NIS2 en Dinamarca

1. Instantánea rápida de aplicabilidad para PYMES en Dinamarca

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Dinamarca?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Aplica a las entidades establecidas en Dinamarca y, en determinados casos, a proveedores digitales extranjeros que ofrezcan servicios en Dinamarca.

Las PYMES deben evaluar su calificación en virtud del marco nacional de ciberseguridad de Dinamarca en función de la clasificación sectorial y de los umbrales legales de tamaño.

2. Panorama de la implementación de NIS2 en Dinamarca

Dinamarca completó la transposición de la Directiva NIS2 mediante la Ley NIS2 (L 141 — Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau), adoptada el 29 de abril de 2025 y en vigor desde el 1 de julio de 2025 sin período transitorio.

El nuevo marco amplía las obligaciones nacionales de ciberseguridad de aproximadamente 1.000 entidades bajo el régimen anterior a unas 6.000 entidades en 18 sectores, integrando los requisitos de la Directiva (UE) 2022/2555 en el modelo danés de supervisión por sectores.

Dinamarca adoptó un enfoque de transposición mínima con tres desviaciones nacionales destacadas: sin gold-plating más allá de la base de la Directiva; sin multas administrativas directas (las sanciones monetarias siguen el cauce de la fiscalía); y la responsabilidad personal de la dirección bajo NIS2 no ha sido transpuesta. La Comisión Europea emitió un dictamen motivado en mayo de 2025 (antes de la entrada en vigor); la integridad de la notificación sigue en revisión.

3. Ámbito de aplicación en Dinamarca

El alcance de Dinamarca refleja las categorías mínimas de la Directiva sin expansión confirmada más allá de la línea de base.

4. Umbrales de tamaño y aplicabilidad a PYMES en Dinamarca

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del alcance.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la estabilidad social o económica.

Las autoridades danesas conservan facultades formales de designación cuando el riesgo sistémico o consideraciones de seguridad nacional justifican la inclusión.

5. Marco de clasificación de entidades en Dinamarca

Las entidades se clasifican como:

• Entidades Esenciales — Sujetos a supervisión proactiva, incluidas inspecciones y un control estructurado del cumplimiento.
• Entidades Importantes — Principalmente sujetas a supervisión reactiva, generalmente activada por incidentes o evidencia de incumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades competentes pueden reclasificar entidades cuando la exposición al riesgo o el impacto operativo justifiquen una supervisión más estricta.

Dinamarca mantiene una estructura de supervisión sectorial alineada con el modelo de dos niveles de la Directiva.

6. Requisitos de gestión del riesgo de ciberseguridad en Dinamarca

El régimen nacional de Dinamarca se alinea con la línea de base de la Directiva para la gestión del riesgo de ciberseguridad. Las entidades dentro del alcance deben implementar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de cadena de suministro NIS2 en Dinamarca
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Gestión y divulgación de vulnerabilidades
• Concienciación y formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y el perfil de riesgo de la organización. Se recomienda la alineación con ISO/IEC 27001 y la orientación danesa en materia de ciberseguridad.

La gestión del riesgo de la cadena de suministro exige la debida diligencia sobre terceros y salvaguardas contractuales.

7. Responsabilidad de la dirección y gobernanza en Dinamarca

Los órganos de administración deben aprobar formalmente las medidas de gestión del riesgo de ciberseguridad y supervisar su implementación.

Con arreglo al marco de Dinamarca:

• Los consejos de administración son responsables de supervisar el cumplimiento.
• La alta dirección debe garantizar competencia suficiente en ciberseguridad.
• Las sanciones administrativas siguen los procesos de persecución penal — Dinamarca no aplica multas administrativas directas.
• La responsabilidad personal de la dirección y las facultades de suspensión de funciones directivas bajo NIS2 no han sido transpuestas; las obligaciones de la dirección se rigen por la Ley de Sociedades danesa.

Conforme a la Ley de Sociedades danesa, los miembros del consejo y los directivos deben deberes de diligencia, lealtad y cumplimiento legal frente a la sociedad, que se extienden a la supervisión de la gestión de riesgos de ciberseguridad y la respuesta a incidentes.

8. Obligaciones de notificación de incidentes en Dinamarca

9. Autoridades supervisoras y modelo de ejecución en Dinamarca

Autoridad coordinadora: Ministerio de Resiliencia Social y Contingencias (MSSB). El Centro Danés de Ciberseguridad (CFCS) actúa como CSIRT nacional (no como supervisor principal); los supervisores principales son las autoridades sectoriales.

Dinamarca opera un modelo de supervisión sectorial en el que las autoridades sectoriales son las supervisoras principales. Entre los reguladores clave figuran la Agencia Danesa de la Energía, Finanstilsynet (Autoridad de Supervisión Financiera) y los reguladores de telecomunicaciones. El MSSB coordina la política NIS2 a nivel transversal.

