ORGANIZAČNÍ OPATŘENÍ

a) stanoví s ohledem na požadavky dotčených stran a organizační bezpečnost rozsah systému řízení bezpečnosti informací, ve kterém určí organizační části a aktiva, jichž se systém řízení bezpečnosti informací týká,

b) stanoví cíle systému řízení bezpečnosti informací,

c) pro stanovený rozsah systému řízení bezpečnosti informací na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a hodnocení rizik zavede přiměřená bezpečnostní opatření,

e) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací, a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalších oblastech podle § 30 a zavede přiměřená bezpečnostní opatření,

g) zajistí pravidelné vyhodnocování účinnosti systému řízení bezpečnosti informací, které obsahuje hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik, posouzení výsledků provedených auditů kybernetické bezpečnosti a dopadů kybernetických bezpečnostních incidentů na systém řízení bezpečnosti informací,

d) řídí rizika podle § 5,

f) zajistí provedení auditu kybernetické bezpečnosti u informačního a komunikačního systému (dále jen „audit kybernetické bezpečnosti“) podle § 16,

j) řídí provoz a zdroje systému řízení bezpečnosti informací a zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik.

h) průběžně identifikuje a následně podle § 11 řídí významné změny, které patří do rozsahu systému řízení bezpečnosti informací,

i) aktualizuje systém řízení bezpečnosti informací a příslušnou dokumentaci na základě zjištění auditů kybernetické bezpečnosti, výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací a v souvislosti s prováděnými významnými změnami a

(1) Povinná osoba v rámci řízení aktiv

a) stanoví metodiku pro identifikaci aktiv,

b) stanoví metodiku pro hodnocení aktiv alespoň v rozsahu uvedeném v příloze č. 1 k této vyhlášce,

c) identifikuje a eviduje aktiva,

e) hodnotí a eviduje primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní podle písmene b),

g) hodnotí podpůrná aktiva a zohledňuje přitom zejména vzájemné závislosti podle písmene f),

d) určí a eviduje garanty aktiv,

f) určí a eviduje vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy,

i) stanoví přípustné způsoby používání aktiv a pravidla pro manipulaci s aktivy s ohledem na úroveň aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv, a

h) na základě hodnocení aktiv stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jednotlivých úrovní aktiv,

j) určí způsob likvidace dat, provozních údajů, informací a jejich kopií nebo likvidaci technických nosičů dat s ohledem na úroveň aktiv v souladu s přílohou č. 4 k této vyhlášce.

(2) Při hodnocení důležitosti primárních aktiv je třeba posoudit alespoň

a) rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů nebo obchodního tajemství,

b) rozsah dotčených právních povinností nebo jiných závazků,

c) rozsah narušení vnitřních řídicích a kontrolních činností,

e) dopady na poskytování důležitých služeb,

g) dopady na zachování dobrého jména nebo ochranu dobré pověsti,

f) rozsah narušení běžných činností,

d) poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty,

i) dopady na mezinárodní vztahy a

j) dopady na uživatele informačního a komunikačního systému.

h) dopady na bezpečnost a zdraví osob,

(1) Povinná osoba v rámci řízení rizik v návaznosti na § 4

a) stanoví metodiku pro hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik,

c) provádí hodnocení rizik v pravidelných intervalech podle odstavce 2 a při významných změnách,

b) s ohledem na aktiva identifikuje relevantní hrozby a zranitelnosti; přitom zvažuje zejména kategorie hrozeb a zranitelností uvedených v příloze č. 3 k této vyhlášce,

g) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání jednotlivých rizik, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení, popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a způsob realizace bezpečnostních opatření,

d) při hodnocení rizik zohlední relevantní hrozby a zranitelnosti a posoudí možné dopady na aktiva; tato rizika hodnotí alespoň v rozsahu přílohy č. 2 k této vyhlášce,

4. kybernetické bezpečnostní incidenty, včetně dříve řešených, a

1. nebyla aplikována, včetně odůvodnění,

2. byla aplikována, včetně způsobu plnění,

1. významné změny,

2. změny rozsahu systému řízení bezpečnosti informací,

h) při hodnocení rizik a v plánu zvládání rizik zohlední

i) v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.

