(1) Statutární orgán povinné osoby nebo jiná osoba anebo skupina osob v obdobném řídícím postavení u povinné osoby (dále jen „vrcholné vedení“) s ohledem na systém řízení bezpečnosti informací

a) prokazatelně absolvuje školení podle § 10 odst. 3 písm. a),

b) zajistí stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací podle § 3, slučitelných se strategickým směřováním povinné osoby,

c) zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby,

f) zajistí podporu k dosažení cílů systému řízení bezpečnosti informací,

g) vede a podporuje zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací,

d) zajistí dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací,

e) informuje zaměstnance a všechny dotčené osoby o významu systému řízení bezpečnosti informací a významu dosažení shody s jeho požadavky,

l) zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role,

h) se podílí na vypracování analýzy dopadů podle § 15,

i) zajistí testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů,

j) prosazuje neustálé zlepšování systému řízení bezpečnosti informací,

k) podporuje osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti,

m) zajistí, aby byla zachována mlčenlivost všech relevantních osob zejména administrátorů, osob zastávajících bezpečnostní role a dodavatelů, a

n) zajistí pro osoby zastávající bezpečnostní role pravomoci potřebné pro naplňování jejich rolí a zdroje, včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů.

(2) Vrcholné vedení se prokazatelně seznamuje

a) se zprávou o přezkoumání systému řízení bezpečnosti informací,

c) s plánem zvládání rizik,

b) se zprávou o hodnocení rizik,

e) s výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti.

d) s výsledky analýzy dopadů a

(3) Vrcholné vedení zřídí výbor pro řízení kybernetické bezpečnosti a určí jeho členy, přičemž

a) zajistí, že členem výboru pro řízení kybernetické bezpečnosti bude alespoň 1 člen vrcholného vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti,

c) zajistí konání pravidelných jednání výboru pro řízení kybernetické bezpečnosti alespoň jednou ročně,

b) určí práva a povinnosti výboru pro řízení kybernetické bezpečnosti a jeho členů, související se systémem řízení bezpečnosti informací,

d) zajistí vyhotovení záznamu o průběhu jednání výboru pro řízení kybernetické bezpečnosti a

e) zajistí, že výbor pro řízení kybernetické bezpečnosti je složen z osob s pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj systému řízení bezpečnosti informací a osob významně se podílejících na řízení a koordinaci činností spojených s kybernetickou bezpečností.

(4) Vrcholné vedení určí osoby, včetně vymezení jejich práv a povinností souvisejících se systémem řízení bezpečnosti informací, které budou zastávat bezpečnostní role

a) manažera kybernetické bezpečnosti,

c) garanta aktiva a

b) architekta kybernetické bezpečnosti,

d) auditora kybernetické bezpečnosti.

(5) Vrcholné vedení zajistí zastupitelnost bezpečnostních rolí uvedených v odstavci 4 písm. a) a b).