Deadline approaching: how, when and who shall pay the Hungarian cybersecurity supervisory fee

This Client Alert is also available in Hungarian.

Under Act LXIX of 2024 (“Cybersecurity Act”), concerned organisations are required to pay a cybersecurity supervisory fee annually, in a lump sum. The Supervisory Authority for Regulated Activities (“SARA”) provided individual notifications to concerned organisations regarding the amount and payment method of the 2026 fee by 31 March 2026, and the payment deadline is 31 May 2026.

1. Organisations subject to payment

1.1 The fee is payable by registered business entities operating in risk-prone and high-risk sectors falling under the scope of the Cybersecurity Act, excluding budgetary institutions. In the case of a recognised corporate group, the parent (controlling) entity is generally responsible for payment.

1.2 Entities are not required to pay the supervisory fee under the Cybersecurity Act if they are listed within its scope and belong to the public administration sector Similarly, business entities engaged in activities related to national defence and organisations that have been identified as essential or important by the national cybersecurity authority or the defence cybersecurity authority are not required to pay the supervisory fee, provided that they do not otherwise fall within the personal scope of the Cybersecurity Act or the DORA Regulation¹.

2. Amount of the supervisory fee

As a general rule, the basis of the supervisory fee is the net revenue reported in the organisation’s most recently published financial statements in the year preceding the current year. In the absence of such data, the basis is the pro rata annualised portion of the current year’s revenue. In the latter case, the organisation concerned shall submit a declaration to SARA on the amount of its annualised pro rata revenue for the ongoing year by 28 February of that year.

Net Revenue	Amount of the Supervisory Fee
< HUF 20 billion (~EUR 56.3 million)	0,00015%
≥ HUF 20 billion (~EUR 56.3 million)	0.0015%, capped at HUF 10 million (~EUR 28,200)

The fee must be rounded to the nearest HUF 1,000. If the payable amount is below HUF 5,000 (~EUR 14), no payment is required.

3. Rules for corporate groups

The total amount of the cybersecurity supervisory fee payable by organisations belonging to the same corporate group – including those participating in a group of undertakings within the same consolidation – shall not exceed HUF 50 million (~EUR 141 thousand).

In the case of a recognised  corporate group, the obligation to pay the fee lies with the dominant entity, whereas in the case of a de facto corporate group or a consolidation, the members shall, as a general rule, fulfil this obligation individually.

With regard to certain deadlines, concerned organisations shall declare their membership in a corporate group or in a consolidation to SARA by 31 January of the current year, and shall submit the joint declaration required for consolidated fee payment by 30 April of the same year. In the event of failure to do so or late submission of the latter, organisations belonging to a de facto corporate group or to the same consolidation shall be required to pay the fee individually for the given year.

4. Exceptional cases

Organisations registered during a given current year shall be required to pay the supervisory fee on a pro rata basis. SARA shall provide information on the amount and the method of payment in the registration decision.

Organisations registered during a given current year that did not have net revenue prior to that year in accordance with Section 2 shall, within 90 days of registration, declare the amount of the pro rata annualised portion of their net revenue for the given year. In such cases, the obligation must be fulfilled within 90 days following receipt of the relevant notification issued by SARA.

In the event of deletion from the register, the amount of the fee payment obligation shall be determined with regard to the period up to the date of deletion. If the entity has not yet fulfilled its obligation for the given year, it shall have 30 days from receipt of the deletion decision to make the payment. In the case of overpayment in the year of deletion, the authority shall refund the difference.

5. Practical considerations

If the organisation qualifies as subject to the payment obligation, i.e. the determined supervisory fee reaches HUF 5,000 (~EUR 14), but it does not receive an individual notification by 31 March of the current year, it must notify SARA via its electronic gateway.

In the case of corporate groups, failure to meet the deadlines related to the declarations specified in Section 4 results in the more favourable rules on consolidated fee payment not being applicable for the given year.

The cybersecurity supervisory fee must be paid by bank transfer to the appropriation utilisation framework account No. 10032000-00362887-00000000 of SARA held with the Hungarian State Treasury. The payment reference must include the note “cybersecurity supervisory fee” (“kiberbiztonsági felügyeleti díj” in Hungarian), as well as the reference number of the notification sent by 31 March. In addition, the organisations concerned must indicate the reference number of the decision on registration or deletion, or in the case of a supervisory fee calculated on the basis of the pro rata portion of the current year’s revenue, the reference number of the relevant SARA notification.