3. opatření podle § 11 zákona a

e) zpracuje zprávu o hodnocení rizik,

f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled bezpečnostních opatření požadovaných touto vyhláškou, která

(2) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona provádí hodnocení rizik alespoň jednou ročně a povinná osoba uvedená v § 3 písm. e) zákona alespoň jednou za tři roky.

(3) Řízení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písm. d), pokud povinná osoba zabezpečí, že použitá opatření zajistí stejnou nebo vyšší úroveň procesu řízení rizik.

(1) Povinná osoba s ohledem na systém řízení bezpečnosti informací

a) zajistí stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací podle § 3 slučitelných se strategickým směřováním povinné osoby,

b) zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby,

c) zajistí dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací,

d) informuje zaměstnance o významu systému řízení bezpečnosti informací a významu dosažení shody s jeho požadavky se všemi dotčenými stranami,

e) zajistí podporu k dosažení zamýšlených výstupů systému řízení bezpečnosti informací,

f) vede zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací a podporuje je při tomto rozvíjení,

g) prosazuje neustálé zlepšování systému řízení bezpečnosti informací,

l) zajistí testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.

h) podporuje osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti,

i) zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role,

j) zajistí, aby byla zachována mlčenlivost administrátorů a osob zastávajících bezpečnostní role,

k) pro osoby zastávající bezpečnostní role zajistí příslušné pravomoci a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů a

(2) Povinná osoba v rámci systému řízení bezpečnosti informací určí složení výboru pro řízení kybernetické bezpečnosti a bezpečnostní role a jejich práva a povinnosti související se systémem řízení bezpečnosti informací.

b) architekta kybernetické bezpečnosti,

a) manažera kybernetické bezpečnosti,

c) garanta aktiva a

(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona určí osobu, která bude zastávat bezpečnostní roli

d) auditora kybernetické bezpečnosti.

(4) Povinná osoba uvedená v § 3 písm. e) zákona určí role manažera kybernetické bezpečnosti a garanta aktiva. Ostatní bezpečnostní role podle odstavce 3 určí přiměřeně vzhledem k rozsahu a potřebám systému řízení bezpečnosti informací.

(5) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona zajistí zastupitelnost bezpečnostních rolí uvedených v odstavci 3 písm. a) a b).

(6) Povinná osoba uvedená v § 3 písm. e) zákona zajistí zastupitelnost bezpečnostní role manažera kybernetické bezpečnosti.

(7) Výbor pro řízení kybernetické bezpečnosti je tvořen osobami s příslušnými pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj systému řízení bezpečnosti informací a osobami významně se podílejícími na řízení a koordinaci činností spojených s kybernetickou bezpečností, jehož členem musí být alespoň jeden zástupce vrcholového vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti. Povinná osoba u výboru pro řízení kybernetické bezpečnosti přihlédne k doporučením uvedeným v příloze č. 6 k této vyhlášce.

(1) Manažer kybernetické bezpečnosti

1. po dobu nejméně tří let, nebo

b) odpovídá za pravidelné informování vrcholového vedení o

c) nesmí být pověřen výkonem rolí odpovědných za provoz informačního a komunikačního systému.

2. stavu systému řízení bezpečnosti informací a

1. činnostech vyplývajících z rozsahu jeho odpovědnosti a

2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole,

a) je bezpečnostní role odpovědná za systém řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací

(2) Architekt kybernetické bezpečnosti je bezpečnostní role odpovědná za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura informačního a komunikačního systému, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním architektury bezpečnosti

b) po dobu jednoho roku, pokud absolvovala studium na vysoké škole.

a) po dobu nejméně tří let, nebo

(3) Garant aktiva je bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnost aktiva.

a) je bezpečnostní role odpovědná za provádění auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací

b) zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné, a

c) nesmí být pověřen výkonem jiných bezpečnostních rolí.

