NIS2 en Hungría

1. Panorama rápido de aplicabilidad para PYMEs en Hungary

¿Se aplica NIS2 a las pymes en 1. Panorama rápido de aplicabilidad para PYMEs en Hungary?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Hungary y, en determinados casos, a los proveedores digitales extranjeros que prestan servicios al mercado húngaro.

Las PYMEs deben evaluar su sujeción al régimen nacional de ciberseguridad de Hungary en función de la clasificación sectorial y de los umbrales legales.

2. Panorama de la implementación de NIS2 en Hungary

Hungary ha transpuesto la NIS2 mediante la Ley LXIX de 2024 sobre la Ciberseguridad de Hungary, adoptada el 20 de diciembre de 2024 y en vigor desde el 1 de enero de 2025. La nueva ley es un estatuto autónomo e integral que sustituye tanto a la Ley XXIII de 2023 como a la Ley L de 2013, consolidando el marco de ciberseguridad de Hungary en un único instrumento.

El marco nacional de Hungary presenta cuatro desviaciones notables respecto al marco base de la Directiva: la banca, la infraestructura del mercado financiero y la administración pública están excluidas del ámbito; agua potable y aguas residuales se fusionan en un único sector de servicios de agua; las entidades se asignan a una clasificación de seguridad de tres niveles (Basic, Significant, High) basada en NIST SP 800-53; y las entidades incluidas en el ámbito deben someterse a una auditoría externa de ciberseguridad bienal realizada exclusivamente por auditores registrados ante SZTFH.

El 7 de mayo de 2025, la Comisión Europea emitió un dictamen motivado contra Hungary por notificación incompleta de las medidas nacionales de transposición. La evaluación de la Comisión sigue en curso.

3. Ámbito de aplicación en Hungary

El ámbito de aplicación de Hungary se aparta del marco base de la Directiva al excluir la banca, la infraestructura del mercado financiero y la administración pública, y al fusionar agua potable y aguas residuales en un único sector de servicios de agua. En manufactura se añaden el transporte público (fabricación de vehículos) y la fabricación de cemento y yeso.

4. Umbrales de tamaño y aplicabilidad a pymes en Hungary

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplen ambos criterios dentro de los sectores cubiertos están automáticamente en el ámbito. Una modificación de enero de 2026 excluye del ámbito a las empresas que califican como grandes empresas únicamente debido a su estructura de grupo corporativo (sin cumplir de forma independiente los criterios de mediana empresa).

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades de Hungary conservan facultades formales de designación cuando el riesgo sistémico justifique la inclusión.

5. Marco de clasificación de entidades en Hungary

Las entidades se clasifican como:

• Entidades esenciales — Están sujetas a supervisión proactiva, incluidas auditorías y un seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o por cuestiones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades podrán reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Hungary sigue el modelo de supervisión de dos niveles de la Directive.

6. Requisitos de gestión del riesgo de ciberseguridad en Hungary

El régimen nacional de Hungary se alinea con el nivel de referencia de la Directive para la gestión del riesgo de ciberseguridad. Las entidades dentro del ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Hungary
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y con las orientaciones húngaras de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Hungary

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

En el marco de Hungary:

• Los consejos son responsables de la supervisión del cumplimiento, incluida la aprobación y supervisión de la auditoría externa bienal de ciberseguridad.
• La alta dirección debe garantizar competencia suficiente en ciberseguridad.
• Las sanciones administrativas pueden abordar fallos de gobernanza, incluidas multas personales independientes a los miembros de la dirección bajo la Ley de Ciberseguridad, además de las sanciones a nivel corporativo.
• La autoridad supervisora puede imponer la suspensión temporal de funciones directivas conforme a los mecanismos de aplicación alineados con la Directiva.

Las expectativas de NIS2 sobre responsabilidad de la dirección en Hungary elevan la gobernanza de la ciberseguridad a una responsabilidad de nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Hungary

9. Autoridades de Supervisión y Modelo de Aplicación en Hungría

Autoridad reguladora principal: SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága — Autoridad de Supervisión de Actividades Reguladas). NKI/NCSC Hungary actúa como CSIRT nacional.

Hungary opera un modelo de supervisión centralizado bajo SZTFH, que gestiona el registro, el registro de auditores, las tasas de supervisión y la aplicación. Autoridades sectoriales específicas —incluidos el Banco Nacional de Hungary y el Ministerio de Defensa— supervisan los sectores designados.

Las facultades de supervisión incluyen:

• Solicitudes de documentación e información
• Auditorías de seguridad — realizadas únicamente por auditores registrados ante SZTFH
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación a nivel de la Directive.

10. Multas y sanciones NIS2 en Hungría

Hungría aplica sanciones administrativas alineadas con la Directive.

