by Decree
Compliance

Password manager erhverv: 6 leverandører holdt op mod NIS2-krav

 · 8 min read

Password manager erhverv: NIS2 stiller konkrete krav til adgangsstyring. Sammenligning af 1Password, Bitwarden, Dashlane, Keeper, Vaultwarden og Decree.

Indholdsfortegnelse

NIS2-direktivet stiller konkrete krav til adgangsstyring og kryptografisk håndtering af legitimationsoplysninger for kritiske og væsentlige enheder. En password manager erhverv-løsning er ikke længere et valg om bekvemmelighed for medarbejdere, men en konkret bygge­sten i en NIS2-konform sikkerhedsarkitektur. Når Datatilsynet og NIS2-tilsynet i 2026 begynder reelle tilsyn, vil dokumenteret adgangsstyring og audit-trail på legitimations­håndtering være blandt de første ting, der efterspørges.

For mange danske SMV’er har spørgsmålet hidtil været “skal vi have en password manager?”. Svaret efter NIS2 er, at dokumenteret adgangsstyring er et krav for omfattede virksomheder, og at en password manager er den mest praktiske måde at levere det. Spørgsmålet er nu, hvilken løsning der både dækker NIS2-kravene og passer til jeres organisation, herunder krav til EU-hosting, audit-log, MFA, granuleret adgang og end-to-end kryptering.

I denne artikel sammenligner vi seks løsninger, fra de etablerede SaaS-aktører til selvhostede alternativer og en dansk samlet platform.

Skal I have styr på datasuverænitet og leverandørrisiko? Decree er dansk ejet, dansk hostet, og CLOUD Act-fri. Læs mere om vores sikkerhedstilgang eller se vores subprocessors.

NIS2 og kravene til adgangsstyring

NIS2-direktivet blev implementeret i dansk ret med tilsyn fra 1. halvår 2026. Direktivet stiller, jf. artikel 21, krav om “passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger” til håndtering af cybersikkerhedsrisici. Adgangsstyring og kryptografi er udtrykkeligt nævnt blandt de minimumsforanstaltninger, omfattede enheder skal etablere.

Konkret betyder det for password-håndtering:

  • Granuleret adgangsstyring. Medarbejdere skal kun have adgang til de legitimationsoplysninger, deres rolle kræver. “Hele teamet kan se alt” lever ikke op til princippet om mindst muligt privilegium.
  • Multi-faktor autentificering (MFA). Adgang til password-vault’en skal beskyttes med MFA, ikke kun et masterpassword.
  • Audit-log. Hvem har set hvilken adgangskode, hvornår, og hvorfra? Dokumentation skal kunne fremvises ved tilsyn.
  • End-to-end kryptering. Leverandøren bør ikke have teknisk mulighed for at læse jeres legitimationsoplysninger.
  • Off-boarding. Når en medarbejder fratræder, skal alle delte adgangskoder kunne roteres dokumenteret.
  • Leverandørstyring. Password manager-leverandøren er selv en kritisk underdatabehandler og skal indgå i jeres NIS2-leverandørstyring.

For en uddybning af NIS2-leverandørstyringen henvises til Læs mere: NIS2 leverandørstyring: Komplet checkliste. For overblik over hvem der er omfattet Læs mere: NIS2: Hvilke virksomheder er omfattet?.

Hvilke features er NIS2-relevante?

Når I evaluerer en password manager erhverv-løsning ud fra NIS2-perspektivet, er det disse features, der bør indgå i kravspecifikationen:

FeatureNIS2-relevans
Rolle- og gruppebaseret adgangMindst muligt privilegium (artikel 21)
MFA på vault-loginAdgangskontrol til kritiske aktiver
End-to-end kryptering (zero-knowledge)Beskytter mod leverandør-kompromittering
Audit-log med filtrering og eksportDokumentation ved tilsyn
SSO med SCIM-provisioneringOff-boarding og adgangsstyring i takt med HR
EU-hosting eller on-premises optionDatasuverænitet og leverandørrisiko
Delte vaults med versionshistorikSikker rotation efter off-boarding
Hardware-token support (FIDO2/WebAuthn)Stærk MFA jf. NIST SP 800-63

Ikke alle features er obligatoriske ifølge direktivet, men i praksis er det dette featuresæt, en NIS2-revisor vil spørge ind til. Manglende EU-hosting eller manglende audit-log gør det vanskeligt at dokumentere overholdelse.

