Na podlagi četrtega odstavka 17. člena, šestega in desetega odstavka 39. člena ter osmega in štirinajstega odstavka 39.a člena Zakona o tajnih podatkih (Uradni list RS, št. 50/06 – uradno prečiščeno besedilo, 9/10, 60/11, 8/20 in 18/23 – ZDU-1O) Vlada Republike Slovenije izdaja
o spremembah in dopolnitvah Uredbe o varovanju tajnih podatkov
V Uredbi o varovanju tajnih podatkov (Uradni list RS, št. 50/22) se v 3. členu 2., 10. in 14. točka spremenijo tako, da se glasijo:
»2. lastna prenosna mreža je organizirana v posameznem organu za fizični prenos tajnih podatkov;«,
»10. revizijska sled je nespremenljiva sled oziroma niz podatkov o dogodku, ki se je zgodil v sistemu, z natančnim časovnim zapisom v obliki dnevniškega zapisa, ki omogoča natančni pregled vseh zapisov, povezanih z vsemi dogodki in vsemi shranjenimi informacijami, od nastanka podatka ali informacije do trenutnega stanja;«,
»14. kriptografski algoritem je algoritem, ki uporablja izsledke kriptografije za zagotavljanje zaupnosti, celovitosti, pristnosti in nezatajljivosti podatkov, vključno z algoritmi šifriranja, kriptografskimi zgoščevalnimi funkcijami, algoritmi za avtentikacijo, algoritmi za digitalno podpisovanje in algoritmi za dogovor o ključih;«.
V 6. členu se osmi odstavek spremeni tako, da se glasi:
»(8) Vsi dokumenti, ki vsebujejo tajne podatke, morajo poleg oznak, določenih v tem členu, vsebovati sklic na dokument in datum dokumenta iz 4. člena te uredbe. Dokumenti, ki vsebujejo tajne podatke, imajo lahko poleg oznak, določenih s to uredbo, še druge dodatne oznake (na primer prepoved kopiranja, izjemno označevanje in podobno). Dodatne oznake se zapišejo desno pod oznako stopnje tajnosti v glavi dokumenta.«.
13. člen se spremeni tako, da se glasi:
(vzpostavitev začasnega upravnega območja)
(1) Predstojnik organa ali oseba, ki jo ta pooblasti, mora za vzpostavitev začasnega upravnega območja pripraviti dokument, v katerem se opredelijo:
– lokacija in obseg začasnega upravnega območja;
– način varovanja;
– režim vstopa in izstopa;
– drugi potrebni ukrepi ob izrednih dogodkih (za primer požara, vloma, potresa in podobno);
– obdobje, za katero je vzpostavljeno začasno upravno območje, ki ne sme biti daljše od trideset dni.
(2) Zagotoviti je treba 24-urno neposredno in neprekinjeno fizično ali tehnično varovanje ter kontrolo vstopa oziroma preverjanje identitete vstopajočih.
(3) Voditi je treba evidenco vstopov oseb v upravno območje v skladu s 26. členom te uredbe.
(4) Predstojnik organa s sklepom določi začasno upravno območje in o njegovi vzpostavitvi obvesti nacionalni varnostni organ.«.
14. člen se spremeni tako, da se glasi:
(vzpostavitev začasnega varnostnega območja)
(1) Predstojnik organa ali oseba, ki jo ta pooblasti, mora za vzpostavitev začasnega varnostnega območja pripraviti dokument, v katerem se opredelijo:
– lokacija in obseg začasnega varnostnega območja;
– način varovanja;
– režim vstopa in izstopa;
– ocena ogroženosti;
– drugi potrebni ukrepi ob izrednih dogodkih (za primer požara, vloma, potresa in podobno);
– obdobje, za katero je vzpostavljeno začasno varnostno območje, ki ne sme biti daljše od trideset dni.
