17/2025. (VII. 24.) EM rendelet
17/2025. (VII. 24.) EM rendelet
a Magyarország kiberbiztonságáról szóló törvény szerinti végzettségekre, szakképzettségekre, valamint képzésekre és továbbképzésekre vonatkozó követelményekről
[1] A társadalom, a gazdaság digitális átalakulásának és összekapcsolódásának következményeként az elektronikus információs rendszerek kiberfenyegetettsége fokozódott, és folyamatosan új kiberbiztonsági kihívásokkal kell mind az állam, mind a gazdaság szereplőinek, mind az állampolgároknak szembesülniük.
[2] A jogalkotó célja, hogy a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény hatálya alá tartozó szervezetek ezen fenyegetettségekre és kihívásokra felkészültek legyenek, kiberbiztonsági tudatosságuk fokozódjon.
[3] E cél eléréséhez járul hozzá a mind az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvben, mind a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvényben meghatározott elvárás, miszerint az érintett szervezetek kiberbiztonságának kulcsszereplője, a szervezet vezetője vegyen részt a kiberbiztonság jelentőségét tudatosító képzésen, illetve továbbképzésen.
[4] Kiemelt jelentőséggel bír, hogy a szervezetek kiberbiztonsági szempontból másik kulcsszereplője, az elektronikus információs rendszer biztonságáért felelős személy megfelelő végzettséggel és szakképzettséggel rendelkezzen, valamint évente részt vegyen a feladatai magas színvonalú ellátásához szükséges, az ismereteit bővítő kiberbiztonsági továbbképzéseken.
[5] A szervezet munkatársainak kibertudatosságát növelő szervezeten belüli képzéseket a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló 7/2024. (VI. 24.) MK rendelet szabályozza.
[6] A szervezethez kirendelhető információbiztonsági felügyelőnek kellően felkészültnek szükséges lennie a feladat ellátásához, ezért megfelelő szakképzettséggel, szakmai gyakorlattal kell rendelkeznie.
[7] A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (3) bekezdés c) pontjában kapott felhatalmazás alapján,
az 1. § (2) bekezdése, a 3–5. alcím és a 9. § (3) és (4) bekezdése tekintetében a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (3) bekezdés b) pontjában kapott felhatalmazás alapján,
a Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet 160. § 15. pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. Hatály
1. § (1) E rendeletnek a 2. alcím szerinti rendelkezéseit
a) a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 1. § (1) bekezdés a)–c) és f) pontja szerinti szervezetnél,
b) a Kiberbiztonsági tv. hatálya alá tartozó, a kritikus szervezetek ellenálló képességéről szóló 2024. évi LXXXIV. törvény alapján kritikus szervezetként kijelölt szervezetnél,
c) a Kiberbiztonsági tv. hatálya alá tartozó, a védelmi és biztonsági tevékenységek összehangolásáról szóló 2021. évi XCIII. törvény alapján az ország védelme és biztonsága szempontjából jelentős szervezetként kijelölt szervezetnél
kinevezett vagy megbízott elektronikus információs rendszer biztonságáért felelős személy vonatkozásában kell alkalmazni.
(2) E rendeletnek a 3–5. alcím szerinti rendelkezéseit a Kiberbiztonsági tv. 1. § (1) és (2a) bekezdése szerinti szervezetek vonatkozásában kell alkalmazni.
(3) E rendeletnek a 6. alcím szerinti rendelkezéseit a Kiberbiztonsági tv. 1. § (1) bekezdés a)–c) pontja, valamint 1. § (2a) bekezdése szerinti szervezetekhez kirendelhető információbiztonsági felügyelő vonatkozásában kell alkalmazni.
2. Az elektronikus információs rendszer biztonságáért felelős személy végzettségére, szakképzettségére vonatkozó követelmények
2. § (1) Elektronikus információs rendszer biztonságáért felelős személy felsőfokú végzettséggel rendelkező személy lehet.
