KVVN: 3

Základem řízení KB poskytovatelem regulované služby je správné stanovení rozsahu řízení KB. Ve stanoveném rozsahu řízení KB, jehož základ je upraven v § 12 zákona o kybernetické bezpečnosti, je nutné zavést bezpečnostní opatření pro zajištění kybernetické bezpečnosti, v míře nezbytné pro zajištění kybernetické bezpečnosti regulované služby. Správné stanovení rozsahu řízení KB je prvotním a velmi důležitým krokem při zavádění kybernetické bezpečnosti v organizaci, jelikož na tento krok přímo navazují další povinnosti vyplývající ze zákona o kybernetické bezpečnosti a jeho prováděcích předpisů. Rozsah řízení KB musí být stanoven u poskytovatelů regulované služby spadající jak do režimu vyšších povinností, tak také do režimu nižších povinností, jelikož se jedná o povinnost, která je stanovena na úrovni zákona a je tedy platná jak pro režim vyšších, tak i pro režim nižších povinností.

Stanovený rozsah řízení KB je nutné řádně dokumentovat a zahrnout do něj veškerá aktiva související s poskytováním regulované služby. Dále je důležité zohlednit při stanovení rozsahu řízení KB také požadavky všech zúčastněných stran a bezpečnostních potřeb dané organizace, zejména v souvislosti se zpracovávanými informacemi a poskytovanými službami