(2) Zagotoviti je treba 24-urno neposredno in neprekinjeno fizično varovanje začasnega varnostnega območja in okolice ter kontrolo vstopa oziroma preverjanje identitete vstopajočih. Fizično varovanje se lahko dopolni s prvinami tehničnega varovanja.
(3) Pred vzpostavitvijo začasnega varnostnega območja se opravi protiprisluškovalni pregled prostorov.
(4) Tajni podatki stopnje tajnosti ZAUPNO ali višje se hranijo v skladu s to uredbo.
(5) Voditi je treba evidenco vstopov oseb v varnostno območje v skladu s 26. členom te uredbe.
(6) Predstojnik organa ali oseba, ki jo ta pooblasti, mora pred vzpostavitvijo začasnega varnostnega območja nacionalnemu varnostnemu organu poslati dokument iz prvega odstavka tega člena. Če nacionalni varnostni organ na podlagi ocene ogroženosti presodi, da je treba preveriti postopke in ukrepe varovanja tajnih podatkov v skladu s 24. členom te uredbe, v organu opravi ogled.
(7) Predstojnik organa s sklepom določi začasno varnostno območje in o njegovi vzpostavitvi obvesti nacionalni varnostni organ.«.
V 16. členu se drugi odstavek spremeni tako, da se glasi:
»(2) Organi tajne podatke, ki so del zadeve organa, hranijo v skladu z roki, določenimi s predpisi, ki urejajo poslovanje z dokumentarnim in arhivskim gradivom. Po preteku roka hrambe se tajni podatki, ki nimajo lastnosti arhivskega gradiva, izločijo in uničijo v skladu s 50. členom te uredbe. Pri izročitvi arhivskega gradiva s tajnimi podatki pristojnemu arhivu se upoštevajo predpisi, ki urejajo področje arhivske dejavnosti.«.
V tretjem odstavku se za besedilom »hranita tajne podatke« doda besedilo »EU in Nata«.
Četrti odstavek se črta.
Dodata se nova četrti in peti odstavek, ki se glasita:
»(4) Organizacije tajne podatke hranijo, dokler jih potrebujejo za izvršitev naročil organa. Ko tajnih podatkov za izvedbo naročil organa ne potrebujejo več, jih uničijo v skladu s 50. členom te uredbe ali jih vrnejo organu, ki je podatkom določil stopnjo tajnosti, ali organu, za katerega izvajajo oziroma so izvajale naročilo.
(5) Če organizacije ne izpolnjujejo več pogojev za varno obravnavanje in varovanje tajnih podatkov, morajo tajne podatke v njihovi posesti nemudoma vrniti organu, za katerega izvajajo oziroma so izvajale naročilo, ali organu, ki je podatkom določil stopnjo tajnosti.«.
17. člen se spremeni tako, da se glasi:
(varnostno območje II. stopnje)
(1) Varnostno območje II. stopnje je označeni prostor, v katerem se tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje tajnosti varujejo tako, da vstop in gibanje v tem območju ne omogočata dostopa do teh podatkov, saj so pred nepooblaščenim dostopom v območju dodatno zaščiteni. V varnostnem območju II. stopnje se izvajajo najmanj ti varnostni postopki in ukrepi:
– jasno določeni in varovani obseg območja, v katerem se zagotavlja nadzor nad vstopom in izstopom oseb in vozil ter dovoljuje vstop v to območje samo osebam, ki imajo dovoljenje za dostop do tajnih podatkov ustrezne stopnje tajnosti in imajo pooblastilo za samostojni vstop v to območje;
– organiziranost dela, ki zagotavlja, da bodo imeli zaposleni v organu ali organizaciji dostop le do tistih tajnih podatkov, ki jih potrebujejo za opravljanje delovnih nalog, in sicer do tiste stopnje tajnosti, za katero imajo dovoljenje;
