NIS 2 Status Ungarn

NIS 2 Status in Ungarn

Was die Richtlinie fordert, wie Ungarn sie umsetzt, und wo SZTFH und NKI im Bild stehen.

Simon OrzelSimon Orzel·

Ueberblick

Die NIS 2 Richtlinie ist die EU Ebene. Sie bindet jeden Mitgliedstaat, auch Ungarn, mit einem einheitlichen Mindestniveau fuer wesentliche und wichtige Einrichtungen. Ungarn muss dieses Niveau in ungarisches Recht ueberfuehren und eine Aufsicht darunter fuehren.

Ungarn setzt NIS 2 vor allem ueber das Gesetz XXIII von 2023 ueber Cybersicherheitszertifizierung und Cybersicherheitsaufsicht (2023. evi XXIII. torveny) um, ergaenzt durch spaetere Regierungsverordnungen. Das Gesetz ist vor der Umsetzungsfrist im Oktober 2024 in Kraft getreten und bildet den Rahmen, in dem die SZTFH heute Aufsicht fuehrt.

Die SZTFH (Szabalyozott Tevekenysegek Felugyeleti Hatosaga, Aufsichtsbehoerde fuer regulierte Taetigkeiten) ist die federfuehrende Aufsicht fuer Cybersicherheitsaufsicht, Zertifizierung und Audits. Das nationale CSIRT ist die NKI (Nemzeti Kibervedelmi Intezet) und sitzt innerhalb der Sonderdienste fuer nationale Sicherheit, organisatorisch unter dem Kabinettsamt des Ministerpraesidenten. Am 7. Mai 2025 hat die EU Kommission Ungarn ein mit Gruenden versehenes Verfahren wegen unvollstaendiger Mitteilung der Umsetzung uebermittelt. Weitere nationale Massnahmen sind also zu erwarten.

Wo die Regeln stehen
Drei Ebenen, die jeder auseinanderhalten muss, der die ungarische NIS 2 Lage liest.

EU Richtlinie

Richtlinie (EU) 2022/2555 (NIS 2)

Die EU weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschliesslich der Groessen und Sektorpruefung fuer wesentliche und wichtige Einrichtungen.

EU Durchfuehrung

Durchfuehrungsverordnung (EU) 2024/2690

Technische und methodische Massnahmen fuer Anbieter digitaler Infrastruktur. In Ungarn unmittelbar anwendbar, ohne nationale Umsetzung.

Ungarische Umsetzung

Gesetz XXIII von 2023 ueber Cybersicherheitszertifizierung und Cybersicherheitsaufsicht

Die ungarische NIS 2 Umsetzung. Regierungsverordnungen und SZTFH Leitlinien fuellen den operativen Detailrahmen. Artikel 32 Absatz 2 des Gesetzes nennt die NIS 2 Richtlinie als das EU Instrument, dem es dient. Das mit Gruenden versehene Verfahren der EU Kommission vom 7. Mai 2025 zeigt, dass die vollstaendige Umsetzung noch nicht in Bruessel notifiziert ist.

Drei Punkte, die man kennen muss
Was sich fuer Einrichtungen mit Aktivitaet in Ungarn aendert.
Umsetzung

Gesetz XXIII von 2023

Bringt die NIS 2 Pflichten in ungarisches Recht. Definiert die Cybersicherheitsaufsicht, Zertifizierung, Auditpflichten und Aufsichtsgebuehren. Der operative Detail wird ueber Regierungsverordnungen und SZTFH Leitlinien geregelt. Das Gesetz ist 2023 in Kraft getreten und wurde stufenweise wirksam.

Aufsicht

SZTFH als Aufsicht, NKI als CSIRT

Die SZTFH fuehrt Aufsicht, Zertifizierung, Audits und Gebuehren fuer betroffene Einrichtungen. Die NKI ist das nationale CSIRT und arbeitet innerhalb der Sonderdienste fuer nationale Sicherheit unter dem Kabinettsamt des Ministerpraesidenten. Aufsicht und Vorfallreaktion liegen in zwei verschiedenen Institutionen, anders als in Frankreich oder Deutschland.

Fristen

Registrierung und Meldung

Betroffene Einrichtungen stufen sich selbst ein und registrieren sich bei der SZTFH. Erhebliche Sicherheitsvorfaelle folgen der Richtlinie. Fruehwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat. Konkrete ungarische Portalnamen und exakte Registrierungsfristen ergeben sich aus der jeweils aktuellen SZTFH Leitlinie und sollten dort gegengeprueft werden.

Zwei Prinzipien, die jeden Grenzfall klaeren
Vor jedem ungarischen Kommentar zu NIS 2 lesen.

In Ungarn gilt ungarisches Recht

Aktivitaeten auf ungarischem Staatsgebiet folgen der ungarischen Umsetzung. Eine deutsche Muttergesellschaft mit ungarischer Tochter liest fuer diese Tochter das Gesetz XXIII von 2023, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Aufsicht und Sanktionen stehen aber im ungarischen Recht.

Ungarn darf nicht unter das EU Niveau fallen

Die Richtlinie ist eine Mindestharmonisierung. Ungarn darf strenger werden, und ist es bereits ueber die zusaetzliche Zertifizierung und Auditpflicht durch die SZTFH. Ungarn darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten fuer wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Haftung des Leitungsorgans. Genau das prueft das Vertragsverletzungsverfahren vom 7. Mai 2025.

