NIS 2 Status in Ungarn
Was die Richtlinie fordert, wie Ungarn sie umsetzt, und wo SZTFH und NKI im Bild stehen.
Ueberblick
Die NIS 2 Richtlinie ist die EU Ebene. Sie bindet jeden Mitgliedstaat, auch Ungarn, mit einem einheitlichen Mindestniveau fuer wesentliche und wichtige Einrichtungen. Ungarn muss dieses Niveau in ungarisches Recht ueberfuehren und eine Aufsicht darunter fuehren.
Ungarn setzt NIS 2 vor allem ueber das Gesetz XXIII von 2023 ueber Cybersicherheitszertifizierung und Cybersicherheitsaufsicht (2023. evi XXIII. torveny) um, ergaenzt durch spaetere Regierungsverordnungen. Das Gesetz ist vor der Umsetzungsfrist im Oktober 2024 in Kraft getreten und bildet den Rahmen, in dem die SZTFH heute Aufsicht fuehrt.
Die SZTFH (Szabalyozott Tevekenysegek Felugyeleti Hatosaga, Aufsichtsbehoerde fuer regulierte Taetigkeiten) ist die federfuehrende Aufsicht fuer Cybersicherheitsaufsicht, Zertifizierung und Audits. Das nationale CSIRT ist die NKI (Nemzeti Kibervedelmi Intezet) und sitzt innerhalb der Sonderdienste fuer nationale Sicherheit, organisatorisch unter dem Kabinettsamt des Ministerpraesidenten. Am 7. Mai 2025 hat die EU Kommission Ungarn ein mit Gruenden versehenes Verfahren wegen unvollstaendiger Mitteilung der Umsetzung uebermittelt. Weitere nationale Massnahmen sind also zu erwarten.
EU Richtlinie
Richtlinie (EU) 2022/2555 (NIS 2)
Die EU weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschliesslich der Groessen und Sektorpruefung fuer wesentliche und wichtige Einrichtungen.
EU Durchfuehrung
Durchfuehrungsverordnung (EU) 2024/2690
Technische und methodische Massnahmen fuer Anbieter digitaler Infrastruktur. In Ungarn unmittelbar anwendbar, ohne nationale Umsetzung.
Ungarische Umsetzung
Gesetz XXIII von 2023 ueber Cybersicherheitszertifizierung und Cybersicherheitsaufsicht
Die ungarische NIS 2 Umsetzung. Regierungsverordnungen und SZTFH Leitlinien fuellen den operativen Detailrahmen. Artikel 32 Absatz 2 des Gesetzes nennt die NIS 2 Richtlinie als das EU Instrument, dem es dient. Das mit Gruenden versehene Verfahren der EU Kommission vom 7. Mai 2025 zeigt, dass die vollstaendige Umsetzung noch nicht in Bruessel notifiziert ist.
Gesetz XXIII von 2023
Bringt die NIS 2 Pflichten in ungarisches Recht. Definiert die Cybersicherheitsaufsicht, Zertifizierung, Auditpflichten und Aufsichtsgebuehren. Der operative Detail wird ueber Regierungsverordnungen und SZTFH Leitlinien geregelt. Das Gesetz ist 2023 in Kraft getreten und wurde stufenweise wirksam.
SZTFH als Aufsicht, NKI als CSIRT
Die SZTFH fuehrt Aufsicht, Zertifizierung, Audits und Gebuehren fuer betroffene Einrichtungen. Die NKI ist das nationale CSIRT und arbeitet innerhalb der Sonderdienste fuer nationale Sicherheit unter dem Kabinettsamt des Ministerpraesidenten. Aufsicht und Vorfallreaktion liegen in zwei verschiedenen Institutionen, anders als in Frankreich oder Deutschland.
Registrierung und Meldung
Betroffene Einrichtungen stufen sich selbst ein und registrieren sich bei der SZTFH. Erhebliche Sicherheitsvorfaelle folgen der Richtlinie. Fruehwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat. Konkrete ungarische Portalnamen und exakte Registrierungsfristen ergeben sich aus der jeweils aktuellen SZTFH Leitlinie und sollten dort gegengeprueft werden.
In Ungarn gilt ungarisches Recht
Aktivitaeten auf ungarischem Staatsgebiet folgen der ungarischen Umsetzung. Eine deutsche Muttergesellschaft mit ungarischer Tochter liest fuer diese Tochter das Gesetz XXIII von 2023, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Aufsicht und Sanktionen stehen aber im ungarischen Recht.
Ungarn darf nicht unter das EU Niveau fallen
Die Richtlinie ist eine Mindestharmonisierung. Ungarn darf strenger werden, und ist es bereits ueber die zusaetzliche Zertifizierung und Auditpflicht durch die SZTFH. Ungarn darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten fuer wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Haftung des Leitungsorgans. Genau das prueft das Vertragsverletzungsverfahren vom 7. Mai 2025.
