Certifikace

(1) Certifikace je postup, jímž Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost

b) ověřuje způsobilost informačního systému k nakládání s utajovanými informacemi,

c) ověřuje způsobilost kryptografického prostředku k ochraně utajovaných informací,

a) ověřuje způsobilost technického prostředku k ochraně utajovaných informací,

e) ověřuje způsobilost stínicí komory k ochraně utajovaných informací.

d) ověřuje způsobilost kryptografického pracoviště pro vykonávání činností podle § 37 odst. 4, nebo

(2) Zjistí-li Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost způsobilost podle odstavce 1, certifikát technického prostředku, certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště nebo certifikát stínicí komory vydá.

(3) Certifikáty podle odstavce 2 jsou veřejnými listinami.

g) otisk úředního razítka a podpis oprávněného zástupce Úřadu; otisk úředního razítka se nevyžaduje, byl-li certifikát vydán v elektronické podobě.

a) evidenční číslo certifikátu,

c) identifikaci výrobce technického prostředku obchodní firmou (dále jen „firma“) nebo názvem, identifikačním číslem osoby (dále jen „identifikační číslo“) a sídlem, jde-li o právnickou osobu, nebo jménem, příjmením a místem trvalého pobytu, jde-li o osobu fyzickou,

d) identifikaci držitele certifikátu technického prostředku podle písmene c),

e) hodnocení technického prostředku,

f) datum vydání a dobu platnosti certifikátu a

(4) Certifikát technického prostředku obsahuje

b) název a typové označení technického prostředku,

a) evidenční číslo certifikátu,

(5) Certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště a certifikát stínicí komory obsahuje

d) otisk úředního razítka Národního úřadu pro kybernetickou a informační bezpečnost a podpis oprávněného zástupce Národního úřadu pro kybernetickou a informační bezpečnost; otisk úředního razítka se nevyžaduje, byl-li certifikát vydán v elektronické podobě.

c) datum vydání a dobu platnosti certifikátu a

b) identifikaci držitele certifikátu podle odstavce 4 písm. c),

(6) Certifikát informačního systému vedle náležitostí podle odstavce 5 obsahuje identifikaci informačního systému a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena.

(7) Certifikát kryptografického prostředku vedle náležitostí podle odstavce 5 obsahuje

c) stupeň utajení utajovaných informací, pro který byla způsobilost kryptografického prostředku schválena.

b) identifikaci výrobce kryptografického prostředku podle odstavce 4 písm. c) a

a) identifikaci kryptografického prostředku,

b) rozsah způsobilosti kryptografického pracoviště a

(8) Certifikát kryptografického pracoviště vedle náležitostí podle odstavce 5 obsahuje

c) kategorii kryptografického pracoviště.

a) identifikaci kryptografického pracoviště,

c) stupeň utajení utajovaných informací, pro který byla způsobilost stínicí komory schválena.

(9) Certifikát stínicí komory vedle náležitostí podle odstavce 5 obsahuje

b) identifikaci výrobce stínicí komory podle odstavce 4 písm. c) a

a) identifikaci stínicí komory, pro kterou je vydáván,

(10) Není-li Úřadem nebo Národním úřadem pro kybernetickou a informační bezpečnost zjištěna způsobilost podle odstavce 1, rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu podle odstavce 1 písm. b) a c) není odvolání přípustné.

(11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených v § 47 odst. 4 písm. b). Národní úřad pro kybernetickou a informační bezpečnost rozhoduje o zániku platnosti certifikátu v případech uvedených v § 48 odst. 4 písm. d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané proti rozhodnutí Úřadu nebo Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu informačního systému a certifikátu kryptografického prostředku není odvolání přípustné.

(12) Jestliže platnost certifikátu, který nebyl vydán v elektronické podobě, zanikla podle § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Národního úřadu pro kybernetickou a informační bezpečnost odevzdat certifikát Národnímu úřadu pro kybernetickou a informační bezpečnost. Jestliže platnost certifikátu, který nebyl vydán v elektronické podobě, zanikla podle § 47 odst. 4 písm. b), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Úřadu odevzdat certifikát Úřadu.