Supervisory powers include:

• Requerimientos de información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en la coordinación de ciberseguridad de la UE

La estructura de ejecución se integra con los requisitos de coordinación a nivel de la Directiva. Téngase en cuenta que en Dinamarca no se aplican multas administrativas directas — las sanciones monetarias siguen la vía penal.

10. Multas y sanciones NIS2 en Dinamarca

Dinamarca no ha implementado multas administrativas directas bajo NIS2. Las sanciones monetarias siguen el cauce de la fiscalía. Los topes de las sanciones permanecen alineados con la Directiva (10 M€ / 2 % de la facturación global para entidades esenciales; 7 M€ / 1,4 % para entidades importantes), pero la vía de ejecución difiere.

La ejecución de multas NIS2 en Dinamarca también puede incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de entidades no conformes
• Suspensión de certificaciones o autorizaciones
• Las facultades de suspensión de funciones directivas no han sido transpuestas y no están disponibles en Dinamarca.

11. Cadena de suministro NIS2 y seguridad de proveedores en Dinamarca

Las entidades deben gestionar la exposición a ciberseguridad de terceros mediante:

• Evaluaciones de riesgo de proveedores
• Cláusulas contractuales de transferencia de requisitos de seguridad
• Supervisión continua de proveedores TIC
• Análisis de riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Dinamarca se alinea con las expectativas de base de la Directiva en materia de gestión del riesgo de proveedores.

12. Deberes de registro e identificación propia en Dinamarca

Entities within scope must:

• Autoidentifíquese y regístrese ante la autoridad competente sectorial a través del portal Virk.dk — el plazo de registro era el 1 de octubre de 2025 (vencido; actúe de inmediato si aún no se ha registrado).
• Aporte los datos de identificación corporativa (número CVR, forma jurídica, datos de contacto).
• Indique la clasificación sectorial y los servicios cubiertos por NIS2.
• Mantenga actualizada la información de contacto; comunique cambios sustanciales en un plazo de dos semanas.

El cumplimiento es plenamente obligatorio desde el 1 de julio de 2025 sin período transitorio. Las entidades deben haber completado el registro en Virk.dk y disponer de medidas operativas de gestión de riesgos y de flujos de notificación de incidentes.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales.

13. Interacción con el RGPD y otras leyes en Dinamarca

El Reglamento General de Protección de Datos sigue aplicándose de forma concurrente.

Las áreas de solapamiento incluyen:

• Notificación de brecha de datos personales en 72 horas
• Coordinación entre autoridades de supervisión
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación danesa de ciberseguridad específica por sector

Un incidente cibernético puede activar obligaciones de notificación en ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Dinamarca están supervisadas por las autoridades danesas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Dinamarca pueden estar sujetos a supervisión danesa según la estructura de establecimiento.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE que presten servicios en el mercado danés.

15. Cronograma de implementación en Dinamarca

• Adopción de la Directiva: 2022
• Ley NIS2 (L 141) presentada el 6 de febrero de 2025; adoptada el 29 de abril de 2025.
• Entrada en vigor: 1 de julio de 2025 (sin período transitorio).
• Notificación a la Comisión: dictamen motivado de la CE en mayo de 2025 (antes de la entrada en vigor); integridad de la notificación bajo revisión.
• Hito de cumplimiento: plazo de autorregistro 1 de octubre de 2025 (vencido); cumplimiento pleno exigido desde el 1 de julio de 2025.

Dinamarca completó la transposición el 1 de julio de 2025. El registro a través de Virk.dk vencía el 1 de octubre de 2025. El cumplimiento pleno —incluidas las medidas de gestión de riesgos y los flujos de notificación de incidentes— era exigible desde el 1 de julio de 2025 sin período transitorio. La supervisión activa está en curso.

16. Aspectos clave para PYMES en Dinamarca

• Determine su estado de aplicabilidad según la clasificación esencial / importante.
• Implemente las diez medidas de gestión de riesgos de ciberseguridad del Artículo 21.
• Asegure la aprobación y supervisión de la gobernanza de ciberseguridad por el consejo — téngase en cuenta que la responsabilidad personal de la dirección bajo NIS2 no ha sido transpuesta en Dinamarca; las obligaciones de la dirección se rigen por el deber de diligencia de la Ley de Sociedades danesa.
• Operacionalice los flujos de notificación de incidentes para los plazos de 24 h / 72 h / 1 mes a través del portal Virk.dk.
• Las sanciones permanecen alineadas con los topes de la Directiva (10 M€ / 2 % para entidades esenciales), pero deben tramitarse mediante persecución penal — Dinamarca no impone multas administrativas directas.
• Mantenga la diligencia debida en la cadena de suministro respecto a los proveedores TIC críticos.
• Documente todas las decisiones, incidentes y medidas correctivas de ciberseguridad para revisión supervisora.

FAQ: Guía NIS2 para PYMES en Dinamarca