Password manager erhverv: 6 leverandører holdt op mod NIS2-krav
Password manager erhverv: NIS2 stiller konkrete krav til adgangsstyring. Sammenligning af 1Password, Bitwarden, Dashlane, Keeper, Vaultwarden og Decree.
Indholdsfortegnelse
- NIS2 og kravene til adgangsstyring
- Hvilke features er NIS2-relevante?
- Sammenligningstabel
- 1Password
- Bitwarden
- Dashlane
- Keeper
- Vaultwarden (selvhostet)
- Decree
- Hvornår vælger du Decrees password manager?
- Ofte stillede spørgsmål om password manager til erhverv
- Læs også
NIS2-direktivet stiller konkrete krav til adgangsstyring og kryptografisk håndtering af legitimationsoplysninger for kritiske og væsentlige enheder. En password manager erhverv-løsning er ikke længere et valg om bekvemmelighed for medarbejdere, men en konkret byggesten i en NIS2-konform sikkerhedsarkitektur. Når Datatilsynet og NIS2-tilsynet i 2026 begynder reelle tilsyn, vil dokumenteret adgangsstyring og audit-trail på legitimationshåndtering være blandt de første ting, der efterspørges.
For mange danske SMV’er har spørgsmålet hidtil været “skal vi have en password manager?”. Svaret efter NIS2 er, at dokumenteret adgangsstyring er et krav for omfattede virksomheder, og at en password manager er den mest praktiske måde at levere det. Spørgsmålet er nu, hvilken løsning der både dækker NIS2-kravene og passer til jeres organisation, herunder krav til EU-hosting, audit-log, MFA, granuleret adgang og end-to-end kryptering.
I denne artikel sammenligner vi seks løsninger, fra de etablerede SaaS-aktører til selvhostede alternativer og en dansk samlet platform.
Skal I have styr på datasuverænitet og leverandørrisiko? Decree er dansk ejet, dansk hostet, og CLOUD Act-fri. Læs mere om vores sikkerhedstilgang eller se vores subprocessors.
NIS2 og kravene til adgangsstyring
NIS2-direktivet blev implementeret i dansk ret med tilsyn fra 1. halvår 2026. Direktivet stiller, jf. artikel 21, krav om “passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger” til håndtering af cybersikkerhedsrisici. Adgangsstyring og kryptografi er udtrykkeligt nævnt blandt de minimumsforanstaltninger, omfattede enheder skal etablere.
Konkret betyder det for password-håndtering:
- Granuleret adgangsstyring. Medarbejdere skal kun have adgang til de legitimationsoplysninger, deres rolle kræver. “Hele teamet kan se alt” lever ikke op til princippet om mindst muligt privilegium.
- Multi-faktor autentificering (MFA). Adgang til password-vault’en skal beskyttes med MFA, ikke kun et masterpassword.
- Audit-log. Hvem har set hvilken adgangskode, hvornår, og hvorfra? Dokumentation skal kunne fremvises ved tilsyn.
- End-to-end kryptering. Leverandøren bør ikke have teknisk mulighed for at læse jeres legitimationsoplysninger.
- Off-boarding. Når en medarbejder fratræder, skal alle delte adgangskoder kunne roteres dokumenteret.
- Leverandørstyring. Password manager-leverandøren er selv en kritisk underdatabehandler og skal indgå i jeres NIS2-leverandørstyring.
For en uddybning af NIS2-leverandørstyringen henvises til Læs mere: NIS2 leverandørstyring: Komplet checkliste. For overblik over hvem der er omfattet Læs mere: NIS2: Hvilke virksomheder er omfattet?.
Hvilke features er NIS2-relevante?
Når I evaluerer en password manager erhverv-løsning ud fra NIS2-perspektivet, er det disse features, der bør indgå i kravspecifikationen:
| Feature | NIS2-relevans |
|---|---|
| Rolle- og gruppebaseret adgang | Mindst muligt privilegium (artikel 21) |
| MFA på vault-login | Adgangskontrol til kritiske aktiver |
| End-to-end kryptering (zero-knowledge) | Beskytter mod leverandør-kompromittering |
| Audit-log med filtrering og eksport | Dokumentation ved tilsyn |
| SSO med SCIM-provisionering | Off-boarding og adgangsstyring i takt med HR |
| EU-hosting eller on-premises option | Datasuverænitet og leverandørrisiko |
| Delte vaults med versionshistorik | Sikker rotation efter off-boarding |
| Hardware-token support (FIDO2/WebAuthn) | Stærk MFA jf. NIST SP 800-63 |
Ikke alle features er obligatoriske ifølge direktivet, men i praksis er det dette featuresæt, en NIS2-revisor vil spørge ind til. Manglende EU-hosting eller manglende audit-log gør det vanskeligt at dokumentere overholdelse.
