NIS2 en Hongrie

1. Aperçu rapide de l'applicabilité pour les PME en Hongrie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité pour les PME en Hongrie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Hongrie et, dans certains cas, aux fournisseurs de services numériques étrangers desservant le marché hongrois.

Les PME doivent évaluer leur éligibilité au titre du régime national de cybersécurité de la Hongrie en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de la NIS2 en Hongrie

La Hongrie met en œuvre la directive au moyen de modifications de la loi sur la cybersécurité des organismes de l'État et des collectivités locales et de la législation nationale connexe en matière de cybersécurité.

Le cadre actualisé aligne le régime hongrois sur la directive (UE) 2022/2555 et renforce les obligations relatives à la gouvernance, à la notification des incidents, à la gestion des risques et aux sanctions administratives.

La législation intègre les normes de la directive dans le modèle hongrois de supervision établi pour les infrastructures critiques et les fournisseurs de services numériques.

3. Champ d’application en Hongrie

Le champ d’application de la Hongrie reflète les catégories sectorielles minimales de la directive, sans extension structurelle confirmée.

4. Seuils de taille et applicabilité aux PME en Hongrie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui satisfont aux deux critères au sein des secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et micro-entreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités hongroises conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l’inclusion.

5. Cadre de classification des entités en Hongrie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des audits et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition au risque justifient une supervision renforcée.

La Hongrie applique le modèle de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques de cybersécurité en Hongrie

Le régime national de la Hongrie s'aligne sur le socle de la Directive en matière de gestion des risques de cybersécurité. Les entités couvertes doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques liés à la chaîne d'approvisionnement NIS2 en Hongrie
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et les orientations hongroises en matière de cybersécurité est encouragé.

7. Responsabilité de la direction et gouvernance en Hongrie

Les organes de direction doivent approuver formellement les mesures de gestion des risques en cybersécurité et en superviser la mise en œuvre.

Dans le cadre hongrois :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir des compétences suffisantes en cybersécurité.
• Des sanctions administratives peuvent viser des manquements de gouvernance.
• La suspension temporaire des fonctions dirigeantes peut être prévue dans le cadre de mécanismes d'application conformes à la directive.

Les attentes de la NIS2 en matière de responsabilité de la direction en Hongrie élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents en Hongrie

9. Autorités de supervision et modèle d'application en Hongrie

Autorité principale : National Cyber Security Center (NCSC Hungary).

La Hongrie met en œuvre un modèle de supervision centralisé, appuyé par des régulateurs sectoriels le cas échéant.

Les pouvoirs de supervision comprennent :

• Demandes de documents et d'informations
• Audits de sécurité
• Inspections sur place
• Instructions contraignantes de mise en conformité
• Participation aux mécanismes de coordination de l'UE en matière de cybersécurité

La structure d'application est conforme aux exigences de coopération prévues par la directive.

10. Amendes et sanctions NIS2 en Hongrie

La Hongrie applique des sanctions administratives alignées sur la directive.

L'application des amendes NIS2 en Hongrie peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

La responsabilité pénale ne s'applique que lorsqu'elle est expressément prévue par la législation hongroise.

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs dans le cadre de la NIS2 en Hongrie

Les entités doivent gérer l'exposition aux risques de cybersécurité des tiers au moyen de :

• Évaluations des risques fournisseurs
• Dispositions contractuelles de répercussion (flow-down) des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de la Hongrie s'aligne sur les attentes de base de la directive en matière de gestion des risques liés aux fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Hongrie

Les entités entrant dans le champ d'application doivent :

• S'enregistrer auprès des autorités compétentes
• Fournir les informations d'identification de l'entreprise
• Indiquer leur classification sectorielle
• Maintenir à jour les points de contact pour les notifications

Les délais procéduraux suivent le cadre de mise en œuvre hongrois. À ce stade de la transposition, la Hongrie suit le cadre de base de la directive NIS 2. Les détails de mise en œuvre nationaux peuvent affiner des obligations spécifiques.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils prévus par la loi.

13. Interaction avec le RGPD et d'autres lois en Hongrie

Le Règlement général sur la protection des données continue de s'appliquer concomitamment.

Les considérations de chevauchement comprennent :

• Notification des violations de données à caractère personnel dans les 72 heures
• Coordination des autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Législation hongroise sectorielle en matière de cybersécurité

Un seul incident de cybersécurité peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités ayant leur établissement principal en Hongrie sont supervisées par les autorités hongroises pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Hongrie peuvent être soumis à des obligations nationales selon la structure de leur établissement.

Les exigences en matière de représentation suivent les normes de la directive pour les prestataires non-UE desservant le marché hongrois.

15. Calendrier de mise en œuvre en Hongrie

• Adoption de la Directive : 2022
• Modifications législatives nationales : 2024–2025
• Entrée en vigueur : Dès la publication nationale
• Notification à la Commission : Conformément aux procédures de l’UE
• Jalon de conformité : Échéances alignées sur la directive

Le calendrier de transposition de la Hongrie est aligné sur les exigences de mise en œuvre de l’UE.

16. Points clés pour les PME en Hongrie

• Les entités de taille moyenne des secteurs couverts relèvent automatiquement du champ d’application.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• Une supervision de la gouvernance au niveau du conseil d’administration est obligatoire.
• La notification des incidents suit des délais de 24 h / 72 h / 1 mois.
• Les sanctions financières peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
• La gestion des risques liés aux fournisseurs est requise.
• Une planification précoce de la conformité réduit l’exposition aux contrôles et aux sanctions.

FAQ : Guide NIS2 pour les PME en Hongrie