(1) Povinná osoba v souvislosti s plánovanou akvizicí, vývojem a údržbou aktiv

a) řídí rizika,

b) řídí významné změny podle § 11,

c) stanoví bezpečnostní požadavky, které zohlední i relevantní bezpečnostní opatření stanovená touto vyhláškou,

d) zahrne bezpečnostní požadavky stanovené podle písmene c) do plánované akvizice, vývoje a údržby a

e) zajistí oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiného specifického prostředí, a zajistí ochranu informací a dat, které se v něm vyskytují.

(2) Povinná osoba zajistí při provedení akvizice nebo vývoje technického aktiva

a) využívajícího autentizační mechanismus, zejména za účelem ověření identity uživatelů nebo administrátorů, plnění požadavků podle § 19 odst. 2,

b) využívajícího kryptografické algoritmy, plnění požadavku podle § 25 odst. 1 písm. a) a § 25 odst. 3 písm. a) a

c) dostupnost bezpečnostních aktualizací po dobu jeho životního cyklu.