NIS2 in Danimarca

Guida all'implementazione e alla conformità NIS2 in Danimarca.

Questo documento presenta informazioni aggiornate a febbraio 2026. Benché siano stati adottati tutti i ragionevoli accorgimenti per verificare l'accuratezza dei contenuti, le informazioni sono fornite senza garanzia di completezza o accuratezza e possono essere soggette a modifiche. Pur prevedendo aggiornamenti periodici di questi contenuti, si consiglia ai lettori di verificare autonomamente le informazioni critiche.

La Danimarca sta rafforzando il proprio regime nazionale di cybersicurezza in linea con la Direttiva NIS2, ampliando gli obblighi per le entità che operano in settori critici e importanti. Il quadro aggiornato potenzia la responsabilità di governance, le tempistiche di segnalazione degli incidenti e i poteri di vigilanza. Questa guida fornisce una panoramica strutturata dei requisiti di conformità alla NIS2 in Danimarca per le PMI che affrontano l’attuazione nazionale.

1. Panoramica rapida dell’applicabilità alle PMI in Danimarca

NIS2 si applica alle PMI in Danimarca?

Sì — a seconda del settore e delle dimensioni.

Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
Si applica alle entità stabilite in Danimarca e, in alcuni casi, ai fornitori digitali esteri che offrono servizi in Danimarca.

Le PMI dovrebbero valutare l’inquadramento nel quadro nazionale di cybersicurezza danese in base alla classificazione settoriale e alle soglie dimensionali previste dalla legge.

2. Panoramica dell’attuazione della NIS2 in Danimarca

La Danimarca sta attuando la direttiva mediante modifiche alla Legge sulla sicurezza delle reti e dei sistemi informativi, che costituisce il nucleo del quadro nazionale di cybersicurezza.

La normativa rivista allinea il regime danese alla direttiva (UE) 2022/2555 e rafforza gli obblighi relativi a governance, gestione dei rischi, segnalazione e sanzioni.

Il quadro aggiornato si basa sul modello di vigilanza settoriale esistente in Danimarca, integrando i requisiti della direttiva nelle strutture regolatorie consolidate.

3. Ambito di applicazione in Danimarca

Entità essenziali

Entità operanti in settori altamente critici:

Entità importanti

Entità operanti negli altri settori elencati:

L’ambito della Danimarca riflette le categorie minime della direttiva senza un’estensione confermata oltre il livello minimo.

4. Soglie dimensionali e applicabilità alle PMI in Danimarca

Si applicano le soglie di base:

≥50 dipendenti, e
≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri all’interno dei settori coperti rientrano automaticamente nell’ambito di applicazione.

Microimprese e piccole imprese possono essere designate se considerate critiche per la stabilità sociale o economica.

Le autorità danesi mantengono poteri di designazione formale quando il rischio sistemico o considerazioni di sicurezza nazionale giustificano l’inclusione.

5. Quadro di classificazione delle entità in Danimarca

Le entità sono classificate come:

Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e controllo strutturato della conformità.
Entità importanti — Principalmente soggette a vigilanza reattiva, in genere attivata da incidenti o da evidenze di non conformità.

La classificazione è determinata da settore e dimensione. Le autorità competenti possono riclassificare le entità quando l’esposizione al rischio o l’impatto operativo richiedono una vigilanza più rigorosa.

La Danimarca mantiene una struttura di vigilanza settoriale allineata al modello a due livelli della direttiva.

6. Requisiti di gestione del rischio di cybersicurezza in Danimarca

Il regime nazionale danese è allineato al livello minimo della direttiva per la gestione del rischio di cybersicurezza. Le entità nel perimetro devono attuare misure tecniche e organizzative proporzionate che affrontino:

Analisi dei rischi e protezione dei sistemi
Rilevazione e risposta agli incidenti
Continuità operativa e gestione delle crisi
Controlli dei rischi della catena di fornitura NIS2 in Danimarca
Acquisizione e sviluppo sicuri di sistemi ICT
Controllo degli accessi e gestione delle identità
Crittografia e misure crittografiche di protezione
Gestione e divulgazione delle vulnerabilità
Sensibilizzazione e formazione del personale sulla cybersicurezza

Le misure devono riflettere lo stato dell’arte e il profilo di rischio dell’organizzazione. È incoraggiato l’allineamento a ISO/IEC 27001 e alle linee guida danesi sulla cybersicurezza.

La gestione del rischio nella catena di fornitura richiede due diligence sui terzi e garanzie contrattuali.

7. Responsabilità del management e governance in Danimarca

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e sovrintenderne l’attuazione.

Nel quadro danese:

I consigli di amministrazione sono responsabili della supervisione della conformità.
Il top management deve garantire un’adeguata competenza in materia di cybersicurezza.
Le sanzioni amministrative possono intervenire in caso di carenze di governance.
La sospensione temporanea delle funzioni dirigenziali può essere prevista nell’ambito di meccanismi di enforcement allineati alla direttiva.

Le aspettative in materia di responsabilità del management ai sensi della NIS2 in Danimarca elevano la governance della cybersicurezza a livello di consiglio di amministrazione.

8. Obblighi di segnalazione degli incidenti in Danimarca

Definizione di un incidente significativo

Un incidente si qualifica come significativo se causa:

Grave interruzione operativa
Perdita finanziaria significativa
Impatto sociale sostanziale
Effetti transfrontalieri

Tempistiche di segnalazione

Fase di segnalazione	Scadenza	Autorità
Preallerta	24 ore	Centro danese per la cybersicurezza (CFCS)
Notifica dell'incidente	72 ore	Centro danese per la cybersicurezza (CFCS)
Relazione finale	1 mese	Centro danese per la cybersicurezza (CFCS)

La Danimarca segue la struttura della direttiva per le scadenze di segnalazione NIS2. Le autorità di settore possono coordinarsi con il CFCS a seconda della classificazione settoriale.