Wer macht was in Ungarn
Drei Institutionen, die in fast jeder NIS 2 Frage auftauchen.
HU

SZTFH

Federfuehrende zustaendige Behoerde fuer die Cybersicherheitsaufsicht nach Gesetz XXIII von 2023. Fuehrt Aufsicht, Audits, Zertifizierung und das Gebuehrenregime. Veroeffentlicht die operativen ungarischen Leitlinien fuer betroffene Einrichtungen.

HU

NKI

Nationales CSIRT. Arbeitet innerhalb der Sonderdienste fuer nationale Sicherheit unter dem Kabinettsamt des Ministerpraesidenten. Nimmt Vorfallmeldungen entgegen, koordiniert die technische Reaktion und ist die ungarische Kontaktstelle in der EU CSIRT Kooperation. Erreichbar unter csirt@nki.gov.hu.

EU

ENISA

Die EU Cybersicherheitsagentur. Veroeffentlicht Leitlinien, betreibt die europaeische Schwachstellendatenbank und koordiniert grenzueberschreitend. Keine Aufsicht fuer ungarische Einrichtungen. Die liegt bei der SZTFH.

Fallstricke
Fehler, die wir sehen, wenn ungarische Einrichtungen NIS 2 zum ersten Mal lesen.
  • Die deutsche Mutter hat BSIG schon abgedeckt, dann ist die ungarische Tochter ebenfalls geregelt.

    Die Richtlinienpflichten sind identisch. Aufsicht, Verfahren und Sanktionen stehen aber im ungarischen Recht. Eine ungarische Tochter registriert sich bei der SZTFH, meldet Vorfaelle ueber die NKI und folgt den Fristen aus Gesetz XXIII von 2023. Eine BSIG Freigabe in Bonn ersetzt die ungarische Registrierung nicht.

  • Ungarn hat die Frist im Oktober 2024 verpasst, also gilt noch nichts.

    Das Gesetz XXIII von 2023 ist bereits vor der Umsetzungsfrist in Kraft getreten. Die SZTFH Aufsicht laeuft. Das mit Gruenden versehene Verfahren der EU Kommission vom 7. Mai 2025 betrifft Luecken in der vollstaendigen Umsetzung, nicht die Frage, ob die Aufsicht ueberhaupt existiert. Einrichtungen koennen nicht auf weitere Gesetze warten.

  • Nur die elf CER Sektoren loesen in Ungarn NIS 2 aus.

    Die Groessen und Sektorpruefung folgt den Anhaengen I und II der NIS 2 Richtlinie, insgesamt achtzehn Sektoren. CER hat einen engeren Anwendungsbereich und steht in einem eigenen nationalen Rahmen. Das Verwechseln beider Richtlinien ist ein haeufiger Grund fuer falsche Selbsteinstufungen.

Aus der Praxis

Die meisten ungarischen Betreiber, die uns begegnen, denken, NIS 2 starte erst mit einem neuen Sammelgesetz. Das stimmt nicht. Die SZTFH Aufsicht nach Gesetz XXIII von 2023 ist bereits aktiv, Audits finden statt, und die Freigabe durch das Leitungsorgan ist schon heute eine Frage, die die SZTFH stellen kann. Das mit Gruenden versehene Verfahren der EU Kommission vom 7. Mai 2025 erhoeht den politischen Druck, verschiebt aber nicht den Beginn der Aufsicht.

Der praktische Schritt ist der gleiche wie ueberall in der EU. Anwendbarkeit gegen die Richtlinie pruefen, sich bei der nationalen Aufsicht registrieren (hier SZTFH), die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung ueber die NKI, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Sektorale Regulatoren bleiben dort zustaendig, wo Lex specialis greift, im Finanzsektor insbesondere die MNB.

Was die Plattform liefert

Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt fuer eine ungarische Tochter unter Gesetz XXIII von 2023, eine deutsche Mutter unter BSIG und eine franzoesische Schwester unter Ordonnance n. 2024-1093. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.

Fuer den ungarischen Scope startet man mit der Anwendbarkeitspruefung, dann Meldetakt mit der NKI, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo die SZTFH Sektorleitlinien veroeffentlicht, verlinken wir sie. Wir kopieren sie nicht.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), EUR-Lex
  • Durchfuehrungsverordnung (EU) 2024/2690
  • Gesetz XXIII von 2023 ueber Cybersicherheitszertifizierung und Cybersicherheitsaufsicht (2023. evi XXIII. torveny), Nemzeti Jogszabalytar
  • SZTFH (Szabalyozott Tevekenysegek Felugyeleti Hatosaga), offizielle Seite, sztfh.hu
  • NKI (Nemzeti Kibervedelmi Intezet), nationales CSIRT, nki.gov.hu
  • Europaeische Kommission, NIS 2 Umsetzungsstand Ungarn, mit Gruenden versehenes Verfahren vom 7. Mai 2025
  • MNB (Magyar Nemzeti Bank), zustaendige Behoerde fuer DORA im Finanzsektor
Ungarischen Scope in unter fuenf Minuten klaeren
Die Anwendbarkeitspruefung wendet den Groessen und Sektorentest der Richtlinie an. Wenn die ungarische Tochter im Scope ist, ist der naechste Schritt die Registrierung bei der SZTFH und ein Vorfallkontakt bei der NKI.