(1) Povinná osoba v rámci řízení změn u informačního a komunikačního systému

b) určuje významné změny.

a) přezkoumává možné dopady změn a

a) dokumentuje jejich řízení,

(2) Povinná osoba u významných změn

b) provádí analýzu rizik,

c) přijímá opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,

f) zajistí možnost navrácení do původního stavu.

d) aktualizuje bezpečnostní politiku a bezpečnostní dokumentaci,

e) zajistí jejich testování a

(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona na základě výsledků analýzy rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování nebo testování zranitelností; pokud rozhodne o provedení penetračního testování nebo testování zranitelností, postupuje podle § 25 odst. 1 a reaguje na zjištěné nedostatky.

(4) Povinná osoba uvedená v § 3 písm. e) zákona se řídí požadavky podle odstavce 3 přiměřeně.