NIS2 in Dänemark

Leitfaden zur NIS2-Umsetzung und -Compliance in Dänemark.

Dieses Dokument enthält Informationen mit Stand Februar 2026. Obwohl alle zumutbaren Schritte unternommen wurden, um die Richtigkeit der Inhalte zu überprüfen, werden die Informationen ohne Gewähr für Vollständigkeit oder Richtigkeit bereitgestellt und können Änderungen unterliegen. Obgleich wir beabsichtigen, diese Inhalte regelmäßig zu aktualisieren, wird empfohlen, kritische Informationen eigenständig zu verifizieren.

Dänemark stärkt sein nationales Cybersicherheitsregime im Einklang mit der NIS2-Richtlinie und erweitert die Pflichten für Einrichtungen, die in kritischen und wichtigen Sektoren tätig sind. Der aktualisierte Rahmen erhöht die Governance-Verantwortlichkeit, strafft Meldefristen für Vorfälle und erweitert die Aufsichtsbefugnisse. Dieser Leitfaden bietet einen strukturierten Überblick über die NIS2-Compliance-Anforderungen in Dänemark für KMU, die sich in der nationalen Umsetzung zurechtfinden müssen.

1. Schnell-Check zur Anwendbarkeit für KMU in Dänemark

Gilt NIS2 für KMU in Dänemark?

Ja — abhängig von Sektor und Größe.

Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
Gilt für in Dänemark niedergelassene Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die Dienste in Dänemark erbringen.

KMU sollten ihre Einstufung nach dem nationalen Cybersicherheitsrahmen Dänemarks anhand der Sektorklassifizierung und der gesetzlichen Größenschwellen prüfen.

2. Überblick über die NIS2-Umsetzung in Dänemark

Dänemark setzt die Richtlinie durch Änderungen am Gesetz über Netz- und Informationssicherheit um, das den Kern des nationalen Cybersicherheitsrahmens bildet.

Die überarbeitete Gesetzgebung bringt Dänemarks Regelwerk in Einklang mit der Richtlinie (EU) 2022/2555 und stärkt Pflichten in den Bereichen Governance, Risikomanagement, Berichterstattung und Sanktionen.

Der aktualisierte Rahmen baut auf dem bestehenden sektorbasierten Aufsichtsmodell Dänemarks auf und integriert Richtlinienanforderungen in etablierte Regulierungsstrukturen.

3. Anwendungsbereich in Dänemark

Wesentliche Einrichtungen

Einrichtungen, die in hochkritischen Sektoren tätig sind:

Wichtige Einrichtungen

Einrichtungen, die in anderen aufgeführten Sektoren tätig sind:

Der dänische Anwendungsbereich spiegelt die Mindestkategorien der Richtlinie wider, ohne bestätigte Ausweitung über die Basisanforderungen hinaus.

4. Größenschwellen und Anwendbarkeit für KMU in Dänemark

Die Basisschwellen gelten:

≥50 Beschäftigte und
≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die innerhalb der erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie für die gesellschaftliche oder wirtschaftliche Stabilität als kritisch erachtet werden.

Dänische Behörden behalten formelle Benennungskompetenzen, wenn systemische Risiken oder Erwägungen der nationalen Sicherheit eine Einbeziehung rechtfertigen.

5. Klassifizierungsrahmen für Einrichtungen in Dänemark

Einrichtungen werden wie folgt kategorisiert:

Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Kontrolle.
Wichtige Einrichtungen — Unterliegen vorrangig einer reaktiven Aufsicht, typischerweise ausgelöst durch Vorfälle oder Hinweise auf Nicht-Compliance.

Die Klassifizierung richtet sich nach Sektor und Größe. Zuständige Behörden können Einrichtungen neu einstufen, wenn die Risikolage oder der operative Impact eine strengere Aufsicht erfordert.