– druge osebe organa ali organizacije, ki niso na seznamu iz četrtega odstavka tega člena, vstopajo v varnostno območje samo v spremstvu oseb iz četrtega odstavka tega člena ali ob izvajanju druge enakovredne oblike nadzora, ki zagotavlja, da bo oseba vstopila samo v dele območja, povezane z namenom obiska, in če je to potrebno, se bo seznanila le s tistimi tajnimi podatki, ki so povezani z namenom obiska, in sicer do tiste stopnje tajnosti, za katero ima dovoljenje;
– protivlomno varovanje varnostnega območja z elektronskim sistemom, katerega alarmni signal je vezan na enoto, odgovorno za ukrepanje ob alarmu (varnostno nadzorni center). Intervencijski čas po sproženem alarmnem signalu mora biti krajši od petnajst minut. Izjemoma, kadar to zahteva izvajanje nalog organa ali organizacije, lahko predstojnik organa ali organizacije v sklepu o določitvi varnostnega območja določi, da se intervencijski čas po sproženem alarmnem signalu podaljša, vendar ne več kot na trideset minut. Na podlagi ocene ogroženosti se lahko izvaja tudi neposredno in neprekinjeno fizično varovanje varnostnega območja ali delovnih prostorov, v katerih je varnostno območje;
– prepoved vnosa mehanskih, elektronskih in magnetnih optičnih sestavnih delov, s katerimi je mogoče tajne podatke nepooblaščeno posneti, odnesti ali prenesti, oziroma kakršnih koli naprav, s katerimi je mogoča zloraba tajnih podatkov. Izjemoma vnos in uporabo takih naprav odobri oseba, odgovorna za varnost varnostnega območja;
– po končanem delovnem času se varnostno območje varuje s sistemom fizičnega ali protivlomnega varovanja oziroma z občasnimi fizičnimi pregledi prostorov, določenimi v načrtu varovanja.
(2) Okoli varnostnega območja II. stopnje ali na poti, ki vodi v takšno varnostno območje, se vzpostavi upravno območje.
(3) Vstop oseb v varnostno območje in njihov izstop ter dostop vozil morajo biti pod nadzorom. Vsi vstopi in izstopi morajo biti evidentirani.
(4) Predstojnik organa ali organizacije ali oseba, ki jo za to pooblasti predstojnik organa, določi osebe, ki lahko samostojno vstopajo v varnostno območje II. stopnje.
(5) Vstop oseb brez ustreznega dovoljenja za dostop do tajnih podatkov v varnostno območje se lahko omogoči drugim osebam, ki se zaradi opravljanja svoje delovne naloge ne bodo seznanile s tajnimi podatki in imajo ves čas zadrževanja v varnostnem območju zagotovljeno spremstvo oseb iz prejšnjega odstavka. Oseba iz prejšnjega odstavka mora pred vstopom osebe brez ustreznega dovoljenja zagotoviti, da so tajni podatki umaknjeni oziroma da je onemogočeno, da bi se oseba brez ustreznega dovoljenja seznanila s tajnim podatkom.«.
18. člen se spremeni tako, da se glasi:
(varnostno območje I. stopnje)
(1) Varnostno območje I. stopnje je označeni prostor, v katerem se varujejo tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje tajnosti tako, da lahko že vstop v varnostno območje omogoča dostop do teh podatkov. V varnostnem območju I. stopnje se poleg ukrepov, določenih v prejšnjem členu, izvajajo še najmanj ti varnostni postopki in ukrepi:
– vodenje razvida vrst tajnih podatkov ter njihova stopnja tajnosti (na primer: TP EU –TAJNO, TP NATO – TAJNO, TP NACIONALNI – STROGO TAJNO), ki se v varnostnem območju hranijo tako, da se lahko oseba z njimi seznani že ob vstopu v to območje;
– neposredno in neprekinjeno fizično varovanje varnostnega območja ali delovnih prostorov, v katerih je varnostno območje z elektronskim sistemom za protivlomno varovanje varnostnega območja. Po končanem delovnem času se prostori pregledajo. Intervencijski čas po sproženem alarmnem signalu mora biti krajši od sedem minut.
