Vyhláška o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti

§ 1

Předmět úpravy

(1) Tato vyhláška upravuje v návaznosti na předpis Evropské unie^1) způsob a podmínky provádění certifikace kryptografického prostředku a obsah certifikační zprávy podle § 46 odst. 13 zákona.

(2) Tato vyhláška dále upravuje

• a) náležitosti žádosti a opakované žádosti o certifikaci kryptografického prostředku a certifikaci kryptografického pracoviště a dokumentaci nezbytnou k provedení certifikace kryptografického prostředku a certifikace kryptografického pracoviště,

• b) způsob a podmínky provádění certifikace kryptografického pracoviště a obsah certifikační zprávy podle § 46 odst. 13 zákona,

• c) vzor certifikátu kryptografického prostředku a certifikátu kryptografického pracoviště a

• d) náležitosti žádosti o uzavření smlouvy o zajištění činnosti podle § 52 zákona, jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku nebo kryptografického pracoviště.

Kryptografický prostředek

§ 2

Náležitosti žádosti o certifikaci kryptografického prostředku

(1) Žádost o certifikaci kryptografického prostředku obsahuje

• a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení, kterým se rozumí alespoň její telefonní číslo a adresa elektronické pošty,

• b) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,

• c) typové označení kryptografického prostředku,

• d) určení kryptografického prostředku, zejména účel užití a stupeň utajení, pro který má být kryptografický prostředek používán,

• e) název, popřípadě obchodní firmu a sídlo výrobce kryptografického prostředku a

• f) způsob zajištění výroby a distribuce klíčového nebo heslového materiálu podle právního předpisu upravujícího zajištění kryptografické ochrany utajovaných informací.

(2) K certifikaci kryptografického prostředku Evropské unie nebo některého jejího členského státu anebo Organizace Severoatlantické smlouvy, který je určen k ochraně utajovaných informací, žadatel předkládá žádost podle odstavce 1 a kopii certifikátu nebo obdobného dokumentu vydaného certifikačním orgánem Evropské unie nebo příslušným národním certifikačním orgánem jejího členského státu anebo Organizací Severoatlantické smlouvy.

§ 3

Náležitosti opakované žádosti o certifikaci kryptografického prostředku

Opakovaná žádost o certifikaci kryptografického prostředku obsahuje

• a) evidenční číslo, datum vydání certifikátu a dobu jeho platnosti,

• b) identifikaci certifikovaného kryptografického prostředku, zejména obchodní název, typové označení, variantní provedení, určení použití kryptografického prostředku, název, popřípadě obchodní firmu a sídlo výrobce kryptografického prostředku,

• c) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni a

• d) odůvodnění potřeby opakované certifikace kryptografického prostředku.

§ 4

Dokumentace nezbytná k provedení certifikace kryptografického prostředku

Dokumentace nezbytná k provedení certifikace kryptografického prostředku obsahuje

• a) určení a vymezení způsobu použití kryptografického prostředku a materiálu k zajištění jeho funkce,

• b) údaj o typu uživatelského prostředí a systémovém začlenění kryptografického prostředku a materiálu k zajištění jeho funkce,

• c) blokové schéma a popis kryptografického prostředku a materiálu k zajištění jeho funkce s vyznačením součinnostních vazeb jednotlivých jeho částí,

• d) popis metod zajištění kryptografické ochrany v kryptografickém prostředku,

• e) popis výroby klíčového materiálu pro kryptografický prostředek a správy klíčového hospodářství podle právního předpisu upravujícího zajištění kryptografické ochrany utajovaných informací,

• f) technický popis a návod k obsluze kryptografického prostředku a materiálu k zajištění jeho funkce,

• g) identifikaci hrozeb způsobilých ohrozit ochranu utajovaných informací při používání kryptografického prostředku, popis technických a organizačních opatření zmírňujících tyto hrozby a zhodnocení zbytkových hrozeb, které nelze zmírnit technickými a organizačními opatřeními,

• h) požadavky na instalaci a vyhodnocení testování kryptografického prostředku a materiálu k zajištění jeho funkce a

• i) již vydané platné certifikáty kryptografického prostředku nebo obdobné dokumenty vydané příslušným orgánem cizí moci nebo platná osvědčení hodnotící způsobilost kryptografického prostředku.