6. Sanctions for non-compliance

In the event of non-payment of the fee, SARA may impose a fine ranging from HUF 500,000 (~EUR 1400) to up to ten times the amount of the payable fee. The imposition of the fine falls within the discretionary powers of SARA and is subject to case-by-case assessment, it may be preceded by a warning or a notice.

7. Summary

The cybersecurity supervisory fee is an annual, revenue-based obligation. Proper classification, the correct application of corporate group rules and compliance with deadlines are essential to ensure proper fulfilment of this obligation. Although, as a general rule, affected organisations receive individual notifications from SARA, verifying and, if necessary, correcting the amount of the supervisory fee, submitting the required declarations in a timely manner, and determining whether the organisation falls within scope require prior assessment and a professional evaluation of the relevant circumstances. Rely on Wolf Theiss’s expertise in identifying your organisation’s status and in planning and implementing compliance with the obligations under the Cybersecurity Act.

---

Határidő a láthatáron: mikor, kinek és hogyan kell befizetni a kiberbiztonsági felügyeleti díjat?

A kiberbiztonsági felügyeleti díjat a 2024. évi LXIX. törvény (“Kibertörvény”) alapján az érintett szervezetek évente, egyösszegben fizetik meg. A kötelezett szervezeteknek a 2026-os felügyeleti díj mértékéről és megfizetésének módjáról a Szabályozott Tevékenységek Felügyeleti Hatósága (“SZTFH”) 2026. március 31-ig nyújtott egyéni tájékoztatást, a fizetési határidő 2026. május 31.

1. Fizetésre kötelezettek

1.1 A felügyeleti díj fizetésére kötelezettek a Kibertörvény hatálya alá tartozó, nyilvántartott, kiemelten kockázatos és kockázatos ágazatokban működő gazdálkodó szervezeteket, a költségvetési szervek kivételével. Elismert vállalatcsoport esetében főszabály szerint az uralkodó tag minősül a díjfizetés kötelezettjének.

1.2 A Kibertörvény szerinti felügyeleti díj fizetésére nem kötelesek a hatálya alatt felsorolt, a közigazgatási ágazathoz tartozó szervezetek, a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságok, valamint a nemzeti kiberbiztonsági vagy a honvédelmi kiberbiztonsági hatóság által – a Kibertörvény személyi hatályával értintett egyéb alanyi körbe, valamint a DORA Rendelet² hatálya alá nem tartozó – alapvető vagy fontos szervezetként azonosított szervezetek.

2. A felügyeleti díj mértéke

A felügyeleti díj alapja főszabály szerint a tárgyévet megelőző évben közzétett utolsó számviteli beszámolója szerinti nettó árbevétele, ennek hiányában a tárgyévi árbevétel egész évre vetített időarányos része. Utóbbi esetben az érintett szervezet a tárgyévi árbevétele egész évre vetített időarányos részének összegéről a tárgyév február 28. napjáig nyilatkozik az SZTFH felé.

Nettó árbevétel	Díj mértéke
< HUF 20 milliárd	0,00015%
≥ HUF 20 milliárd	0,0015%, legfeljebb HUF 10 millió

A díjat 1000 forintra kerekítve kell megállapítani. Amennyiben a fizetendő összeg nem éri el az 5000 forintot, a díjat nem kell megfizetni.

3. Vállalatcsoportokra vonatkozó szabályok

Az ugyanazon vállalatcsoportba tartozó szervezetek – beleértve az egy konszolidációs körbe tartozó vállalkozáscsoportban részt vevő szervezeteket is – által fizetendő kiberbiztonsági felügyeleti díj együttes összege legfeljebb 50 millió forint lehet.

Elismert vállalatcsoport esetén a díjfizetés az uralkodó tag kötelezettsége, míg tényleges vállalatcsoport vagy konszolidációs kör esetén a tagok főszabály szerint önállóan teljesítik azt.