La ejecución de sanciones conforme a NIS2 en Hungría también puede incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de las entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades para suspender a los directivos

La responsabilidad penal se aplica únicamente cuando esté expresamente prevista por la legislación húngara.

11. Seguridad de la cadena de suministro y de proveedores conforme a NIS2 en Hungría

Las entidades deben gestionar la exposición a riesgos de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Cláusulas contractuales de traslado de requisitos de seguridad
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Hungría se alinea con las expectativas de referencia de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Hungría

Las entidades dentro del ámbito de aplicación deben:

• Registrarse en SZTFH en un plazo de 30 días desde que se está sujeto a la ley; las entidades anteriores a 2025 debían registrarse antes del 30 de junio de 2024 (vencido); la lista de país de servicio en la UE vencía el 15 de febrero de 2025 (vencida).
• Proporcionar datos de identificación corporativa
• Declarar la clasificación sectorial y el nivel de seguridad asignado (Basic, Significant o High)
• Mantener actualizados los contactos de notificación y comunicar a SZTFH cualquier cambio material en el plazo de dos semanas

Las entidades en el ámbito deben contratar a un auditor de ciberseguridad registrado ante SZTFH en un plazo de 120 días (las entidades anteriores a 2025 tenían hasta el 31 de agosto de 2025 — vencido). La primera auditoría de ciberseguridad debe completarse antes del 30 de junio de 2026 para entidades anteriores a 2025, o en un plazo de dos años desde el registro para nuevas entidades. Se aplica una tasa anual de supervisión de ciberseguridad.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales. Cada entidad debe determinar su clasificación de seguridad de tres niveles (Basic, Significant o High) conforme a NIST SP 800-53 como requisito previo para contratar un auditor e implementar los controles de seguridad correspondientes.

13. Interacción con el GDPR y otras leyes en Hungary

El General Data Protection Regulation continúa aplicándose de forma concurrente.

Las consideraciones de solapamiento incluyen:

• Notificación de violación de datos personales en 72 horas
• Coordinación con la autoridad de control
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación de ciberseguridad específica del sector de Hungary

Un único incidente de ciberseguridad puede desencadenar obligaciones de notificación en ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Hungría están supervisadas por las autoridades húngaras en relación con los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrecen servicios en Hungría pueden estar sujetos a obligaciones nacionales en función de su estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado húngaro.

15. Calendario de implementación en Hungría

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Ley LXIX de 2024 adoptada el 20 de diciembre de 2024, deroga la Ley XXIII de 2023 y la Ley L de 2013; complementada por el Decreto Gubernamental 418/2024 (XII.23.) y el decreto de procedimiento de auditoría del 31 de enero de 2025.
• Entrada en vigor: 1 de enero de 2025; las medidas de seguridad y la notificación de incidentes ya se aplicaban desde el 18 de octubre de 2024 conforme a la anterior Ley XXIII; modificación de enero de 2026 acota la exclusión por grupo corporativo.
• Notificación a la Comisión: La Comisión Europea emitió un dictamen motivado el 7 de mayo de 2025 por notificación incompleta; evaluación en curso.
• Hito de cumplimiento: Plazo de registro 30 de junio de 2024 (vencido); plazo de contrato de auditor 31 de agosto de 2025 (vencido); primera auditoría de ciberseguridad antes del 30 de junio de 2026 — la obligación más inmediata pendiente.

Hungary completó la transposición principal con la Ley LXIX de 2024, en vigor desde el 1 de enero de 2025. Todos los plazos de registro y de contratación de auditores han vencido; la primera auditoría de ciberseguridad antes del 30 de junio de 2026 es la obligación más inmediata pendiente para las entidades en el ámbito.

16. Aspectos clave para las pymes en Hungría

• Las entidades medianas en sectores cubiertos están automáticamente en el ámbito; la banca, la infraestructura del mercado financiero y la administración pública están excluidas del ámbito de Hungary.
• Las pequeñas entidades pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión a nivel del consejo es obligatoria.
• La notificación de incidentes sigue plazos de 24h / 72h / 1 mes.
• Las sanciones financieras pueden alcanzar 10 millones de euros o el 2% de la facturación global.
• Es obligatoria la gestión del riesgo de proveedores.
• Todos los plazos de registro y contratación de auditores han vencido; la primera auditoría de ciberseguridad debe realizarse antes del 30 de junio de 2026; las auditorías deben ser realizadas por auditores registrados ante SZTFH; las entidades deben asignarse a una clasificación de seguridad de tres niveles (Basic, Significant, High) y pagar una tasa anual de supervisión de ciberseguridad.

Preguntas frecuentes: Guía NIS2 para pymes en Hungría