Is my Danish company in scope of NIS2-loven?

If you operate in energy, transport, banking, financial market infrastructure, healthcare, drinking water, wastewater, digital infrastructure, ICT service management, public administration, space, postal et les courier services, waste management, manufacture, production et les distribution of chemicals, food production, manufacturing, digital providers, or research — et les you exceed the medium-enterprise threshold (50 staff or €10M turnover) — you are likely an essential or important entity under NIS2-loven. We run a free in-scope assessment.

How fast must we notify CFCS of a significant incident?

An early warning within 24 hours of becoming aware, a full notification within 72 hours, et les a final report within one month. Our SOC drafts et les submits each notification automatically when triggers are met — including the CSIRT.dk technical hand-off.

Where does our data sit during SOC monitoring?

Telemetry et les case data remain inside the EEA, processed across our Stockholm et les Zoetermeer SOCs. No transfer to third countries without a documented Article 46 safeguard — a requirement we see flagged consistently by Datatilsynet on cross-border processing audits.

Présence locale · Danemark

Services de cybersécurité en Danemark

Cybersécurité · NIS2 · CFCS · Datatilsynet · DORA

Conforme à la NIS2-loven, alignée sur DORA — opérée depuis nos SOC dans l'EU.

Les entreprises danoises se trouvent au cœur de l'un des environnements réglementaires les plus matures sur le plan numérique au sein de l'EU. La loi sur la cybersécurité et la sécurité de l'information (NIS2-loven) — la transposition danoise de NIS2 adoptée en 2025 — élargit considérablement le périmètre des entités réglementées par rapport à l'ancien cadre NIS, le Centre pour la cybersécurité (Center for Cybersikkerhed, CFCS), rattaché au Service de renseignement de la Défense danoise, supervisant les entités essentielles et importantes réparties sur 18 secteurs. L'Autorité danoise de protection des données (Datatilsynet) figure parmi les régulateurs GDPR les plus actifs d'Europe du Nord, l'Autorité de surveillance financière (Finanstilsynet) supervise les entités financières relevant de DORA, et la Stratégie nationale danoise pour la cybersécurité et la sécurité de l'information 2022–2024 fixe les attentes de maturité de référence. Depuis nos SOC de Stockholm et de Zoetermeer, nous assurons une détection 24×7 et une déclaration d'incidents conforme aux exigences du CFCS, avec une télémétrie conservée au sein de l'EEA — une exigence essentielle pour les acheteurs danois du secteur public et les entités notifiées au CFCS.

Paysage réglementaire

Le paysage réglementaire danois que nous couvrons

NIS2-loven (loi sur la cybersécurité et la sécurité de l'information)

Transposition danoise de NIS2 ; gestion des risques, contrôles de la chaîne d'approvisionnement, alerte précoce sous 24 heures et notification d'incident sous 72 heures au CFCS pour les entités essentielles et importantes.

Supervision du CFCS

Center for Cybersikkerhed, rattaché au Service de renseignement de la Défense — autorité compétente pour NIS2 au Danemark, qui publie des recommandations sectorielles et exploite le CERT national (CSIRT.dk).

DORA

Règlement sur la résilience opérationnelle numérique applicable aux banques, assureurs, établissements de paiement et prestataires tiers de services informatiques danois ; supervisé par Finanstilsynet.

Databeskyttelsesloven (GDPR)

Loi danoise sur la protection des données, qui se superpose au GDPR ; supervisée par Datatilsynet, avec une notification de violation sous 72 heures et des amendes pouvant atteindre 4 % du chiffre d'affaires mondial.

Sundhedsdataloven

Loi danoise sur les données de santé régissant le traitement des données patients et de santé — règles supplémentaires de consentement, de journalisation et de contrôle des accès qui viennent s'ajouter au GDPR.

Bekendtgørelser fra Finanstilsynet

Arrêtés sectoriels propres au secteur financier — externalisation informatique, risque opérationnel et attentes en matière de déclaration d'incidents allant au-delà de DORA.

~1,400

Entités relevant de la NIS2-loven (estimation)

Source : CFCS

24 heures

Délai d'alerte précoce CFCS

Source : NIS2-loven §40

DKK 10M (Danske Bank, 2023)

La plus grosse amende GDPR de Datatilsynet à ce jour

Source : Datatilsynet

Services financiers et FinTechChaîne d'approvisionnement énergie et éolienMaritime, ports et logistiqueSanté, sciences de la vie et industrie pharmaceutique

Comment nous accompagnons les entreprises danoises

Sécurité de l'IA & Guardrails

Préparation au règlement européen sur l'AI pour les déploiements d'AI du secteur public danois, systèmes de management ISO 42001, et contrôles d'accès, de données et de garde-fous alignés sur les recommandations de Datatilsynet en matière d'AI.

Sécurité applicative

Tests d'API et d'applications web pour les banques numériques danoises, les acteurs FinTech émergents et les exportateurs SaaS — accompagnement au SDLC sécurisé aligné sur les attentes de Finanstilsynet en matière d'externalisation informatique.

Sécurité du cloud

Architecture CSPM, CIEM et zero-trust pour les environnements AWS / Azure / GCP maintenus en résidence des données dans l'EEA — conçue pour les opérateurs essentiels relevant de NIS2-loven et les charges de travail soumises à Sundhedsdataloven.

SOC 24×7

Détection 24×7 depuis Stockholm et Zoetermeer, avec une déclaration d'incidents conforme aux exigences du CFCS (transmissions à CSIRT.dk) et des pistes de preuve pour Finanstilsynet destinées aux entités financières.

GRC

Mise en œuvre de programmes NIS2-loven, DORA, ISO 27001 et Sundhedsdataloven — analyse des écarts, cartographie des contrôles et préparation aux audits du CFCS.

FAQ · Danemark

Mon entreprise danoise relève-t-elle de la NIS2-loven ?

Si vous exercez dans l'énergie, les transports, la banque, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux usées, les infrastructures numériques, la gestion des services informatiques, l'administration publique, l'espace, les services postaux et de messagerie, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, la production alimentaire, l'industrie manufacturière, les fournisseurs de services numériques ou la recherche — et que vous dépassez le seuil des moyennes entreprises (50 salariés ou 10 M€ de chiffre d'affaires) — vous êtes vraisemblablement une entité essentielle ou importante au sens de NIS2-loven. Nous réalisons une évaluation gratuite de votre périmètre d'applicabilité.

Dans quel délai devons-nous notifier un incident majeur au CFCS ?

Une alerte précoce dans les 24 heures suivant la prise de connaissance, une notification complète sous 72 heures et un rapport final dans un délai d'un mois. Notre SOC rédige et soumet automatiquement chaque notification dès que les déclencheurs sont réunis — y compris la transmission technique à CSIRT.dk.

Où sont stockées nos données pendant la surveillance SOC ?

La télémétrie et les données des incidents demeurent au sein de l'EEA, traitées dans nos SOC de Stockholm et de Zoetermeer. Aucun transfert vers des pays tiers sans garantie documentée au titre de l'article 46 — une exigence que Datatilsynet relève systématiquement lors des audits de traitements transfrontaliers.

Échangez avec notre desk Danemark

Pour votre conformité à la NIS2-loven, votre processus de gestion d'incident CFCS, vos preuves DORA ou votre mise en conformité GDPR avec Datatilsynet — nous vous répondons sous un jour ouvré.

Danemark

Copenhagen, Danemark
consult@gsecurelabs.com