(1) Součástí analýzy rizik a popisu bezpečnosti informačního systému je i rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o stanovení dalších nutných bezpečnostních funkcí nebo opatření podle § 34 odst. 4 zákona, bylo-li vydáno.

(2) Náležitosti oznámení provozovatele certifikovaného informačního systému o zavedení dalších nutných bezpečnostních funkcí nebo opatření podle § 34 odst. 4 zákona jsou

a) identifikační údaje provozovatele certifikovaného informačního systému,

b) jednoznačný identifikátor rozhodnutí podle § 34 odst. 4 zákona a

c) podrobnosti o zavedení bezpečnostní funkce nebo opatření, kterými jsou

1. datum a čas zavedení,

2. výsledek zavedení bezpečnostní funkce nebo opatření a

3. popis problémů nebo negativních dopadů při zavádění bezpečnostní funkce nebo opatření.