NIS2 in Ungarn

1. Schneller Überblick zur Anwendbarkeit für KMU in Ungarn

Gilt NIS2 für KMU in Ungarn?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Ungarn niedergelassene Einrichtungen und in bestimmten Fällen für ausländische digitale Diensteanbieter, die den ungarischen Markt bedienen.

KMU sollten ihre Einstufung nach Ungarns nationalem Cybersicherheitsrahmen anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur Umsetzung der NIS2-Richtlinie in Ungarn

Ungarn hat die NIS2-Richtlinie mit dem Gesetz LXIX von 2024 über die Cybersicherheit Ungarns umgesetzt, das am 20. Dezember 2024 verabschiedet wurde und seit dem 1. Januar 2025 in Kraft ist. Das neue Gesetz ist ein umfassendes eigenständiges Regelwerk, das sowohl das Gesetz XXIII von 2023 als auch das Gesetz L von 2013 ersetzt und Ungarns Cybersicherheitsrahmen in einem einzigen Instrument konsolidiert.

Der nationale Rahmen Ungarns weist vier wesentliche Abweichungen vom Richtlinien-Basisrahmen auf: Bankwesen, Finanzmarktinfrastruktur und öffentliche Verwaltung sind vom Anwendungsbereich ausgenommen; Trinkwasser und Abwasser werden zu einem einzigen Wasserdienstleistungssektor zusammengeführt; Einrichtungen werden einer dreistufigen Sicherheitsklassifizierung (Basic, Significant, High) auf Grundlage von NIST SP 800-53 zugeordnet; und in den Anwendungsbereich fallende Einrichtungen müssen sich einem zweijährlichen externen Cybersicherheitsaudit unterziehen, das ausschließlich von SZTFH-registrierten Prüfern durchgeführt wird.

Am 7. Mai 2025 hat die Europäische Kommission gegen Ungarn eine mit Gründen versehene Stellungnahme wegen unvollständiger Notifizierung der nationalen Umsetzungsmaßnahmen abgegeben. Die Bewertung der Kommission dauert weiterhin an.

3. Anwendungsbereich in Ungarn

Der Anwendungsbereich Ungarns weicht vom Richtlinien-Basisrahmen ab, indem Bankwesen, Finanzmarktinfrastruktur und öffentliche Verwaltung ausgenommen und Trinkwasser sowie Abwasser zu einem einzigen Wasserdienstleistungssektor zusammengeführt werden. Im verarbeitenden Gewerbe wurden öffentlicher Verkehr (Fahrzeugbau) sowie die Zement- und Gipsherstellung aufgenommen.

4. Größenschwellen und Anwendbarkeit auf KMU in Ungarn

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien in den erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich. Eine Änderung vom Januar 2026 nimmt Unternehmen, die ausschließlich aufgrund ihrer Konzernstruktur als Großunternehmen gelten (ohne eigenständig die Kriterien für mittlere Unternehmen zu erfüllen), aus dem Anwendungsbereich aus.

Kleinst- und Kleinunternehmen können bestimmt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung wesentlicher Dienste erachtet werden.

Die ungarischen Behörden behalten formelle Bestimmungsbefugnisse, wenn systemische Risiken eine Einbeziehung rechtfertigen.

5. Rahmen für die Einstufung von Einrichtungen in Ungarn

Einrichtungen werden wie folgt eingestuft:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Audits und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch schwerwiegende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Ungarn folgt dem zweistufigen Aufsichtsmodell der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Ungarn

Das nationale Regelwerk Ungarns entspricht dem Basisniveau der Richtlinie für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikoanalyse und Systemschutz
• Vorfallserkennung und -reaktion
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in Ungarn
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Schulungen der Mitarbeitenden zur Cybersicherheit

Die Maßnahmen müssen den Stand der Technik widerspiegeln und die organisatorische Risikobelastung berücksichtigen. Eine Ausrichtung an ISO/IEC 27001 und ungarischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in Ungarn

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem ungarischen Rechtsrahmen:

