NIS2 (Direktiv EU 2022/2555) trådte i kraft i januar 2023 og krævede implementering i medlemsstaterne inden oktober 2024. Det udvider omfanget af sin forgænger markant — fra et snævert sæt af operatører af væsentlige tjenester til et bredere rammeværk der dækker vigtige og kritiske enheder på tværs af 18 sektorer med strengere sikkerhedskrav og meningsfulde håndhævelsesmekanismer — herunder personligt ansvar for den øverste ledelse.
Hvor mange compliance-frameworks nøjes med vage formuleringer som "implementer passende tekniske foranstaltninger", er NIS2 artikel 21 konkret: den opregner specifikke sikkerhedsforanstaltninger med direkte ansvar — og flere af dem er direkte relevante for certifikat- og PKI-styring.
De NIS2 Artikel 21-krav der rammer certifikater direkte
Artikel 21(2)(a) — Politikker for risikoanalyse og informationssystemsikkerhed. NIS2 kræver dokumenteret risikoanalyse der dækker informationssystemer. TLS-certifikater er kritiske infrastrukturkomponenter — udløbne eller kompromitterede certifikater udgør konkret, kvantificerbar operationel og sikkerhedsrisiko. En risikoanalyse der ikke tager højde for certifikatets livscyklus er ufuldstændig under dette krav.
Artikel 21(2)(b) — Hændelseshåndtering. NIS2 kræver definerede hændelseshåndteringsprocedurer. Certifikatudløb der forårsager servicenedbrud er en hændelse. En kompromitteret privat nøgle der muliggør trafikafsporing er en sikkerhedshændelse med potentielle databrudimplikationer. Uden et certifikatregister kræver håndtering af en certifikatrelateret hændelse at man først finder ud af hvilke certifikater der eksisterer og hvor de bruges — og det tilføjer betydelig tid til hændelsesrespons når tid er afgørende.
Artikel 21(2)(e) — Sikkerhed ved erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder sårbarhedshåndtering og -offentliggørelse. Dette inkluderer brugen af kryptering og PKI. Kravet om at opretholde passende krypteringspraksis inkluderer nødvendigvis at opretholde gyldige, korrekt konfigurerede TLS-certifikater — udløbne certifikater udgør en direkte fejl i at opretholde kryptering under transport.
Artikel 21(2)(h) — Politikker og procedurer for brug af kryptografi og, hvor relevant, kryptering. Dette er den sub-artikel der er mest direkte relevant for TLS-certifikater. At opretholde gyldige certifikater med stærke nøglestørrelser, moderne cipher suites og SHA-256-signaturer er en direkte implementering af kryptografipolitikkravet. En organisation der ikke kan dokumentere kontrolleret, systematisk certifikatstyring har en svaghed her som tilsynsmyndigheder vil undersøge.
Forsyningskædebestemmelser (Artikel 21(2)(d) og Artikel 22). NIS2 lægger betydelig vægt på forsyningskædesikkerhed. Organisationer skal adressere sikkerhed i deres leverandør- og tjenesteudbyderrelationer. Leverandørers TLS-certifikater — de certifikater der bruges af tredjeparter der leverer tjenester til jeres organisation — er en del af forsyningskædesikkerhedsbilledet. En leverandør hvis TLS-certifikat udløber uventet forårsager serviceforstyrrelser der påvirker jeres organisation og potentielt jeres forpligtelser under NIS2.
Rapporteringsdimensionen
NIS2 indfører obligatorisk hændelsesrapportering med korte tidsfrister: tidlig varsel inden for 24 timer, hændelsesnotifikation inden for 72 timer og en endelig rapport inden for en måned for væsentlige hændelser. Et certifikatudløb der forårsager utilgængelighed af tjenester eller et kompromitteret certifikat der muliggør et databrud kan begge kvalificere som væsentlige hændelser der kræver notifikation til nationale myndigheder.
24-timers kravet til tidlig varsel er særligt krævende. Det forudsætter at organisationen — når en hændelse opstår — har de nødvendige oplysninger til at rapportere hurtigt, herunder at forstå hvilke systemer der er påvirket og hvad omfanget af påvirkning er. Uden et certifikatregister kan det i sig selv tage timer at fastslå at et certifikatudløb er rodårsagen og forstå hvilke systemer det påvirker.
Hvad NIS2-klar certifikatstyring ser ud som
For organisationer der arbejder med NIS2-implementering er de certifikatstyringS-kapaciteter der mest direkte adresserer direktivets krav:
Et komplet, aktuelt aktivregister. Hvert certifikat der bruges på tværs af organisationens informationssystemer bør være i et styret register med udløbsdatoer, ejere, miljøer og tilknyttede systemer dokumenteret. Dette er fundamentet for risikoanalyse, hændelsesrespons og demonstration af compliance over for tilsynsmyndigheder.
Dokumenteret risikovurdering for certifikatets livscyklus. Den risikoanalyse der kræves af artikel 21(2)(a) bør eksplicit adressere certifikatudløbsrisiko, certifikatkompromiteringsrisiko og organisationens kontroller og restrisiko. Det skal være et levende dokument, ikke en engangsøvelse.
Definerede hændelsesresponsprocedurer for certifikathændelser. Hvad sker der når et certifikat udløber uventet? Hvad sker der hvis en kompromittering af en privat nøgle mistænkes? Hvem notificeres? Hvem træffer beslutningen om tilbagekaldelse? Hvad er eskaleringsstien? Disse procedurer bør være dokumenterede og afprøvede.
Overvågning af leverandørcertifikater. Hvis jeres leverandører leverer tjenester over TLS, er deres certifikathelse en del af jeres forsyningskædesikkerhedspostur. Overvågning af nøgleleverandørers certifikater for udløb og konfigurationsproblemer giver tidlig varsel om tredjeparts forstyrrelser.
Revisionsklare rapporter. Tilsynsmyndigheder under NIS2 har betydelige beføjelser til at anmode om oplysninger og gennemføre inspektioner. Certifikatregisteroversigter, udløbsprognoser og historiske hændelsesregistre bør være let tilgængelige — ikke samlet fra bunden som svar på en myndighedsanmodning.
Hvordan CertControl adresserer NIS2-krav
CertControl leverer de certifikatregistrerings-, overvågnings- og rapporteringskapaciteter som NIS2-dækkede organisationer har brug for. Platformen opretholder et kontinuerligt, automatisk opdateret register over alle certifikater på tværs af overvågede endepunkter — interne og eksterne — med udløbssporing, TLS-konfigurationsvurdering og klar ejerskabstildeling.
Executive- og operationelle rapporter er indbygget i platformen og dækker certifikatstatus, udløbsprognoser, compliance-scores og afvigelsesdetektering — og giver den revisionsklare dokumentation som NIS2's tilsynskontrol kan kræve. Konfigurerbare advarsler sender notifikationer i god tid — så de rette personer kan handle, også inden for stramme ændringsstyringsvinduer. Se NIS2-tjeklisten for en komplet oversigt over hvad tilsynsmyndigheder forventer at se.
Overvågning af leverandørcertifikater udvider det samme register og den samme varsling til tredjepartstjenester — og dækker forsyningskædedimensionen af NIS2 uden at kræve manuelle sporingsprocesser der ikke kan skalere.