Book demo Start gratis prøve
Produkt Anvendelse Priser Vejledninger Om os Book demo Start gratis prøve
NIS2 · Artikel 21

NIS2 Tjekliste 2026: 20 krav du skal dokumentere

NIS2 Artikel 21 kræver at alle væsentlige og vigtige enheder implementerer konkrete tekniske og organisatoriske sikkerhedsforanstaltninger. Denne tjekliste gør kravene håndgribelige — med direkte fokus på certifikater, TLS og PKI — og viser præcis hvilke 13 punkter CertControl dækker automatisk, og hvilke 7 der kræver din organisation at tage stilling.

Gælder fra: 1. juli 2025 (NIS 2-loven)  ·  Tilsyn: Styrelsen for Samfundssikkerhed / sektoransvarlige myndigheder  ·  Sidst opdateret: Juni 2026

ARTIKEL 21(2)(a)

Risikoanalyse og informationssystemsikkerhed

CertControl ✓
Komplet aktivfortegnelse over certifikater
Alle TLS-certifikater registreret med udløbsdato, udsteder, systemejer og tilknyttede endpoints. Fortegnelsen opdateres løbende ved hvert scan — ikke kun inden et planlagt tilsyn.
CertControl ✓
Dokumenteret risikovurdering for certifikatlivscyklus
Risikovurderingen adresserer eksplicit certifikat udløb, svag TLS-konfiguration og kompromitterede nøgler. Et levende dokument der opdateres ved ændringer i infrastrukturen — ikke et engangseksercis.
Manuelt
Klassificering af systemer efter kritikalitet
Systemer i NIS2-scope er identificeret og klassificeret som kritiske, vigtige eller øvrige. Certifikater på kritiske systemer er markeret og overvåges med skærpede tærskler.
ARTIKEL 21(2)(b)

Hændelseshåndtering

Manuelt
Definerede procedurer for certifikathændelser
Hvem kontaktes når et certifikat udløber uventet? Hvem har mandat til at beslutte tilbagekaldelse? Eskalationsstien er skriftlig, testet og tilgængelig for alle relevante parter.
CertControl ✓
Kontinuerlig audit-log over certifikathændelser
Alle certifikatændringer, alarmer, fornyelser og konfigurationsændringer logges med tidsstempel og bruger. Loggen er forudsætningen for at overholde NIS2 Artikel 23's 24-timers rapporteringsfrist.
Manuelt
Klar grænse for hvornår et certifikatudløb er en NIS2-hændelse
Intern beslutningsprocedure der fastlægger hvornår nedetid forårsaget af certifikat udløb kvalificerer som en væsentlig hændelse under Artikel 23 og udløser rapporteringspligt.
ARTIKEL 21(2)(h)

Sikring af anskaffelse og vedligeholdelse af systemer (TLS/PKI)

CertControl ✓
Ingen udløbne certifikater på produktionssystemer
CertControl scanner løbende og opdager udløbne eller snart-udløbende certifikater inden de forårsager nedbrud. Alarmer sendes minimum 30 dage før udløb — og med ACME-integration håndteres certifikatanmodningen automatisk.
CertControl ✓
TLS-konfiguration scannet — ingen svage protokoller
CertControl detekterer TLS 1.0 og 1.1, svage cipher suites som RC4 og 3DES, og giver hvert endpoint en karakter. Dokumentationen er klar til tilsyn uden manuel indsats.
CertControl ✓
Certifikatkæder valideret og komplette
CertControl validerer at alle certifikatinstallationer har korrekte mellemcertifikater. Ufuldstændige kæder forårsager fejl i ældre klienter og er et dokumenteret sikkerhedsproblem under NIS2.
CertControl ✓
OCSP-tilbagekaldelse overvåget
CertControl tjekker OCSP-status løbende og opdager tilbagekaldte certifikater, inden browsere og API-klienter begynder at afvise dem. Tilbagekaldelseskontrol er aktiv på alle endpoints.
CertControl ✓
Sikker nøglehåndtering dokumenteret
Private nøgler krypteret ved hvile (AES-256 minimum). Adgang er begrænset, logget og reviderbar. Procedurer for nøglerotation er skriftlige og tilgængelige for relevant personale.
ARTIKEL 21(2)(d) + 22

Forsyningskædesikkerhed

CertControl ✓
Overvågning af nøgleleverandørers TLS-certifikater
Kritiske leverandørers endpoints er tilføjet direkte i CertControl. Du opdager et certifikatproblem hos leverandøren, inden det forårsager driftsproblemer i din organisation.
Manuelt
Leverandørliste med sikkerhedsvurdering
Kritiske leverandører er identificeret og risikovurderet. Kontraktuelle krav til sikkerhed — herunder certifikatstyring — er på plads og dokumenteret for nye leverandørrelationer.
ARTIKEL 23

Hændelsesrapportering til tilsynsmyndighed

CertControl ✓
Rod-årsag kan identificeres inden for 24 timer
Ved nedbrud: CertControls audit-log og certifikatregister giver dig svaret på om et udløbet certifikat er årsagen — inden 24-timers-fristen for tidlig varsling til den kompetente myndighed og CSIRT'en udløber.
Manuelt
Rapporteringsflow til tilsynsmyndighed er defineret
Hvem i organisationen er ansvarlig for at underrette den kompetente myndighed og CSIRT'en (via virk.dk)? Kontaktoplysninger er opdaterede, og skabeloner til tidlig varsel og hændelsesnotifikation er klargjorte.
REVISIONSDOKUMENTATION

Dokumentation til tilsyn og ledelse

CertControl ✓
Executive-rapport med compliance-score
CertControl genererer rapport med samlet TLS-compliance-score, antal aktive problemer, udløbsprognoser og historisk udvikling. Klar til download og præsentation for bestyrelse eller tilsynsmyndighed.
CertControl ✓
Operational Risk Report
Detaljeret rapport over aktive findings, risikoscore per endpoint og prioriterede handlingspunkter. Dokumenterer at din organisation aktivt adresserer kendte risici — ikke blot registrerer dem.
CertControl ✓
Expiry Forecast — kommende 90 dage
CertControl viser alle certifikater der udløber inden for 30, 60 og 90 dage med systemejer og forventet fornyelsesdato. Bruges til planlægning og viser tilsynet at processerne er proaktive.
Manuelt
Certifikatstyringspolitik godkendt af ledelsen
Skriftlig politik der beskriver processer, ansvar og minimumskrav til certifikathåndtering. Dateret og underskrevet af ledelsen. Revideres minimum én gang om året og ved væsentlige infrastrukturændringer.
Tjeklistestatus
13
CertControl dækker
7
Kræver manuel indsats
20
Punkter i alt

CertControl dækker 13 af 20 punkter automatisk — aktivfortegnelse, TLS-scanning, OCSP-overvågning, audit-log og rapportering. De 7 resterende kræver organisatoriske beslutninger: klassificering, procedurer og politikdokumenter. CertControl leverer datamaterialet — du tager stilling.

Start gratis prøve
Spørgsmål & svar

Ofte stillede spørgsmål om NIS2-tjeklisten

Er der en officiel NIS2-tjekliste fra myndighederne?

Nej, der er ikke én officiel tjekliste. NIS2 Artikel 21 opregner ti sikkerhedskategorier, som alle væsentlige og vigtige enheder skal implementere. Styrelsen for Samfundssikkerhed har udgivet både tværgående og sektorspecifikke vejledninger, men de er holdt på et overordnet niveau. Denne tjekliste operationaliserer kravene med direkte fokus på TLS-certifikater, PKI og den dokumentation tilsynsmyndighederne forventer at se.

Hvornår skal min organisation være NIS2-compliant?

NIS 2-loven trådte i kraft i Danmark den 1. juli 2025, og omfattede enheder skulle registrere sig senest den 1. oktober 2025. Kravene gælder fra ikrafttrædelsen — ikke fra et fremtidigt tilsynstidspunkt. Tilsynsmyndighederne kan kræve dokumentation nu. Aktivfortegnelse og audit-log tager tid at etablere — kom i gang.

Hvad sker der hvis man ikke har styr på NIS2-kravene?

Vigtige enheder kan bødes op til 7 mio. EUR eller 1,4% af global omsætning. Væsentlige enheder op til 10 mio. EUR eller 2%. Derudover kan ledelsen holdes personligt ansvarlig for manglende implementering. Tilsynsmyndighederne kan kræve dokumentation til enhver tid — ikke kun i forbindelse med en faktisk hændelse.

Kom i gang

Klar til at krydse 13 punkter af automatisk?

Start din gratis prøveperiode og se på 5 minutter, hvilke certifikater der er i orden — og hvilke der kræver handling i dag.

Start gratis prøve Book en gennemgang

14 dages gratis prøveperiode  ·  Hostet i EU  ·  NIS2 Artikel 21-klar