Er sundhedssektoren omfattet af NIS2?

Ja. Sundhed er en af de sektorer NIS2 klassificerer som særligt kritiske, og sundhedsudbydere over størrelsestærsklen betragtes som væsentlige enheder. Det omfatter sygehuse og en række sundhedstjenester drevet af regionerne. Væsentlige enheder er underlagt Artikel 21 om risikostyring og kan idømmes bøder op til 10 mio. EUR eller 2% af omsætningen.

Hvilke certifikater er i scope for et sygehus under NIS2?

Både borgervendte og interne certifikater. Det omfatter sundhedsportaler og bookingløsninger, web-grænseflader til EPJ og kliniske fagsystemer, telemedicin og patient-apps, samt certifikater på systemer hostet af leverandører på sygehusets domæner. De interne fagsystemer er ofte den største blinde vinkel.

Hvorfor er interne certifikater den største risiko i sundhedssektoren?

Når et internt fagsystem som EPJ får et udløbet certifikat, er der ingen borger der ringer og melder fejlen — klinikere tolker den ofte som et midlertidigt IT-problem. Internt udløbne certifikater opdages derfor langsommere end eksterne, samtidig med at de rammer kritisk patientbehandling. Uden et komplet register over interne certifikater er denne risiko usynlig indtil den udløser et nedbrud.

NIS2 i sundhedssektoren: Certifikatkrav for regioner og sygehuse

Sundhedssektoren håndterer nogle af de mest følsomme persondata, der findes, og driver tjenester hvor nedetid kan have direkte konsekvenser for patientbehandling. Det er en stor del af grunden til, at NIS2 placerer sundhed blandt de særligt kritiske sektorer. For regioner og sygehuse betyder det konkrete krav til, hvordan TLS-certifikater styres. For den generelle gennemgang af kravene, se NIS2 og certifikatstyring.

Hvorfor sundhedssektoren er en væsentlig enhed

NIS2 inddeler omfattede organisationer i væsentlige og vigtige enheder. Sundhed hører til de sektorer, direktivet klassificerer som særligt kritiske, og omfattede sundhedsudbydere betragtes som udgangspunkt som væsentlige enheder, når de overstiger størrelsestærsklen. Det er den strengeste kategori: bødeloftet er op til 10 mio. EUR eller 2% af den globale årlige omsætning, og der gælder skærpet tilsyn. Hvad det betyder økonomisk, uddyber vi i NIS2-bøder: hvad koster manglende certifikatstyring.

I dansk kontekst driver regionerne sygehusene og en stor del af den specialiserede sundheds-IT. Dermed falder en betydelig mængde borgervendte og kliniske systemer ind under NIS2's krav om systematisk risikostyring — Artikel 21 — og hændelsesrapportering — Artikel 23.

Hvilke certifikater er i scope?

En sundhedsorganisation har typisk et bredere og mere sammensat certifikatlandskab end de fleste private virksomheder. De vigtigste kategorier:

Borgervendte tjenester. Sundhedsportaler, tidsbestilling, prøvesvar og kommunikationsløsninger. Et udløbet certifikat her giver borgeren en browseradvarsel og blokerer adgangen — med direkte effekt på den digitale patientkontakt.

Kliniske fagsystemer. Web-grænseflader til EPJ, billeddiagnostik, laboratoriesystemer og medicinmoduler bruger TLS internt. Disse er ikke synlige fra internettet, men er nogle af de mest kritiske systemer overhovedet.

Telemedicin og patient-apps. Fjernmonitorering og app-baserede løsninger afhænger af gyldige certifikater i hele kæden, ofte på tværs af flere leverandører.

Leverandørsystemer på jeres domæner. Meget sundheds-IT hostes af eksterne leverandører, men kører på regionens eller sygehusets domæner. Under Artikel 21's forsyningskædekrav er I ansvarlige for at have overblik over disse certifikater.

De interne certifikater er den største risiko

Når et borgervendt certifikat udløber, opdages det hurtigt — borgere møder fejlen og henvender sig. Når et internt fagsystem som EPJ får et udløbet certifikat, er der ingen ekstern alarmklokke. Klinikere tolker ofte fejlen som et forbigående IT-problem og venter, mens systemet reelt er utilgængeligt midt i patientbehandlingen. Internt udløbne certifikater opdages derfor systematisk langsommere end eksterne — og rammer hårdere.

Den eneste robuste løsning er et komplet register, der dækker både det internetvendte og det interne, koblet til alarmer i god tid. Se principperne i undgå udløbne certifikater.

Scope-tjekliste: certifikater i en typisk region

Et nyttigt udgangspunkt er at kortlægge, hvor TLS-certifikater faktisk findes i en sundhedsorganisation. De fleste regioner vil genkende langt de fleste af disse:

Borgervendte portaler: tidsbestilling, prøvesvar, sikker beskedkommunikation og betalingsløsninger.
Kliniske systemers web- og integrationsgrænseflader: EPJ, PACS/billeddiagnostik, laboratorie- og medicineringssystemer.
Telemedicin og hjemmemonitorering, inkl. patient-apps og device-backends.
Interne administrative systemer: intranet, HR, økonomi og identitetsstyring.
Leverandør- og hostede systemer, der kører på regionens domæner.
Maskine-til-maskine-integrationer mellem regioner, kommuner og nationale sundhedsplatforme.

Pointen med listen er ikke fuldstændighed, men erkendelsen af, at certifikatfladen er langt bredere end den håndfuld, de fleste teams aktivt holder øje med.

Hændelsesrapportering når et sundhedssystem går ned

Artikel 23 kræver tidlig varsel inden for 24 timer og en egentlig hændelsesnotifikation inden for 72 timer for væsentlige hændelser. I en sundhedskontekst er tærsklen for "væsentlig" hurtigt nået: et certifikatudløb, der gør et borgervendt sundhedssystem eller et klinisk fagsystem utilgængeligt, kan have direkte konsekvenser for patientbehandlingen og dermed kvalificere.

Den praktiske udfordring er tid. De 24 timer begynder at løbe, når hændelsen opstår — ikke når I har fundet rodårsagen. Uden et certifikatregister kan det alene tage timer at fastslå, at et udløbet certifikat er årsagen, og hvilke systemer det rammer. Et komplet register med tidlige alarmer er forskellen på en kontrolleret rapportering og en, der starter med gætværk.

Sådan dækker CertControl sundhedssektorens certifikatkrav

NIS2 i sundhedssektoren kræver overblik over et bredt og delvist internt certifikatlandskab. CertControl er bygget til netop det:

Komplet register inkl. leverandørsystemer. Certificate Transparency-logs og aktiv scanning finder automatisk alle certifikater på regionens og sygehusenes domæner — også dem leverandører har udstedt.
On-premise agent til kliniske fagsystemer. Agenten installeres bag firewall og scanner interne systemer som EPJ og laboratoriesystemer uden indgående forbindelser — så de mest kritiske certifikater er med i samme overblik som de borgervendte.
Tidlige alarmer til navngivne ejere. Tærskler 60-90 dage frem giver tid til leverandørdialog og ændringsprocesser i en stor sundhedsorganisation — fremfor en akut udskiftning under drift.
Revisionsklar dokumentation til tilsyn. Automatiske rapporter og en audit-log udgør det løbende bevis for kontrol, som NIS2-tilsyn forventer.

Relaterede artikler

NIS2 compliance software: Fuld oversigt over Artikel 21-dækning → NIS2 certifikatkrav for kommuner → NIS2-bøder: Hvad koster manglende certifikatstyring? →

Se NIS2-dækningen Book en gennemgang