• Leitungsorgane sind für die Überwachung der Compliance verantwortlich, einschließlich Genehmigung und Überwachung des zweijährlichen externen Cybersicherheitsaudits.
• Die Geschäftsleitung muss ausreichende Cybersicherheitskompetenz sicherstellen.
• Verwaltungsrechtliche Sanktionen können Governance-Versäumnisse ahnden, einschließlich gesonderter persönlicher Geldbußen gegen Mitglieder der Geschäftsleitung nach dem Cybersicherheitsgesetz, zusätzlich zu Sanktionen auf Unternehmensebene.
• Die vorübergehende Aussetzung von Leitungsfunktionen kann von der Aufsichtsbehörde im Rahmen richtlinienkonformer Durchsetzungsmechanismen angeordnet werden.

Die ungarischen Erwartungen an die Managementhaftung nach NIS2 heben die Cybersicherheits-Governance auf eine Verantwortung auf Ebene der Geschäftsleitung.

8. Meldepflichten für Cybersicherheitsvorfälle in Ungarn

9. Aufsichtsbehörden und Durchsetzungsmodell in Ungarn

Primäre Regulierungsbehörde: SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága — Aufsichtsbehörde für regulierte Tätigkeiten). NKI/NCSC Hungary fungiert als nationales CSIRT.

Ungarn betreibt ein zentrales Aufsichtsmodell unter SZTFH, die Registrierung, Prüferregister, Aufsichtsgebühren und Durchsetzung verwaltet. Sektorspezifische Behörden — darunter die ungarische Nationalbank und das Verteidigungsministerium — beaufsichtigen ausgewiesene Sektoren.

Aufsichtsbefugnisse umfassen:

• Anforderung von Unterlagen und Informationen
• Sicherheitsaudits — durchgeführt ausschließlich durch SZTFH-registrierte Prüfer
• Vor-Ort-Inspektionen
• Verbindliche Anordnungen zur Einhaltung
• Teilnahme an EU-Koordinierungsmechanismen zur Cybersicherheit

Die Durchsetzungsstruktur steht im Einklang mit den Kooperationsanforderungen auf Richtlinienebene.

10. NIS-2-Bußgelder und Sanktionen in Ungarn

Ungarn wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Bei der NIS2-Durchsetzung in Ungarn können neben Geldbußen auch Folgendes zum Einsatz kommen:

• Verbindliche Anordnungen zur Abhilfe
• Öffentliche Identifizierung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung von Führungskräften

Strafrechtliche Haftung greift nur, wenn dies in der ungarischen Gesetzgebung ausdrücklich vorgesehen ist.

11. NIS2-Lieferkette und Lieferantensicherheit in Ungarn

Einrichtungen müssen die Cybersicherheitsrisiken aus der Zusammenarbeit mit Dritten steuern durch:

• Risikobewertungen von Lieferanten
• Vertragliche Weitergabeklauseln für Sicherheitsanforderungen
• Kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Konzentrationsrisiken
• Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Ungarns entspricht den grundlegenden Erwartungen der Richtlinie in Bezug auf das Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifizierungspflichten in Ungarn

Einrichtungen im Anwendungsbereich müssen:

• Registrierung bei SZTFH innerhalb von 30 Tagen ab Erfassung durch das Gesetz; Einrichtungen vor 2025 mussten sich bis 30. Juni 2024 registrieren (Frist verstrichen); EU-Dienstleistungslandverzeichnis fällig zum 15. Februar 2025 (Frist verstrichen).
• Unternehmensidentifikationsdaten bereitstellen
• Sektorzuordnung und zugewiesene Sicherheitsstufe (Basic, Significant oder High) offenlegen
• Meldekontakte aktuell halten und SZTFH wesentliche Änderungen innerhalb von zwei Wochen mitteilen

In den Anwendungsbereich fallende Einrichtungen müssen innerhalb von 120 Tagen einen SZTFH-registrierten Cybersicherheitsprüfer beauftragen (Einrichtungen vor 2025 hatten Zeit bis 31. August 2025 — Frist verstrichen). Das erste Cybersicherheitsaudit muss bis zum 30. Juni 2026 für Einrichtungen vor 2025 abgeschlossen sein, oder innerhalb von zwei Jahren ab Registrierung für neue Einrichtungen. Es fällt eine jährliche Cybersicherheits-Aufsichtsgebühr an.

