Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti - HLAVA IX - CERTIFIKACE

Hlava IX

Certifikace

§ 46

Společná ustanovení

(1) Certifikace je postup, jímž Úřad

a) ověřuje způsobilost technického prostředku k ochraně utajovaných informací,

b) ověřuje způsobilost informačního systému k nakládání s utajovanými informacemi,

c) ověřuje způsobilost kryptografického prostředku k ochraně utajovaných informací,

d) ověřuje způsobilost kryptografického pracoviště pro vykonávání činností podle § 37 odst. 4, nebo

e) ověřuje způsobilost stínicí komory k ochraně utajovaných informací.

(2) Zjistí-li Úřad způsobilost podle odstavce 1, certifikát technického prostředku, certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště nebo certifikát stínicí komory vydá.

(3) Certifikáty podle odstavce 2 jsou veřejnými listinami.

(4) Certifikát technického prostředku obsahuje

a) evidenční číslo certifikátu,

b) název a typové označení technického prostředku,

c) identifikaci výrobce technického prostředku obchodní firmou (dále jen "firma") nebo názvem, identifikačním číslem osoby (dále jen „identifikační číslo“) a sídlem, jde-li o právnickou osobu, nebo jménem, příjmením, rodným číslem a místem trvalého pobytu, jde-li o osobu fyzickou,

d) identifikaci držitele certifikátu technického prostředku podle písmene c),

e) hodnocení technického prostředku,

f) datum vydání a dobu platnosti certifikátu a

(5) Certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště a certifikát stínicí komory obsahuje

a) evidenční číslo certifikátu,

b) identifikaci držitele certifikátu podle odstavce 4 písm. c),

c) datum vydání a dobu platnosti certifikátu a

(6) Certifikát informačního systému vedle náležitostí podle odstavce 5 obsahuje identifikaci informačního systému a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena.

(7) Certifikát kryptografického prostředku vedle náležitostí podle odstavce 5 obsahuje

a) identifikaci kryptografického prostředku,

b) identifikaci výrobce kryptografického prostředku podle odstavce 4 písm. c) a

c) stupeň utajení utajovaných informací, pro který byla způsobilost kryptografického prostředku schválena.

(8) Certifikát kryptografického pracoviště vedle náležitostí podle odstavce 5 obsahuje

a) identifikaci kryptografického pracoviště,

b) rozsah způsobilosti kryptografického pracoviště a

c) kategorii kryptografického pracoviště.

(9) Certifikát stínicí komory vedle náležitostí podle odstavce 5 obsahuje

a) identifikaci stínicí komory, pro kterou je vydáván,

b) identifikaci výrobce stínicí komory podle odstavce 4 písm. c) a

c) stupeň utajení utajovaných informací, pro který byla způsobilost stínicí komory schválena.

(10) Není-li Úřadem zjištěna způsobilost podle odstavce 1, rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu podle odstavce 1 písm. b) a c) není odvolání přípustné.

(11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených v § 47 odst. 4 písm. b), § 48 odst. 4 písm. d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané proti rozhodnutí Úřadu o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Úřadu o zániku platnosti certifikátu informačního systému a certifikátu kryptografického prostředku není odvolání přípustné.

(12) Jestliže platnost certifikátu zanikla podle § 47 odst. 4 písm. b), § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Úřadu odevzdat certifikát Úřadu.

(13) Přílohou certifikátu informačního systému, kryptografického prostředku, kryptografického pracoviště nebo stínicí komory je certifikační zpráva, která obsahuje zásady a podmínky jejich provozování. V příloze certifikátu technického prostředku mohou být stanoveny podmínky jeho používání.

(14) Úřad ověřuje způsobilost technického prostředku podle odstavce 1 písm. a) na základě posudku vlastností technického prostředku (dále jen "posudek").

(15) K vydávání posudku podle odstavce 14 a k provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e) může Úřad uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností; to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického prostředku nebo pracoviště anebo stínicí komory, které mají být provozovány zpravodajskými službami.

