Business News from Hungary by Peterka & Partners
Government Decree 276/2025 on ESG Act Enforcement
Government Decree 276/2025 (VIII. 21.) on the rules for imposing fines for breaches of the ESG Act
(Act CVIII of 2023) has been adopted. The Decree, effective from 6 September 2025, sets out detailed
rules on the amounts of, and criteria for, fines to be imposed by the Supervisory Authority for
Regulatory Activities (SARA). The rules introduce transparent and proportionate penalties (e.g.,
unauthorized ESG contributor services: HUF 200,000–10 million; unauthorized ESG data requests:
HUF 1 million and up to 1% of turnover, capped at HUF 50 million; failure to submit ESG data to
SARA: HUF 200,000–2 million; failure to provide preparatory programmes: HUF 200,000–3 million).
Multiple and repeated infringements may lead to aggregated or repeated fines, with payment due
within eight days. SARA will assess the impact on sustainable development and any good-faith
remedial steps when setting the exact amount
SARA Decree No. 8/2025 on NIS2 Registration
The Hungarian Supervisory Authority for Regulatory Affairs (SARA) has issued a decree, Decree No.
8/2025 (VIII. 21.), extending the scope of information required for NIS2 registration under the
Hungarian Cybersecurity Act. From 22 August 2025, entities must indicate the total number of
electronic information systems under their control in addition to the data already required. The
number is relevant for statutory documentation and for calculating the maximum fee of the
mandatory cybersecurity audit. Entities already registered must provide this information by 31
December 2025.
***
276/2025. (VIII. 21.) Kormányrendelet az ESG-törvény végrehajtásáról
Megjelent a 276/2025. (VIII. 21.) Kormányrendelet az ESG-törvényről (2023. évi CVIII. törvény) szóló jogsértések esetén kiszabható bírságok szabályairól. A rendelet 2025. szeptember 6-án lép hatályba, és részletesen meghatározza a Szabályozott Tevékenységek Felügyeleti Hatósága (SARA) által kiszabható bírságok mértékét és szempontjait.
A rendelet átlátható és arányos szankciókat vezet be, például:
- engedély nélküli ESG-szolgáltatások: 200 000 – 10 millió Ft
- engedély nélküli ESG-adatkérések: 1 millió Ft-tól az árbevétel 1%-áig (maximum 50 millió Ft)
- ESG-adatszolgáltatás elmulasztása a SARA felé: 200 000 – 2 millió Ft
- felkészítő programok elmulasztása: 200 000 – 3 millió Ft
Többszöri vagy ismételt jogsértések összevont vagy ismételt bírságot eredményezhetnek, amelyeket nyolc napon belül kell megfizetni. A bírság kiszabásakor a SARA figyelembe veszi a fenntartható fejlődésre gyakorolt hatást, valamint az esetleges jóhiszemű helyreállító lépéseket.
8/2025. (VIII. 21.) SARA rendelet a NIS2 regisztrációról
A Szabályozott Tevékenységek Felügyeleti Hatósága (SARA) kiadta a 8/2025. (VIII. 21.) rendeletet, amely kibővíti a NIS2 regisztrációhoz szükséges adatkört a Magyar Kiberbiztonsági Törvény alapján.
2025 augusztus 22-től a szervezeteknek az eddig előírt adatok mellett meg kell adniuk az irányításuk alatt álló elektronikus információs rendszerek teljes számát is. Ez az adat releváns a törvényi dokumentáció szempontjából, valamint a kötelező kiberbiztonsági audit maximális díjának meghatározásánál.
A már regisztrált szervezeteknek ezt az adatot legkésőbb 2025. december 31-ig kell pótolniuk.
***
Rozporządzenie Rządu nr 276/2025 (21 sierpnia) w sprawie egzekwowania ustawy ESG
Przyjęto Rozporządzenie Rządu nr 276/2025 (VIII. 21.) dotyczące zasad nakładania kar pieniężnych za naruszenia ustawy o ESG (ustawa CVIII z 2023 r.). Rozporządzenie wchodzi w życie 6 września 2025 r. i określa szczegółowe zasady ustalania wysokości kar nakładanych przez Urząd Nadzoru Działalności Regulowanej (SARA).
Wprowadzono przejrzyste i proporcjonalne sankcje, m.in.:
- nieuprawnione świadczenie usług związanych z ESG: 200 000 – 10 mln HUF
- nieuprawnione żądania danych ESG: od 1 mln HUF do 1% obrotu (maksymalnie 50 mln HUF)
- brak przekazania danych ESG do SARA: 200 000 – 2 mln HUF
- brak realizacji programów przygotowawczych: 200 000 – 3 mln HUF
Wielokrotne lub powtarzające się naruszenia mogą skutkować kumulacją lub ponownym nałożeniem kar, które należy uiścić w ciągu 8 dni. Przy ustalaniu wysokości sankcji SARA bierze pod uwagę wpływ na zrównoważony rozwój oraz ewentualne działania naprawcze podjęte w dobrej wierze.
Rozporządzenie SARA nr 8/2025 (21 sierpnia) w sprawie rejestracji NIS2
Urząd Nadzoru Działalności Regulowanej (SARA) wydał Rozporządzenie nr 8/2025 (VIII. 21.), rozszerzające zakres informacji wymaganych przy rejestracji NIS2 na podstawie węgierskiej ustawy o cyberbezpieczeństwie.
Od 22 sierpnia 2025 r. podmioty muszą – oprócz dotychczas wymaganych danych – wskazać również łączną liczbę systemów informatycznych znajdujących się pod ich kontrolą. Dane te są istotne dla dokumentacji ustawowej oraz przy obliczaniu maksymalnej opłaty za obowiązkowy audyt cyberbezpieczeństwa.
Podmioty już zarejestrowane muszą uzupełnić te informacje najpóźniej do 31 grudnia 2025 r.