Kako usposabljati skrbnike informacijsko-komunikacijskih sistemov po Zakonu o informacijski varnosti

5. 9. 2025

Urad Vlade Republike Slovenije za informacijsko varnost

Po Zakonu o informacijski varnosti (ZInfV-1), peti odstavek 20. člena, morajo odgovorne osebe zagotoviti, da vsi skrbniki informacijsko-komunikacijskih sistemov zavezancev (skrbniki) opravijo redno letno usposabljanje. S tem pridobijo in ohranijo raven znanj ter spretnosti.

Zavezanci na ta način zagotavljajo, da so skrbniki usposobljeni za prepoznavanje in ocenjevanje tveganj ter oceno praks obvladovanja tveganj za informacijsko in kibernetsko varnost ter njihov vpliv na storitve subjekta. Ker ZInfV-1 zahteva, da so skrbniki sposobni ocenjevati tveganja in prakse obvladovanja tveganj v svojem okolju, morajo biti usposabljanja prilagojena njihovim dejanskim nalogam in odgovornostim.

Obveznost zagotavljanja rednega letnega usposabljanja skrbnikom je vsebinski standard, zato ni dovolj zgolj formalna udeležba. Usposabljanja morajo biti ciljno usmerjena na naloge skrbnikov (aplikacije, omrežja, oblačne storitve, strežniška infrastruktura ipd.), nadgrajevati njihove kompetence in biti dokazljivo izvedena, in sicer tako, da lahko zavezanec ob nadzoru jasno pokaže načrt, izvedbo, učne izide ter učinke na obvladovanje tveganj.

Usposabljanja morajo omogočati – glede na potrebe in poznavanje lastnih sistemov – pridobivanje, vzdrževanje in nadgradnjo kompetenc za opravljanje dodeljenih nalog. Potrdilo o usposabljanju mora izkazovati pridobljene veščine/znanja/kompetence. ZInfV-1 ne določa posameznih usposabljanj ali izvajalcev, odgovornost vsake posamezne organizacije je, da glede na lastne sisteme in dodeljene naloge posameznikom opredeli, katera znanja/veščine/kompetence so potrebne za ustrezno opravljanje dodeljenih nalog.