Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti - Hlava IX - Certifikace

Hlava IX

Certifikace

§ 45a

Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.

§ 46

Společná ustanovení

(1) Certifikace je postup, jímž Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost

a) ověřuje způsobilost technického prostředku k ochraně utajovaných informací,

b) ověřuje způsobilost informačního systému k nakládání s utajovanými informacemi,

c) ověřuje způsobilost kryptografického prostředku k ochraně utajovaných informací,

d) ověřuje způsobilost kryptografického pracoviště pro vykonávání činností podle § 37 odst. 4, nebo

e) ověřuje způsobilost stínicí komory k ochraně utajovaných informací.

(2) Zjistí-li Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost způsobilost podle odstavce 1, certifikát technického prostředku, certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště nebo certifikát stínicí komory vydá.

(3) Certifikáty podle odstavce 2 jsou veřejnými listinami.

(4) Certifikát technického prostředku obsahuje

a) evidenční číslo certifikátu,

b) název a typové označení technického prostředku,

c) identifikaci výrobce technického prostředku obchodní firmou (dále jen "firma") nebo názvem, identifikačním číslem osoby (dále jen „identifikační číslo“) a sídlem, jde-li o právnickou osobu, nebo jménem, příjmením, rodným číslem a místem trvalého pobytu, jde-li o osobu fyzickou,

d) identifikaci držitele certifikátu technického prostředku podle písmene c),

e) hodnocení technického prostředku,

f) datum vydání a dobu platnosti certifikátu a

g) otisk úředního razítka a podpis oprávněného zástupce Úřadu; otisk úředního razítka se nevyžaduje, byl-li certifikát vydán v elektronické podobě.

(5) Certifikát informačního systému, certifikát kryptografického prostředku, certifikát kryptografického pracoviště a certifikát stínicí komory obsahuje

a) evidenční číslo certifikátu,

b) identifikaci držitele certifikátu podle odstavce 4 písm. c),

c) datum vydání a dobu platnosti certifikátu a

d) otisk úředního razítka Národního úřadu pro kybernetickou a informační bezpečnost a podpis oprávněného zástupce Národního úřadu pro kybernetickou a informační bezpečnost; otisk úředního razítka se nevyžaduje, byl-li certifikát vydán v elektronické podobě.

(6) Certifikát informačního systému vedle náležitostí podle odstavce 5 obsahuje identifikaci informačního systému a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena.

(7) Certifikát kryptografického prostředku vedle náležitostí podle odstavce 5 obsahuje

a) identifikaci kryptografického prostředku,

b) identifikaci výrobce kryptografického prostředku podle odstavce 4 písm. c) a

c) stupeň utajení utajovaných informací, pro který byla způsobilost kryptografického prostředku schválena.

(8) Certifikát kryptografického pracoviště vedle náležitostí podle odstavce 5 obsahuje

a) identifikaci kryptografického pracoviště,

b) rozsah způsobilosti kryptografického pracoviště a

c) kategorii kryptografického pracoviště.

(9) Certifikát stínicí komory vedle náležitostí podle odstavce 5 obsahuje

a) identifikaci stínicí komory, pro kterou je vydáván,

b) identifikaci výrobce stínicí komory podle odstavce 4 písm. c) a

c) stupeň utajení utajovaných informací, pro který byla způsobilost stínicí komory schválena.

(10) Není-li Úřadem nebo Národním úřadem pro kybernetickou a informační bezpečnost zjištěna způsobilost podle odstavce 1, rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu podle odstavce 1 písm. b) a c) není odvolání přípustné.

(11) Úřad rozhoduje o zániku platnosti certifikátu v případech uvedených v § 47 odst. 4 písm. b). Národní úřad pro kybernetickou a informační bezpečnost rozhoduje o zániku platnosti certifikátu v případech uvedených v § 48 odst. 4 písm. d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. d) a § 51 odst. 4 písm. d). Odvolání podané proti rozhodnutí Úřadu nebo Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu nemá odkladný účinek. Proti rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu informačního systému a certifikátu kryptografického prostředku není odvolání přípustné.

(12) Jestliže platnost certifikátu zanikla podle § 48 odst. 4 písm. b) a d), § 49 odst. 5 písm. b), § 50 odst. 4 písm. b) a d) nebo § 51 odst. 4 písm. b) a d), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Národního úřadu pro kybernetickou a informační bezpečnost odevzdat certifikát Národnímu úřadu pro kybernetickou a informační bezpečnost. Jestliže platnost certifikátu zanikla podle § 47 odst. 4 písm. b), je držitel certifikátu povinen do 5 dnů ode dne doručení oznámení Úřadu odevzdat certifikát Úřadu.

