Hlava VIII
§ 36a
Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.
§ 37
(1) Kryptografickým materiálem je kryptografický prostředek, materiál k zajištění jeho funkce nebo kryptografický dokument.
(2) Kryptografické prostředky používané pro kryptografickou ochranu utajovaných informací musí být certifikovány Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. c)].
(3) Kryptografickým pracovištěm je pracoviště určené k výrobě nebo testování materiálu k zajištění funkce kryptografického prostředku, ukládání kryptografického materiálu nebo k distribuci a evidenci kryptografického materiálu nebo k výrobě a testování kryptografických prostředků. Kryptografické pracoviště musí splňovat bezpečnostní standardy a musí být do provozu schváleno odpovědnou osobou nebo bezpečnostním ředitelem.
(4) Kryptografické pracoviště určené k výrobě nebo testování materiálu k zajištění funkce kryptografického prostředku nebo které je centrálním distribučním a evidenčním místem kryptografického materiálu orgánu státu, právnické osoby nebo podnikající fyzické osoby, musí být před schválením do provozu odpovědnou osobou nebo bezpečnostním ředitelem certifikováno Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. d)].
(5) Orgán státu, právnická osoba a podnikající fyzická osoba, které vykonávají kryptografickou ochranu, musí vést evidence kryptografického materiálu, pracovníků kryptografické ochrany, provozní obsluhy kryptografických prostředků a kurýrů kryptografického materiálu.
§ 37a
(1) Kontrolovanou kryptografickou položkou se rozumí neutajované zařízení nebo jeho součást, zařazené do seznamu podle odstavce 3, sloužící k ochraně informací při jejich zpracování nebo přenosu a využívající kryptografických metod.
(2) Kontrolovanou kryptografickou položku lze použít pouze v souladu s bezpečnostním standardem.
(3) Zařízení uvedené v odstavci 1 nebo jeho součást na základě písemné žádosti jeho výrobce, dovozce, distributora nebo uživatele Národní úřad pro kybernetickou a informační bezpečnost schválí a zařadí do jím vedeného seznamu kontrolovaných kryptografických položek v případě, že je to v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací.
§ 38
(1) Výkonem kryptografické ochrany se rozumí
a) její bezpečnostní správa,
b) speciální obsluha kryptografického prostředku, nebo
c) výroba nebo servis kryptografického prostředku nebo materiálu k zajištění jeho funkce.
(2) Výkon kryptografické ochrany provádí pracovník kryptografické ochrany, který je
a) k výkonu kryptografické ochrany pověřen odpovědnou osobou nebo jí pověřenou osobou,
b) držitelem platného osvědčení fyzické osoby a
c) držitelem osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany (dále jen "osvědčení o zvláštní odborné způsobilosti").
§ 39
(1) Zvláštní odborná způsobilost pracovníka kryptografické ochrany (dále jen „zvláštní odborná způsobilost“) zahrnuje znalost předpisů z oblasti kryptografické ochrany utajovaných informací, schopnost jejich aplikace a další schopnosti podle § 38 odst. 1. Tyto znalosti a schopnosti ověřuje Národní úřad pro kybernetickou a informační bezpečnost zkouškou zvláštní odborné způsobilosti (dále jen „odborná zkouška“). Odborná zkouška probíhá před zkušební komisí; to není podmínkou pro její část prováděnou podle odstavce 3 písm. b). Členy zkušební komise jmenuje odpovědná osoba nebo jí pověřená osoba Národního úřadu pro kybernetickou a informační bezpečnost nebo orgánu státu podle odstavce 3 písm. a). Tomu, kdo složil odbornou zkoušku, vydá Národní úřad pro kybernetickou a informační bezpečnost nebo orgán státu podle odstavce 3 písm. a) osvědčení o zvláštní odborné způsobilosti a vede o tom evidenci. Osvědčení o zvláštní odborné způsobilosti se vydává nejdéle na 5 let.
