(1) Povinná osoba pro řízení identit, přístupových práv a oprávnění používá nástroj, který zajišťuje

(2) Povinná osoba pro ověření identity administrátorů, uživatelů a technických aktiv využívá autentizační mechanismus, který je založený na vícefaktorové autentizaci s alespoň dvěma různými typy faktorů, nebo využívá autentizační mechanismus, který je založen na aktuálně odolné kontinuální autentizaci založené na modelu nulové důvěry.

(3) Povinná osoba do doby využívání autentizačního mechanismu podle odstavce 2 využívá autentizaci pomocí kryptografických klíčů nebo certifikátů.

(4) Povinná osoba do doby využívání autentizačního mechanismu podle odstavce 3 využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla, kdy tento nástroj musí vynucovat pravidla

(5) Povinná osoba při řízení identit dále zajistí

a) řízení počtu možných neúspěšných pokusů o přihlášení,

b) opětovné ověření identity po stanovené době nečinnosti,

c) odolnost uložených a přenášených autentizačních údajů a

d) řízení přístupových práv, oprávnění pro čtení a zápis informací a dat a změnu oprávnění.

2. 17 znaků pro účty administrátorů,

a) délky hesla alespoň

3. 22 znaků pro účty technických aktiv,

1. 12 znaků pro účty uživatelů,

b) bezodkladné změny výchozího hesla pro ověření identity technických aktiv, přičemž nové heslo musí být vytvořeno náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků,

c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,

d) povinné změny hesla v intervalu alespoň jednou za 18 měsíců a

e) neumožňující uživatelům a administrátorům

3. opětovného použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.

2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacích jmen, adres elektronické pošty, názvů systémů nebo obdobným způsobem a

1. zvolit si jednoduchá a často používaná hesla,

a) důvěrnost při vytváření výchozích autentizačních údajů a při obnově přístupu,

b) změnu výchozího hesla nebo hesla sloužícího k obnově přístupu po jeho prvním použití,

c) zneplatnění hesla nebo identifikátoru sloužícího k obnově přístupu nejpozději do 24 hodin od jeho vytvoření,

d) bezodkladnou změnu přístupového hesla v případě důvodného podezření na jeho kompromitaci a

e) zabezpečení administrátorských účtů technických aktiv zejména určených pro případ obnovy po kybernetickém bezpečnostním incidentu a využívá tyto účty pouze v nezbytně nutných případech.