2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole,

(4) Auditor kybernetické bezpečnosti

1. po dobu nejméně tří let, nebo

(5) Povinná osoba při určování osob zastávajících bezpečnostní role přihlédne k doporučením uvedeným v příloze č. 6 k této vyhlášce.

(1) Povinná osoba

b) vede evidenci svých významných dodavatelů,

a) stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,

c) prokazatelně písemně informuje své významné dodavatele o jejich evidenci podle písmene b),

d) seznamuje své dodavatele s pravidly podle písmene a) a vyžaduje plnění těchto pravidel,

e) řídí rizika spojená s dodavateli,

f) v souvislosti s řízením rizik spojených s významnými dodavateli zajistí, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní oblasti uvedené v příloze č. 7 k této vyhlášce, a

g) pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací.

(2) Povinná osoba u významných dodavatelů dále

c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany a

b) v rámci uzavíraných smluvních vztahů stanoví způsoby a úrovně realizace bezpečnostních opatření a určí obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření,

a) v rámci výběrového řízení a před uzavřením smlouvy provádí hodnocení rizik souvisejících s plněním předmětu výběrového řízení přiměřeně podle přílohy č. 2 k této vyhlášce,

d) v reakci na rizika a zjištěné nedostatky zajistí jejich řešení.

b) identifikace informačního a komunikačního systému,

(3) Náležitosti prokazatelného informování podle odstavce 1 písm. c) jsou

a) identifikace správce nebo provozovatele,

c) identifikace významného dodavatele,

e) obsah pravidel podle odstavce 1 písm. a).

d) vyrozumění o skutečnosti, že dodavatel je pro správce významným dodavatelem, a popřípadě také o tom, že významný dodavatel je zároveň provozovatelem, a

(4) Povinná osoba uvedená v § 3 písm. c) až f) zákona, která je provozovatelem a byla prokazatelně informována podle odstavce 1 písm. c), hlásí kontaktní údaje formou uvedenou v § 34.

(1) Povinná osoba v rámci řízení bezpečnosti lidských zdrojů

c) v souladu s plánem rozvoje bezpečnostního povědomí zajistí poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,

b) určí osoby odpovědné za realizaci jednotlivých činností, které jsou v plánu uvedeny,

2. potřebných teoretických i praktických školení uživatelů, administrátorů a osob zastávajících bezpečnostní role,

1. poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice a

a) s ohledem na stav a potřeby systému řízení bezpečnosti informací stanoví plán rozvoje bezpečnostního povědomí, jehož cílem je zajistit odpovídající vzdělávání a zlepšování bezpečnostního povědomí a který obsahuje formu, obsah a rozsah

g) v případě ukončení smluvního vztahu s administrátory a osobami zastávajícími bezpečnostní role zajistí předání odpovědností,

i) určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role.

h) hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a dalších činností spojených se zlepšováním bezpečnostního povědomí a

d) pro osoby zastávající bezpečnostní role v souladu s plánem rozvoje bezpečnostního povědomí zajistí pravidelná odborná školení, přičemž vychází z aktuálních potřeb povinné osoby v oblasti kybernetické bezpečnosti,

f) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role,

e) v souladu s plánem rozvoje bezpečnostního povědomí zajistí pravidelné školení a ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní,

(2) Povinná osoba vede o školení podle odstavce 1 přehledy, které obsahují předmět školení a seznam osob, které školení absolvovaly.

b) postupy pro spuštění a ukončení chodu systému, pro restart nebo obnovení chodu systému po selhání a pro ošetření chybových stavů nebo mimořádných jevů,

