Zákon o kybernetické bezpečnosti požaduje, aby orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2 zákona tím, že zajistí odborné školení osob, které zastávají bezpečnostní role v souladu s plánem rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. b). Orgán a osoba uvedená v § 3 písm. c) a d) zákona určí bezpečnostní role:

Manažer kybernetické bezpečnosti je osoba odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost řádně vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let.

Architekt kybernetické bezpečnosti je osoba odpovědná za návrh a implementaci bezpečnostních opatření, která je pro tuto činnost řádně vyškolena a prokáže odbornou způsobilost praxí s navrhováním bezpečnostní architektury po dobu nejméně tří let.

Auditor kybernetické bezpečnosti je osoba odpovědná za provádění auditu kybernetické bezpečnosti, která je pro tuto činnost řádně vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti po dobu nejméně tří let. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen od výkonu rolí uvedených v odstavci 2 písm. a), b) nebo d).

Garantem aktiva se rozumí fyzická osoba pověřená orgánem a osobou uvedenou v § 3 písm. c) až e) zákona k zajištění rozvoje, použití a bezpečnosti aktiva. Garant aktiva vykonává svoji roli podle § 2 písm. m).