A NIS2 megfelelés kapcsán a legtöbb érintett szervezet elsőként az informatikai biztonsági intézkedésekre, a szabályzatokra, az auditkötelezettségre vagy az incidenskezelési folyamatokra gondol. Van azonban egy olyan terület, amely könnyen háttérbe szorulhat, pedig a megfelelés szempontjából kifejezetten fontos: a vezetők és az információbiztonsági felelősök kiberbiztonsági képzés, illetve továbbképzési kötelezettsége.
A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény hatálya alá tartozó szervezetek számára a 17/2025. (VII. 24.) EM rendelet részletesen meghatározza, hogy az elektronikus információs rendszer biztonságáért felelős személyeknek, vagyis az IBF-eknek, valamint a szervezet vezető tisztségviselőinek milyen képzési követelményeknek kell megfelelniük. A rendelet 2025. július 26-án lépett hatályba.
Miért fontos az információbiztonsági képzési kötelezettség?
A kiberbiztonság ma már nem kizárólag informatikai kérdés. Egy kibertámadás, adatvesztés, szolgáltatáskiesés vagy hatósági vizsgálat közvetlen üzleti, jogi, pénzügyi és reputációs következményekkel járhat. Ezért a vezetőknek is érteniük kell, milyen kiberbiztonsági kockázatokkal szembesülhet a szervezet, milyen döntési helyzetek alakulhatnak ki, és milyen felelősségük van a megfelelő kontrollkörnyezet kialakításában.
Az IBF-ek esetében a továbbképzés célja, hogy a kiberbiztonsági és jogszabályi ismeretek naprakészek maradjanak. A jogszabály szerint az IBF évente összesen legalább 20 órás továbbképzésen köteles részt venni, legalább három meghatározott kiberbiztonsági tárgykörben.
Kikre vonatkozik az információbiztonsági képzési kötelezettség?
A képzési és továbbképzési kötelezettség a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény hatálya alá tartozó kötelezett szervezetekre terjed ki, ideértve a kritikus szervezeteket, valamint az ország védelme és biztonsága szempontjából jelentős szervezeteket is. A törvény a NIS2 irányelv magyarországi implementációjának része.
A gyakorlatban ezért minden olyan szervezetnek érdemes megvizsgálnia az információbiztonsági képzési kötelezettséget, amely már NIS2 érintettségi vizsgálatot végzett, regisztrációs, audit- vagy kiberbiztonsági megfelelési feladatokkal foglalkozik, vagy a törvény hatálya alá tartozó ágazatban működik.
Milyen kiberbiztonsági képzés kötelező az információbiztonsági felelősöknek? (IBF)
Az elektronikus információs rendszer biztonságáért felelős személynek, vagyis az IBF-nek évente legalább 20 órás továbbképzést kell teljesítenie. A továbbképzésnek a rendeletben meghatározott kiberbiztonsági tárgykörök közül legalább háromra kell kiterjednie.
A 2025. december 31. előtt kinevezett vagy megbízott IBF-ek esetében az első továbbképzést 2026. december 31-ig kell elvégezni. Ezt követően a továbbképzési kötelezettség éves jelleggel jelentkezik.
Milyen információbiztonsági képzés kötelező a vezetőknek?
A vezető tisztségviselők számára a rendelet legalább 8 órás képzést ír elő. Ezt főszabály szerint a vezetővé válást követő egy éven belül kell teljesíteni.
A 2025. december 31. előtt kinevezett vagy megbízott vezetők esetében a képzést első alkalommal 2026. december 31-ig kell elvégezni. A képzés teljesítését követően a vezetőknek évente legalább 4 órás továbbképzésen kell részt venniük.
A kötelezettség alól mentesülés merülhet fel, ha az érintett vezető igazolni tudja, hogy az előírt tárgyköröket magában foglaló képzésen az elmúlt öt évben részt vett. A mentesülés lehetőségét azonban mindig az adott szervezet és az érintett személy dokumentumai alapján érdemes megvizsgálni.
Ellenőrizheti-e a hatóság a kiberbiztonsági képzés teljesítését?
Az információbiztonsági képzés, továbbképzés elvégzését, valamint az esetleges mentesülési feltételek fennállását a kiberbiztonsági hatóság vizsgálhatja. Ezért nem elegendő a képzésen való részvétel informális kezelése: fontos, hogy a szervezet rendelkezzen megfelelő igazolással és belső nyilvántartással.
A képzési kötelezettség teljesítéséhez az RSM online, felnőttképzési formában megvalósuló képzési lehetőséget tud ajánlani, külső szakmai partner bevonásával.
A vezetői képzés 2 × 4 órás formában érhető el, így könnyen beilleszthető a vezetői munkarendbe.
Az RSM-en keresztül érdeklődő ügyfelek számára kedvezményes részvételi feltételeket biztosítunk. A pontos képzési díjakról, az elérhető kedvezményről és a jelentkezés részleteiről érdeklődés esetén külön tájékoztatást adunk.
Érdekel az ajánlat, megadom az elérhetőségeimet
Milyen bírság járhat a NIS2 képzési kötelezettség elmulasztása esetén?
A NIS2 képzési kötelezettség elmulasztása nem csupán adminisztratív hiányosság. A kiberbiztonsági képzés és továbbképzés teljesítését igazoló dokumentumok meglétét a hatóság ellenőrizheti, és hiányosság esetén bírság kiszabására is sor kerülhet.
