(1) Manažer kybernetické bezpečnosti

1. po dobu nejméně tří let, nebo

2. stavu systému řízení bezpečnosti informací a

1. činnostech vyplývajících z rozsahu jeho odpovědnosti a

2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole,

a) je bezpečnostní role odpovědná za systém řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací

b) odpovídá za pravidelné informování vrcholového vedení o

c) nesmí být pověřen výkonem rolí odpovědných za provoz informačního a komunikačního systému.

(2) Architekt kybernetické bezpečnosti je bezpečnostní role odpovědná za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura informačního a komunikačního systému, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním architektury bezpečnosti

b) po dobu jednoho roku, pokud absolvovala studium na vysoké škole.

a) po dobu nejméně tří let, nebo

(3) Garant aktiva je bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnost aktiva.

c) nesmí být pověřen výkonem jiných bezpečnostních rolí.

a) je bezpečnostní role odpovědná za provádění auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací

(4) Auditor kybernetické bezpečnosti

2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole,

b) zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné, a

1. po dobu nejméně tří let, nebo

(5) Povinná osoba při určování osob zastávajících bezpečnostní role přihlédne k doporučením uvedeným v příloze č. 6 k této vyhlášce.