Sammenligningstabel

LeverandørHostingEU-optionE2E-krypteringAudit-logGranuleret adgangMFA + FIDO2On-prem option
1PasswordCanada/USANejJaJa (Business)JaJaNej
Bitwarden (cloud)USA/EUJaJaJaJaJaJa (selvhostet)
DashlaneUSABegrænsetJaJa (Business)JaJaNej
KeeperUSA (regioner)JaJaJaJaJaJa (KeeperPAM)
Vaultwarden (selvhostet)Egen infrastrukturJaJaBegrænsetJaJaJa
DecreeDanmarkJaJaJaJaJaMulig

Noter: “EU-option” betyder, at leverandøren tilbyder en garanteret EU-hostet konfiguration. “On-prem” inkluderer både egen infrastruktur og dedikeret single-tenant. Audit-log markeret “Begrænset” indikerer, at funktionen findes, men ikke har samme dybde og eksportmuligheder som de kommercielle alternativer.

1Password

1Password er et etableret canadisk produkt, som mange danske virksomheder bruger i forvejen. Business-varianten leverer rolle-baseret adgang, audit-log og SSO-integration. Krypteringen er end-to-end, og leverandøren har ingen teknisk adgang til vault-data.

Styrker: Modent produkt, god brugeroplevelse, stærk MFA-implementering. NIS2-relevante features er på plads i Business- og Enterprise-licenserne. Begrænsninger: Hosting i Canada/USA, ingen garanteret EU-konfiguration. CLOUD Act-eksponering kan være et issue for de mest compliance-bevidste købere, da 1Password Inc. har amerikansk ejerstruktur.

Bitwarden

Bitwarden er open source og findes både som cloud-tjeneste (USA og EU) og som selvhostet løsning. Business-varianten dækker rolle-baseret adgang, audit-log, SSO og SCIM-provisionering. EU-hosting er en betalt option, der bør vælges aktivt for danske kunder.

Styrker: Open source, fleksibilitet i deployment, EU-hosting tilgængelig, mulighed for selvhostning hvis man ønsker fuld kontrol. Begrænsninger: Brugeroplevelsen er funktionel, men mindre poleret end 1Password. Selvhostet drift kræver intern kompetence.

Dashlane

Dashlane er en amerikansk udbyder med stærke funktioner inden for identitetsbeskyttelse og dark web-monitorering ud over selve password-håndteringen. Business-varianten dækker SSO, rolle-baseret adgang og audit-log.

Styrker: Modne udvidelser ud over kerne-password-features, god ende­bruger-oplevelse. Begrænsninger: Hosting primært i USA, EU-konfiguration er begrænset. CLOUD Act gælder, ligesom for andre amerikansk-ejede leverandører.

Keeper

Keeper er en amerikansk udbyder med fokus på enterprise-segmentet. Tilbyder regional hosting (inkl. EU), avanceret rolle- og policy-styring og en separat KeeperPAM-løsning til privileged access management. Audit-log og rapportering er blandt de mest detaljerede i markedet.

Styrker: Enterprise-features, stærk audit-log, EU-hosting tilgængelig, KeeperPAM dækker også secrets management for udviklere. Begrænsninger: Amerikansk ejerskab betyder CLOUD Act-eksponering uanset hosting-lokation. Pris-niveauet er højere end SMV-konkurrenterne.

