Kryptografická ochrana
Kompromitující vyzařování

(1) Kryptografickým materiálem je kryptografický prostředek, materiál k zajištění jeho funkce nebo kryptografický dokument.

(2) Kryptografické prostředky používané pro kryptografickou ochranu utajovaných informací musí být certifikovány Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. c)]; v případě utajované informace poskytované cizí moci zpracovávané v akreditovaném nebo certifikovaném informačním systému lze použít i kryptografický prostředek schválený příslušným orgánem cizí moci, který je součástí akreditovaného nebo certifikovaného informačního systému.

(3) Kryptografické pracoviště je pracoviště určené k zajištění výkonu kryptografické ochrany vždy nejméně v rozsahu bezpečnostní správy kryptografického materiálu nebo výroby a servisu kryptografického prostředku nebo materiálu k zajištění jeho funkce. Kryptografické pracoviště musí splňovat bezpečnostní standardy a musí být do provozu schváleno odpovědnou osobou nebo bezpečnostním ředitelem.

(4) Kryptografické pracoviště určené k výrobě nebo testování materiálu k zajištění funkce kryptografického prostředku nebo které je centrálním distribučním a evidenčním místem kryptografického materiálu orgánu státu, právnické osoby podle § 60b nebo podnikatele, musí být před schválením do provozu odpovědnou osobou nebo bezpečnostním ředitelem certifikováno Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. d)].

(5) Orgán státu, právnická osoba podle § 60b a podnikatel, kteří vykonávají kryptografickou ochranu, musí vést evidence kryptografického materiálu, pracovníků kryptografické ochrany, provozní obsluhy kryptografických prostředků, kurýrů kryptografického materiálu a osob, které nakládají s kryptografickým materiálem podle § 42a.

(1) Výkonem kryptografické ochrany se rozumí

(1) Kontrolovanou kryptografickou položkou se rozumí neutajované zařízení nebo jeho součást, zařazené do seznamu podle odstavce 3, sloužící k ochraně informací při jejich zpracování nebo přenosu a využívající kryptografických metod.

c) výroba nebo servis kryptografického prostředku nebo materiálu k zajištění jeho funkce.

b) speciální obsluha kryptografického prostředku, nebo

a) její bezpečnostní správa,

(2) Kontrolovanou kryptografickou položku lze použít pouze v souladu s bezpečnostním standardem.

(2) Výkon kryptografické ochrany provádí pracovník kryptografické ochrany, který je

a) k výkonu kryptografické ochrany pověřen odpovědnou osobou nebo jí pověřenou osobou,

b) držitelem platného osvědčení fyzické osoby a poučení a

c) držitelem osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany (dále jen „osvědčení o zvláštní odborné způsobilosti“).

(3) Zařízení uvedené v odstavci 1 nebo jeho součást na základě písemné žádosti jeho výrobce, dovozce, distributora nebo uživatele Národní úřad pro kybernetickou a informační bezpečnost schválí a zařadí do jím vedeného seznamu kontrolovaných kryptografických položek v případě, že je to v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací.

(1) Zvláštní odborná způsobilost pracovníka kryptografické ochrany (dále jen „zvláštní odborná způsobilost“) zahrnuje znalost předpisů z oblasti kryptografické ochrany utajovaných informací, schopnost jejich aplikace a další schopnosti podle § 38 odst. 1. Tyto znalosti a schopnosti ověřuje Národní úřad pro kybernetickou a informační bezpečnost zkouškou zvláštní odborné způsobilosti (dále jen „odborná zkouška“). Odborná zkouška probíhá před zkušební komisí; to není podmínkou pro její část prováděnou podle odstavce 3 písm. b). Členy zkušební komise jmenuje odpovědná osoba nebo jí pověřená osoba Národního úřadu pro kybernetickou a informační bezpečnost nebo orgánu státu podle odstavce 3 písm. a). Tomu, kdo složil odbornou zkoušku, vydá Národní úřad pro kybernetickou a informační bezpečnost nebo orgán státu podle odstavce 3 písm. a) osvědčení o zvláštní odborné způsobilosti a vede o tom evidenci. Osvědčení o zvláštní odborné způsobilosti se vydává nejdéle na 5 let.