(2) Okoli varnostnega območja I. stopnje ali na poti, ki vodi v tako varnostno območje, se vzpostavi upravno območje.
(3) Vstop oseb v varnostno območje in njihov izstop ter dostop vozil morajo biti pod nadzorom. Vsi vstopi in izstopi morajo biti evidentirani.
(4) Predstojnik organa ali organizacije ali oseba, ki jo za to pooblasti predstojnik organa, določi osebe, ki lahko samostojno vstopajo v varnostno območje I. stopnje.
(5) Vstop oseb brez ustreznega dovoljenja za dostop do tajnih podatkov v varnostno območje se lahko omogoči drugim osebam, ki se zaradi opravljanja svoje delovne naloge ne bodo seznanile s tajnimi podatki in imajo ves čas zadrževanja v varnostnem območju zagotovljeno spremstvo oseb iz prejšnjega odstavka. Oseba iz prejšnjega odstavka mora pred vstopom osebe brez ustreznega dovoljenja zagotoviti, da so tajni podatki umaknjeni oziroma da je preprečeno, da bi se oseba brez ustreznega dovoljenja seznanila s tajnim podatkom.«.
19. člen se spremeni tako, da se glasi:
Upravno območje je vidno določeni obseg prostora, v katerem organ ali organizacija nadzira vstopanje in izstopanje oseb in vozil ter njihovo gibanje. V upravnih območjih se lahko varujejo tajni podatki stopnje tajnosti INTERNO. Z varnostnimi postopki in ukrepi se zagotavlja, da imajo dostop do teh podatkov samo osebe, ki izpolnjujejo pogoje, določene z zakonom in drugimi predpisi, izdanimi na njegovi podlagi.«.
V 24. členu se prvi in tretji odstavek spremenita tako, da se glasita:
»(1) Predstojnik organa ali organizacije določi varnostna in upravna območja s sklepom in o tem obvesti nacionalni varnostni organ.«.
»(3) Organ ali organizacija mora pred določitvijo varnostnega območja pridobiti mnenje nacionalnega varnostnega organa o ustreznosti varnostne tehnične opreme, vgrajene v varnostno območje, ter postopkov in ukrepov varovanja varnostnega območja. Nacionalni varnostni organ izda mnenje na podlagi predhodnega ogleda, ki ga opravi v ta namen.«.
V 25. členu se na koncu tretjega odstavka črtata vejica in besedilo »če se ta izvaja«.
V 26. členu se dodata nova peti in šesti odstavek, ki se glasita:
»(5) Za osebe, ki nimajo pooblastila za samostojni vstop v varnostno območje oziroma niso zaposlene v upravnem območju, se vodi evidenca vstopov in izstopov v varnostna in upravna območja v skladu z določili o evidentiranju vstopov in izstopov iz službenih prostorov, opredeljenimi v zakonu, ki ureja varstvo osebnih podatkov.
(6) V evidenci vstopov in izstopov v varnostna območja se obdelujejo najmanj ti osebni podatki: osebno ime, številka in vrsta uradnega identifikacijskega dokumenta, zaposlitev ter datum, ura in razlog vstopa ter izstopa.«.
V 28. členu se v prvem odstavku beseda »obravnavajo« nadomesti z besedo »varujejo«.
V naslovu V. poglavja se beseda »KOPIRANJE« nadomesti z besedo »RAZMNOŽEVANJE«.
V 33. členu se naslov spremeni tako, da se glasi:
»(razmnoževanje)«.
Prvi odstavek se spremeni tako, da se glasi:
»(1) Tajni podatek stopnje tajnosti INTERNO se lahko nadalje razmnožuje tako, da se kopira, natisne, prepisuje ali skenira (v nadaljnjem besedilu: kopiranje) v upravnem območju. Tajni podatek stopnje tajnosti ZAUPNO ali TAJNO se lahko kopira le v varnostnem območju.«.
V osmem odstavku se besedilo »odobri pooblaščena« nadomesti z besedilom »v izjemnih primerih odobri pooblaščena nadzorna«.
