NIS2 adskiller sig fra tidligere cybersikkerhedsregulering på ét afgørende punkt: den har tænder. Hvor de gamle krav ofte var vejledende, indfører NIS2 konkrete bødelofter og personligt ledelsesansvar. Og certifikatstyring — der historisk er blevet behandlet som en teknisk detalje — sidder midt i flere af de krav, et tilsyn kan måle jer på. For en bredere gennemgang af kravene, se NIS2 og certifikatstyring.
Hvad er bødeniveauerne under NIS2?
NIS2 inddeler organisationer i to kategorier med hver sit bødeloft:
Væsentlige enheder — fx energi, sundhed, transport, bankvæsen, drikkevand og digital infrastruktur — kan idømmes bøder op til 10 mio. EUR eller 2% af den globale årlige omsætning, alt efter hvad der er højest.
Vigtige enheder har et loft på 7 mio. EUR eller 1,4% af den globale årlige omsætning, alt efter hvad der er højest. Se den specifikke gennemgang for offentlig sektor i NIS2 certifikatkrav for kommuner.
Bøderne er det mest synlige, men ikke nødvendigvis det mest indgribende. NIS2 indfører også personligt ledelsesansvar: ledelsen skal godkende og føre tilsyn med cybersikkerhedsforanstaltningerne og kan holdes ansvarlig for manglende efterlevelse. Tilsynsmyndigheder kan desuden suspendere certificeringer og i alvorlige tilfælde midlertidigt forbyde ledelsespersoner at varetage ledelsesfunktioner.
Hvordan hænger certifikatfejl sammen med en NIS2-overtrædelse?
Et certifikat udløser sjældent en bøde i sig selv. Sammenhængen går via to mekanismer:
1. Hændelsen (Artikel 23). Et udløbet TLS-certifikat, der tager en samfundsvigtig tjeneste ned, kan kvalificere som en væsentlig hændelse. Så gælder rapporteringspligten: tidlig varsel inden for 24 timer, hændelsesnotifikation inden for 72 timer og en endelig rapport inden for en måned. En organisation der ikke kan fastslå rodårsagen hurtigt — fordi den mangler et certifikatregister — risikerer både at overskride fristerne og at fremstå uden kontrol.
2. Manglen (Artikel 21). Selv uden et nedbrud er fraværet af systematisk certifikatstyring en mangel. Artikel 21 kræver dokumenteret risikoanalyse og sikker drift af informationssystemer. Kan I ikke fremvise et register over jeres certifikater, deres udløbsdatoer og TLS-konfiguration, mangler I beviset for at kravet er opfyldt. Et tilsyn vurderer processen — ikke blot om uheldet er sket endnu.
Hvorfor "vi troede vi havde styr på det" ikke holder
Tilsyn under NIS2 handler om dokumenterbar kontrol. Et regneark, der senest blev opdateret for seks måneder siden, dokumenterer ikke løbende styring — det dokumenterer et øjebliksbillede. De certifikater, der udløber uventet, er næsten altid dem, som ingen vidste eksisterede: et underdomæne fra et gammelt projekt, et leverandørsystem på jeres domæne, et internt fagsystem. Et register, der ikke er komplet, beskytter hverken mod nedbruddet eller mod tilsynets spørgsmål.
For en gennemgang af præcis hvad revisorer og tilsyn beder om, se certifikatrevision: hvad revisorerne tjekker.
Hvad et tilsyn konkret beder om
Når Center for Cybersikkerhed eller en sektormyndighed gennemfører tilsyn, er det sjældent politikdokumenterne alene, der afgør sagen. Det er evnen til at fremvise, at kontrollen reelt kører. For certifikater betyder det typisk fire ting:
Et aktuelt certifikatregister. Hvilke certifikater har I, hvor sidder de, hvem ejer dem, og hvornår udløber de? Et register, I kan trække med en dato på, vejer tungere end en politik, der blot beskriver, at registret bør findes.
Bevis for overvågning. Udløste der advarsler før de seneste fornyelser, og blev de handlet på? En audit-log med tidsstempler er konkret bevis. Et "ja, det plejer vi" er det ikke.
Dokumenteret risikovurdering. Har I forholdt jer til certifikatudløb og nøglekompromittering som konkrete risici, med kontroller og restrisiko beskrevet?
Forsyningskæde-overblik. Kan I vise, at I også sporer leverandørernes certifikater på jeres domæner? Se leverandørcertifikat-risiko.
Bøden er sjældent den dyreste konsekvens
Bødeloftet får overskrifterne, men for de fleste organisationer er de afledte omkostninger større. Et certifikatnedbrud på en samfundsvigtig tjeneste udløser kriseberedskab, tabt produktivitet og — under NIS2 — en rapporteringsproces med stramme frister. Oven i kommer tillidstabet: et nedbrud, der så åbenlyst kunne have været forhindret, er svært at forklare over for borgere, kunder og bestyrelse.
Det er også her, det personlige ledelsesansvar bider. Når ledelsen formelt skal godkende og føre tilsyn med foranstaltningerne, holder "vi vidste ikke, at certifikatet var der" ikke som forsvar. Systematisk certifikatstyring er den dokumentation, der flytter ansvaret fra hukommelse til proces.
Sådan reducerer CertControl bøderisikoen
NIS2-bøder rammer organisationer, der ikke kan dokumentere kontrol. CertControl er bygget til at levere netop den dokumentation — løbende, ikke reaktivt:
- Komplet certifikatregister. CertControl forespørger Certificate Transparency-logs og scanner aktivt, så alle certifikater på jeres domæner findes automatisk — også de glemte. Det er fundamentet for både risikoanalysen og hændelsesresponsen.
- Tidlige alarmer til navngivne ejere. Konfigurerbare tærskler 60-90 dage frem sikrer, at fornyelser sker i god tid — ikke i en kriseberedskabssituation med tikkende 24-timers frister.
- Revisionsklar dokumentation. Automatiske rapporter over certifikatstatus, udløbsprognoser og en audit-log over hvad der skete hvornår — det bevismateriale et tilsyn forventer, og som ikke kan rekonstrueres baglæns.
- Interne certifikater i samme overblik. On-premise agenten dækker fagsystemer bag firewall, så hele jeres certifikatflade — ikke kun det internetvendte — er under kontrol.