Is my Danish company in scope of NIS2-loven?

If you operate in energy, transport, banking, financial market infrastructure, healthcare, drinking water, wastewater, digital infrastructure, ICT service management, public administration, space, postal en courier services, waste management, manufacture, production en distribution of chemicals, food production, manufacturing, digital providers, or research — en you exceed the medium-enterprise threshold (50 staff or €10M turnover) — you are likely an essential or important entity under NIS2-loven. We run a free in-scope assessment.

How fast must we notify CFCS of a significant incident?

An early warning within 24 hours of becoming aware, a full notification within 72 hours, en a final report within one month. Our SOC drafts en submits each notification automatically when triggers are met — including the CSIRT.dk technical hand-off.

Where does our data sit during SOC monitoring?

Telemetry en case data remain inside the EEA, processed across our Stockholm en Zoetermeer SOCs. No transfer to third countries without a documented Article 46 safeguard — a requirement we see flagged consistently by Datatilsynet on cross-border processing audits.

Lokale aanwezigheid · Denemarken

Cybersecuritydiensten in Denemarken

Cybersecurity · NIS2 · CFCS · Datatilsynet · DORA

Klaar voor NIS2-loven, afgestemd op DORA — beheerd vanuit onze SOC's in de EU.

Deense ondernemingen bevinden zich in het hart van een van de digitaal meest volwassen regelgevingsomgevingen van de EU. De Cyber- and Information Security Act (NIS2-loven) — de Deense omzetting van NIS2 die in 2025 is aangenomen — breidt de gereguleerde populatie aanzienlijk uit ten opzichte van het vorige NIS-kader, waarbij het Centre for Cyber Security (Center for Cybersikkerhed, CFCS), dat onder de Deense militaire inlichtingendienst valt, toezicht houdt op essentiële en belangrijke entiteiten in 18 sectoren. De Deense gegevensbeschermingsautoriteit (Datatilsynet) behoort tot de meest actieve GDPR-toezichthouders van Noord-Europa, de financiële toezichthouder (Finanstilsynet) houdt toezicht op financiële entiteiten die onder DORA vallen, en de Deense Nationale Strategie voor Cyber- en Informatiebeveiliging 2022–2024 legde de basisverwachtingen voor volwassenheid vast. Vanuit onze SOC's in Stockholm en Zoetermeer leveren wij 24×7 detectie en CFCS-conforme incidentrapportage, met telemetrie die binnen de EEA blijft — een cruciale vereiste voor Deense publieke inkopers en bij het CFCS aangemelde entiteiten.

Regulatoir landschap

Het Deense regulatoire landschap dat we afdekken

NIS2-loven (Cyber- en Information Security Act)

Deense omzetting van NIS2; risicomanagement, controles op de toeleveringsketen, vroegtijdige waarschuwing binnen 24 uur en incidentmelding binnen 72 uur aan het CFCS voor essentiële en belangrijke entiteiten.

CFCS-toezicht

Center for Cybersikkerhed, onderdeel van de militaire inlichtingendienst — de bevoegde autoriteit voor NIS2 in Denemarken, die sectoradviezen uitbrengt en het nationale CERT (CSIRT.dk) beheert.

DORA

Digital Operational Resilience Act, van toepassing op Deense banken, verzekeraars, betaalinstellingen en externe ICT-dienstverleners; onder toezicht van Finanstilsynet.

Databeskyttelsesloven (GDPR)

Deense gegevensbeschermingswet die op de GDPR voortbouwt; onder toezicht van Datatilsynet, met een meldplicht voor datalekken binnen 72 uur en boetes tot 4% van de wereldwijde omzet.

Sundhedsdataloven

Deense Health Data Act die de verwerking van patiënt- en gezondheidsgegevens regelt — aanvullende regels voor toestemming, logging en toegangsbeheer bovenop de GDPR.

Bekendtgørelser fra Finanstilsynet

Sectorspecifieke uitvoeringsbesluiten voor de financiële sector — verwachtingen rond ICT-uitbesteding, operationeel risico en incidentrapportage die verder gaan dan DORA.

~1,400

Onder NIS2-loven vallende entiteiten (geschat)

Bron: CFCS

24 uur

CFCS-termijn voor vroegtijdige waarschuwing

Bron: NIS2-loven §40

DKK 10M (Danske Bank, 2023)

Grootste GDPR-boete van Datatilsynet tot nu toe

Bron: Datatilsynet

Financiële dienstverlening & FinTechToeleveringsketen energie en windenergieMaritiem, havens en logistiekGezondheidszorg, life sciences en farma

Hoe we samenwerken met Deense ondernemingen

AI-beveiliging en guardrails

Gereedheid voor de EU AI Act bij AI-uitrol in de Deense publieke sector, ISO 42001-managementsystemen en controles op toegang, data en guardrails afgestemd op de AI-richtlijnen van Datatilsynet.

Meer informatie

Applicatiebeveiliging

API- en webapplicatietesten voor Deense digitale banken, FinTech-uitdagers en SaaS-exporteurs — secure-SDLC-coaching afgestemd op de verwachtingen van Finanstilsynet rond ICT-uitbesteding.

Meer informatie

Cloudbeveiliging

CSPM, CIEM en zero-trust-architectuur voor AWS-/Azure-/GCP-omgevingen die binnen de EEA-dataresidentie blijven — ontworpen voor essentiële exploitanten onder NIS2-loven en workloads die onder Sundhedsdataloven vallen.

Meer informatie

SOC 24×7

24×7 detectie vanuit Stockholm en Zoetermeer met CFCS-conforme incidentrapportage (overdracht naar CSIRT.dk) en bewijsdossiers voor Finanstilsynet voor financiële entiteiten.

Meer informatie

GRC

Programma-uitvoering voor NIS2-loven, DORA, ISO 27001 en Sundhedsdataloven — gapanalyse, koppeling van controles en auditgereedheid voor het CFCS.

Meer informatie

Veelgestelde vragen · Denemarken

Valt mijn Deense onderneming onder NIS2-loven?

Bent u actief in energie, transport, bankwezen, financiëlemarktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-servicebeheer, openbaar bestuur, ruimtevaart, post- en koeriersdiensten, afvalbeheer, vervaardiging, productie en distributie van chemicaliën, voedselproductie, productie, digitale dienstverlening of onderzoek — en overschrijdt u de drempel van een middelgrote onderneming (50 medewerkers of € 10 mln omzet) — dan bent u waarschijnlijk een essentiële of belangrijke entiteit onder NIS2-loven. Wij voeren een gratis scope-beoordeling uit.

Hoe snel moeten wij CFCS op de hoogte stellen van een significant incident?

Een vroegtijdige waarschuwing binnen 24 uur na kennisname, een volledige melding binnen 72 uur en een eindrapport binnen een maand. Onze SOC stelt elke melding automatisch op en dient deze in zodra aan de criteria is voldaan — inclusief de technische overdracht naar CSIRT.dk.

Waar staan onze gegevens tijdens SOC-monitoring?

Telemetrie en casegegevens blijven binnen de EEA en worden verwerkt in onze SOC's in Stockholm en Zoetermeer. Geen doorgifte naar derde landen zonder een gedocumenteerde waarborg op grond van artikel 46 — een vereiste die wij Datatilsynet consequent zien aankaarten bij audits van grensoverschrijdende verwerking.

Praat met onze Denemarken-desk

Voor NIS2-loven-gereedheid, een CFCS-incidentworkflow, DORA-bewijsvoering of GDPR-afstemming met Datatilsynet — wij reageren binnen één werkdag.

Denemarken

Copenhagen, Denemarken
consult@gsecurelabs.com