Megjelent a Magyarország kiberbiztonságáról szóló törvény szerinti végzettségekre, szakképzettségekre, valamint képzésekre és továbbképzésekre vonatkozó követelményekről szóló 17/2025. (VII.24.) EM rendelet, mely 2025. július 25-től hatályos. A rendelet meghatározza az elektronikus információs rendszer biztonságáért felelős személy (IBF) vonatkozásában az elfogadható képzettségekre, a továbbképzési kötelezettségekre, valamint a vezetők képzésére vonatkozó kritériumokat.
Fontos kiemelni, hogy a szakképzettségre vonatkozó előírások nem minden IBF-re érvényesek, kizárólag azokra, akiket a Kiberbiztonsági törvény 1. § (1) bekezdés a)–c) és f) pontja szerinti szervezeteknél, a 2024. évi LXXXIV. törvény alapján kijelölt kritikus szervezeteknél, illetve a 2021. évi XCIII. törvény szerint az ország védelme és biztonsága szempontjából jelentős szervezeteknél kerülnek kinevezésre vagy megbízásra.
Az elfogadható képesítések listáját a Nemzeti Kibervédelmi Intézet, mint a nemzeti koordinációs központ állította össze az ENISA által kialakított European Cybersecurity Skills Framework alapján. A listán megtalálhatók magyarországi felsőoktatási intézmények, mint a Nemzeti Közszolgálati Egyetem, az Óbudai Egyetem, a Széchenyi István Egyetem és a Milton Friedman Egyetem kiberbiztonsággal kapcsolatos képzési programjai. Emellett szerepelnek nemzetközileg elismert magánintézmények tanúsítványai is, mint az ISACA, az ISC2, a CompTIA, az EC-Council és a GIAC/SANS által kiállított meghatározott tanúsítványok. Amennyiben az IBF még nem rendelkezik a rendeletben meghatározott képzettségek valamelyikével, akkor legkésőbb 2027. december 31-ig elfogadható helyette a rendeletben meghatározott szakterületen szerzett legalább ötéves szakmai tapasztalat.
Ezzel szemben a továbbképzési kötelezettség minden olyan IBF-re vonatkozik, aki a Kiberbiztonsági törvény hatálya alá tartozó szervezetnél látja el feladatait, függetlenül a szervezet típusától. Évente összesen 20 óra továbbképzésen kell részt venniük, amelyet felnőttképző intézmény szervez. A képzések tematikáját a jogszabály határozza meg, és az alábbi hét témakör közül legalább háromra kell kiterjednie: kiberbiztonsági trendek; kiberbiztonsági kockázatok és szervezeti stratégiák; uniós és hazai kiberbiztonsági jogszabályok változásai; incidenskezelési feladatok; technológiai ismeretek; hatóságokkal és incidenskezelő központokkal való együttműködés; valamint jó gyakorlatok és tapasztalatok megosztása. Azoknak az IBF-eknek, akiket 2025. december 31. előtt neveztek ki vagy bíztak meg, legkésőbb 2026. december 31-ig kell elvégezniük az első ilyen továbbképzést
A vezetőkre is külön képzési kötelezettség vonatkozik. A vezetővé válás első évében legalább 8 órás képzésen kell részt venni, amely az alábbi témák valamelyikére terjed ki: kiberbiztonsági trendek; kockázatok és stratégiák; vonatkozó uniós és hazai jogszabályok; incidenskezelési feladatok; valamint jó gyakorlatok megosztása. Ezt követően évente legalább 4 órás továbbképzés szükséges, mely hasonló tematikát követ. Azok a vezetők, akiket 2025. december 31. előtt neveztek ki, legkésőbb 2026. december 31-ig kötelesek elvégezni az első ilyen típusú képzést.
A rendelet értelmében minden képzést és továbbképzést a felnőttképzési törvény szerint kell lebonyolítani, és a résztvevők tanúsítványt kapnak a képzés teljesítéséről. A továbbképzéseket csak olyan bejelentett felnőttképző szervezheti, amely a kiberbiztonság területén legalább hároméves oktatási tapasztalattal rendelkező oktatót tud biztosítani. Jelenleg ugyan még nem érhetők el a meghatározott továbbképzések, de a rendelet frissességére való tekintettel várhatóan hamarosan megjelennek az első akkreditált képzések.
