Gælder NIS2 for certifikater og TLS?
Ja. NIS2 Artikel 21(2)(h) kræver dokumenterede politikker for brug af kryptografi og kryptering — herunder TLS-certifikaternes konfiguration, nøglestørrelser og cipher suites. Artikel 21(2)(e) kræver desuden sikring af anskaffelse og vedligeholdelse af informationssystemer, inkl. sårbarhedshåndtering. Udløbne eller fejlkonfigurerede certifikater er et brud under begge sub-artikler. Tilsynsmyndigheder forventes at efterspørge dokumentation for certifikatstyringsprocesser ved inspektioner.
Hvornår er et certifikatudløb en NIS2-hændelse?
Et certifikatudløb der forårsager tjenestenedetid, utilgængelighed af kritiske systemer eller databrud kan kvalificere som en væsentlig hændelse under NIS2. Vurderingen afhænger af systemets kritikalitet og omfanget af påvirkning. Definitionen af "væsentlig hændelse" er bredt formuleret — og usikkerhed bør altid lede til rapportering.
Hvad er fristen for hændelsesrapportering under NIS2?
Tidlig varsel inden for 24 timer, hændelsesnotifikation inden for 72 timer og en endelig rapport inden for en måned. Et certifikatudløb der forårsager tjenestenedetid kan kvalificere som en væsentlig hændelse.
Skal kommuner overholde NIS2?
Ja. Kommuner er omfattet af NIS 2-loven, som trådte i kraft i Danmark den 1. juli 2025, fordi de leverer tjenester inden for flere af lovens sektorer — bl.a. sundhed, transport og drikkevand. I praksis indgår kommunerne som "væsentlige enheder" og er underlagt kravene i Artikel 21 om risikostyring og tekniske sikkerhedsforanstaltninger. Se vores side om kommuner og NIS2 for mere information.
Hvad koster NIS2-overtrædelse?
Vigtige enheder kan idømmes bøder op til 7 mio. EUR eller 1,4% af global omsætning. Væsentlige enheder kan idømmes bøder op til 10 mio. EUR eller 2% af global omsætning. Derudover kan ledelsen holdes personligt ansvarlig.
Kan CertControl generere dokumentation til NIS2-tilsyn?
Ja. CertControl genererer executive-rapporter og operationelle rapporter med komplet certifikatstatus, udløbsprognoser, compliance-score og historiske hændelsesregistre. Rapporterne er designet til at kunne præsenteres direkte for tilsynsmyndigheder eller ledelsen.
Hvor mange sikkerhedskrav stiller NIS2 Artikel 21?
NIS2 Artikel 21 omfatter ti kravområder for risikostyring. TLS-certifikater er centrale for tre af dem: risikoanalyse og informationssystemsikkerhed (Artikel 21(2)(a)), kryptografi- og krypteringspolitikker (Artikel 21(2)(h)) og forsyningskædesikkerhed (Artikel 21(2)(d)).
Gælder NIS2 også for vores leverandørers certifikater?
Ja. NIS2 Artikel 21(2)(d) kræver forsyningskædesikkerhed, så sikkerheden i leverandørers og tjenesteudbyderes systemer er en del af organisationens samlede sikkerhedspostur. Overvågning af nøgleleverandørers TLS-certifikater giver tidlig varsel om tredjepartsrisici.