NIS2 in Danimarca

1. Panoramica rapida dell’applicabilità alle PMI in Danimarca

NIS2 si applica alle PMI in Danimarca?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Danimarca e, in alcuni casi, ai fornitori digitali esteri che offrono servizi in Danimarca.

Le PMI dovrebbero valutare l’inquadramento nel quadro nazionale di cybersicurezza danese in base alla classificazione settoriale e alle soglie dimensionali previste dalla legge.

2. Panoramica dell’attuazione della NIS2 in Danimarca

La Danimarca ha completato il recepimento della direttiva NIS2 tramite la Legge NIS2 (L 141 — Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau), adottata il 29 aprile 2025 e in vigore dal 1° luglio 2025 senza periodo transitorio.

Il nuovo quadro estende gli obblighi nazionali di cybersicurezza da circa 1.000 entità sotto il regime precedente a circa 6.000 entità in 18 settori, integrando i requisiti della direttiva (UE) 2022/2555 nel modello danese di vigilanza settoriale.

La Danimarca ha adottato un approccio di recepimento minimo con tre rilevanti deviazioni nazionali: nessun gold-plating oltre la base della direttiva; nessuna sanzione amministrativa diretta (le sanzioni pecuniarie seguono la via penale); e la responsabilità personale del management ai sensi di NIS2 non è stata recepita. La Commissione europea ha emesso un parere motivato nel maggio 2025 (prima dell'entrata in vigore); la completezza della notifica rimane in fase di valutazione.

3. Ambito di applicazione in Danimarca

L’ambito della Danimarca riflette le categorie minime della direttiva senza un’estensione confermata oltre il livello minimo.

4. Soglie dimensionali e applicabilità alle PMI in Danimarca

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri all’interno dei settori coperti rientrano automaticamente nell’ambito di applicazione.

Microimprese e piccole imprese possono essere designate se considerate critiche per la stabilità sociale o economica.

Le autorità danesi mantengono poteri di designazione formale quando il rischio sistemico o considerazioni di sicurezza nazionale giustificano l’inclusione.

5. Quadro di classificazione delle entità in Danimarca

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e controllo strutturato della conformità.
• Entità importanti — Principalmente soggette a vigilanza reattiva, in genere attivata da incidenti o da evidenze di non conformità.

La classificazione è determinata da settore e dimensione. Le autorità competenti possono riclassificare le entità quando l’esposizione al rischio o l’impatto operativo richiedono una vigilanza più rigorosa.

La Danimarca mantiene una struttura di vigilanza settoriale allineata al modello a due livelli della direttiva.

6. Requisiti di gestione del rischio di cybersicurezza in Danimarca

Il regime nazionale danese è allineato al livello minimo della direttiva per la gestione del rischio di cybersicurezza. Le entità nel perimetro devono attuare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevazione e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Danimarca
• Acquisizione e sviluppo sicuri di sistemi ICT
• Controllo degli accessi e gestione delle identità
• Crittografia e misure crittografiche di protezione
• Gestione e divulgazione delle vulnerabilità
• Sensibilizzazione e formazione del personale sulla cybersicurezza

Le misure devono riflettere lo stato dell’arte e il profilo di rischio dell’organizzazione. È incoraggiato l’allineamento a ISO/IEC 27001 e alle linee guida danesi sulla cybersicurezza.

La gestione del rischio nella catena di fornitura richiede due diligence sui terzi e garanzie contrattuali.

7. Responsabilità del management e governance in Danimarca

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e sovrintenderne l’attuazione.

Nel quadro danese:

• I consigli di amministrazione sono responsabili della supervisione della compliance.
• Il top management deve garantire competenze adeguate in materia di cybersicurezza.
• Le sanzioni amministrative seguono i procedimenti di azione penale — in Danimarca non sono disponibili sanzioni amministrative dirette.
• La responsabilità personale del management e i poteri di sospensione delle funzioni dirigenziali ai sensi di NIS2 non sono stati recepiti; gli obblighi del management sono disciplinati dal diritto societario danese.

Ai sensi del diritto societario danese, gli amministratori e i dirigenti sono tenuti nei confronti della società a doveri di diligenza, lealtà e rispetto della legge, che si estendono alla supervisione della gestione dei rischi di cybersicurezza e della risposta agli incidenti.

8. Obblighi di segnalazione degli incidenti in Danimarca

9. Autorità di vigilanza e modello di enforcement in Danimarca

Autorità coordinatrice: Ministero della Resilienza Sociale e delle Emergenze (MSSB). Il Centro danese per la cybersicurezza (CFCS) agisce come CSIRT nazionale (non come supervisore principale); i supervisori principali sono le autorità di settore.

La Danimarca opera un modello di vigilanza settoriale in cui le autorità di settore sono i supervisori principali. Tra i regolatori chiave figurano l'Agenzia danese per l'energia, Finanstilsynet (Autorità di vigilanza finanziaria) e i regolatori delle telecomunicazioni. Il MSSB coordina la politica NIS2 a livello trasversale.

