---

Zákon v ustanoveních § 11 – 23 stanovuje poskytovateli regulované služby konkrétní povinnosti, mezi které patří:

• Hlášení údajů dle § 11 zákona – povinnost hlášení kontaktních údajů, doplňujících údajů a hlášení změn těchto údajů.
• Stanovení rozsahu řízení kybernetické bezpečnosti dle § 12 zákona (viz dále).
• Zavádění a provádění bezpečnostních opatření dle § 13 a § 14 zákona.
• Hlášení kybernetických bezpečnostních incidentů dle § 15 – 17 zákona.
• Informační povinnost dle § 19 zákona.
• Poskytnout Úřadu nezbytnou součinnost při zajišťování podkladů pro vydání protiopatření dle § 20 – 23 zákona a dále tato protiopatření provádět.

Stanovení rozsahu řízení kybernetické bezpečnosti

---

Vychází z požadavku § 12 zákona:

• Poskytovatel regulované služby nejprve určí všechna svá primární aktiva v podobě jím zpracovávaných informací nebo poskytovaných služeb, a to do takového detailu, aby bylo možné kvalifikovaně rozhodnout, zda dané aktivum souvisí s regulovanou službou či nikoliv.
• U každého primárního aktiva je dále nutné posoudit, zda je používáno pro poskytování regulované služby, tedy zda s ní souvisí. Výsledek je nutné řádně evidovat. V případě, kdy primární aktivum nesouvisí s poskytováním regulované služby, je možné jej z rozsahu řízení kybernetické bezpečnosti vyjmout. Takové vyjmutí je nutné odůvodnit a primární aktiva vyjmutá z rozsahu řízení kybernetické bezpečnosti evidovat. Pro primární aktiva, která ještě nebyla posouzena a pro podpůrná aktiva, která ještě nebyla určena platí, že jsou součástí stanoveného rozsahu.
• Pro určenou množinu primárních aktiv v rozsahu řízení kybernetické bezpečnosti se určí jejich podpůrná aktiva.
• Poskytovatel regulované služby pravidelně přezkoumává a aktualizuje stanovený rozsah. Interval pro přezkum a aktualizaci není stanoven, nicméně je doporučeno provést ho alespoň jednou ročně.