Zurück zu den Leitfäden

    NIS2 in Dänemark

    Leitfaden zur NIS2-Umsetzung und -Compliance in Dänemark.

    Dänemark stärkt sein nationales Cybersicherheitsregime im Einklang mit der NIS2-Richtlinie und erweitert die Pflichten für Einrichtungen, die in kritischen und wichtigen Sektoren tätig sind. Der aktualisierte Rahmen erhöht die Governance-Verantwortlichkeit, strafft Meldefristen für Vorfälle und erweitert die Aufsichtsbefugnisse. Dieser Leitfaden bietet einen strukturierten Überblick über die NIS2-Compliance-Anforderungen in Dänemark für KMU, die sich in der nationalen Umsetzung zurechtfinden müssen.

    1. Schnell-Check zur Anwendbarkeit für KMU in Dänemark

    Gilt NIS2 für KMU in Dänemark?

    Ja — abhängig von Sektor und Größe.

    • Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
    • Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
    • Gilt für in Dänemark niedergelassene Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die Dienste in Dänemark erbringen.

    KMU sollten ihre Einstufung nach dem nationalen Cybersicherheitsrahmen Dänemarks anhand der Sektorklassifizierung und der gesetzlichen Größenschwellen prüfen.

    2. Überblick über die NIS2-Umsetzung in Dänemark

    Dänemark hat die NIS2-Richtlinie mit dem NIS2-Gesetz (L 141 — Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau) umgesetzt; das Gesetz wurde am 29. April 2025 verabschiedet und ist seit dem 1. Juli 2025 ohne Übergangsfrist in Kraft.

    Der neue Rahmen weitet die nationalen Cybersicherheitspflichten von rund 1.000 Einrichtungen unter der bisherigen Regelung auf etwa 6.000 Einrichtungen in 18 Sektoren aus und integriert die Anforderungen der Richtlinie (EU) 2022/2555 in das sektorbasierte Aufsichtsmodell Dänemarks.

    Dänemark hat einen Ansatz der Mindestumsetzung gewählt, mit drei wesentlichen nationalen Abweichungen: kein Gold-Plating über die Richtlinie hinaus; keine direkten Verwaltungsbußgelder (Geldsanktionen erfolgen über die Strafverfolgung); und die persönliche Leitungshaftung nach NIS2 wurde nicht umgesetzt. Die Europäische Kommission hat im Mai 2025 (vor Inkrafttreten) eine mit Gründen versehene Stellungnahme abgegeben; die Vollständigkeit der Notifizierung wird weiterhin geprüft.

    3. Anwendungsbereich in Dänemark

    Wesentliche Einrichtungen

    Einrichtungen, die in hochkritischen Sektoren tätig sind:

    Wichtige Einrichtungen

    Einrichtungen, die in anderen aufgeführten Sektoren tätig sind:

    Der dänische Anwendungsbereich spiegelt die Mindestkategorien der Richtlinie wider, ohne bestätigte Ausweitung über die Basisanforderungen hinaus.

    4. Größenschwellen und Anwendbarkeit für KMU in Dänemark

    Die Basisschwellen gelten:

    • ≥50 Beschäftigte und
    • ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

    Einrichtungen, die innerhalb der erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

    Kleine und Kleinstunternehmen können benannt werden, wenn sie für die gesellschaftliche oder wirtschaftliche Stabilität als kritisch erachtet werden.

    Dänische Behörden behalten formelle Benennungskompetenzen, wenn systemische Risiken oder Erwägungen der nationalen Sicherheit eine Einbeziehung rechtfertigen.

    5. Klassifizierungsrahmen für Einrichtungen in Dänemark

    Einrichtungen werden wie folgt kategorisiert:

    • Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Kontrolle.
    • Wichtige Einrichtungen — Unterliegen vorrangig einer reaktiven Aufsicht, typischerweise ausgelöst durch Vorfälle oder Hinweise auf Nicht-Compliance.

    Die Klassifizierung richtet sich nach Sektor und Größe. Zuständige Behörden können Einrichtungen neu einstufen, wenn die Risikolage oder der operative Impact eine strengere Aufsicht erfordert.

    Dänemark hält eine sektorale Aufsichtsstruktur im Einklang mit dem zweistufigen Modell der Richtlinie aufrecht.