(13) Přílohou certifikátu informačního systému, kryptografického prostředku, kryptografického pracoviště nebo stínicí komory je certifikační zpráva, která obsahuje zásady a podmínky jejich provozování. V příloze certifikátu technického prostředku mohou být stanoveny podmínky jeho používání.

(14) Úřad ověřuje způsobilost technického prostředku podle odstavce 1 písm. a) na základě posudku vlastností technického prostředku (dále jen „posudek“). K vydávání posudku podle věty první může Úřad uzavřít s orgánem státu, právnickou osobou podle § 60b nebo podnikatelem smlouvu podle § 52 o zajištění činnosti.

(19) Účastníkem řízení o certifikaci nebo o zrušení platnosti certifikátu je žadatel podle § 47 odst. 1, § 48 odst. 1, § 49 odst. 1, § 50 odst. 1 a § 51 odst. 1.

(15) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu, právnickou osobou podle § 60b nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností; to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického prostředku nebo pracoviště anebo stínící komory, které mají být provozovány zpravodajskými službami.

(16) Seznam orgánů státu, právnických osob podle § 60b a podnikatelů, s nimiž je uzavřena smlouva podle § 52, s výjimkou zpravodajských služeb, zveřejňuje Úřad a Národní úřad pro kybernetickou a informační bezpečnost v příslušném věstníku nebo na svých internetových stránkách.

(17) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e), které z důvodu utajení nelze provést Národním úřadem pro kybernetickou a informační bezpečnost, jde-li o informační systém, kryptografický prostředek, kryptografické pracoviště nebo stínicí komoru, které mají být provozovány zpravodajskými službami, jsou oprávněny tyto zpravodajské služby. V těchto případech zpravodajské služby předloží Národnímu úřadu pro kybernetickou a informační bezpečnost výsledky provedení dílčích úloh a na žádost Národního úřadu pro kybernetickou a informační bezpečnost k nahlédnutí též protokoly o provedení dílčích úloh.

(18) Při provádění dílčích úloh podle odstavce 17 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Národního úřadu pro kybernetickou a informační bezpečnost.

(1) O certifikaci technického prostředku písemně žádá u Úřadu výrobce, dovozce, distributor nebo uživatel technického prostředku. K žádosti se přiloží posudek podle § 46 odst. 14 a dokumentace nezbytná pro provedení certifikace technického prostředku.

(2) Dobu platnosti certifikátu technického prostředku stanoví Úřad nejdéle na dobu 5 let.

(3) Seznam certifikovaných technických prostředků, kromě technických prostředků certifikovaných na žádost uživatele technického prostředku, je zveřejňován na internetových stránkách Úřadu.

a) uplynutím doby jeho platnosti, nebo

(4) Platnost certifikátu technického prostředku zaniká

b) rozhodnutím Úřadu o zániku platnosti certifikátu v případě, že vyráběný technický prostředek nesplňuje požadavky tohoto zákona a prováděcích právních předpisů nebo není ve shodě s posuzovaným technickým prostředkem.

(5) Zanikla-li platnost certifikátu technického prostředku podle odstavce 4, Úřad tento technický prostředek vyřadí ze seznamu zveřejňovaného podle odstavce 3.

(6) Technický prostředek používaný k ochraně utajovaných informací lze nadále používat i po uplynutí doby platnosti jeho certifikátu.

(7) Úřad může při certifikaci technického prostředku přihlédnout k certifikátu nebo obdobnému dokumentu technického prostředku vydanému oprávněným pracovištěm cizí moci.

(1) O certifikaci informačního systému písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu, právnická osoba podle § 60b nebo podnikatel, který bude informační systém provozovat.

(2) Ten, kdo o certifikaci informačního systému podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu informačního systému stanoví Národní úřad pro kybernetickou a informační bezpečnost. Platnost certifikátu informačního systému je pro stupeň utajení

b) Vyhrazené nejdéle 5 let.

a) Přísně tajné, Tajné a Důvěrné nejdéle 3 roky a

a) uplynutím doby jeho platnosti,

b) v případě informačního systému pro nakládání s utajovanými informacemi stupně utajení Důvěrné nebo vyššího zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu nebo zánikem právnické osoby podle § 60b,

d) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestal-li být informační systém způsobilý k nakládání s utajovanými informacemi, nebo

e) oznámením orgánu státu, právnické osoby podle § 60b nebo podnikatele, který je držitelem certifikátu, o zrušení informačního systému.