(16) Seznam orgánů státu a podnikatelů, s nimiž Úřad uzavřel smlouvu podle § 52, zveřejňuje Úřad ve Věstníku Úřadu.

(17) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e), které z důvodu utajení nelze provést Úřadem, jde-li o informační systém, kryptografický prostředek, kryptografické pracoviště nebo stínicí komoru, které mají být provozovány zpravodajskými službami, jsou oprávněny tyto zpravodajské služby. V těchto případech zpravodajské služby předají Úřadu protokoly o provedení dílčích úloh, včetně jejich výsledků.

(18) Při provádění dílčích úloh podle odstavce 17 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Úřadu.

(19) Účastníkem řízení o certifikaci nebo o zrušení platnosti certifikátu je žadatel podle § 47 odst. 1, § 48 odst. 1, § 49 odst. 1, § 50 odst. 1 a § 51 odst. 1.

§ 47

Žádost o certifikaci technického prostředku a platnost certifikátu technického prostředku

(1) O certifikaci technického prostředku písemně žádá u Úřadu výrobce, dovozce, distributor nebo uživatel technického prostředku. K žádosti se přiloží posudek podle § 46 odst. 14 a dokumentace nezbytná pro provedení certifikace technického prostředku.

(2) Dobu platnosti certifikátu technického prostředku stanoví Úřad nejdéle na dobu 5 let.

(3) Seznam certifikovaných technických prostředků, kromě technických prostředků certifikovaných na žádost uživatele technického prostředku, je zveřejňován na internetových stránkách Úřadu.

(4) Platnost certifikátu technického prostředku zaniká

a) uplynutím doby jeho platnosti, nebo

b) rozhodnutím Úřadu o zániku platnosti certifikátu v případě, že vyráběný technický prostředek nesplňuje požadavky tohoto zákona a prováděcích právních předpisů nebo není ve shodě s posuzovaným technickým prostředkem.

(5) Zanikla-li platnost certifikátu technického prostředku podle odstavce 4, Úřad tento technický prostředek vyřadí ze seznamu zveřejňovaného podle odstavce 3.

(6) Technický prostředek používaný k ochraně utajovaných informací lze nadále používat i po uplynutí doby platnosti jeho certifikátu.

(7) Úřad může při certifikaci technického prostředku přihlédnout k certifikátu nebo obdobnému dokumentu technického prostředku vydanému oprávněným pracovištěm cizí moci.

§ 48

Žádost o certifikaci informačního systému a platnost certifikátu informačního systému

(1) O certifikaci informačního systému písemně žádá u Úřadu orgán státu nebo podnikatel, který bude informační systém provozovat.

(2) Ten, kdo o certifikaci informačního systému podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Úřadu dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu informačního systému stanoví Úřad. Platnost certifikátu informačního systému je pro stupeň utajení

a) Přísně tajné a Tajné nejdéle 2 roky,

b) Důvěrné nejdéle 3 roky a

c) Vyhrazené nejdéle 5 let.

(4) Platnost certifikátu informačního systému zaniká

a) uplynutím doby jeho platnosti,

b) v případě informačního systému pro nakládání s utajovanými informacemi stupně utajení Důvěrné nebo vyššího zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu,

d) rozhodnutím Úřadu o zániku platnosti certifikátu, přestal-li být informační systém způsobilý k nakládání s utajovanými informacemi, nebo

e) oznámením orgánu státu nebo podnikatele, který je držitelem certifikátu, o zrušení informačního systému.

(5) Má-li být informační systém používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Úřad o certifikaci informačního systému. Opakovaná žádost musí být Úřadu doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu informačního systému.

(6) Úřad je povinen rozhodnout o certifikaci informačního systému do 1 roku od zahájení řízení o certifikaci, ve zvlášť složitých případech do 2 let; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Úřadu, nejvýše však o 6 měsíců.