    6. Anforderungen an das Cybersicherheits-Risikomanagement in Dänemark

    Das nationale Regime Dänemarks entspricht den Basisanforderungen der Richtlinie für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

    • Risikobewertung und Systemsicherung
    • Erkennung und Reaktion auf Vorfälle
    • Geschäftskontinuität und Krisenmanagement
    • Lieferketten-Risikokontrollen nach NIS2 in Dänemark
    • Sichere Beschaffung und Entwicklung von IKT-Systemen
    • Zugriffskontrolle und Identitätsmanagement
    • Verschlüsselung und kryptografische Schutzmaßnahmen
    • Schwachstellenmanagement und -offenlegung
    • Sensibilisierung und Schulung des Personals zur Cybersicherheit

    Maßnahmen müssen dem Stand der Technik und dem Risikoprofil der Organisation entsprechen. Eine Ausrichtung an ISO/IEC 27001 und dänischen Cybersicherheitshinweisen wird empfohlen.

    Das Management von Lieferkettenrisiken erfordert Sorgfaltsprüfungen gegenüber Dritten und vertragliche Schutzvorkehrungen.

    7. Haftung der Geschäftsleitung und Governance in Dänemark

    Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements förmlich genehmigen und deren Umsetzung überwachen.

    Nach dem dänischen Rahmen:

    • Vorstände sind für die Überwachung der Compliance verantwortlich.
    • Das Top-Management muss ausreichende Cybersicherheitskompetenz sicherstellen.
    • Verwaltungsrechtliche Sanktionen erfolgen über die Strafverfolgung — direkte Verwaltungsbußgelder sind in Dänemark nicht verfügbar.
    • Persönliche Leitungshaftung und Befugnisse zur Aussetzung von Leitungsfunktionen nach NIS2 wurden nicht umgesetzt; die Pflichten der Geschäftsleitung richten sich nach dem dänischen Gesellschaftsrecht.

    Nach dem dänischen Gesellschaftsrecht schulden Vorstandsmitglieder und Geschäftsführer der Gesellschaft Sorgfalts-, Treue- und Legalitätspflichten, die sich auf die Aufsicht über das Cybersicherheits-Risikomanagement und die Vorfallsbearbeitung erstrecken.

    8. Meldepflichten bei Vorfällen in Dänemark

    Definition eines erheblichen Sicherheitsvorfalls

    Ein Vorfall gilt als erheblich, wenn er verursacht:

    • Schwere Betriebsstörung
    • Erheblicher finanzieller Verlust
    • Erhebliche gesellschaftliche Auswirkungen
    • Grenzüberschreitende Auswirkungen

    Meldezeitplan

    MeldestufeFristBehörde
    Frühwarnung24 StundenSektorspezifische zuständige Behörde (über das Virk.dk-Portal)
    Vorfallsmeldung72 StundenSektorspezifische zuständige Behörde (über das Virk.dk-Portal)
    Abschlussbericht1 MonatSektorspezifische zuständige Behörde (über das Virk.dk-Portal)

    Meldungen werden über das Virk.dk-Portal an die sektorspezifische zuständige Behörde der Einrichtung übermittelt. Das Centre for Cyber Security (CFCS) fungiert als nationales CSIRT für die sektorübergreifende Eskalation; bedeutende sektorübergreifende Vorfälle werden unabhängig vom meldenden Sektor an das CFCS eskaliert.

    9. Aufsichtsbehörden und Durchsetzungsmodell in Dänemark

    Koordinierende Behörde: Ministerium für gesellschaftliche Resilienz und Notfallvorsorge (MSSB). Das Centre for Cyber Security (CFCS) fungiert als nationales CSIRT (nicht als primäre Aufsichtsbehörde); die Sektorbehörden sind die primären Aufsichtsbehörden.

    Dänemark betreibt ein sektorbasiertes Aufsichtsmodell, in dem die Sektorbehörden die primäre Aufsicht ausüben. Wichtige Regulierer sind unter anderem die Dänische Energieagentur, Finanstilsynet (Finanzaufsicht) und die Telekommunikationsregulierer. Das MSSB koordiniert die übergreifende NIS2-Politik.

    Supervisory powers include:

    • Auskunftsverlangen
    • Sicherheitsaudits
    • Vor-Ort-Kontrollen
    • Verbindliche Compliance-Anordnungen
    • Mitwirkung an der EU-Cybersicherheitskoordination

    Die Durchsetzung ist in die Koordinierungsanforderungen auf Richtlinienebene eingebettet. Zu beachten ist, dass direkte Verwaltungsbußgelder in Dänemark nicht verfügbar sind — Geldsanktionen erfolgen über die Strafverfolgung.

