NIS2 Denemarken: Wat betekent het voor uw organisatie en hoe voldoet u?

NIS2 Denmark

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De NIS2-richtlijn werd omgezet in Deens recht via de NIS2-wet (Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau, die sinds 1 juli 2025 van kracht is. Naast de NIS2-wet, wordt in Denemarken sectorspecifieke wetgeving aangenomen en geïmplementeerd.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

NIS2-entiteiten

De Deense NIS2-wet is relevant voor zowel rechtspersonen als natuurlijke personen (samen aangeduid als ‘entiteiten’) die in Denemarken geregistreerd zijn en die producten en/of diensten leveren in een EU-land. De Deense NIS2-wet komt grotendeels overeen met de Europese NIS2-richtlijn.

De NIS2-wet bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen. Hiervoor wordt een onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Voor het categoriseren van entiteiten wordt rekening gehouden met de aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit.

In principe valt uw entiteit onder de Deense NIS2-wet wanneer:

  • Uw organisatie diensten levert binnen een sector die is opgenomen in bijlage I en bijlage II van de NIS2-wet;
  • Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en
  • Uw organisatie in Denemarken gevestigd is (m.u.v. aanbieders van openbare elektronische communicatienetwerken en aanbieders van openbaar elektronische communicatiediensten. Deze vallen onder de Deense NIS2-wet indien zij diensten op het Deens grondgebied leveren.)

Criteria 1: geleverde diensten

In bijlage I en II van de Deense NIS2-wet worden de sectoren beschreven die vallen binnen het toepassingsgebied ervan. Het is dan ook van groot belang om uw geleverde diensten aan derden grondig te analyseren per (sub)sector.

Bijlage I: Zeer kritieke sectorenBijlage II: Andere kritieke sectoren
Energie
• Electriciteit
• Stadsverwarming en -koeling
• Aardolie
• Aardgas
• Waterstof		Post- en koeriersdiensten
Vervoer
• Lucht
• Spoor
• Water
• Weg		Afvalbeheer
BankwezenVervaardiging, productie en distributie van chemische stoffen
Infrastructuur van de financiële marktProductie, verwerking en distributie van levensmiddelen
GezondheidszorgVervaardiging
•Medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek
• Informaticaproducten en van elektronische en optische producten
• Elektrische apparatuur
• Machines, apparaten en werktuigen, n.e.g.
• Motorvoertuigen, aanhangers en opleggers
• Andere transportmiddelen
DrinkwaterDigitale aanbieders
AfvalwaterOnderzoek
Digitale infrastructuur 
Beheer van ICT-diensten (business-to-business) 
Overheid 
Ruimtevaart 

 

Indien uw organisatie een dienst uit bovenstaand overzicht levert, valt uw organisatie mogelijk binnen het toepassingsgebied van de NIS2-wet.

Criteria 2: bedrijfsgrootte

Naast de geleverde diensten, is ook de grootte van de entiteit van belang om na te gaan of uw organisatie binnen het toepassingsgebied van de Deense NIS2-wet valt. Klik hier om te bepalen of uw organisatie een kleine, middelgrote, dan wel grote onderneming betreft. In principe dienen middelgrote en grote ondernemingen te voldoen aan de verplichten uit de NIS2-wet.

Daarnaast is de wet ook van toepassing op volgende specifieke aanbieders, onafhankelijk van de omvang van de entiteit. Het gaat om:

  • Aanbieders van openbare elektronische communicatienetwerken of -diensten
  • Centrale overheidsinstanties
  • Aanbieders van vertrouwensdiensten
  • Beheerders van domeinnaamregisters
  • DNS-providers

Bovendien geldt de wet ook voor entiteiten, ongeacht hun omvang, indien hun activiteiten cruciaal zijn voor de samenleving of economie. Dat is het geval als:

  • Zij diensten leveren die essentieel zijn voor kritieke maatschappelijke of economische functies en die niet door andere aanbieders geleverd worden
  • Een verstoring van hun dienstverlening aanzienlijke impact zou hebben op de openbare orde, veiligheid of volksgezondheid
  • Een incident bij hen systeemrisico’s met grensoverschrijdende gevolgen zou kunnen veroorzaken
  • Zij van strategisch of vitaal belang zijn op nationaal of regionaal niveau, bijvoorbeeld vanwege afhankelijkheden in andere sectoren

Criteria 3: gevestigde entiteit in Denemarken

In principe kan de Deense NIS2-wet enkel van toepassing zijn op entiteiten met een vestiging in Denemarken. Echter zijn bij wijze van uitzondering volgende entiteiten onderworpen aan de Deense NIS2-wet:

  • Aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in Denemarken aanbieden;
  • DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in Denemarken hebben of als ze hun wettelijke vertegenwoordiger voor de EU in Denemarken hebben in het geval zij geen vestiging hebben binnen de EU;
  • Overheidsinstanties die door Denemarken opgericht zijn.

