NIS 2 in Ungarn: Eine neue Ära der Cybersicherheits-Compliance

Nach den weitreichenden Auswirkungen der DSGVO und der wachsenden Bedeutung von ESG ist ein neues europäisches Akronym in den Fokus gerückt: NIS 2. Die Richtlinie (EU) 2022/2555 („NIS 2-Richtlinie“) zielt darauf ab, die Cybersicherheitsanforderungen in der gesamten EU zu harmonisieren. Ungarn hat die Richtlinie bereits umgesetzt: zunächst durch das Gesetz XXIII von 2023 und anschließend durch das aktuelle Gesetz LXIX von 2024 über Cybersicherheit („Cybersicherheitsgesetz“).

Ziele von NIS 2

Die NIS 2-Richtlinie und das ungarische Cybersicherheitsgesetz verfolgen ein gemeinsames Ziel: die Kontinuität wesentlicher Dienstleistungen sicherzustellen und die Resilienz kritischer Sektoren gegenüber Cyberbedrohungen zu stärken. Dies markiert einen bedeutenden Wandel: Cybersicherheit ist nicht mehr nur eine technische Angelegenheit, sondern ein regulatorisches Compliance-Thema.

Anwendungsbereich

Der Anwendungsbereich von NIS 2 ist breiter als viele erwarten. Er erstreckt sich über staatliche Institutionen und IT-Anbieter hinaus und betrifft auch private Unternehmen:

  • Verteidigungsrelevante Unternehmen sind unabhängig von ihrer Größe automatisch eingeschlossen.
  • Mittelgroße und große Unternehmen in den im Anhang des Cybersicherheitsgesetzes aufgeführten Sektoren, z. B. pharmazeutischer Großhandel, Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur und andere kritische Infrastrukturen.

Das bedeutet, dass Unternehmen in traditionellen Branchen dem neuen Cybersicherheitsregime unterliegen können, auch wenn sie nicht primär technologieorientiert sind.

Wichtige Compliance-Verpflichtungen

Betroffene Organisationen müssen sich zunächst bei der zuständigen Aufsichtsbehörde registrieren. In den meisten Fällen ist dies die Aufsichtsbehörde für regulierte Tätigkeiten (SZTFH), in bestimmten Fällen jedoch die nationale oder verteidigungsbezogene Cybersicherheitsbehörde. Die Registrierung ist obligatorisch: sie ist der erste Schritt zur Compliance.

Nach der Registrierung müssen Unternehmen einem Cybersicherheitsaudit unterzogen werden, durchgeführt von einem Auditor aus dem SZTFH-Register. Dieses Audit muss alle zwei Jahre wiederholt werden.

Fristen für bereits bestehende Unternehmen

Für Unternehmen, die vor 2025 tätig sind, gelten Übergangsfristen:

  • 31. August 2025: Abschluss einer Vereinbarung mit einem registrierten Auditor.
  • 30. Juni 2026: Durchführung des ersten Cybersicherheitsaudits.

Diese Fristen sind verbindlich und unterscheiden sich von der allgemeinen Regel, die das erste Audit innerhalb von zwei Jahren nach Registrierung vorschreibt.

Praktische Herausforderungen

Die doppelte Anforderung von Registrierung und Audit bringt mehrere praktische Herausforderungen mit sich:

  • Timing: Die Registrierung muss abgeschlossen sein, bevor ein Auditor beauftragt wird.
  • Komplexität: Die Feststellung, ob ein Unternehmen unter NIS 2 fällt, erfordert eine sorgfältige Analyse der Anhänge des Cybersicherheitsgesetzes, der Unternehmensgröße und der Art der Tätigkeiten.
  • Fortlaufende Compliance: Die zweijährliche Auditpflicht macht Cybersicherheit zu einer wiederkehrenden Compliance-Aufgabe, vergleichbar mit Finanzprüfungen oder Datenschutz-Folgenabschätzungen.

Risiken bei Nicht-Compliance

Die Nichteinhaltung von Registrierungs- oder Auditpflichten kann regulatorische Sanktionen, Reputationsschäden und eine höhere Anfälligkeit für Cybervorfälle nach sich ziehen. Wie bei der DSGVO ist mit einer strikten Durchsetzung zu rechnen.

Vorbereitung von Unternehmen

Mit der ersten kritischen Frist im August 2025 sollten Unternehmen jetzt handeln:

  1. Anwendbarkeit prüfen: Feststellen, ob die Aktivitäten des Unternehmens unter die Anhänge des Cybersicherheitsgesetzes fallen.
  2. Rechtzeitig registrieren: Einreichung der erforderlichen Formulare beim SZTFH oder der zuständigen Behörde.
  3. Audit planen: Auditor frühzeitig identifizieren und einbinden, um Engpässe zu vermeiden.
  4. Cybersicherheit in Governance integrieren: NIS 2-Compliance nicht als einmalige Aufgabe, sondern als fortlaufenden Bestandteil des Unternehmens- und Risikomanagements behandeln.

Fazit

Die NIS 2-Richtlinie markiert ein neues Kapitel in der EU-Compliance, wobei Ungarn bei der Umsetzung führend ist. Der regulatorische Fokus auf Cybersicherheit wird ähnlich bedeutend wie die DSGVO für den Datenschutz. Für Unternehmen in kritischen Sektoren lautet die Botschaft klar: NIS 2 ist da, die Fristen rücken näher, und die Vorbereitung muss jetzt beginnen.

Rechtsberater können eine entscheidende Rolle spielen, indem sie Unternehmen bei der Auslegung des Anwendungsbereichs, der Registrierung und der Koordination mit Auditoren unterstützen. Frühes Handeln dient nicht nur der Compliance, sondern auch der Sicherung der Resilienz in einer zunehmend digitalisierten und vernetzten Geschäftswelt.

Katona & Partners Law Firm
(Katona & Partner Rechtsanwaltssozietät / Attorneys’ Association)
H-106 Budapest, Tündérfürt utca 4.
Tel.: +36 1 225 25 30
Mobile: +36 70 344 0388
Fax: +36 1 700 27 57
g.katona@katonalaw.com
www.katonalaw.com

Segítünk kérdései megválaszolásában!

Ha kérdése merült fel a cikkben olvasottakkal kapcsolatban, ügyvédi irodánk szakértői örömmel segítenek Önnek.
Lépjen velünk kapcsolatba még ma!
  • Katona és Társai Ügyvédi Társulás
  • H-1106 Budapest, Tündérfürt u. 4.
  • +36 1 225 25 30 Fax: +36 1 225 2539
  • info@katonalaw.com

Katona és Társai Ügyvédi Társulás
H-1106 Budapest, Tündérfürt u. 4.
Tel: +36 1 225 25 30 Fax: +36 1 225 2539
central@katonalaw.com

Facebook Twitter Linkedin

© KATONA & PARTNERS – Katona és Társai Ügyvédi Társulás – Minden jog fenntartva!
A honlapon található képi és szöveges tartalmak bármilyen célú felhasználása engedélyhez kötött!