Selbstidentifizierung ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen. Jede Einrichtung muss ihre dreistufige Sicherheitsklassifizierung (Basic, Significant oder High) gemäß NIST SP 800-53 als Voraussetzung für die Beauftragung eines Prüfers und die Umsetzung der entsprechenden Sicherheitskontrollen festlegen.

13. Zusammenspiel mit der Datenschutz-Grundverordnung (DSGVO) und anderen Gesetzen in Ungarn

Die Datenschutz-Grundverordnung (DSGVO) gilt weiterhin parallel.

Zu berücksichtigende Überschneidungen umfassen:

• 72-Stunden-Meldung bei Verletzungen des Schutzes personenbezogener Daten
• Koordination mit Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische ungarische Cybersicherheitsgesetzgebung

Ein einzelner Cybervorfall kann Meldepflichten nach beiden Regelwerken auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Ungarn werden hinsichtlich grenzüberschreitender Dienste von den ungarischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die Dienste in Ungarn erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Vertretungspflichten richten sich nach den Standards der Richtlinie für Nicht-EU-Anbieter, die den ungarischen Markt bedienen.

15. Umsetzungszeitplan in Ungarn

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: Gesetz LXIX von 2024 verabschiedet am 20. Dezember 2024, hebt Gesetz XXIII von 2023 und Gesetz L von 2013 auf; ergänzt durch Regierungsverordnung 418/2024 (XII.23.) und die Auditverfahrensverordnung vom 31. Januar 2025.
• Inkrafttreten: 1. Januar 2025; Sicherheitsmaßnahmen und Vorfallmeldung bereits seit 18. Oktober 2024 nach dem vorherigen Gesetz XXIII anwendbar; Änderung vom Januar 2026 grenzt den Konzernausschluss ein.
• Notifizierung der Kommission: Europäische Kommission gab am 7. Mai 2025 eine mit Gründen versehene Stellungnahme wegen unvollständiger Notifizierung ab; Bewertung dauert an.
• Compliance-Meilenstein: Registrierungsfrist 30. Juni 2024 (verstrichen); Prüfervertragsfrist 31. August 2025 (verstrichen); erstes Cybersicherheitsaudit fällig zum 30. Juni 2026 — die unmittelbar verbleibende Hauptpflicht.

Ungarn hat die primäre Umsetzung mit dem Gesetz LXIX von 2024 abgeschlossen, das seit dem 1. Januar 2025 in Kraft ist. Alle Registrierungs- und Prüfervertragsfristen sind verstrichen; das erste Cybersicherheitsaudit bis zum 30. Juni 2026 ist die unmittelbar verbleibende Hauptpflicht für in den Anwendungsbereich fallende Einrichtungen.

16. Zentrale Punkte für KMU in Ungarn

• Mittlere Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich; Bankwesen, Finanzmarktinfrastruktur und öffentliche Verwaltung sind vom ungarischen Anwendungsbereich ausgenommen.
• Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht auf Ebene des Leitungsorgans ist verpflichtend.
• Die Meldung von Vorfällen folgt Fristen von 24 h / 72 h / 1 Monat.
• Geldbußen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist erforderlich.
• Alle Registrierungs- und Prüfervertragsfristen sind verstrichen; das erste Cybersicherheitsaudit ist bis zum 30. Juni 2026 fällig; Audits müssen von SZTFH-registrierten Prüfern durchgeführt werden; Einrichtungen müssen sich einer dreistufigen Sicherheitsklassifizierung (Basic, Significant, High) zuordnen und eine jährliche Cybersicherheits-Aufsichtsgebühr entrichten.

FAQ: NIS2-Leitfaden für KMU in Ungarn