§ 11 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Řízení změn

§ 11 Řízení změn (1) Povinná osoba v rámci řízení změn u informačního a komunikačního systému a) přezkoumává možné dopady změn a b) určuje významné změny. (2) Povinná osoba u významných změn a) dokumentuje jejich řízení, b) provádí analýzu rizik, c) přijímá opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami, d) aktualizuje bezpečnostní politiku a bezpečnostní dokumentaci, e) zajistí jejich testování a f) zajistí možnost navrácení do původního stavu. (3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona na základě výsledků analýzy rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování nebo testování zranitelností; pokud rozhodne o provedení penetračního testování nebo testování zranitelností, postupuje podle § 25 odst. 1 a reaguje na zjištěné nedostatky. (4) Povinná osoba uvedená v § 3 písm. e) zákona se řídí požadavky podle odstavce 3 přiměřeně.