NIS2 in Ungheria
Guida all'implementazione e alla conformità NIS2 in Ungheria.
L'Ungheria sta aggiornando il proprio quadro nazionale di cibersicurezza per allinearsi agli obblighi rafforzati introdotti dalla direttiva NIS 2. Il regime rivisto amplia la copertura settoriale, formalizza la responsabilità dell'organo di gestione e rafforza i meccanismi di vigilanza e sanzionatori. Questa guida fornisce una panoramica strutturata dei requisiti di conformità alla NIS 2 in Ungheria per le PMI che operano nei settori coperti.
1. Panoramica rapida dell'applicabilità per le PMI in Ungheria
NIS2 si applica alle PMI in Ungheria?
Sì — a seconda del settore e delle dimensioni.
- Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
- Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
- Si applica alle entità stabilite in Ungheria e, in alcuni casi, ai fornitori di servizi digitali stranieri che operano sul mercato ungherese.
Le PMI dovrebbero valutare la qualificazione nell'ambito del regime nazionale di cybersicurezza dell'Ungheria in base alla classificazione settoriale e alle soglie normative.
2. Panoramica dell'attuazione della NIS2 in Ungheria
L'Ungheria sta attuando la direttiva mediante modifiche alla Legge sulla cybersicurezza degli organi statali e municipali e alla normativa nazionale correlata in materia di cybersicurezza.
Il quadro aggiornato allinea il regime ungherese alla direttiva (UE) 2022/2555 e rafforza gli obblighi relativi alla governance, alla notifica degli incidenti, alla gestione dei rischi e alle sanzioni amministrative.
La normativa integra gli standard della direttiva nel modello di vigilanza consolidato dell'Ungheria per le infrastrutture critiche e i prestatori di servizi digitali.
3. Ambito di applicazione in Ungheria
Entità essenziali
Entità operanti in settori altamente critici:
Entità importanti
Entità operanti negli altri settori elencati:
L'ambito di applicazione dell'Ungheria riflette le categorie settoriali minime previste dalla direttiva, senza un ampliamento strutturale confermato.
4. Soglie dimensionali e applicabilità alle PMI in Ungheria
Si applicano le soglie di base:
- ≥50 dipendenti, e
- ≥€10 million fatturato annuo o totale di bilancio.
Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.
Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.
Le autorità ungheresi mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.
5. Quadro di classificazione delle entità in Ungheria
Le entità sono classificate come:
- Entità essenziali — Soggette a vigilanza proattiva, compresi audit e un monitoraggio strutturato della conformità.
- Entità importanti — Principalmente soggette a vigilanza reattiva attivata da incidenti significativi o da problemi di conformità.
La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.
L'Ungheria segue il modello di vigilanza a due livelli della Direttiva.
6. Requisiti per la gestione del rischio di cibersicurezza in Ungheria
Il regime nazionale dell'Ungheria è allineato ai requisiti di base della Direttiva per la gestione del rischio di cibersicurezza. Le entità rientranti nell'ambito di applicazione devono implementare misure tecniche e organizzative proporzionate che affrontino:
- Analisi dei rischi e protezione dei sistemi
- Rilevamento e risposta agli incidenti
- Continuità operativa e gestione delle crisi
- Controlli dei rischi della catena di fornitura ai sensi della NIS2 in Ungheria
- Acquisizione e sviluppo sicuri dei sistemi ICT
- Controllo degli accessi e gestione delle identità
- Cifratura e misure di protezione crittografiche
- Procedure di gestione delle vulnerabilità
- Formazione del personale sulla cibersicurezza
Le misure devono riflettere gli standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento a ISO/IEC 27001 e alle linee guida ungheresi sulla cibersicurezza.
7. Responsabilità dell'organo di gestione e governance in Ungheria
Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cibersicurezza e supervisionarne l'attuazione.
Nel quadro normativo dell'Ungheria:
- I consigli di amministrazione sono responsabili della vigilanza sulla conformità.
- L'alta direzione deve garantire un'adeguata competenza in materia di cibersicurezza.
- Le sanzioni amministrative possono essere applicate per carenze nella governance.
- La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione in linea con la direttiva.
Le aspettative dell'Ungheria in materia di responsabilità dell'organo di gestione ai sensi della NIS2 innalzano la governance della cybersicurezza a una responsabilità a livello esecutivo.
8. Obblighi di notifica degli incidenti in Ungheria
Definizione di un incidente significativo
Un incidente è rilevante se causa:
- Grave interruzione operativa
- Perdita finanziaria significativa
- Impatto sociale sostanziale
- Effetti transfrontalieri
Tempistiche di segnalazione
| Fase di segnalazione | Scadenza | Autorità |
|---|---|---|
| Preallerta | 24 ore | National Cyber Security Center (NCSC Hungary) |
| Notifica dell'incidente | 72 ore | National Cyber Security Center (NCSC Hungary) |
| Relazione finale | 1 mese | National Cyber Security Center (NCSC Hungary) |
L'Ungheria segue la struttura della Direttiva per le scadenze di notifica NIS2. Le autorità di regolamentazione settoriali possono coordinarsi con il NCSC, ove applicabile.
9. Autorità di vigilanza e modello di applicazione in Ungheria
Autorità principale: National Cyber Security Center (NCSC Hungary).
L'Ungheria adotta un modello di vigilanza centralizzato, supportato da autorità di regolamentazione settoriali ove necessario.
