Is my Danish company in scope of NIS2-loven?

If you operate in energy, transport, banking, financial market infrastructure, healthcare, drinking water, wastewater, digital infrastructure, ICT service management, public administration, space, postal og courier services, waste management, manufacture, production og distribution of chemicals, food production, manufacturing, digital providers, or research — og you exceed the medium-enterprise threshold (50 staff or €10M turnover) — you are likely an essential or important entity under NIS2-loven. We run a free in-scope assessment.

How fast must we notify CFCS of a significant incident?

An early warning within 24 hours of becoming aware, a full notification within 72 hours, og a final report within one month. Our SOC drafts og submits each notification automatically when triggers are met — including the CSIRT.dk technical hand-off.

Where does our data sit during SOC monitoring?

Telemetry og case data remain inside the EEA, processed across our Stockholm og Zoetermeer SOCs. No transfer to third countries without a documented Article 46 safeguard — a requirement we see flagged consistently by Datatilsynet on cross-border processing audits.

Lokal tilstedeværelse · Danmark

Cybersikkerhetstjenester i Danmark

Cybersikkerhet · NIS2 · CFCS · Datatilsynet · DORA

Klare for NIS2-loven og i tråd med DORA — drevet fra våre SOC-er i EU.

Danske virksomheter befinner seg midt i ett av de mest digitalt modne regulatoriske miljøene i EU. Cyber- and Information Security Act (NIS2-loven) — Danmarks innføring av NIS2 vedtatt i 2025 — utvider den regulerte populasjonen betydelig utover det tidligere NIS-rammeverket, der Center for Cybersikkerhed (CFCS) under den danske forsvarets etterretningstjeneste fører tilsyn med vesentlige og viktige enheter på tvers av 18 sektorer. Datatilsynet er blant de mest aktive GDPR-tilsynsmyndighetene i Nord-Europa, Finanstilsynet fører tilsyn med finansielle enheter som omfattes av DORA, og Danmarks nasjonale strategi for cyber- og informasjonssikkerhet 2022–2024 satte de grunnleggende modenhetsforventningene. Fra våre SOC-er i Stockholm og Zoetermeer leverer vi 24×7 deteksjon og CFCS-tilpasset hendelsesrapportering med telemetri som holdes innenfor EEA — et sentralt krav for danske offentlige innkjøpere og CFCS-varslede enheter.

Regulatorisk landskap

Det danske regulatoriske landskapet vi dekker

NIS2-loven (Cyber- og Information Security Act)

Dansk innføring av NIS2; risikostyring, kontroller i leverandørkjeden, tidlig varsling innen 24 timer og hendelsesvarsling innen 72 timer til CFCS for vesentlige og viktige enheter.

CFCS-tilsyn

Center for Cybersikkerhed under forsvarets etterretningstjeneste — kompetent myndighet for NIS2 i Danmark, utsteder sektorråd og driver det nasjonale CERT-et (CSIRT.dk).

DORA

Digital Operational Resilience Act som gjelder for danske banker, forsikringsselskaper, betalingsinstitusjoner og tredjepartsleverandører av IKT; underlagt tilsyn av Finanstilsynet.

Databeskyttelsesloven (GDPR)

Dansk personvernlov bygget oppå GDPR; underlagt tilsyn av Datatilsynet med varsling om brudd innen 72 timer og bøter på inntil 4 % av global omsetning.

Sundhedsdataloven

Dansk helsedatalov som regulerer behandling av pasient- og helsedata — ytterligere regler om samtykke, logging og tilgangskontroll på toppen av GDPR.

Bekendtgørelser fra Finanstilsynet

Sektorspesifikke forskrifter for finansbransjen — forventninger til IKT-utsetting, operasjonell risiko og hendelsesrapportering utover DORA.

~1,400

Virksomheter omfattet av NIS2-loven (estimert)

Kilde: CFCS

24 timer

CFCS-frist for tidlig varsling

Kilde: NIS2-loven §40

DKK 10M (Danske Bank, 2023)

Datatilsynet største GDPR-bot til nå

Kilde: Datatilsynet

Finansielle tjenester og FinTechForsyningskjede for energi og vindkraftMaritim sektor, havner og logistikkHelsevesen, biovitenskap og legemidler

Slik samarbeider vi med danske virksomheter

AI-sikkerhet & Guardrails

Klargjøring for EU AI Act ved utrulling av AI i dansk offentlig sektor, ISO 42001-styringssystemer og kontroller for tilgang, data og sikringsmekanismer i tråd med Datatilsynets AI-veiledning.

Les mer

Applikasjonssikkerhet

API- og webapplikasjonstesting for danske digitale banker, FinTech-utfordrere og SaaS-eksportører — veiledning i sikker SDLC i tråd med Finanstilsynets forventninger til IKT-utsetting.

Les mer

Cloud-sikkerhet

CSPM, CIEM og zero-trust-arkitektur for AWS-/Azure-/GCP-miljøer med datalagring innenfor EEA — utformet for vesentlige operatører under NIS2-loven og arbeidslaster underlagt Sundhedsdataloven.

Les mer

SOC 24×7

24×7 deteksjon fra Stockholm og Zoetermeer med CFCS-tilpasset hendelsesrapportering (overlevering til CSIRT.dk) og dokumentasjonsspor for Finanstilsynet for finansielle enheter.

Les mer

GRC

Programleveranse for NIS2-loven, DORA, ISO 27001 og Sundhedsdataloven — gapanalyse, kontrollkartlegging og klargjøring for CFCS-revisjon.

Les mer

Vanlige spørsmål · Danmark

Er mitt danske selskap omfattet av NIS2-loven?

Hvis du opererer innen energi, transport, bank, infrastruktur for finansmarkedet, helsevesen, drikkevann, avløpsvann, digital infrastruktur, IKT-tjenestestyring, offentlig forvaltning, romfart, post- og budtjenester, avfallshåndtering, fremstilling, produksjon og distribusjon av kjemikalier, matproduksjon, industriproduksjon, digitale leverandører eller forskning — og du overskrider terskelen for mellomstore virksomheter (50 ansatte eller 10 mill. euro i omsetning) — er du sannsynligvis en vesentlig eller viktig enhet under NIS2-loven. Vi gjennomfører en gratis vurdering av om du omfattes.

Hvor raskt må vi varsle CFCS om en alvorlig hendelse?

En tidlig varsling innen 24 timer etter at du ble kjent med hendelsen, en fullstendig varsling innen 72 timer og en sluttrapport innen én måned. Vår SOC utarbeider og sender hver varsling automatisk når utløserne er oppfylt — inkludert den tekniske overleveringen til CSIRT.dk.

Hvor lagres dataene våre under SOC-overvåking?

Telemetri og saksdata holdes innenfor EEA og behandles på tvers av våre SOC-er i Stockholm og Zoetermeer. Ingen overføring til tredjeland uten en dokumentert garanti etter artikkel 46 — et krav vi ser at Datatilsynet konsekvent påpeker ved revisjoner av grensekryssende behandling.

Snakk med vår Danmark-desk

Enten det gjelder NIS2-loven-beredskap, CFCS-arbeidsflyt for hendelser, DORA-dokumentasjon eller GDPR-tilpasning mot Datatilsynet – vi svarer innen én virkedag.

Danmark

Copenhagen, Danmark
consult@gsecurelabs.com