ITS-IBF

Új Kötelező kiberbiztonsági továbbképzés információs rendszerek biztonságáért felelős személyek (IBF) számára

Kibertörvény EM rendelet szerinti kötelező kiberbiztonsági továbbképzés IBF-ek számára
Választható részvételi forma
Választható képzési forma
Képzés hossza
  • 3 nap (3×6 tanóra)
  • naponta 9:00 - 17:00
Elérhető képzési nyelvek
  • Magyar
Választható időpontok
Szeretne a cégére szabott megoldást, csoportos képzést?
Egyedi képzési szolgáltatásainkról részletesen itt olvashat.

Ismertető

A Kibertörvény 17/2025. (VII. 24.) EM rendelete szerint a NIS2-re kötelezett cégek esetében az elektronikus információs rendszer biztonságáért felelős személy (IBF) köteles a kiberbiztonsági és jogszabályi ismereteit bővítő továbbképzésen részt venni, a jogszabályban meghatározott tárgykörök közül legalább három tárgykörben, évente összesen legalább 20 órás időtartamban.

A Training360 által kínált képzés célja, hogy az IBF szerepkörben tevékenykedő szakemberek részére a jogszabály által előírt területeken naprakész, jól hasznosítható és gyakorlatias megközelítésű ismeretanyagot biztosítson, és segítse őket a mindennapi információvédelmi feladatok hatékony elvégzésében.

A gyakorlati, interaktív modulokat is tartalmazó képzést több mint 15 éves információ biztonsági technológiai, menedzsment és auditori gyakorlattal és tapasztalattal rendelkező szakértő trénerek tartják, akik nem csak naprakész tudásukkal, hanem sok-sok best pratice tanáccsal is tudják a résztvevőket támogatni. A képzés tudásellenőrzéssel zárul; a résztvevők a képzés elvégzését és a teszten való megfelelést követően a felnőttképzési törvény alapján tanúsítványt kapnak.

A képzés anyag úgy került összeállításra, hogy a jogszabályban meghatározott valamennyi területet lefedi:

  • a) kiberbiztonsági trendek
  • b) kiberbiztonsági kockázatok és szervezeti stratégiák
  • c) uniós és hazai kiberbiztonsági jogszabályi kötelezettségek és feladatok változásai
  • d) kiberbiztonsági incidenskezeléshez kapcsolódó feladatok
  • e) kiberbiztonsági technológiai ismeretek
  • f) a kiberbiztonsági hatóságokkal és a kiberbiztonsági incidenskezelő központokkal való együttműködés
  • g) kiberbiztonsági jó gyakorlatok és tapasztalatok megosztása

Kinek ajánljuk?

A képzést vállalatok, szervezetek elektronikus információs rendszerek biztonságának kialakításáért, fenntartasáért, menedzseléséért és karbantartásáért felelős személyek (IBF) részére ajánljuk, akik szeretnék meglévő tudásukat bővíteni és aktualizálni, és teljesíteni a kiberbiztonsági továbbképzésre vonatkozó jogszabályi előírást.

A képzés hasznos lehet még belső / külső auditorok, IT projektmenedzserek, biztonságért felelős / compliance munkatársak vagy akár bizonság üzemeltetők számára is, akik szeretnék bővíteni tudásukat az egyes területeken.

Előnyök

A képzés végén a résztvevők…

  • ismertetni tudják az aktuális fenyegetési képet, trendeket
  • képbe kerülnek a NIS2, 7/2024 MK, 1/2025 SZTFH rendelet aktuális állásával, esetleg változásaival
  • ismertetni és alkalmazni tudják a EU AI Act governance előírásait a mesterséges intelligencia hasnzálatának szabályozásairól (kötelezettségek, kockázati osztályozás, határidők)
  • ismertetni és általános szinten alkalmazni tudják fenyegetésinformáció-elemzést (CTI) technikákat
  • képesek lesznek az OSINT elvek és megoldások alapvető alkalmazására információvalidáció céljából
  • képesek lesznek ismertetni és megérteni és elemezni az AI-specifikus kockázatokat
  • képesek lesznek Ransomware TTX gyakorlat keretében incidensmenedzsment lefolytatására
  • ismertetni és felhasználni tudják az emberi videlkedés tényezőit a kibertérben (kiberpszichológia és viselkedéselemzés alapok)
  • képesek lesznek Phishing/social engineering mini-szimuláció keretében felismerni és kezelni a fenyegettségeket / incidenseket
  • képesek lesznek a hatékony hatósági együttműködésre (bejelentési kötelezettségek, kapcsolattartás) incidens esetén
  • az egyes témakörök esetében megismerik és használni tudják a bevált jó gyakorlatokat

Tematika

1. Kiberbiztonsági trendek + CTI bevezetés (Tárgykör: a) kiberbiztonsági trendek)

  • Globális és hazai fenyegetési körkép (ENISA, ISACA)
  • Ransomware-as-a-Service, supply chain és AI-vezérelt social engineering trendek
  • Mi a CTI (Cyber Threat Intelligence) és miért releváns egy IBF napi munkájában — rövid fogalmi keret a 4. modulhoz

