

    Användningsområden för RTO och RPO

    RTO och RPO används som styrande krav i flera sammanhang. I en Business Continuity Plan (BCP) kopplar de kritiska processer till konkreta återställningskrav. Vid upphandling av drift, molntjänster eller DRaaS fungerar de som mätbara krav i avtal och SLA:er. De styr också valet av backuplösning och arkitektur – och ger ledningen ett gemensamt språk med IT: i stället för tekniska detaljer kan diskussionen handla om "hur länge klarar vi oss utan ordersystemet?".

    Sätt rätt återställningsmål med Advania

    Advania hjälper organisationer att ta fram RTO- och RPO-mål som speglar verkliga affärsbehov – inte bara tekniska antaganden. Det handlar om att analysera vad avbrott faktiskt kostar, designa backup- och återställningslösningar som möter målen och testa att de håller i skarpt läge. Rätt satta mål ger trygghet utan att överinvestera i skydd som verksamheten inte behöver.

    Vanliga frågor och svar om RTO och RPO

    Vad är skillnaden mellan RTO och RPO?

    RTO handlar om tid till återställning – hur länge tjänsten får vara nere. RPO handlar om dataförlust – hur gammal den senaste återställningspunkten får vara. Ett system kan ha snäv RPO men generös RTO, eller tvärtom, beroende på vad som skadar verksamheten mest.

    Vad är en rimlig RTO och RPO?

    Det finns inget universellt svar – det beror på vad avbrottet kostar. En e-handel kan behöva minuter, medan ett internt analyssystem kan tåla dagar. Utgångspunkten är en Business Impact Analysis som visar vad varje timmes avbrott faktiskt innebär.

    Hur uppnår man en RPO nära noll?

    Det kräver kontinuerlig eller synkron replikering av data till en sekundär miljö, ofta kombinerat med automatisk failover. Det är betydligt dyrare än schemalagd backup och bör reserveras för verkligt kritiska system.

    Vem bestämmer RTO och RPO – IT eller verksamheten?

    Verksamheten äger kraven, IT realiserar dem. Det är verksamheten som vet vad ett avbrott kostar i utebliven försäljning, stillestånd eller förtroende. IT:s roll är att visa vad olika nivåer kostar att uppnå, så att beslutet blir en medveten avvägning.

    Viktiga punkter att ta med sig om RTO och RPO
    • RTO: maximal tid innan ett system ska vara återställt efter avbrott.
    • RPO: maximal mängd data, mätt i tid, som verksamheten tål att förlora.
    • Affärsdrivet: målen ska utgå från avbrottskostnad, inte teknisk magkänsla.
    • Kostnadsavvägning: snävare mål kräver dyrare lösningar – differentiera per system.
    • Testas: mål som inte verifierats genom återställningstester ger falsk trygghet.
    DIGITAL MOTSTÅNDSKRAFT

    Hur snabbt är er verksamhet igång igen efter ett avbrott?

    Utforska digital motståndskraft

    Andra relevanta ord i samma kategori