(4) Národní úřad pro kybernetickou a informační bezpečnost může z důvodu identifikovaných hrozeb nebo rizik stanovit provozovateli certifikovaného informačního systému zavedení dalších nutných bezpečnostních funkcí nebo opatření. Zavedení dalších nutných bezpečnostních funkcí nebo opatření oznámí provozovatel Národnímu úřadu pro kybernetickou a informační bezpečnost.