---

• Hlášení údajů dle § 11 zákona – povinnost hlášení kontaktních údajů, doplňujících údajů a hlášení změn těchto údajů.
• Stanovení rozsahu řízení KB dle § 12 zákona (viz dále).
• Zavádění a provádění bezpečnostních opatření dle § 13 a § 14 zákona.
• Hlášení kybernetických bezpečnostních incidentů dle § 15 – § 17 zákona.
• Informační povinnost dle § 19 zákona.
• Poskytnout Úřadu nezbytnou součinnost při zajišťování podkladů pro vydání protiopatření dle § 20 – § 23 zákona a dále tato protiopatření provádět.

Stanovení rozsahu řízení KB

---

Vychází z požadavku § 12 zákona a blíže se mu věnuje podpůrný materiál: Stanovení rozsahu řízení kybernetické bezpečnosti.

• Poskytovatel regulované služby nejprve určí všechna svá primární aktiva v podobě jím zpracovávaných informací nebo poskytovaných služeb, a to do takového detailu, aby bylo možné kvalifikovaně rozhodnout, zda dané aktivum souvisí s regulovanou službou či nikoliv.
• U každého primárního aktiva je dále nutné posoudit, zda je používáno pro poskytování regulované služby, tedy zda s ní souvisí. Výsledek je nutné řádně evidovat. V případě, kdy primární aktivum nesouvisí s poskytováním regulované služby, je možné jej z rozsahu řízení KB vyjmout. Takové vyjmutí je nutné odůvodnit a primární aktiva vyjmutá z rozsahu řízení KB evidovat. Pro primární aktiva, která ještě nebyla posouzena a pro podpůrná aktiva, která ještě nebyla určena platí, že jsou součástí stanoveného rozsahu.
• Pro určenou množinu primárních aktiv v rozsahu řízení KB se určí jejich podpůrná aktiva.
• Poskytovatel regulované služby pravidelně přezkoumává a aktualizuje stanovený rozsah. Interval pro přezkum a aktualizaci není stanoven, nicméně je doporučeno provést ho alespoň jednou ročně.