§ 16
(1) Uživatel musí být autorizován postupem stanoveným v popisu bezpečnosti systému.
(2) Uživatel musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení, který se stanovuje v závislosti na nejvyšším stupni utajení utajovaných informací, se kterými může systém nakládat. Uživatel v informačním systému musí dále splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení, který se stanovuje v souladu s bezpečnostním provozním módem informačního systému.
(3) Privilegovaným uživatelem se rozumí role uživatele s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění provozní nebo bezpečnostní správy, zejména role pracovníka provozní nebo bezpečnostní správy.
(4) Koncovým uživatelem se rozumí role uživatele s oprávněními, která mu umožňují základní přístup k poskytovaným službám a nakládání s utajovanými informacemi.
(5) Privilegovaný uživatel musí činnost, která není bezpečnostní nebo provozní správou, provádět jako koncový uživatel.