V 38. členu se v tretjem odstavku beseda »Vzorec« nadomesti z besedo »Vsebina«.
V četrtem odstavku se besedilo »v obliki računalniškega zapisa dnevniških datotek« nadomesti z besedilom »kot revizijska sled«.
Peti odstavek se črta.
V 41. členu se prvi in peti odstavek spremenita tako, da se glasita:
»(1) Tajni podatki se prenašajo v dveh ovojnicah. Zunanja ovojnica je iz neprosojnega materiala in iz oznak na zunanji ovojnici ne sme biti razvidno, da vsebuje tajni podatek. Notranja ovojnica mora imeti oznako stopnje tajnosti, številko dokumenta, podatke o naslovniku in pošiljatelju ter druge podatke, pomembne za varnost.«.
»(5) Naslovnik ali oseba, pooblaščena za prejem tajnih podatkov, potrdi njihov prejem z vpisom v dostavno ali kurirsko knjigo ali na drug način.«.
Šesti odstavek se črta.
V 42. členu se prvi odstavek spremeni tako, da se glasi:
»(1) Tajne podatke lahko prenašajo kurirska služba organa in osebe, ki v organu opravljajo naloge lastne prenosne mreže (v nadaljnjem besedilu: kurirji), in sicer do vključno stopnje tajnosti STROGO TAJNO, ter nacionalni izvajalec poštnih storitev s priporočeno pošto s povratnico, in sicer do stopnje tajnosti INTERNO. Izjemoma se lahko opravi osebni prenos tajnega podatka do vključno stopnje tajnosti TAJNO, če ima oseba dovoljenje za dostop do tajnih podatkov ustrezne stopnje tajnosti ter je seznanjena s postopki in ukrepi za varovanje tajnih podatkov. Tak osebni prenos se opravi ob izpolnjevanju pogojev iz 46. člena te uredbe in ga odobri predstojnik organa, če kurirji niso na voljo ali bi uporaba teh povzročila zamudo, ki bi imela škodljive posledice za delovanje organa oziroma države. Predstojnik organa mora osebi, ki izvaja osebni prenos, izdati pooblastilo za osebni prenos tajnih podatkov.«.
V drugem in tretjem odstavku se za besedilom »vključno stopnje tajnosti« beseda »ZAUPNO« nadomesti z besedo »TAJNO«, besedilo »s kurirsko službo« pa se nadomesti z besedilom »s kurirji«.
V 43. členu se v drugem odstavku za besedo »tajnosti« doda besedilo »ZAUPNO,«.
Tretji odstavek se spremeni tako, da se glasi:
»(3) Pri mednarodnem prenosu tajnih podatkov stopnje tajnosti ZAUPNO in višje morajo kurirji imeti tako imenovani kurirski certifikat, s katerim dokazujejo pooblastilo za prenos ter verodostojnost pošiljke. Kurirski certifikat kurirjem posameznih organov izdajo predstojniki teh organov. Obrazec kurirskega certifikata za mednarodni prenos pripravi nacionalni varnostni organ in ga na zaprosilo pošlje organom.«.
44. člen se spremeni tako, da se glasi:
Kurirji, ki prenašajo tajne podatke, morajo biti seznanjeni s postopki in ukrepi varovanja prenosa tajnih podatkov ter morajo glede na stopnjo tajnosti tajnih podatkov, ki jih prenašajo, imeti dovoljenje za dostop do tajnih podatkov ustrezne stopnje tajnosti oziroma izpolnjevati pogoje, določene z zakonom in drugimi predpisi, izdanimi na njegovi podlagi, za dostop do tajnih podatkov.«.
45. člen se spremeni tako, da se glasi:
(1) Organi morajo za prenos tajnih podatkov stopnje tajnosti TAJNO ali višje stopnje tajnosti zunaj varnostnih območij izdelati načrt poti in varovanja prenosa tajnih podatkov.
