82/2018 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) - § 11 - Řízení změn

§ 11 Řízení změn

(1) Povinná osoba v rámci řízení změn u informačního a komunikačního systému

a) přezkoumává možné dopady změn a

b) určuje významné změny.

(2) Povinná osoba u významných změn

a) dokumentuje jejich řízení,

b) provádí analýzu rizik,

c) přijímá opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,

d) aktualizuje bezpečnostní politiku a bezpečnostní dokumentaci,

e) zajistí jejich testování a

f) zajistí možnost navrácení do původního stavu.

(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona na základě výsledků analýzy rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování nebo testování zranitelností; pokud rozhodne o provedení penetračního testování nebo testování zranitelností, postupuje podle § 25 odst. 1 a reaguje na zjištěné nedostatky.

(4) Povinná osoba uvedená v § 3 písm. e) zákona se řídí požadavky podle odstavce 3 přiměřeně.