(1) Povinná osoba stanoví plán provádění auditu kybernetické bezpečnosti.

b) posuzuje soulad zavedených bezpečnostních opatření s právními předpisy, vnitřními předpisy, smluvními závazky a nejlepší praxí a

(2) Povinná osoba při auditu kybernetické bezpečnosti

a) posuzuje, zda byla zavedena bezpečnostní opatření požadovaná zákonem a touto vyhláškou,

c) provádí a dokumentuje audit dodržování pravidel a postupů stanovených v bezpečnostní politice, včetně přezkoumání technické shody a dříve stanovených nápravných opatření podle odstavce 3 písm. b).

b) stanoví na základě výsledku auditu kybernetické bezpečnosti podle odstavce 2 případná nápravná opatření, která budou přijata bez zbytečného odkladu.

1. plánu rozvoje bezpečnostního povědomí,

(3) Povinná osoba

2. řízení rizik a

a) zahrne výsledky auditu kybernetické bezpečnosti podle odstavce 2 do

c) v souladu s plánem auditu kybernetické bezpečnosti.

a) při významných změnách, a to v rámci jejich rozsahu,

b) v pravidelných intervalech alespoň jednou za 2 roky a

(4) Audit kybernetické bezpečnosti podle odstavce 2 je prováděn

(5) Není-li v odůvodněných případech možné provést audit v celém rozsahu podle odstavce 2 ve lhůtě podle odstavce 4 písm. b), je možné audit kybernetické bezpečnosti provádět průběžně po systematických celcích tak, aby byl naplněn celý rozsah auditu podle odstavce 2 alespoň jednou za 5 let.

(6) Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 5 odst. 4, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.