Dänemark hält eine sektorale Aufsichtsstruktur im Einklang mit dem zweistufigen Modell der Richtlinie aufrecht.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Dänemark

Das nationale Regime Dänemarks entspricht den Basisanforderungen der Richtlinie für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

Risikobewertung und Systemsicherung
Erkennung und Reaktion auf Vorfälle
Geschäftskontinuität und Krisenmanagement
Lieferketten-Risikokontrollen nach NIS2 in Dänemark
Sichere Beschaffung und Entwicklung von IKT-Systemen
Zugriffskontrolle und Identitätsmanagement
Verschlüsselung und kryptografische Schutzmaßnahmen
Schwachstellenmanagement und -offenlegung
Sensibilisierung und Schulung des Personals zur Cybersicherheit

Maßnahmen müssen dem Stand der Technik und dem Risikoprofil der Organisation entsprechen. Eine Ausrichtung an ISO/IEC 27001 und dänischen Cybersicherheitshinweisen wird empfohlen.

Das Management von Lieferkettenrisiken erfordert Sorgfaltsprüfungen gegenüber Dritten und vertragliche Schutzvorkehrungen.

7. Haftung der Geschäftsleitung und Governance in Dänemark

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements förmlich genehmigen und deren Umsetzung überwachen.

Nach dem dänischen Rahmen:

Vorstände sind für die Überwachung der Compliance verantwortlich.
Das Top-Management muss ausreichende Cybersicherheitskompetenz sicherstellen.
Verwaltungsrechtliche Sanktionen können Governance-Versäumnisse adressieren.
Eine vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen zur Verfügung stehen.

Die Erwartungen an die NIS2-Managementhaftung in Dänemark heben die Cybersicherheits-Governance auf Vorstandsebene.

8. Meldepflichten bei Vorfällen in Dänemark

Definition eines erheblichen Sicherheitsvorfalls

Ein Vorfall gilt als erheblich, wenn er verursacht:

Schwere Betriebsstörung
Erheblicher finanzieller Verlust
Erhebliche gesellschaftliche Auswirkungen
Grenzüberschreitende Auswirkungen

Meldezeitplan

Meldestufe	Frist	Behörde
Frühwarnung	24 Stunden	Dänisches Zentrum für Cybersicherheit (CFCS)
Vorfallsmeldung	72 Stunden	Dänisches Zentrum für Cybersicherheit (CFCS)
Abschlussbericht	1 Monat	Dänisches Zentrum für Cybersicherheit (CFCS)

Dänemark folgt der Richtlinienstruktur für NIS2-Meldefristen. Je nach Sektorklassifizierung können sektorale Aufsichtsbehörden mit dem CFCS koordinieren.

9. Aufsichtsbehörden und Durchsetzungsmodell in Dänemark

Zuständige Hauptbehörde: Dänisches Zentrum für Cybersicherheit (CFCS).

Dänemark betreibt ein sektorbasiertes Aufsichtsmodell, das über das CFCS koordiniert wird, wobei die zuständigen Ministerien und Regulierer eine sektorspezifische Aufsicht ausüben.

Supervisory powers include:

Auskunftsverlangen
Sicherheitsaudits
Vor-Ort-Kontrollen
Verbindliche Compliance-Anordnungen
Mitwirkung an der EU-Cybersicherheitskoordination

Die Durchsetzungsstruktur ist in die Koordinierungsanforderungen auf Richtlinienebene eingebettet.

10. NIS2-Geldbußen und Sanktionen in Dänemark

Dänemark wendet richtlinienkonforme Verwaltungssanktionen an.

Wesentliche Einrichtungen

Bis zu €10 Millionen oder 2% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Wichtige Einrichtungen

Bis zu €7 Millionen oder 1.4% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Die Durchsetzung von NIS2-Geldbußen in Dänemark kann außerdem Folgendes umfassen:

Verbindliche Abhilfemaßnahmen
Öffentliche Benennung nicht konformer Einrichtungen
Aussetzung von Zertifizierungen oder Genehmigungen
Befugnisse zur Aussetzung von Leitungsfunktionen

11. NIS2-Lieferkette und Anbietersicherheit in Dänemark

Einrichtungen müssen die Cybersicherheitsrisiken durch Dritte steuern mittels:

Bewertungen von Lieferantenrisiken
Vertraglichen Weitergabeklauseln zu Sicherheitsanforderungen
Fortlaufendem Monitoring von IKT-Lieferanten
Analyse von Konzentrationsrisiken
Eindämmung der Vorfallausbreitung

Der Ansatz Dänemarks entspricht den Basisanforderungen der Richtlinie zum Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifizierungspflichten in Dänemark

Entities within scope must:

Registrierung bei den zuständigen Behörden
Angabe unternehmensbezogener Identifikationsdaten
Angabe der Sektorzuordnung
Aktuelle Kontaktdaten pflegen

Verfahrensfristen richten sich nach dem dänischen Umsetzungsrahmen. Nach aktuellem Stand der Umsetzung folgt Dänemark dem Basisrahmen der NIS2-Richtlinie. Nationale Ausführungsbestimmungen können spezifische Pflichten weiter präzisieren.

