NIS2 en Hongrie

1. Aperçu rapide de l'applicabilité pour les PME en Hongrie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité pour les PME en Hongrie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Hongrie et, dans certains cas, aux fournisseurs de services numériques étrangers desservant le marché hongrois.

Les PME doivent évaluer leur éligibilité au titre du régime national de cybersécurité de la Hongrie en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de la NIS2 en Hongrie

La Hongrie a transposé la NIS2 par la Loi LXIX de 2024 sur la cybersécurité de la Hongrie, adoptée le 20 décembre 2024 et en vigueur depuis le 1er janvier 2025. La nouvelle loi est un texte autonome complet qui remplace à la fois la Loi XXIII de 2023 et la Loi L de 2013, consolidant le cadre cybersécurité de la Hongrie en un seul instrument.

Le cadre national hongrois présente quatre divergences notables par rapport au socle de la directive : la banque, l'infrastructure des marchés financiers et l'administration publique sont exclues du champ d'application ; eau potable et eaux usées sont fusionnées en un seul secteur des services de l'eau ; les entités sont assignées à une classification de sécurité à trois niveaux (Basic, Significant, High) basée sur NIST SP 800-53 ; et les entités dans le champ d'application doivent se soumettre à un audit externe biennal de cybersécurité réalisé exclusivement par des auditeurs inscrits auprès de SZTFH.

Le 7 mai 2025, la Commission européenne a émis un avis motivé contre la Hongrie pour notification incomplète des mesures nationales de transposition. L'évaluation de la Commission est toujours en cours.

3. Champ d’application en Hongrie

Le champ d'application de la Hongrie s'écarte du socle de la directive en excluant la banque, l'infrastructure des marchés financiers et l'administration publique, et en fusionnant eau potable et eaux usées en un seul secteur des services de l'eau. Dans la fabrication s'ajoutent les transports publics (construction de véhicules) et la fabrication de ciment et de plâtre.

4. Seuils de taille et applicabilité aux PME en Hongrie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts entrent automatiquement dans le champ d'application. Un amendement de janvier 2026 exclut du champ les entreprises qualifiées de grandes entreprises uniquement en raison de leur structure de groupe (sans satisfaire indépendamment les critères de moyenne entreprise).

Les petites et micro-entreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités hongroises conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l’inclusion.

5. Cadre de classification des entités en Hongrie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des audits et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition au risque justifient une supervision renforcée.

La Hongrie applique le modèle de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques de cybersécurité en Hongrie

Le régime national de la Hongrie s'aligne sur le socle de la Directive en matière de gestion des risques de cybersécurité. Les entités couvertes doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques liés à la chaîne d'approvisionnement NIS2 en Hongrie
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et les orientations hongroises en matière de cybersécurité est encouragé.

7. Responsabilité de la direction et gouvernance en Hongrie

Les organes de direction doivent approuver formellement les mesures de gestion des risques en cybersécurité et en superviser la mise en œuvre.

Dans le cadre hongrois :

• Les conseils sont responsables de la supervision de la conformité, y compris l'approbation et la supervision de l'audit externe biennal de cybersécurité.
• La direction générale doit garantir une compétence suffisante en cybersécurité.
• Des sanctions administratives peuvent traiter les manquements de gouvernance, y compris des amendes personnelles distinctes infligées aux membres de la direction en vertu de la Loi sur la cybersécurité, en plus des sanctions au niveau de l'entreprise.
• L'autorité de surveillance peut imposer la suspension temporaire de fonctions de direction conformément aux mécanismes d'application alignés sur la directive.

Les attentes de la NIS2 en matière de responsabilité de la direction en Hongrie élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents en Hongrie

9. Autorités de supervision et modèle d'application en Hongrie

Autorité de réglementation principale : SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága — Autorité de surveillance des activités réglementées). NKI/NCSC Hungary sert de CSIRT national.

La Hongrie applique un modèle de surveillance centralisé sous SZTFH, qui gère l'enregistrement, le registre des auditeurs, les redevances de surveillance et l'application. Des autorités sectorielles spécifiques — y compris la Banque nationale de Hongrie et le ministère de la Défense — supervisent les secteurs désignés.

Les pouvoirs de supervision comprennent :

• Demandes de documentation et d'informations
• Audits de sécurité — réalisés uniquement par des auditeurs inscrits auprès de SZTFH
• Inspections sur site
• Instructions contraignantes de mise en conformité
• Participation aux mécanismes de coordination cybersécurité de l'UE

La structure d'application est conforme aux exigences de coopération prévues par la directive.

10. Amendes et sanctions NIS2 en Hongrie

La Hongrie applique des sanctions administratives alignées sur la directive.

