Dzienniki Urzędowe - rok 2026 poz. 5

Na podstawie art. 19 ust. 3 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2025 r. poz. poz. 902 i 1366 oraz z 2026 r. poz. 26) zarządza się, co następuje:

1) algorytm kryptograficzny Typu A - niejawny algorytm kryptograficzny, skonstruowany pod nadzorem ABW lub Służby Kontrwywiadu Wojskowego, pozytywnie oceniony przez ABW i dopuszczony do stosowania przez ABW, znajdujący się pod ścisłym nadzorem ABW;

2) produkt - przeznaczone do ochrony informacji niejawnych urządzenie lub narzędzie kryptograficzne albo urządzenie lub narzędzie służące do realizacji zabezpieczenia teleinformatycznego;

3) system teleinformatyczny - system teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2024 r. poz. 1513);

4) środek ochrony elektromagnetycznej - rozwiązanie techniczne lub organizacyjne, wykorzystywane do zapewnienia ochrony elektromagnetycznej informacji niejawnych, przetwarzanych przez urządzenia i systemy teleinformatyczne;

5) wersja produktu - odmianę produktu posiadającą ściśle określoną funkcjonalność, zapewniającą zdolności do ochrony informacji niejawnych na określonym poziomie;

6) wnioskodawca - podmiot, który złożył wniosek, o którym mowa w art. 50 ust. 3 ustawy, ubiegający się o przeprowadzenie przez ABW certyfikacji produktu lub środka ochrony elektromagnetycznej;

7) wydanie produktu - odmianę wersji produktu, różniącą się cechami, które nie mają wpływu na podstawową funkcjonalność oraz na poziom ochrony informacji niejawnych zapewniany przez produkt;

8) zalecenia - określone przez ABW minimalne wymagania, obejmujące:

a) zalecenia ochrony elektromagnetycznej - minimalne wymagania określone przez ABW dla środków ochrony elektromagnetycznej, których spełnienie jest konieczne do uzyskania pozytywnych wyników oceny bezpieczeństwa, o których mowa w art. 50 ust. 4 ustawy,

b) zalecenia bezpieczeństwa kryptograficznego - określone przez ABW wymagania w zakresie bezpieczeństwa kryptograficznego dla produktów, których spełnienie jest konieczne do uzyskania pozytywnych wyników oceny bezpieczeństwa, o których mowa w art. 50 ust. 4 ustawy;

9) zespoły badawcze Departamentu I ABW - właściwe merytorycznie komórki organizacyjne Departamentu I ABW, przeprowadzające badania i ocenę bezpieczeństwa w ramach certyfikacji.

1) dla urządzeń lub narzędzi kryptograficznych:

a) certyfikat ochrony kryptograficznej „typu” (oznaczony literą „T”) - wydawany dla określonej wersji urządzenia lub narzędzia kryptograficznego, przeznaczonego do ochrony informacji niejawnych do klauzuli „poufne” i wyższej. Certyfikat ten umożliwia produkcję egzemplarzy produktu wyłącznie danej wersji oraz jest niezbędny do uzyskania certyfikatów zgodności,

b) certyfikat ochrony kryptograficznej „zgodności” (oznaczony literą „Z”) - wydawany dla egzemplarza urządzenia lub narzędzia kryptograficznego przeznaczonego do ochrony informacji niejawnych, posiadającego ważny certyfikat ochrony kryptograficznej „typu”,

c) certyfikat ochrony kryptograficznej - wydawany dla urządzenia lub narzędzia kryptograficznego przeznaczonego do ochrony informacji niejawnych o klauzuli „zastrzeżone”, obejmujący jego wszystkie egzemplarze;

2) dla środków ochrony elektromagnetycznej, w tym kabin ekranujących i Sprzętowych Stref Ochrony Elektromagnetycznej, zwanych dalej „SSOE” - certyfikat ochrony elektromagnetycznej, wydawany dla określonego egzemplarza środka ochrony elektromagnetycznej lub SSOE;

3) dla urządzeń lub narzędzi służących do realizacji zabezpieczenia teleinformatycznego - certyfikat bezpieczeństwa teleinformatycznego, wydawany dla urządzenia lub narzędzia służącego do realizacji zabezpieczenia teleinformatycznego, obejmujący jego wszystkie egzemplarze.