(2) Načrt poti in varovanja prenosov tajnih podatkov stopnje tajnosti TAJNO ali višje stopnje tajnosti mora vsebovati tudi postopke in ukrepe ob morebitnem poskusu zlorabe, prometnih in drugih nesrečah, zastojih, postankih, prenočevanju in drugih podobnih dogodkih. V načrtu morajo biti opredeljene glavne in pomožne poti.«.
V 47. členu se prvi odstavek spremeni tako, da se glasi:
»(1) Osebe iz 42. člena te uredbe, ki prenašajo tajne podatke stopnje tajnosti ZAUPNO ali višje izven upravnega območja organa ali organizacije, morajo poleg izpolnjevanja zahtevanih pogojev za prenos tajnih podatkov, določenih v tej uredbi, imeti tudi pooblastilo za prenos tajnih podatkov, ki ga izda predstojnik organa.«.
V drugem odstavku se besedilo »za kurirski prenos« nadomesti z besedilom »za kurirje za prenos tajnih podatkov«.
V tretjem odstavku se za besedo »prenos« doda besedilo »tajnih podatkov«.
Doda se nov četrti odstavek, ki se glasi:
»(4) Osebe iz prvega odstavka tega člena morajo pri prenosu tajnih podatkov imeti pooblastilo za prenos tajnih podatkov ves čas pri sebi. Izjemoma, kadar to zahteva izvajanje nalog organa, lahko predstojnik organa določi, da oseba, ki prenaša tajne podatke stopnje tajnosti ZAUPNO ali višje, pooblastila za prenos tajnih podatkov pri izvedbi prenosa tajnih podatkov nima pri sebi, vendar mora biti v takšnih primerih pooblastilo za prenos tajnih podatkov kljub temu izdano.«.
V 50. členu se črta osmi odstavek.
Dosedanji deveti, deseti, enajsti, dvanajsti, trinajsti in štirinajsti odstavek postanejo osmi, deveti, deseti, enajsti, dvanajsti in trinajsti odstavek.
V 60. členu se prvi in peti odstavek spremenita tako, da se glasita:
»(1) Vsak sistem mora imeti omogočeno spremljanje in nadzor nad vstopom tako, da je mogoče ukrepati ob sumu nepooblaščenega vstopa v sistem, nepooblaščenega dostopa do tajnih podatkov ali zlorabe tajnih podatkov.«.
»(5) V sistemu, v katerem se obravnavajo tajni podatki stopnje tajnosti ZAUPNO ali višje, morajo biti kot revizijska sled v obliki dnevniškega zapisa zabeležene dejavnosti sistema po sistemskih in aplikacijskih procesih, uporabniški rabi sistema ter aplikacij in posameznih dostopov do tajnih podatkov ter s tem omogočeno odkrivanje varnostnih kršitev, težav z zmogljivostjo, rekonstrukcijo dogodkov in analizo.«.
Doda se novi šesti odstavek, ki se glasi:
»(6) Čas hrambe revizijske sledi se določi na podlagi predpisov, ki urejajo področje ravnanja z dokumentarnim gradivom. Če ni drugače določeno, se revizijske sledi hranijo dve leti.«.
V 64. členu se v četrtem odstavku besedilo »vsaj s stopnjo tajnosti INTERNO« nadomesti z besedilom »z ustrezno stopnjo tajnosti«.
Na koncu četrtega odstavka se doda nova poved, ki se glasi:
»Oceno možnih škodljivih posledic za organizacije pripravi in stopnjo tajnosti določi pooblaščena oseba organa, določena v 10. členu zakona, za katerega organizacija izvaja naročilo, v drugih primerih pa nacionalni varnostni organ.«.
V 68. členu se tretji odstavek spremeni tako, da se glasi:
»(3) Varnostno vrednotenje sistema v organu ali organizaciji se opravi ob navzočnosti skrbnika sistema in na podlagi odločitve nacionalnega varnostnega organa ob navzočnosti drugih odgovornih oseb sistema.«.