A vállalatcsoportba, valamint a konszolidációs körbe tartozás tényéről az érintett szervezeteknek tárgyév január 31-ig kell nyilatkozni az SZTFH felé, az összevont díjfizetéshez szükséges közös nyilatkozatot pedig tárgyév április 30-ig tudják megtenni. Utóbbi elmulasztása vagy késedelmes teljesítése esetén a tényleges vállalatcsoportba vagy az egy konszolidációs körbe tartozó szervezetek külön-külön kötelesek adott tárgyévben fizetni.

4. Speciális esetek

A tárgyévben nyilvántartásba vett szervezetek a felügyeleti díjat időarányosan kötelesek megfizetni. A fizetés mértékéről, valamint módjáról az SZTFH a nyilvántartásba vételi határozatban nyújt tájékoztatást.

Azok a tárgyévben nyilvántartásba vett szervezetek, amelyek a 2. pont alapján a tárgyévet megelőzően nem rendelkeztek nettó árbevétellel, a nyilvántartásba vételtől számított 90 napon belül nyilatkoznak a tárgyévi árbevétel egész évre vetített időarányos részének összegéről. Ilyen esetben a kötelezettségnek az SZTFH vonatkozó tájékoztatójának kézhezvételét követő 90 napon belül kell eleget tenni.

A nyilvántartásból történő törlés esetén a díjfizetési kötelezettség mértékét a törlés napjáig terjedő időszak tekintetében kell figyelembe venni, amennyiben a szervezet tárgyévre még nem teljesítette kötelezettségét, a fizetésre a törlési határozat kézhezvételétől számított 30 nap áll rendelkezésre. A törlés évében történt túlfizetés esetén a hatóság a különbözetet visszatéríti.

5. Gyakorlati tudnivalók

Amennyiben a szervezet kötelezettnek minősül, azaz a megállapított felügyeleti díj mértéke az 5000 forintot eléri, de tárgyév március 31-ig nem kap egyéni tájékoztatást, ezt az SZTFH felé jeleznie szükséges a hivatali kapun keresztül.

Vállalatcsoportok esetében a 4. pontban megjelölt nyilatkozatokkal kapcsolatos határidők elmulasztása azzal a következménnyel jár, hogy az összevont díjfizetésre vonatozó kedvezőbb szabályok adott tárgyévben nem alkalmazhatók.

A kiberbiztonsági felügyeleti díjat az SZTFH Magyar Államkincstár által vezetett, 10032000-00362887-00000000 számú előirányzat-felhasználási keretszámlájára átutalással kell teljesíteni azzal, hogy a közlemény rovatában fel kell tüntetni a „kiberbiztonsági felügyeleti díj” megjegyzést, valamint a március 31-ig megküldött tájékoztató iktatószámát, az érintett szervezeteknek pedig a nyilvántartásba vételi- vagy a törlésről szóló határozat iktatószámát, vagy a tárgyévi árbevétel időarányos része alapján számított felügyeleti díj esetén az SZTFH vonatkozó tájékoztatásának iktatószámát.

6. Szankciók

A díj meg nem fizetése esetén az SZTFH bírságot szabhat ki, amelynek minimuma 500 000 forint, maximális összege a fizetendő díj tízszerese. A bírság kiszabása az SZTFH diszkrecionális jogköre, valamint mérlegelés tárgya, figyelmeztetés vagy felszólítás előzheti meg.

7. Összefoglalás

A kiberbiztonsági felügyeleti díj egy árbevétel-alapú, évente teljesítendő kötelezettség. A megfelelő besorolás, a vállalatcsoporti szabályok helyes alkalmazása és a határidők betartása kulcsfontosságú a kötelezettség megfelelő teljesítése érdekében. Bár főszabály szerint az érintett szervezetek egyéni tájékoztatást kapnak az SZTFH-tól, a felügyeleti díj mértékének ellenőrzése, esetleges korrigálása, az egyes nyilatkozatok határidőben történő megtétele, valamint a szervezet érintettségének megállapítása előzetes felmérést és a körülmények szakszerű értékelését igényli. Támaszkodjon a Wolf Theiss szakértelmére szervezete azonosítása, valamint a Kibertörvény szerinti kötelezettségek teljesítésének megtervezése és végrehajtása során.

---

1. Regulation (EU) 2022/2554 of the European Parliament and of the Council ↩︎
2. Az Európai Parlament és Tanács (EU) 2022/2554 Rendelete ↩︎