NIS2 in Ungheria

1. Panoramica rapida dell'applicabilità per le PMI in Ungheria

NIS2 si applica alle PMI in Ungheria?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Ungheria e, in alcuni casi, ai fornitori di servizi digitali stranieri che operano sul mercato ungherese.

Le PMI dovrebbero valutare la qualificazione nell'ambito del regime nazionale di cybersicurezza dell'Ungheria in base alla classificazione settoriale e alle soglie normative.

2. Panoramica dell'attuazione della NIS2 in Ungheria

L'Ungheria ha recepito la NIS2 con la Legge LXIX del 2024 sulla cibersicurezza dell'Ungheria, adottata il 20 dicembre 2024 ed entrata in vigore il 1° gennaio 2025. La nuova legge è un testo autonomo organico che sostituisce sia la Legge XXIII del 2023 sia la Legge L del 2013, consolidando il quadro di cibersicurezza dell'Ungheria in un unico strumento.

Il quadro nazionale ungherese presenta quattro deviazioni rilevanti dal quadro base della Direttiva: banche, infrastrutture del mercato finanziario e pubblica amministrazione sono escluse dall'ambito; acqua potabile e acque reflue sono unificate in un unico settore dei servizi idrici; le entità sono assegnate a una classificazione di sicurezza a tre livelli (Basic, Significant, High) basata su NIST SP 800-53; e le entità nell'ambito devono sottoporsi a un audit esterno biennale di cibersicurezza svolto esclusivamente da revisori iscritti presso SZTFH.

Il 7 maggio 2025, la Commissione europea ha emesso un parere motivato contro l'Ungheria per notifica incompleta delle misure nazionali di recepimento. La valutazione della Commissione è ancora in corso.

3. Ambito di applicazione in Ungheria

L'ambito di applicazione dell'Ungheria si discosta dal quadro base della Direttiva escludendo banche, infrastrutture del mercato finanziario e pubblica amministrazione, e unificando acqua potabile e acque reflue in un unico settore dei servizi idrici. Nel settore manifatturiero sono aggiunti il trasporto pubblico (fabbricazione di veicoli) e la produzione di cemento e gesso.

4. Soglie dimensionali e applicabilità alle PMI in Ungheria

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito. Una modifica del gennaio 2026 esclude dall'ambito le imprese che si qualificano come grandi imprese unicamente in virtù della struttura di gruppo (senza soddisfare in modo indipendente i criteri di media impresa).

Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità ungheresi mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.

5. Quadro di classificazione delle entità in Ungheria

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, compresi audit e un monitoraggio strutturato della conformità.
• Entità importanti — Principalmente soggette a vigilanza reattiva attivata da incidenti significativi o da problemi di conformità.

La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

L'Ungheria segue il modello di vigilanza a due livelli della Direttiva.

6. Requisiti per la gestione del rischio di cibersicurezza in Ungheria

Il regime nazionale dell'Ungheria è allineato ai requisiti di base della Direttiva per la gestione del rischio di cibersicurezza. Le entità rientranti nell'ambito di applicazione devono implementare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura ai sensi della NIS2 in Ungheria
• Acquisizione e sviluppo sicuri dei sistemi ICT
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di protezione crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cibersicurezza

Le misure devono riflettere gli standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento a ISO/IEC 27001 e alle linee guida ungheresi sulla cibersicurezza.

7. Responsabilità dell'organo di gestione e governance in Ungheria

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cibersicurezza e supervisionarne l'attuazione.

Nel quadro normativo dell'Ungheria:

• I consigli sono responsabili della supervisione della conformità, inclusa l'approvazione e la supervisione dell'audit esterno biennale di cibersicurezza.
• L'alta direzione deve garantire una competenza sufficiente in materia di cibersicurezza.
• Le sanzioni amministrative possono affrontare le carenze di governance, incluse multe personali separate ai membri della direzione ai sensi della Legge sulla cibersicurezza, oltre alle sanzioni a livello aziendale.
• L'autorità di vigilanza può disporre la sospensione temporanea delle funzioni dirigenziali ai sensi dei meccanismi di applicazione conformi alla Direttiva.

Le aspettative dell'Ungheria in materia di responsabilità dell'organo di gestione ai sensi della NIS2 innalzano la governance della cybersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Ungheria

9. Autorità di vigilanza e modello di applicazione in Ungheria

Autorità di regolamentazione principale: SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága — Autorità di vigilanza per le attività regolamentate). NKI/NCSC Hungary svolge il ruolo di CSIRT nazionale.

L'Ungheria adotta un modello di vigilanza centralizzato sotto SZTFH, che gestisce la registrazione, il registro dei revisori, i contributi di vigilanza e l'applicazione. Autorità settoriali specifiche — tra cui la Banca Nazionale dell'Ungheria e il Ministero della Difesa — vigilano sui settori designati.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza — condotti esclusivamente da revisori iscritti presso SZTFH
• Ispezioni in loco
• Istruzioni vincolanti di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

Il meccanismo di applicazione è allineato ai requisiti di cooperazione a livello di direttiva.

10. Multe e sanzioni NIS 2 in Ungheria

L'Ungheria applica sanzioni amministrative allineate alla direttiva NIS 2.