V 71. členu se v tretjem odstavku črta beseda »lahko«.
Peti odstavek se spremeni tako, da se glasi:
»(5) Varnostna ustreznost kriptografskih rešitev se lahko v primeru suma morebitne ranljivosti preveri tudi pred iztekom obdobij iz prejšnjega odstavka.«.
V 74. členu se naslov spremeni tako, da se glasi:
»(začetek postopka ugotavljanja varnostne ustreznosti kriptografske rešitve)«.
Prvi odstavek se spremeni tako, da se glasi:
»(1) Pristojni organ iz osmega odstavka 39.a člena zakona (v nadaljnjem besedilu: predlagatelj) poda vlogo za začetek postopka ugotavljanja varnostne ustreznosti kriptografske rešitve za varovanje tajnih podatkov v skladu z 39.a členom zakona (v nadaljnjem besedilu: ugotavljanje varnostne ustreznosti kriptografskih rešitev) na predpisanem obrazcu v Prilogi 16, ki je sestavni del te uredbe. Vlogo predlagatelj na podlagi ocene možnih škodljivih posledic označi z ustrezno stopnjo tajnosti.«.
V četrtem odstavku se za besedo »sistemih« črta vejica, besedilo »ki obravnavajo tajne podatke« pa nadomesti z besedilom »za varovanje tajnih podatkov«.
V 75. členu se v prvem odstavku za besedo »lahko« doda besedilo »na predlog predlagatelja«.
Drugi odstavek se spremeni tako, da se glasi:
»(2) Kriptografske rešitve iz prejšnjega odstavka, ki se bodo uporabljale za varovanje tajnih podatkov stopnje tajnosti INTERNO, pridobijo potrdilo o varnostni ustreznosti brez izvedbe postopka ugotavljanja ustreznosti kriptografskih rešitev, če nacionalni varnostni organ oceni, da izvedba postopka ni potrebna. V tem primeru predlagatelj pripravi minimalne varnostne zahteve za označevanje, razdeljevanje in uporabo, ki jih potrdi nacionalni varnostni organ.«.
76. člen se spremeni tako, da se glasi:
(postopek ugotavljanja varnostne ustreznosti kriptografskih rešitev)
(1) Nacionalni varnostni organ v sodelovanju s predlagateljem in proizvajalcem kriptografske rešitve pripravi načrt izvedbe postopka ugotavljanja varnostne ustreznosti predlagane kriptografske rešitve za varovanje tajnih podatkov.
(2) V postopku ugotavljanja varnostne ustreznosti kriptografskih rešitev nacionalni varnostni organ preveri stopnjo varnosti arhitekture in posameznih kriptografskih prvin ter njihovo izvedbo v kriptografskih rešitvah.
(3) Pri ugotavljanju varnostne ustreznosti kriptografskih rešitev v sistemih za varovanje tajnih podatkov stopnje tajnosti INTERNO nacionalni varnostni organ pregleda zahtevano dokumentacijo in opravi funkcionalni preizkus delovanja kriptografske rešitve.
(4) Pri ugotavljanju varnostne ustreznosti kriptografskih rešitev v sistemih za varovanje tajnih podatkov stopnje tajnosti ZAUPNO nacionalni varnostni organ poleg postopkov iz prejšnjega odstavka izvede še funkcionalni preizkus pravilnosti izvedbe in uporabe posameznih kriptografskih prvin v tej kriptografski rešitvi.
(5) Pri ugotavljanju varnostne ustreznosti kriptografskih rešitev v sistemih za varovanje tajnih podatkov stopnje tajnosti TAJNO ali STROGO TAJNO nacionalni varnostni organ poleg postopkov iz prejšnjega odstavka izvede še analizo možnosti zmanjševanja pomena ali veljave varnostno pomembnih gradnikov, ki vključuje preizkuse vdorov.
