(1) Povinná osoba používá nástroj pro správu a ověření identity administrátorů, uživatelů a technických aktiv, který zajišťuje

c) odolnost uložených a přenášených autentizačních údajů vůči hrozbám a zranitelnostem, které by mohly narušit jejich důvěrnost nebo integritu,

a) ověření identity před zahájením jejich aktivit,

b) řízení počtu možných neúspěšných pokusů o přihlášení,

e) dodržení důvěrnosti při vytváření výchozích autentizačních údajů a při obnově přístupu a

f) centralizovanou správu identit s ohledem na vazby mezi aktivy.

d) opětovné ověření identity po stanovené době nečinnosti,

(2) Povinná osoba při ověření identity administrátorů, uživatelů a technických aktiv

a) využívá autentizační mechanismus, který je založen na vícefaktorové autentizaci s alespoň dvěma různými typy faktorů, nebo využívá autentizační mechanismus, který je založen na aktuálně odolné kontinuální autentizaci založené na modelu nulové důvěry, a

b) do doby splnění požadavků podle písmene a) využívá autentizaci pomocí kryptografických klíčů nebo certifikátů.

(3) Povinná osoba do doby splnění požadavků podle odstavce 2 písm. a) vede evidenci technických aktiv, účtů a autentizačních mechanismů, které tyto požadavky nesplňují, a to včetně odůvodnění.

(4) Povinná osoba do doby splnění požadavku podle odstavce 2 využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla, kdy tento nástroj musí vynucovat pravidlo

3. 22 znaků pro účty technických aktiv,

c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,

a) délky hesla alespoň

b) umožňující zadat heslo o délce alespoň 64 znaků,

1. 12 znaků pro účty uživatelů,

2. 17 znaků pro účty administrátorů,

3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.

d) umožňující uživatelům a administrátorům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut,

e) povinné změny hesla v intervalu alespoň jednou za 18 měsíců a

f) neumožňující uživatelům a administrátorům

1. zvolit si jednoduchá a často používaná hesla,

2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, adresy elektronické pošty, názvu systému nebo obdobným způsobem a

a) bezodkladné vynucení změny výchozího hesla uživatelů a administrátorů po prvním přihlášení,

b) bezodkladné vynucení změny výchozího hesla technického aktiva,

c) vytváření hesla účtu technického aktiva složeného z náhodného řetězce malých a velkých písmen, číslic a speciálních znaků,

(5) Povinná osoba v souladu s odstavcem 4 zajistí

e) vytvoření náhodného výchozího hesla nebo identifikátoru sloužícího k vytvoření nebo k obnovení přístupu a zajistí jeho důvěrnost a

f) bezodkladné zneplatnění hesla nebo identifikátoru sloužícího k vytvoření nebo k obnovení přístupu po jeho prvním použití nebo uplynutí nejvýše 24 hodin od jeho vytvoření.

d) bezodkladné vynucení změny přístupového hesla v případě důvodného podezření na narušení jeho důvěrnosti,

(6) Povinná osoba u administrátorského účtu zejména určeného pro případ obnovy po kybernetickém bezpečnostním incidentu musí zajistit

b) vytvoření hesla náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků,

a) bezodkladnou změnu výchozího hesla,

c) délku hesla složeného alespoň z 22 znaků,

e) omezení manipulace s účtem a jeho heslem, kdy s tímto účtem a jeho heslem mohou manipulovat pouze pověřené osoby, a to v nezbytně nutných případech,

g) evidování manipulace a pokusy o manipulaci s tímto účtem a jeho heslem.

d) bezpečné uložení hesla,

f) změnu hesla po jeho použití, při jakékoli změně pověřených osob, v případě důvodného podezření na jeho kompromitaci nebo v intervalu alespoň jednou za 18 měsíců a