(1) Povinná osoba v rámci řízení provozu a komunikací zajišťuje bezpečný provoz informačního a komunikačního systému a stanoví provozní pravidla a postupy, které obsahují zejména

c) postupy pro sledování kybernetických bezpečnostních událostí a opatření pro ochranu přístupu k záznamům o těchto událostech,

a) práva a povinnosti administrátorů, uživatelů a osob zastávajících bezpečnostní role,

e) řízení technických zranitelností,

d) pravidla a postupy pro ochranu před škodlivým kódem,

l) pravidla a postupy pro zajištění bezpečnosti síťových služeb.

k) provádění pravidelného zálohování a kontroly použitelnosti provedených záloh a

j) pravidla a postupy pro instalaci technických aktiv,

i) pravidla a postupy pro ochranu informací a dat v průběhu celého životního cyklu,

h) postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů,

g) postupy řízení a schvalování provozních změn,

f) spojení na kontaktní osoby, které jsou pověřeny výkonem systémové a technické podpory,

(2) Povinná osoba v rámci řízení provozu a komunikací dodržuje pravidla a postupy stanovené podle odstavce 1 a tato pravidla a postupy aktualizuje v souvislosti s prováděnými nebo plánovanými změnami.

(3) Povinná osoba zajistí oddělení vývojového, testovacího a provozního prostředí.

b) určuje významné změny.

(1) Povinná osoba v rámci řízení změn u informačního a komunikačního systému

a) přezkoumává možné dopady změn a

a) dokumentuje jejich řízení,

c) přijímá opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,

b) provádí analýzu rizik,

(2) Povinná osoba u významných změn

d) aktualizuje bezpečnostní politiku a bezpečnostní dokumentaci,

e) zajistí jejich testování a

f) zajistí možnost navrácení do původního stavu.

(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona na základě výsledků analýzy rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování nebo testování zranitelností; pokud rozhodne o provedení penetračního testování nebo testování zranitelností, postupuje podle § 25 odst. 1 a reaguje na zjištěné nedostatky.

(4) Povinná osoba uvedená v § 3 písm. e) zákona se řídí požadavky podle odstavce 3 přiměřeně.

(1) Povinná osoba na základě provozních a bezpečnostních potřeb řídí přístup k informačnímu a komunikačnímu systému a přijímá opatření, která slouží k zajištění ochrany údajů, které jsou používány pro přihlášení podle § 19 a 20, a která brání ve zneužití těchto údajů neoprávněnou osobou.

c) řídí identifikátory, přístupová práva a oprávnění aplikací a technických účtů,

a) řídí přístup na základě skupin a rolí,

b) přidělí každému uživateli a administrátorovi přistupujícímu k informačnímu a komunikačnímu systému přístupová práva a oprávnění a jedinečný identifikátor,

(2) Povinná osoba dále v rámci řízení přístupu k informačnímu a komunikačnímu systému

n) dokumentuje přidělování a odebírání přístupových oprávnění.

l) zajistí odebrání nebo změnu přístupových oprávnění při změně pozice nebo zařazení uživatelů, administrátorů nebo osob zastávajících bezpečnostní role,

k) prosazuje, aby uživatelé při používání privátních autentizačních informací dodržovali stanovené postupy,

j) využívá nástroj pro správu a ověřování identity podle § 19 a nástroj pro řízení přístupových oprávnění podle § 20,

i) provádí pravidelné přezkoumání nastavení veškerých přístupových oprávnění včetně rozdělení do přístupových skupin a rolí,

h) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu,

g) omezí a kontroluje používání programových prostředků, které mohou být schopné překonat systémové nebo aplikační kontroly,

f) omezí přidělování privilegovaných oprávnění na úroveň nezbytně nutnou k výkonu náplně práce,

e) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných technických zařízení, popřípadě i bezpečnostní opatření spojená s využitím technických zařízení, která povinná osoba nemá ve své správě,

d) zavádí bezpečnostní opatření pro řízení přístupu zařízení k prostředkům informačního a komunikačního systému,

m) zajistí odebrání nebo změnu přístupových oprávnění při ukončení nebo změně smluvního vztahu a

b) řídí významné změny podle § 11,

c) stanoví bezpečnostní požadavky,

a) řídí rizika podle § 5,

d) zahrne bezpečnostní požadavky do projektu akvizice, vývoje a údržby,

g) plní požadavek podle § 19 odst. 3, je-li cílem provedení akvizice nebo vývoje nástroj pro správu a ověřování identity.