(6) Postopek ugotavljanja varnostne ustreznosti kriptografskih rešitev se uporablja tudi za druge sestavine sistema, ki so ključne za varovanje tajnih podatkov, če nacionalni varnostni organ oceni, da je določena sestavina sistema ključna za varovanje tajnih podatkov.
(7) V primeru nadgradnje kriptografske rešitve z veljavnim potrdilom o varnostni ustreznosti se uporablja postopek ugotavljanja varnostne ustreznosti kriptografskih rešitev.«.
77. člen se spremeni tako, da se glasi:
(odločba v postopku ugotavljanja varnostne ustreznosti kriptografskih rešitev)
(1) Če v postopku ugotavljanja varnostne ustreznosti kriptografskih rešitev nacionalni varnostni organ ugotovi, da je kriptografska rešitev ustrezna in varna za uporabo, izda odločbo, s katero dovoli uporabo kriptografske rešitve. Poleg odločbe nacionalni varnostni organ izda tudi potrdilo o varnostni ustreznosti kriptografske rešitve.
(2) Če nacionalni varnostni organ ugotovi, da kriptografska rešitev ni ustrezna in varna, izda odločbo, s katero prepove njeno uporabo.
(3) Pred izdajo odločbe iz prvega odstavka tega člena morajo biti za kriptografsko rešitev v skladu z 81. členom te uredbe izdelane minimalne varnostne zahteve za označevanje, razdeljevanje in uporabo.«.
81. člen se spremeni tako, da se glasi:
(minimalne varnostne zahteve za označevanje, razdeljevanje in uporabo)
(1) V okviru postopka ugotavljanja varnostne ustreznosti kriptografskih rešitev nacionalni varnostni organ pri pripravi minimalnih varnostnih zahtev za označevanje, razdeljevanje in uporabo sodeluje s predlagateljem.
(2) Pri določanju minimalnih varnostnih zahtev za označevanje, razdeljevanje in uporabo za posamezno kriptografsko rešitev se upoštevajo tudi varnostne zahteve, ki izhajajo iz članstva Republike Slovenije v mednarodnih organizacijah ali jih je Republika Slovenija sprejela s sklenitvijo drugih mednarodnih pogodb in sporazumov.
(3) Postopek priprave minimalnih varnostnih zahtev za označevanje, razdeljevanje in uporabo se smiselno uporablja tudi v primeru priznavanja potrdil o varnostni ustreznosti kriptografskih rešitev tujih držav in mednarodnih organizacij iz 75. člena te uredbe.«.
V 82. členu se prvi odstavek spremeni tako, da se glasi:
»(1) Drugo vrednotenje ugotavljanja ustreznosti kriptografske rešitve je postopek, v katerem se ugotovi ustreznost kriptografske rešitve za varovanje tajnih podatkov EU ali Nata. Podlaga za izvedbo drugega vrednotenja sta potrdilo o varnostni ustreznosti kriptografske rešitve in pisni predlog enega od predlagateljev. Nacionalni varnostni organ začne postopek po uradni dolžnosti, če ugotovi ali izve, da je treba glede na obstoječe dejansko stanje zaradi javne koristi začeti postopek ugotavljanja ustreznosti kriptografske rešitve za varovanje tajnih podatkov EU ali Nata.«.
V drugem odstavku se za besedo »organi« doda besedilo »in organizacije«.
Priloga 1 se nadomesti z novo Prilogo 1, ki je kot Priloga 1 sestavni del te uredbe.
Priloga 4 se nadomesti z novo Prilogo 4, ki je kot Priloga 2 sestavni del te uredbe.
Priloga 5 se črta.
Priloga 6 se nadomesti z novo Prilogo 6, ki je kot Priloga 3 sestavni del te uredbe.
Priloga 7 se nadomesti z novo Prilogo 7, ki je kot Priloga 4 sestavni del te uredbe.
Ta uredba začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 00704-216/2024
Ljubljana, dne 5. decembra 2024
EVA 2024-1535-0001
Vlada Republike Slovenije