9. Autorità di vigilanza e modello di enforcement in Danimarca

Autorità principale: Centro danese per la cybersicurezza (CFCS).

La Danimarca opera un modello di vigilanza settoriale coordinato tramite il CFCS, con i ministeri e i regolatori competenti che esercitano la supervisione specifica per settore.

Supervisory powers include:

Richieste di informazioni
Audit di sicurezza
Ispezioni in loco
Istruzioni vincolanti in materia di conformità
Partecipazione al coordinamento dell'UE in materia di cibersicurezza

La struttura di enforcement si integra con i requisiti di coordinamento previsti a livello di direttiva.

10. Ammende e sanzioni NIS2 in Danimarca

La Danimarca applica sanzioni amministrative allineate alla direttiva.

Entità essenziali

Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

Entità importanti

Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

L’applicazione delle sanzioni NIS2 in Danimarca può includere anche:

Ordini vincolanti di rimedio
Identificazione pubblica delle entità non conformi
Sospensione di certificazioni o autorizzazioni
Poteri di sospensione dei dirigenti

11. Catena di fornitura e sicurezza dei fornitori in Danimarca

Le entità devono gestire l’esposizione ai rischi di cybersicurezza dei terzi mediante:

Valutazioni dei rischi dei fornitori
Disposizioni contrattuali di sicurezza a cascata
Monitoraggio continuo dei fornitori ICT
Analisi del rischio di concentrazione
Mitigazione della propagazione degli incidenti

L’approccio della Danimarca è allineato alle aspettative minime della direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e autoidentificazione in Danimarca

Entities within scope must:

Registrarsi presso le autorità competenti
Fornire i dati identificativi societari
Dichiarare la classificazione settoriale
Mantenere aggiornate le informazioni di contatto

Le scadenze procedurali seguono il quadro attuativo danese. Allo stato attuale della trasposizione, la Danimarca segue il quadro di base della direttiva NIS2. I dettagli attuativi nazionali possono precisare specifici obblighi.

L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie previste dalla legge.

13. Interazione con il GDPR e altre leggi in Danimarca

Il Regolamento generale sulla protezione dei dati continua ad applicarsi contestualmente.

Le aree di sovrapposizione includono:

Notifica di violazione dei dati personali entro 72 ore
Coordinamento tra autorità di controllo
Indagini parallele su cybersicurezza e protezione dei dati
Normativa danese specifica di settore in materia di cybersicurezza

Un incidente informatico può attivare obblighi di segnalazione in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Danimarca sono vigilate dalle autorità danesi per i servizi transfrontalieri.

I fornitori digitali esteri che offrono servizi in Danimarca possono essere soggetti alla vigilanza danese a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della direttiva per i fornitori extra-UE che servono i mercati danesi.

15. Cronoprogramma di attuazione in Danimarca

Adozione della Direttiva: 2022
Modifiche legislative nazionali: 2024–2025
Entrata in vigore: Alla pubblicazione nazionale
Notifica alla Commissione: Conformemente alle procedure dell’UE
Traguardo di conformità: Scadenze allineate alla direttiva

Il calendario di trasposizione della Danimarca è allineato ai requisiti di attuazione dell’UE.

16. Punti chiave per le PMI in Danimarca

Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
Le entità di piccole dimensioni possono essere designate se considerate operativamente critiche.
La supervisione della governance a livello di consiglio di amministrazione è obbligatoria.
La segnalazione degli incidenti segue le scadenze 24h / 72h / 1 mese.
Le sanzioni pecuniarie possono raggiungere €10 million o il 2% del fatturato globale.
La gestione dei rischi dei fornitori è un obbligo centrale.
Una pianificazione anticipata della conformità riduce il rischio di interventi sanzionatori.

FAQ: Guida NIS2 per le PMI in Danimarca

La NIS2 si applica alle piccole imprese in Danimarca?

Le piccole imprese sono generalmente escluse salvo designazione o operatività in settori altamente critici. Le medie imprese che soddisfano le soglie dimensionali sono automaticamente incluse.

Quali sono le sanzioni NIS2 in Danimarca?

Le entità essenziali sono soggette a sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale. Le entità importanti fino a 7 milioni di euro o all’1,4% del fatturato annuo mondiale.

Quando entra in vigore la NIS2 in Danimarca?

La Danimarca sta modificando la Legge sulla sicurezza delle reti e dei sistemi informativi per allinearsi alla direttiva. L’entrata in vigore segue la pubblicazione legislativa nazionale.

Chi applica la NIS2 in Danimarca?

Il Centro danese per la cybersicurezza (CFCS) coordina la vigilanza, con il supporto delle autorità settoriali ove applicabile.

I direttori possono essere personalmente responsabili ai sensi della NIS2 in Danimarca?

Gli organi di gestione devono approvare e sovrintendere alle misure di cybersicurezza. Gli strumenti di enforcement amministrativo possono includere poteri di sospensione manageriale nei casi gravi.

In cosa la NIS2 differisce dal GDPR in Danimarca?

La NIS2 disciplina la resilienza di cybersicurezza e la gestione del rischio operativo, mentre il GDPR regola la protezione dei dati personali. Entrambi i quadri possono applicarsi a seguito di un incidente informatico.

Cosa costituisce un incidente significativo ai sensi della NIS2 in Danimarca?

Un incidente che provochi grave interruzione, perdita finanziaria, impatto sociale o conseguenze transfrontaliere in genere soddisfa la soglia di segnalazione.