NIS2 (Direktiv EU 2022/2555) trådte i kraft i januar 2023 og krævede implementering i medlemsstaterne inden oktober 2024. Det udvider omfanget af sin forgænger markant — fra et snævert sæt af operatører af væsentlige tjenester til et bredere rammeværk der dækker vigtige og kritiske enheder på tværs af 18 sektorer med strengere sikkerhedskrav og meningsfulde håndhævelsesmekanismer — herunder personligt ansvar for den øverste ledelse.
I modsætning til compliance-frameworks der opererer på et højt abstraktionsniveau — "implementer passende tekniske foranstaltninger" — opremser NIS2 artikel 21 specifikke sikkerhedsforanstaltninger som dækkede enheder skal implementere. Flere af disse er direkte relevante for certifikat- og PKI-styring.
De NIS2-krav der er mest relevante for certifikater
Artikel 21(2)(a) — Politikker for risikoanalyse og informationssystemsikkerhed. NIS2 kræver dokumenteret risikoanalyse der dækker informationssystemer. TLS-certifikater er kritiske infrastrukturkomponenter — udløbne eller kompromitterede certifikater udgør konkret, kvantificerbar operationel og sikkerhedsrisiko. En risikoanalyse der ikke tager højde for certifikatets livscyklus er ufuldstændig under dette krav.
Artikel 21(2)(b) — Hændelseshåndtering. NIS2 kræver definerede hændelseshåndteringsprocedurer. Certifikatudløb der forårsager servicenedbrud er en hændelse. En kompromitteret privat nøgle der muliggør trafikafsporing er en sikkerhedshændelse med potentielle databrudimplikationer. Uden et certifikatregister kræver håndtering af en certifikatrelateret hændelse at man først finder ud af hvilke certifikater der eksisterer og hvor de bruges — og det tilføjer betydelig tid til hændelsesrespons når tid er afgørende.
Artikel 21(2)(e) — Sikkerhed ved erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder sårbarhedshåndtering og -offentliggørelse. Dette inkluderer brugen af kryptering og PKI. Kravet om at opretholde passende krypteringspraksis inkluderer nødvendigvis at opretholde gyldige, korrekt konfigurerede TLS-certifikater — udløbne certifikater udgør en direkte fejl i at opretholde kryptering under transport.
Artikel 21(2)(h) — Menneskelig ressourcesikkerhed, adgangskontrolpolitikker og aktivstyring. Aktivstyring under NIS2 dækker informationsaktiver bredt. Certifikater er informationsaktiver med definerede livscyklusser, klare ejere og udløbsdatoer — præcis den type aktiv som strukturerede aktivstyringsprocesser bør dække.
Forsyningskædebestemmelser (Artikel 21(2)(d) og Artikel 22). NIS2 lægger betydelig vægt på forsyningskædesikkerhed. Organisationer skal adressere sikkerhed i deres leverandør- og tjenesteudbyderrelationer. Leverandørers TLS-certifikater — de certifikater der bruges af tredjeparter der leverer tjenester til din organisation — er en del af forsyningskædesikkerhedsbilledet. En leverandør hvis TLS-certifikat udløber uventet forårsager serviceforstyrrelser der påvirker din organisation og potentielt dine forpligtelser under NIS2.
Rapporteringsdimensionen
NIS2 indfører obligatorisk hændelsesrapportering med korte tidsfrister: tidlig varsel inden for 24 timer, hændelsesnotifikation inden for 72 timer og en endelig rapport inden for en måned for væsentlige hændelser. Et certifikatudløb der forårsager utilgængelighed af tjenester eller et kompromitteret certifikat der muliggør et databrud kan begge kvalificere som væsentlige hændelser der kræver notifikation til nationale myndigheder.
24-timers kravet til tidlig varsel er særligt krævende. Det forudsætter at organisationen — når en hændelse opstår — har de nødvendige oplysninger til at rapportere hurtigt, herunder at forstå hvilke systemer der er påvirket og hvad omfanget af påvirkning er. Uden et certifikatregister kan det i sig selv tage timer at fastslå at et certifikatudløb er rodårsagen og forstå hvilke systemer det påvirker.
Hvad NIS2-klar certifikatstyring ser ud som
For organisationer der arbejder med NIS2-implementering er de certifikatstyringkapaciteter der mest direkte adresserer direktivets krav:
Et komplet, aktuelt aktivregister. Hvert certifikat der bruges på tværs af organisationens informationssystemer bør være i et styret register med udløbsdatoer, ejere, miljøer og tilknyttede systemer dokumenteret. Dette er fundamentet for risikoanalyse, hændelsesrespons og demonstration af compliance over for tilsynsmyndigheder.
Dokumenteret risikovurdering for certifikatets livscyklus. Den risikoanalyse der kræves af artikel 21(2)(a) bør eksplicit adressere certifikatudløbsrisiko, certifikatkompromiteringsrisiko og organisationens kontroller og restrisiko. Det skal være et levende dokument, ikke en engangsøvelse.
Definerede hændelsesresponsprocedurer for certifikathændelser. Hvad sker der når et certifikat udløber uventet? Hvad sker der hvis en kompromittering af en privat nøgle mistænkes? Hvem notificeres? Hvem træffer beslutningen om tilbagekaldelse? Hvad er eskaleringsstien? Disse procedurer bør være dokumenterede og afprøvede.
Overvågning af leverandørcertifikater. Hvis dine leverandører leverer tjenester over TLS, er deres certifikathelse en del af dit forsyningskædesikkerhedspostur. Overvågning af nøgleleverandørers certifikater for udløb og konfigurationsproblemer giver tidlig varsel om tredjeparts forstyrrelser.
Revisionsklare rapporter. Tilsynsmyndigheder under NIS2 har betydelige beføjelser til at anmode om oplysninger og gennemføre inspektioner. Certifikatregisteroversigter, udløbsprognoser og historiske hændelsesregistre bør være let tilgængelige — ikke samlet fra bunden som svar på en myndighedsanmodning.
Hvordan CertControl adresserer NIS2-krav
CertControl leverer de certifikatregistrerings-, overvågnings- og rapporteringskapaciteter som NIS2-dækkede organisationer har brug for. Platformen opretholder et kontinuerligt, automatisk opdateret register over alle certifikater på tværs af overvågede endepunkter — interne og eksterne — med udløbssporing, TLS-konfigurationsvurdering og klar ejerskabstildeling.
Executive- og operationelle rapporter er indbygget i platformen og dækker certifikatstatus, udløbsprognoser, compliance-scores og afvigelsesdetektering — og giver den revisionsklare dokumentation som NIS2's tilsynskontrol kan kræve. Konfigurerbare advarsler med lange forudgående varsler sikrer at certifikatudløb der nærmer sig kritiske tærskler, når de rigtige personer med tilstrækkelig tid til at handle inden for eventuelle ændringsstyringsbegrænsninger.
Overvågning af leverandørcertifikater udvider det samme register og den samme varsling til tredjepartstjenester — og dækker forsyningskædedimensionen af NIS2 uden at kræve manuelle sporingsprocesser der ikke kan skalere.