§ 8 Vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb) – Kontrola bezpečnostní shody
Vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb) · 378/2006 Sb. · § 8 · Ostatní právní předpisy
Stručně: Paragraf 8 vyhlášky 378/2006 stanovuje pravidla pro kontrolu bezpečnostní shody u poskytovatelů kvalifikovaných certifikačních služeb, jejímž cílem je ověřit, že jejich systémy jsou v souladu se zákonem a vyhláškou a že změny v systémech probíhají podle bezpečnostní dokumentace.
§ 8 Kontrola bezpečnostní shody
(1) Cílem kontroly bezpečnostní shody podle § 3 písm. f) je ověření, že
a) poskytovatel provozuje důvěryhodné systémy v souladu se zákonem a s touto vyhláškou,
b) poskytovatel provádí změny v důvěryhodných systémech v souladu s bezpečnostní dokumentací poskytovatele, a to s jejími částmi upravujícími řízení změn.
(2) Předmětem kontroly bezpečnostní shody jsou
a) všechny důvěryhodné systémy poskytovatele (celková kontrola bezpečnostní shody), nebo
b) všechny změny podle odstavce 1 písm. b), které poskytovatel provedl od provedení předchozí kontroly bezpečnostní shody, a jejich vliv na důvěryhodné systémy poskytovatele nebo ověření skutečnosti, že takové změny nenastaly (částečná kontrola bezpečnostní shody).
(3) Celková kontrola bezpečnostní shody je prováděna nejpozději do 1 roku od zahájení poskytování kvalifikovaných certifikačních služeb a následně vždy nejméně po 4 letech od předchozí celkové kontroly bezpečnostní shody, a to za předpokladu, že během těchto 4 let byly provedeny částečné kontroly bezpečnostní shody, mezi nimiž uplynul nejvíce 1 rok a první proběhla do 1 roku po celkové kontrole bezpečnostní shody.
(4) Pokud nejsou prováděny částečné kontroly bezpečnostní shody podle odstavce 2 písm. b), provádí se celkové kontroly bezpečnostní shody v intervalu nejdéle 1 roku.
(5) Kontrola bezpečnostní shody je prováděna podle požadavků české technické normy uvedené v bodu 6 přílohy č. 1 této vyhlášky.
(6) Poskytovatel zajišťuje zpracování zprávy o kontrole bezpečnostní shody, jejímž obsahem je
a) vymezení předmětu kontroly bezpečnostní shody; v případě celkové kontroly bezpečnostní shody vymezení všech důvěryhodných systémů podle odstavce 2 písm. a) s uvedením kvalifikovaných certifikačních služeb, které jsou prostřednictvím těchto systémů zajišťovány, nebo v případě částečné kontroly bezpečnostní shody vymezení změn podle odstavce 2 písm. b), které poskytovatel provedl od provedení předchozí kontroly bezpečnostní shody, a vymezení kvalifikovaných certifikačních služeb, které jsou zajišťovány prostřednictvím důvěryhodných systémů, těmito změnami ovlivněných,
b) jednoznačné určení dokumentace, která byla předmětem kontroly bezpečnostní shody,
c) popis průběhu kontroly bezpečnostní shody,
d) jméno, popřípadě jména a příjmení osoby, která provádí kontrolu bezpečnostní shody; tato osoba může být s poskytovatelem v pracovněprávním vztahu,
e) prohlášení o výsledku kontroly bezpečnostní shody, jehož součástí je prohlášení o tom, že poskytovatel provozuje důvěryhodné systémy v souladu s odstavcem 1.
(7) Pokud je v průběhu kontroly bezpečnostní shody zjištěno, že poskytovatel neprovozuje důvěryhodné systémy v souladu s odstavcem 1 písm. a) nebo neprovádí změny v důvěryhodných systémech v souladu s odstavcem 1 písm. b), musí být dosaženo nápravy, jejíž provedení je dokumentováno a v průběhu téže kontroly bezpečnostní shody ověřeno.
(8) Zprávu o kontrole bezpečnostní shody předává poskytovatel do 30 dnů od ukončení kontroly ministerstvu.
Paragraf 8 vyhlášky 378/2006 stanovuje pravidla pro kontrolu bezpečnostní shody u poskytovatelů kvalifikovaných certifikačních služeb, jejímž cílem je ověřit, že jejich systémy jsou v souladu se zákonem a vyhláškou a že změny v systémech probíhají podle bezpečnostní dokumentace.
Co to znamená v praxi
Poskytovatelé certifikačních služeb musí pravidelně podstupovat kontroly, které ověřují, zda jejich systémy splňují bezpečnostní požadavky.
Kontroly se dělí na celkové (prověřují všechny systémy) a částečné (zaměřují se na provedené změny a jejich vliv).
Celková kontrola musí proběhnout nejpozději do jednoho roku od zahájení činnosti a poté minimálně každé čtyři roky, pokud jsou mezitím prováděny částečné kontroly.
Pokud nejsou prováděny částečné kontroly, musí se celková kontrola provádět každoročně.
Na co si dát pozor
Poskytovatel musí zajistit zpracování zprávy o kontrole, která musí obsahovat vymezení předmětu kontroly, dokumentace, popis průběhu, jméno kontrolující osoby a prohlášení o výsledku.
Kontrola se provádí podle požadavků české technické normy uvedené v příloze č. 1 této vyhlášky.
Je důležité dodržovat stanovené intervaly pro provádění celkových a částečných kontrol, aby nedošlo k porušení vyhlášky.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.