§ 5

Vzor certifikátu kryptografického prostředku a obsah certifikační zprávy

(1) Vzor certifikátu kryptografického prostředku je uveden v příloze č. 1 k této vyhlášce.

(2) Přílohou certifikátu kryptografického prostředku je certifikační zpráva, která obsahuje

• a) požadavky na výrobu, dopravu a údržbu kryptografického prostředku,

• b) specifikaci kryptografického prostředku a materiálu k zajištění jeho funkce,

• c) ekvivalentní hodnotu parametru S1 podle právního předpisu upravujícího fyzickou bezpečnost a certifikaci technických prostředků,

• d) údaj o způsobilosti kryptografického prostředku pro ochranu utajovaných informací Evropské unie, nebo Organizace Severoatlantické smlouvy,

• e) podmínky provozování kryptografického prostředku a

• f) požadavky na zajištění obsluhy kryptografického prostředku.

§ 6

Způsob a podmínky provádění certifikace kryptografického prostředku

(1) Při ověřování způsobilosti kryptografického prostředku k ochraně utajovaných informací Národní úřad pro kybernetickou a informační bezpečnost hodnotí

• a) předloženou dokumentaci a funkčnost deklarovaných režimů činnosti kryptografického prostředku,

• b) kryptografické parametry kryptografického prostředku,

• c) technické parametry kryptografického prostředku,

• d) výrobu klíčového materiálu a jeho distribuci,

• e) materiál k zajištění funkce kryptografického prostředku,

• f) naplnění požadavků na výrobu, provozování a ochranu kryptografického prostředku a materiálu k zajištění jeho funkce,

• g) naplnění požadavků na začlenění kryptografického prostředku do komunikačního nebo informačního systému a

• h) použitelnost kryptografického prostředku pro ochranu utajovaných informací České republiky, Evropské unie, nebo Organizace Severoatlantické smlouvy.

(2) Pro hodnocený materiál k zajištění funkce kryptografického prostředku vydává Národní úřad pro kybernetickou a informační bezpečnost samostatné schválení materiálu k zajištění funkce kryptografického prostředku a schvalující zprávu materiálu pro zajištění bezpečné funkce kryptografického prostředku.

(3) Pro certifikaci kryptografického prostředku prováděnou na základě opakované žádosti podle § 3 platí odstavce 1 a 2 obdobně.

Kryptografické pracoviště

§ 7

Náležitosti žádosti o certifikaci kryptografického pracoviště

Žádost o certifikaci kryptografického pracoviště obsahuje

• a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni,

• b) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,

• c) identifikaci kryptografického pracoviště, zejména název, adresu a umístění,

• d) určení kryptografického pracoviště, zejména účel užití,

• e) určení kategorie kryptografického pracoviště podle právního předpisu upravujícího fyzickou bezpečnost a certifikaci technických prostředků a

• f) seznam přikládané dokumentace nezbytné k provedení certifikace kryptografického pracoviště.

§ 8

Náležitosti opakované žádosti o certifikaci kryptografického pracoviště

Opakovaná žádost o certifikaci kryptografického pracoviště obsahuje

• a) evidenční číslo, název kryptografického pracoviště, datum vydání certifikátu a dobu jeho platnosti,

• b) identifikaci certifikovaného kryptografického pracoviště podle § 7 písm. c) až e), a

• c) odůvodnění potřeby opakované certifikace kryptografického pracoviště.

