KVVN 26: 3/15

Základem řízení kybernetické bezpečnosti (dále jen: „KB“) poskytovatelem regulované služby je správné stanovení rozsahu řízení KB. Ve stanoveném rozsahu řízení KB, jehož základ je upraven v § 12 ZKB, je nutné zavést bezpečnostní opatření pro zajištění KB v míře nezbytné pro zajištění KB regulované služby. Správné stanovení rozsahu řízení KB je prvotním a velmi důležitým krokem při zavádění KB v organizaci, jelikož na tento krok přímo navazují další povinnosti vyplývající ze ZKB a jeho prováděcích předpisů. Rozsah řízení KB musí být stanoven u poskytovatelů regulované služby spadající jak do režimu vyšších povinností, tak také do režimu nižších povinností, jelikož se jedná o povinnost, která je stanovena na úrovni zákona a je tedy platná jak pro režim vyšších, tak i pro režim nižších povinností. Stanovení rozsahu se blíže věnuje podpůrný materiál na odkazu: Stanovení rozsahu řízení kybernetické bezpečnosti | Portál NÚKIB

Stanovený rozsah řízení KB je nutné řádně dokumentovat a zahrnout do něj veškerá aktiva související s poskytováním regulované služby. Dále je důležité zohlednit při stanovení rozsahu řízení KB také požadavky všech zúčastněných stran a bezpečnostních potřeb dané organizace, zejména v souvislosti se zpracovávanými informacemi a poskytovanými službami.