§ 5
Řízení rizik
(1) Povinná osoba v rámci řízení rizik v návaznosti na § 4
a) stanoví metodiku pro hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik,
b) s ohledem na aktiva identifikuje relevantní hrozby a zranitelnosti; přitom zvažuje zejména kategorie hrozeb a zranitelností uvedených v příloze č. 3 k této vyhlášce,
c) provádí hodnocení rizik v pravidelných intervalech podle odstavce 2 a při významných změnách,
d) při hodnocení rizik zohlední relevantní hrozby a zranitelnosti a posoudí možné dopady na aktiva; tato rizika hodnotí alespoň v rozsahu přílohy č. 2 k této vyhlášce,
e) zpracuje zprávu o hodnocení rizik,
f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled bezpečnostních opatření požadovaných touto vyhláškou, která
1. nebyla aplikována, včetně odůvodnění,
2. byla aplikována, včetně způsobu plnění,
g) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání jednotlivých rizik, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení, popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a způsob realizace bezpečnostních opatření,
h) při hodnocení rizik a v plánu zvládání rizik zohlední
1. významné změny,
2. změny rozsahu systému řízení bezpečnosti informací,
3. opatření podle § 11 zákona a
4. kybernetické bezpečnostní incidenty, včetně dříve řešených, a
i) v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.
(2) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona provádí hodnocení rizik alespoň jednou ročně a povinná osoba uvedená v § 3 písm. e) zákona alespoň jednou za tři roky.
(3) Řízení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písm. d), pokud povinná osoba zabezpečí, že použitá opatření zajistí stejnou nebo vyšší úroveň procesu řízení rizik.