NIS2 en Danemark

1. Vue d’ensemble rapide de l’applicabilité aux PME au Danemark

La NIS2 s'applique-t-elle aux PME en 1. Vue d’ensemble rapide de l’applicabilité aux PME au Danemark ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies au Danemark et, dans certains cas, aux prestataires numériques étrangers offrant des services au Danemark.

Les PME doivent évaluer leur éligibilité au titre du cadre national de cybersécurité du Danemark en fonction de la classification sectorielle et des seuils légaux de taille.

2. Aperçu de la mise en œuvre de NIS2 au Danemark

Le Danemark a achevé la transposition de la directive NIS2 par la loi NIS2 (L 141 — Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau), adoptée le 29 avril 2025 et en vigueur depuis le 1er juillet 2025, sans période transitoire.

Le nouveau cadre étend les obligations nationales de cybersécurité d'environ 1 000 entités sous le régime précédent à près de 6 000 entités réparties dans 18 secteurs, en intégrant les exigences de la directive (UE) 2022/2555 dans le modèle danois de supervision sectorielle.

Le Danemark a adopté une approche de transposition minimale assortie de trois écarts nationaux notables : aucun gold-plating au-delà du socle de la directive ; pas d'amendes administratives directes (les sanctions financières relèvent du parquet) ; et la responsabilité personnelle de la direction au titre de NIS2 n'a pas été transposée. La Commission européenne a émis un avis motivé en mai 2025 (avant l'entrée en vigueur) ; l'exhaustivité de la notification reste en cours d'examen.

3. Champ d’application au Danemark

Le champ d’application du Danemark reflète les catégories minimales de la directive, sans extension confirmée au-delà du socle.

4. Seuils de taille et applicabilité aux PME au Danemark

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la stabilité sociétale ou économique.

Les autorités danoises conservent des pouvoirs formels de désignation lorsque des risques systémiques ou des considérations de sécurité nationale justifient une inclusion.

5. Cadre de classification des entités au Danemark

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des inspections et un contrôle structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive, généralement déclenchée par des incidents ou des indices de non-conformité.

La classification est déterminée par le secteur et la taille. Les autorités compétentes peuvent reclasser des entités lorsque l’exposition au risque ou l’impact opérationnel justifie une supervision plus stricte.

Le Danemark maintient une structure de supervision sectorielle alignée sur le modèle à deux niveaux de la directive.

6. Exigences de gestion des risques de cybersécurité au Danemark

Le régime national du Danemark est aligné sur le socle de la directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées portant sur :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d’activité et gestion de crise
• Contrôles des risques de la chaîne d’approvisionnement NIS2 au Danemark
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d’accès et gestion des identités
• Chiffrement et protections cryptographiques
• Gestion et divulgation des vulnérabilités
• Sensibilisation et formation du personnel à la cybersécurité

Les mesures doivent refléter l’état de l’art et le profil de risque de l’organisation. L’alignement sur ISO/IEC 27001 et sur les orientations danoises en matière de cybersécurité est encouragé.

La gestion des risques de la chaîne d’approvisionnement exige une diligence raisonnable à l’égard des tiers et des garanties contractuelles.

7. Responsabilité de la direction et gouvernance au Danemark

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre danois :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La direction générale doit garantir des compétences suffisantes en cybersécurité.
• Les sanctions administratives suivent la voie de la poursuite pénale — les amendes administratives directes ne sont pas disponibles au Danemark.
• La responsabilité personnelle des dirigeants et les pouvoirs de suspension des fonctions de direction au titre de NIS2 n'ont pas été transposés ; les obligations des dirigeants relèvent du droit danois des sociétés.

En vertu du droit danois des sociétés, les administrateurs et dirigeants ont envers la société des devoirs de diligence, de loyauté et de respect de la légalité, qui s'étendent à la supervision de la gestion des risques de cybersécurité et de la réponse aux incidents.

8. Obligations de notification des incidents au Danemark

9. Autorités de contrôle et modèle d'application au Danemark

Autorité de coordination : Ministère de la résilience sociétale et des situations d'urgence (MSSB). Le Centre danois de cybersécurité (CFCS) agit comme CSIRT national (et non comme superviseur principal) ; les superviseurs principaux sont les autorités sectorielles.

Le Danemark applique un modèle de supervision sectorielle dans lequel les autorités sectorielles sont les superviseurs principaux. Parmi les régulateurs clés figurent l'Agence danoise de l'énergie, Finanstilsynet (Autorité de surveillance financière) et les régulateurs des télécommunications. Le MSSB coordonne la politique NIS2 dans son ensemble.