(2) Přihlášku k odborné zkoušce podává písemně odpovědná osoba orgánu státu, právnické osoby podle § 60b nebo podnikatele u Národního úřadu pro kybernetickou a informační bezpečnost nebo u jím pověřeného orgánu státu. Odborná zkouška se musí konat do 6 měsíců od podání přihlášky. Národní úřad pro kybernetickou a informační bezpečnost nebo jím pověřený orgán státu písemně oznámí tomu, kdo o odbornou zkoušku požádal, termín a místo konání odborné zkoušky; oznámení musí být odesláno nejpozději 20 dnů přede dnem konání odborné zkoušky. Ten, kdo při odborné zkoušce nevyhověl, ji může vykonat opakovaně. Opakovaná zkouška může být vykonána nejdříve po uplynutí 5 pracovních dnů ode dne neúspěšně vykonané zkoušky.

Smlouvu podle písmene b) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít též s právnickou osobou podle § 60b nebo podnikatelem.
(3) Národní úřad pro kybernetickou a informační bezpečnost může uzavřít s orgánem státu smlouvu o zajištění činnosti podle § 52, jejímž předmětem je provedení

(1) Provozní obsluhou kryptografického prostředku se rozumí výkon uživatelských funkcí kryptografického prostředku.

(1) Kontrolovanou položkou se rozumí neutajované zařízení nebo jeho součást, které není kontrolovanou kryptografickou položkou.

a) být k této obsluze pověřena odpovědnou osobou nebo jí pověřenou osobou,

b) splňovat podmínky přístupu k utajované informaci podle § 6 odst. 1 nebo § 11 odst. 1 a

c) být k této obsluze zaškolena.

(2) Pro kontrolovanou položku se uplatní užívání obdobných metod k ochraně informací jako u kontrolované kryptografické položky.

(2) Osoba, která provádí provozní obsluhu kryptografického prostředku podle odstavce 1, musí

(3) Kontrolovanou položku lze použít pouze v souladu s bezpečnostním standardem.

b) části odborné zkoušky, týkající se § 38 odst. 1 písm. b) nebo c) a příslušné návaznosti na § 38 odst. 1 písm. a).

a) odborné zkoušky a vydání osvědčení o zvláštní odborné způsobilosti, nebo

(4) Zařízení uvedené v odstavci 1 nebo jeho součást na základě písemné žádosti jeho výrobce, dovozce, distributora nebo uživatele Národní úřad pro kybernetickou a informační bezpečnost schválí a zařadí do jím vedeného seznamu kontrolovaných položek v případě, že je to v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací.

(1) Manipulací s kryptografickým materiálem se rozumí způsob přenášení, přepravy, zapůjčování, ukládání nebo jiného nakládání s ním, včetně jeho vyřazování.

(2) Kryptografický materiál lze evidovat a manipulovat s ním jen způsobem a prostředky, které zajistí ochranu kryptografického materiálu a splňují požadavky, které stanoví prováděcí právní předpis.

c) byla k přepravě zaškolena.

(1) Přepravu kryptografického materiálu provádí kurýr kryptografického materiálu. Kurýrem kryptografického materiálu je osoba, která

a) byla k přepravě pověřena odpovědnou osobou nebo jí pověřenou osobou,

b) splňuje podmínky přístupu k utajované informaci podle § 6 odst. 1 nebo § 11 odst. 1, nejméně pro stupeň utajení přepravovaného kryptografického materiálu a

(2) Z území České republiky lze vyvážet certifikovaný kryptografický prostředek [§ 46 odst. 1 písm. c)] pouze na základě povolení Národního úřadu pro kybernetickou a informační bezpečnost. Za vývoz se nepovažuje používání certifikovaného kryptografického prostředku mimo území České republiky orgánem státu.

(3) Povolení podle odstavce 2 lze udělit na základě písemné žádosti. Povolení se vydává na vývoz konkrétního kryptografického prostředku a obsahuje též účel vývozu. Národní úřad pro kybernetickou a informační bezpečnost povolení nevydá, jestliže by vývozem byla ohrožena utajovaná informace České republiky nebo utajovaná informace, k jejíž ochraně se Česká republika zavázala; tuto skutečnost písemně oznámí žadateli o povolení. Na udělení povolení není právní nárok.

(3) Fyzické osobě, která neprovádí činnosti podle § 38 odst. 1, lze umožnit přístup ke kryptografickému dokumentu, jestliže jej nezbytně potřebuje k výkonu své funkce, pracovní nebo jiné činnosti, splňuje podmínky podle § 38 odst. 2 písm. b) a je prokazatelným způsobem řádně poučena v oblasti kryptografické ochrany.

(4) Národní úřad pro kybernetickou a informační bezpečnost vede evidenci povolení udělených podle odstavce 2.

(4) Ochranu kryptografického prostředku a materiálu k zajištění jeho funkce do stupně utajení Důvěrné, bez nutnosti jejich ukládání, lze zajistit způsobem, při kterém je tento kryptografický prostředek a materiál trvale pod dohledem jejich oprávněného uživatele.