§ 9

Dokumentace nezbytná k provedení certifikace kryptografického pracoviště

Dokumentace nezbytná k provedení certifikace kryptografického pracoviště obsahuje

• a) dokumentaci zabezpečení fyzické bezpečnosti kryptografického pracoviště v rozsahu stanoveném právním předpisem upravujícím fyzickou bezpečnost a certifikaci technických prostředků a

• b) dokumentaci provozně-bezpečnostního zabezpečení kryptografického pracoviště.

§ 10

Vzor certifikátu kryptografického pracoviště a obsah certifikační zprávy

(1) Vzor certifikátu kryptografického pracoviště je uveden v příloze č. 2 k této vyhlášce.

(2) Přílohou certifikátu kryptografického pracoviště je certifikační zpráva, která obsahuje

• a) identifikaci kryptografického pracoviště,

• b) podmínky provozování kryptografického pracoviště a

• c) rozsah případných změn, které podmiňují platnost certifikátu kryptografického pracoviště.

§ 11

Způsob a podmínky provádění certifikace kryptografického pracoviště

(1) Při ověřování způsobilosti kryptografického pracoviště k ochraně utajovaných informací Národní úřad pro kybernetickou a informační bezpečnost hodnotí

• a) předloženou dokumentaci,

• b) účel kryptografického pracoviště a jeho technické vybavení,

• c) provozně-bezpečnostní zabezpečení kryptografického pracoviště podle specifikace kategorie kryptografického pracoviště,

• d) splnění požadavků na fyzickou a personální bezpečnost kryptografického pracoviště a

• e) výsledek kontroly kryptografického pracoviště Národním úřadem pro kybernetickou a informační bezpečnost.

(2) Pro certifikaci kryptografického pracoviště prováděnou na základě opakované žádosti podle § 8 platí odstavec 1 obdobně.

§ 12

Náležitosti žádosti orgánu státu, právnické osoby podle § 60b zákona nebo podnikatele o uzavření smlouvy o zajištění činnosti provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku a kryptografického pracoviště

(1) Žádost o uzavření smlouvy s Národním úřadem pro kybernetickou a informační bezpečnost o zajištění činnosti podle § 52 zákona (dále jen „smlouva o zajištění činnosti“), jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku k ochraně utajovaných informací, způsobilosti kryptografického pracoviště určeného k výrobě nebo testování materiálu k zajištění funkce kryptografického prostředku nebo které je centrálním distribučním a evidenčním místem kryptografického materiálu orgánu státu, právnické osoby podle § 60b zákona nebo podnikatele, obsahuje

• a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,

• b) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni a

• c) specifikace činností, které mají být prováděny podle smlouvy o zajištění činnosti.

(2) Žádost podle odstavce 1 obsahuje dále

• a) adresu umístění pracoviště provádějícího požadované činnosti,

• b) prohlášení odpovědné osoby nebo jí pověřené osoby o splnění požadavků na fyzickou a personální bezpečnost pracoviště,

• c) rozsah požadovaných činností,

• d) personální zabezpečení požadovaných činností a

• e) technické a organizační zajištění požadovaných činností.

Závěrečná ustanovení

§ 13

Přechodná ustanovení

(1) Kryptografický prostředek, jehož způsobilost byla ověřena podle dosavadního právního předpisu, se považuje za způsobilý i podle tohoto právního předpisu.

(2) Kryptografické pracoviště, jehož způsobilost byla ověřena podle dosavadního právního předpisu, se považuje za způsobilé i podle tohoto právního předpisu.

§ 14

Zrušovací ustanovení

Zrušují se:

• 1. Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací.

• 1. Vyhláška č. 434/2011 Sb., kterou se mění vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací.

§ 15

Účinnost

Tato vyhláška nabývá účinnosti dnem 1. ledna 2025.

Ředitel:

Ing. Kintr v. r.

Příloha č. 1

[image omitted]

Příloha č. 2

[image omitted]

^1) Rozhodnutí Rady (EU) 2013/488/EU ze dne 23. září 2013 o bezpečnostních pravidlech na ochranu utajovaných informací EU, v platném znění.