NIS2 in Ungarn

Leitfaden zur NIS2-Umsetzung und -Compliance in Ungarn.

Dieses Dokument enthält Informationen mit Stand Februar 2026. Obwohl alle zumutbaren Schritte unternommen wurden, um die Richtigkeit der Inhalte zu überprüfen, werden die Informationen ohne Gewähr für Vollständigkeit oder Richtigkeit bereitgestellt und können Änderungen unterliegen. Obgleich wir beabsichtigen, diese Inhalte regelmäßig zu aktualisieren, wird empfohlen, kritische Informationen eigenständig zu verifizieren.

Ungarn aktualisiert seinen nationalen Cybersicherheitsrahmen, um ihn an die mit der NIS2-Richtlinie eingeführten verschärften Pflichten anzupassen. Der überarbeitete Rahmen erweitert den sektoralen Anwendungsbereich, formalisiert die Verantwortlichkeit der Geschäftsleitung und stärkt Aufsichts- und Sanktionsmechanismen. Dieser Leitfaden bietet einen strukturierten Überblick über die NIS2-Compliance-Anforderungen in Ungarn für KMU, die in erfassten Sektoren tätig sind.

1. Schneller Überblick zur Anwendbarkeit für KMU in Ungarn

Gilt NIS2 für KMU in Ungarn?

Ja — abhängig von Sektor und Größe.

Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
Gilt für in Ungarn niedergelassene Einrichtungen und in bestimmten Fällen für ausländische digitale Diensteanbieter, die den ungarischen Markt bedienen.

KMU sollten ihre Einstufung nach Ungarns nationalem Cybersicherheitsrahmen anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur Umsetzung der NIS2-Richtlinie in Ungarn

Ungarn setzt die Richtlinie durch Änderungen des Act on Cybersecurity of State and Municipal Bodies und zugehöriger nationaler Cybersicherheitsgesetzgebung um.

Der aktualisierte Rahmen bringt das ungarische Regelwerk mit der Richtlinie (EU) 2022/2555 in Einklang und verschärft die Pflichten hinsichtlich Governance, Meldung von Sicherheitsvorfällen, Risikomanagement und Verwaltungssanktionen.

Die Gesetzgebung integriert die Standards der Richtlinie in das in Ungarn etablierte Aufsichtsmodell für kritische Infrastrukturen und digitale Diensteanbieter.

3. Anwendungsbereich in Ungarn

Wesentliche Einrichtungen

Einrichtungen, die in hochkritischen Sektoren tätig sind:

Wichtige Einrichtungen

Einrichtungen, die in anderen aufgeführten Sektoren tätig sind:

Der Anwendungsbereich Ungarns entspricht den Mindestsektorkategorien der Richtlinie; eine strukturelle Erweiterung ist nicht bestätigt.

4. Größenschwellen und Anwendbarkeit auf KMU in Ungarn

Die Basisschwellen gelten:

≥50 Beschäftigte und
≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien in den erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleinst- und Kleinunternehmen können bestimmt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung wesentlicher Dienste erachtet werden.

Die ungarischen Behörden behalten formelle Bestimmungsbefugnisse, wenn systemische Risiken eine Einbeziehung rechtfertigen.

5. Rahmen für die Einstufung von Einrichtungen in Ungarn

Einrichtungen werden wie folgt eingestuft:

Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Audits und strukturiertem Compliance-Monitoring.
Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch schwerwiegende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Ungarn folgt dem zweistufigen Aufsichtsmodell der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Ungarn

Das nationale Regelwerk Ungarns entspricht dem Basisniveau der Richtlinie für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

Risikoanalyse und Systemschutz
Vorfallserkennung und -reaktion
Geschäftskontinuität und Krisenmanagement
NIS2-Lieferketten-Risikokontrollen in Ungarn
Sichere Beschaffung und Entwicklung von IKT-Systemen
Zugriffskontrolle und Identitätsmanagement
Verschlüsselung und kryptografische Schutzmaßnahmen
Verfahren zum Schwachstellenmanagement
Schulungen der Mitarbeitenden zur Cybersicherheit