(4) Platnost certifikátu informačního systému zaniká

(5) Má-li být informační systém používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci informačního systému. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu informačního systému.

(6) Národní úřad pro kybernetickou a informační bezpečnost je povinen rozhodnout o certifikaci informačního systému do 1 roku od zahájení řízení o certifikaci, ve zvlášť složitých případech do 2 let; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Národního úřadu pro kybernetickou a informační bezpečnost, nejvýše však o 6 měsíců.

(1) O certifikaci kryptografického prostředku písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost výrobce, dovozce, distributor nebo uživatel kryptografického prostředku. Žádá-li o certifikaci kryptografického prostředku podnikatel, musí být držitelem platného osvědčení podnikatele pro přístup k utajované informaci podle § 20 odst. 1 písm. a).

(2) Národní úřad pro kybernetickou a informační bezpečnost žádost podle odstavce 1 rozhodnutím odmítne, není-li v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací kryptografickou ochranou. Proti rozhodnutí podle věty první není odvolání přípustné a nelze jej ani přezkoumat soudem.

(3) Ten, kdo o certifikaci kryptografického prostředku podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost kryptografický prostředek v potřebném počtu a dokumentaci nezbytnou pro provedení certifikace.

(4) Dobu platnosti certifikátu kryptografického prostředku stanoví Národní úřad pro kybernetickou a informační bezpečnost na dobu nejdéle 5 let.

a) uplynutím doby jeho platnosti, nebo

(5) Platnost certifikátu kryptografického prostředku zaniká

b) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestal-li být kryptografický prostředek způsobilý k ochraně utajovaných informací.

(6) Má-li být kryptografický prostředek používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci kryptografického prostředku. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu kryptografického prostředku.

(7) Národní úřad pro kybernetickou a informační bezpečnost může při certifikaci kryptografického prostředku přihlédnout k certifikátu nebo obdobnému dokumentu kryptografického prostředku vydanému oprávněným pracovištěm cizí moci.

(8) Řízení o certifikaci kryptografického prostředku lze též přerušit současně s odesláním žádosti adresované zahraničnímu subjektu o informaci nezbytnou pro spolehlivé zjištění stavu věci.

(10) Pro lhůty pro vydání rozhodnutí platí § 48 odst. 6.

(9) Národní úřad pro kybernetickou a informační bezpečnost může stanovit při certifikaci kryptografického prostředku jeho způsobilost k ochraně taktické informace.

(1) O certifikaci kryptografického pracoviště písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu, právnická osoba podle § 60b nebo podnikatel, u kterého má být kryptografické pracoviště provozováno. Žádá-li o certifikaci kryptografického pracoviště podnikatel, musí být držitelem platného osvědčení podnikatele.

(2) Ten, kdo o certifikaci kryptografického pracoviště podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu kryptografického pracoviště stanoví Národní úřad pro kybernetickou a informační bezpečnost na dobu nejdéle 3 let.

d) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestalo-li být kryptografické pracoviště způsobilé pro vykonávání určených činností, nebo

(4) Platnost certifikátu kryptografického pracoviště zaniká

b) zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu nebo zánikem právnické osoby podle § 60b,

a) uplynutím doby jeho platnosti,

(5) Má-li být kryptografické pracoviště využíváno i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci kryptografického pracoviště. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu kryptografického pracoviště.

(6) Národní úřad pro kybernetickou a informační bezpečnost je povinen rozhodnout o certifikaci kryptografického pracoviště do 6 měsíců od zahájení řízení o certifikaci, ve zvlášť složitých případech do 1 roku; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Národního úřadu pro kybernetickou a informační bezpečnost, nejvýše však o 3 měsíce.

(1) O certifikaci stínicí komory písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu, právnická osoba podle § 60b nebo podnikatel, u kterého je stínicí komora používána.