Naast de 3 bovenstaande criteria dient bij het analyseren van het toepassingsgebied van de NIS2-wet rekening gehouden te worden met het feit dat men als niet-NIS2-organisatie alsnog geaffecteerd kan worden door de NIS2-wet doordat de nationale autoriteit de entiteit aanmerkt als essentiële of belangrijke entiteit of doordat de niet-NIS2-organisatie behoort tot de toeleveringsketen van een NIS2-organisatie.

Meer informatie m.b.t. het toepassingsgebied van de Deense NIS2-wet kan u hier raadplegen.

 

Wat betekent dit voor mijn bedrijf?

1. Registratie

De toezichthoudende autoriteit dient een lijst bij te houden van de essentiële en belangrijke entiteiten onder haar bevoegdheid. Essentiële en belangrijke entiteiten dienen zich te registreren bij de relevante  toezichthoudende autoriteit binnen uiterlijk 2 weken nadat de entiteit binnen het toepassingsgebied van de Deense NIS2-wet valt. De entiteiten dienen de relevante autoriteit(en) te voorzien van volgende informatie:

  • Naam van de entiteit
  • Adres, e-mailadressen, telefoonnummers en andere contactgegevens
  • IP-adresbereik
  • Sector en subsector (zie bijlage I en II van de NIS2-wet)
  • Lijst van lidstaten van de EU waar de entiteit diensten verleent die onder de NIS2-wet vallen

Wijzigingen in bovenstaande gegevens dienen onmiddellijk en binnen de 2 weken na de wijziging gemeld worden.

DNS -dienstverleners, beheerders van topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren en aanbieders van cloudcomputingdiensten, datacenterdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor sociale netwerkdiensten dienen zich bij de relevante bevoegde autoriteit te registreren binnen uiterlijk 3 maanden nadat de entiteit binnen het toepassingsgebied van de Deense NIS2-wet valt. Volgende informatie dient te worden voorzien:

  • Naam van de entiteit
  • Adres van de hoofdvestiging en andere vestigingen in de EU of adres van de vertegenwoordiger
  • Sector en subsector (zie bijlage I en II van de NIS2-wet)
  • Adres, e-mailadressen, telefoonnummers en andere contactgegevens
  • IP-adresbereik
  • Lijst van lidstaten van de EU waar de entiteit diensten verleent die onder de NIS2-wet vallen

Bovenvermelde gegevens dienen uiterlijk op 1 oktober 2025 te worden ingediend.

Registreer uw entiteit hier.

2. Beheersmaatregelen

Als uw organisatie gecategoriseerd is als essentiële of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Deze cybersecurity beheersmaatregelen betreffen minstens:

  • Beleid voor risicoanalyse en beveiliging van communicatienetwerken en informatiesystemen
  • Incidentenbeheer
  • Bedrijfscontinuïteit en crisisbeheer en indien nodig, het gebruik van beveiligde back-upsystemen
  • Beveiliging van toeleveringsketen
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
  • Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
  • Beveiligingsaspecten ten aanzien van cyberhygiëne en cyberbeveiligingstraining
  • Beleid en procedures over het cryptografie en in voorkomend geval encryptie
  • Personeelsbeveiliging, toegangscontrolebeleid en activabeheer
  • Gebruik van multifactorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

Meer informatie omtrent beheersmaatregelen kan u hier vinden.

3. Rapportageverplichting van significante incidenten

Belangrijke en essentiële entiteiten zijn vanaf 1 juli 2025 verplicht de sectorverantwoordelijke autoriteit en het CSIRT in kennis te stellen wanneer zich een significant incident voordoet. Daarnaast dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.

Een incident wordt als significant beschouwd, wanneer

  • Het incident heeft geleid of kan leiden tot ernstige verstoring van de dienstverlening of financiële verliezen voor de getroffen entiteit of
  • Het incident heeft andere natuurlijke of rechtspersonen getroffen of kan andere natuurlijke of rechtspersonen treffen door het veroorzaken van aanzienlijke fysieke of immateriële schade.