Selbstidentifizierung ist obligatorisch, wenn Einrichtungen gesetzliche Schwellenwerte erfüllen.

13. Wechselwirkungen mit der DSGVO und anderen Gesetzen in Dänemark

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungsbereiche umfassen:

72-Stunden-Meldung bei Verletzungen des Schutzes personenbezogener Daten
Koordinierung der Aufsichtsbehörden
Parallele Untersuchungen zu Cybersicherheit und Datenschutz
Sektorspezifische dänische Cybersicherheitsgesetzgebung

Ein Cybervorfall kann Meldepflichten nach beiden Regelungswerken auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Dänemark unterliegen für grenzüberschreitende Dienste der Aufsicht durch dänische Behörden.

Ausländische digitale Anbieter, die Dienste in Dänemark erbringen, können je nach Niederlassungsstruktur der dänischen Aufsicht unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Anbieter aus Nicht-EU-Staaten, die den dänischen Markt bedienen.

15. Umsetzungszeitplan in Dänemark

Annahme der Richtlinie: 2022
Nationale Gesetzesänderungen: 2024–2025
Inkrafttreten: mit nationaler Veröffentlichung
Mitteilung an die Kommission: gemäß EU-Verfahren
Compliance-Meilenstein: richtlinienkonforme Fristen

Der dänische Umsetzungszeitplan steht im Einklang mit den EU-Anforderungen.

16. Zentrale Erkenntnisse für KMU in Dänemark

Mittelgroße Einrichtungen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
Kleine Einrichtungen können benannt werden, wenn sie betrieblich kritisch sind.
Governance-Aufsicht auf Vorstandsebene ist verpflichtend.
Vorfallmeldungen folgen den Fristen 24h / 72h / 1 Monat.
Finanzielle Sanktionen können €10 Millionen oder 2% des weltweiten Umsatzes erreichen.
Lieferantenrisikomanagement ist eine Kernpflicht.
Frühzeitige Compliance-Planung verringert das Durchsetzungsrisiko.

FAQ: NIS2 Dänemark – KMU-Leitfaden

Gilt NIS2 für kleine Unternehmen in Dänemark?

Kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie werden benannt oder sind in hochkritischen Sektoren tätig. Mittelgroße Unternehmen, die die Größenschwellen erfüllen, sind automatisch einbezogen.

Wie hoch sind die NIS2-Geldbußen in Dänemark?

Wesentliche Einrichtungen drohen Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen drohen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Wann tritt NIS2 in Dänemark in Kraft?

Dänemark ändert sein Gesetz über Netz- und Informationssicherheit zur Angleichung an die Richtlinie. Das Inkrafttreten erfolgt mit der nationalen Gesetzesveröffentlichung.

Wer setzt NIS2 in Dänemark durch?

Das Dänische Zentrum für Cybersicherheit (CFCS) koordiniert die Aufsicht, unterstützt durch sektorale Regulierungsbehörden, soweit anwendbar.

Können Direktoren in Dänemark nach NIS2 persönlich haftbar sein?

Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Verwaltungsrechtliche Durchsetzungsinstrumente können in schweren Fällen Befugnisse zur Aussetzung von Leitungsfunktionen umfassen.

Worin unterscheidet sich NIS2 in Dänemark von der DSGVO?

NIS2 regelt Cybersicherheitsresilienz und operatives Risikomanagement, während die DSGVO den Schutz personenbezogener Daten regelt. Beide Rahmenwerke können nach einem Cybervorfall parallel anwendbar sein.

Was gilt als signifikanter Vorfall nach NIS2 in Dänemark?

Ein Vorfall, der schwere Betriebsstörungen, finanzielle Verluste, gesellschaftliche Auswirkungen oder grenzüberschreitende Folgen verursacht, erreicht in der Regel die Meldeschwelle.