§ 26
Žádost o opakovanou certifikaci informačního systému a způsob jejího provedení
(1) Žádost o opakovanou certifikaci informačního systému obsahuje
a) identifikaci žadatele podle § 24 odst. 1 písm. a),
b) úplnou identifikaci vydaného certifikátu informačního systému obsahující jeho držitele, evidenční číslo, datum vydání a dobu platnosti,
c) identifikaci informačního systému obsahující jeho název, označení verze a stupeň utajení utajovaných informací, pro který byla schválena jeho způsobilost, a
d) jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení.
(2) Pokud žadatel doloží, že ke dni ukončení platnosti dosavadního certifikátu bude informační systém provozován v rámci podmínek stanovených v certifikační zprávě, a žadatel ani Úřad neidentifikovali nová rizika pro informační systém, vydá Úřad certifikát na základě existující bezpečnostní dokumentace informačního systému a provedené kontroly bezpečnosti informačního systému.
(3) Pokud ke dni ukončení platnosti dosavadního certifikátu provozovatel navrhuje změnu bezpečnostní politiky informačního systému, případně byla identifikována nová rizika pro informační systém, vyžádá si Úřad doplnění nebo úpravu odpovídajících částí dokumentace a provede doplňující hodnocení informačního systému v rozsahu stanoveném Úřadem. Pokud informační systém vyhoví stanoveným bezpečnostním podmínkám, Úřad vydá certifikát.
(4) V případě, že navrhované změny bezpečnostní politiky informačního systému jsou podstatné pro celkovou bezpečnost informačního systému, bude Úřad postupovat jako v případě nové certifikace.