§ 46 Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti – Společná ustanovení

§ 46 Společná ustanovení (1) Certifikace je postup, jímž Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost a) ověřuje způsobilost technického prostředku k ochraně utajovaných informací, b) ověřuje způsobilost informačního systému k nakládání s utajovanými informacemi, c) ověřuje způsobilost kryptografického prostředku k ochraně utajovaných informací, d) ověřuje způsobilost kryptografického pracoviště pro vykonávání činností podle § 37 odst. 4, nebo e) ověřuje způsobilost stínicí komory k ochraně utajovaných informací. (2) Zjistí-li Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost způsobilost podle odstavce 1, certifikát technického prostředku, certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště nebo certifikát stínicí komory vydá. (3) Certifikáty podle odstavce 2 jsou veřejnými listinami. (4) Certifikát technického prostředku obsahuje a) evidenční číslo certifikátu, b) název a typové označení technického prostředku, c) identifikaci výrobce technického prostředku obchodní firmou (dále jen „firma“) nebo názvem, identifikačním číslem osoby (dále jen „identifikační číslo“) a sídlem, jde-li o právnickou osobu, nebo jménem, příjmením a místem trvalého pobytu, jde-li o osobu fyzickou, d) identifikaci držitele certifikátu technického prostředku podle písmene c), e) hodnocení technického prostředku, f) datum vydání a dobu platnosti certifikátu a g) otisk úředního razítka a podpis oprávněného zástupce Úřadu; otisk úředního razítka se nevyžaduje, byl-li certifikát vydán v elektronické podobě. (5) Certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště a certifikát stínicí komory obsahuje a) evidenční číslo certifikátu, b) identifikaci držitele certifikátu podle odstavce 4 písm. c), c) datum vydání a dobu platnosti certifikátu a d) otisk úředního razítka Národního úřadu pro kybernetickou a informační bezpečnost a podpis oprávněného zástupce Národního úřadu pro kybernetickou a informační bezpečnost; otisk úředního razítka se nevyžaduje, byl-li certifikát vydán v elektronické podobě. (6) Certifikát informačního systému vedle náležitostí podle odstavce 5 obsahuje identifikaci informačního systému a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena. (7) Certifikát kryptografického prostředku vedle náležitostí podle odstavce 5 obsahuje a) identifikaci kryptografického prostředku, b) identifikaci výrobce kryptografického prostředku podle odstavce 4 písm. c) a c) stupeň utajení utajovaných informací, pro který byla způsobilost kryptografického prostředku schválena. (8) Certifikát kryptografického pracoviště vedle náležitostí podle odstavce 5 obsahuje a) identifikaci kryptografického pracoviště, b) rozsah způsobilosti kryptografického pracoviště a c) kategorii kryptografického pracoviště. (9) Certifikát stínicí komory vedle náležitostí podle odstavce 5 obsahuje a) identifikaci stínicí komory, pro kterou je vydáván, b) identifikaci výrobce stínicí komory podle odstavce 4 písm. c) a c) stupeň utajení utajovaných informací, pro který byla způsobilost stínicí komory schválena. (10) Není-li Úřadem nebo Národním úřadem pro kybernetickou a informační bezpečnost zjištěna způsobilost podle odstavce 1, rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu podle odstavce 1 písm. b) a c) není odvolání přípustné. (11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených v § 47 odst. 4 písm. b). Národní úřad pro kybernetickou a informační bezpečnost rozhoduje o zániku platnosti certifikátu v případech uvedených v § 48 odst. 4 písm. d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané proti rozhodnutí Úřadu nebo Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu informačního systému a certifikátu kryptografického prostředku není odvolání přípustné. (12) Jestliže platnost certifikátu, který nebyl vydán v elektronické podobě, zanikla podle § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Národního úřadu pro kybernetickou a informační bezpečnost odevzdat certifikát Národnímu úřadu pro kybernetickou a informační bezpečnost. Jestliže platnost certifikátu, který nebyl vydán v elektronické podobě, zanikla podle § 47 odst. 4 písm. b), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Úřadu odevzdat certifikát Úřadu. (13) Přílohou certifikátu informačního systému, kryptografického prostředku, kryptografického pracoviště nebo stínicí komory je certifikační zpráva, která obsahuje zásady a podmínky jejich provozování. V příloze certifikátu technického prostředku mohou být stanoveny podmínky jeho používání. (14) Úřad ověřuje způsobilost technického prostředku podle odstavce 1 písm. a) na základě posudku vlastností technického prostředku (dále jen „posudek“). K vydávání posudku podle věty první může Úřad uzavřít s orgánem státu, právnickou osobou podle § 60b nebo podnikatelem smlouvu podle § 52 o zajištění činnosti. (15) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu, právnickou osobou podle § 60b nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností; to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického prostředku nebo pracoviště anebo stínící komory, které mají být provozovány zpravodajskými službami. (16) Seznam orgánů státu, právnických osob podle § 60b a podnikatelů, s nimiž je uzavřena smlouva podle § 52, s výjimkou zpravodajských služeb, zveřejňuje Úřad a Národní úřad pro kybernetickou a informační bezpečnost v příslušném věstníku nebo na svých internetových stránkách. (17) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e), které z důvodu utajení nelze provést Národním úřadem pro kybernetickou a informační bezpečnost, jde-li o informační systém, kryptografický prostředek, kryptografické pracoviště nebo stínicí komoru, které mají být provozovány zpravodajskými službami, jsou oprávněny tyto zpravodajské služby. V těchto případech zpravodajské služby předloží Národnímu úřadu pro kybernetickou a informační bezpečnost výsledky provedení dílčích úloh a na žádost Národního úřadu pro kybernetickou a informační bezpečnost k nahlédnutí též protokoly o provedení dílčích úloh. (18) Při provádění dílčích úloh podle odstavce 17 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Národního úřadu pro kybernetickou a informační bezpečnost. (19) Účastníkem řízení o certifikaci nebo o zrušení platnosti certifikátu je žadatel podle § 47 odst. 1, § 48 odst. 1, § 49 odst. 1, § 50 odst. 1 a § 51 odst. 1.