NIS2 en Dinamarca

1. Instantánea rápida de aplicabilidad para PYMES en Dinamarca

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Dinamarca?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Aplica a las entidades establecidas en Dinamarca y, en determinados casos, a proveedores digitales extranjeros que ofrezcan servicios en Dinamarca.

Las PYMES deben evaluar su calificación en virtud del marco nacional de ciberseguridad de Dinamarca en función de la clasificación sectorial y de los umbrales legales de tamaño.

2. Panorama de la implementación de NIS2 en Dinamarca

Dinamarca está implementando la Directiva mediante enmiendas a la Act on Network and Information Security, que constituye el núcleo del marco nacional de ciberseguridad.

La legislación revisada alinea el régimen danés con la Directiva (UE) 2022/2555 y refuerza las obligaciones relacionadas con la gobernanza, la gestión de riesgos, la notificación y las sanciones.

El marco actualizado se basa en el modelo danés existente de supervisión por sectores, integrando los requisitos de la Directiva en estructuras regulatorias consolidadas.

3. Ámbito de aplicación en Dinamarca

El alcance de Dinamarca refleja las categorías mínimas de la Directiva sin expansión confirmada más allá de la línea de base.

4. Umbrales de tamaño y aplicabilidad a PYMES en Dinamarca

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del alcance.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la estabilidad social o económica.

Las autoridades danesas conservan facultades formales de designación cuando el riesgo sistémico o consideraciones de seguridad nacional justifican la inclusión.

5. Marco de clasificación de entidades en Dinamarca

Las entidades se clasifican como:

• Entidades Esenciales — Sujetos a supervisión proactiva, incluidas inspecciones y un control estructurado del cumplimiento.
• Entidades Importantes — Principalmente sujetas a supervisión reactiva, generalmente activada por incidentes o evidencia de incumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades competentes pueden reclasificar entidades cuando la exposición al riesgo o el impacto operativo justifiquen una supervisión más estricta.

Dinamarca mantiene una estructura de supervisión sectorial alineada con el modelo de dos niveles de la Directiva.

6. Requisitos de gestión del riesgo de ciberseguridad en Dinamarca

El régimen nacional de Dinamarca se alinea con la línea de base de la Directiva para la gestión del riesgo de ciberseguridad. Las entidades dentro del alcance deben implementar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de cadena de suministro NIS2 en Dinamarca
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Gestión y divulgación de vulnerabilidades
• Concienciación y formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y el perfil de riesgo de la organización. Se recomienda la alineación con ISO/IEC 27001 y la orientación danesa en materia de ciberseguridad.

La gestión del riesgo de la cadena de suministro exige la debida diligencia sobre terceros y salvaguardas contractuales.

7. Responsabilidad de la dirección y gobernanza en Dinamarca

Los órganos de administración deben aprobar formalmente las medidas de gestión del riesgo de ciberseguridad y supervisar su implementación.

Con arreglo al marco de Dinamarca:

• Los consejos son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar una competencia suficiente en ciberseguridad.
• Las sanciones administrativas pueden abordar fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar disponible en virtud de mecanismos de ejecución alineados con la Directiva.

Las expectativas de responsabilidad de la dirección en NIS2 en Dinamarca elevan la gobernanza de la ciberseguridad al nivel del consejo.

8. Obligaciones de notificación de incidentes en Dinamarca

9. Autoridades supervisoras y modelo de ejecución en Dinamarca

Autoridad principal: Danish Centre for Cyber Security (CFCS).

Dinamarca opera un modelo de supervisión por sectores coordinado a través del CFCS, con los ministerios y reguladores pertinentes ejerciendo la supervisión específica por sector.

Supervisory powers include:

• Requerimientos de información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en la coordinación de ciberseguridad de la UE

La estructura de ejecución se integra con los requisitos de coordinación a nivel de la Directiva.

10. Multas y sanciones NIS2 en Dinamarca

Dinamarca aplica sanciones administrativas alineadas con la Directiva.

La ejecución de multas NIS2 en Dinamarca también puede incluir:

• Órdenes vinculantes de remediación
• Identificación pública de entidades incumplidoras
• Suspensión de certificaciones o autorizaciones
• Facultades de suspensión de directivos

11. Cadena de suministro NIS2 y seguridad de proveedores en Dinamarca

Las entidades deben gestionar la exposición a ciberseguridad de terceros mediante:

• Evaluaciones de riesgo de proveedores
• Cláusulas contractuales de transferencia de requisitos de seguridad
• Supervisión continua de proveedores TIC
• Análisis de riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Dinamarca se alinea con las expectativas de base de la Directiva en materia de gestión del riesgo de proveedores.

12. Deberes de registro e identificación propia en Dinamarca

Entities within scope must:

• Registrarse ante las autoridades competentes
• Facilitar los datos de identificación corporativa
• Comunicar la clasificación sectorial
• Mantener la información de contacto actualizada

Los plazos procedimentales siguen el marco de implementación de Dinamarca. Según el estado actual de transposición, Dinamarca sigue el marco de base de la Directiva NIS2. Los detalles de implementación nacional pueden perfeccionar obligaciones específicas.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales.

13. Interacción con el RGPD y otras leyes en Dinamarca

El Reglamento General de Protección de Datos sigue aplicándose de forma concurrente.

Las áreas de solapamiento incluyen:

• Notificación de brecha de datos personales en 72 horas
• Coordinación entre autoridades de supervisión
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación danesa de ciberseguridad específica por sector

Un incidente cibernético puede activar obligaciones de notificación en ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Dinamarca están supervisadas por las autoridades danesas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Dinamarca pueden estar sujetos a supervisión danesa según la estructura de establecimiento.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE que presten servicios en el mercado danés.

15. Cronograma de implementación en Dinamarca

• Adopción de la Directiva: 2022
• Enmiendas legislativas nacionales: 2024–2025
• Entrada en vigor: Tras la publicación nacional
• Notificación a la Comisión: De conformidad con los procedimientos de la UE
• Hito de cumplimiento: Plazos alineados con la Directiva

El calendario de transposición de Dinamarca se alinea con los requisitos de implementación de la UE.

16. Aspectos clave para PYMES en Dinamarca

• Las entidades medianas de los sectores cubiertos están automáticamente dentro del ámbito de aplicación.
• Las entidades pequeñas pueden ser designadas si son operativamente críticas.
• La supervisión de la gobernanza a nivel de consejo es obligatoria.
• La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes.
• Las sanciones económicas pueden alcanzar €10 million o 2% del volumen de negocios mundial.
• La gestión de riesgos de proveedores es una obligación clave.
• La planificación temprana del cumplimiento reduce la exposición a actuaciones de ejecución y sanción.

FAQ: Guía NIS2 para PYMES en Dinamarca