(1) Kompromitací kryptografického materiálu se rozumí nakládání s kryptografickým materiálem, které způsobilo nebo by mohlo způsobit porušení ochrany utajované informace.

(2) Kompromitaci kryptografického materiálu jsou orgán státu, právnická osoba podle § 60b nebo podnikatel povinni neprodleně oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost.

g) podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany, zejména podle druhu kryptografického materiálu,

i) bližší požadavky na způsob a prostředky manipulace s kryptografickým materiálem,

j) obsah žádosti pro udělení povolení pro vývoz certifikovaného kryptografického prostředku z území České republiky a náležitosti povolení,

k) způsob vedení evidencí uvedených v § 37 odst. 5,

e) podrobnosti zajišťování provozu kryptografického prostředku,

d) minimální požadavky na zajištění bezpečnostní správy kryptografické ochrany,

c) náležitosti osvědčení o zvláštní odborné způsobilosti,

b) organizaci, obsah a způsob provádění odborné zkoušky,

a) náležitosti přihlášky k odborné zkoušce,

f) způsob zaškolování provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu a vzor potvrzení o zaškolení provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu,

h) druhy a náležitosti administrativních pomůcek kryptografické ochrany a požadavky na vedení těchto pomůcek,

(5) Kontrolovanou kryptografickou položku a kontrolovanou položku lze evidovat, provozovat, ukládat, přepravovat, vyvážet, kontrolovat a distribuovat způsobem, který zajistí její ochranu a splní požadavky bezpečnostního standardu.

(1) Distribuci a evidenci kryptografického materiálu České republiky, kryptografického materiálu Evropské unie a kryptografického materiálu distribuovaného na základě mezinárodní smlouvy, s výjimkou kryptografického materiálu pro vojenské účely, zajišťuje Národní úřad pro kybernetickou a informační bezpečnost. Distribuci a evidenci kryptografického materiálu Organizace Severoatlantické smlouvy a kryptografického materiálu pro vojenské účely zajišťuje Ministerstvo obrany.

(2) Podmínky evidence, manipulace a kontroly kryptografického materiálu v České republice, zahrnující zejména možnost zřízení účtů pro kryptografický materiál v orgánech státu, u právnické osoby podle § 60b nebo podnikatele, vedení evidencí, kontrolní funkce, povinnosti držitelů kryptografického materiálu vůči Národnímu úřadu pro kybernetickou a informační bezpečnost nebo Ministerstvu obrany a zajištění kurýrní služby pro kryptografický materiál Evropské unie upraví bezpečnostní standard.

(1) Ochranou utajovaných informací stupně utajení Přísně tajné, Tajné nebo Důvěrné před jejich únikem kompromitujícím vyzařováním je zabezpečení elektrických a elektronických zařízení, zabezpečené oblasti, jednací oblasti nebo objektu.

l) kategorie kryptografických pracovišť, typy činností na kryptografickém pracovišti a minimální požadavky na jejich zabezpečení,

(2) Je-li ochrana utajované informace před únikem kompromitujícím vyzařováním zabezpečena stínicí komorou, musí být tato komora certifikována Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. e)].

m) podmínky ochrany kryptografického prostředku a materiálu k zajištění jeho funkce podle § 41 odst. 4.

(3) Ověřování způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti, jednací oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím vyzařováním zajišťuje Národní úřad pro kybernetickou a informační bezpečnost při certifikaci informačního systému nebo kryptografického prostředku, při schvalování projektu bezpečnosti komunikačního systému nebo na základě odůvodněné písemné žádosti orgánu státu, právnické osoby podle § 60b nebo podnikatele v souvislosti s ochranou utajovaných informací.

(4) K provádění měření možného úniku utajovaných informací podle odstavce 3 může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu, právnickou osobou podle § 60b nebo podnikatelem smlouvu podle § 52 o zajištění této činnosti.

(5) K provádění měření zařízení, zabezpečené oblasti, jednací oblasti nebo objektu podle odstavce 3, které jsou provozovány nebo užívány zpravodajskými službami, jsou oprávněny zpravodajské služby. V těchto případech se smlouva podle § 52 neuzavírá. Zprávy o provedeném měření a protokoly měření podle odstavce 3 se ukládají u zpravodajské služby a předkládají se Národnímu úřadu pro kybernetickou a informační bezpečnost na jeho žádost.

(6) Při provádění měření podle odstavce 5 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Národního úřadu pro kybernetickou a informační bezpečnost.