§ 16 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Provádění auditu kybernetické bezpečnosti

§ 16 Provádění auditu kybernetické bezpečnosti (1) Povinná osoba stanoví plán provádění auditu kybernetické bezpečnosti. (2) Povinná osoba při auditu kybernetické bezpečnosti a) posuzuje, zda byla zavedena bezpečnostní opatření požadovaná zákonem a touto vyhláškou, b) posuzuje soulad zavedených bezpečnostních opatření s právními předpisy, vnitřními předpisy, smluvními závazky a nejlepší praxí a c) provádí a dokumentuje audit dodržování pravidel a postupů stanovených v bezpečnostní politice, včetně přezkoumání technické shody a dříve stanovených nápravných opatření podle odstavce 3 písm. b). (3) Povinná osoba a) zahrne výsledky auditu kybernetické bezpečnosti podle odstavce 2 do 1. plánu rozvoje bezpečnostního povědomí, 2. řízení rizik a b) stanoví na základě výsledku auditu kybernetické bezpečnosti podle odstavce 2 případná nápravná opatření, která budou přijata bez zbytečného odkladu. (4) Audit kybernetické bezpečnosti podle odstavce 2 je prováděn a) při významných změnách, a to v rámci jejich rozsahu, b) v pravidelných intervalech alespoň jednou za 2 roky a c) v souladu s plánem auditu kybernetické bezpečnosti. (5) Není-li v odůvodněných případech možné provést audit v celém rozsahu podle odstavce 2 ve lhůtě podle odstavce 4 písm. b), je možné audit kybernetické bezpečnosti provádět průběžně po systematických celcích tak, aby byl naplněn celý rozsah auditu podle odstavce 2 alespoň jednou za 5 let. (6) Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 5 odst. 4, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření. HLAVA II