Fra januar 2025 opererer finansielle virksomheder i EU under to overlappende regelsæt: DORA og NIS2. Begge stiller krav til TLS-certifikatstyring — og manglende compliance kan udløse direkte tilsynsindgreb fra Finanstilsynet.
Her er hvad CISO'er og compliance-ansvarlige i banker, forsikringsselskaber og andre finansielle institutioner konkret skal have styr på.
DORA og certifikater: Hvad forordningen kræver
DORA (Forordning EU 2022/2554) trådte i kraft 17. januar 2025 og gælder for finansielle enheder inkl. banker, forsikringsselskaber, investeringsselskaber, betalingsinstitutter og en lang række andre aktører.
DORA er primært fokuseret på operationel modstandsdygtighed — evnen til at modstå, reagere på og genoprette sig efter IKT-forstyrrelser. Certifikater og TLS berøres på flere måder:
Artikel 8 — IKT-aktivstyring. Finansielle enheder skal identificere og dokumentere alle IKT-aktiver — herunder de certifikater der sikrer kommunikation og systemer. Et komplet certifikatregister er en direkte konsekvens af dette krav.
Artikel 9 — Beskyttelse og forebyggelse. Krav til stærke krypteringsforanstaltninger, autentificeringsmekanismer og sikker konfiguration af systemer. TLS-certifikaternes konfiguration — protokolversioner, cipher suites, nøglelængder — er i scope.
Artikel 17 — IKT-relaterede hændelser. DORA indfører detaljerede krav til klassificering, rapportering og håndtering af hændelser. Et certifikatudløb der forstyrrer betalingstjenester eller kundeadgang er potentielt en klassifikationspligtig hændelse.
Artikel 28-30 — Tredjepartsrisici. DORA har særligt stramme krav til styring af IKT-leverandører. Kritiske tredjepartsleverandørers certifikater og TLS-konfiguration er i scope — finansielle enheder forventes at overvåge at leverandører opretholder sikre forbindelser.
NIS2 og finanssektoren
Banker og finansielle institutioner er klassificeret som "væsentlige enheder" under NIS2 — den strengeste kategori. Det betyder:
- Proaktive tilsynsbeføjelser for myndighederne
- Bøder op til 10 mio. EUR eller 2% af global omsætning
- Samme krav til risikostyring og hændelsesrapportering som andre NIS2-enheder
For certifikater gælder de samme krav som beskrevet i NIS2 Artikel 21 — men finanssektoren er altså underlagt en strengere tilsynsramme.
Overlap og synergi
DORA og NIS2 er ikke designet til at duplikere hinanden — DORA er sektorspecifik lex specialis for finanssektoren, mens NIS2 er den generelle ramme. For finansielle enheder gælder DORA som den primære ramme på de punkter der overlapper, men NIS2's krav kan supplere på områder DORA ikke dækker.
I praksis er der bred overlapning på certifikatområdet:
- Begge kræver et komplet aktivregister der inkluderer certifikater
- Begge kræver risikovurdering af TLS-konfiguration og certifikatlivscyklus
- Begge kræver procedurer for hændelseshåndtering og rapportering
- Begge kræver overvågning af tredjeparters sikkerhed
Et certifikatstyringssystem der opfylder kravene fra den ene forordning dækker i stor udstrækning den anden.
Hvad der er specifikt for finanssektoren
Krav til krypteringsstandard. Finansielle myndigheder (EBA, Finanstilsynet) stiller i praksis strengere krav til TLS-konfiguration end det generelle marked. TLS 1.0 og 1.1 er uacceptable, og svage cipher suites er et rødt flag ved tilsyn.
Leverandørkæden er i dybden. DORA's tredjepartskrav er mere detaljerede end NIS2's. Finansielle enheder forventes at have kontraktuelle krav til kritiske IKT-leverandørers certifikathåndtering — og dokumentation for at disse krav overholdes.
Korte rapporteringsfrister. DORA introducerer endnu kortere tidsfrister for klassificering af hændelser end NIS2: 4 timer for initial notifikation til myndigheder for alvorlige hændelser. Uden et komplet certifikatregister er det ikke muligt at vurdere omfanget af et certifikatrelateret nedbrud inden for den tidsramme.
Tre prioriteringer for finansielle institutioner
For finansielle institutioner der vil sikre compliance med både DORA og NIS2 er der tre nøgleprioriteringer:
Konsolidér jeres IKT-aktivregister. Et komplet, automatisk opdateret certifikatregister opfylder aktivkravet under begge forordninger. Byg det én gang og brug det til begge compliance-formål.
Overvåg kritiske IKT-leverandører løbende. Identificér kritiske IKT-leverandører og sæt automatisk overvågning på deres certifikater. Certifikatudløb hos en kritisk betalingsinfrastrukturleverandør er jeres DORA-hændelse — med rapporteringspligt inden for 4 timer fra klassificering.
Oprethold en kontinuerlig, tidsstemplet audit-log. En kontinuerlig log over certifikathændelser, ændringer og alarmer er et af de mest effektive compliance-beviser ved DORA- og NIS2-tilsyn. Den kan ikke laves baglæns og er svær at bestride.
Hvad CertControl leverer til DORA og NIS2
De tre prioriteringer for finansielle institutioner — ét register til to formål, leverandørmonitorering som standard, audit-log som compliance-bevis — er hvad CertControl er designet til at levere:
- Ét automatisk opdateret certifikatregister der dækker begge forordninger. CertControl kombinerer CT-log-enumeration for eksternt synlige certifikater og on-premise agent for interne systemer. Registret opdateres kontinuerligt — ikke manuelt inden tilsyn. Det opfylder aktivregisterkravet under DORA artikel 8 og NIS2 artikel 21(2)(h) med samme datakilde.
- Leverandørcertifikatovervågning uden manuel sporing. CertControl kan overvåge TLS-certifikater på kritiske IKT-leverandørers endpoints direkte — betalingsinfrastruktur, settlement-systemer, datafeeds. Et certifikatudløb hos en kritisk leverandør er synligt 30-90 dage i forvejen, ikke når forbindelsen bryder.
- 4-timers DORA-klassificering kræver et komplet register. DORA's krav til initial notifikation inden for 4 timer for alvorlige hændelser forudsætter at omfanget af et certifikatrelateret nedbrud kan fastslås hurtigt. Med CertControl ved I øjeblikkeligt hvilke systemer der er påvirket af et givet certifikat — fordi certifikat-til-system-mappingen er i registret.
- Kontinuerlig audit-log der ikke kan rekonstrueres baglæns. CertControl logger alle certifikathændelser, alarmudløsninger og ændringer med tidsstempler. Denne historik er troværdig netop fordi den ikke kan laves til lejligheden — det er den stærkeste form for compliance-bevis ved DORA- og NIS2-tilsyn.