66. člen
(ocena varnostnih tveganj)
(1)
Obvladovanje varnostnih tveganj zajema prepoznavanje in oceno tveganj ter njihovih posledic, načrtovanje ukrepov in odgovornosti za varnostna tveganja ter spremljanje in poročanje o obvladovanju varnostnih tveganj.
(2)
Za ocenjevanje in obvladovanje varnostnih tveganj se glede na potrebe organa ali organizacije uporabi metodologija, določena v Prilogah 11, 12 in 13 te uredbe.
(3)
Preostala tveganja, ki jih ni mogoče odpraviti ali zmanjšati po izvedbi vseh varnostnih ukrepov v sistemu, mora organ ali organizacija spremljati in upravljati skozi celoten življenjski cikel sistema (grožnje in ranljivost sistema, varnostne nastavitve sistema, vpliv sprememb sistema na varnost, skladnost z varnostnimi zahtevami).
(4)
Varnost oskrbovalnih verig na področju varnosti sistemov, vključno z nabavo informacijskih sistemov in njihovih komponent, mora biti skrbno načrtovana in vodena.
(5)
Seznam groženj in ranljivosti sistema vodi nacionalni varnostni organ v sodelovanju z organom, pristojnim za kibernetsko varnost.