    10. NIS2-Geldbußen und Sanktionen in Dänemark

    Dänemark hat keine direkten Verwaltungsbußgelder nach NIS2 eingeführt. Geldsanktionen erfolgen über die Strafverfolgung. Die Höchstgrenzen bleiben mit der Richtlinie konsistent (10 Mio. € / 2 % des weltweiten Umsatzes für wesentliche Einrichtungen; 7 Mio. € / 1,4 % für wichtige Einrichtungen), der Durchsetzungsweg unterscheidet sich jedoch.

    Wesentliche Einrichtungen

    Bis zu €10 Millionen oder 2% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

    Wichtige Einrichtungen

    Bis zu €7 Millionen oder 1.4% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

    Die Durchsetzung von NIS2-Geldbußen in Dänemark kann außerdem Folgendes umfassen:

    • Verbindliche Abhilfemaßnahmen
    • Öffentliche Benennung nicht konformer Einrichtungen
    • Aussetzung von Zertifizierungen oder Genehmigungen
    • Befugnisse zur Aussetzung von Leitungsfunktionen wurden nicht umgesetzt und sind in Dänemark nicht verfügbar.

    11. NIS2-Lieferkette und Anbietersicherheit in Dänemark

    Einrichtungen müssen die Cybersicherheitsrisiken durch Dritte steuern mittels:

    • Bewertungen von Lieferantenrisiken
    • Vertraglichen Weitergabeklauseln zu Sicherheitsanforderungen
    • Fortlaufendem Monitoring von IKT-Lieferanten
    • Analyse von Konzentrationsrisiken
    • Eindämmung der Vorfallausbreitung

    Der Ansatz Dänemarks entspricht den Basisanforderungen der Richtlinie zum Lieferantenrisikomanagement.

    12. Registrierungs- und Selbstidentifizierungspflichten in Dänemark

    Entities within scope must:

    • Selbstidentifizierung und Registrierung bei der sektorspezifischen zuständigen Behörde über das Virk.dk-Portal — die Registrierungsfrist war der 1. Oktober 2025 (abgelaufen; bei fehlender Registrierung umgehend handeln).
    • Übermittlung der Unternehmensidentifikationsdaten (CVR-Nummer, Rechtsform, Kontaktdaten).
    • Angabe der Sektorklassifizierung und der von NIS2 erfassten Dienste.
    • Aktuelle Kontaktdaten pflegen; wesentliche Änderungen innerhalb von zwei Wochen melden.

    Die Compliance ist seit dem 1. Juli 2025 ohne Übergangsfrist vollständig verpflichtend. Einrichtungen müssen die Virk.dk-Registrierung abgeschlossen haben und über operative Risikomanagementmaßnahmen sowie Vorfallsmeldeprozesse verfügen.

    Selbstidentifizierung ist obligatorisch, wenn Einrichtungen gesetzliche Schwellenwerte erfüllen.

    13. Wechselwirkungen mit der DSGVO und anderen Gesetzen in Dänemark

    Die Datenschutz-Grundverordnung gilt weiterhin parallel.

    Überschneidungsbereiche umfassen:

    • 72-Stunden-Meldung bei Verletzungen des Schutzes personenbezogener Daten
    • Koordinierung der Aufsichtsbehörden
    • Parallele Untersuchungen zu Cybersicherheit und Datenschutz
    • Sektorspezifische dänische Cybersicherheitsgesetzgebung

    Ein Cybervorfall kann Meldepflichten nach beiden Regelungswerken auslösen.

    14. Grenzüberschreitende Anwendbarkeit

    Einrichtungen mit ihrer Hauptniederlassung in Dänemark unterliegen für grenzüberschreitende Dienste der Aufsicht durch dänische Behörden.

    Ausländische digitale Anbieter, die Dienste in Dänemark erbringen, können je nach Niederlassungsstruktur der dänischen Aufsicht unterliegen.

    Vertretungspflichten folgen den Richtlinienstandards für Anbieter aus Nicht-EU-Staaten, die den dänischen Markt bedienen.

    15. Umsetzungszeitplan in Dänemark

    • Annahme der Richtlinie: 2022
    • NIS2-Gesetz (L 141) eingebracht am 6. Februar 2025; verabschiedet am 29. April 2025.
    • Inkrafttreten: 1. Juli 2025 (keine Übergangsfrist).
    • Mitteilung an die Kommission: mit Gründen versehene Stellungnahme der EU-Kommission im Mai 2025 (vor Inkrafttreten); Vollständigkeit der Notifizierung in Prüfung.
    • Compliance-Meilenstein: Selbstregistrierungsfrist 1. Oktober 2025 (abgelaufen); vollständige Compliance seit dem 1. Juli 2025 erforderlich.