2. Jogszabályi környezet — kiberbiztonság (Tárgykör: c) jogszabályi változások)

  • NIS2 hazai implementáció állása, kapcsolódó rendeletek frissítései
  • 7/2024 MK és 1/2025 SZTFH rendelet gyakorlati interpretációi
  • Auditok kapcsán jelentkező releváns tapasztalatok

3. EU AI Act és AI governance (Tárgykör: c) jogszabályi változások)

  • Kockázati osztályozás (tilos / nagy kockázatú / korlátozott / minimális)
  • IBF-re és szervezetre vonatkozó kötelezettségek és határidők
  • Kapcsolódás a meglévő IBSZ AI-szabályozási résszel (governance keretrendszer illesztése)
  • Esettanulmány: hogyan kezelendő egy belső AI-alapú eszköz a rendelet szerint

4. CTI alapismeretek (Tárgykör: e) technológiai ismeretek)

  • Hírforrások, feedek, IoC-k, IoA-k
  • MITRE ATT&CK keretrendszer alapjai
  • CTI beépítése a kockázatértékelési és incidenskezelési folyamatba

5. OSINT mint információvalidáció (Tárgykör: e) technológiai ismeretek)

  • Nyílt forrású információk hitelességének ellenőrzése (fact-checking technikák)
  • Eszközök rövid áttekintése, etikai és jogi korlátok (GDPR-relevancia)
  • Eszközök gyakorlati bemutatása, példákkal

6. AI-specifikus biztonsági kockázatok (Tárgykör: e) technológiai ismeretek)

  • Prompt injection, modellmérgezés (data/model poisoning), adatszivárgási kockázatok
  • Shadow AI (engedély nélküli AI-eszközhasználat a szervezetben)
  • AI-ellátási lánc kockázatok (harmadik féltől származó modellek/API-k)
  • Mitigációs alapelvek és kontrollpontok IBF-szemszögből

7. Kockázatkezelési licit-gyakorlat — AI-kiegészítéssel (Tárgykör: b) kockázatok és stratégiák)

A korábbi gamifikált formátum bővítve: a licitálható kockázati tételek között hagyományos és AI-specifikus kockázatok is szerepelnek (pl. shadow AI vs. ransomware vs. supply chain — melyikre allokál a csoport korlátozott büdzsét).

  • Forgatókönyv-készítés vegyes kockázati profillal
  • Licitkörök + facilitátori levezetés
  • Debrief: döntési torzítások, AI-kockázat alulbecslésének tipikus okai

8. Ransomware TTX gyakorlat (Tárgykör: d) incidenskezelés)

  • Forgatókönyv: kezdeti kompromittálódás → laterális mozgás → titkosítás
  • Szerepkörök: IBF, IT vezető, jogi/compliance, vezetőség, kommunikáció
  • Döntési pontok: leállítás vs. üzemfolytatás, váltságdíj-dilemma, bejelentési határidők (24/72 óra)
  • Záró kiértékelés

9. Kiberpszichológia és viselkedéselemzés a kibertérben (Tárgykör: e) technológiai ismeretek / g) jó gyakorlatok megosztása)

  • Social engineering pszichológiai alapjai: Cialdini-féle befolyásolási elvek (autoritás, sürgősség, társadalmi bizonyíték) gyakorlati phishing/vishing kontextusban
  • Kognitív torzítások, amelyeket a támadók kihasználnak (pl. optimizmus-torzítás, „nekem nem fog megtörténni” attitűd)
  • Belső fenyegetés (insider threat) viselkedési mintázatai: korai figyelmeztető jelek, motivációs tipológia (elégedetlenség, kényszer, ideológia, profit)
  • Digitális nyomok és viselkedési mintázatok OSINT-szemszögből: mit árul el egy szervezet/személy publikus digitális lábnyoma a támadó számára
  • Gyakorlat: esettanulmány-elemzés: valós (anonimizált) social engineering incidens lebontása — mely pszichológiai mechanizmust használta ki a támadó, és mit lehetett volna másképp tenni
  • Csoportos gyakorlat: egy fiktív belső szereplő viselkedési „red flag” jelzéseinek azonosítása egy adott forgatókönyvben (kapcsolódik az incidenskezelési és insider threat témákhoz)

10. Hatósági együttműködés workshop (Tárgykör: f) hatósági együttműködés)

  • SZTFH/NMHH bejelentési folyamat élőben/szimulálva
  • Sablonkitöltési gyakorlat valós határidőkkel

11. Jó gyakorlatok kerekasztal (Tárgykör: g) jó gyakorlatok megosztása)

  • Saját szervezeti esettanulmányok (anonimizálva)
  • Közös „lessons learned” összefoglaló

12. Phishing/social engineering mini-szimuláció (Tárgykör: d) incidenskezelés)

  • Hagyományos és AI-generált phishing minták összehasonlító elemzése
  • Saját kampánytervezési lépések, mérőszámok

13. Záró összefoglalás, tudásellenőrzés

  • Rövid multiple choice tudásellenőrzés
  • Visszacsatolási kérdőív
Tematika (PDF)

Szükséges előképzettség

Informatikai, információbiztonsági vagy kockázatkezelési területen szerzett gyakorlat. Rendszerüzemeltetési, hálózatbiztonsági, audit vagy IT irányítási tapasztalat előny.