(13) Přílohou certifikátu informačního systému, kryptografického prostředku, kryptografického pracoviště nebo stínicí komory je certifikační zpráva, která obsahuje zásady a podmínky jejich provozování. V příloze certifikátu technického prostředku mohou být stanoveny podmínky jeho používání.

(14) Úřad ověřuje způsobilost technického prostředku podle odstavce 1 písm. a) na základě posudku vlastností technického prostředku (dále jen "posudek"). K vydávání posudku podle věty první může Úřad uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění činnosti.

(15) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění těchto činností; to neplatí, jde-li o ověřování způsobilosti informačního systému, kryptografického prostředku nebo pracoviště anebo stínící komory, které mají být provozovány zpravodajskými službami.

(16) Seznam orgánů státu a podnikatelů, s nimiž Úřad uzavřel smlouvu podle § 52, zveřejňuje Úřad a Národní úřad pro kybernetickou a informační bezpečnost v příslušném věstníku.

(17) K provádění dílčích úloh při ověřování způsobilosti podle odstavce 1 písm. b) až e), které z důvodu utajení nelze provést Národním úřadem pro kybernetickou a informační bezpečnost, jde-li o informační systém, kryptografický prostředek, kryptografické pracoviště nebo stínicí komoru, které mají být provozovány zpravodajskými službami, jsou oprávněny tyto zpravodajské služby. V těchto případech zpravodajské služby předají Národnímu úřadu pro kybernetickou a informační bezpečnost protokoly o provedení dílčích úloh, včetně jejich výsledků.

(18) Při provádění dílčích úloh podle odstavce 17 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Národního úřadu pro kybernetickou a informační bezpečnost.

(19) Účastníkem řízení o certifikaci nebo o zrušení platnosti certifikátu je žadatel podle § 47 odst. 1, § 48 odst. 1, § 49 odst. 1, § 50 odst. 1 a § 51 odst. 1.

§ 47

Žádost o certifikaci technického prostředku a platnost certifikátu technického prostředku

(1) O certifikaci technického prostředku písemně žádá u Úřadu výrobce, dovozce, distributor nebo uživatel technického prostředku. K žádosti se přiloží posudek podle § 46 odst. 14 a dokumentace nezbytná pro provedení certifikace technického prostředku.

(2) Dobu platnosti certifikátu technického prostředku stanoví Úřad nejdéle na dobu 5 let.

(3) Seznam certifikovaných technických prostředků, kromě technických prostředků certifikovaných na žádost uživatele technického prostředku, je zveřejňován na internetových stránkách Úřadu.

(4) Platnost certifikátu technického prostředku zaniká

a) uplynutím doby jeho platnosti, nebo

b) rozhodnutím Úřadu o zániku platnosti certifikátu v případě, že vyráběný technický prostředek nesplňuje požadavky tohoto zákona a prováděcích právních předpisů nebo není ve shodě s posuzovaným technickým prostředkem.

(5) Zanikla-li platnost certifikátu technického prostředku podle odstavce 4, Úřad tento technický prostředek vyřadí ze seznamu zveřejňovaného podle odstavce 3.

(6) Technický prostředek používaný k ochraně utajovaných informací lze nadále používat i po uplynutí doby platnosti jeho certifikátu.

(7) Úřad může při certifikaci technického prostředku přihlédnout k certifikátu nebo obdobnému dokumentu technického prostředku vydanému oprávněným pracovištěm cizí moci.

§ 48

Žádost o certifikaci informačního systému a platnost certifikátu informačního systému

(1) O certifikaci informačního systému písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu nebo podnikatel, který bude informační systém provozovat.

(2) Ten, kdo o certifikaci informačního systému podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu informačního systému stanoví Národní úřad pro kybernetickou a informační bezpečnost. Platnost certifikátu informačního systému je pro stupeň utajení

a) Přísně tajné a Tajné nejdéle 2 roky,

b) Důvěrné nejdéle 3 roky a

c) Vyhrazené nejdéle 5 let.

(4) Platnost certifikátu informačního systému zaniká

a) uplynutím doby jeho platnosti,

b) v případě informačního systému pro nakládání s utajovanými informacemi stupně utajení Důvěrné nebo vyššího zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu,

d) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestal-li být informační systém způsobilý k nakládání s utajovanými informacemi, nebo

e) oznámením orgánu státu nebo podnikatele, který je držitelem certifikátu, o zrušení informačního systému.

