§ 15
Řízení kontinuity činností
Povinná osoba v rámci řízení kontinuity činností
a) stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role,
b) pomocí hodnocení rizik a analýzy dopadů vyhodnotí a dokumentuje možné dopady kybernetických bezpečnostních incidentů a posoudí možná rizika související s ohrožením kontinuity činností,
c) na základě výstupů hodnocení rizik a analýzy dopadů podle písmene b) stanoví cíle řízení kontinuity činností formou určení
1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního a komunikačního systému,
2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb informačního a komunikačního systému, a
3. bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání,
d) stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů podle písmene c),
e) vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a havarijní plány související s provozováním informačního a komunikačního systému a souvisejících služeb a
f) realizuje opatření pro zvýšení odolnosti informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům a omezením dostupnosti a vychází při tom z požadavků podle § 27.