Magyar fintech szabályozási naptár 2026 · MNB, NAV, EU Q1-Q4

2026 az év, amikor négy nagyobb EU rendelet vagy a hatályba lépés vagy az átmeneti idő vége miatt egyszerre vesz lendületet. Ehhez jön a magyar specifikus NAV Online Számla v3, néhány MNB ajánlás frissítése és a felügyeleti gyakorlat változása. Ez a poszt egy oldalas naptár · negyedéves bontásban, kinek mit, mikorra.

Q1 2026 · DORA hatályba lépés (január 17)

A Digital Operational Resilience Act (DORA) 2025 január 17 én lépett hatályba, és 2026 ban már nem mentegetőzhetsz. A magyar fintech, e money intézmény, befektetési vállalkozás, hitelintézet, biztosító körre vonatkozik. A core kötelezettségek: ICT kockázatkezelési keret, incident reporting (24 órás súlyos incidens jelentés az MNB nek), TLPT (threat led penetration test) 3 évente a kritikus szereplőknek, és ICT third party register.

• Január 17 · MNB nek beadandó az ICT third party register első verziója (kritikus szolgáltatókról).
• Március 31 · TLPT scope letter a kritikus pénzügyi szereplőknek (akiket az MNB kijelöl).
• Bírság: a finanszírozási mérlegfőösszeg 1 százalékáig, vagy 5 millió EUR ig (amelyik nagyobb).
• Magyar specifikum: az MNB az ICT third party register hez 2025 októberében adott egy magyarított sablont, ezt érdemes használni.

Q1 2026 · MiCA átmeneti idő vége (január vagy július, az engedélytől függ)

A Markets in Crypto Assets (MiCA) 2024 ben hatályba lépett, de a CASP (Crypto Asset Service Provider) szolgáltatók egy 18 hónapos átmeneti időt kaptak. Ez Magyarországon 2026 januárjában jár le (egyes tagállamokban július, de a magyar MNB a januárt választotta). Aki kripto szolgáltatást nyújt magyar lakosoknak (custody, exchange, advisory), annak január 31 ig kell az MNB engedélyt megszereznie · vagy fel kell hagynia a tevékenységgel.

• Január 31 · MiCA engedély megléte kötelező a CASP működéshez Magyarországon.
• Az MNB már 2025 második felében elkezdte a kérelmek befogadását · ha még nem indítottad el, késő.
• A 'crypto for fun' magyar startup ok jelentős része nem fogja megszerezni · a piac konszolidál.

Q2 2026 · NIS2 második hullám

A NIS2 magyar átültetése (2024 es Kibertv és 2025 ös módosítása) már megvan, de a felügyeleti gyakorlat 2026 ra teljesedik ki. A 'fontos' és 'alapvető' szereplők (essential / important entity) regisztrációja folyamatos, az SZTFH és a felügyeletek 2026 ben megkezdik a tényleges audit ciklust. A pénzügyi szektor (DORA hatálya alatt) lex specialis ként a DORA t használja a NIS2 helyett, de a kritikus infra szolgáltatók (ICT, hosting, cloud) NIS2 hatáskörbe esnek.

• Április vége · az SZTFH regisztrációs határideje a 2025 ben be nem regisztrált 'important' szereplőknek.
• Június · az első felügyeleti auditok kezdődnek (jellemzően a kritikus infra szektorban).
• Bírság: lényeges szereplő esetén 10M EUR, vagy az árbevétel 2 százaléka.
• Magyar specifikum: a Kibertv és a SZTFH gyakorlat jellegű, nem doc heavy · az ENISA követelményekhez képest könnyebb, ha valódi kontrollok vannak, nehezebb, ha csak papíron.

Q2 2026 · NAV Online Számla v3 migráció záróhatáridő

A NAV Online Számla XSD v3.0 átállás záró határideje 2026 második negyedévének közepén van. A v2.0 felfogadása megszűnik, a v3.0 új mezőkkel jön (eÁfa kapcsolat, csoportos áfa alany finomítás, számla státusz fields). A magyar webshop és számlázó rendszerek 80 százalékában 2026 elején még v2 ben adunk fel · ezt át kell migrálni.