§ 49

Žádost o certifikaci kryptografického prostředku a platnost certifikátu kryptografického prostředku

(1) O certifikaci kryptografického prostředku písemně žádá u Úřadu výrobce, dovozce, distributor nebo uživatel kryptografického prostředku. Žádá-li o certifikaci kryptografického prostředku podnikatel, musí být držitelem platného osvědčení podnikatele pro přístup k utajované informaci podle § 20 odst. 1 písm. a).

(2) Úřad žádost podle odstavce 1 rozhodnutím odmítne, není-li v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací kryptografickou ochranou. Proti rozhodnutí podle věty první není odvolání přípustné a nelze jej ani přezkoumat soudem.

(3) Ten, kdo o certifikaci kryptografického prostředku podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Úřadu kryptografický prostředek v potřebném počtu a dokumentaci nezbytnou pro provedení certifikace.

(4) Dobu platnosti certifikátu kryptografického prostředku stanoví Úřad na dobu nejdéle 5 let.

(5) Platnost certifikátu kryptografického prostředku zaniká

a) uplynutím doby jeho platnosti, nebo

b) rozhodnutím Úřadu o zániku platnosti certifikátu, přestal-li být kryptografický prostředek způsobilý k ochraně utajovaných informací.

(6) Má-li být kryptografický prostředek používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Úřad o certifikaci kryptografického prostředku. Opakovaná žádost musí být Úřadu doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu kryptografického prostředku.

(7) Úřad může při certifikaci kryptografického prostředku přihlédnout k certifikátu nebo obdobnému dokumentu kryptografického prostředku vydanému oprávněným pracovištěm cizí moci.

(8) Řízení o certifikaci kryptografického prostředku lze též přerušit současně s odesláním žádosti adresované zahraničnímu subjektu o informaci nezbytnou pro spolehlivé zjištění stavu věci.

(9) Úřad může stanovit při certifikaci kryptografického prostředku jeho způsobilost k ochraně taktické informace.

(10) Pro lhůty pro vydání rozhodnutí platí § 48 odst. 6.

§ 50

Žádost o certifikaci kryptografického pracoviště a platnost certifikátu kryptografického pracoviště

(1) O certifikaci kryptografického pracoviště písemně žádá u Úřadu orgán státu nebo podnikatel, u kterého má být kryptografické pracoviště provozováno. Žádá-li o certifikaci kryptografického pracoviště podnikatel, musí být držitelem platného osvědčení podnikatele.

(2) Ten, kdo o certifikaci kryptografického pracoviště podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Úřadu dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu kryptografického pracoviště stanoví Úřad na dobu nejdéle 3 let.

(4) Platnost certifikátu kryptografického pracoviště zaniká

a) uplynutím doby jeho platnosti,

b) zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu, nebo

d) rozhodnutím Úřadu o zániku platnosti certifikátu, přestalo-li být kryptografické pracoviště způsobilé pro vykonávání určených činností.

(5) Má-li být kryptografické pracoviště využíváno i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Úřad o certifikaci kryptografického pracoviště. Opakovaná žádost musí být Úřadu doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu kryptografického pracoviště.

(6) Úřad je povinen rozhodnout o certifikaci kryptografického pracoviště do 6 měsíců od zahájení řízení o certifikaci, ve zvlášť složitých případech do 1 roku; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Úřadu, nejvýše však o 3 měsíce.

§ 51

Žádost o certifikaci stínicí komory a platnost certifikátu stínicí komory

(1) O certifikaci stínicí komory písemně žádá u Úřadu orgán státu nebo podnikatel, u kterého je stínicí komora používána.

(2) Ten, kdo o certifikaci stínicí komory podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Úřadu dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu stínicí komory stanoví Úřad na dobu nejdéle 5 let.

(4) Platnost certifikátu stínicí komory zaniká

a) uplynutím doby jeho platnosti,

b) zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu, nebo

d) rozhodnutím Úřadu o zániku platnosti certifikátu, přestala-li být stínicí komora způsobilá k ochraně utajovaných informací.

(5) Má-li být stínicí komora používána i bezprostředně po uplynutí doby platnosti jejího certifikátu, je žadatel podle odstavce 1 povinen požádat Úřad o certifikaci stínicí komory. Opakovaná žádost musí být Úřadu doručena nejméně 12 měsíců před uplynutím doby platnosti původního certifikátu stínicí komory.

