Blog

ERP-systemer, Business Central og Secure SDLC – krav under NIS2, CRA og ISO 27001

Microsoft Dynamics 365 Business Central fungerer i mange organisationer som den centrale kilde til forretningskritiske data.

ERP-systemet indeholder og behandler oplysninger om virksomhedens økonomi, kunder, leverandører, medarbejdere, produktion og salg. Disse data anvendes som grundlag for en lang række forretningsprocesser, alt fra regnskab og lønudbetaling til rapportering, analyse og integrationer med andre systemer.

De data, der registreres i ERP-systemet, danner grundlag for beslutninger og processer på tværs af organisationen. Netop derfor er det afgørende, at dataene er korrekte, beskyttede og ikke kan manipuleres eller kompromitteres.

Systemet understøtter komplekse forretningsprocesser og håndterer finansielle data, persondata og kontraktoplysninger.

ERP-systemet er en af virksomhedens mest forretningskritiske platforme.

Sikkerhedsudfordringen ligger sjældent i selve SaaS-platformen. Den opstår derimod i integrationer, API’er, rettighedsstyring, AI-funktioner samt i manglende dokumentation og governance, som akkumulerer over tid. Med indførelsen af NIS2, Cyber Resilience Act (CRA) og kravene i ISO 27001 (for organisationer, der er eller planlægger at blive certificeret) er sikker softwareudvikling (Secure Software Development Lifecycle – Secure SDLC) ikke længere udelukkende relevant for udviklingsteamet, men også for ledelsen.

ERP-systemer akkumulerer risici over tid

ERP-systemer lever typisk i mange år. I takt med at virksomheden udvikler sig, tilføjes nye integrationer, tredjepartsapps, servicekonti, specialudviklet kode og API-forbindelser.

Over tid kan organisationen miste overblikket over:

Hvilke integrationer der er aktive.
Hvilke data der deles – og med hvem.
Hvem der ejer de enkelte integrationer.
Hvilke rettigheder servicekonti og API’er reelt har.

Det betyder, at risikobilledet vokser gradvist, uden nødvendigvis at blive opdaget.

Secure SDLC i et ERP-miljø

Secure Software Development Lifecycle indebærer, at udvikling og tilpasning af ERP-systemer sker struktureret og dokumenteret. Det gælder både interne udviklingsaktiviteter og softwareudvikling, der er outsourcet til eksterne leverandører.

(Læs mere om hvordan Nesp.ONE kan hjælpe med sikkerhedstjek af outsourcet softwareudvikling her).

I praksis betyder det, at:

Tilpasninger og integrationer risikovurderes før implementering.
Kode gennemgår review og sikkerhedstest.
Ændringer formelt godkendes før idriftsættelse.
Rettigheder reduceres til least privilege efter go-live.

Processen dokumenteres som en del af virksomhedens styringssystem:

ISO 27001 stiller krav om dokumenteret styring af udviklingsaktiviteter.
NIS2 kræver secure development og leverandørstyring.
CRA skærper kravene til sikker udvikling og livscyklusstyring af software.
ERP-tilretninger og integrationer er derfor omfattet på linje med øvrige softwareløsninger.

De mest oversete risici i Business Central

API’er med for brede rettigheder:

API’er installeres ofte med administrator- eller SUPER-rettigheder for at undgå fejl under implementering. Efter idriftsættelse bliver rettighederne sjældent reduceret. Det strider direkte mod princippet om least privilege og øger konsekvensen af kompromittering.

Manglende integrationsregister:

Mange organisationer har ikke et samlet integrationsoverblik. Uden et register over API’er, dataflows, servicekonti og ejerskab bliver det vanskeligt at dokumentere compliance – og endnu sværere at styre risikoen.

Sandbox- og testmiljøer:

Ved oprettelse af sandbox- og testmiljøer kopieres produktionsdata ofte 1:1. Hvis testmiljøet ikke underlægges samme adgangsstyring, dataminimering og governance som produktionsmiljøet, kan det i praksis udgøre en væsentlig sårbarhed.

Løbende Microsoft-opdateringer

Business Central opdateres automatisk gennem major releases og løbende funktionelle og sikkerhedsmæssige ændringer. Nye opdateringer og funktioner – herunder AI og Copilot – kan have direkte eller indirekte betydning for integrationer, rettigheder, API-struktur, datamodeller og sikkerhedskonfiguration.

Løbende opdateringer er en styrke ved SaaS-modellen, men kræver aktiv styring. Automatiske opdateringer fritager ikke virksomheden for ansvar. Tværtimod forudsætter regulatoriske krav, at organisationen kan dokumentere, hvordan ændringer i platformen vurderes, testes og godkendes.

Nesp.ONE’s anbefalede governance-struktur for Microsoft opdateringer:

Etablér en formel release-review-proces før hver major update.
Test alle kritiske integrationer i sandbox-miljø før produktion.
Gennemfør sikkerhedsvurdering af nye funktioner (især AI og datadeling).
Revidér rettighedsroller efter større versionsskift.
Dokumentér vurdering og godkendelse som en del af Secure SDLC/governance-rammen.
Rapportér væsentlige ændringer til ledelse/bestyrelse.

SaaS fritager ikke virksomheden for ansvar

At Business Central er en SaaS-løsning betyder ikke, at sikkerhedsansvaret ligger hos Microsoft. Selvom en virksomhed benytter en hostet løsning, ligger ansvaret for adgangsstyring, konfiguration, integrationer, dataklassifikation, ændringsstyring og en dokumenteret sikker udviklingsproces (Secure SDLC) fortsat hos virksomheden og dennes ledelse, da regulatorisk ansvar ikke kan outsources.

ERP-sikkerhed er en ledelsesdisciplin

ERP-systemer bør behandles med samme styringsmæssige opmærksomhed som finansiel kontrol og regulatorisk compliance.

Secure SDLC i Business Central handler ikke kun om kode.
Det handler om ansvar, dokumentation, governance og langsigtet risikostyring.

Med de rette rammer kan organisationer udnytte integrationer, automatisering og AI – uden at kompromittere sikkerhed, compliance og tillid.

Rådgivning

Nesp.ONE kombinerer rådgivning om Business Central og ERP-løsninger med ekspertise i Secure Software Development Lifecycle, ISO 27001, NIS2 og Cyber Resilience Act.

Vi hjælper virksomheder med at: