ARTIKEL 21(2)(a)
Risikoanalyse og informationssystemsikkerhed
☐
Komplet aktivfortegnelse over certifikater
Alle TLS-certifikater dokumenteret med udløbsdato, udsteder, ejer og tilknyttede systemer. Opdateres løbende — ikke kun ved tilsyn.
☐
Dokumenteret risikovurdering for certifikatlivscyklus
Risikovurderingen skal eksplicit adressere certifikatudløb, svag TLS-konfiguration og kompromitterede nøgler. Skal være et levende dokument, ikke et engangseksercis.
☐
Klassificering af systemer efter kritikalitet
Systemer i scope for NIS2 er identificeret og klassificeret som kritiske, vigtige eller øvrige. Certifikater tilknyttet kritiske systemer har skærpet overvågning.
ARTIKEL 21(2)(b)
Hændelseshåndtering
☐
Definerede procedurer for certifikathændelser
Hvad sker der når et certifikat udløber uventet? Hvem kontaktes? Hvem beslutter tilbagekaldelse? Eskalationsstien er dokumenteret og testet.
☐
Kontinuerlig audit-log over certifikathændelser
Log over alle certifikatændringer, alarmer, fornyelser og konfigurationsændringer med tidsstempel og bruger. Kritisk for 24-timers rapporteringsfristen.
☐
Klar grænse for hvornår et certifikatudløb er en NIS2-hændelse
Intern beslutningsprocedure der fastlægger hvornår nedetid forårsaget af certifikatudløb kvalificerer som en væsentlig hændelse under NIS2 Artikel 23.
ARTIKEL 21(2)(h)
Sikring af anskaffelse og vedligeholdelse af systemer (TLS/PKI)
☐
Ingen udløbne certifikater på produktionssystemer
Automatisk scanning der opdager udløbne eller snart-udløbende certifikater inden de forårsager nedbrud. Alarmer min. 30 dage før udløb.
☐
TLS-konfiguration scanner — ingen svage protokoller
TLS 1.0 og 1.1 er deaktiveret. Svage cipher suites som RC4, 3DES og eksportnøgler er fjernet. Dokumenteret per system.
☐
Certifikatkæder valideret og komplette
Alle certifikatinstallationer har korrekte mellemcertifikater. Ufuldstændige kæder forårsager fejl i ældre klienter og er et sikkerhedsproblem.
☐
OCSP-tilbagekaldelse overvåget
Kompromitterede certifikater er tilbagekaldt og OCSP-status er aktiv. Tilbakekaldelseskontrol er aktiveret på alle kritiske systemer.
☐
Sikker nøglehåndtering dokumenteret
Private nøgler er krypteret ved hvile (AES-256 minimum). Adgang til nøgler er begrænset og logget. Procedurer for nøglerotation er dokumenteret.
ARTIKEL 21(2)(d) + 22
Forsyningskædesikkerhed
☐
Overvågning af nøgleleverandørers TLS-certifikater
Kritiske leverandørers endpoints er tilføjet til overvågning. Alarm ved udløb eller konfigurationsproblemer hos leverandøren inden de forårsager driftsproblemer.
☐
Leverandørliste med sikkerhedsvurdering
Kritiske leverandører er identificeret og vurderet. Kontraktuelle krav til sikkerhed (inkl. certifikatstyring) er på plads for nye leverandørrelationer.
ARTIKEL 23
Hændelsesrapportering til tilsynsmyndighed
☐
Kan rod-årsag identificeres inden for 24 timer
Ved nedbrud: kan I inden for 24 timer afgøre om et certifikatudløb er årsagen? Et komplet register og audit-log er forudsætningen.
☐
Rapporteringsflow til tilsynsmyndighed er defineret
Hvem i organisationen er ansvarlig for at indberette til Digitaliseringsstyrelsen/CFCS? Kontaktoplysninger er opdateret. Skabeloner til tidlig varsel og hændelsesnotifikation er klar.
REVISIONSDOKUMENTATION
Dokumentation til tilsyn og ledelse
☐
Executive-rapport med compliance-score
Rapport der viser samlet TLS-compliance-score, antal aktive problemer, udløbsprognoser og historisk udvikling. Klar til download til bestyrelse eller tilsynsmyndighed.
☐
Operationel risikorapport
Detaljeret rapport over aktive findings, risikoscore pr. endpoint og prioriterede handlingspunkter. Dokumenterer at organisationen aktivt adresserer kendte risici.
☐
Udløbsprognose for kommende 90 dage
Oversigt over certifikater der udløber inden for 30, 60 og 90 dage med ansvarlig og forventet fornyelsesdato. Bruges til planlægning og til at vise tilsynet at processer er proaktive.
☐
Certifikatstyringspolitik godkendt af ledelsen
Skriftlig politik der beskriver processer, ansvar og krav til certifikathåndtering. Godkendt og dateret af ledelsen. Revideres minimum årligt.
CertControl dækker 13 af 20 punkter automatisk — aktivfortegnelse, TLS-scanning, audit-log og rapportering. De resterende 7 kræver organisatoriske beslutninger og politikdokumenter som CertControl leverer datamaterialet til.
Start gratis prøve
Spørgsmål & svar
Ofte stillede spørgsmål om NIS2-tjeklisten
Er der en officiel NIS2-tjekliste fra myndighederne?
Der er ikke én officiel tjekliste, men NIS2 Artikel 21 opregner otte sikkerhedskategorier som alle omfattede enheder skal implementere. Digitaliseringsstyrelsen og CFCS har udgivet vejledninger. Denne tjekliste operationaliserer kravene med fokus på TLS-certifikater og PKI.
Hvornår skal min organisation være NIS2-compliant?
Cybersikkerhedsloven trådte i kraft i Danmark i november 2024. Kravene gælder fra ikrafttrædelsen — ikke fra et fremtidigt tilsynstidspunkt. Organisationer der ikke allerede er i gang bør starte omgående.
Hvad sker der hvis man ikke har styr på NIS2-kravene?
Vigtige enheder kan bødes op til 7 mio. EUR eller 1,4% af global omsætning. Væsentlige enheder op til 10 mio. EUR eller 2%. Derudover kan ledelsen holdes personligt ansvarlig. Tilsynsmyndighederne kan kræve dokumentation til enhver tid.
Kom i gang
Klar til at krydse alle 13 af fra listen automatisk?
Start din gratis prøveperiode og se på 5 minutter, hvor mange af dine certifikater der er i orden — og hvilke der kræver handling.
14 dages gratis prøveperiode · Hostet i EU · NIS2 Artikel 21-klar