(2) Ten, kdo o certifikaci stínicí komory podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu stínicí komory stanoví Národní úřad pro kybernetickou a informační bezpečnost na dobu nejdéle 5 let.

b) zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu nebo zánikem právnické osoby podle § 60b, nebo

d) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestala-li být stínicí komora způsobilá k ochraně utajovaných informací.

e) oznámením orgánu státu, právnické osoby podle § 60b nebo podnikatele, který je držitelem certifikátu, o zrušení kryptografického pracoviště.

a) uplynutím doby jeho platnosti,

(4) Platnost certifikátu stínicí komory zaniká

(5) Má-li být stínicí komora používána i bezprostředně po uplynutí doby platnosti jejího certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci stínicí komory. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 12 měsíců před uplynutím doby platnosti původního certifikátu stínicí komory.

(6) Pro lhůty pro vydání rozhodnutí platí § 50 odst. 6.

(1) Smlouva o zajištění činnosti (dále jen „smlouva“) uvedená v § 39 odst. 3, § 45 odst. 4 a § 46 odst. 14 a 15 se uzavírá na dobu určitou nebo neurčitou. Smlouva musí mít písemnou formu. Projev vůle účastníků smlouvy musí být na téže listině.

b) zajištěny u orgánu státu, právnické osoby podle § 60b nebo podnikatele organizačně, technicky a materiálně.

a) prováděny odborně způsobilými zaměstnanci státu, právnické osoby podle § 60b nebo podnikatele,

(2) Smlouvu lze uzavřít s orgánem státu, právnickou osobou podle § 60b nebo podnikatelem na základě jejich písemné žádosti, a to pouze tehdy, budou-li činnosti, jež jsou předmětem smlouvy,

f) souhlas se zveřejněním technického prostředku na internetových stránkách Úřadu, jde-li o smlouvu k vydávání posudku uvedenou v § 46 odst. 14.

(4) Smlouva musí obsahovat

(3) Smlouvu s podnikatelem lze dále uzavřít pouze tehdy, je-li

a) jeho sídlo na území České republiky,

b) držitelem platného osvědčení podnikatele příslušného stupně utajení; tato podmínka neplatí, má-li být uzavřena smlouva k vydávání posudku uvedená v § 46 odst. 14 a 15.

a) označení účastníků smlouvy,

b) vymezení předmětu smlouvy a jeho rozsahu,

c) práva a povinnosti účastníků smlouvy,

d) způsob kontroly prováděné Úřadem nebo Národním úřadem pro kybernetickou a informační bezpečnost podle odstavce 6,

e) způsob a podmínky odstoupení účastníků od smlouvy,

(5) V podmínkách podle odstavce 4 písm. e) musí být též stanoveno, že Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost odstoupí od smlouvy v případě, že druhý účastník smlouvy poruší povinnost stanovenou tímto zákonem, prováděcími právními předpisy nebo uzavřenou smlouvou.

(6) Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost kontroluje, zda druhý účastník smlouvy dodržuje ustanovení tohoto zákona, prováděcích právních předpisů a uzavřené smlouvy.

(7) Změnit obsah smlouvy lze pouze písemnou dohodou účastníků smlouvy.

(8) Smlouvu lze vypovědět pouze písemnou formou.

(9) Nestanoví-li tento zákon jinak, použijí se v ostatním přiměřeně ustanovení občanského zákoníku.

a) náležitosti žádosti o certifikaci technického prostředku, dokumentaci nezbytnou k provedení certifikace technického prostředku, pravidla pro stanovení doby platnosti certifikátu technického prostředku, pravidla a způsob používání technického prostředku po uplynutí doby platnosti jeho certifikátu a vzor certifikátu technického prostředku,

c) způsob a podmínky provádění certifikace nebo akreditace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínící komory a jejich opakování a obsah certifikační zprávy podle § 46 odst. 13,

b) náležitosti žádosti a opakované žádosti o certifikaci informačního systému, certifikaci kryptografického prostředku, certifikaci kryptografického pracoviště a certifikaci stínící komory, a dokumentaci nezbytnou k provedení certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínící komory,

d) vzory certifikátu informačního systému, certifikátu kryptografického prostředku, certifikátu kryptografického pracoviště a certifikátu stínící komory,

e) náležitosti žádosti o ověření způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím vyzařováním a způsob hodnocení jejich způsobilosti a

f) náležitosti žádosti orgánu státu, právnické osoby podle § 60b nebo podnikatele o uzavření smlouvy podle § 52.