Sammenligningstabel
| Leverandør | Hosting | EU-option | E2E-kryptering | Audit-log | Granuleret adgang | MFA + FIDO2 | On-prem option |
|---|---|---|---|---|---|---|---|
| 1Password | Canada/USA | Nej | Ja | Ja (Business) | Ja | Ja | Nej |
| Bitwarden (cloud) | USA/EU | Ja | Ja | Ja | Ja | Ja | Ja (selvhostet) |
| Dashlane | USA | Begrænset | Ja | Ja (Business) | Ja | Ja | Nej |
| Keeper | USA (regioner) | Ja | Ja | Ja | Ja | Ja | Ja (KeeperPAM) |
| Vaultwarden (selvhostet) | Egen infrastruktur | Ja | Ja | Begrænset | Ja | Ja | Ja |
| Decree | Danmark | Ja | Ja | Ja | Ja | Ja | Mulig |
Noter: “EU-option” betyder, at leverandøren tilbyder en garanteret EU-hostet konfiguration. “On-prem” inkluderer både egen infrastruktur og dedikeret single-tenant. Audit-log markeret “Begrænset” indikerer, at funktionen findes, men ikke har samme dybde og eksportmuligheder som de kommercielle alternativer.
1Password
1Password er et etableret canadisk produkt, som mange danske virksomheder bruger i forvejen. Business-varianten leverer rolle-baseret adgang, audit-log og SSO-integration. Krypteringen er end-to-end, og leverandøren har ingen teknisk adgang til vault-data.
Styrker: Modent produkt, god brugeroplevelse, stærk MFA-implementering. NIS2-relevante features er på plads i Business- og Enterprise-licenserne. Begrænsninger: Hosting i Canada/USA, ingen garanteret EU-konfiguration. CLOUD Act-eksponering kan være et issue for de mest compliance-bevidste købere, da 1Password Inc. har amerikansk ejerstruktur.
Bitwarden
Bitwarden er open source og findes både som cloud-tjeneste (USA og EU) og som selvhostet løsning. Business-varianten dækker rolle-baseret adgang, audit-log, SSO og SCIM-provisionering. EU-hosting er en betalt option, der bør vælges aktivt for danske kunder.
Styrker: Open source, fleksibilitet i deployment, EU-hosting tilgængelig, mulighed for selvhostning hvis man ønsker fuld kontrol. Begrænsninger: Brugeroplevelsen er funktionel, men mindre poleret end 1Password. Selvhostet drift kræver intern kompetence.
Dashlane
Dashlane er en amerikansk udbyder med stærke funktioner inden for identitetsbeskyttelse og dark web-monitorering ud over selve password-håndteringen. Business-varianten dækker SSO, rolle-baseret adgang og audit-log.
Styrker: Modne udvidelser ud over kerne-password-features, god endebruger-oplevelse. Begrænsninger: Hosting primært i USA, EU-konfiguration er begrænset. CLOUD Act gælder, ligesom for andre amerikansk-ejede leverandører.
Keeper
Keeper er en amerikansk udbyder med fokus på enterprise-segmentet. Tilbyder regional hosting (inkl. EU), avanceret rolle- og policy-styring og en separat KeeperPAM-løsning til privileged access management. Audit-log og rapportering er blandt de mest detaljerede i markedet.
Styrker: Enterprise-features, stærk audit-log, EU-hosting tilgængelig, KeeperPAM dækker også secrets management for udviklere. Begrænsninger: Amerikansk ejerskab betyder CLOUD Act-eksponering uanset hosting-lokation. Pris-niveauet er højere end SMV-konkurrenterne.
Vaultwarden (selvhostet)
Vaultwarden er en uofficiel, men bredt anvendt, server-implementation af Bitwarden API’et, skrevet i Rust. Den kører som en let Docker-container og kan hostes hvor som helst, inkl. på en virtuel maskine i et dansk datacenter. Vaultwarden bruger samme klienter som Bitwarden.
Styrker: Fuld kontrol, ingen leverandør, nemt at hoste i EU eller on-premises, lave omkostninger. Begrænsninger: Selvhosted drift kræver intern teknisk ressource til opdateringer, backup og overvågning. Audit-log er mere begrænset end i de kommercielle Bitwarden-licenser. Ikke understøttet af Bitwarden-firmaet.
Decree
Decree leverer password manager som en del af vores samlede platform. Vault’en er end-to-end krypteret, audit-log er indbygget, og rolle-baseret adgang følger samme bruger- og gruppestruktur som resten af platformen (mail, dokumenter, CRM, signering). Hosting sker i Danmark, og platformen er ikke underlagt CLOUD Act.
