§ 4 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Požadavky na vrcholné vedení

§ 4 Požadavky na vrcholné vedení (1) Statutární orgán povinné osoby nebo jiná osoba anebo skupina osob v obdobném řídícím postavení u povinné osoby (dále jen „vrcholné vedení“) s ohledem na systém řízení bezpečnosti informací a) prokazatelně absolvuje školení podle § 10 odst. 3 písm. a), b) zajistí stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací podle § 3, slučitelných se strategickým směřováním povinné osoby, c) zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby, d) zajistí dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací, e) informuje zaměstnance a všechny dotčené osoby o významu systému řízení bezpečnosti informací a významu dosažení shody s jeho požadavky, f) zajistí podporu k dosažení cílů systému řízení bezpečnosti informací, g) vede a podporuje zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací, h) se podílí na vypracování analýzy dopadů podle § 15, i) zajistí testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů, j) prosazuje neustálé zlepšování systému řízení bezpečnosti informací, k) podporuje osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti, l) zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role, m) zajistí, aby byla zachována mlčenlivost všech relevantních osob zejména administrátorů, osob zastávajících bezpečnostní role a dodavatelů, a n) zajistí pro osoby zastávající bezpečnostní role pravomoci potřebné pro naplňování jejich rolí a zdroje, včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů. (2) Vrcholné vedení se prokazatelně seznamuje a) se zprávou o přezkoumání systému řízení bezpečnosti informací, b) se zprávou o hodnocení rizik, c) s plánem zvládání rizik, d) s výsledky analýzy dopadů a e) s výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti. (3) Vrcholné vedení zřídí výbor pro řízení kybernetické bezpečnosti a určí jeho členy, přičemž a) zajistí, že členem výboru pro řízení kybernetické bezpečnosti bude alespoň 1 člen vrcholného vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti, b) určí práva a povinnosti výboru pro řízení kybernetické bezpečnosti a jeho členů, související se systémem řízení bezpečnosti informací, c) zajistí konání pravidelných jednání výboru pro řízení kybernetické bezpečnosti alespoň jednou ročně, d) zajistí vyhotovení záznamu o průběhu jednání výboru pro řízení kybernetické bezpečnosti a e) zajistí, že výbor pro řízení kybernetické bezpečnosti je složen z osob s pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj systému řízení bezpečnosti informací a osob významně se podílejících na řízení a koordinaci činností spojených s kybernetickou bezpečností. (4) Vrcholné vedení určí osoby, včetně vymezení jejich práv a povinností souvisejících se systémem řízení bezpečnosti informací, které budou zastávat bezpečnostní role a) manažera kybernetické bezpečnosti, b) architekta kybernetické bezpečnosti, c) garanta aktiva a d) auditora kybernetické bezpečnosti. (5) Vrcholné vedení zajistí zastupitelnost bezpečnostních rolí uvedených v odstavci 4 písm. a) a b).