Finansielle virksomheder i EU opererer fra januar 2025 under et markant skærpet regulatorisk landskab: Digital Operational Resilience Act (DORA) er trådt i kraft og overlapper på centrale punkter med NIS2-direktivet. Begge regelsæt stiller krav til TLS-certifikater og PKI — men fra lidt forskellige vinkler.
Her er hvad CISO'er og compliance-ansvarlige i banker, forsikringsselskaber og andre finansielle institutioner konkret skal have styr på.
DORA og certifikater
DORA (Forordning EU 2022/2554) trådte i kraft 17. januar 2025 og gælder for finansielle enheder inkl. banker, forsikringsselskaber, investeringsselskaber, betalingsinstitutter og en lang række andre aktører.
DORA er primært fokuseret på operationel modstandsdygtighed — evnen til at modstå, reagere på og genoprette sig efter IKT-forstyrrelser. Certifikater og TLS berøres på flere måder:
Artikel 8 — IKT-aktivstyring. Finansielle enheder skal identificere og dokumentere alle IKT-aktiver — herunder de certifikater der sikrer kommunikation og systemer. Et komplet certifikatregister er en direkte konsekvens af dette krav.
Artikel 9 — Beskyttelse og forebyggelse. Krav til stærke krypteringsforanstaltninger, autentificeringsmekanismer og sikker konfiguration af systemer. TLS-certifikaternes konfiguration — protokolversioner, cipher suites, nøglelængder — er i scope.
Artikel 17 — IKT-relaterede hændelser. DORA indfører detaljerede krav til klassificering, rapportering og håndtering af hændelser. Et certifikatudløb der forstyrrer betalingstjenester eller kundeadgang er potentielt en klassifikationspligtig hændelse.
Artikel 28-30 — Tredjepartsrisici. DORA har særligt stramme krav til styring af IKT-leverandører. Kritiske tredjepartsleverandørers certifikater og TLS-konfiguration er i scope — finansielle enheder forventes at overvåge at leverandører opretholdes sikre forbindelser.
NIS2 og finanssektoren
Banker og finansielle institutioner er klassificeret som "væsentlige enheder" under NIS2 — den strengeste kategori. Det betyder:
- Proaktive tilsynsbeføjelser for myndighederne
- Bøder op til 10 mio. EUR eller 2% af global omsætning
- Samme krav til risikostyring og hændelsesrapportering som andre NIS2-enheder
For certifikater gælder de samme krav som beskrevet i NIS2 Artikel 21 — men finanssektoren er altså underlagt en strengere tilsynsramme.
Overlap og synergi
DORA og NIS2 er ikke designet til at duplikere hinanden — DORA er sektorspecifik lex specialis for finanssektoren, mens NIS2 er den generelle ramme. For finansielle enheder gælder DORA som den primære ramme på de punkter der overlapper, men NIS2's krav kan supplere på områder DORA ikke dækker.
I praksis er der bred overlapning på certifikatområdet:
- Begge kræver et komplet aktivregister der inkluderer certifikater
- Begge kræver risikovurdering af TLS-konfiguration og certifikatlivscyklus
- Begge kræver procedurer for hændelseshåndtering og rapportering
- Begge kræver overvågning af tredjeparters sikkerhed
Et certifikatstyringsystem der opfylder kravene fra den ene forordning dækker i stor udstrækning den anden.
Hvad der er specifikt for finanssektoren
Krav til krypteringsstandard. Finansielle myndigheder (EBA, Finanstilsynet) stiller i praksis strengere krav til TLS-konfiguration end det generelle marked. TLS 1.0 og 1.1 er uacceptable, og svage cipher suites er et rødt flag ved tilsyn.
Leverandørkæden er i dybden. DORA's tredjepartskrav er mere detaljerede end NIS2's. Finansielle enheder forventes at have kontraktuelle krav til kritiske IKT-leverandørers certifikathåndtering — og dokumentation for at disse krav overholdes.
Korte rapporteringsfrister. DORA introducerer endnu kortere tidsfrister for klassificering af hændelser end NIS2: 4 timer for initial notifikation til myndigheder for alvorlige hændelser. Uden et komplet certifikatregister er det ikke muligt at vurdere omfanget af et certifikatrelateret nedbrud inden for den tidsramme.
Praktisk tilgang
For finansielle institutioner der ønsker at adressere begge regelsæt effektivt er der tre nøgleprioriteringer:
Ét register, to formål. Et komplet, automatisk opdateret certifikatregister opfylder aktivkravet under begge forordninger. Byg det én gang og brug det til begge compliance-formål.
Leverandørmonitorering som standard. Identificér kritiske IKT-leverandører og sæt automatisk overvågning på deres certifikater. Certifikatudløb hos en kritisk betalingsinfrastrukturleverandør er din DORA-hændelse.
Audit-log som compliance-bevis. En kontinuerlig log over certifikathændelser, ændringer og alarmer er et af de mest effektive compliance-beviser ved DORA- og NIS2-tilsyn. Den kan ikke laves baglæns og er svær at bestride.