§ 15 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení kontinuity činností

§ 15 Řízení kontinuity činností Povinná osoba při řízení kontinuity činností a) stanoví metodiku pro provedení analýzy dopadů, b) provádí analýzu dopadů, vyhodnocuje a dokumentuje možné dopady kybernetických bezpečnostních incidentů a zohlední hodnocení rizik podle § 8, c) na základě výstupů analýzy dopadů a hodnocení rizik podle písmene b) stanoví cíle řízení kontinuity činností formou určení 1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu regulované služby, 2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb regulované služby, a 3. bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání technického aktiva, d) stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů podle písmene c), a stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role, e) vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a plány obnovy související s poskytováním regulované služby a f) realizuje bezpečnostní opatření pro zvýšení odolnosti podle § 26.