Akvizicí je ve smyslu tohoto paragrafu myšleno nabytí aktiva, nebo proces jeho získávání. V oblasti vývoje informačních systémů je nutné, aby vývoj systémů, které spadají do regulace ZKB, byl podpořen jasnými požadavky na zajištění jejich bezpečnosti. Následně je nezbytné promítnout tyto požadavky do celého životního cyklu od vlastního vývoje až do provozu. 

Je vhodné prosazovat principy nejlepší praxe „Secure by Design“, aby byl systém od počátku navrhován jako bezpečný. V souvislosti s plánovanou akvizicí, vývojem a údržbou aktiv je potřeba:

• řídit rizika podle § 8 a významné změny podle § 11 vyhlášky,
• stanovit bezpečnostní požadavky, které zohlední i relevantní bezpečnostní opatření stanovená vyhláškou,
• zahrnout bezpečnostní požadavky do plánování akvizice, vývoje a údržby (a do smlouvy s dodavatelem, pokud je do procesu zapojen externí subjekt),
• zajistit oddělení provozního, zálohovacího, vývojového, testovacího a jiného specifického prostředí, a zajistit ochranu informací a dat, které se v něm vyskytují.

Při provedení akvizice nebo vývoje technického aktiva je navíc potřeba zajistit:

• zajistit, aby v případě aktiva využívajícího autentizační mechanismus byly plněny požadavky dle § 19 odst. 2 vyhlášky, a to zejména za účelem ověření identity uživatelů nebo administrátorů,
• zajistit, aby v případě, kdy aktivum využívá kryptografické algoritmy, byly plněny požadavky dle § 25 odst. 1 písm. a) a § 25 odst. 3 písm. a) vyhlášky,
• zajistit dostupnost bezpečnostních aktualizací po dobu jeho životního cyklu.