(5) Má-li být informační systém používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci informačního systému. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu informačního systému.

(6) Národní úřad pro kybernetickou a informační bezpečnost je povinen rozhodnout o certifikaci informačního systému do 1 roku od zahájení řízení o certifikaci, ve zvlášť složitých případech do 2 let; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Národního úřadu pro kybernetickou a informační bezpečnost, nejvýše však o 6 měsíců.

§ 49

Žádost o certifikaci kryptografického prostředku a platnost certifikátu kryptografického prostředku

(1) O certifikaci kryptografického prostředku písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost výrobce, dovozce, distributor nebo uživatel kryptografického prostředku. Žádá-li o certifikaci kryptografického prostředku podnikatel, musí být držitelem platného osvědčení podnikatele pro přístup k utajované informaci podle § 20 odst. 1 písm. a).

(2) Národní úřad pro kybernetickou a informační bezpečnost žádost podle odstavce 1 rozhodnutím odmítne, není-li v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací kryptografickou ochranou. Proti rozhodnutí podle věty první není odvolání přípustné a nelze jej ani přezkoumat soudem.

(3) Ten, kdo o certifikaci kryptografického prostředku podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost kryptografický prostředek v potřebném počtu a dokumentaci nezbytnou pro provedení certifikace.

(4) Dobu platnosti certifikátu kryptografického prostředku stanoví Národní úřad pro kybernetickou a informační bezpečnost na dobu nejdéle 5 let.

(5) Platnost certifikátu kryptografického prostředku zaniká

a) uplynutím doby jeho platnosti, nebo

b) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestal-li být kryptografický prostředek způsobilý k ochraně utajovaných informací.

(6) Má-li být kryptografický prostředek používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci kryptografického prostředku. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu kryptografického prostředku.

(7) Národní úřad pro kybernetickou a informační bezpečnost může při certifikaci kryptografického prostředku přihlédnout k certifikátu nebo obdobnému dokumentu kryptografického prostředku vydanému oprávněným pracovištěm cizí moci.

(8) Řízení o certifikaci kryptografického prostředku lze též přerušit současně s odesláním žádosti adresované zahraničnímu subjektu o informaci nezbytnou pro spolehlivé zjištění stavu věci.

(9) Národní úřad pro kybernetickou a informační bezpečnost může stanovit při certifikaci kryptografického prostředku jeho způsobilost k ochraně taktické informace.

(10) Pro lhůty pro vydání rozhodnutí platí § 48 odst. 6.

§ 50

Žádost o certifikaci kryptografického pracoviště a platnost certifikátu kryptografického pracoviště

(1) O certifikaci kryptografického pracoviště písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu nebo podnikatel, u kterého má být kryptografické pracoviště provozováno. Žádá-li o certifikaci kryptografického pracoviště podnikatel, musí být držitelem platného osvědčení podnikatele.

(2) Ten, kdo o certifikaci kryptografického pracoviště podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu kryptografického pracoviště stanoví Národní úřad pro kybernetickou a informační bezpečnost na dobu nejdéle 3 let.

(4) Platnost certifikátu kryptografického pracoviště zaniká

a) uplynutím doby jeho platnosti,

b) zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu,

d) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestalo-li být kryptografické pracoviště způsobilé pro vykonávání určených činností, nebo

e) oznámením orgánu státu nebo podnikatele, který je držitelem certifikátu, o zrušení kryptografického pracoviště.

(5) Má-li být kryptografické pracoviště využíváno i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci kryptografického pracoviště. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu kryptografického pracoviště.

(6) Národní úřad pro kybernetickou a informační bezpečnost je povinen rozhodnout o certifikaci kryptografického pracoviště do 6 měsíců od zahájení řízení o certifikaci, ve zvlášť složitých případech do 1 roku; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Národního úřadu pro kybernetickou a informační bezpečnost, nejvýše však o 3 měsíce.

§ 51

Žádost o certifikaci stínicí komory a platnost certifikátu stínicí komory

(1) O certifikaci stínicí komory písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu nebo podnikatel, u kterého je stínicí komora používána.

(2) Ten, kdo o certifikaci stínicí komory podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost dokumentaci nezbytnou pro provedení certifikace.

