431
VYHLÁŠKA
ze dne 18. prosince 2024
o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 53 písm. b), c), d) a f) zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění zákona č. 420/2011 Sb., zákona č. 205/2017 Sb. a zákona č. 267/2024 Sb., (dále jen „zákon“):
§ 1
Předmět úpravy
(1) Tato vyhláška upravuje v návaznosti na předpis Evropské unie1) způsob a podmínky provádění certifikace kryptografického prostředku a obsah certifikační zprávy podle § 46 odst. 13 zákona.
(2) Tato vyhláška dále upravuje
a) náležitosti žádosti a opakované žádosti o certifikaci kryptografického prostředku a certifikaci kryptografického pracoviště a dokumentaci nezbytnou k provedení certifikace kryptografického prostředku a certifikace kryptografického pracoviště,
b) způsob a podmínky provádění certifikace kryptografického pracoviště a obsah certifikační zprávy podle § 46 odst. 13 zákona,
c) vzor certifikátu kryptografického prostředku a certifikátu kryptografického pracoviště a
Kryptografický prostředek
§ 2
Náležitosti žádosti o certifikaci kryptografického prostředku
(1) Žádost o certifikaci kryptografického prostředku obsahuje
a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení, kterým se rozumí alespoň její telefonní číslo a adresa elektronické pošty,
b) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,
c) typové označení kryptografického prostředku,
d) určení kryptografického prostředku, zejména účel užití a stupeň utajení, pro který má být kryptografický prostředek používán,
e) název, popřípadě obchodní firmu a sídlo výrobce kryptografického prostředku a
f) způsob zajištění výroby a distribuce klíčového nebo heslového materiálu podle právního předpisu upravujícího zajištění kryptografické ochrany utajovaných informací.
(2) K certifikaci kryptografického prostředku Evropské unie nebo některého jejího členského státu anebo Organizace Severoatlantické smlouvy, který je určen k ochraně utajovaných informací, žadatel předkládá žádost podle odstavce 1 a kopii certifikátu nebo obdobného dokumentu vydaného certifikačním orgánem Evropské unie nebo příslušným národním certifikačním orgánem jejího členského státu anebo Organizací Severoatlantické smlouvy.
§ 3
Náležitosti opakované žádosti o certifikaci kryptografického prostředku
Opakovaná žádost o certifikaci kryptografického prostředku obsahuje
a) evidenční číslo, datum vydání certifikátu a dobu jeho platnosti,
b) identifikaci certifikovaného kryptografického prostředku, zejména obchodní název, typové označení, variantní provedení, určení použití kryptografického prostředku, název, popřípadě obchodní firmu a sídlo výrobce kryptografického prostředku,
c) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni a
d) odůvodnění potřeby opakované certifikace kryptografického prostředku.
§ 4
Dokumentace nezbytná k provedení certifikace kryptografického prostředku
Dokumentace nezbytná k provedení certifikace kryptografického prostředku obsahuje
a) určení a vymezení způsobu použití kryptografického prostředku a materiálu k zajištění jeho funkce,
b) údaj o typu uživatelského prostředí a systémovém začlenění kryptografického prostředku a materiálu k zajištění jeho funkce,
c) blokové schéma a popis kryptografického prostředku a materiálu k zajištění jeho funkce s vyznačením součinnostních vazeb jednotlivých jeho částí,
d) popis metod zajištění kryptografické ochrany v kryptografickém prostředku,
e) popis výroby klíčového materiálu pro kryptografický prostředek a správy klíčového hospodářství podle právního předpisu upravujícího zajištění kryptografické ochrany utajovaných informací,
f) technický popis a návod k obsluze kryptografického prostředku a materiálu k zajištění jeho funkce,
g) identifikaci hrozeb způsobilých ohrozit ochranu utajovaných informací při používání kryptografického prostředku, popis technických a organizačních opatření zmírňujících tyto hrozby a zhodnocení zbytkových hrozeb, které nelze zmírnit technickými a organizačními opatřeními,
h) požadavky na instalaci a vyhodnocení testování kryptografického prostředku a materiálu k zajištění jeho funkce a
i) již vydané platné certifikáty kryptografického prostředku nebo obdobné dokumenty vydané příslušným orgánem cizí moci nebo platná osvědčení hodnotící způsobilost kryptografického prostředku.
§ 5
Vzor certifikátu kryptografického prostředku a obsah certifikační zprávy
(1) Vzor certifikátu kryptografického prostředku je uveden v příloze č. 1 k této vyhlášce.
(2) Přílohou certifikátu kryptografického prostředku je certifikační zpráva, která obsahuje
a) požadavky na výrobu, dopravu a údržbu kryptografického prostředku,
b) specifikaci kryptografického prostředku a materiálu k zajištění jeho funkce,
c) ekvivalentní hodnotu parametru S1 podle právního předpisu upravujícího fyzickou bezpečnost a certifikaci technických prostředků,
d) údaj o způsobilosti kryptografického prostředku pro ochranu utajovaných informací Evropské unie, nebo Organizace Severoatlantické smlouvy,
e) podmínky provozování kryptografického prostředku a
f) požadavky na zajištění obsluhy kryptografického prostředku.
§ 6
Způsob a podmínky provádění certifikace kryptografického prostředku
(1) Při ověřování způsobilosti kryptografického prostředku k ochraně utajovaných informací Národní úřad pro kybernetickou a informační bezpečnost hodnotí
a) předloženou dokumentaci a funkčnost deklarovaných režimů činnosti kryptografického prostředku,
b) kryptografické parametry kryptografického prostředku,
c) technické parametry kryptografického prostředku,
d) výrobu klíčového materiálu a jeho distribuci,
e) materiál k zajištění funkce kryptografického prostředku,
f) naplnění požadavků na výrobu, provozování a ochranu kryptografického prostředku a materiálu k zajištění jeho funkce,
g) naplnění požadavků na začlenění kryptografického prostředku do komunikačního nebo informačního systému a
h) použitelnost kryptografického prostředku pro ochranu utajovaných informací České republiky, Evropské unie, nebo Organizace Severoatlantické smlouvy.
