La loi danoise sur la cybersécurité ( Cybersikkerhedsloven ) est la loi nationale danoise qui met en œuvre la directive européenne directive NIS2 de l'UE. Officiellement promulguée en tant que Lov nr. 434 af 6. maj 2025 et entrée en vigueur le 1er juillet 2025, elle établit des obligations contraignantes en matière de cybersécurité pour les autorités publiques et les entreprises privées dans des secteurs essentiels et importants.
Son objectif est de garantir un niveau élevé et cohérent de cybersécurité dans tout le Danemark. La loi vise à protéger les services essentiels tels que l'énergie, les soins de santé, les transports, l'approvisionnement en eau et les infrastructures numériques contre les cybermenaces, à renforcer la résilience et à promouvoir une réaction plus rapide en cas d'incident ainsi qu'une coordination entre les secteurs. Elle marque une étape importante en faisant de la cybersécurité une question de leadership et de gouvernance - et pas seulement une préoccupation informatique.
Quel est le lien entre Cybersikkerhedsloven et NIS2 ?
Cybersikkerhedsloven est la mise en œuvre directe par le Danemark de la directive NIS2 de l'UE, officiellement intitulée " Directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'ensemble de l'Union " (UE 2022/2555).
Elle traduit les exigences du NIS2 de l'UE dans le droit danois sans y ajouter d'éléments nationaux supplémentaires, ce que l'on appelle une mise en œuvre minimale. Cela garantit que les entreprises et les organismes publics danois respectent les mêmes normes de base que leurs homologues européens.
Cette loi remplace la précédente mise en œuvre du NIS1 par le Danemark, qui ne s'appliquait qu'à quelques secteurs critiques. Le Cybersikkerhedsloven couvre désormais beaucoup plus d'organisations, notamment les prestataires de soins de santé, les entreprises manufacturières, les plateformes en ligne et les fournisseurs de services gérés.
En bref, NIS2 définit les objectifs de l'UE en matière de cybersécurité et Cybersikkerhedsloven est le mécanisme qui les rend juridiquement applicables au Danemark, en fixant les mêmes attentes, les mêmes pouvoirs d'exécution et les mêmes sanctions.
Lire la suite : Cadres de cybersécurité au Danemark
Quelles sont les exigences de Cybersikkerhedsloven ?
Les organisations concernées doivent respecter des obligations étendues en matière de cybersécurité et de gestion des risques. Les principales exigences sont les suivantes :
- Gestion des risques: Établir et maintenir des politiques documentées en matière de cybersécurité, procéder à des évaluations régulières des risques et assurer une bonne gouvernance des réseaux et des systèmes d'information.
- Rapport d'incident: Notifier les incidents importants aux autorités dans des délais stricts : alerte initiale dans les 24 heures, rapport détaillé dans les 72 heures et rapport final dans un délai d'un mois.
- Continuité des activités: Maintenir des plans de gestion de crise et de reprise afin d'assurer la continuité des opérations après les cyberincidents.
- Sécurité de la chaîne d'approvisionnement: Identifier et gérer les risques de cybersécurité posés par les fournisseurs et les prestataires informatiques tiers.
- Contrôle d'accès et cryptographie: Appliquer l'accès au moindre privilège, appliquer le cryptage et utiliser l'authentification multifactorielle.
- Formation et gouvernance: Exiger des cadres supérieurs qu'ils approuvent les mesures de cybersécurité et qu'ils suivent une formation adaptée à la gestion des cyberrisques.
- Essais et amélioration continue: Effectuer régulièrement des audits, des tests de sécurité et une gestion des vulnérabilités.
- Enregistrement: Certains fournisseurs de services numériques (par exemple DNS, cloud, médias sociaux, fournisseurs de services gérés) doivent s'enregistrer auprès des autorités via virk.dk dans un délai de trois mois à compter de la date à laquelle ils sont couverts - pour la plupart d'entre eux, ce délai était fixé au 1er octobre 2025.
Comment Cybersikkerhedsloven assure-t-il la sécurité ?
La loi fait passer la cybersécurité d'une préoccupation technique à une responsabilité stratégique et de gouvernance. En imposant des mesures de sécurité fondées sur les risques, des règles strictes en matière d'établissement de rapports et une responsabilité au niveau de la direction, elle garantit une détection, une réaction et un rétablissement plus rapides en cas de cyberincidents.
Il renforce également la coordination nationale par l'intermédiaire de l'agence danoise de sécurité sociétale (Styrelsen for Samfundssikkerhed ) et du centre de cybersécurité (Center for Cyber Security - CFCS), améliorant ainsi le partage et la réponse aux incidents en temps réel entre les différents secteurs.
Cela permet de créer un environnement de cybersécurité unifié et proactif dans l'ensemble de la société danoise.
Obtenir le guide : Cadres de cybersécurité au Danemark
Quels sont les avantages de Cybersikkerhedsloven ?
Le respect de la loi présente des avantages pratiques évidents :
- Meilleure posture de sécurité : les organisations mettent en place des contrôles et une gouvernance structurés en matière de cybersécurité.
- Une réponse plus rapide aux incidents : grâce à des règles de signalement et d'escalade claires, les organisations peuvent agir rapidement et éviter des dommages plus importants.
- Amélioration de la résilience des fournisseurs : la sécurité de la chaîne d'approvisionnement rend la prestation de services plus fiable.
- Confiance dans la réglementation : la conformité contribue à renforcer la confiance des clients, des partenaires et des autorités publiques.
- Avantage concurrentiel : dans les secteurs où la cybersécurité est désormais une exigence de base, la conformité peut être un facteur de différenciation.
FAQ
Le Cybersikkerhedsloven est-il obligatoire ?
Oui, il s'agit d'un acte juridiquement contraignant. Depuis le 1er juillet 2025, toutes les entités du champ d'application doivent s'y conformer. La non-conformité peut entraîner des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial, en fonction de la gravité de la violation.
Pourquoi le Cybersikkerhedsloven est-il important ?
Elle renforce les défenses du Danemark contre les cybermenaces et aligne le pays sur les normes européennes en matière de cybersécurité. La loi garantit que les services essentiels, des hôpitaux aux réseaux électriques, sont résistants aux attaques et peuvent se rétablir rapidement.
Qui doit se conformer au Cybersikkerhedsloven ?
Il s'applique aux moyennes et grandes entreprises (plus de 50 employés ou plus de 10 millions d'euros de chiffre d'affaires) dans les secteurs critiques, tels que
- Énergie, transports, eau, soins de santé et alimentation
- Infrastructure numérique et services informatiques gérés
- Administration publique (nationale et régionale)
- Certaines entreprises manufacturières, postales et de gestion des déchets
Les petites entreprises sont généralement exclues, à moins qu'elles ne fournissent des services vitaux à d'autres entreprises couvertes.
Quand le Cybersikkerhedsloven est-il en vigueur ?
La loi est entrée en vigueur le 1er juillet 2025. L'enregistrement des fournisseurs de services numériques était requis pour le 1er octobre 2025, et la conformité continue s'applique par la suite.
Le Cybersikkerhedsloven est-il soutenu dans le cadre du Cyberday?
Oui. Cyberday prend entièrement en charge la conformité au Cybersikkerhedsloven (NIS2) grâce à des tâches prêtes à l'emploi, des politiques, des flux de travail de reporting et un suivi des preuves.
Commencez votre essai gratuit de 14 jours de Cyberday et voyez comme il est facile de structurer votre conformité Cybersikkerhedsloven avec des contrôles prédéfinis et une automatisation intelligente des tâches.