L'applicazione delle sanzioni NIS 2 in Ungheria può includere anche:

• Ordini vincolanti di porre rimedio
• Identificazione pubblica delle entità non conformi
• Sospensione delle autorizzazioni o delle certificazioni
• Poteri di sospensione dei dirigenti

La responsabilità penale si applica solo ove espressamente prevista dalla legislazione ungherese.

11. Sicurezza della catena di fornitura e dei fornitori secondo la Direttiva NIS2 in Ungheria

Le entità devono gestire l'esposizione ai rischi di cibersicurezza derivanti da terze parti attraverso:

• Valutazioni del rischio dei fornitori
• Disposizioni contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio dell'Ungheria è allineato alle aspettative di base della direttiva NIS 2 in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e autoidentificazione in Ungheria

Le entità rientranti nell'ambito di applicazione devono:

• Registrarsi presso SZTFH entro 30 giorni dall'assoggettamento alla legge; le entità precedenti al 2025 dovevano registrarsi entro il 30 giugno 2024 (scaduto); la lista del paese di servizio UE era dovuta entro il 15 febbraio 2025 (scaduta).
• Fornire i dati di identificazione aziendale
• Dichiarare la classificazione settoriale e il livello di sicurezza assegnato (Basic, Significant o High)
• Mantenere aggiornati i contatti per la notifica e comunicare a SZTFH eventuali modifiche sostanziali entro due settimane

Le entità nell'ambito devono contrattualizzare un revisore di cibersicurezza iscritto presso SZTFH entro 120 giorni (le entità precedenti al 2025 avevano tempo fino al 31 agosto 2025 — scaduto). Il primo audit di cibersicurezza deve essere completato entro il 30 giugno 2026 per le entità precedenti al 2025, o entro due anni dalla registrazione per le nuove entità. Si applica un contributo annuale di vigilanza sulla cibersicurezza.

L'autoidentificazione è obbligatoria qualora le entità raggiungano le soglie di legge. Ogni entità deve determinare la propria classificazione di sicurezza a tre livelli (Basic, Significant o High) secondo NIST SP 800-53 quale condizione preliminare per l'incarico al revisore e per l'attuazione dei controlli di sicurezza corrispondenti.

13. Interazione con il GDPR e altre leggi in Ungheria

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in parallelo.

Le considerazioni sulle sovrapposizioni includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento delle autorità di controllo
• Indagini parallele in materia di cibersicurezza e protezione dei dati
• Legislazione ungherese settoriale sulla cibersicurezza

Un singolo incidente informatico può far scattare obblighi di notifica in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Ungheria sono sottoposte alla vigilanza delle autorità ungheresi per i servizi transfrontalieri.

I fornitori digitali esteri che offrono servizi in Ungheria possono essere soggetti a obblighi nazionali a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori extra-UE che servono il mercato ungherese.

15. Tempistica di recepimento in Ungheria

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: Legge LXIX del 2024 adottata il 20 dicembre 2024, che abroga la Legge XXIII del 2023 e la Legge L del 2013; integrata dal Decreto Governativo 418/2024 (XII.23.) e dal decreto sulla procedura di audit del 31 gennaio 2025.
• Entrata in vigore: 1° gennaio 2025; le misure di sicurezza e la notifica degli incidenti si applicavano già dal 18 ottobre 2024 ai sensi della precedente Legge XXIII; la modifica del gennaio 2026 restringe l'esclusione per gruppo aziendale.
• Notifica alla Commissione: La Commissione europea ha emesso un parere motivato il 7 maggio 2025 per notifica incompleta; valutazione in corso.
• Tappa di conformità: Termine di registrazione 30 giugno 2024 (scaduto); termine per il contratto del revisore 31 agosto 2025 (scaduto); primo audit di cibersicurezza dovuto entro il 30 giugno 2026 — l'obbligo residuo più imminente.

L'Ungheria ha completato il recepimento principale con la Legge LXIX del 2024, in vigore dal 1° gennaio 2025. Tutti i termini di registrazione e di contrattualizzazione del revisore sono scaduti; il primo audit di cibersicurezza entro il 30 giugno 2026 è l'obbligo residuo più imminente per le entità nell'ambito.

16. Punti chiave per le PMI in Ungheria

• Le entità medie nei settori coperti rientrano automaticamente nell'ambito; banche, infrastrutture del mercato finanziario e pubblica amministrazione sono escluse dall'ambito ungherese.
• Le piccole entità possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione a livello di consiglio è obbligatoria.
• La notifica degli incidenti segue scadenze di 24h / 72h / 1 mese.
• Le sanzioni finanziarie possono raggiungere 10 milioni di euro o il 2% del fatturato globale.
• La gestione del rischio fornitori è obbligatoria.
• Tutti i termini di registrazione e di contratto del revisore sono scaduti; il primo audit di cibersicurezza è dovuto entro il 30 giugno 2026; gli audit devono essere svolti da revisori iscritti presso SZTFH; le entità devono auto-assegnarsi a una classificazione di sicurezza a tre livelli (Basic, Significant, High) e versare un contributo annuale di vigilanza sulla cibersicurezza.

FAQ: Guida NIS 2 per le PMI in Ungheria