(1) Povinná osoba při řízení rizik v návaznosti na § 7

3. změny stanoveného rozsahu podle § 12 zákona,

a) stanoví metodiku pro určování a hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik,

b) při určování rizik s ohledem na aktiva určuje relevantní hrozby a zranitelnosti; přitom zvažuje alespoň kategorie hrozeb a zranitelností uvedených v příloze č. 3 k této vyhlášce,

c) provádí hodnocení rizik v pravidelných intervalech alespoň jednou ročně a při významných změnách určených podle § 11 odst. 1 písm. c), při kterém zohlední

1. relevantní hrozby a zranitelnosti podle písmene b) a posoudí možné dopady na aktiva, přičemž vychází z hodnocení aktiv podle § 7,

2. významné změny,

4. protiopatření podle § 20 zákona,

5. kybernetické bezpečnostní incidenty, včetně dříve řešených,

6. výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,

7. výsledky penetračního testování a skenování zranitelností a

8. výsledky vyhodnocení účinnosti systému řízení bezpečnosti informací,

1. popis bezpečnostních opatření pro zvládání rizik,

f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled všech bezpečnostních opatření požadovaných touto vyhláškou, která

g) na základě provedeného hodnocení rizik podle písmene c) a v souladu se stanovenými kritérii pro akceptovatelnost rizik zpracuje plán zvládání rizik, který obsahuje

2. cíle a přínosy bezpečnostních opatření pro zvládání rizik,

3. určení osoby zajišťující zavedení bezpečnostních opatření pro zvládání rizik,

4. předpokládané lidské, finanční a technické zdroje pro zavedení bezpečnostních opatření,

5. požadovaný termín zavedení bezpečnostních opatření,

6. popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a

7. konkrétní způsob realizace bezpečnostních opatření.

1. nebyla aplikována, včetně odůvodnění a uvedení případných přijatých náhradních bezpečnostních opatření, a

2. byla aplikována, včetně způsobu plnění,

d) při hodnocení rizik postupuje alespoň v rozsahu přílohy č. 4 k této vyhlášce,

e) na základě provedeného hodnocení rizik podle písmene c) zpracuje zprávu o hodnocení rizik,

(2) Povinná osoba v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.

(3) Hodnocení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písm. c), pokud povinná osoba zajistí stejnou nebo vyšší úroveň procesu hodnocení rizik a postupuje v souladu s odstavcem 5 přílohy č. 4 k této vyhlášce.

(4) Povinná osoba nemusí uplatňovat některá bezpečnostní opatření stanovená touto vyhláškou pouze na základě provedeného řízení rizik.