(1) Povinná osoba zavede bezpečnostní opatření pro zajišťování dostupnosti regulované služby, kterými zajistí

a) dostupnost regulované služby podle cílů stanovených podle § 15,

b) odolnost regulované služby vůči hrozbám a zranitelnostem, které by mohly snížit její dostupnost a

c) redundanci aktiv nezbytných pro zajišťování dostupnosti regulované služby.

(2) Povinná osoba pro zajišťování dostupnosti regulované služby v souladu s odstavcem 1 vytváří pravidelné zálohy konfigurací a nastavení technických aktiv, informací a dat nezbytných zejména pro účely obnovy regulované služby v případě kybernetického bezpečnostního incidentu.

(3) Povinná osoba u záloh vytvářených podle odstavce 2 zajistí

c) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich integrity a důvěrnosti, a to alespoň šifrováním těchto záloh v souladu s § 25, a

d) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich dostupnosti.

a) pravidelné testování jejich integrity, dostupnosti a obnovitelnosti,

b) dokumentování výsledků testů provedených podle odstavce 3 písm. a),

(4) Povinná osoba pro zajišťování dostupnosti regulované služby zajistí bezpečnou správu konfigurací a nastavení technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik.

(5) Povinná osoba za účelem omezení šíření kybernetického bezpečnostního incidentu a snížení jeho dopadu odděluje zálohovací prostředí od jiných prostředí podle § 18 písm. a).