Supervisory powers include:

• Richieste di informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione al coordinamento dell'UE in materia di cibersicurezza

La struttura di enforcement si integra con i requisiti di coordinamento previsti a livello di direttiva. Si noti che in Danimarca non sono disponibili sanzioni amministrative dirette — le sanzioni pecuniarie seguono la via penale.

10. Ammende e sanzioni NIS2 in Danimarca

La Danimarca non ha introdotto sanzioni amministrative dirette ai sensi di NIS2. Le sanzioni pecuniarie seguono la via penale. I massimali rimangono coerenti con la direttiva (10 mln € / 2 % del fatturato globale per le entità essenziali; 7 mln € / 1,4 % per le entità importanti), ma il percorso di applicazione differisce.

L’applicazione delle sanzioni NIS2 in Danimarca può includere anche:

• Ordini vincolanti di rimedio
• Identificazione pubblica delle entità non conformi
• Sospensione di certificazioni o autorizzazioni
• I poteri di sospensione delle funzioni dirigenziali non sono stati recepiti e non sono disponibili in Danimarca.

11. Catena di fornitura e sicurezza dei fornitori in Danimarca

Le entità devono gestire l’esposizione ai rischi di cybersicurezza dei terzi mediante:

• Valutazioni dei rischi dei fornitori
• Disposizioni contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L’approccio della Danimarca è allineato alle aspettative minime della direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e autoidentificazione in Danimarca

Entities within scope must:

• Auto-identificarsi e registrarsi presso l'autorità competente di settore tramite il portale Virk.dk — la scadenza per la registrazione era il 1° ottobre 2025 (scaduta; agire immediatamente se non ancora registrati).
• Fornire i dati di identificazione aziendale (numero CVR, forma giuridica, recapiti).
• Indicare la classificazione settoriale e i servizi coperti da NIS2.
• Mantenere aggiornati i recapiti; comunicare le variazioni rilevanti entro due settimane.

La compliance è pienamente obbligatoria dal 1° luglio 2025 senza periodo transitorio. Le entità devono aver completato la registrazione su Virk.dk e disporre di misure operative di gestione dei rischi e di flussi di segnalazione degli incidenti.

L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie previste dalla legge.

13. Interazione con il GDPR e altre leggi in Danimarca

Il Regolamento generale sulla protezione dei dati continua ad applicarsi contestualmente.

Le aree di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento tra autorità di controllo
• Indagini parallele su cybersicurezza e protezione dei dati
• Normativa danese specifica di settore in materia di cybersicurezza

Un incidente informatico può attivare obblighi di segnalazione in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Danimarca sono vigilate dalle autorità danesi per i servizi transfrontalieri.

I fornitori digitali esteri che offrono servizi in Danimarca possono essere soggetti alla vigilanza danese a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della direttiva per i fornitori extra-UE che servono i mercati danesi.

15. Cronoprogramma di attuazione in Danimarca

• Adozione della Direttiva: 2022
• Legge NIS2 (L 141) presentata il 6 febbraio 2025; adottata il 29 aprile 2025.
• Entrata in vigore: 1° luglio 2025 (senza periodo transitorio).
• Notifica alla Commissione: parere motivato della CE nel maggio 2025 (prima dell'entrata in vigore); completezza della notifica in fase di valutazione.
• Milestone di compliance: scadenza per l'auto-registrazione 1° ottobre 2025 (scaduta); piena compliance richiesta dal 1° luglio 2025.

La Danimarca ha completato il recepimento il 1° luglio 2025. La registrazione tramite Virk.dk era dovuta entro il 1° ottobre 2025. La piena compliance — comprese le misure di gestione dei rischi e i flussi di segnalazione degli incidenti — era richiesta a partire dal 1° luglio 2025 senza periodo transitorio. La vigilanza attiva è in corso.

16. Punti chiave per le PMI in Danimarca

• Determinare lo stato di applicabilità in base alla classificazione essenziale / importante.
• Implementare le dieci misure di gestione dei rischi di cybersicurezza dell'Articolo 21.
• Garantire l'approvazione e la supervisione della governance della cybersicurezza a livello di consiglio — si noti che la responsabilità personale del management ai sensi di NIS2 non è stata recepita in Danimarca; gli obblighi del management sono disciplinati dal dovere di diligenza del diritto societario danese.
• Operativizzare i flussi di segnalazione degli incidenti per le scadenze 24 h / 72 h / 1 mese tramite il portale Virk.dk.
• Le sanzioni restano in linea con i massimali della direttiva (10 mln € / 2 % per le entità essenziali), ma devono essere perseguite per via penale — la Danimarca non impone sanzioni amministrative dirette.
• Mantenere la due diligence sulla catena di fornitura nei confronti dei fornitori ICT critici.
• Documentare tutte le decisioni, gli incidenti e le misure correttive di cybersicurezza per le verifiche di vigilanza.

FAQ: Guida NIS2 per le PMI in Danimarca