(1) Pro poskytovatele regulované služby v režimu vyšších povinností jsou

(2) Pro poskytovatele regulované služby v režimu nižších povinností jsou organizačními a technickými opatřeními

a) organizačními opatřeními

b) technickými opatřeními

a) systém zajišťování minimální kybernetické bezpečnosti,

b) požadavky na vrcholné vedení,

c) řízení aktiv,

d) řízení rizik,

e) bezpečnost lidských zdrojů,

f) řízení kontinuity činností,

g) řízení přístupu,

h) řízení identit a jejich oprávnění,

i) detekce a zaznamenávání kybernetických bezpečnostních událostí,

j) řešení kybernetických bezpečnostních incidentů,

k) bezpečnost komunikačních sítí,

l) aplikační bezpečnost a

m) kryptografické algoritmy.

1. systém řízení bezpečnosti informací,

10. akvizice, vývoj a údržba,

11. řízení přístupu,

12. zvládání kybernetických bezpečnostních událostí a incidentů,

13. řízení kontinuity činností a

14. provádění auditu kybernetické bezpečnosti,

2. požadavky na vrcholné vedení,

3. stanovení bezpečnostních rolí,

4. řízení bezpečnostní politiky a bezpečnostní dokumentace,

5. řízení aktiv,

6. řízení rizik,

7. řízení dodavatelů,

8. bezpečnost lidských zdrojů,

9. řízení změn,

1. fyzická bezpečnost,

10. zajišťování dostupnosti regulované služby a

11. zabezpečení průmyslových, řídících a obdobných specifických technických aktiv.

2. bezpečnost komunikačních sítí,

3. správa a ověřování identit,

4. řízení přístupových práv a oprávnění,

5. detekce kybernetických bezpečnostních událostí,

6. zaznamenávání událostí,

7. vyhodnocování kybernetických bezpečnostních událostí,

8. aplikační bezpečnost,

9. kryptografické algoritmy,