(2) Přihlášku k odborné zkoušce podává písemně odpovědná osoba orgánu státu nebo podnikatele u Národního úřadu pro kybernetickou a informační bezpečnost nebo u jím pověřeného orgánu státu. Odborná zkouška se musí konat do 6 měsíců od podání přihlášky. Národní úřad pro kybernetickou a informační bezpečnost nebo jím pověřený orgán státu písemně oznámí tomu, kdo o odbornou zkoušku požádal, termín a místo konání odborné zkoušky; oznámení musí být odesláno nejpozději 20 dnů přede dnem konání odborné zkoušky. Ten, kdo při odborné zkoušce nevyhověl, ji může vykonat opakovaně. Opakovaná zkouška může být vykonána nejdříve po uplynutí 5 pracovních dnů ode dne neúspěšně vykonané zkoušky.
(3) Národní úřad pro kybernetickou a informační bezpečnost může uzavřít s orgánem státu smlouvu o zajištění činnosti podle § 52, jejímž předmětem je provedení
a) odborné zkoušky a vydání osvědčení o zvláštní odborné způsobilosti, nebo
b) části odborné zkoušky, týkající se § 38 odst. 1 písm. b) nebo c) a příslušné návaznosti na § 38 odst. 1 písm. a).
Smlouvu podle písmene b) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít též s podnikatelem.
§ 40
(1) Provozní obsluhou kryptografického prostředku se rozumí výkon uživatelských funkcí kryptografického prostředku.
(2) Osoba, která provádí provozní obsluhu kryptografického prostředku podle odstavce 1, musí
a) být k této obsluze pověřena odpovědnou osobou nebo jí pověřenou osobou,
b) splňovat podmínky přístupu k utajované informaci podle § 6 odst. 1 nebo § 11 odst. 1 a
c) být k této obsluze zaškolena.
§ 41
(1) Manipulací s kryptografickým materiálem se rozumí způsob přenášení, přepravy, zapůjčování, ukládání nebo jiného nakládání s ním, včetně jeho vyřazování.
(2) Kryptografický materiál lze evidovat a manipulovat s ním jen způsobem a prostředky, které zajistí ochranu kryptografického materiálu a splňují požadavky, které stanoví prováděcí právní předpis.
(3) Ochranu kryptografického prostředku a materiálu k zajištění jeho funkce do stupně utajení Důvěrné, bez nutnosti jejich ukládání, lze zajistit způsobem, při kterém je tento kryptografický prostředek a materiál trvale pod dohledem jejich oprávněného uživatele.
(4) Kontrolovanou kryptografickou položku lze evidovat, provozovat, ukládat, přepravovat, vyvážet, kontrolovat a distribuovat způsobem, který zajistí její ochranu a splní požadavky bezpečnostního standardu.
§ 42
(1) Přepravu kryptografického materiálu provádí kurýr kryptografického materiálu. Kurýrem kryptografického materiálu je osoba, která
a) byla k přepravě pověřena odpovědnou osobou nebo jí pověřenou osobou,
b) je držitelem platného osvědčení fyzické osoby, nejméně pro stupeň utajení přepravovaného kryptografického materiálu,
c) byla k přepravě zaškolena.
(2) Z území České republiky lze vyvážet certifikovaný kryptografický prostředek [§ 46 odst. 1 písm. c)] pouze na základě povolení Národního úřadu pro kybernetickou a informační bezpečnost. Za vývoz se nepovažuje používání certifikovaného kryptografického prostředku mimo území České republiky orgánem státu.
(3) Povolení podle odstavce 2 lze udělit na základě písemné žádosti. Povolení se vydává na vývoz konkrétního kryptografického prostředku a obsahuje též účel vývozu. Národní úřad pro kybernetickou a informační bezpečnost povolení nevydá, jestliže by vývozem byla ohrožena utajovaná informace České republiky nebo utajovaná informace, k jejíž ochraně se Česká republika zavázala; tuto skutečnost písemně oznámí žadateli o povolení. Na udělení povolení není právní nárok.
(4) Národní úřad pro kybernetickou a informační bezpečnost vede evidenci povolení udělených podle odstavce 2.
