431/2024 Sb. — Vyhláška o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti

§ 1

Předmět úpravy

(1) Tato vyhláška upravuje v návaznosti na předpis Evropské unie¹) způsob a podmínky provádění certifikace kryptografického prostředku a obsah certifikační zprávy podle § 46 odst. 13 zákona.

(2) Tato vyhláška dále upravuje

a) náležitosti žádosti a opakované žádosti o certifikaci kryptografického prostředku a certifikaci kryptografického pracoviště a dokumentaci nezbytnou k provedení certifikace kryptografického prostředku a certifikace kryptografického pracoviště,

b) způsob a podmínky provádění certifikace kryptografického pracoviště a obsah certifikační zprávy podle § 46 odst. 13 zákona,

c) vzor certifikátu kryptografického prostředku a certifikátu kryptografického pracoviště a

d) náležitosti žádosti o uzavření smlouvy o zajištění činnosti podle § 52 zákona, jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku nebo kryptografického pracoviště.

§ 2

Náležitosti žádosti o certifikaci kryptografického prostředku

(1) Žádost o certifikaci kryptografického prostředku obsahuje

a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení, kterým se rozumí alespoň její telefonní číslo a adresa elektronické pošty,

b) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,

c) typové označení kryptografického prostředku,

d) určení kryptografického prostředku, zejména účel užití a stupeň utajení, pro který má být kryptografický prostředek používán,

e) název, popřípadě obchodní firmu a sídlo výrobce kryptografického prostředku a

f) způsob zajištění výroby a distribuce klíčového nebo heslového materiálu podle právního předpisu upravujícího zajištění kryptografické ochrany utajovaných informací.

(2) K certifikaci kryptografického prostředku Evropské unie nebo některého jejího členského státu anebo Organizace Severoatlantické smlouvy, který je určen k ochraně utajovaných informací, žadatel předkládá žádost podle odstavce 1 a kopii certifikátu nebo obdobného dokumentu vydaného certifikačním orgánem Evropské unie nebo příslušným národním certifikačním orgánem jejího členského státu anebo Organizací Severoatlantické smlouvy.

§ 3

Náležitosti opakované žádosti o certifikaci kryptografického prostředku

Opakovaná žádost o certifikaci kryptografického prostředku obsahuje

a) evidenční číslo, datum vydání certifikátu a dobu jeho platnosti,

b) identifikaci certifikovaného kryptografického prostředku, zejména obchodní název, typové označení, variantní provedení, určení použití kryptografického prostředku, název, popřípadě obchodní firmu a sídlo výrobce kryptografického prostředku,

c) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni a

d) odůvodnění potřeby opakované certifikace kryptografického prostředku.

§ 4

Dokumentace nezbytná k provedení certifikace kryptografického prostředku

Dokumentace nezbytná k provedení certifikace kryptografického prostředku obsahuje

a) určení a vymezení způsobu použití kryptografického prostředku a materiálu k zajištění jeho funkce,

b) údaj o typu uživatelského prostředí a systémovém začlenění kryptografického prostředku a materiálu k zajištění jeho funkce,

c) blokové schéma a popis kryptografického prostředku a materiálu k zajištění jeho funkce s vyznačením součinnostních vazeb jednotlivých jeho částí,

d) popis metod zajištění kryptografické ochrany v kryptografickém prostředku,

e) popis výroby klíčového materiálu pro kryptografický prostředek a správy klíčového hospodářství podle právního předpisu upravujícího zajištění kryptografické ochrany utajovaných informací,

f) technický popis a návod k obsluze kryptografického prostředku a materiálu k zajištění jeho funkce,

g) identifikaci hrozeb způsobilých ohrozit ochranu utajovaných informací při používání kryptografického prostředku, popis technických a organizačních opatření zmírňujících tyto hrozby a zhodnocení zbytkových hrozeb, které nelze zmírnit technickými a organizačními opatřeními,

h) požadavky na instalaci a vyhodnocení testování kryptografického prostředku a materiálu k zajištění jeho funkce a

i) již vydané platné certifikáty kryptografického prostředku nebo obdobné dokumenty vydané příslušným orgánem cizí moci nebo platná osvědčení hodnotící způsobilost kryptografického prostředku.

§ 5

Vzor certifikátu kryptografického prostředku a obsah certifikační zprávy

(1) Vzor certifikátu kryptografického prostředku je uveden v příloze č. 1 k této vyhlášce.

(2) Přílohou certifikátu kryptografického prostředku je certifikační zpráva, která obsahuje

a) požadavky na výrobu, dopravu a údržbu kryptografického prostředku,

b) specifikaci kryptografického prostředku a materiálu k zajištění jeho funkce,

c) ekvivalentní hodnotu parametru S1 podle právního předpisu upravujícího fyzickou bezpečnost a certifikaci technických prostředků,

d) údaj o způsobilosti kryptografického prostředku pro ochranu utajovaných informací Evropské unie, nebo Organizace Severoatlantické smlouvy,

e) podmínky provozování kryptografického prostředku a

f) požadavky na zajištění obsluhy kryptografického prostředku.

§ 6

Způsob a podmínky provádění certifikace kryptografického prostředku

(1) Při ověřování způsobilosti kryptografického prostředku k ochraně utajovaných informací Národní úřad pro kybernetickou a informační bezpečnost hodnotí

a) předloženou dokumentaci a funkčnost deklarovaných režimů činnosti kryptografického prostředku,

b) kryptografické parametry kryptografického prostředku,

c) technické parametry kryptografického prostředku,

d) výrobu klíčového materiálu a jeho distribuci,

e) materiál k zajištění funkce kryptografického prostředku,

f) naplnění požadavků na výrobu, provozování a ochranu kryptografického prostředku a materiálu k zajištění jeho funkce,

g) naplnění požadavků na začlenění kryptografického prostředku do komunikačního nebo informačního systému a

h) použitelnost kryptografického prostředku pro ochranu utajovaných informací České republiky, Evropské unie, nebo Organizace Severoatlantické smlouvy.

