§ 16
Audit kybernetické bezpečnosti
(1) Povinná osoba v rámci auditu kybernetické bezpečnosti
a) provádí a dokumentuje audit dodržování bezpečnostní politiky, včetně přezkoumání technické shody, a výsledky auditu zohlední v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik a
b) posuzuje soulad bezpečnostních opatření s nejlepší praxí, právními předpisy, vnitřními předpisy, jinými předpisy a smluvními závazky vztahujícími se k informačnímu a komunikačnímu systému a určí případná nápravná opatření pro zajištění souladu.
(2) Audit podle odstavce 1 je prováděn
a) při významných změnách, v rámci jejich rozsahu,
b) v pravidelných intervalech alespoň po 3 letech v případě povinné osoby uvedené v § 3 písm. e) zákona a
c) v pravidelných intervalech alespoň po 2 letech v případě povinné osoby neuvedené v písmenu b).
(3) Není-li v odůvodněných případech možné provést audit v intervalech podle odstavce 2 písm. b) a c) v celém rozsahu, je možné audit provádět průběžně po systematických celcích. V takovém případě je nutno audit v celém rozsahu provést nejpozději do 5 let.
(4) Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 7 odst. 4, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.
(5) Povinná osoba, která je současně provozovatelem, předkládá výsledky auditu kybernetické bezpečnosti správci daného informačního a komunikačního systému.