Vyhláška o informační bezpečnosti

Vydána Národním úřadem pro kybernetickou a informační bezpečnost v intencích zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění po novele č. 267/2024 Sb., nově upravuje například požadavky na informační systém nakládající s utajovanými informacemi a podmínky jeho bezpečného provozování v závislosti na stupni utajení utajovaných informací, s nimiž nakládá, a na bezpečnostním provozním módu, obsah bezpečnostní dokumentace informačního systému, náležitosti oznámení provozovatele certifikovaného informačního systému o zavedení dalších nutných bezpečnostních funkcí nebo opatření podle § 34 odst. 7 písm. c) výše uvedeného zákona, obsah žádosti o schválení projektu bezpečnosti komunikačního systému nakládajícího s utajovanými informacemi, náležitosti projektu bezpečnosti komunikačního systému a způsob a podmínky jeho schvalování podle § 35 odst. 6 zákona, způsob a podmínky provádění akreditace informačního systému cizí moci nakládajícího s utajovanými informacemi a provozovaného na území České republiky, náležitosti žádosti a opakované žádosti o certifikaci informačního systému a dokumentaci nezbytnou k provedení certifikace informačního systému, způsob a podmínky provádění certifikace nebo akreditace informačního systému, jejich opakování a obsah certifikační zprávy podle § 46 odst. 13 či vzor certifikátu informačního systému, ale také podmínky bezpečného provozování zařízení, které není součástí informačního nebo komunikačního systému, a rozsah požadovaných informací podle § 36 odst. 2 písm. b) zákona, nebo náležitosti žádosti o uzavření smlouvy o zajištění činnosti podle § 52 zákona, jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti informačního systému k nakládání s utajovanými informacemi.

Nová vyhláška navazuje na evropské rozhodnutí Komise (EU, Euratom) 2021/259, kterým se stanoví prováděcí pravidla pro průmyslovou bezpečnost s ohledem na utajované granty, a rozhodnutí Rady (EU) 2013/488/EU o bezpečnostních pravidlech na ochranu utajovaných informací EU, nahrazuje přitom dosavadní právní úpravu prezentovanou vyhláškou č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor. Ta se s účinností nové vyhlášky zrušuje, a to včetně své novely.

NÚKIB stručně shrnuje, že obsahem nové vyhlášky je vlastně soubor minimálních bezpečnostních požadavků nezbytných pro zajištění bezpečnosti utajované informace nacházející se v informačním systému, komunikačním systému nebo samostatném elektronickém zařízení, podmínky certifikace informačního systému, akreditace informačního systému cizí moci a podmínky pro ochranu utajovaných informací v komunikačních systémech a samostatných elektronických zařízeních, které jsou určeny k nakládání s utajovanými informacemi.

Důvodová zpráva pak přibližuje, že nová vyhláška je reakcí na významné změny, které v oblasti ochrany utajovaných informací nastaly od doby počátku účinnosti předchozí vyhlášky, když v tomto smyslu nejvýznamnější změnou byl vznik Národního úřadu pro kybernetickou a informační bezpečnost (tzv. NÚKIB) a jeho převzetí působnosti v oblasti bezpečnosti informačních a komunikačních systémů a kryptografické ochrany do té doby vykonávané Národním bezpečnostním úřadem. Má rovněž přinést další významné změny přímo se týkající materie oblasti bezpečnosti informačních a komunikačních systémů, kdy jejich smyslem je zohlednit poznatky a zkušenosti z praxe nabyté během účinnosti dosavadních předpisů a také přihlédnout ke značnému technologickému vývoji v oblasti informační bezpečnosti.

Jejím prostřednictvím má být přispěno k naplňování dlouhodobé strategie České republiky v oblasti ochrany utajovaných informací spočívající mimo jiné i v systematickém zavádění procesů řízení informační bezpečnosti vycházejících z mezinárodně uznávaných standardů a nejlepších praktik pro řízení bezpečnosti informací, stejně tak má být posílena ochrana utajovaných informací v informačních a komunikačních systémech a v důsledku toho bezpečnost a ochrana zájmů České republiky a jejich zahraničních partnerů.