Die Maßnahmen müssen den Stand der Technik widerspiegeln und die organisatorische Risikobelastung berücksichtigen. Eine Ausrichtung an ISO/IEC 27001 und ungarischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in Ungarn

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem ungarischen Rechtsrahmen:

Leitungsorgane sind für die Überwachung der Compliance verantwortlich.
Die Geschäftsleitung muss ausreichende Cybersicherheitskompetenz sicherstellen.
Verwaltungsrechtliche Sanktionen können Governance-Versäumnisse ahnden.
Die vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die ungarischen Erwartungen an die Managementhaftung nach NIS2 heben die Cybersicherheits-Governance auf eine Verantwortung auf Ebene der Geschäftsleitung.

8. Meldepflichten für Cybersicherheitsvorfälle in Ungarn

Definition eines erheblichen Sicherheitsvorfalls

Ein Vorfall gilt als meldepflichtig, wenn er Folgendes verursacht:

Schwere Betriebsstörung
Erheblicher finanzieller Verlust
Erhebliche gesellschaftliche Auswirkungen
Grenzüberschreitende Auswirkungen

Meldezeitplan

Meldestufe	Frist	Behörde
Frühwarnung	24 Stunden	National Cyber Security Center (NCSC Hungary)
Vorfallsmeldung	72 Stunden	National Cyber Security Center (NCSC Hungary)
Abschlussbericht	1 Monat	National Cyber Security Center (NCSC Hungary)

Ungarn folgt der in der Richtlinie vorgesehenen Struktur für NIS2-Meldefristen. Sektoraufsichtsbehörden können gegebenenfalls mit dem NCSC koordinieren.

9. Aufsichtsbehörden und Durchsetzungsmodell in Ungarn

Primär zuständige Behörde: National Cyber Security Center (NCSC Hungary).

Ungarn betreibt ein zentrales Aufsichtsmodell, das bei Bedarf durch sektorspezifische Regulierungsbehörden unterstützt wird.

Aufsichtsbefugnisse umfassen:

Anforderung von Unterlagen und Informationen
Sicherheitsaudits
Vor-Ort-Inspektionen
Verbindliche Anordnungen zur Einhaltung
Teilnahme an EU-Koordinierungsmechanismen zur Cybersicherheit

Die Durchsetzungsstruktur steht im Einklang mit den Kooperationsanforderungen auf Richtlinienebene.

10. NIS-2-Bußgelder und Sanktionen in Ungarn

Ungarn wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Wesentliche Einrichtungen

Bis zu €10 Millionen oder 2% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Wichtige Einrichtungen

Bis zu €7 Millionen oder 1.4% des weltweiten jährlichen Gesamtumsatzes (je nachdem, welcher Betrag höher ist)

Bei der NIS2-Durchsetzung in Ungarn können neben Geldbußen auch Folgendes zum Einsatz kommen:

Verbindliche Anordnungen zur Abhilfe
Öffentliche Identifizierung nicht konformer Einrichtungen
Aussetzung von Genehmigungen oder Zertifizierungen
Befugnisse zur Suspendierung von Führungskräften

Strafrechtliche Haftung greift nur, wenn dies in der ungarischen Gesetzgebung ausdrücklich vorgesehen ist.

11. NIS2-Lieferkette und Lieferantensicherheit in Ungarn

Einrichtungen müssen die Cybersicherheitsrisiken aus der Zusammenarbeit mit Dritten steuern durch:

Risikobewertungen von Lieferanten
Vertragliche Weitergabeklauseln für Sicherheitsanforderungen
Kontinuierliche Überwachung von IKT-Lieferanten
Analyse von Konzentrationsrisiken
Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Ungarns entspricht den grundlegenden Erwartungen der Richtlinie in Bezug auf das Lieferantenrisikomanagement.

