Is my Danish company in scope of NIS2-loven?

If you operate in energy, transport, banking, financial market infrastructure, healthcare, drinking water, wastewater, digital infrastructure, ICT service management, public administration, space, postal och courier services, waste management, manufacture, production och distribution of chemicals, food production, manufacturing, digital providers, or research — och you exceed the medium-enterprise threshold (50 staff or €10M turnover) — you are likely an essential or important entity under NIS2-loven. We run a free in-scope assessment.

How fast must we notify CFCS of a significant incident?

An early warning within 24 hours of becoming aware, a full notification within 72 hours, och a final report within one month. Our SOC drafts och submits each notification automatically when triggers are met — including the CSIRT.dk technical hand-off.

Where does our data sit during SOC monitoring?

Telemetry och case data remain inside the EEA, processed across our Stockholm och Zoetermeer SOCs. No transfer to third countries without a documented Article 46 safeguard — a requirement we see flagged consistently by Datatilsynet on cross-border processing audits.

Lokal närvaro · Danmark

Cybersäkerhetstjänster i Danmark

Cybersäkerhet · NIS2 · CFCS · Datatilsynet · DORA

Redo för NIS2-loven och anpassat efter DORA — drivet från våra SOC inom EU.

Danska företag befinner sig mitt i en av de mest digitalt mogna regulatoriska miljöerna i EU. Lagen om cyber- och informationssäkerhet (NIS2-loven) — Danmarks NIS2-implementering som antogs 2025 — utvidgar avsevärt kretsen av reglerade aktörer jämfört med det tidigare NIS-ramverket, där Center for Cybersikkerhed (CFCS) under den danska försvarsunderrättelsetjänsten utövar tillsyn över väsentliga och viktiga verksamheter inom 18 sektorer. Den danska dataskyddsmyndigheten (Datatilsynet) är en av de mest aktiva GDPR-tillsynsmyndigheterna i Norden, finansinspektionen (Finanstilsynet) utövar tillsyn över finansiella aktörer inom DORA:s tillämpningsområde, och Danmarks nationella strategi för cyber- och informationssäkerhet 2022–2024 fastställde de grundläggande mognadsförväntningarna. Från våra SOC i Stockholm och Zoetermeer levererar vi detektion dygnet runt och CFCS-anpassad incidentrapportering med telemetri som hålls inom EES — ett centralt krav för danska offentliga köpare och CFCS-anmälda aktörer.

Regulatoriskt landskap

Det danska regelverket vi täcker

NIS2-loven (lagen om cyber- och informationssäkerhet)

Danmarks NIS2-implementering; riskhantering, kontroller i leveranskedjan, tidig varning inom 24 timmar och incidentanmälan inom 72 timmar till CFCS för väsentliga och viktiga verksamheter.

CFCS-tillsyn

Center for Cybersikkerhed under försvarsunderrättelsetjänsten — behörig myndighet för NIS2 i Danmark, utfärdar sektorsrekommendationer och driver det nationella CERT (CSIRT.dk).

DORA

Digital Operational Resilience Act som gäller danska banker, försäkringsbolag, betalningsinstitut och tredjepartsleverantörer av IKT-tjänster; tillsyn utövas av Finanstilsynet.

Databeskyttelsesloven (GDPR)

Den danska dataskyddslagen som kompletterar GDPR; tillsyn av Datatilsynet med anmälan av personuppgiftsincidenter inom 72 timmar och böter på upp till 4 % av den globala omsättningen.

Sundhedsdataloven

Den danska hälsodatalagen som reglerar behandling av patient- och hälsodata — ytterligare regler om samtycke, loggning och åtkomstkontroll utöver GDPR.

Föreskrifter från Finanstilsynet

Sektorsspecifika föreskrifter för finansbranschen — krav på utkontraktering av IKT, operativ risk och incidentrapportering utöver DORA.

~1,400

Verksamheter som omfattas av NIS2-loven (uppskattat)

Källa: CFCS

24 timmar

CFCS fönster för tidig varning

Källa: NIS2-loven §40

DKK 10M (Danske Bank, 2023)

Datatilsynet hittills största GDPR-böter

Källa: Datatilsynet

Finansiella tjänster och FinTechLeverantörskedja för energi och vindkraftSjöfart, hamnar och logistikHälso- och sjukvård, life science och läkemedel

Så samarbetar vi med danska företag

AI-säkerhet & Guardrails

Beredskap för EU:s AI-förordning vid danska offentliga AI-införanden, ledningssystem enligt ISO 42001 samt kontroller för åtkomst, data och skyddsräcken anpassade till Datatilsynets AI-vägledning.

Läs mer

Applikationssäkerhet

API- och webbapplikationstester för danska digitala banker, FinTech-utmanare och SaaS-exportörer — coachning i säker SDLC anpassad till Finanstilsynets krav på utkontraktering av IKT.

Läs mer

Molnsäkerhet

CSPM, CIEM och zero-trust-arkitektur för AWS-, Azure- och GCP-miljöer med datalagring inom EES — utformad för väsentliga operatörer enligt NIS2-loven och arbetsbelastningar under Sundhedsdataloven.

Läs mer

SOC 24×7

Detektion dygnet runt från Stockholm och Zoetermeer med CFCS-anpassad incidentrapportering (överlämningar till CSIRT.dk) och bevisunderlag för Finanstilsynet åt finansiella aktörer.

Läs mer

GRC

Programleverans för NIS2-loven, DORA, ISO 27001 och Sundhedsdataloven — gapanalys, kontrollkartläggning och revisionsberedskap inför CFCS.

Läs mer

Vanliga frågor · Danmark

Omfattas mitt danska företag av NIS2-loven?

Om du är verksam inom energi, transport, bankväsende, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, förvaltning av IKT-tjänster, offentlig förvaltning, rymdverksamhet, post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier, livsmedelsproduktion, tillverkningsindustri, digitala leverantörer eller forskning — och du överskrider tröskeln för medelstora företag (50 anställda eller 10 miljoner euro i omsättning) — är du sannolikt en väsentlig eller viktig verksamhet enligt NIS2-loven. Vi gör en kostnadsfri bedömning av om du omfattas.

Hur snabbt måste vi anmäla en betydande incident till CFCS?

En tidig varning inom 24 timmar efter att man fått kännedom, en fullständig anmälan inom 72 timmar och en slutrapport inom en månad. Vårt SOC tar fram och skickar in varje anmälan automatiskt när villkoren uppfylls — inklusive den tekniska överlämningen till CSIRT.dk.

Var lagras våra data under SOC-övervakning?

Telemetri och ärendedata hålls inom EES och behandlas i våra SOC i Stockholm och Zoetermeer. Ingen överföring till tredjeland utan en dokumenterad skyddsåtgärd enligt artikel 46 — ett krav som Datatilsynet återkommande lyfter fram vid revisioner av gränsöverskridande behandling.

Prata med vår Danmark-desk

För beredskap inför NIS2-loven, CFCS:s incidentprocess, DORA-underlag eller GDPR-anpassning enligt Datatilsynet — vi svarar inom en arbetsdag.

Danmark

Copenhagen, Danmark
consult@gsecurelabs.com