§ 8 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Řízení rizik

§ 8 Řízení rizik (1) Povinná osoba při řízení rizik v návaznosti na § 7 a) stanoví metodiku pro určování a hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik, b) při určování rizik s ohledem na aktiva určuje relevantní hrozby a zranitelnosti; přitom zvažuje alespoň kategorie hrozeb a zranitelností uvedených v příloze č. 3 k této vyhlášce, c) provádí hodnocení rizik v pravidelných intervalech alespoň jednou ročně a při významných změnách určených podle § 11 odst. 1 písm. c), při kterém zohlední 1. relevantní hrozby a zranitelnosti podle písmene b) a posoudí možné dopady na aktiva, přičemž vychází z hodnocení aktiv podle § 7, 2. významné změny, 3. změny stanoveného rozsahu podle § 12 zákona, 4. protiopatření podle § 20 zákona, 5. kybernetické bezpečnostní incidenty, včetně dříve řešených, 6. výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti, 7. výsledky penetračního testování a skenování zranitelností a 8. výsledky vyhodnocení účinnosti systému řízení bezpečnosti informací, d) při hodnocení rizik postupuje alespoň v rozsahu přílohy č. 4 k této vyhlášce, e) na základě provedeného hodnocení rizik podle písmene c) zpracuje zprávu o hodnocení rizik, f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled všech bezpečnostních opatření požadovaných touto vyhláškou, která 1. nebyla aplikována, včetně odůvodnění a uvedení případných přijatých náhradních bezpečnostních opatření, a 2. byla aplikována, včetně způsobu plnění, g) na základě provedeného hodnocení rizik podle písmene c) a v souladu se stanovenými kritérii pro akceptovatelnost rizik zpracuje plán zvládání rizik, který obsahuje 1. popis bezpečnostních opatření pro zvládání rizik, 2. cíle a přínosy bezpečnostních opatření pro zvládání rizik, 3. určení osoby zajišťující zavedení bezpečnostních opatření pro zvládání rizik, 4. předpokládané lidské, finanční a technické zdroje pro zavedení bezpečnostních opatření, 5. požadovaný termín zavedení bezpečnostních opatření, 6. popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a 7. konkrétní způsob realizace bezpečnostních opatření. (2) Povinná osoba v souladu s plánem zvládání rizik zavádí bezpečnostní opatření. (3) Hodnocení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písm. c), pokud povinná osoba zajistí stejnou nebo vyšší úroveň procesu hodnocení rizik a postupuje v souladu s odstavcem 5 přílohy č. 4 k této vyhlášce. (4) Povinná osoba nemusí uplatňovat některá bezpečnostní opatření stanovená touto vyhláškou pouze na základě provedeného řízení rizik.