(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona stanoví bezpečnostní politiku v oblastech

a) systém řízení bezpečnosti informací,

b) organizační bezpečnost,

c) řízení vztahů s dodavateli,

g) řízení přístupu,

h) bezpečné chování uživatelů,

i) zálohování a obnova,

j) bezpečné předávání a výměna informací,

k) řízení technických zranitelností,

l) bezpečné používání mobilních zařízení,

n) dlouhodobé ukládání a archivace informací,

m) poskytování a nabývání licencí programového vybavení a informací,

o) ochrana osobních údajů,

d) klasifikace aktiv,

e) bezpečnost lidských zdrojů,

f) řízení provozu a komunikací,

p) fyzická bezpečnost,

q) bezpečnost komunikační sítě,

r) ochrana před škodlivým kódem,

s) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí,

t) využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a

u) používání kryptografické ochrany.

(2) Orgán a osoba uvedená v § 3 písm. e) zákona stanoví bezpečnostní politiku v oblastech

a) systém řízení bezpečnosti informací,

b) organizační bezpečnost,

c) řízení dodavatelů,

f) řízení provozu a komunikací,

g) řízení přístupu,

h) bezpečné chování uživatelů,

i) zálohování a obnova,

l) používání kryptografické ochrany,

n) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí.

d) klasifikace aktiv,

e) bezpečnost lidských zdrojů,

m) ochrana před škodlivým kódem a

j) poskytování a nabývání licencí programového vybavení a informací,

k) ochrana osobních údajů,

(3) Orgán a osoba uvedená v § 3 písm. c) až e) zákona pravidelně hodnotí účinnost bezpečnostní politiky a aktualizuje ji.