Styrker: Dansk hosting, dansk ejerskab, ingen CLOUD Act-eksponering, granuleret adgang og audit-log integreret med jeres samlede NIS2-leverandørstyring. Off-boarding sker centralt, samtidig med deaktivering af mail, CRM og øvrige adgange. Begrænsninger: Kræver et bevidst valg om at konsolidere stakken. Hvis I kun ønsker en stand-alone password manager og bibeholder resten af stakken hos andre leverandører, er Bitwarden eller 1Password typisk en bedre vej.
Læs mere om vores password manager til erhverv for konkrete detaljer om vault-struktur, deling og audit-log.
Hvornår vælger du Decrees password manager?
Decrees password manager er ikke designet som et stand-alone produkt og konkurrerer ikke direkte med 1Password eller Bitwarden på en feature-til-feature basis. Værdien ligger i, at password-håndteringen er bygget ind i samme platform som mail, CRM, dokumenter og signering. Det betyder:
- Off-boarding sker ét sted. Når en medarbejder fratræder, lukkes adgang til vault og resten af stakken samtidig.
- Audit-log dækker hele jeres digitale fodaftryk, ikke kun password-handlinger.
- En enkelt DPA og en enkelt subprocessor-liste dækker password manager, mail, dokumenter, CRM og resten af platformen.
- NIS2-leverandørstyring forenkles. I har én leverandør at dokumentere, ikke fem.
Decree er det rigtige valg, hvis I konsoliderer stakken og vil have password-håndteringen som en integreret del af Decrees sikkerhedstilgang. Det er ikke det rigtige valg, hvis I kun udskifter password manager.
Ofte stillede spørgsmål om password manager til erhverv
Er en password manager et NIS2-krav?
Direktivet kræver “passende og forholdsmæssige” foranstaltninger til adgangsstyring og kryptografi (artikel 21), ikke specifikt en password manager. I praksis er en password manager den mest gennemførlige måde at opfylde kravene om granuleret adgang, MFA, audit-log og dokumenteret legitimationshåndtering. En NIS2-revisor vil typisk forvente, at I bruger en, eller at I kan dokumentere, hvordan I leverer samme funktionalitet på anden vis.
Kan medarbejderne fortsat bruge browserens indbyggede password manager?
Det anbefales ikke for arbejdsrelaterede legitimationsoplysninger. Browser-indbyggede password managers leverer ikke granuleret rolle-styring, fælles vaults eller audit-log. De er en personlig konsumentløsning, ikke et erhvervsværktøj. NIS2-omfattede virksomheder bør have en organisatorisk politik, der dirigerer arbejdsrelaterede legitimationsoplysninger til den centrale password manager.
Hvad er forskellen på en password manager og en secrets manager?
En password manager håndterer brugernes legitimationsoplysninger til SaaS-tjenester og web-applikationer. En secrets manager (HashiCorp Vault, AWS Secrets Manager, Doppler) håndterer maskine-til-maskine legitimationer, API-nøgler og certifikater i en applikations- og infrastrukturkontekst. Mange enterprise-leverandører (Keeper, 1Password) tilbyder begge i forskellige produkter. For en typisk SMV uden større udviklingsteam er en password manager tilstrækkelig.
Er en selvhostet løsning som Vaultwarden god nok til NIS2?
Funktionelt ja, hvis I har den interne kompetence til at drive den. Audit-log er mere begrænset, og I har selv ansvar for opdateringer, backup, MFA-konfiguration og overvågning. NIS2 stiller ikke krav om en specifik leverandør, men kravet om dokumenterede sikkerhedsforanstaltninger og kontinuitet skal opfyldes uanset om løsningen er selvhostet eller leveret som SaaS.
Hvordan håndterer vi off-boarding af en medarbejder med adgang til delte vaults?
Standardproceduren er: 1) Deaktiver brugerens adgang til password manager. 2) Eksporter en liste over delte adgangskoder, brugeren havde adgang til. 3) Roter samtlige af disse adgangskoder, ikke bare den fælles vault-adgang. 4) Dokumenter rotationen i jeres NIS2-leverandørstyring. SCIM-provisionering kobler typisk trin 1 sammen med HR-systemet, så den manuelle del begrænses til rotationen.
Læs også
- Decrees password manager til erhverv: Dansk hosting, NIS2-relevant
- NIS2 leverandørstyring: Komplet checkliste
- NIS2: Hvilke virksomheder er omfattet?
- Decrees sikkerhedstilgang: Dansk hosting, ingen CLOUD Act
Vil du samle din virksomheds digitale rygrad hos én dansk leverandør? Decree bygger og driver hele stakken (mail, signering, telefoni, CRM, dokumenter, eLearning) plus skræddersyede SaaS-platforme og mobilapps. Alt hostet i EU, CLOUD Act-fri, samlet i én DPA. Se platformen eller kontakt os for en samtale.
- password manager
- 1password
- bitwarden
- nis2
- compliance
- eu-cloud