L'application des amendes NIS2 en Hongrie peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

La responsabilité pénale ne s'applique que lorsqu'elle est expressément prévue par la législation hongroise.

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs dans le cadre de la NIS2 en Hongrie

Les entités doivent gérer l'exposition aux risques de cybersécurité des tiers au moyen de :

• Évaluations des risques fournisseurs
• Dispositions contractuelles de répercussion (flow-down) des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de la Hongrie s'aligne sur les attentes de base de la directive en matière de gestion des risques liés aux fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Hongrie

Les entités entrant dans le champ d'application doivent :

• S'enregistrer auprès de SZTFH dans les 30 jours suivant l'assujettissement à la loi ; les entités antérieures à 2025 devaient s'enregistrer avant le 30 juin 2024 (échu) ; la liste pays-de-service UE était due le 15 février 2025 (échue).
• Fournir les données d'identification de l'entreprise
• Déclarer la classification sectorielle et le niveau de sécurité attribué (Basic, Significant ou High)
• Tenir à jour les contacts de notification et signaler à SZTFH tout changement substantiel dans un délai de deux semaines

Les entités dans le champ d'application doivent contracter un auditeur de cybersécurité inscrit auprès de SZTFH dans un délai de 120 jours (les entités antérieures à 2025 avaient jusqu'au 31 août 2025 — échu). Le premier audit de cybersécurité doit être achevé avant le 30 juin 2026 pour les entités antérieures à 2025, ou dans un délai de deux ans à compter de l'enregistrement pour les nouvelles entités. Une redevance annuelle de surveillance cybersécurité s'applique.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux. Chaque entité doit déterminer sa classification de sécurité à trois niveaux (Basic, Significant ou High) selon NIST SP 800-53 comme condition préalable à la contractualisation d'un auditeur et à la mise en œuvre des contrôles de sécurité correspondants.

13. Interaction avec le RGPD et d'autres lois en Hongrie

Le Règlement général sur la protection des données continue de s'appliquer concomitamment.

Les considérations de chevauchement comprennent :

• Notification des violations de données à caractère personnel dans les 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Législation hongroise sectorielle en matière de cybersécurité

Un seul incident de cybersécurité peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités ayant leur établissement principal en Hongrie sont supervisées par les autorités hongroises pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Hongrie peuvent être soumis à des obligations nationales selon la structure de leur établissement.

Les exigences en matière de représentation suivent les normes de la directive pour les prestataires non-UE desservant le marché hongrois.

15. Calendrier de mise en œuvre en Hongrie

• Adoption de la Directive : 2022
• Modifications législatives nationales : Loi LXIX de 2024 adoptée le 20 décembre 2024, abrogeant la Loi XXIII de 2023 et la Loi L de 2013 ; complétée par le Décret gouvernemental 418/2024 (XII.23.) et le décret sur la procédure d'audit du 31 janvier 2025.
• Entrée en vigueur : 1er janvier 2025 ; les mesures de sécurité et la notification d'incidents s'appliquaient déjà depuis le 18 octobre 2024 sous l'ancienne Loi XXIII ; l'amendement de janvier 2026 réduit l'exclusion par groupe d'entreprises.
• Notification à la Commission : La Commission européenne a émis un avis motivé le 7 mai 2025 pour notification incomplète ; évaluation en cours.
• Étape de conformité : Délai d'enregistrement 30 juin 2024 (échu) ; délai de contrat d'auditeur 31 août 2025 (échu) ; premier audit de cybersécurité dû le 30 juin 2026 — l'obligation restante la plus immédiate.

La Hongrie a achevé la transposition principale avec la Loi LXIX de 2024, en vigueur depuis le 1er janvier 2025. Tous les délais d'enregistrement et de contractualisation d'auditeurs sont échus ; le premier audit de cybersécurité avant le 30 juin 2026 est l'obligation restante la plus immédiate pour les entités dans le champ d'application.

16. Points clés pour les PME en Hongrie

• Les entités de taille moyenne dans les secteurs couverts entrent automatiquement dans le champ d'application ; la banque, l'infrastructure des marchés financiers et l'administration publique sont exclues du champ d'application en Hongrie.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision au niveau du conseil est obligatoire.
• La notification d'incidents suit des délais de 24 h / 72 h / 1 mois.
• Les sanctions financières peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
• La gestion du risque fournisseurs est requise.
• Tous les délais d'enregistrement et de contrat d'auditeur sont échus ; le premier audit de cybersécurité est dû avant le 30 juin 2026 ; les audits doivent être réalisés par des auditeurs inscrits auprès de SZTFH ; les entités doivent s'attribuer une classification de sécurité à trois niveaux (Basic, Significant, High) et payer une redevance annuelle de surveillance cybersécurité.

FAQ : Guide NIS2 pour les PME en Hongrie