(3) Dobu platnosti certifikátu stínicí komory stanoví Národní úřad pro kybernetickou a informační bezpečnost na dobu nejdéle 5 let.

(4) Platnost certifikátu stínicí komory zaniká

a) uplynutím doby jeho platnosti,

b) zánikem platnosti osvědčení podnikatele,

c) zrušením orgánu státu, nebo

d) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestala-li být stínicí komora způsobilá k ochraně utajovaných informací.

(5) Má-li být stínicí komora používána i bezprostředně po uplynutí doby platnosti jejího certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci stínicí komory. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 12 měsíců před uplynutím doby platnosti původního certifikátu stínicí komory.

(6) Pro lhůty pro vydání rozhodnutí platí § 50 odst. 6.

§ 52

Smlouva o zajištění činnosti

(1) Smlouva o zajištění činnosti (dále jen "smlouva") uvedená v § 39 odst. 3, § 45 odst. 4 a § 46 odst. 14 a 15 se uzavírá na dobu určitou nebo neurčitou. Smlouva musí mít písemnou formu. Projev vůle účastníků smlouvy musí být na téže listině.

(2) Smlouvu lze uzavřít s orgánem státu nebo podnikatelem na základě jejich písemné žádosti, a to pouze tehdy, budou-li činnosti, jež jsou předmětem smlouvy,

a) prováděny odborně způsobilými zaměstnanci státu nebo podnikatele,

b) zajištěny u orgánu státu nebo podnikatele organizačně, technicky a materiálně.

(3) Smlouvu s podnikatelem lze dále uzavřít pouze tehdy, je-li

a) jeho sídlo nebo místo podnikání na území České republiky,

b) držitelem platného osvědčení podnikatele příslušného stupně utajení; tato podmínka neplatí, má-li být uzavřena smlouva k vydávání posudku uvedená v § 46 odst. 14 a 15.

(4) Smlouva musí obsahovat

a) označení účastníků smlouvy,

b) vymezení předmětu smlouvy a jeho rozsahu,

c) práva a povinnosti účastníků smlouvy,

d) způsob kontroly prováděné Úřadem nebo Národním úřadem pro kybernetickou a informační bezpečnost podle odstavce 6,

e) způsob a podmínky odstoupení účastníků od smlouvy,

f) souhlas se zveřejněním technického prostředku na internetových stránkách Úřadu, jde-li o smlouvu k vydávání posudku uvedenou v § 46 odst. 14.

(5) V podmínkách podle odstavce 4 písm. e) musí být též stanoveno, že Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost odstoupí od smlouvy v případě, že druhý účastník smlouvy poruší povinnost stanovenou tímto zákonem, prováděcími právními předpisy nebo uzavřenou smlouvou.

(6) Úřad nebo Národní úřad pro kybernetickou a informační bezpečnost kontroluje, zda druhý účastník smlouvy dodržuje ustanovení tohoto zákona, prováděcích právních předpisů a uzavřené smlouvy.

(7) Změnit obsah smlouvy lze pouze písemnou dohodou účastníků smlouvy.

(8) Smlouvu lze vypovědět pouze písemnou formou.

(9) Nestanoví-li tento zákon jinak, použijí se v ostatním přiměřeně ustanovení občanského zákoníku.

§ 53

Zmocňovací ustanovení

Prováděcí právní předpis stanoví

a) náležitosti žádosti o certifikaci technického prostředku, dokumentaci nezbytnou k provedení certifikace technického prostředku, pravidla pro stanovení doby platnosti certifikátu technického prostředku, pravidla a způsob používání technického prostředku po uplynutí doby platnosti jeho certifikátu a vzor certifikátu technického prostředku,

b) náležitosti žádosti a opakované žádosti o certifikaci informačního systému, certifikaci kryptografického prostředku, certifikaci kryptografického pracoviště a certifikaci stínící komory, a dokumentaci nezbytnou k provedení certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínící komory,

c) způsob a podmínky provádění certifikace informačního systému, certifikace kryptografického prostředku, certifikace kryptografického pracoviště a certifikace stínící komory a jejich opakování a obsah certifikační zprávy podle § 46 odst. 13,

d) vzory certifikátu informačního systému, certifikátu kryptografického prostředku, certifikátu kryptografického pracoviště a certifikátu stínící komory,

e) náležitosti žádosti o ověření způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím vyzařováním a způsob hodnocení jejich způsobilosti a

f) náležitosti žádosti orgánu státu nebo podnikatele o uzavření smlouvy podle § 52.