c) ověřuje způsobilost kryptografického prostředku k ochraně utajovaných informací,

b) ověřuje způsobilost informačního systému k nakládání s utajovanými informacemi,

(1) Certifikace je postup, jímž Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost

a) ověřuje způsobilost technického prostředku k ochraně utajovaných informací,

d) ověřuje způsobilost kryptografického pracoviště pro vykonávání činností podle § 37 odst. 4, nebo

e) ověřuje způsobilost stínicí komory k ochraně utajovaných informací.

(2) Zjistí-li Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost způsobilost podle odstavce 1, certifikát technického prostředku, certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště nebo certifikát stínicí komory vydá.

(3) Certifikáty podle odstavce 2 jsou veřejnými listinami.

b) název a typové označení technického prostředku,

d) identifikaci držitele certifikátu technického prostředku podle písmene c),

g) otisk úředního razítka a podpis oprávněného zástupce Úřadu; otisk úředního razítka se nevyžaduje, byl-li certifikát vydán v elektronické podobě.

f) datum vydání a dobu platnosti certifikátu a

(4) Certifikát technického prostředku obsahuje

e) hodnocení technického prostředku,

a) evidenční číslo certifikátu,

c) identifikaci výrobce technického prostředku obchodní firmou (dále jen „firma“) nebo názvem, identifikačním číslem osoby (dále jen „identifikační číslo“) a sídlem, jde-li o právnickou osobu, nebo jménem, příjmením a místem trvalého pobytu, jde-li o osobu fyzickou,

a) evidenční číslo certifikátu,

c) datum vydání a dobu platnosti certifikátu a

(5) Certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště a certifikát stínicí komory obsahuje

d) otisk úředního razítka Národního úřadu pro kybernetickou a informační bezpečnost a podpis oprávněného zástupce Národního úřadu pro kybernetickou a informační bezpečnost; otisk úředního razítka se nevyžaduje, byl-li certifikát vydán v elektronické podobě.

b) identifikaci držitele certifikátu podle odstavce 4 písm. c),

(6) Certifikát informačního systému vedle náležitostí podle odstavce 5 obsahuje identifikaci informačního systému a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena.

a) identifikaci kryptografického prostředku,

c) stupeň utajení utajovaných informací, pro který byla způsobilost kryptografického prostředku schválena.

(7) Certifikát kryptografického prostředku vedle náležitostí podle odstavce 5 obsahuje

b) identifikaci výrobce kryptografického prostředku podle odstavce 4 písm. c) a

a) identifikaci kryptografického pracoviště,

(8) Certifikát kryptografického pracoviště vedle náležitostí podle odstavce 5 obsahuje

b) rozsah způsobilosti kryptografického pracoviště a

c) kategorii kryptografického pracoviště.

b) identifikaci výrobce stínicí komory podle odstavce 4 písm. c) a

c) stupeň utajení utajovaných informací, pro který byla způsobilost stínicí komory schválena.

a) identifikaci stínicí komory, pro kterou je vydáván,

(9) Certifikát stínicí komory vedle náležitostí podle odstavce 5 obsahuje

(10) Není-li Úřadem nebo Národním úřadem pro kybernetickou a informační bezpečnost zjištěna způsobilost podle odstavce 1, rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu podle odstavce 1 písm. b) a c) není odvolání přípustné.

(11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených v § 47 odst. 4 písm. b). Národní úřad pro kybernetickou a informační bezpečnost rozhoduje o zániku platnosti certifikátu v případech uvedených v § 48 odst. 4 písm. d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané proti rozhodnutí Úřadu nebo Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu informačního systému a certifikátu kryptografického prostředku není odvolání přípustné.

(12) Jestliže platnost certifikátu, který nebyl vydán v elektronické podobě, zanikla podle § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Národního úřadu pro kybernetickou a informační bezpečnost odevzdat certifikát Národnímu úřadu pro kybernetickou a informační bezpečnost. Jestliže platnost certifikátu, který nebyl vydán v elektronické podobě, zanikla podle § 47 odst. 4 písm. b), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Úřadu odevzdat certifikát Úřadu.

(13) Přílohou certifikátu informačního systému, kryptografického prostředku, kryptografického pracoviště nebo stínicí komory je certifikační zpráva, která obsahuje zásady a podmínky jejich provozování. V příloze certifikátu technického prostředku mohou být stanoveny podmínky jeho používání.

(14) Úřad ověřuje způsobilost technického prostředku podle odstavce 1 písm. a) na základě posudku vlastností technického prostředku (dále jen „posudek“). K vydávání posudku podle věty první může Úřad uzavřít s orgánem státu, právnickou osobou podle § 60b nebo podnikatelem smlouvu podle § 52 o zajištění činnosti.

(19) Účastníkem řízení o certifikaci nebo o zrušení platnosti certifikátu je žadatel podle § 47 odst. 1, § 48 odst. 1, § 49 odst. 1, § 50 odst. 1 a § 51 odst. 1.

(17) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e), které z důvodu utajení nelze provést Národním úřadem pro kybernetickou a informační bezpečnost, jde-li o informační systém, kryptografický prostředek, kryptografické pracoviště nebo stínicí komoru, které mají být provozovány zpravodajskými službami, jsou oprávněny tyto zpravodajské služby. V těchto případech zpravodajské služby předloží Národnímu úřadu pro kybernetickou a informační bezpečnost výsledky provedení dílčích úloh a na žádost Národního úřadu pro kybernetickou a informační bezpečnost k nahlédnutí též protokoly o provedení dílčích úloh.

(16) Seznam orgánů státu, právnických osob podle § 60b a podnikatelů, s nimiž je uzavřena smlouva podle § 52, s výjimkou zpravodajských služeb, zveřejňuje Úřad a Národní úřad pro kybernetickou a informační bezpečnost v příslušném věstníku nebo na svých internetových stránkách.

(15) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu, právnickou osobou podle § 60b nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností; to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického prostředku nebo pracoviště anebo stínící komory, které mají být provozovány zpravodajskými službami.

(18) Při provádění dílčích úloh podle odstavce 17 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Národního úřadu pro kybernetickou a informační bezpečnost.