Kategória I

Kontinuálne riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti:
1.
Vypracovanie analýzy rizík kybernetickej bezpečnosti a informačnej bezpečnosti.
2.
Návrh a prijatie bezpečnostných opatrení.
3.
Periodické preskúmavanie rizík.

Kategória II
a)
Identifikácia všetkých významných informačných aktív v organizácii správcu a určenie ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu.
b)
Zaradenie informačných aktív podľa definovaných požiadaviek na ich dôvernosť, dostupnosť a integritu do určených klasifikačných stupňov, pre ktoré sú určené bezpečnostné opatrenia najmenej na ich označovanie, ukladanie, prenos, zverejňovanie a likvidáciu.
c)
Klasifikačné stupne pre informačné aktíva ustanovuje osobitný predpis.1)
d)
Vypracovanie a implementácia interného riadiaceho aktu na riadenie bezpečnostných rizík, ktorý obsahuje najmenej
1.
zodpovednosť za vykonanie analýzy rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
proces vykonávania analýzy rizík,
3.
maticu určenia závažnosti rizika,
4.
periodicitu vykonávania analýzy rizík,
5.
spôsob dokumentácie bezpečnostných rizík a prijatých opatrení a postupov na ich zníženie na prijateľnú úroveň v podľa matice určenia závažnosti rizika.
e)
Vykonávanie analýzy rizík najmenej raz za dva roky.

Kategória III
a)
Vytvorenie a udržiavanie zoznamu informačných aktív každého organizačného útvaru organizácie správcu, ktorý je zároveň ich vlastníkom a ktorý určí požiadavky na dôvernosť, dostupnosť a integritu každého informačného aktíva v jeho vlastníctve.
b)
Vykonávanie analýzy rizík a vyhodnocovanie súladu implementovaných opatrení s touto vyhláškou najmenej raz ročne.