§ 18
Nástroj pro ověřování identity uživatelů
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroje pro ověření identity uživatelů a administrátorů informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému.
(2) Nástroj pro ověřování identity uživatelů a administrátorů zajišťuje ověření identity uživatelů a administrátorů před zahájením jejich aktivit v informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury a významném informačním systému.
(3) Nástroj pro ověřování identity uživatelů, který používá autentizaci pouze heslem, zajišťuje
a) minimální délku hesla osm znaků,
b) minimální složitost hesla tak, že heslo bude obsahovat alespoň 3 z následujících čtyř požadavků
1. nejméně jedno velké písmeno,
2. nejméně jedno malé písmeno,
3. nejméně jednu číslici, nebo
4. nejméně jeden speciální znak odlišný od požadavků uvedených v bodech 1 až 3,
c) maximální dobu pro povinnou výměnu hesla nepřesahující sto dnů; tento požadavek není vyžadován pro samostatné identifikátory aplikací.
(4) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) používá nástroj pro ověření identity, který
1. zamezí opětovnému používání dříve používaných hesel a neumožní více změn hesla jednoho uživatele během stanoveného období, které musí být nejméně 24 hodin, a
2. provádí opětovné ověření identity po určené době nečinnosti a
b) využívá nástroj pro ověřování identity administrátorů. V případě, že tento nástroj využívá autentizaci heslem, zajistí prosazení minimální délky hesla patnáct znaků při dodržení požadavků podle odstavce 3 písm. b) a c).
(5) Nástroj pro ověřování identity uživatelů může být zajištěn i jinými způsoby, než jaké jsou stanoveny v odstavcích 3 až 5, pokud orgán a osoba uvedená v § 3 písm. c) až e) zákona zabezpečí, že používá opatření zajišťující stejnou nebo vyšší úroveň odolnosti hesla.