(2) Az elektronikus információs rendszer biztonságáért felelős személy vonatkozásában a Kiberbiztonsági tv. 11. § (3) bekezdés b) pontja szerint elfogadható szakképzettségek és akkreditált nemzetközi képzettségek listáját (a továbbiakban: elfogadható szakképzettségek listája) a Kiberbiztonsági tv. 75. §-a szerinti nemzeti koordinációs központ (a továbbiakban: nemzeti koordinációs központ) állítja össze, és teszi közzé a honlapján.
(3) A nemzeti koordinációs központ intézkedik az elfogadható szakképzettségek listájának legalább évente történő felülvizsgálatáról.
(4) Az elfogadható szakképzettségek listájának összeállítása és felülvizsgálata során a nemzeti koordinációs központ az Európai Uniós Kiberbiztonsági Ügynökség által készített Európai Kiberbiztonsági Készség Keretrendszerre figyelemmel, a nemzeti kiberbiztonsági hatóság és a honvédelmi kiberbiztonsági hatóság, valamint a Nemzeti Kiberbiztonsági Fórum bevonásával jár el.
(5) A nemzeti kiberbiztonsági hatóság, a honvédelmi kiberbiztonsági hatóság, valamint a Nemzeti Kiberbiztonsági Fórum – indokolt esetben – a (3) bekezdés szerinti felülvizsgálaton kívül is, negyedévente kezdeményezheti a nemzeti koordinációs központnál szakképzettségnek vagy akkreditált nemzetközi képzettségnek az elfogadható szakképzettségek listájára való felvételét vagy onnan való törlését.
(6) A nemzeti koordinációs központ az (5) bekezdés szerinti megkeresés alapján – a nemzeti kiberbiztonsági hatóság, a honvédelmi kiberbiztonsági hatóság és a Nemzeti Kiberbiztonsági Fórum véleményének kikérését követően – intézkedik a megkeresésben megjelölt szakképzettségnek vagy akkreditált nemzetközi képzettségnek az elfogadható szakképzettségek listájára való felvétele vagy onnan való törlése iránt.
3. Az elektronikus információs rendszer biztonságáért felelős személy továbbképzésére vonatkozó rendelkezések
3. § (1) Az elektronikus információs rendszer biztonságáért felelős személy köteles a kiberbiztonsági és jogszabályi ismereteit bővítő továbbképzésen részt venni, a (2) bekezdés szerinti tárgykörök közül legalább három tárgykörben évente összesen legalább 20 órás időtartamban.
(2) Az (1) bekezdés szerinti továbbképzés tárgykörei:
a) kiberbiztonsági trendek,
b) kiberbiztonsági kockázatok és szervezeti stratégiák,
c) uniós és hazai kiberbiztonsági jogszabályi kötelezettségek és feladatok változásai,
d) kiberbiztonsági incidenskezeléshez kapcsolódó feladatok,
e) kiberbiztonsági technológiai ismeretek,
f) a kiberbiztonsági hatóságokkal és a kiberbiztonsági incidenskezelő központokkal való együttműködés,
g) kiberbiztonsági jó gyakorlatok és tapasztalatok megosztása.
4. A szervezet vezetőjének képzésére és továbbképzésére vonatkozó rendelkezések
4. § (1) A szervezet vezetője köteles részt venni
a) a szervezet vezetőjévé válását követő egy éven belül egy, összesen legalább 8 órás időtartamban szervezett képzésen, valamint ezt követően
b) évente összesen legalább 4 órás időtartamban szervezett továbbképzésen.
(2) Az (1) bekezdés a) pontja szerinti képzés tárgykörei:
a) kiberbiztonsági trendek,
b) kiberbiztonsági kockázatok és szervezeti stratégiák,
c) uniós és hazai kiberbiztonsági jogszabályi kötelezettségek és feladatok,
d) kiberbiztonsági incidenskezeléshez kapcsolódó feladatok,
e) kiberbiztonsági jó gyakorlatok és tapasztalatok megosztása.
(3) Az (1) bekezdés b) pontja szerinti továbbképzés tárgykörei:
a) kiberbiztonsági trendek,
b) kiberbiztonsági kockázatok és szervezeti stratégiák,
c) uniós és hazai kiberbiztonsági jogszabályi kötelezettségek és feladatok változásai,
d) kiberbiztonsági jó gyakorlatok és tapasztalatok megosztása.
