Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti - Hlava VIII - Kryptografická ochrana
Předpis č. 412/2005 Sb.
Znění od 1. 7. 2025
- Zobrazeno aktuální znění od 1. 7. 2025 do 1. 7. 2026 další verze
- znění od 1. 1. 2025 do 1. 7. 2025
- znění od 1. 1. 2024 do 1. 1. 2025
- znění od 1. 2. 2022 do 1. 1. 2024
- znění od 12. 12. 2020 do 1. 1. 2022
- znění od 11. 12. 2020 do 1. 2. 2022
- znění od 12. 3. 2020 do 1. 1. 2022
- znění od 7. 3. 2018 do 1. 1. 2022
- aktuální znění od 1. 1. 2018
- znění od 1. 8. 2017 do 1. 1. 2018
- aktuální znění od 1. 7. 2017
- aktuální znění od 1. 10. 2016
- znění od 1. 1. 2016 do 1. 10. 2016
- znění od 1. 1. 2015 do 1. 10. 2016
- znění od 1. 1. 2014 do 1. 1. 2015
- znění od 1. 7. 2012 do 1. 1. 2014
- znění od 1. 1. 2012 do 1. 7. 2012
- vyhlášené znění od 18. 10. 2005 do 1. 1. 2006
412/2005 Sb. Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti
Hlava VIII
Kryptografická ochrana
§ 36a
Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.
§ 37
(1) Kryptografickým materiálem je kryptografický prostředek, materiál k zajištění jeho funkce nebo kryptografický dokument.
(2) Kryptografické prostředky používané pro kryptografickou ochranu utajovaných informací musí být certifikovány Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. c)]; v případě utajované informace poskytované cizí moci zpracovávané v akreditovaném nebo certifikovaném informačním systému lze použít i kryptografický prostředek schválený příslušným orgánem cizí moci, který je součástí akreditovaného nebo certifikovaného informačního systému.
(3) Kryptografické pracoviště je pracoviště určené k zajištění výkonu kryptografické ochrany vždy nejméně v rozsahu bezpečnostní správy kryptografického materiálu nebo výroby a servisu kryptografického prostředku nebo materiálu k zajištění jeho funkce. Kryptografické pracoviště musí splňovat bezpečnostní standardy a musí být do provozu schváleno odpovědnou osobou nebo bezpečnostním ředitelem.
(4) Kryptografické pracoviště určené k výrobě nebo testování materiálu k zajištění funkce kryptografického prostředku nebo které je centrálním distribučním a evidenčním místem kryptografického materiálu orgánu státu, právnické osoby podle § 60b nebo podnikatele, musí být před schválením do provozu odpovědnou osobou nebo bezpečnostním ředitelem certifikováno Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. d)].
(5) Orgán státu, právnická osoba podle § 60b a podnikatel, kteří vykonávají kryptografickou ochranu, musí vést evidence kryptografického materiálu, pracovníků kryptografické ochrany, provozní obsluhy kryptografických prostředků, kurýrů kryptografického materiálu a osob, které nakládají s kryptografickým materiálem podle § 42a.
§ 37a
Kontrolovaná kryptografická položka
(1) Kontrolovanou kryptografickou položkou se rozumí neutajované zařízení nebo jeho součást, zařazené do seznamu podle odstavce 3, sloužící k ochraně informací při jejich zpracování nebo přenosu a využívající kryptografických metod.
(2) Kontrolovanou kryptografickou položku lze použít pouze v souladu s bezpečnostním standardem.
(3) Zařízení uvedené v odstavci 1 nebo jeho součást na základě písemné žádosti jeho výrobce, dovozce, distributora nebo uživatele Národní úřad pro kybernetickou a informační bezpečnost schválí a zařadí do jím vedeného seznamu kontrolovaných kryptografických položek v případě, že je to v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací.
§ 37b
Kontrolovaná položka
(1) Kontrolovanou položkou se rozumí neutajované zařízení nebo jeho součást, které není kontrolovanou kryptografickou položkou.
(2) Pro kontrolovanou položku se uplatní užívání obdobných metod k ochraně informací jako u kontrolované kryptografické položky.