A 418/2024. (XII. 23.) Korm. rendelet alapján a kiberbiztonsági képzés, továbbképzés elvégzését igazoló okirat hiánya esetén a kiberbiztonsági bírság összege 200 000 Ft-tól 4 000 000 Ft-ig terjedhet.
Ez azt jelenti, hogy ha egy NIS2 kötelezett szervezet nem tudja megfelelően igazolni, hogy az IBF továbbképzés vagy a vezetői kiberbiztonsági képzés teljesítése megtörtént, az önmagában is bírságkockázatot jelenthet.
A jogszabály emellett a szervezet vezetőjének felelősségét is kiemelten kezeli. Amennyiben a szervezet vezetője nem tesz eleget a kiberbiztonsági jogszabályokban előírt kötelezettségeinek, a hatóság akár 15 millió Ft-ig terjedő bírságot is kiszabhat vele szemben.
Ezért a NIS2 megfelelés során nem elegendő kizárólag az informatikai vagy szabályozási feladatokra koncentrálni.
A NIS2 vezetői képzés, az IBF továbbképzés, valamint ezek megfelelő dokumentálása a teljes megfelelési folyamat fontos része.
A képzési dokumentumokat célszerű belső nyilvántartásban is kezelni, különösen az alábbi adatokkal:
- képzés megnevezése;
- képzés típusa: vezetői képzés vagy IBF továbbképzés;
- résztvevő neve és pozíciója;
- képzés időpontja;
- képző intézmény neve;
- képzés óraszáma;
- teljesítést igazoló dokumentum.
A bírságkockázat csökkentése érdekében érdemes időben felmérni, hogy a szervezetnél kiket érint a NIS2 képzési kötelezettség, kiknek szükséges vezetői kiberbiztonsági képzésen részt venniük, és ki az a kijelölt vagy megbízott információbiztonsági felelős, akinek az éves 20 órás IBF továbbképzést teljesítenie kell.
Miért érdemes időben megszervezni az információbiztonsági képzést?
Bár a 2026. december 31-i határidő első ránézésre távolinak tűnhet, a gyakorlati szervezés miatt nem célszerű az év végére hagyni a képzés teljesítését. Több vezető érintettsége esetén össze kell hangolni a naptárakat, tisztázni kell a résztvevői kört, és gondoskodni kell arról is, hogy az elvégzett képzés megfelelően dokumentált legyen.
A határidő előtti teljesítés emellett csökkenti annak kockázatát, hogy a szervezet az év végi üzleti, audit- vagy zárási feladatok mellett kapkodva próbálja teljesíteni a kötelezettséget.
Online képzési lehetőség vezetőknek és IBF-eknek
A képzési kötelezettség teljesítéséhez az RSM online, felnőttképzési formában megvalósuló képzési lehetőséget tud ajánlani, külső szakmai partner bevonásával.
A vezetői képzés 2 × 4 órás formában érhető el, így könnyen beilleszthető a vezetői munkarendbe.
Az RSM-en keresztül érdeklődő ügyfelek számára kedvezményes részvételi feltételeket biztosítunk. A pontos képzési díjakról, az elérhető kedvezményről és a jelentkezés részleteiről érdeklődés esetén külön tájékoztatást adunk.
Érdekel az ajánlat, vegyék fel velem a kapcsolatot
Mire érdemes figyelni a képzés kiválasztásakor?
A képzés kiválasztásakor célszerű ellenőrizni, hogy:
- a képző felnőttképzőként működik-e;
- a képzés időtartama megfelel-e a jogszabályi elvárásnak;
- a tematika illeszkedik-e a rendeletben meghatározott tárgykörökhöz;
- a képzésről megfelelő igazolás áll-e rendelkezésre;
- a szervezet belső nyilvántartásában követhető-e, hogy ki, mikor és milyen képzést teljesített.
A NIS2 megfelelés nem merül ki a technikai és adminisztratív feladatokban. A vezetők és az IBF-ek képzése a megfelelési folyamat fontos eleme, amely hozzájárulhat ahhoz, hogy a szervezet ne csak formálisan, hanem működésében is felkészültebben kezelje a kiberbiztonsági kockázatokat.
A képzési kötelezettség teljesítése ugyanakkor csak egy része a NIS2 megfelelésnek. Az RSM Hungary NIS2 tanácsadási szolgáltatása a teljes felkészülési folyamatban támogatást nyújthat, az érintettség vizsgálatától és GAP elemzéstől kezdve a kockázatelemzésen, szabályzatalkotáson és auditra való felkészülésen át a megfelelés fenntartásáig.
Részletek a NIS2 megfelelésről
A 2025. december 31. előtt kinevezett vagy megbízott vezetők és IBF-ek számára az első teljesítési határidő 2026. december 31. Az érintett szervezeteknek ezért érdemes időben felmérniük, kikre vonatkozik a kötelezettség, és milyen képzési megoldással tudják azt megfelelően teljesíteni.
Amennyiben szeretné áttekinteni, hogy szervezeténél kiket érinthet a NIS2 képzési kötelezettség, vagy érdeklődik partnerünk online vezetői és IBF képzése iránt, forduljon szakértőinkhez.
