§ 48
Žádost o certifikaci informačního systému a platnost certifikátu informačního systému
(1) O certifikaci informačního systému písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu, právnická osoba podle § 60b nebo podnikatel, který bude informační systém provozovat.
(2) Ten, kdo o certifikaci informačního systému podle odstavce 1 požádal, předkládá v průběhu certifikace na žádost Národního úřadu pro kybernetickou a informační bezpečnost dokumentaci nezbytnou pro provedení certifikace.
(3) Dobu platnosti certifikátu informačního systému stanoví Národní úřad pro kybernetickou a informační bezpečnost. Platnost certifikátu informačního systému je pro stupeň utajení
a) Přísně tajné, Tajné a Důvěrné nejdéle 3 roky a
b) Vyhrazené nejdéle 5 let.
(4) Platnost certifikátu informačního systému zaniká
a) uplynutím doby jeho platnosti,
b) v případě informačního systému pro nakládání s utajovanými informacemi stupně utajení Důvěrné nebo vyššího zánikem platnosti osvědčení podnikatele,
c) zrušením orgánu státu nebo zánikem právnické osoby podle § 60b,
d) rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost o zániku platnosti certifikátu, přestal-li být informační systém způsobilý k nakládání s utajovanými informacemi, nebo
e) oznámením orgánu státu, právnické osoby podle § 60b nebo podnikatele, který je držitelem certifikátu, o zrušení informačního systému.
(5) Má-li být informační systém používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel podle odstavce 1 povinen požádat Národní úřad pro kybernetickou a informační bezpečnost o certifikaci informačního systému. Opakovaná žádost musí být Národnímu úřadu pro kybernetickou a informační bezpečnost doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu informačního systému.
(6) Národní úřad pro kybernetickou a informační bezpečnost je povinen rozhodnout o certifikaci informačního systému do 1 roku od zahájení řízení o certifikaci, ve zvlášť složitých případech do 2 let; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel Národního úřadu pro kybernetickou a informační bezpečnost, nejvýše však o 6 měsíců.