Het significante incident wordt door de essentiële en belangrijke entiteit gemeld via een online formulier volgens volgende procedure:

  1. onmiddellijk en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit  een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen;
  2. onmiddellijk en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat een informatie update bevat en een initiële beoordeling van het incident;
  3.  op verzoek van het bevoegde CSIRT dient de entiteit een tussentijds verslag in;
  4. Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van:
    1. Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan;
    2. Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
    3. Toegepaste en lopende risicobeperkende maatregelen;
    4. De grensoverschrijdende gevolgen van het incident, indien van toepassing.
  5. Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend.

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor sociale netwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden. 

Tot slot kunnen alle entiteiten, ongeacht  of zij vallen binnen het toepassingsgebied van de NIS2-wet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden via de e-service.  

Meer informatie omtrent incident meldingen kan u hier vinden.

4. Verplichtingen en verantwoordelijkheden van het management

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de NIS2-wet en dienen verschillende verplichtingen na te komen waaronder:

  • Goedkeuren van de beheersmaatregelen voor cyberbeveiliging en toezicht houden op de naleving ervan
  • Volgen van training om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen
  • Voortdurend bijscholen van de werknemers van de cyber security entiteit op het gebied van cyber security

De bestuursorganen zijn aansprakelijk bij niet-naleving van de NIS2-wet.

5. Samenwerken met autoriteiten

Essentiële en belangrijke entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Meer informatie omtrent de vereisten waaraan u als NIS2-entiteit dient te voldoen kan u terugvinden op de website van Digitaliseringsstyrelsen.

Hoe kan ik aantonen dat mijn bedrijf in regel is met de NIS2 wetgeving?

Zoals aangegeven in het hoofdstuk ‘Handhaving en sancties’ voeren de bevoegde autoriteiten inspecties uit bij de essentiële en belangrijke entiteiten op de naleving van de NIS2-wet.

De bevoegde autoriteit kan de entiteit verplichten een onafhankelijke audit te laten uitvoeren door een geaccrediteerde CAB. Op basis van deze onafhankelijke conformiteitsbeoordeling kan de entiteit een  certificaat behalen, waarmee de naleving van de NIS2-wet kan worden aangetoond aan de stakeholders. Een belangrijke internationale standaard die hiervoor gehanteerd kan worden is ISO/IEC 27001.

Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.

 

Handhaving en sancties

De bevoegde autoriteit voert inspecties uit op de naleving door cyber security entiteiten van de vereisten zoals bepaald in de NIS2-wet. Hiervoor moet een onderscheid gemaakt worden tussen essentiële en belangrijke entiteiten:

  • Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd, en zijn verplicht regelmatige conformiteitsbeoordelingen te laten uitvoeren.
  • Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.

De Deense NIS2-wet voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes.

Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen geven, de uitvoering van leidinggevende functies tijdelijk verbieden, de entiteit verplichten bepaalde maatregelen te treffen enzovoort.

Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kunnen oplopen tot 10.000.000 euro of 2% van de totale wereldwijde jaaromzet van de essentiële en tot 7.000.000 euro of 1,4% van de totale wereldwijde jaaromzet van de belangrijke entiteit.

Tijdlijn

  • 17 oktober 2024: initiële deadline voor EU-lidstaten om NIS2-richtlijn om te zetten in nationale wetgeving
  • 1 juli 2025: Deense NIS2-wet treedt in werking
  • 1 oktober 2025: entiteit dient zich te registreren bij de bevoegde autoriteit

Bevoegde autoriteiten

In het kader van de implementatie van de NIS2-wet in Denemarken zijn verschillende bevoegde autoriteiten aangewezen die toezicht houden op de naleving van cybersecuritymaatregelen binnen hun respectieve sectoren. De minister van Civiele Bescherming en Rampenbestrijding bepaalt in overleg met andere sectorale ministers, welke instantie als bevoegde autoriteit fungeert voor elke sector, subsector of type entiteit. Zie hiervoor het uitvoeringsverordening betreffende de aanwijzing van bevoegde autoriteiten en digitale communicatie vallende onder de NIS2-wet. Een overzicht van de toezichthoudende autoriteiten is beschikbaar via de website van de Nationale Raad voor Openbare Veiligheid, in het Deens Styrelsen for Samfundssikkerhed. Het betreft:

  • Nationale Raad voor Openbare Veiligheid
  • Deense Milieuagentschap
  • Deens Energieagentschap
  • Deense autoriteit voor Financieel Toezicht
  • Deense Digitale Agentschap
  • Deense Agentschap voor Sociale Zekerheid
  • Deense Agentschap voor Hoger Onderwijs en Onderzoek
  • Deense Agentschap voor Gezondheidsgegevens
  • Deense Transportautoriteit
  • Deense Autoriteit voor Voedselveiligheid
  • Deense Klimaatgegevensagentschap
  • Deense Maritieme Autoriteit