SZTFH
Federfuehrende zustaendige Behoerde fuer die Cybersicherheitsaufsicht nach Gesetz XXIII von 2023. Fuehrt Aufsicht, Audits, Zertifizierung und das Gebuehrenregime. Veroeffentlicht die operativen ungarischen Leitlinien fuer betroffene Einrichtungen.
NKI
Nationales CSIRT. Arbeitet innerhalb der Sonderdienste fuer nationale Sicherheit unter dem Kabinettsamt des Ministerpraesidenten. Nimmt Vorfallmeldungen entgegen, koordiniert die technische Reaktion und ist die ungarische Kontaktstelle in der EU CSIRT Kooperation. Erreichbar unter csirt@nki.gov.hu.
ENISA
Die EU Cybersicherheitsagentur. Veroeffentlicht Leitlinien, betreibt die europaeische Schwachstellendatenbank und koordiniert grenzueberschreitend. Keine Aufsicht fuer ungarische Einrichtungen. Die liegt bei der SZTFH.
Die deutsche Mutter hat BSIG schon abgedeckt, dann ist die ungarische Tochter ebenfalls geregelt.
Die Richtlinienpflichten sind identisch. Aufsicht, Verfahren und Sanktionen stehen aber im ungarischen Recht. Eine ungarische Tochter registriert sich bei der SZTFH, meldet Vorfaelle ueber die NKI und folgt den Fristen aus Gesetz XXIII von 2023. Eine BSIG Freigabe in Bonn ersetzt die ungarische Registrierung nicht.
Ungarn hat die Frist im Oktober 2024 verpasst, also gilt noch nichts.
Das Gesetz XXIII von 2023 ist bereits vor der Umsetzungsfrist in Kraft getreten. Die SZTFH Aufsicht laeuft. Das mit Gruenden versehene Verfahren der EU Kommission vom 7. Mai 2025 betrifft Luecken in der vollstaendigen Umsetzung, nicht die Frage, ob die Aufsicht ueberhaupt existiert. Einrichtungen koennen nicht auf weitere Gesetze warten.
Nur die elf CER Sektoren loesen in Ungarn NIS 2 aus.
Die Groessen und Sektorpruefung folgt den Anhaengen I und II der NIS 2 Richtlinie, insgesamt achtzehn Sektoren. CER hat einen engeren Anwendungsbereich und steht in einem eigenen nationalen Rahmen. Das Verwechseln beider Richtlinien ist ein haeufiger Grund fuer falsche Selbsteinstufungen.
Die meisten ungarischen Betreiber, die uns begegnen, denken, NIS 2 starte erst mit einem neuen Sammelgesetz. Das stimmt nicht. Die SZTFH Aufsicht nach Gesetz XXIII von 2023 ist bereits aktiv, Audits finden statt, und die Freigabe durch das Leitungsorgan ist schon heute eine Frage, die die SZTFH stellen kann. Das mit Gruenden versehene Verfahren der EU Kommission vom 7. Mai 2025 erhoeht den politischen Druck, verschiebt aber nicht den Beginn der Aufsicht.
Der praktische Schritt ist der gleiche wie ueberall in der EU. Anwendbarkeit gegen die Richtlinie pruefen, sich bei der nationalen Aufsicht registrieren (hier SZTFH), die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung ueber die NKI, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Sektorale Regulatoren bleiben dort zustaendig, wo Lex specialis greift, im Finanzsektor insbesondere die MNB.
Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt fuer eine ungarische Tochter unter Gesetz XXIII von 2023, eine deutsche Mutter unter BSIG und eine franzoesische Schwester unter Ordonnance n. 2024-1093. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.
Fuer den ungarischen Scope startet man mit der Anwendbarkeitspruefung, dann Meldetakt mit der NKI, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo die SZTFH Sektorleitlinien veroeffentlicht, verlinken wir sie. Wir kopieren sie nicht.
- Richtlinie (EU) 2022/2555 (NIS 2), EUR-Lex
- Durchfuehrungsverordnung (EU) 2024/2690
- Gesetz XXIII von 2023 ueber Cybersicherheitszertifizierung und Cybersicherheitsaufsicht (2023. evi XXIII. torveny), Nemzeti Jogszabalytar
- SZTFH (Szabalyozott Tevekenysegek Felugyeleti Hatosaga), offizielle Seite, sztfh.hu
- NKI (Nemzeti Kibervedelmi Intezet), nationales CSIRT, nki.gov.hu
- Europaeische Kommission, NIS 2 Umsetzungsstand Ungarn, mit Gruenden versehenes Verfahren vom 7. Mai 2025
- MNB (Magyar Nemzeti Bank), zustaendige Behoerde fuer DORA im Finanzsektor