5. A képzésre és a továbbképzésre vonatkozó közös rendelkezések
5. § (1) Az elektronikus információs rendszer biztonságáért felelős személy továbbképzése, valamint a szervezet vezetőjének képzése, továbbképzése a felnőttképzésről szóló 2013. évi LXXVII. törvényben (a továbbiakban: Fktv.) meghatározott képzési forma szerint valósítható meg.
(2) A 3. § és a 4. § szerinti képzést, továbbképzést olyan, az Fktv. szerint bejelentett felnőttképző (a továbbiakban: felnőttképző) szervezhet, amely a kiberbiztonság területén legalább 3 éves oktatási, képzési tapasztalattal rendelkező szakembert tud oktatóként biztosítani.
(3) A képzéshez, továbbképzéshez az Fktv. 12. §-a szerinti képzési programot szükséges készíteni, melyet előzetes minősítés nélkül az Fktv. szerinti felnőttképzési adatszolgáltatási rendszerbe fel kell tölteni az Fktv. 15. § (1) bekezdése szerint meghatározott időpontig. A képzési programnak tartalmaznia kell az e rendeletre történő hivatkozást is.
(4) A képzés, továbbképzés tananyagát, valamint a (2) bekezdés szerinti feltételek teljesülését a kiberbiztonsági hatóság vizsgálhatja.
(5) A tananyag akkor megfelelő, ha a 3. § (2) bekezdésében és a 4. § (2) és (3) bekezdésében meghatározott tárgykörök a kiberbiztonsági szakterületen tapasztalható aktuális trendeket és fenyegetéseket tükrözik, és a tananyag legalább egy olyan fejezetet tartalmaz, amely a képzés, továbbképzés megkezdése előtti egy éven belül került aktualizálásra.
(6) A képzés vagy továbbképzés elvégzéséről a felnőttképző az Fktv. 13/B. §-a szerinti tanúsítványt állít ki.
(7) Az Fktv. 2. § 8. pontja szerinti kontaktórás képzésben, továbbképzésben a teljes óraszám 10%-ánál magasabb arányú hiányzás esetén a felnőttképző a tanúsítványt nem állíthatja ki.
(8) A felnőttképzőnek az Fktv. 16. §-ában meghatározott dokumentumokat kell vezetnie és nyilvántartania.
6. § (1) A 3. § és a 4. § (1) bekezdés b) pontja szerinti aktuális éves továbbképzési kötelezettsége alól mentesül az a személy, aki a 3. §, illetve a 4. § (1) bekezdés b) pontja szerinti továbbképzési kötelezettséget megelőző egy éven belül teljesített olyan képzést, amely a 3. § (2) bekezdése, illetve a 4. § (3) bekezdése szerinti tárgyköröket magába foglalta. A mentesülésre alapot adó képzés teljesítését a továbbképzésre kötelezett a nemzeti felsőoktatásról szóló 2011. évi CCIV. törvény vagy a szakképzésről szóló 2019. évi LXXX. törvény szerinti okirattal vagy az Fktv. 13/C. §-a szerinti mikrotanúsítvánnyal (a továbbiakban együtt: igazoló okirat) igazolja.
(2) A 4. § (1) bekezdés a) pontja szerinti képzési kötelezettsége alól mentesül az a személy, aki a 4. § (2) bekezdése szerinti tárgyköröket magába foglaló képzésnek a 4. § (1) bekezdés a) pontja szerinti képzési kötelezettség keletkezését megelőző öt éven belüli teljesítését igazolja.
(3) Az elektronikus információs rendszer biztonságáért felelős személlyel szemben alkalmassági feltételként szabott, a 2. § (1) bekezdése szerinti végzettség vagy a 2. § (2) bekezdése szerinti szakképzettség megszerzése akkor sem szolgálhat a 3. § szerinti továbbképzési kötelezettség teljesítése alól mentesítésre alapot adó képzésként, ha a 3. §-ban meghatározott tárgyköröket magába foglalta.
