ARTIKEL 21(2)(a)
Risikoanalyse og informationssystemsikkerhed
☐
Komplet aktivfortegnelse over certifikater
Alle TLS-certifikater registreret med udløbsdato, udsteder, systemejer og tilknyttede endpoints. Fortegnelsen opdateres løbende ved hvert scan — ikke kun inden et planlagt tilsyn.
☐
Dokumenteret risikovurdering for certifikatlivscyklus
Risikovurderingen adresserer eksplicit certifikat udløb, svag TLS-konfiguration og kompromitterede nøgler. Et levende dokument der opdateres ved ændringer i infrastrukturen — ikke et engangseksercis.
☐
Klassificering af systemer efter kritikalitet
Systemer i NIS2-scope er identificeret og klassificeret som kritiske, vigtige eller øvrige. Certifikater på kritiske systemer er markeret og overvåges med skærpede tærskler.
ARTIKEL 21(2)(b)
Hændelseshåndtering
☐
Definerede procedurer for certifikathændelser
Hvem kontaktes når et certifikat udløber uventet? Hvem har mandat til at beslutte tilbagekaldelse? Eskalationsstien er skriftlig, testet og tilgængelig for alle relevante parter.
☐
Kontinuerlig audit-log over certifikathændelser
Alle certifikatændringer, alarmer, fornyelser og konfigurationsændringer logges med tidsstempel og bruger. Loggen er forudsætningen for at overholde NIS2 Artikel 23's 24-timers rapporteringsfrist.
☐
Klar grænse for hvornår et certifikatudløb er en NIS2-hændelse
Intern beslutningsprocedure der fastlægger hvornår nedetid forårsaget af certifikat udløb kvalificerer som en væsentlig hændelse under Artikel 23 og udløser rapporteringspligt.
ARTIKEL 21(2)(h)
Sikring af anskaffelse og vedligeholdelse af systemer (TLS/PKI)
☐
Ingen udløbne certifikater på produktionssystemer
CertControl scanner løbende og opdager udløbne eller snart-udløbende certifikater inden de forårsager nedbrud. Alarmer sendes minimum 30 dage før udløb — og med ACME-integration håndteres certifikatanmodningen automatisk.
☐
TLS-konfiguration scannet — ingen svage protokoller
CertControl detekterer TLS 1.0 og 1.1, svage cipher suites som RC4 og 3DES, og giver hvert endpoint en karakter. Dokumentationen er klar til tilsyn uden manuel indsats.
☐
Certifikatkæder valideret og komplette
CertControl validerer at alle certifikatinstallationer har korrekte mellemcertifikater. Ufuldstændige kæder forårsager fejl i ældre klienter og er et dokumenteret sikkerhedsproblem under NIS2.
☐
OCSP-tilbagekaldelse overvåget
CertControl tjekker OCSP-status løbende og opdager tilbagekaldte certifikater, inden browsere og API-klienter begynder at afvise dem. Tilbagekaldelseskontrol er aktiv på alle endpoints.
☐
Sikker nøglehåndtering dokumenteret
Private nøgler krypteret ved hvile (AES-256 minimum). Adgang er begrænset, logget og reviderbar. Procedurer for nøglerotation er skriftlige og tilgængelige for relevant personale.
ARTIKEL 21(2)(d) + 22
Forsyningskædesikkerhed
☐
Overvågning af nøgleleverandørers TLS-certifikater
Kritiske leverandørers endpoints er tilføjet direkte i CertControl. Du opdager et certifikatproblem hos leverandøren, inden det forårsager driftsproblemer i din organisation.
☐
Leverandørliste med sikkerhedsvurdering
Kritiske leverandører er identificeret og risikovurderet. Kontraktuelle krav til sikkerhed — herunder certifikatstyring — er på plads og dokumenteret for nye leverandørrelationer.
ARTIKEL 23
Hændelsesrapportering til tilsynsmyndighed
☐
Rod-årsag kan identificeres inden for 24 timer
Ved nedbrud: CertControls audit-log og certifikatregister giver dig svaret på om et udløbet certifikat er årsagen — inden 24-timers rapporteringsfristen til Digitaliseringsstyrelsen udløber.
☐
Rapporteringsflow til tilsynsmyndighed er defineret
Hvem i organisationen er ansvarlig for at indberette til Digitaliseringsstyrelsen/CFCS? Kontaktoplysninger er opdaterede, og skabeloner til tidlig varsel og hændelsesnotifikation er klargjorte.
REVISIONSDOKUMENTATION
Dokumentation til tilsyn og ledelse
☐
Executive-rapport med compliance-score
CertControl genererer rapport med samlet TLS-compliance-score, antal aktive problemer, udløbsprognoser og historisk udvikling. Klar til download og præsentation for bestyrelse eller tilsynsmyndighed.
☐
Operational Risk Report
Detaljeret rapport over aktive findings, risikoscore per endpoint og prioriterede handlingspunkter. Dokumenterer at din organisation aktivt adresserer kendte risici — ikke blot registrerer dem.
☐
Expiry Forecast — kommende 90 dage
CertControl viser alle certifikater der udløber inden for 30, 60 og 90 dage med systemejer og forventet fornyelsesdato. Bruges til planlægning og viser tilsynet at processerne er proaktive.
☐
Certifikatstyringspolitik godkendt af ledelsen
Skriftlig politik der beskriver processer, ansvar og minimumskrav til certifikathåndtering. Dateret og underskrevet af ledelsen. Revideres minimum én gang om året og ved væsentlige infrastrukturændringer.
CertControl dækker 13 af 20 punkter automatisk — aktivfortegnelse, TLS-scanning, OCSP-overvågning, audit-log og rapportering. De 7 resterende kræver organisatoriske beslutninger: klassificering, procedurer og politikdokumenter. CertControl leverer datamaterialet — du tager stilling.
Start gratis prøve
Spørgsmål & svar
Ofte stillede spørgsmål om NIS2-tjeklisten
Er der en officiel NIS2-tjekliste fra myndighederne?
Nej, der er ikke én officiel tjekliste. NIS2 Artikel 21 opregner otte sikkerhedskategorier som alle væsentlige og vigtige enheder skal implementere. Digitaliseringsstyrelsen og CFCS har udgivet vejledninger, men de er overordnede. Denne tjekliste operationaliserer kravene med direkte fokus på TLS-certifikater, PKI og den dokumentation tilsynsmyndighederne forventer at se.
Hvornår skal min organisation være NIS2-compliant?
Cybersikkerhedsloven trådte i kraft i Danmark i november 2024. Kravene gælder fra ikrafttrædelsen — ikke fra et fremtidigt tilsynstidspunkt. Tilsynsmyndighederne kan kræve dokumentation nu. Aktivfortegnelse og audit-log tager tid at etablere — kom i gang.
Hvad sker der hvis man ikke har styr på NIS2-kravene?
Vigtige enheder kan bødes op til 7 mio. EUR eller 1,4% af global omsætning. Væsentlige enheder op til 10 mio. EUR eller 2%. Derudover kan ledelsen holdes personligt ansvarlig for manglende implementering. Tilsynsmyndighederne kan kræve dokumentation til enhver tid — ikke kun i forbindelse med en faktisk hændelse.
Kom i gang
Klar til at krydse 13 punkter af automatisk?
Start din gratis prøveperiode og se på 5 minutter, hvilke certifikater der er i orden — og hvilke der kræver handling i dag.
14 dages gratis prøveperiode · Hostet i EU · NIS2 Artikel 21-klar