(6) Pro lhůty pro vydání rozhodnutí platí § 50 odst. 6.

§ 52

Smlouva o zajištění činnosti

(1) Smlouva o zajištění činnosti (dále jen "smlouva") uvedená v § 39 odst. 3, § 45 odst. 4 a § 46 odst. 15 se uzavírá na dobu určitou nebo neurčitou. Smlouva musí mít písemnou formu. Projev vůle účastníků smlouvy musí být na téže listině.

(2) Smlouvu lze uzavřít s orgánem státu nebo podnikatelem na základě jejich písemné žádosti, a to pouze tehdy, budou-li činnosti, jež jsou předmětem smlouvy,

a) prováděny odborně způsobilými zaměstnanci státu nebo podnikatele,

b) zajištěny u orgánu státu nebo podnikatele organizačně, technicky a materiálně.

(3) Smlouvu s podnikatelem lze dále uzavřít pouze tehdy, je-li

a) jeho sídlo nebo místo podnikání na území České republiky,

b) držitelem platného osvědčení podnikatele příslušného stupně utajení; tato podmínka neplatí, má-li být uzavřena smlouva k vydávání posudku uvedená v § 46 odst. 15.

(4) Smlouva musí obsahovat

a) označení účastníků smlouvy,

b) vymezení předmětu smlouvy a jeho rozsahu,

c) práva a povinnosti účastníků smlouvy,

d) způsob kontroly prováděné Úřadem podle odstavce 6,

e) způsob a podmínky odstoupení účastníků od smlouvy,

f) souhlas se zveřejněním technického prostředku na internetových stránkách Úřadu, jde-li o smlouvu k vydávání posudku uvedenou v § 46 odst. 15.

(5) V podmínkách podle odstavce 4 písm. e) musí být též stanoveno, že Úřad odstoupí od smlouvy v případě, že druhý účastník smlouvy poruší povinnost stanovenou tímto zákonem, prováděcími právními předpisy nebo uzavřenou smlouvou.

(6) Úřad kontroluje, zda druhý účastník smlouvy dodržuje ustanovení tohoto zákona, prováděcích právních předpisů a uzavřené smlouvy.

(7) Změnit obsah smlouvy lze pouze písemnou dohodou účastníků smlouvy.

(8) Smlouvu lze vypovědět pouze písemnou formou.

(9) Nestanoví-li tento zákon jinak, použijí se v ostatním přiměřeně ustanovení obchodního zákoníku.

(9) Nestanoví-li tento zákon jinak, použijí se v ostatním přiměřeně ustanovení občanského zákoníku.

§ 53

Zmocňovací ustanovení

Prováděcí právní předpis stanoví

a) náležitosti žádosti o certifikaci technického prostředku, certifikaci informačního systému, certifikaci kryptografického prostředku, certifikaci kryptografického pracoviště a certifikaci stínicí komory,

b) náležitosti opakované žádosti o certifikaci informačního systému, certifikaci kryptografického prostředku, certifikaci kryptografického pracoviště a certifikaci stínicí komory,

c) dokumentaci nezbytnou k provedení certifikace technického prostředku, certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínicí komory,

d) vzory certifikátu technického prostředku, certifikátu informačního systému, certifikátu kryptografického prostředku, certifikátu kryptografického pracoviště a certifikátu stínicí komory,

e) pravidla pro stanovení doby platnosti certifikátu technického prostředku,

f) pravidla a způsob používání technického prostředku po uplynutí doby platnosti jeho certifikátu,

g) způsob a podmínky provádění certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínicí komory a jejich opakování,

h) obsah certifikační zprávy podle § 46 odst. 13,

i) náležitosti žádosti o ověření způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím vyzařováním a způsob hodnocení jejich způsobilosti a

j) náležitosti žádosti orgánu státu nebo podnikatele o uzavření smlouvy podle § 52.