• Május 31 · v2 utolsó elfogadása.
• Június 1 · csak v3 fogadás. Aki v2 ben próbál feladni, hibaüzenet és nem regisztrált számla.
• Bírság: a be nem regisztrált számlánként 500.000 Ft ig (NAV gyakorlatban általában a hibás számlák 80 százalékáért).
• Magyar specifikum: a számlázó SaaS k (Számlázz.hu, Billingo, KBOSS) 2026 első negyedévében már v3 ot adnak. Ha custom integráció van a kódban, te kell migrálnod.

Q3 2026 · AI Act high risk klasszifikáció hatályba lép

Az EU AI Act 2024 ben hatályba lépett, de a 'high risk' AI rendszer kötelezettségek 2026 augusztus 2 án válnak alkalmazandóvá. A high risk kategóriába tartozik: HR / felvételi rendszerek (CV szűrés), oktatási értékelés, hitelképesség értékelés, biometrikus identifikáció, kritikus infra menedzsment és hasonlók. A magyar fintechben a hitelképesség értékelés a fő érintett.

• Augusztus 2 · high risk AI rendszerek kötelezettségei alkalmazandók.
• Kötelező: dokumentált adatkormányzás, naplózás, emberi felügyelet, transzparencia, kockázatkezelés, post market monitoring.
• Bírság: 35M EUR, vagy az árbevétel 7 százaléka (amelyik nagyobb), tiltott AI rendszer használat esetén.
• Magyar specifikum: az MNB 2025 ben adott ki egy 'AI alapú hitelminősítés' ajánlást, amely keretes a magyar gyakorlatra · érdemes ezt is olvasni.

Q4 2026 · MNB Ciber kockázat ajánlás frissítés (várhatóan)

Az MNB az utóbbi 4 év mindegyikében negyedik negyedévben adott ki ciber kockázat kapcsán friss ajánlást. 2025 ben a 8/2025 ajánlás cloud és outsourcing risk t bővítette ki. 2026 ban várható egy AI biztonsági ajánlás (DORA ICT third party hez kapcsolódva), amely a generatív AI használatra fogalmaz meg elvárásokat.

• Várható kibocsátás · október vége / november eleje.
• Hatály · a következő január 1 től.
• Tartalom · prediktív: AI rendszer due diligence, third party AI provider register, prompt injection ellen védelem dokumentált control ja.

Egyéb · ami nem elsődleges, de érint

• PSD3 · 2025 végén lett elfogadva, az átmeneti idő 24 hónap. Magyarországon 2027 ben válik alkalmazandóvá. Ne aludj el rajta.
• EBA SCA RTS frissítés · 2026 második negyedévében várható, az SCA exemption ek listája bővül.
• GDPR · a magyar NAIH 2025 ben aktívabb volt, mint korábban, és a fintech adatfeldolgozási tájékoztatókat sorra kérdőíves audit alá vonja. Ha a tájékoztatód 3 évnél régebbi, frissítsd.
• EU adattér rendelet (Data Act) · 2025 szeptemberben hatályos, a B2B adat hozzáférés szabályait változtatja. A pénzügyi szektorban kevésbé érinti, de SaaS oldalon van.

Mit teszel ezzel a naptárral

Az itt felsorolt határidőket tedd egy közös naptárba (Google, Notion, Asana · mindegy), és minden határidő előtt 90 nappal kezd a felkészülést. A NIS2 és a DORA kontroll lista 90 nap alatt nem épül be, ha eddig nem volt benne. Az AI Act high risk dokumentáció kezdő munka 60 nap, finomítás további 60. A NAV v3 migráció ha SaaS ben vagy, üres munka, ha custom integráció, kb 5-10 napos fejlesztés tesztekkel együtt.