(1) Povinná osoba pro zajištění bezpečnosti regulované služby užívá technická aktiva, která jsou jejich výrobcem, dodavatelem nebo jinou osobou podporována a zajistí aplikování schválených bezpečnostních aktualizací vydaných pro tato aktiva.

a) která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a

(2) Povinná osoba do doby plnění podle odstavce 1 zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických aktiv, a eviduje technická aktiva,

b) na která není možné aplikovat poslední schválenou bezpečnostní aktualizaci.

a) neoprávněnou činností a

b) popřením provedených činností.

(3) Povinná osoba v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací, transakcí a přenášených identifikátorů relací před

a) provádí pravidelné skenování zranitelností technických aktiv regulované služby

(4) Povinná osoba v rámci skenování zranitelností technických aktiv

b) zohlední výsledky skenování zranitelností technických aktiv v rámci řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků.

1. z vnitřní a vnější komunikační sítě a

2. alespoň jednou ročně.

1. z vnitřní a vnější komunikační sítě,

b) zohlední výsledky penetračního testování při řízení rizik podle § 8 a zavádí bezpečnostní opatření na základě zjištěných výsledků,

c) provádí v souladu s odstavcem 5 písm. a) bodem 1 pravidelně penetrační testování, a to alespoň jednou za 2 roky,

d) v odůvodněných případech, pokud nemůže provést penetrační testování v rozsahu nebo intervalu stanoveném v odstavci 5 písm. c), může rozdělit toto penetrační testování do systematických celků. V takovém případě je nutno provést penetrační testování v rozsahu stanoveném v odstavci 5 písm. a) nejpozději do 5 let,

e) u penetračních testů v souladu s odstavcem 5 písm. a) eviduje termín provedení a konkrétní fyzické osoby provádějící toto penetrační testování.

2. před jejich uvedením do provozu a

3. v souvislosti s významnou změnou podle § 11 odst. 3,

a) provádí penetrační testování technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik

(5) Povinná osoba v rámci penetračního testování

(6) Povinná osoba provede opětovné otestování nálezu zjištěného na základě provedeného skenování zranitelností nebo penetračního testování za účelem ověření funkčnosti zavedených bezpečnostních opatření.