§ 46 Úplné znění zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, jak vyplývá z pozdějších změn – Certifikace

§ 46 Certifikace (1) Certifikace je postup, jímž Úřad a) ověřuje způsobilost technického prostředku k ochraně utajovaných informací, b) ověřuje způsobilost informačního systému k nakládání s utajovanými informacemi, c) ověřuje způsobilost kryptografického prostředku k ochraně utajovaných informací, d) ověřuje způsobilost kryptografického pracoviště pro vykonávání činností podle § 37 odst. 4, nebo e) ověřuje způsobilost stínicí komory k ochraně utajovaných informací. (2) Zjistí-li Úřad způsobilost podle odstavce 1, certifikát technického prostředku, certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště nebo certifikát stínicí komory vydá. (3) Certifikáty podle odstavce 2 jsou veřejnými listinami. (4) Certifikát technického prostředku obsahuje a) evidenční číslo certifikátu, b) název a typové označení technického prostředku, c) identifikaci výrobce technického prostředku obchodní firmou (dále jen „firma“) nebo názvem, identifikačním číslem osoby (dále jen „identifikační číslo“) a sídlem, jde-li o právnickou osobu, nebo jménem, příjmením, rodným číslem a místem trvalého pobytu, jde-li o osobu fyzickou, d) identifikaci držitele certifikátu technického prostředku podle písmene c), e) hodnocení technického prostředku, f) datum vydání a dobu platnosti certifikátu a g) otisk úředního razítka a podpis oprávněného zástupce Úřadu nebo v případě vydání tohoto certifikátu v elektronické podobě elektronický podpis oprávněného zástupce Úřadu podle zvláštního právního předpisu22). (5) Certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště a certifikát stínicí komory obsahuje a) evidenční číslo certifikátu, b) identifikaci držitele certifikátu podle odstavce 4 písm. c), c) datum vydání a dobu platnosti certifikátu a d) otisk úředního razítka Úřadu a podpis oprávněného zástupce Úřadu nebo v případě vydání těchto certifikátů v elektronické podobě elektronický podpis oprávněného zástupce Úřadu podle zvláštního právního předpisu22). (6) Certifikát informačního systému vedle náležitostí podle odstavce 5 obsahuje identifikaci informačního systému a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena. (7) Certifikát kryptografického prostředku vedle náležitostí podle odstavce 5 obsahuje a) identifikaci kryptografického prostředku, b) identifikaci výrobce kryptografického prostředku podle odstavce 4 písm. c) a c) stupeň utajení utajovaných informací, pro který byla způsobilost kryptografického prostředku schválena. (8) Certifikát kryptografického pracoviště vedle náležitostí podle odstavce 5 obsahuje a) identifikaci kryptografického pracoviště, b) rozsah způsobilosti kryptografického pracoviště a c) kategorii kryptografického pracoviště. (9) Certifikát stínicí komory vedle náležitostí podle odstavce 5 obsahuje a) identifikaci stínicí komory, pro kterou je vydáván, b) identifikaci výrobce stínicí komory podle odstavce 4 písm. c) a c) stupeň utajení utajovaných informací, pro který byla způsobilost stínicí komory schválena. (10) Není-li Úřadem zjištěna způsobilost podle odstavce 1, rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu podle odstavce 1 písm. b) a c) není odvolání přípustné. (11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených v § 47 odst. 4 písm. b), § 48 odst. 4 písm. d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané proti rozhodnutí Úřadu o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Úřadu o zániku platnosti certifikátu informačního systému a certifikátu kryptografického prostředku není odvolání přípustné. (12) Jestliže platnost certifikátu zanikla podle § 47 odst. 4 písm. b), § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Úřadu odevzdat certifikát Úřadu. (13) Přílohou certifikátu informačního systému, kryptografického prostředku, kryptografického pracoviště nebo stínicí komory je certifikační zpráva, která obsahuje zásady a podmínky jejich provozování. V příloze certifikátu technického prostředku mohou být stanoveny podmínky jeho používání. (14) Úřad ověřuje způsobilost technického prostředku podle odstavce 1 písm. a) na základě posudku vlastností technického prostředku (dále jen „posudek“). (15) K vydávání posudku podle odstavce 14 a k provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e) může Úřad uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností; to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického prostředku nebo pracoviště anebo stínicí komory, které mají být provozovány zpravodajskými službami. (16) Seznam orgánů státu a podnikatelů, s nimiž Úřad uzavřel smlouvu podle § 52, zveřejňuje Úřad ve Věstníku Úřadu. (17) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e), které z důvodu utajení nelze provést Úřadem, jde-li o informační systém, kryptografický prostředek, kryptografické pracoviště nebo stínicí komoru, které mají být provozovány zpravodajskými službami, jsou oprávněny tyto zpravodajské služby. V těchto případech zpravodajské služby předají Úřadu protokoly o provedení dílčích úloh, včetně jejich výsledků. (18) Při provádění dílčích úloh podle odstavce 17 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Úřadu. (19) Účastníkem řízení o certifikaci nebo o zrušení platnosti certifikátu je žadatel podle § 47 odst. 1, § 48 odst. 1, § 49 odst. 1, § 50 odst. 1 a § 51 odst. 1.