(1) Povinná osoba při řízení změn u aktiv

c) určuje u změn určených podle písmene b) významné změny v souladu se stanovenými pravidly, postupy a kritérii pro určení významných změn podle písmene a).

a) stanoví pravidla, postupy a kritéria pro určení významných změn,

b) určí změny, které mají nebo mohou mít vliv na kybernetickou bezpečnost,

c) přijímá bezpečnostní opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,

(2) Povinná osoba u významných změn

a) dokumentuje jejich řízení,

b) řídí rizika spojená s významnými změnami,

e) zajistí jejich testování před uvedením do provozu a

d) aktualizuje bezpečnostní a provozní dokumentaci,

f) zajistí možnost navrácení do původního stavu.

(3) Povinná osoba na základě výsledků řízení rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování; pokud rozhodne o provedení penetračního testování, postupuje podle § 24 odst. 5.