NIS2-direktivet trådte i kraft i Danmark den 18. november 2024. I modsætning til NIS1 er kommuner denne gang eksplicit med: de klassificeres som offentlige forvaltningsenheder og betragtes som "vigtige enheder" under direktivet.
Det betyder at kommunens IT-afdeling nu er underlagt de samme risikostyringskrav som private virksomheder i kritisk infrastruktur. Og et af de mest konkrete tekniske krav handler om TLS-certifikater.
Er din kommune omfattet?
Ja. Alle danske kommuner er som udgangspunkt klassificeret som vigtige enheder under NIS2, med mindre de falder under en specifik undtagelse. Vigtige enheder er underlagt kravene i Artikel 21 om risikostyring og Artikel 23 om hændelsesrapportering.
I praksis vil Digitaliseringsstyrelsen og Center for Cybersikkerhed (CFCS) fungere som tilsynsmyndigheder for den offentlige sektor. Tilsyn kan ske via selvvurdering, stikprøver og egentlige inspektioner.
Hvad Artikel 21 kræver — på certifikatniveau
Artikel 21 opstiller otte kategorier af sikkerhedsforanstaltninger. For certifikater og TLS er tre af dem direkte relevante:
Artikel 21(2)(a) — Risikoanalyse og informationssystemsikkerhed. Kommunen skal have et overblik over sine informationssystemer og de risici de er udsat for. Et certifikat der udløber uden at nogen opdager det udgør en konkret, dokumenterbar risiko. Uden et register over certifikaternes status er denne risikoanalyse ikke mulig at gennemføre troværdigt.
Artikel 21(2)(h) — Sikring af anskaffelse, udvikling og vedligeholdelse af systemer. Systemer skal konfigureres og vedligeholdes sikkert. For TLS betyder det i praksis: aktuelle certifikater, stærke protokolversioner (TLS 1.2 minimum, TLS 1.3 foretrukket), korrekte certifikatkæder og rettidigt fornyelse. Tilsynsmyndigheder vil forvente at dette er dokumenteret og systematisk styret — ikke ad hoc.
Artikel 21(2)(f) — Forsyningskædesikkerhed. Kommunens leverandørers systemer er en del af kommunens sikkerhedspostur. Mange kommunale systemer hostes af leverandører som KMD, Systematic, ESDH-udbydere og KOMBIT-tilknyttede systemer. Disse bruger certifikater på kommunens domæner. Under NIS2 er kommunen ansvarlig for at have overblik over denne forsyningskæde.
Hvilke systemer er i scope?
En typisk kommune har TLS-certifikater på et bredt antal systemer. Her er de kategorier der oftest er i scope for NIS2:
- Borgervendte selvbetjeningsløsninger — Digital Post, ansøgningsskemaer, booking-systemer, borger.dk-integrationer
- Intranet og medarbejderportaler — systemer der kræver TLS internt i kommunens netværk
- Fagsystemer — ESDH, EOJ, KSD, hjemmeplejesystemer og andre fagsystemer med webadgang
- KOMBIT-integrationer — FK-adgangsstyring, NemLog-in, serviceplatform-services
- Leverandørhosted infrastruktur — systemer hostet eksternt men tilgængelige under kommunens domæne
- Administrative systemer — HR, økonomi, budgetsystemer med webadgang
Hændelsesrapportering og certifikater
Artikel 23 kræver at kommunen rapporterer væsentlige hændelser til tilsynsmyndigheder inden for stramme tidsfrister: 24 timer for tidlig varsel og 72 timer for en egentlig hændelsesnotifikation.
Et certifikatudløb der forårsager at borgere ikke kan tilgå selvbetjeningsløsninger, at medarbejdere ikke kan tilgå fagsystemer, eller at kommunikation afbrydes, kan kvalificere som en væsentlig hændelse. Definitionen er bred og inkluderer "forstyrrelser af tjenester" der påvirker "væsentligt antal brugere".
Uden et certifikatregister kan det alene tage 2-4 timer at identificere at et certifikatudløb er rodårsagen til en nedetid og forstå omfanget — tid der tæller med i de 24 timer du har til at rapportere.
Hvad tilsynet vil spørge om
Baseret på NIS2-implementeringen i andre EU-lande og CFCS's hidtidige vejledninger er det sandsynligt at tilsynet ved en inspektion vil efterspørge:
- Et aktivregister over kommunens informationssystemer og de certifikater de bruger
- Dokumentation for at certifikater overvåges og fornys rettidigt
- En proces for hvad der sker når et certifikat er ved at udløbe
- Dokumentation for leverandørers certifikatstyring (forsyningskæde)
- Historik over eventuelt udløbne certifikater og hvad der skete
Hvad der konkret skal på plads
For kommuner der ikke allerede har systematisk certifikatstyring er der tre prioriterede tiltag:
1. Opbyg et komplet certifikatregister. Kortlæg alle kommunens domæner og underdomæner — inkl. leverandørers systemer der kører på kommunens domæner. Et automatiseret scanningsværktøj er den eneste praktiske måde at sikre at registret er komplet og opdateret.
2. Implementér tidlig alarmering. Advarsler 30 dage frem er ikke nok i en kommunal kontekst. Leverandørdialoger, udbudsregler og ændringsprocesser kræver at I ser problemerne komme 60-90 dage i forvejen.
3. Generér revisionsdokumentation løbende. Dokumentation skabt reaktivt til et tilsyn er sværere at bruge og leder til spørgsmål om om det er repræsentativt. Automatisk genererede rapporter over certifikatstatus og hændelseslog er mere troværdige.