Nouvelle loi hongroise sur la cybersécurité en 2025 : essentiel à retenir !

La nouvelle loi sur la cybersécurité vise essentiellement à transposer intégralement la directive NIS2 et la directive CER, comblant ainsi les lacunes laissées par la législation antérieure. Elle a également pour objectif de regrouper les lois sur la cybersécurité éparpillées en Hongrie dans un cadre juridique unifié. Voici les principaux points à retenir de ce nouveau dispositif :

• Cadre de base : La loi établit un cadre fondamental, laissant certains détails (comme les amendes, les frais de supervision, les incidents de sécurité, la formation à la cybersécurité et les audits officiels) à réguler dans des décrets ultérieurs.
• Champ d’application élargi : La loi étend son champ d’application au-delà des entités NIS2 pour inclure celles sous la directive CER, tout en partageant le même cadre de cybersécurité avec quelques exceptions.
• Portée territoriale : La loi conserve le concept d’établissement principal, appliquant généralement ses dispositions aux organisations établies en Hongrie. Les organisations non-européennes fournissant des services en Hongrie doivent nommer un représentant.
• Entités concernées : Comme sous NIS2, les entreprises opérant dans des secteurs à haut risque sont soumises à la loi, qui s’applique généralement aux organisations de taille moyenne et grande, avec certaines exceptions.
• Distinction entre entités essentielles et importantes : La nouvelle loi différencie plus clairement les organisations essentielles des importantes, plaçant les entités à haut risque par défaut dans la catégorie essentielle.
• Mécanisme de désignation : En plus de l’exigence d’auto-identification et d’enregistrement, le régulateur en cybersécurité peut désigner une organisation comme essentielle ou importante.
• Enregistrement : Les entités NIS2 déjà enregistrées en 2024 n’ont pas besoin de se réenregistrer, mais doivent soumettre d’ici le 15 février 2025 une liste des autres États membres de l’UE où elles exercent leurs activités.
• Contrat avec un auditeur : Les organisations doivent conclure un contrat avec un auditeur dans un délai de quatre mois suivant l’ordre d’enregistrement.
• Classification des risques de sécurité : La méthode de classification des risques établie dans le décret MK 7/2024 ne change pas.
• Mesures de contrôle : La liste des contrôles conformément au décret MK 7/2024 reste inchangée, avec des comparaisons proposées aux normes ISO 27001 et NIST 800-53.
• Cadre de gouvernance des risques en cybersécurité : Ce cadre reste intact pour garantir la conformité continue en cybersécurité au sein des organisations.
• Délais d’audit : Les organisations ayant commencé leurs opérations avant le 1er janvier 2025 doivent réaliser leur premier audit d’ici la fin de 2025.
• Nouvelles règles sur les responsables de la sécurité de l’information (ISO) : La loi introduit des exigences spécifiques pour les ISO.
• Gestion des incidents : En plus du CSIRT central, la loi permet la création de centres de gestion des incidents sectoriels.
• Exigences d’audit : Des réglementations détaillées concernant les audits officiels seront mises en place dans un prochain décret.
• Responsabilité de la direction : La loi introduit le concept de responsabilité de la direction en matière de cybersécurité, exigeant un encadrement et une formation continue.

Ce contenu a pour but d’offrir une vue d’ensemble sur le sujet. Il convient de consulter des spécialistes pour des conseils adaptés à vos circonstances spécifiques.