Bis zum 30. Juni 2026 müssen mehrere tausend ungarische Unternehmen ihr erstes NIS2-Audit durchführen. Im vergangenen Jahr haben wir zahlreiche Mandanten bei der Vorbereitung begleitet – von der ersten Bestandsaufnahme bis zum erfolgreichen Abschluss des Audits. Im Laufe dieser Projekte wurde immer deutlicher, wie das ungarische NIS2-System in der Praxis funktioniert, welche Herausforderungen es für Unternehmen mit sich bringt und an welchen Punkten sich Compliance und tatsächliche Informationssicherheit voneinander trennen.

Eine ambitionierte nationale Umsetzung

NIS2 (Network and Information Security Directive 2) ist die zweite Generation der Cybersicherheitsrichtlinie der Europäischen Union, die Ungarn mit dem Gesetz LXIX von 2024 – dem sogenannten Cybergesetz – als eines der ersten Länder in nationales Recht umgesetzt hat.

Die ungarische Regulierung erhielt bereits von Beginn an große Aufmerksamkeit, teilweise aufgrund der schnellen Einführung, teilweise wegen der Komplexität des regulatorischen Umfelds.

Komplexe und mehrschichtige Regulierung

Das System basiert auf vier zentralen Säulen:

• dem Cybergesetz selbst,
• der Verordnung zur Sicherheitsklassifizierung und zu Schutzmaßnahmen,
• der Regulierung der Auditoren,
• sowie den Verordnungen zur Auditmethodik, Vergütung und Aufsichtsgebühr.

Gemeinsam bilden diese Regelungen ein mehrere hundert Seiten umfassendes Anforderungssystem, das sowohl aus technischer als auch aus rechtlicher Sicht schwer zu verarbeiten ist. Bereits das Verständnis der Anforderungen erforderte erhebliche Ressourcen seitens der betroffenen Unternehmen.

Ein amerikanisches Framework in ungarischer Umgebung

Die ungarische Umsetzung basiert auf dem Kontrollrahmenwerk NIST SP 800-53 rev. 5, das ursprünglich für US-Bundesbehörden und deren Zulieferer entwickelt wurde.

Das Framework ist international anerkannt und fachlich solide aufgebaut, wird im Unternehmensumfeld jedoch typischerweise auf freiwilliger Basis eingesetzt. In Ungarn wurde es dagegen für viele Unternehmen zu einer verpflichtenden gesetzlichen Anforderung – auch in Umgebungen, in denen der Betrieb stark auf Cloud-Dienste oder industrielle Steuerungstechnologien basiert.

Hohe administrative Kosten

Bereits zu Beginn der Vorbereitung sahen sich die Unternehmen mit erheblichen Kosten konfrontiert. Neben der Aufsichtsgebühr kamen die Kosten des ersten Audits sowie in vielen Fällen der Bedarf an externer Expertenunterstützung hinzu.

Das Problem liegt nicht nur in der Höhe dieser Kosten, sondern auch darin, dass ein erheblicher Teil der Ressourcen für administrative Compliance aufgewendet wird und weniger für tatsächliche technologische oder organisatorische Sicherheitsentwicklungen.

Auditoptimierung statt Sicherheit

Viele betroffene Unternehmen wurden erstmals mit tiefergehenden Informationssicherheitsanforderungen konfrontiert. In der Praxis verlagerte sich der Fokus jedoch häufig weg vom Verständnis der Risiken und der Verbesserung der Schutzmaßnahmen hin zur erfolgreichen Absolvierung des Audits.

Die zentrale Frage lautete daher nicht mehr „Welchen Bedrohungen sind wir ausgesetzt?“, sondern vielmehr „Welche Dokumente und Nachweise benötigen wir für das Audit?“. Viele Unternehmen begannen deshalb eher ein Compliance-Programm als ein tatsächliches Sicherheitsprogramm aufzubauen.

Das Audit als zentrales Organisationselement

Im ungarischen System geht die Rolle des Audits über eine reine Kontrollfunktion hinaus: In vielen Fällen wurde es zum zentralen Treiber des gesamten Vorbereitungsprozesses.

Ein erheblicher Teil der Unternehmensressourcen wurde durch die Erstellung regulatorischer Dokumente, die Sammlung von Nachweisen und die administrative Erfüllung detaillierter Auditanforderungen gebunden. Dadurch verschiebt sich der Fokus leicht von der tatsächlichen Sicherheitsreife hin zum Nachweis der Compliance.

EIR-Mathematik

Die Berechnungslogik der Auditkosten verstärkte diese Optimierungsperspektive zusätzlich. Die Regulierung setzte klare wirtschaftliche Anreize zur Minimierung der Anzahl von EIRs.

Dadurch entstanden in vielen Fällen fachlich schwer nachvollziehbare Systemzusammenführungen, deren Hauptziel nicht mehr Transparenz oder höhere Sicherheit war, sondern die Vereinfachung und Kostensenkung des Auditprozesses.

Das größte Risiko: ein falsches Sicherheitsgefühl

Eine der größten Gefahren des Systems besteht darin, dass leicht eine falsche Gleichsetzung von Compliance und Sicherheit entstehen kann.

Ein erfolgreiches Audit, eine ordnungsgemäße Dokumentation und die gesammelten Nachweise bedeuten noch nicht automatisch, dass ein Unternehmen widerstandsfähiger gegen Cyberangriffe geworden ist. Häufig entsteht vielmehr ein gut auditierbares Betriebsmodell, das administrativ den Anforderungen entspricht, die tatsächlichen Schutzfähigkeiten jedoch nicht zwangsläufig im gleichen Maße verbessert.

Was sollten Unternehmen beachten?

1. Nehmen Sie die Dokumentation ernst – aber verstehen Sie auch den Hintergrund.

Das ungarische NIS2-System ist stark dokumentationsorientiert, gleichzeitig sind die meisten Anforderungen klar definiert und planbar. Wenn ein Unternehmen versteht, welche Dokumente und Nachweise der Auditor erwartet, wird die Vorbereitung deutlich transparenter und effizienter.

2. Definieren Sie die Grenzen Ihrer IT-Umgebung klar.

Verantwortlichkeiten für Systeme, Services und Betriebsbereiche sollten eindeutig dokumentiert werden – insbesondere in Konzern- oder Cloud-Umgebungen. Klare Rollen und Systemgrenzen erleichtern nicht nur das Audit, sondern bilden auch die Grundlage für den späteren Sicherheitsbetrieb.

3. Akzeptieren Sie das Audit als verpflichtende Etappe – aber bleiben Sie nicht dort stehen.

Ein erfolgreiches Audit allein bedeutet noch keine echte Informationssicherheitsreife, sondern lediglich einen wichtigen Compliance-Meilenstein. Langfristiger Mehrwert entsteht dann, wenn Unternehmen auf den während des Audits etablierten Prozessen und Kontrollen echte Sicherheitsentwicklungen aufbauen.

***

Die NIS2-Compliance ist längst nicht mehr nur eine technologische oder rechtliche Frage, sondern auch eine langfristige betriebliche und risikobezogene Entscheidung. Unsere Erfahrung zeigt, dass jene Unternehmen den größten Nutzen aus der Vorbereitung ziehen, die das Audit nicht als Endziel, sondern als Ausgangspunkt für einen bewussteren und reiferen Informationssicherheitsbetrieb betrachten.

Unsere Experten unterstützen Unternehmen bei der NIS2-Vorbereitung, der Interpretation von Dokumentations- und Auditanforderungen sowie bei der Entwicklung praxisorientierter Informationssicherheitsprozesse.