Supervisory powers include:

• Demandes d'informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation à la coordination européenne en cybersécurité

La structure d'application s'articule avec les exigences de coordination au niveau de la directive. À noter que les amendes administratives directes ne sont pas disponibles au Danemark — les sanctions financières relèvent du parquet.

10. Amendes et sanctions NIS2 au Danemark

Le Danemark n'a pas mis en place d'amendes administratives directes au titre de NIS2. Les sanctions financières relèvent du parquet. Les plafonds restent conformes à la directive (10 M€ / 2 % du chiffre d'affaires mondial pour les entités essentielles ; 7 M€ / 1,4 % pour les entités importantes), mais la voie d'exécution diffère.

L'application des amendes NIS2 au Danemark peut également inclure :

• Injonctions contraignantes de remédiation
• Identification publique des entités non conformes
• Suspension des certifications ou autorisations
• Les pouvoirs de suspension des fonctions de direction n'ont pas été transposés et ne sont pas disponibles au Danemark.

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs NIS2 au Danemark

Les entités doivent gérer l'exposition aux risques de cybersécurité des tiers au moyen de :

• Évaluations des risques fournisseurs
• Clauses contractuelles de répercussion des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche du Danemark est alignée sur les attentes de base de la Directive en matière de gestion des risques liés aux fournisseurs.

12. Obligations d'enregistrement et d'auto-identification au Danemark

Entities within scope must:

• S'auto-identifier et s'enregistrer auprès de l'autorité compétente sectorielle via le portail Virk.dk — la date limite d'enregistrement était le 1er octobre 2025 (échue ; agir immédiatement si non encore enregistré).
• Fournir les données d'identification de l'entreprise (numéro CVR, forme juridique, coordonnées).
• Indiquer la classification sectorielle et les services couverts par NIS2.
• Tenir à jour les coordonnées ; signaler les changements substantiels dans un délai de deux semaines.

La conformité est pleinement obligatoire depuis le 1er juillet 2025, sans période transitoire. Les entités doivent avoir finalisé leur enregistrement Virk.dk et disposer de mesures opérationnelles de gestion des risques ainsi que de flux de notification d'incidents.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux.

13. Interaction avec le GDPR et d'autres lois au Danemark

Le General Data Protection Regulation continue de s'appliquer concomitamment.

Les domaines de chevauchement comprennent :

• Notification de violation de données à caractère personnel dans les 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Législation danoise en cybersécurité propre à certains secteurs

Un incident cyber peut entraîner des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se situe au Danemark sont supervisées par les autorités danoises pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services au Danemark peuvent être soumis à la supervision danoise selon leur structure d'établissement.

Les exigences de représentation suivent les normes de la Directive pour les prestataires hors UE desservant les marchés danois.

15. Calendrier de mise en œuvre au Danemark

• Adoption de la Directive : 2022
• Loi NIS2 (L 141) présentée le 6 février 2025 ; adoptée le 29 avril 2025.
• Entrée en vigueur : 1er juillet 2025 (sans période transitoire).
• Notification à la Commission : avis motivé de la CE émis en mai 2025 (avant l'entrée en vigueur) ; exhaustivité de la notification en cours d'examen.
• Échéance de conformité : date limite d'auto-enregistrement 1er octobre 2025 (échue) ; conformité totale exigée depuis le 1er juillet 2025.

Le Danemark a achevé la transposition au 1er juillet 2025. L'enregistrement via Virk.dk était dû pour le 1er octobre 2025. La conformité totale — incluant les mesures de gestion des risques et les processus de notification d'incidents — était exigée à partir du 1er juillet 2025 sans période transitoire. La supervision active est engagée.

16. Points essentiels pour les PME au Danemark

• Déterminez votre statut d'applicabilité selon la classification essentielle / importante.
• Mettez en œuvre les dix mesures de gestion des risques de cybersécurité de l'article 21.
• Assurez l'approbation et la supervision de la gouvernance de cybersécurité au niveau du conseil — à noter que la responsabilité personnelle de la direction au titre de NIS2 n'a pas été transposée au Danemark ; les obligations des dirigeants relèvent du devoir de diligence du droit danois des sociétés.
• Opérationnalisez les processus de notification d'incidents pour les délais 24 h / 72 h / 1 mois via le portail Virk.dk.
• Les sanctions restent conformes aux plafonds de la directive (10 M€ / 2 % pour les entités essentielles), mais doivent être poursuivies par voie pénale — le Danemark n'impose pas d'amendes administratives directes.
• Maintenez une diligence raisonnable de la chaîne d'approvisionnement à l'égard des prestataires TIC critiques.
• Documentez l'ensemble des décisions, incidents et mesures correctives de cybersécurité pour examen par les autorités.

FAQ : Guide NIS2 pour les PME au Danemark