(3) Kontrolovanou položku lze použít pouze v souladu s bezpečnostním standardem.
(4) Zařízení uvedené v odstavci 1 nebo jeho součást na základě písemné žádosti jeho výrobce, dovozce, distributora nebo uživatele Národní úřad pro kybernetickou a informační bezpečnost schválí a zařadí do jím vedeného seznamu kontrolovaných položek v případě, že je to v souladu se záměry České republiky v oblasti zajišťování ochrany utajovaných informací.
§ 38
Výkon kryptografické ochrany
(1) Výkonem kryptografické ochrany se rozumí
a) její bezpečnostní správa,
b) speciální obsluha kryptografického prostředku, nebo
c) výroba nebo servis kryptografického prostředku nebo materiálu k zajištění jeho funkce.
(2) Výkon kryptografické ochrany provádí pracovník kryptografické ochrany, který je
a) k výkonu kryptografické ochrany pověřen odpovědnou osobou nebo jí pověřenou osobou,
b) držitelem platného osvědčení fyzické osoby a poučení a
c) držitelem osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany (dále jen "osvědčení o zvláštní odborné způsobilosti").
§ 39
Zvláštní odborná způsobilost pracovníka kryptografické ochrany a zkouška zvláštní odborné způsobilosti
(1) Zvláštní odborná způsobilost pracovníka kryptografické ochrany (dále jen „zvláštní odborná způsobilost“) zahrnuje znalost předpisů z oblasti kryptografické ochrany utajovaných informací, schopnost jejich aplikace a další schopnosti podle § 38 odst. 1. Tyto znalosti a schopnosti ověřuje Národní úřad pro kybernetickou a informační bezpečnost zkouškou zvláštní odborné způsobilosti (dále jen „odborná zkouška“). Odborná zkouška probíhá před zkušební komisí; to není podmínkou pro její část prováděnou podle odstavce 3 písm. b). Členy zkušební komise jmenuje odpovědná osoba nebo jí pověřená osoba Národního úřadu pro kybernetickou a informační bezpečnost nebo orgánu státu podle odstavce 3 písm. a). Tomu, kdo složil odbornou zkoušku, vydá Národní úřad pro kybernetickou a informační bezpečnost nebo orgán státu podle odstavce 3 písm. a) osvědčení o zvláštní odborné způsobilosti a vede o tom evidenci. Osvědčení o zvláštní odborné způsobilosti se vydává nejdéle na 5 let.
(2) Přihlášku k odborné zkoušce podává písemně odpovědná osoba orgánu státu, právnické osoby podle § 60b nebo podnikatele u Národního úřadu pro kybernetickou a informační bezpečnost nebo u jím pověřeného orgánu státu. Odborná zkouška se musí konat do 6 měsíců od podání přihlášky. Národní úřad pro kybernetickou a informační bezpečnost nebo jím pověřený orgán státu písemně oznámí tomu, kdo o odbornou zkoušku požádal, termín a místo konání odborné zkoušky; oznámení musí být odesláno nejpozději 20 dnů přede dnem konání odborné zkoušky. Ten, kdo při odborné zkoušce nevyhověl, ji může vykonat opakovaně. Opakovaná zkouška může být vykonána nejdříve po uplynutí 5 pracovních dnů ode dne neúspěšně vykonané zkoušky.
(3) Národní úřad pro kybernetickou a informační bezpečnost může uzavřít s orgánem státu smlouvu o zajištění činnosti podle § 52, jejímž předmětem je provedení
a) odborné zkoušky a vydání osvědčení o zvláštní odborné způsobilosti, nebo
b) části odborné zkoušky, týkající se § 38 odst. 1 písm. b) nebo c) a příslušné návaznosti na § 38 odst. 1 písm. a).
Smlouvu podle písmene b) může Národní úřad pro kybernetickou a informační bezpečnost uzavřít též s právnickou osobou podle § 60b nebo podnikatelem.
§ 40
Provozní obsluha kryptografického prostředku
(1) Provozní obsluhou kryptografického prostředku se rozumí výkon uživatelských funkcí kryptografického prostředku.