f) provádí bezpečnostní testování významných změn před jejich zavedením do provozu a

e) zajistí bezpečnost vývojového a testovacího prostředí a zajistí ochranu používaných testovacích dat,

a) zavede proces detekce a vyhodnocování kybernetických bezpečnostních událostí a zvládání kybernetických bezpečnostních incidentů,

(1) Povinná osoba v rámci zvládání kybernetických bezpečnostních událostí a incidentů

b) přidělí odpovědnosti a stanoví postupy pro

2. koordinaci a zvládání kybernetických bezpečnostních incidentů,

1. detekci a vyhodnocování kybernetických bezpečnostních událostí a incidentů a

c) definuje a aplikuje postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu,

l) prošetří a určí příčiny kybernetického bezpečnostního incidentu a

m) vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření, popřípadě aktualizuje stávající bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu.

j) hlásí kybernetické bezpečnostní incidenty podle § 32,

d) zajistí detekci kybernetických bezpečnostních událostí,

e) při detekci kybernetických bezpečnostních událostí se dále řídí § 22 a 23,

f) zajistí, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování informačního a komunikačního systému a podezření na jakékoliv zranitelnosti,

g) zajistí posuzování kybernetických bezpečnostních událostí, při kterém musí být rozhodnuto, zda mají být klasifikovány jako kybernetické bezpečnostní incidenty podle § 31,

h) zajistí zvládání kybernetických bezpečnostních incidentů podle stanovených postupů,

i) přijímá opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu,

k) vede záznamy o kybernetických bezpečnostních incidentech a o jejich zvládání,

(2) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona dále při detekci kybernetických bezpečnostních událostí používá nástroj podle § 24.

c) na základě výstupů hodnocení rizik a analýzy dopadů podle písmene b) stanoví cíle řízení kontinuity činností formou určení

1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního a komunikačního systému,

3. bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání,

a) stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role,

b) pomocí hodnocení rizik a analýzy dopadů vyhodnotí a dokumentuje možné dopady kybernetických bezpečnostních incidentů a posoudí možná rizika související s ohrožením kontinuity činností,

2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb informačního a komunikačního systému, a

f) realizuje opatření pro zvýšení odolnosti informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům a omezením dostupnosti a vychází při tom z požadavků podle § 27.

d) stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů podle písmene c),

e) vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a havarijní plány související s provozováním informačního a komunikačního systému a souvisejících služeb a

(1) Povinná osoba v rámci auditu kybernetické bezpečnosti

b) posuzuje soulad bezpečnostních opatření s nejlepší praxí, právními předpisy, vnitřními předpisy, jinými předpisy a smluvními závazky vztahujícími se k informačnímu a komunikačnímu systému a určí případná nápravná opatření pro zajištění souladu.

a) provádí a dokumentuje audit dodržování bezpečnostní politiky, včetně přezkoumání technické shody, a výsledky auditu zohlední v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik a

a) při významných změnách, v rámci jejich rozsahu,

(2) Audit podle odstavce 1 je prováděn

c) v pravidelných intervalech alespoň po 2 letech v případě povinné osoby neuvedené v písmenu b).

b) v pravidelných intervalech alespoň po 3 letech v případě povinné osoby uvedené v § 3 písm. e) zákona a

(3) Není-li v odůvodněných případech možné provést audit v intervalech podle odstavce 2 písm. b) a c) v celém rozsahu, je možné audit provádět průběžně po systematických celcích. V takovém případě je nutno audit v celém rozsahu provést nejpozději do 5 let.

(4) Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 7 odst. 4, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.

(5) Povinná osoba, která je současně provozovatelem, předkládá výsledky auditu kybernetické bezpečnosti správci daného informačního a komunikačního systému.