Vaultwarden (selvhostet)

Vaultwarden er en uofficiel, men bredt anvendt, server-implementation af Bitwarden API’et, skrevet i Rust. Den kører som en let Docker-container og kan hostes hvor som helst, inkl. på en virtuel maskine i et dansk datacenter. Vaultwarden bruger samme klienter som Bitwarden.

Styrker: Fuld kontrol, ingen leverandør, nemt at hoste i EU eller on-premises, lave omkostninger. Begrænsninger: Selvhosted drift kræver intern teknisk ressource til opdateringer, backup og overvågning. Audit-log er mere begrænset end i de kommercielle Bitwarden-licenser. Ikke understøttet af Bitwarden-firmaet.

Decree

Decree leverer password manager som en del af vores samlede platform. Vault’en er end-to-end krypteret, audit-log er indbygget, og rolle-baseret adgang følger samme bruger- og gruppestruktur som resten af platformen (mail, dokumenter, CRM, signering). Hosting sker i Danmark, og platformen er ikke underlagt CLOUD Act.

Styrker: Dansk hosting, dansk ejerskab, ingen CLOUD Act-eksponering, granuleret adgang og audit-log integreret med jeres samlede NIS2-leverandørstyring. Off-boarding sker centralt, samtidig med deaktivering af mail, CRM og øvrige adgange. Begrænsninger: Kræver et bevidst valg om at konsolidere stakken. Hvis I kun ønsker en stand-alone password manager og bibeholder resten af stakken hos andre leverandører, er Bitwarden eller 1Password typisk en bedre vej.

Læs mere om vores password manager til erhverv for konkrete detaljer om vault-struktur, deling og audit-log.

Hvornår vælger du Decrees password manager?

Decrees password manager er ikke designet som et stand-alone produkt og konkurrerer ikke direkte med 1Password eller Bitwarden på en feature-til-feature basis. Værdien ligger i, at password-håndteringen er bygget ind i samme platform som mail, CRM, dokumenter og signering. Det betyder:

  • Off-boarding sker ét sted. Når en medarbejder fratræder, lukkes adgang til vault og resten af stakken samtidig.
  • Audit-log dækker hele jeres digitale fodaftryk, ikke kun password-handlinger.
  • En enkelt DPA og en enkelt subprocessor-liste dækker password manager, mail, dokumenter, CRM og resten af platformen.
  • NIS2-leverandørstyring forenkles. I har én leverandør at dokumentere, ikke fem.

Decree er det rigtige valg, hvis I konsoliderer stakken og vil have password-håndteringen som en integreret del af Decrees sikkerhedstilgang. Det er ikke det rigtige valg, hvis I kun udskifter password manager.

Ofte stillede spørgsmål om password manager til erhverv

Er en password manager et NIS2-krav?

Direktivet kræver “passende og forholdsmæssige” foranstaltninger til adgangsstyring og kryptografi (artikel 21), ikke specifikt en password manager. I praksis er en password manager den mest gennemførlige måde at opfylde kravene om granuleret adgang, MFA, audit-log og dokumenteret legitimations­håndtering. En NIS2-revisor vil typisk forvente, at I bruger en, eller at I kan dokumentere, hvordan I leverer samme funktionalitet på anden vis.

Kan medarbejderne fortsat bruge browserens indbyggede password manager?

Det anbefales ikke for arbejdsrelaterede legitimations­oplysninger. Browser-indbyggede password managers leverer ikke granuleret rolle-styring, fælles vaults eller audit-log. De er en personlig konsumentløsning, ikke et erhvervsværktøj. NIS2-omfattede virksomheder bør have en organisatorisk politik, der dirigerer arbejdsrelaterede legitimations­oplysninger til den centrale password manager.

Hvad er forskellen på en password manager og en secrets manager?

En password manager håndterer brugernes legitimations­oplysninger til SaaS-tjenester og web-applikationer. En secrets manager (HashiCorp Vault, AWS Secrets Manager, Doppler) håndterer maskine-til-maskine legitimationer, API-nøgler og certifikater i en applikations- og infrastrukturkontekst. Mange enterprise-leverandører (Keeper, 1Password) tilbyder begge i forskellige produkter. For en typisk SMV uden større udviklingsteam er en password manager tilstrækkelig.