(2) Pro hodnocený materiál k zajištění funkce kryptografického prostředku vydává Národní úřad pro kybernetickou a informační bezpečnost samostatné schválení materiálu k zajištění funkce kryptografického prostředku a schvalující zprávu materiálu pro zajištění bezpečné funkce kryptografického prostředku.
(3) Pro certifikaci kryptografického prostředku prováděnou na základě opakované žádosti podle § 3 platí odstavce 1 a 2 obdobně.
Kryptografické pracoviště
§ 7
Náležitosti žádosti o certifikaci kryptografického pracoviště
Žádost o certifikaci kryptografického pracoviště obsahuje
a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni,
b) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,
c) identifikaci kryptografického pracoviště, zejména název, adresu a umístění,
d) určení kryptografického pracoviště, zejména účel užití,
e) určení kategorie kryptografického pracoviště podle právního předpisu upravujícího fyzickou bezpečnost a certifikaci technických prostředků a
f) seznam přikládané dokumentace nezbytné k provedení certifikace kryptografického pracoviště.
§ 8
Náležitosti opakované žádosti o certifikaci kryptografického pracoviště
Opakovaná žádost o certifikaci kryptografického pracoviště obsahuje
a) evidenční číslo, název kryptografického pracoviště, datum vydání certifikátu a dobu jeho platnosti,
b) identifikaci certifikovaného kryptografického pracoviště podle § 7 písm. c) až e), a
c) odůvodnění potřeby opakované certifikace kryptografického pracoviště.
§ 9
Dokumentace nezbytná k provedení certifikace kryptografického pracoviště
Dokumentace nezbytná k provedení certifikace kryptografického pracoviště obsahuje
a) dokumentaci zabezpečení fyzické bezpečnosti kryptografického pracoviště v rozsahu stanoveném právním předpisem upravujícím fyzickou bezpečnost a certifikaci technických prostředků a
b) dokumentaci provozně-bezpečnostního zabezpečení kryptografického pracoviště.
§ 10
Vzor certifikátu kryptografického pracoviště a obsah certifikační zprávy
(1) Vzor certifikátu kryptografického pracoviště je uveden v příloze č. 2 k této vyhlášce.
(2) Přílohou certifikátu kryptografického pracoviště je certifikační zpráva, která obsahuje
a) identifikaci kryptografického pracoviště,
b) podmínky provozování kryptografického pracoviště a
c) rozsah případných změn, které podmiňují platnost certifikátu kryptografického pracoviště.
§ 11
Způsob a podmínky provádění certifikace kryptografického pracoviště
(1) Při ověřování způsobilosti kryptografického pracoviště k ochraně utajovaných informací Národní úřad pro kybernetickou a informační bezpečnost hodnotí
a) předloženou dokumentaci,
b) účel kryptografického pracoviště a jeho technické vybavení,
c) provozně-bezpečnostní zabezpečení kryptografického pracoviště podle specifikace kategorie kryptografického pracoviště,
d) splnění požadavků na fyzickou a personální bezpečnost kryptografického pracoviště a
e) výsledek kontroly kryptografického pracoviště Národním úřadem pro kybernetickou a informační bezpečnost.
(2) Pro certifikaci kryptografického pracoviště prováděnou na základě opakované žádosti podle § 8 platí odstavec 1 obdobně.
§ 12
Náležitosti žádosti orgánu státu, právnické osoby podle § 60b zákona nebo podnikatele o uzavření smlouvy o zajištění činnosti provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku a kryptografického pracoviště
(1) Žádost o uzavření smlouvy s Národním úřadem pro kybernetickou a informační bezpečnost o zajištění činnosti podle § 52 zákona (dále jen „smlouva o zajištění činnosti“), jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku k ochraně utajovaných informací, způsobilosti kryptografického pracoviště určeného k výrobě nebo testování materiálu k zajištění funkce kryptografického prostředku nebo které je centrálním distribučním a evidenčním místem kryptografického materiálu orgánu státu, právnické osoby podle § 60b zákona nebo podnikatele, obsahuje
a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,
b) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni a
c) specifikace činností, které mají být prováděny podle smlouvy o zajištění činnosti.
(2) Žádost podle odstavce 1 obsahuje dále
a) adresu umístění pracoviště provádějícího požadované činnosti,
b) prohlášení odpovědné osoby nebo jí pověřené osoby o splnění požadavků na fyzickou a personální bezpečnost pracoviště,
c) rozsah požadovaných činností,
d) personální zabezpečení požadovaných činností a
e) technické a organizační zajištění požadovaných činností.
Závěrečná ustanovení
§ 13
Přechodná ustanovení
(1) Kryptografický prostředek, jehož způsobilost byla ověřena podle dosavadního právního předpisu, se považuje za způsobilý i podle tohoto právního předpisu.
(2) Kryptografické pracoviště, jehož způsobilost byla ověřena podle dosavadního právního předpisu, se považuje za způsobilé i podle tohoto právního předpisu.
§ 14
Zrušovací ustanovení
Zrušují se:
§ 15
Účinnost
Tato vyhláška nabývá účinnosti dnem 1. ledna 2025.
Ředitel:
Ing. Kintr v. r.
Příloha č. 1
Příloha č. 2
1) Rozhodnutí Rady (EU) 2013/488/EU ze dne 23. září 2013 o bezpečnostních pravidlech na ochranu utajovaných informací EU, v platném znění.