(2) Osoba, která provádí provozní obsluhu kryptografického prostředku podle odstavce 1, musí
a) být k této obsluze pověřena odpovědnou osobou nebo jí pověřenou osobou,
b) splňovat podmínky přístupu k utajované informaci podle § 6 odst. 1 nebo § 11 odst. 1 a
c) být k této obsluze zaškolena.
§ 41
Manipulace s kryptografickým materiálem a kontrolovanou kryptografickou položkou
(1) Manipulací s kryptografickým materiálem se rozumí způsob přenášení, přepravy, zapůjčování, ukládání nebo jiného nakládání s ním, včetně jeho vyřazování.
(2) Kryptografický materiál lze evidovat a manipulovat s ním jen způsobem a prostředky, které zajistí ochranu kryptografického materiálu a splňují požadavky, které stanoví prováděcí právní předpis.
(3) Fyzické osobě, která neprovádí činnosti podle § 38 odst. 1, lze umožnit přístup ke kryptografickému dokumentu, jestliže jej nezbytně potřebuje k výkonu své funkce, pracovní nebo jiné činnosti, splňuje podmínky podle § 38 odst. 2 písm. b) a je prokazatelným způsobem řádně poučena v oblasti kryptografické ochrany.
(4) Ochranu kryptografického prostředku a materiálu k zajištění jeho funkce do stupně utajení Důvěrné, bez nutnosti jejich ukládání, lze zajistit způsobem, při kterém je tento kryptografický prostředek a materiál trvale pod dohledem jejich oprávněného uživatele.
(5) Kontrolovanou kryptografickou položku a kontrolovanou položku lze evidovat, provozovat, ukládat, přepravovat, vyvážet, kontrolovat a distribuovat způsobem, který zajistí její ochranu a splní požadavky bezpečnostního standardu.
§ 42
Přeprava kryptografického materiálu a vývoz kryptografického prostředku
(1) Přepravu kryptografického materiálu provádí kurýr kryptografického materiálu. Kurýrem kryptografického materiálu je osoba, která
a) byla k přepravě pověřena odpovědnou osobou nebo jí pověřenou osobou,
b) splňuje podmínky přístupu k utajované informaci podle § 6 odst. 1 nebo § 11 odst. 1, nejméně pro stupeň utajení přepravovaného kryptografického materiálu a
c) byla k přepravě zaškolena.
(2) Z území České republiky lze vyvážet certifikovaný kryptografický prostředek [§ 46 odst. 1 písm. c)] pouze na základě povolení Národního úřadu pro kybernetickou a informační bezpečnost. Za vývoz se nepovažuje používání certifikovaného kryptografického prostředku mimo území České republiky orgánem státu.
(3) Povolení podle odstavce 2 lze udělit na základě písemné žádosti. Povolení se vydává na vývoz konkrétního kryptografického prostředku a obsahuje též účel vývozu. Národní úřad pro kybernetickou a informační bezpečnost povolení nevydá, jestliže by vývozem byla ohrožena utajovaná informace České republiky nebo utajovaná informace, k jejíž ochraně se Česká republika zavázala; tuto skutečnost písemně oznámí žadateli o povolení. Na udělení povolení není právní nárok.
(4) Národní úřad pro kybernetickou a informační bezpečnost vede evidenci povolení udělených podle odstavce 2.
§ 42a
Pokud fyzická osoba nakládá s kryptografickým materiálem jiným způsobem, než je uvedeno v § 38 odst. 1, § 40, § 41 odst. 3 nebo § 42, musí být k nakládání pověřena odpovědnou osobou nebo jí pověřenou osobou a splňovat podmínky uvedené v § 38 odst. 2 písm. b) a c).
§ 43
Kompromitace kryptografického materiálu
(1) Kompromitací kryptografického materiálu se rozumí nakládání s kryptografickým materiálem, které způsobilo nebo by mohlo způsobit porušení ochrany utajované informace.
(2) Kompromitaci kryptografického materiálu jsou orgán státu, právnická osoba podle § 60b nebo podnikatel povinni neprodleně oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost.