Er en selvhostet løsning som Vaultwarden god nok til NIS2?

Funktionelt ja, hvis I har den interne kompetence til at drive den. Audit-log er mere begrænset, og I har selv ansvar for opdateringer, backup, MFA-konfiguration og overvågning. NIS2 stiller ikke krav om en specifik leverandør, men kravet om dokumenterede sikkerhedsforanstaltninger og kontinuitet skal opfyldes uanset om løsningen er selvhostet eller leveret som SaaS.

Hvordan håndterer vi off-boarding af en medarbejder med adgang til delte vaults?

Standardproceduren er: 1) Deaktiver brugerens adgang til password manager. 2) Eksporter en liste over delte adgangskoder, brugeren havde adgang til. 3) Roter samtlige af disse adgangskoder, ikke bare den fælles vault-adgang. 4) Dokumenter rotationen i jeres NIS2-leverandørstyring. SCIM-provisionering kobler typisk trin 1 sammen med HR-systemet, så den manuelle del begrænses til rotationen.

Læs også

Vil du samle din virksomheds digitale rygrad hos én dansk leverandør? Decree bygger og driver hele stakken (mail, signering, telefoni, CRM, dokumenter, eLearning) plus skræddersyede SaaS-platforme og mobilapps. Alt hostet i EU, CLOUD Act-fri, samlet i én DPA. Se platformen eller kontakt os for en samtale.

  • password manager
  • 1password
  • bitwarden
  • nis2
  • compliance
  • eu-cloud
Share:
Back to News

Related articles

See all articles »

Why Decree

Built for Danish businesses that can't afford doubt about data sovereignty

The market is starting to ask the questions we already answered.

1
data center
0
US transfers
1
data processing agreement
1
vendor
01

One data center, zero international data transfers

All your data sits with Scaleway in Paris. No replication to the US, no subprocessor spaghetti, zero Schrems II exposure.

02

CLOUD Act-free infrastructure

Decree is Danish-owned and EU-hosted. We don't fall under US jurisdiction. Microsoft's sovereign cloud doesn't solve it — we do.

03

NIS2-ready vendor in your supply chain

NIS2 took effect in Denmark on 1 July 2025. We have the documentation ready when your auditor asks about your vendor risk assessment.

04

Battle-tested in critical infrastructure

Mit Beredskab runs alarms on schools. Foreningen Neptun sails offline-first on the other side of the world. We don't build to usually-work.

05

One vendor to call

When something goes wrong it's our job to find it, close it and explain it. You don't chase information between fifteen vendors.

06

Custom-built without enterprise bureaucracy

You talk to the people building the solution. Custom modules in days, not in a six-month discovery phase.

Solutions

All solutions

The whole digital backbone. Pick the modules you use, pay for the rest when you grow.

Custom SaaS

Custom SaaS

Web platforms built on Decree's infrastructure.

Read more →
Mobile apps

Mobile apps

Native and cross-platform apps.

Read more →
Email

Email

Your own mail server, run by Decree, EU-hosted.

Read more →
E-signature

E-signature

EU-hosted, legally binding, integrated with CRM.

Read more →
Telephony

Telephony

Danish telephony, integrated into the platform.

Read more →
eLearning

eLearning

Course flows, tests and certificates.

Read more →
Documents and files

Documents and files

EU-hosted document storage.

Read more →
CRM

CRM

Leads, customers and pipeline management.

Read more →
Password manager

Password manager

Shared credentials, EU-hosted.

Read more →
Web forms

Web forms

Form builder for lead capture and e-signature.

Read more →
Websites

Websites

Design, hosting and maintenance.

Read more →
Social media manager

Social media manager

Plan and publish across LinkedIn, Facebook, Instagram and X.

Read more →

Hosted in the EU. Built for Denmark.

Start a conversation