Cybersäkerhetslagen är här – vad NIS2 faktiskt kräver av ditt affärssystem

Den 15 januari 2026 började Sveriges nya cybersäkerhetslag gälla – implementeringen av EU:s NIS2-direktiv. För de som arbetat med den gamla NIS-lagen är steget tydligt: fler sektorer, skarpare ansvar, och böter på upp till två procent av global omsättning. För de tusentals svenska bolag som aldrig behövt bry sig om NIS är det en större omställning än de flesta hunnit landa i.

Det intressanta är att diskussionen i styrelserummen oftast kretsar kring brandväggar, incidentrutiner och säkerhetscertifikat. Men en del av NIS2 som sällan nämns tidigt i projekten är affärssystemet. Och det är där många bolag kommer få problem när Myndigheten för samhällsskydd och beredskap eller sektorsmyndigheten dyker upp på tillsyn.

Många fler omfattas än tidigare

NIS2 utvidgar listan över sektorer som räknas som viktiga eller väsentliga. Tillverkande industri, livsmedel, avfallshantering, kemikalietillverkning, digitala leverantörer och post- och budtjänster är några av tillskotten. Tröskeln är i grova drag 50 anställda eller 10 miljoner euro i omsättning – vilket fångar in en stor del av det svenska medelstora segmentet.

Det betyder att ett familjeägt bolag som tillverkar metallkomponenter i Småland, eller en livsmedelsgrossist i Mälardalen, nu sitter med samma typ av lagkrav som tidigare bara träffade teleoperatörer och banker. Den första tillsynsomgången från MSB är väntad att pågå under hösten 2026.

Varför affärssystemet är en del av regelverket

NIS2 kräver ett antal konkreta saker av bolagen: riskanalys, incidenthantering, kryptering, åtkomstkontroll, leveranskedjesäkerhet och rapportering av incidenter inom 24 timmar. Ett affärssystem rör alla dessa områden samtidigt. Det innehåller kunddata, leverantörsdata, prislistor, produktionsorder och finansiella transaktioner. Det är integrerat med både kontorssystem, produktion och externa partners.

Tillsynsmyndigheten kommer att ställa frågor som: Vem har tillgång till vilka delar av affärssystemet? Hur loggas behörighetsändringar? Finns det ett testat återställningsscenario? Hur snabbt kan ni isolera systemet vid ett pågående intrång? Var ligger datan geografiskt, och vem har nyckelhanteringen?

Det är frågor som är triviala att besvara för en modern molnplattform, och ofta outhärdligt besvärliga för ett lokalt installerat affärssystem från tidigt 2000-tal.

De tre områden där de flesta faller

I de revisionsrapporter som hittills publicerats från NIS-tillsyn – inklusive det gamla regelverket – återkommer tre brister:

• Behörighetshantering. Ett åldrande ERP har ofta alldeles för få rollnivåer. Ekonomichefen har administratörsrättigheter "för att det är smidigt", och ingen har städat bort konsulternas konton från 2019.
• Loggning. Det går att se att någon bokat om en faktura, men inte att någon exporterat hela kundregistret till en CSV klockan 23:47 en söndag.
• Återställning. Backuper finns – men ingen har faktiskt provat att återställa hela miljön på under ett dygn, vilket NIS2 i praktiken förutsätter för väsentliga aktörer.

Vad ett modernt affärssystem bör ge dig utan att du ber om det

Den som står inför NIS2-efterlevnaden har en enkel fråga att ställa till sitt affärssystem: hur mycket av det här kan jag visa upp på en tillsyn, utan att behöva bygga eller köpa till något?

• Granulär behörighet per modul, rapport och datatyp – inte bara per användare.
• Centraliserad, oföränderlig audit-logg över inloggningar, dataåtkomst och konfigurationsändringar, som kan exporteras till en SIEM-lösning.
• Dokumenterat SOC 2- eller ISO 27001-ramverk hos driftleverantören, så att ni kan luta er mot deras bevisläge istället för att bygga eget.
• Kryptering i vila och i transit som standard, utan separat konfiguration.
• Konkreta SLA:er för återställning och kommunikation vid säkerhetshändelser.

Visma Business NXT är byggt på en molnplattform där flera av dessa krav redan är löst på leverantörsnivå. Det innebär inte att kunden slipper arbete – GAP-analys, incidentrutiner och styrelsebeslut måste fortfarande göras – men ramverket runt datan är ett annat utgångsläge än en fem år gammal installation på en lokal Windows Server.

Det är precis den här typen av konkret regelverk – där ett EU-direktiv plötsligt ställer frågor som ett 25 år gammalt affärssystem aldrig var designat att svara på – som är en av anledningarna till att Northscale startade. Affärssystemsvärlden har på många sätt inte förändrats på tre decennier, trots att både systemen och affärsvärlden förändrats radikalt. Vi är en ny aktör med ny teknik och en leveransmodell som faktiskt ger ett annat resultat. När MSB gör sin första tillsynsrunda är det bättre att ha ett affärssystem som bär sin del av bevisbördan – inte ett som kräver att du gör allt manuellt.