20. člen
(upravljanje)
(1)
Za izvajanje ukrepov iz 21. in 22. člena tega zakona so odgovorni predstojniki subjektov javne uprave, in odgovorne osebe pravnih oseb, to so fizične osebe, ki vodijo, nadzorujejo ali upravljajo poslovanje pravne osebe oziroma so po zakonu, aktu o ustanovitvi ali pooblastilu pristojne in dolžne zagotoviti zakonito delovanje (v nadaljnjem besedilu: odgovorne osebe) bistvenih ali pomembnih subjektov.
(2)
Odgovorne osebe iz prejšnjega odstavka odobrijo ukrepe za obvladovanje tveganj iz 22. člena tega zakona, ki jih subjekt izvaja zaradi izpolnjevanja obveznosti, določenih s tem zakonom, in nadzirajo njihovo izvajanje.
(3)
Odgovorne osebe iz prvega odstavka tega člena se najmanj vsaka štiri leta izobražujejo oziroma usposabljajo na področju obvladovanja tveganj informacijske in kibernetske varnosti ter njihovega vpliva na dejavnosti ali storitve, ki jih izvaja subjekt.
(4)
Odgovorne osebe zagotavljajo redno usposabljanje zaposlenih, da pridobijo dovolj znanj in spretnosti, s katerimi se usposobijo za prepoznavanje tveganj za informacijsko in kibernetsko varnost ter njihovega vpliva na storitve, ki jih opravlja subjekt. Pristojni nacionalni organ objavi na osrednjem spletnem mestu državne uprave priporočene vsebine rednega usposabljanja zaposlenih.
(5)
Odgovorne osebe zagotavljajo, da vsi skrbniki informacijsko-komunikacijskih sistemov zavezanca opravijo redno letno usposabljanje, da pridobijo in ohranijo raven znanj in spretnosti ter so usposobljeni za prepoznavanje in ocenjevanje tveganj ter za oceno praks obvladovanja tveganj za informacijsko in kibernetsko varnost ter njihovega vpliva na storitve, ki jih opravlja subjekt.
(6)
Pristojni nacionalni organ je pristojen za organiziranje usposabljanja odgovornih oseb iz prvega odstavka tega člena. Program in način izvajanja usposabljanja odgovornih oseb na področju informacijske in kibernetske varnosti določi vlada na predlog pristojnega nacionalnega organa.
(7)
Pristojni nacionalni organ vodi seznam odgovornih oseb iz prvega odstavka tega člena, ki so opravile usposabljanje iz prejšnjega odstavka. Seznam obsega ime in priimek osebe, enotno matično številko občana in datum opravljenega usposabljanja.