I poteri di vigilanza includono:
- Richieste di documentazione e informazioni
- Audit di sicurezza
- Ispezioni in loco
- Istruzioni vincolanti in materia di conformità
- Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza
Il meccanismo di applicazione è allineato ai requisiti di cooperazione a livello di direttiva.
10. Multe e sanzioni NIS 2 in Ungheria
L'Ungheria applica sanzioni amministrative allineate alla direttiva NIS 2.
Entità essenziali
Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)
Entità importanti
Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)
L'applicazione delle sanzioni NIS 2 in Ungheria può includere anche:
- Ordini vincolanti di porre rimedio
- Identificazione pubblica delle entità non conformi
- Sospensione delle autorizzazioni o delle certificazioni
- Poteri di sospensione dei dirigenti
La responsabilità penale si applica solo ove espressamente prevista dalla legislazione ungherese.
11. Sicurezza della catena di fornitura e dei fornitori secondo la Direttiva NIS2 in Ungheria
Le entità devono gestire l'esposizione ai rischi di cibersicurezza derivanti da terze parti attraverso:
- Valutazioni del rischio dei fornitori
- Disposizioni contrattuali di sicurezza a cascata
- Monitoraggio continuo dei fornitori ICT
- Analisi del rischio di concentrazione
- Mitigazione della propagazione degli incidenti
L'approccio dell'Ungheria è allineato alle aspettative di base della direttiva NIS 2 in materia di gestione del rischio dei fornitori.
12. Obblighi di registrazione e autoidentificazione in Ungheria
Le entità rientranti nell'ambito di applicazione devono:
- Registrarsi presso le autorità competenti
- Fornire i dati identificativi della società
- Indicare la classificazione del settore
- Mantenere aggiornati i contatti per le segnalazioni
Le scadenze procedurali seguono il quadro di attuazione dell'Ungheria. Allo stato attuale della trasposizione, l'Ungheria segue il quadro di riferimento di base della Direttiva NIS2. I dettagli di attuazione nazionali possono precisare obblighi specifici.
L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie previste dalla legge.
13. Interazione con il GDPR e altre leggi in Ungheria
Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.
Le considerazioni sulle sovrapposizioni includono:
- Notifica di violazione dei dati personali entro 72 ore
- Coordinamento delle autorità di controllo
- Indagini parallele in materia di cibersicurezza e protezione dei dati
- Legislazione ungherese settoriale sulla cibersicurezza
Un singolo incidente informatico può far scattare obblighi di notifica in entrambi i regimi.
14. Applicabilità transfrontaliera
Le entità con stabilimento principale in Ungheria sono sottoposte alla vigilanza delle autorità ungheresi per i servizi transfrontalieri.
I fornitori digitali esteri che offrono servizi in Ungheria possono essere soggetti a obblighi nazionali a seconda della struttura di stabilimento.
I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato ungherese.
15. Tempistica di recepimento in Ungheria
- Adozione della Direttiva: 2022
- Modifiche legislative nazionali: 2024–2025
- Entrata in vigore: Con la pubblicazione nazionale
- Notifica alla Commissione europea: Conformemente alle procedure dell'UE
- Traguardo di conformità: Scadenze in linea con la direttiva
La tempistica di recepimento dell'Ungheria è allineata ai requisiti di attuazione dell'UE.
16. Punti chiave per le PMI in Ungheria
- Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
- Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
- La sorveglianza della governance a livello dell'organo di gestione è obbligatoria.
- La notifica degli incidenti segue le scadenze di 24h / 72h / 1 mese.
- Le sanzioni pecuniarie possono arrivare fino a €10 milioni o al 2% del fatturato globale.
- È richiesta la gestione del rischio dei fornitori.
- Una pianificazione anticipata della conformità riduce il rischio di interventi sanzionatori.
FAQ: Guida NIS 2 per le PMI in Ungheria
La NIS2 si applica alle piccole imprese in Ungheria?
Le piccole imprese sono generalmente escluse, salvo designazione specifica o se operano in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali rientrano automaticamente nel campo di applicazione.
Quali sono le sanzioni NIS2 in Ungheria?
Le entità essenziali sono soggette a sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale. Le entità importanti sono soggette a sanzioni fino a 7 milioni di euro o all'1,4% del fatturato annuo mondiale.
Quando entra in vigore la NIS2 in Ungheria?
L'Ungheria sta modificando la propria legislazione nazionale sulla cibersicurezza per allinearsi alla direttiva. L'entrata in vigore segue la pubblicazione della normativa nazionale.
Chi fa rispettare la NIS2 in Ungheria?
Il National Cyber Security Center (NCSC Hungary) funge da autorità di vigilanza principale, coordinandosi con i regolatori settoriali ove applicabile.
Gli amministratori possono essere personalmente responsabili ai sensi della NIS2 in Ungheria?
Gli organi di gestione devono approvare e sovrintendere alle misure di cibersicurezza. Gli strumenti amministrativi di applicazione possono includere, nei casi gravi, poteri di sospensione dei dirigenti.
In cosa la NIS2 differisce dal GDPR in Ungheria?
La NIS2 disciplina la resilienza in materia di cibersicurezza e la gestione del rischio operativo, mentre il GDPR regola la protezione dei dati personali. Entrambi i quadri possono applicarsi a seguito di un incidente informatico.
Cosa costituisce un incidente significativo ai sensi della NIS2 in Ungheria?
Un incidente che provoca una grave interruzione, perdite finanziarie significative, un impatto sociale o conseguenze transfrontaliere in genere soddisfa la soglia di notifica.