(2) Pro hodnocený materiál k zajištění funkce kryptografického prostředku vydává Národní úřad pro kybernetickou a informační bezpečnost samostatné schválení materiálu k zajištění funkce kryptografického prostředku a schvalující zprávu materiálu pro zajištění bezpečné funkce kryptografického prostředku.

(3) Pro certifikaci kryptografického prostředku prováděnou na základě opakované žádosti podle § 3 platí odstavce 1 a 2 obdobně.

§ 7

Náležitosti žádosti o certifikaci kryptografického pracoviště

Žádost o certifikaci kryptografického pracoviště obsahuje

a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni,

b) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,

c) identifikaci kryptografického pracoviště, zejména název, adresu a umístění,

d) určení kryptografického pracoviště, zejména účel užití,

e) určení kategorie kryptografického pracoviště podle právního předpisu upravujícího fyzickou bezpečnost a certifikaci technických prostředků a

f) seznam přikládané dokumentace nezbytné k provedení certifikace kryptografického pracoviště.

§ 8

Náležitosti opakované žádosti o certifikaci kryptografického pracoviště

Opakovaná žádost o certifikaci kryptografického pracoviště obsahuje

a) evidenční číslo, název kryptografického pracoviště, datum vydání certifikátu a dobu jeho platnosti,

b) identifikaci certifikovaného kryptografického pracoviště podle § 7 písm. c) až e), a

c) odůvodnění potřeby opakované certifikace kryptografického pracoviště.

§ 9

Dokumentace nezbytná k provedení certifikace kryptografického pracoviště

Dokumentace nezbytná k provedení certifikace kryptografického pracoviště obsahuje

a) dokumentaci zabezpečení fyzické bezpečnosti kryptografického pracoviště v rozsahu stanoveném právním předpisem upravujícím fyzickou bezpečnost a certifikaci technických prostředků a

b) dokumentaci provozně-bezpečnostního zabezpečení kryptografického pracoviště.

§ 10

Vzor certifikátu kryptografického pracoviště a obsah certifikační zprávy

(1) Vzor certifikátu kryptografického pracoviště je uveden v příloze č. 2 k této vyhlášce.

(2) Přílohou certifikátu kryptografického pracoviště je certifikační zpráva, která obsahuje

a) identifikaci kryptografického pracoviště,

b) podmínky provozování kryptografického pracoviště a

c) rozsah případných změn, které podmiňují platnost certifikátu kryptografického pracoviště.

§ 11

Způsob a podmínky provádění certifikace kryptografického pracoviště

(1) Při ověřování způsobilosti kryptografického pracoviště k ochraně utajovaných informací Národní úřad pro kybernetickou a informační bezpečnost hodnotí

a) předloženou dokumentaci,

b) účel kryptografického pracoviště a jeho technické vybavení,

c) provozně-bezpečnostní zabezpečení kryptografického pracoviště podle specifikace kategorie kryptografického pracoviště,

d) splnění požadavků na fyzickou a personální bezpečnost kryptografického pracoviště a

e) výsledek kontroly kryptografického pracoviště Národním úřadem pro kybernetickou a informační bezpečnost.

(2) Pro certifikaci kryptografického pracoviště prováděnou na základě opakované žádosti podle § 8 platí odstavec 1 obdobně.

§ 12

Náležitosti žádosti orgánu státu, právnické osoby podle § 60b zákona nebo podnikatele o uzavření smlouvy o zajištění činnosti provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku a kryptografického pracoviště

(1) Žádost o uzavření smlouvy s Národním úřadem pro kybernetickou a informační bezpečnost o zajištění činnosti podle § 52 zákona (dále jen „smlouva o zajištění činnosti“), jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku k ochraně utajovaných informací, způsobilosti kryptografického pracoviště určeného k výrobě nebo testování materiálu k zajištění funkce kryptografického prostředku nebo které je centrálním distribučním a evidenčním místem kryptografického materiálu orgánu státu, právnické osoby podle § 60b zákona nebo podnikatele, obsahuje

a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,

b) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni a

c) specifikace činností, které mají být prováděny podle smlouvy o zajištění činnosti.

(2) Žádost podle odstavce 1 obsahuje dále

a) adresu umístění pracoviště provádějícího požadované činnosti,

b) prohlášení odpovědné osoby nebo jí pověřené osoby o splnění požadavků na fyzickou a personální bezpečnost pracoviště,

c) rozsah požadovaných činností,

d) personální zabezpečení požadovaných činností a

e) technické a organizační zajištění požadovaných činností.

§ 14

Zrušovací ustanovení

Zrušují se:

1. Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací.

2. Vyhláška č. 434/2011 Sb., kterou se mění vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací.

§ 15

Účinnost

Tato vyhláška nabývá účinnosti dnem 1. ledna 2025.

§ 13

Přechodná ustanovení

(1) Kryptografický prostředek, jehož způsobilost byla ověřena podle dosavadního právního předpisu, se považuje za způsobilý i podle tohoto právního předpisu.

(2) Kryptografické pracoviště, jehož způsobilost byla ověřena podle dosavadního právního předpisu, se považuje za způsobilé i podle tohoto právního předpisu.