§ 11 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení změn

§ 11 Řízení změn (1) Povinná osoba při řízení změn u aktiv a) stanoví pravidla, postupy a kritéria pro určení významných změn, b) určí změny, které mají nebo mohou mít vliv na kybernetickou bezpečnost, c) určuje u změn určených podle písmene b) významné změny v souladu se stanovenými pravidly, postupy a kritérii pro určení významných změn podle písmene a). (2) Povinná osoba u významných změn a) dokumentuje jejich řízení, b) řídí rizika spojená s významnými změnami, c) přijímá bezpečnostní opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami, d) aktualizuje bezpečnostní a provozní dokumentaci, e) zajistí jejich testování před uvedením do provozu a f) zajistí možnost navrácení do původního stavu. (3) Povinná osoba na základě výsledků řízení rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování; pokud rozhodne o provedení penetračního testování, postupuje podle § 24 odst. 5.