(4) A biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló miniszteri rendeletben meghatározott képzésen való részvétel nem mentesít az e rendeletben foglaltak szerinti képzés, illetve továbbképzés elvégzésének kötelezettsége alól.
(5) A képzés, továbbképzés elvégzését, valamint a mentesülésre okot adó körülmények fennálltát a kiberbiztonsági hatóság vizsgálhatja.
(6) Az (5) bekezdés szerinti vizsgálat során a képzésen, továbbképzésen részt vevő személy köteles
a) a képzés, továbbképzés elvégzését az 5. § (6) bekezdése szerinti tanúsítvánnyal igazolni, vagy
b) mentesülés esetén az igazoló okiratot bemutatni.
(7) Ha az igazoló okirat nem tartalmazza a mentesülés alapját képező képzés keretében oktatott tárgyköröket, akkor az (1) és (2) bekezdés szerinti mentesülésre okot adó körülmény fennállásának bizonyítása érdekében a képzésre kötelezett az (5) bekezdés szerinti vizsgálat során azt a dokumentumot is bemutatja, amely azt tanúsítja, hogy a képzés az e rendelet által elvárt tárgyköröket is – legalább az elvárt óraszámban – magába foglalta.
6. Az információbiztonsági felügyelő végzettségére, szakképzettségére, továbbképzési kötelezettségére, valamint szakmai gyakorlatára vonatkozó szabályok
7. § A Kiberbiztonsági tv. 1. § (1) bekezdés a)–c) pontja, valamint 1. § (2a) bekezdése szerinti szervezet vonatkozásában információbiztonsági felügyelőként az a személy rendelhető ki, aki
a) rendelkezik a 2. § szerinti végzettséggel, szakképzettséggel,
b) teljesíti az elektronikus információs rendszer biztonságáért felelős személy vonatkozásában előírt továbbképzési kötelezettséget, és
c) a kirendelés időpontját megelőző 5 évben megszakítás nélkül szerepel elektronikus információs rendszer biztonságáért felelős személyként a nemzeti kiberbiztonsági hatóság által a Kiberbiztonsági tv. 28. § (1) bekezdés 1. pont k) alpontja szerint vezetett nyilvántartásban.
7. Záró rendelkezések
8. § Ez a rendelet a kihirdetését követő napon lép hatályba.
9. § (1) E rendelet rendelkezéseit a már folyamatban lévő hatósági eljárások vonatkozásában is alkalmazni kell.
(2) Ha az elektronikus információs rendszer biztonságáért felelős személy nem rendelkezik a 2. § szerinti szakképzettséggel, a Kiberbiztonsági tv. 11. § (3) bekezdés b) pontja szerinti alkalmassági követelmény teljesítéseként 2027. december 31-ig a következő szakterületen szerzett legalább ötéves szakmai tapasztalat fogadható el:
a) az információbiztonsági irányítási rendszer vagy kockázatmenedzsment keretrendszer
aa) tervezése során,
ab) kialakítása során,
ac) működtetése során,
b) az információbiztonsági vagy kiberbiztonsági ellenőrzés vagy felügyeleti tevékenység területén,
c) az információbiztonsági vagy kiberbiztonsági kockázatelemzés területén,
d) az elektronikus információs rendszerek információbiztonsági vagy kiberbiztonsági tanúsítási tevékenysége során vagy
e) az elektronikus információs rendszerek információbiztonsági vagy kiberbiztonsági tesztelésében, etikus hacker tevékenységben.
(3) A 2025. december 31-ét megelőzően kinevezett vagy megbízott elektronikus információs rendszer biztonságáért felelős személy a 3. § szerinti továbbképzést első alkalommal 2026. december 31-ig köteles elvégezni.
(4) A szervezet 2025. december 31-ét megelőzően kinevezett vagy megbízott vezetője a 4. § (1) bekezdés a) pontja szerinti képzést 2026. december 31-ig köteles elvégezni.
10. § Ez a rendelet az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.
11. §1
A 11. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás