a) stanoví metodiku pro provedení analýzy dopadů,

b) provádí analýzu dopadů, vyhodnocuje a dokumentuje možné dopady kybernetických bezpečnostních incidentů a zohlední hodnocení rizik podle § 8,

c) na základě výstupů analýzy dopadů a hodnocení rizik podle písmene b) stanoví cíle řízení kontinuity činností formou určení

3. bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání technického aktiva,

1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu regulované služby,

2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb regulované služby, a

d) stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů podle písmene c), a stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role,

e) vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a plány obnovy související s poskytováním regulované služby a

f) realizuje bezpečnostní opatření pro zvýšení odolnosti podle § 26.