§ 43a
(1) Distribuci a evidenci kryptografického materiálu České republiky, kryptografického materiálu Evropské unie a kryptografického materiálu distribuovaného na základě mezinárodní smlouvy, s výjimkou kryptografického materiálu pro vojenské účely, zajišťuje Národní úřad pro kybernetickou a informační bezpečnost. Distribuci a evidenci kryptografického materiálu Organizace Severoatlantické smlouvy a kryptografického materiálu pro vojenské účely zajišťuje Ministerstvo obrany.
(2) Podmínky evidence, manipulace a kontroly kryptografického materiálu v České republice, zahrnující zejména možnost zřízení účtů pro kryptografický materiál v orgánech státu, u právnické osoby podle § 60b nebo podnikatele, vedení evidencí, kontrolní funkce, povinnosti držitelů kryptografického materiálu vůči Národnímu úřadu pro kybernetickou a informační bezpečnost nebo Ministerstvu obrany a zajištění kurýrní služby pro kryptografický materiál Evropské unie upraví bezpečnostní standard.
§ 44
Zmocňovací ustanovení
Prováděcí právní předpis stanoví
a) náležitosti přihlášky k odborné zkoušce,
b) organizaci, obsah a způsob provádění odborné zkoušky,
c) náležitosti osvědčení o zvláštní odborné způsobilosti,
d) minimální požadavky na zajištění bezpečnostní správy kryptografické ochrany,
e) podrobnosti zajišťování provozu kryptografického prostředku,
f) způsob zaškolování provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu a vzor potvrzení o zaškolení provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu,
g) podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany, zejména podle druhu kryptografického materiálu,
h) druhy a náležitosti administrativních pomůcek kryptografické ochrany a požadavky na vedení těchto pomůcek,
i) bližší požadavky na způsob a prostředky manipulace s kryptografickým materiálem,
j) obsah žádosti pro udělení povolení pro vývoz certifikovaného kryptografického prostředku z území České republiky a náležitosti povolení,
k) způsob vedení evidencí uvedených v § 37 odst. 5,
l) kategorie kryptografických pracovišť, typy činností na kryptografickém pracovišti a minimální požadavky na jejich zabezpečení,
m) podmínky ochrany kryptografického prostředku a materiálu k zajištění jeho funkce podle § 41 odst. 4.
Kompromitující vyzařování
§ 45
(1) Ochranou utajovaných informací stupně utajení Přísně tajné, Tajné nebo Důvěrné před jejich únikem kompromitujícím vyzařováním je zabezpečení elektrických a elektronických zařízení, zabezpečené oblasti, jednací oblasti nebo objektu.
(2) Je-li ochrana utajované informace před únikem kompromitujícím vyzařováním zabezpečena stínicí komorou, musí být tato komora certifikována Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. e)].
(3) Ověřování způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti, jednací oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím vyzařováním zajišťuje Národní úřad pro kybernetickou a informační bezpečnost při certifikaci informačního systému nebo kryptografického prostředku, při schvalování projektu bezpečnosti komunikačního systému nebo na základě odůvodněné písemné žádosti orgánu státu, právnické osoby podle § 60b nebo podnikatele v souvislosti s ochranou utajovaných informací.
(4) K provádění měření možného úniku utajovaných informací podle odstavce 3 může Národní úřad pro kybernetickou a informační bezpečnost uzavřít s orgánem státu, právnickou osobou podle § 60b nebo podnikatelem smlouvu podle § 52 o zajištění této činnosti.
(5) K provádění měření zařízení, zabezpečené oblasti, jednací oblasti nebo objektu podle odstavce 3, které jsou provozovány nebo užívány zpravodajskými službami, jsou oprávněny zpravodajské služby. V těchto případech se smlouva podle § 52 neuzavírá. Zprávy o provedeném měření a protokoly měření podle odstavce 3 se ukládají u zpravodajské služby a předkládají se Národnímu úřadu pro kybernetickou a informační bezpečnost na jeho žádost.
(6) Při provádění měření podle odstavce 5 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Národního úřadu pro kybernetickou a informační bezpečnost.
ČLÁNKY DO MAILU