    Dänemark hat die Umsetzung am 1. Juli 2025 abgeschlossen. Die Registrierung über Virk.dk war bis zum 1. Oktober 2025 fällig. Die vollständige Compliance – einschließlich Risikomanagementmaßnahmen und Vorfallsmeldeprozessen – ist seit dem 1. Juli 2025 ohne Übergangsfrist erforderlich. Die aktive Aufsicht hat begonnen.

    16. Zentrale Erkenntnisse für KMU in Dänemark

    • Prüfen Sie Ihren Anwendungsbereichsstatus anhand der Klassifizierung wesentlich / wichtig.
    • Setzen Sie die zehn Cybersicherheits-Risikomanagementmaßnahmen nach Artikel 21 um.
    • Sichern Sie eine Genehmigung und Aufsicht der Cybersicherheits-Governance auf Vorstandsebene — beachten Sie, dass die persönliche Leitungshaftung nach NIS2 in Dänemark nicht umgesetzt wurde; die Pflichten der Geschäftsleitung richten sich nach der Sorgfaltspflicht des dänischen Gesellschaftsrechts.
    • Operationalisieren Sie Vorfallsmeldeprozesse für die Fristen 24 Std. / 72 Std. / 1 Monat über das Virk.dk-Portal.
    • Geldbußen bleiben auf den Höchstgrenzen der Richtlinie (10 Mio. € / 2 % für wesentliche Einrichtungen), müssen jedoch über die Strafverfolgung verfolgt werden — Dänemark verhängt keine direkten Verwaltungsbußgelder.
    • Wahren Sie die Sorgfaltspflicht in der Lieferkette gegenüber kritischen IKT-Anbietern.
    • Dokumentieren Sie alle Cybersicherheitsentscheidungen, Vorfälle und Abhilfemaßnahmen für Aufsichtsprüfungen.

    FAQ: NIS2 Dänemark – KMU-Leitfaden

    Gilt NIS2 für kleine Unternehmen in Dänemark?

    Kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie werden benannt oder sind in hochkritischen Sektoren tätig. Mittelgroße Unternehmen, die die Größenschwellen erfüllen, sind automatisch einbezogen.

    Wie hoch sind die NIS2-Geldbußen in Dänemark?

    Wesentliche Einrichtungen drohen Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen drohen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

    Wann tritt NIS2 in Dänemark in Kraft?

    Das dänische NIS2-Gesetz (L 141) ist seit dem 1. Juli 2025 ohne Übergangsfrist in Kraft. Die Frist für die Selbstregistrierung über das Virk.dk-Portal war der 1. Oktober 2025. Einrichtungen, die sich noch nicht registriert haben, sollten umgehend handeln, um die Compliance herzustellen.

    Wer setzt NIS2 in Dänemark durch?

    Dänemark wendet ein sektorspezifisches Aufsichtsmodell an: Sektorale Regulierer wie die Dänische Energieagentur, Finanstilsynet (Finanzaufsicht) und die Telekommunikationsregulierer sind die primären Aufsichtsbehörden. Das Ministerium für gesellschaftliche Resilienz und Notfallvorsorge (MSSB) koordiniert die übergreifende NIS2-Politik. Das Centre for Cyber Security (CFCS) fungiert als nationales CSIRT. Sanktionen erfolgen über die Strafverfolgung — Dänemark verhängt keine direkten Verwaltungsbußgelder.

    Können Direktoren in Dänemark nach NIS2 persönlich haftbar sein?

    Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Verwaltungsrechtliche Durchsetzungsinstrumente können in schweren Fällen Befugnisse zur Aussetzung von Leitungsfunktionen umfassen.

    Worin unterscheidet sich NIS2 in Dänemark von der DSGVO?

    NIS2 regelt Cybersicherheitsresilienz und operatives Risikomanagement, während die DSGVO den Schutz personenbezogener Daten regelt. Beide Rahmenwerke können nach einem Cybervorfall parallel anwendbar sein.

    Was gilt als signifikanter Vorfall nach NIS2 in Dänemark?

    Ein Vorfall, der schwere Betriebsstörungen, finanzielle Verluste, gesellschaftliche Auswirkungen oder grenzüberschreitende Folgen verursacht, erreicht in der Regel die Meldeschwelle.