§ 28
(1) Úřad a Ministerstvo vnitra stanoví vyhláškou významné informační systémy a jejich určující kritéria podle § 6 písm. d).
a) obsah a strukturu bezpečnostní dokumentace, obsah bezpečnostních opatření a rozsah bezpečnostních opatření podle § 6 písm. a) až c) a obsah a rozsah bezpečnostních pravidel podle § 6 písm. e),
b) typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů a náležitosti a způsob hlášení kybernetického bezpečnostního incidentu podle § 8 odst. 7,
c) náležitosti oznámení o provedení reaktivního opatření a jeho výsledku podle § 13 odst. 4,
d) vzor oznámení kontaktních údajů a jeho formu podle § 16 odst. 7,
e) dopadová a odvětvová kritéria pro určení provozovatele základní služby a vymezení významnosti dopadu narušení základní služby na zabezpečení společenských nebo ekonomických činností podle § 22a odst. 1,
f) způsob likvidace dat, provozních údajů, informací a jejich kopií.