§ 2
Způsob dokládání splnění povinností stanovených v § 6 zákona o elektronickém podpisu
(1) Poskytovatel certifikačních služeb vydávající kvalifikované certifikáty dokládá splnění povinností stanovených v § 6 zákona o elektronickém podpisu těmito dokumenty:
a) certifikační politikou,
b) certifikační prováděcí směrnicí,
c) celkovou bezpečnostní politikou,
d) systémovou bezpečnostní politikou,
e) plánem pro zvládání krizových situací a plánem obnovy, a
f) odhadem dostatečnosti finančních zdrojů a doklady o tom, že disponuje těmito finančními zdroji.
(2) Obsahem certifikační politiky je zejména
a) stanovení zásad, které poskytovatel certifikačních služeb vydávající kvalifikované certifikáty uplatňuje při zajištění služeb spojených s elektronickými podpisy, a
b) popis vlastností dat pro vytváření elektronického podpisu a jim odpovídajících dat pro ověřování elektronického podpisu, která si vytváří osoba žádající o vydání kvalifikovaného certifikátu a k nimž má být vydán kvalifikovaný certifikát; kryptografické algoritmy a jejich parametry, které musí být pro tato data použity, jsou uvedeny v příloze č. 1 této vyhlášky.
(3) Poskytovatel certifikačních služeb vydávající kvalifikované certifikáty umožňuje trvalý dálkový přístup ke své certifikační politice.
(4) Obsahem certifikační prováděcí směrnice je zejména stanovení postupů, které poskytovatel certifikačních služeb vydávající kvalifikované certifikáty uplatňuje při zajištění služeb spojených s elektronickými podpisy.
(5) Obsahem celkové bezpečnostní politiky je zejména stanovení cílů a popis způsobu zajištění celkové bezpečnosti poskytovatele certifikačních služeb vydávajícího kvalifikované certifikáty.
(6) Obsahem systémové bezpečnostní politiky je zejména stanovení cílů a popis způsobu zajištění bezpečnosti informačního systému, jehož prostřednictvím poskytovatel certifikačních služeb vydávající kvalifikované certifikáty zajišťuje služby spojené s elektronickými podpisy (dále jen "informační systém pro certifikační služby"). Systémová bezpečnostní politika obsahuje zejména
a) způsob uplatnění celkové bezpečnostní politiky ve vztahu k informačnímu systému pro certifikační služby,
b) popis vazeb mezi informačním systémem pro certifikační služby a jinými informačními systémy, které provozuje poskytovatel certifikačních služeb vydávající kvalifikované certifikáty,
c) způsob ochrany dat a jiných prvků informačního systému pro certifikační služby,
d) popis bezpečnostních opatření, a
e) vyhodnocení analýzy rizik.
(7) Požadavky na celkovou bezpečnostní politiku a systémovou bezpečnostní politiku Úřad zveřejňuje ve Věstníku Úřadu pro ochranu osobních údajů (dále jen "Věstník Úřadu").
(8) Obsahem plánu pro zvládání krizových situací je zejména stanovení postupů, které jsou uplatněny v případě mimořádné události. Mimořádnou událostí se pro účely této vyhlášky rozumí událost, která ohrožuje poskytování služeb spojených s elektronickými podpisy a která nastává zejména v důsledku selhání informačního systému nebo výskytu faktoru, který není pod kontrolou poskytovatele certifikačních služeb vydávajícího kvalifikované certifikáty.
(9) Obsahem plánu obnovy je zejména stanovení postupů pro obnovu řádné funkce informačního systému pro certifikační služby.
(10) Při zajišťování služeb spojených s elektronickými podpisy poskytovatel certifikačních služeb vydávající kvalifikované certifikáty postupuje podle dokumentů uvedených v odstavci 1 písm. a) až f).
(11) Dostatečností finančních zdrojů je schopnost poskytovatele certifikačních služeb vydávajícího kvalifikované certifikáty finančně zabezpečit řádné provozování služeb spojených s elektronickými podpisy i s ohledem na riziko odpovědnosti za škody.