The Implementation of the NIS2 Directive and GDPR in Norwegian and Danish Law: National security vs. privacy
Translated title
Implementeringen av NIS2-direktivet og GDPR i norsk og dansk rett: Nasjonal sikkerhet vs. privatliv
Author
Hedel, Tirill Marie Tønseth
Term
4. term
Education
Publication year
2025
Abstract
I en stadig mere digitaliseret verden er kritiske sektorer afhængige af digitale systemer, og hændelser som Stuxnet, angrebene på det ukrainske elnet og Colonial Pipeline viser omfanget af risikoen. EU har svaret med NIS2 for at skærpe cybersikkerheden og GDPR for at beskytte personoplysninger. Dette speciale undersøger, hvordan Norge (EØS) og Danmark (EU) har gennemført NIS2 og GDPR i national ret, og hvordan de balancerer hensynet til national sikkerhed og privatliv i kritiske samfundsfunktioner. Med en retsdogmatisk metode kombineret med komparativ analyse gennemgås akademisk litteratur, lovgivning, forarbejder og relevant praksis for at kortlægge institutionelle roller, efterlevelseskrav og håndhævelse. Undersøgelsen viser, at Norge forankrer NIS2-relaterede pligter i en udvidet national sikkerhedslov, hvor sektorielle myndigheder fører det daglige tilsyn under koordinering af den nationale sikkerhedsmyndighed, mens Danmark har vedtaget en særskilt NIS2-implementeringslov, der giver Center for Cybersikkerhed et strategisk ansvar og overlader inspektioner til linjeministerierne. I begge lande integreres GDPR gennem risikobaserede vurderinger og vejledning fra både cyber- og databeskyttelsesmyndigheder, men der kan opstå spændinger, blandt andet omkring sikkerhedslogning og hændelsesrapportering. Analysen peger på, at tillid, administrativ kapacitet og politiske valg præger balancen mellem robusthed og rettigheder, og at reguleringsstile spænder fra vejledningsbaserede til sanktionsdrevne modeller. Fælles værktøjer som proportionalitetsvurderinger, tekniske standarder og myndighedssamarbejde bruges som fleksible mekanismer frem for faste løsninger. Specialet konkluderer, at løbende samarbejde, fælles audits og klare, fælles regler for, hvornår sikkerhedslogning er lovlig, er afgørende for at styrke cybersikkerheden og samtidig beskytte privatlivet, og det udleder praktiske forslag til at forbedre fremtidig implementering.
As critical sectors become increasingly digital, incidents such as Stuxnet, the Ukraine grid attacks and Colonial Pipeline highlight the risks at stake. The EU has responded with NIS2 to strengthen cybersecurity and GDPR to protect personal data. This thesis examines how Norway (EEA) and Denmark (EU) have implemented NIS2 and GDPR in national law, and how each balances national security and privacy in critical functions. Using a legal-dogmatic approach combined with comparative analysis, it reviews academic literature, legislation, preparatory works and relevant case law to map institutional responsibilities, compliance duties and enforcement. The study finds that Norway anchors NIS2-related obligations in an expanded national security act, with day-to-day oversight by sectoral regulators coordinated by the national security authority, while Denmark has adopted a specific NIS2 implementation law that assigns strategic responsibility to the Centre for Cybersecurity and inspection duties to line ministries. In both jurisdictions, GDPR obligations are integrated through risk-based assessments and guidance from cybersecurity and data protection authorities, though tensions can arise around issues such as security logging and incident reporting. The analysis shows how public trust, administrative capacity and politics shape the balance between resilience and rights, and how regulatory styles range from guidance-led to sanction-based models. Common tools—proportionality assessments, technical standards and inter-agency coordination—operate as flexible mechanisms rather than fixed solutions. The thesis concludes that sustained cooperation, joint audits and clear, shared rules on when security logging is lawful are crucial to strengthen cybersecurity while protecting privacy, and it offers practical suggestions for improving future implementation.
[This summary has been generated with the help of AI directly from the project (PDF)]
Documents