§ 43
(1) Kompromitací kryptografického materiálu se rozumí nakládání s kryptografickým materiálem, které způsobilo nebo by mohlo způsobit porušení ochrany utajované informace.
(2) Kompromitaci kryptografického materiálu je orgán státu, právnická osoba nebo podnikající fyzická osoba povinna neprodleně oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost.
§ 43a
(1) Distribuci a evidenci kryptografického materiálu České republiky, kryptografického materiálu Evropské unie a kryptografického materiálu distribuovaného na základě mezinárodní smlouvy, s výjimkou kryptografického materiálu pro vojenské účely, zajišťuje Národní úřad pro kybernetickou a informační bezpečnost. Distribuci a evidenci kryptografického materiálu Organizace Severoatlantické smlouvy a kryptografického materiálu pro vojenské účely zajišťuje Ministerstvo obrany.
(2) Podmínky evidence, manipulace a kontroly kryptografického materiálu v České republice, zahrnující zejména možnost zřízení účtů pro kryptografický materiál v orgánech státu nebo u podnikatele, vedení evidencí, kontrolní funkce, povinnosti držitelů kryptografického materiálu vůči Národnímu úřadu pro kybernetickou a informační bezpečnost nebo Ministerstvu obrany a zajištění kurýrní služby pro kryptografický materiál Evropské unie upraví bezpečnostní standard.
§ 44
Prováděcí právní předpis stanoví
a) náležitosti přihlášky k odborné zkoušce,
b) organizaci, obsah a způsob provádění odborné zkoušky,
c) náležitosti osvědčení o zvláštní odborné způsobilosti,
d) minimální požadavky na zajištění bezpečnostní správy kryptografické ochrany,
e) podrobnosti zajišťování provozu kryptografického prostředku,
f) způsob zaškolování provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu a vzor potvrzení o zaškolení provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu,
g) podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany, zejména podle druhu kryptografického materiálu,
h) druhy a náležitosti administrativních pomůcek kryptografické ochrany a požadavky na vedení těchto pomůcek,
i) bližší požadavky na způsob a prostředky manipulace s kryptografickým materiálem,
j) obsah žádosti pro udělení povolení pro vývoz certifikovaného kryptografického prostředku z území České republiky a náležitosti povolení,
k) způsob vedení evidencí uvedených v § 37 odst. 5,
l) kategorie kryptografických pracovišť, typy činností na kryptografickém pracovišti a minimální požadavky na jejich zabezpečení,
m) podmínky ochrany kryptografického prostředku a materiálu k zajištění jeho funkce podle § 41 odst. 3.
Kompromitující vyzařování
§ 45
(1) Ochranou utajovaných informací stupně utajení Přísně tajné, Tajné nebo Důvěrné před jejich únikem kompromitujícím vyzařováním je zabezpečení elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu.
(2) Je-li ochrana utajované informace před únikem kompromitujícím vyzařováním zabezpečena stínicí komorou, musí být tato komora certifikována Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. e)].
(3) Ověřování způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím vyzařováním zajišťuje Národní úřad pro kybernetickou a informační bezpečnost při certifikaci informačního systému nebo kryptografického prostředku, při schvalování projektu bezpečnosti komunikačního systému nebo na základě odůvodněné písemné žádosti orgánu státu nebo podnikatele v souvislosti s ochranou utajovaných informací.
(4) K provádění měření možného úniku utajovaných informací podle odstavce 3 může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění této činnosti.
(5) K provádění měření zařízení, zabezpečené oblasti nebo objektu podle odstavce 3, které jsou provozovány nebo užívány zpravodajskými službami, jsou oprávněny zpravodajské služby. V těchto případech není vyžadováno uzavření smlouvy podle § 52. Pro potřeby certifikace informačního systému nebo kryptografického prostředku, nebo při schválení projektu bezpečnosti komunikačního systému předají zpravodajské služby Národnímu úřadu pro kybernetickou a informační bezpečnost zprávy o provedeném měření včetně jeho výsledku.
(6) Při provádění měření podle odstavce 5 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Národního úřadu pro kybernetickou a informační bezpečnost.