12. Registrierungs- und Selbstidentifizierungspflichten in Ungarn

Einrichtungen im Anwendungsbereich müssen:

Sich bei den zuständigen Behörden registrieren
Unternehmensidentifikationsdaten bereitstellen
Sektorzuordnung offenlegen
Meldekontakte aktuell halten

Verfahrensfristen folgen dem ungarischen Umsetzungsrahmen. Nach dem aktuellen Stand der Umsetzung folgt Ungarn dem Basisrahmen der NIS2-Richtlinie. Nationale Umsetzungsdetails können bestimmte Pflichten präzisieren.

Selbstidentifizierung ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen.

13. Zusammenspiel mit der Datenschutz-Grundverordnung (DSGVO) und anderen Gesetzen in Ungarn

Die Datenschutz-Grundverordnung (DSGVO) gilt weiterhin parallel.

Zu berücksichtigende Überschneidungen umfassen:

72-Stunden-Meldung bei Verletzungen des Schutzes personenbezogener Daten
Koordination mit Aufsichtsbehörden
Parallele Untersuchungen zu Cybersicherheit und Datenschutz
Sektorspezifische ungarische Cybersicherheitsgesetzgebung

Ein einzelner Cybervorfall kann Meldepflichten nach beiden Regelwerken auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Ungarn werden hinsichtlich grenzüberschreitender Dienste von den ungarischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die Dienste in Ungarn erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Vertretungspflichten richten sich nach den Standards der Richtlinie für Nicht-EU-Anbieter, die den ungarischen Markt bedienen.

15. Umsetzungszeitplan in Ungarn

Annahme der Richtlinie: 2022
Nationale Gesetzesänderungen: 2024–2025
Inkrafttreten: Mit nationaler Veröffentlichung
Notifizierung der Kommission: Im Einklang mit den EU-Verfahren
Compliance-Meilenstein: Richtlinienkonforme Fristen

Ungarns Umsetzungszeitplan ist mit den EU-Umsetzungsanforderungen abgestimmt.

16. Zentrale Punkte für KMU in Ungarn

Mittlere Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
Aufsicht auf Ebene des Leitungsorgans ist verpflichtend.
Die Meldung von Vorfällen folgt Fristen von 24 h / 72 h / 1 Monat.
Geldbußen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes erreichen.
Lieferantenrisikomanagement ist erforderlich.
Frühzeitige Compliance-Planung verringert das Durchsetzungs- und Sanktionsrisiko.

FAQ: NIS2-Leitfaden für KMU in Ungarn

Gilt NIS2 für kleine Unternehmen in Ungarn?

Kleine Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie werden benannt oder sind in hochkritischen Sektoren tätig. Mittlere Unternehmen, die die Größenkriterien erfüllen, sind automatisch erfasst.

Wie hoch sind die NIS2-Bußgelder in Ungarn?

Wesentliche Einrichtungen drohen Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen drohen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Wann tritt NIS2 in Ungarn in Kraft?

Ungarn ändert seine nationale Cybersicherheitsgesetzgebung, um sie an die Richtlinie anzugleichen. Das Inkrafttreten erfolgt nach der Verkündung der nationalen Rechtsvorschriften.

Wer setzt NIS2 in Ungarn durch?

Das National Cyber Security Center (NCSC Hungary) fungiert als primäre Aufsichtsbehörde und koordiniert, soweit zutreffend, mit Sektoraufsichtsbehörden.

Können Leitungsorgane nach NIS2 in Ungarn persönlich haftbar sein?

Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Zu den behördlichen Durchsetzungsinstrumenten können in schwerwiegenden Fällen Befugnisse zur Suspendierung von Führungspersonen gehören.

Worin unterscheidet sich NIS2 in Ungarn von der DSGVO?

NIS2 regelt Cybersicherheitsresilienz und operatives Risikomanagement, während die DSGVO den Schutz personenbezogener Daten regelt. Beide Rahmenwerke können nach einem Cybervorfall anwendbar sein.

Was gilt als signifikanter Vorfall nach NIS2 in Ungarn?

Ein Vorfall, der schwere Betriebsstörungen, erhebliche finanzielle Verluste, gesellschaftliche Auswirkungen oder grenzüberschreitende Folgen verursacht, erfüllt typischerweise die Meldeschwelle.