En ekonomiansvarig sa till oss förra veckan: „Vi har SSO med MFA. Vi är säkra.” I samma andetag visade hon att samma användare som lägger upp leverantörer i affärssystemet också godkänner fakturor och triggar betalningar.
SSO är inloggning. Det är inte behörighet. Skillnaden börjar synas — och i höst, när MSB drar igång sin NIS2-tillsyn på allvar, kommer den synas mer.
SSO löser inte det problem många tror
Single sign-on betyder att användaren loggar in en gång och får åtkomst till flera system med samma identitet. Det är bra. Det minskar lösenordströtthet, gör avregistreringar enklare när någon slutar och ger en gemensam plats för MFA och loggning.
Men SSO säger ingenting om vad användaren får göra inuti systemet. Den frågan ligger kvar hos affärssystemets behörighetsmodell — och den är ofta byggd för åtta år sedan, av någon som inte jobbar kvar, för en organisation som inte längre finns.
„Ge Erik samma som Anna”
Behörighetsmodeller driver av en enkel anledning: ingen vill blockera sin kollega. När en ny ekonomiassistent börjar är det enklaste att kopiera Annas behörigheter. Sex månader senare börjar en redovisningsekonom — han får samma som Erik. Två år senare har Erik fått några extra rättigheter för ett projekt som aldrig blev av. Och Anna har slutat, men hennes konto används fortfarande som mall.
Resultatet är att „rollen” Ekonomiassistent inte längre existerar som en faktiskt definierad behörighet. Det finns fjorton personer med fjorton olika rättighetsuppsättningar, alla kallade samma sak. När någon frågar „vem kan godkänna fakturor över 100 000 kr?” är svaret en lista som ingen riktigt litar på.
Vad NIS2-tillsynen faktiskt frågar efter
Cybersäkerhetslagen trädde i kraft 15 januari 2026 och implementerar NIS2 i svensk rätt. MSB har varit tydliga med att tillsynen rampar upp under hösten 2026. För affärssystemets del handlar det inte i första hand om patch-nivåer eller brandväggar — det handlar om åtkomstkontroll.
Den fråga som faktiskt kommer ställas är: kan ni visa vem som har åtkomst till vad, varför, och när det senast sågs över? Det är där SSO kommer till korta. SSO-loggen visar att Erik loggade in 09:14. Den visar inte att Erik kan skapa en leverantör, godkänna fakturan och trigga betalningen — vilket han kan, för det har ingen pratat om sedan systemet rullades ut 2018.
Separation of duties är inte teori — det är ett löpande larm
Klassisk åtskillnad av arbetsuppgifter (segregation of duties, SoD) säger att samma person inte ska kunna göra alla steg i en känslig process. För leverantörsfakturaflödet betyder det: en person lägger upp leverantören, en annan godkänner fakturan, en tredje (eller systemet) triggar betalningen.
I praktiken kräver det två saker som de flesta affärssystem inte har inbyggt på ett användbart sätt:
- En behörighetsmodell som faktiskt går att läsa — där rollen Inköpare betyder samma sak för alla fjorton personer som har den, och där rättigheterna är knutna till rollen, inte till användaren.
- En kontroll som löpande larmar när någon kombination av rättigheter bryter mot SoD-reglerna. Inte en revision en gång per år, utan en signal samma dag som rättighetstilldelningen sker.
Det här är inte ett IT-projekt — det är ett ägarskap
Den största anledningen till att behörighetsmodeller driver är inte tekniken. Det är att ingen äger dem. IT äger inloggningen. Ekonomi äger processen. Verksamheten äger rollerna. Behörighetsmodellen ligger däremellan, i ingen mans land — och driver tills någon utifrån tvingar fram en översyn.
I de bolag där det fungerar har någon — oftast affärssystemsansvarig — fått ett tydligt uppdrag att äga behörigheter över tid. Det betyder inte att den personen sätter rättigheter, men att hen håller koll på modellen, kör översyner kvartalsvis, och har mandat att säga nej när någon vill kopiera Anna en gång till. När det mandatet saknas hjälper varken SSO eller MFA.
Det är precis den här typen av drift som är en av anledningarna till att Northscale startade. Affärssystemsvärlden har på många sätt inte förändrats på 30 år — men kraven runt omkring den, från NIS2 till revisorer och försäkringsbolag, har förändrats. Vi är en ny aktör med ny teknik och en leveransmodell som faktiskt ger ett annat resultat. När vi implementerar Visma Business NXT är behörighetsmodellen en del av leveransen — inte ett sidoprojekt som någon ska fixa “sen”.
