§ 3 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností – BEZPEČNOSTNÍ OPATŘENÍ

§ 3 BEZPEČNOSTNÍ OPATŘENÍ (1) Povinná osoba při zajišťování kybernetické bezpečnosti a) zavede a provádí bezpečnostní opatření, která jsou přiměřená bezpečnostním potřebám, a b) zavede a provádí alespoň bezpečnostní opatření podle odstavců 2 až 6, § 4 až 6 a § 10. (2) Povinná osoba a) stanoví přehled bezpečnostních opatření podle přílohy č. 1 k této vyhlášce, který obsahuje přehled všech bezpečnostních opatření, která 1. byla povinnou osobou zavedena, včetně popisu jejich zavedení, 2. budou povinnou osobou zavedena, včetně termínů pro jejich zavedení, priority jejich zavedení a určení osoby odpovědné za jejich zavedení, a 3. nebyla zavedena, včetně odůvodnění jejich nezavedení, b) provede a dokumentuje alespoň jednou ročně aktualizaci přehledu bezpečnostních opatření, včetně vyhodnocení účinnosti zavedených bezpečnostních opatření, c) uchovává jednotlivé přehledy bezpečnostních opatření a jejich aktualizace alespoň po dobu 4 let. (3) Povinná osoba v rámci řízení bezpečnostní politiky a bezpečnostní dokumentace a) stanoví bezpečnostní politiku a bezpečnostní dokumentaci k bezpečnostním opatřením požadovaným touto vyhláškou, b) pravidelně přezkoumává a aktualizuje pravidla a postupy stanovené v bezpečnostní politice a bezpečnostní dokumentaci a c) vynucuje dodržování pravidel a postupů stanovených v bezpečnostní politice a bezpečnostní dokumentaci. (4) Povinná osoba v rámci řízení aktiv stanoví pravidla pro používání a manipulaci technických aktiv. (5) Povinná osoba při uzavírání smlouvy s dodavatelem do stanoveného rozsahu podle § 12 zákona zohlední hrozby a zranitelnosti spojené s tímto dodavatelem, celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti tohoto dodavatele, včetně postupů bezpečného vývoje a na základě toho zajistí, aby smlouvy s tímto dodavatelem obsahovaly relevantní požadavky na smluvní ujednaní uvedené v příloze č. 2 k této vyhlášce. (6) Povinná osoba v souvislosti s plánovanou akvizicí, vývojem a údržbou technických aktiv stanoví bezpečnostní požadavky v oblasti kybernetické bezpečnosti a vymáhá jejich dodržování, přičemž vychází z požadavků na bezpečnostní opatření podle této vyhlášky.