3.Riadenie kontinuity činností uvedených v článku 16 ods. 1 písm. c) smernice (EÚ) 2016/1148 znamená schopnosť organizácie po rušivom incidente zachovať alebo prípadne obnoviť poskytovanie služieb na prijateľnej vopred stanovenej úrovni zahŕňajú:a)vytvorenie a používanie pohotovostných plánov založených na analýze prevádzkového dopadu s cieľom zabezpečiť kontinuitu služieb poskytovaných poskytovateľmi digitálnych služieb, ktoré sa pravidelne vyhodnocujú a testujú napríklad prostredníctvom cvičení;
b)schopnosť na obnovenie prevádzky po havárii, ktorá sa pravidelne posudzuje a testuje, napríklad prostredníctvom cvičení.
4.Monitorovanie, audit a skúšanie uvedené v článku 16 ods. 1 písm. d) smernice (EÚ) 2016/1148 zahŕňajú vytvorenie a udržiavanie politík týkajúcich sa:
a)vykonávania plánovaných postupných pozorovaní alebo meraní s cieľom posúdiť, či siete a informačné systémy fungujú podľa plánu;
b)kontroly a overovania s cieľom skontrolovať, či sa dodržiavajú štandardné alebo stanovené usmernenia, a či sú záznamy presné a sú splnené ciele účinnosti a efektívnosti;
c)procesu zameraného na odhalenie nedostatkov bezpečnostných mechanizmov siete a informačného systému, ktoré chránia dáta a zachovávajú funkčnosť podľa plánu. Takýto proces zahŕňa technické procesy a personál zapojený do prevádzky.
5.Medzinárodné normy uvedené v článku 16 ods. 1 písm. e) Smernice (EÚ) 2016/1148 znamenajú normy prijaté medzinárodným normalizačným orgánom uvedeným v článku 2 ods. 1 písm. a) Nariadenia Európskeho parlamentu a Rady (EÚ) č. 1025/2012. Podľa článku 19 smernice (EÚ) 2016/1148 sa môžu použiť aj európske alebo medzinárodne uznávané normy a špecifikácie týkajúce sa bezpečnosti sietí a informačných systémov vrátane existujúcich vnútroštátnych noriem.
6.Opatrenia prijaté poskytovateľom digitálnych služieb v súlade s odsekmi 1, 2, 3, 4 a 5 sa zdokumentujú.
Článok 3
Parametre, ktoré sa majú zohľadniť pri určovaní toho, či je dopad incidentu závažný
1.Pokiaľ ide o počet užívateľov postihnutých incidentom, najmä užívateľov, ktorí využívajú službu na poskytovanie svojich vlastných služieb uvedených v článku 16 ods. 4 písm. a) smernice (EÚ) 2016/1148, poskytovateľ digitálnych služieb musí byť schopný odhadnúť niektorú z týchto možností:
a)počet postihnutých fyzických a právnických osôb, s ktorými bola uzatvorená zmluva o poskytnutí služby; alebo
b)počet používateľov, ktorí využívali službu, a to najmä na základe predchádzajúcich prevádzkových údajov.