Varför gamla ERP-system utgör en växande risk 2026 – och vad det betyder för din verksamhet

Cyberhoten mot svenska verksamheter ökar snabbt. Samtidigt skärps både lagkrav och förväntningar från kunder och partners.

Med införandet av NIS2-direktivet i svensk lag 2026 och EU:s nya cybersäkerhetspaket (CSA2) står företag inför en ny verklighet: cybersäkerhet är inte längre en IT-fråga – det är en affärskritisk fråga. 1,2

I Sverige har regeringen dessutom lanserat en handlingsplan med 91 åtgärder för att stärka motståndskraften mot cyberhot, med särskilt fokus på kritisk infrastruktur och digitala leveranskedjor. 3

👉 Men mitt i allt detta finns en ofta underskattad risk: gamla ERP-system (som man också kallar för legacy ERP).

Många företag kör fortfarande äldre ERP-versioner där supporten har upphört. Det innebär:

• Kända sårbarheter som aldrig patchas
• Ingen säkerhetsövervakning från leverantören
• Ingen möjlighet att möta nya hot

Samtidigt ökar cyberattacker kraftigt i Sverige.
Antalet attacker mot svenska organisationer har ökat markant, med både fler incidenter och mer avancerade angrepp – ofta riktade mot verksamheter med stora datamängder och svagare skydd. 4

👉 Slutsats: Ett legacy ERP är inte bara gammalt – det är en aktiv risk.

Modern cybersäkerhet handlar inte bara om brandväggar.

Det handlar om:

• Multifaktorautentisering (MFA)
• Realtidsövervakning och hotdetektion
• Säkra API:er och kontrollerad integration

Gamla ERP-system saknar ofta detta i grunden. I stället tvingas organisationer skapa:

• manuella workaround-lösningar
• egna integrationer
• parallella system

👉 Resultat: fler öppningar för attacker.

Med NIS2 och det nya cybersäkerhetspaketet (CSA2) förskjuts ansvaret tydligt:

• Högre krav på riskhantering
• Krav på incidentrapportering
• Fokus på leverantörskedjan (supply chain)

NIS2 gäller nu i Sverige och omfattar betydligt fler sektorer, inklusive tillverkning, livsmedel, kemi och hälsa. 5

👉 Det betyder att:

• Du ansvarar inte bara för din egen säkerhet
• Du ansvarar för säkerheten i hela din digitala leveranskedja

Parallellt introducerar CSA2 ett nytt fokus på ICT supply chain security, där EU kan identifiera kritiska system och ställa krav på leverantörer eller komponenter. 6

Och i Sverige ökar trycket ytterligare:

• Säkrare upphandling
• Kontroll av leverantörer
• Skydd av kritisk infrastruktur och digitala flöden 7

👉 Affärssystemet blir plötsligt en regulatorisk fråga.

Cyberattacker idag handlar inte bara om data – de handlar om drift.

• Produktion stoppas
• Leveranskedjor bryts
• Kvalitetssäkring påverkas

Ransomware-attacker ökar globalt och i Sverige, ofta med riktade attacker mot verksamhetskritiska system. 8

👉 Och kostnaden är inte bara ekonomisk:

• förlorat förtroende
• avtalsbrott
• regulatoriska böter

👉 Ett legacy ERP kan bli den svaga länken som stoppar hela verksamheten.

Kort svar: det är bråttom.

• NIS2 gäller redan i Sverige (2026) 9
• CSA2 är på väg och skärper kraven ytterligare
• Sverige ökar tempot i cybersäkerhetsarbetet

👉 Och förändringen är redan här: Från att skydda IT → till att säkerställa affärens överlevnad och compliance