2. Wzory certyfikatów, o których mowa w ust. 1, określa dyrektor Departamentu I ABW.

2. Zalecenia lub wyciąg z zaleceń niebędące informacjami niejawnymi mogą być umieszczane w Biuletynie Informacji Publicznej na stronie podmiotowej ABW, zwanym dalej „BIP ABW”, lub udostępniane indywidualnie wnioskodawcy na jego uzasadniony wniosek.

3. Spełnianie wymagań, zawartych w zaleceniach lub wyciągu z zaleceń jest weryfikowane przez ABW na każdym etapie certyfikacji.

1) dla urządzeń lub narzędzi kryptograficznych:

a) WK-01-T - w celu uzyskania certyfikatu, o którym mowa w § 3 ust. 1 pkt 1 lit. a i c,

b) WK-01-Z - w celu uzyskania certyfikatu, o którym mowa w § 3 ust. 1 pkt 1 lit. b;

2) dla środków ochrony elektromagnetycznej:

a) WE-01 - w celu uzyskania certyfikatu, o którym mowa w § 3 ust. 1 pkt 2, z wyjątkiem badań kabin i obiektów ekranujących oraz wyznaczenia SSOE,

b) WE-01-K - w celu uzyskania certyfikatu, o którym mowa w § 3 ust. 1 pkt 2, w zakresie badań kabin ekranujących z wyjątkiem badań obiektów ekranujących,

c) WE-01-O - w celu uzyskania certyfikatu, o którym mowa w § 3 ust. 1 pkt 2, w zakresie badań obiektów ekranujących z wyjątkiem badań kabin ekranujących,

d) WS-01 - w celu uzyskania certyfikatu, o którym mowa w § 3 ust. 1 pkt 2 w zakresie wyznaczenia SSOE;

3) WUN-01 - w celu uzyskania certyfikatu, o którym mowa w § 3 ust. 1 pkt 3.

2. Wzory wniosków, o których mowa w ust. 1, są określane przez dyrektora Departamentu I ABW oraz publikowane w BIP ABW.

3. Do wniosków, o których mowa w ust. 1 pkt 1 i 3 dołącza się egzemplarze produktu, jeśli są wymagane i co do których wnioskodawca wyraża zgodę na ewentualne zniszczenie. Sposób i termin ich przekazania ustala się z zespołem badawczym Departamentu I ABW.

4. W przypadku stwierdzenia braków formalnych we wniosku lub w załącznikach, o których mowa w ust. 1, wnioskodawcę wzywa się do ich uzupełnienia w terminie jednego miesiąca od dnia doręczenia informacji o stwierdzeniu braków formalnych.

5. Nieuzupełnienie braków formalnych przez wnioskodawcę w terminie, o którym mowa w ust. 4, albo wycofanie wniosku przez wnioskodawcę powoduje zwrot wniosku, wraz z załącznikami i egzemplarzami produktu, o których mowa w ust. 1 i 3, bez rozpatrzenia.

6. Za dzień rozpoczęcia certyfikacji uznaje się dzień złożenia poprawnie wypełnionego wniosku i przekazania załączników, o których mowa w ust. 1, oraz egzemplarzy produktów, o których mowa w ust. 3, albo dzień ostatecznego uzupełnienia braków formalnych, o których mowa w ust. 4.

2. Na żądanie ABW, w czasie dokonywania przez zespół badawczy Departamentu I ABW wstępnej oceny przekazanych materiałów, o którym mowa w ust. 1, wnioskodawca ustala z ABW:

1) szczegóły spotkania, mającego na celu prezentację produktu, w szczególności przedstawienie zastosowanych w nim mechanizmów zabezpieczeń wyspecyfikowanych w dokumentacji;

2) termin dostarczenia dodatkowej dokumentacji produktu lub dedykowanej aparatury specjalistycznej, niezbędnej do przeprowadzenia badań.

3. Realizacja badań i oceny bezpieczeństwa prowadzonych w ramach certyfikacji na wniosek, o którym mowa w § 5 ust. 1 pkt 1 lit. a lub ust. 3, jest prowadzona na podstawie porozumienia zawartego pomiędzy ABW a wnioskodawcą, określającego w szczególności:

1) przedmiot badań;

2) ustalenia dotyczące harmonogramu prowadzonych czynności;

3) zasady dostarczenia produktu do badań;

4) zasady dotyczące:

a) dostarczenia i bezpłatnego użyczenia przez wnioskodawcę niezbędnych narzędzi służących do implementacji algorytmu typu A,

b) bezpłatnego przekazania przez wnioskodawcę generatorów liczb losowych,

c) zdeponowania egzemplarzy wzorcowych, o których mowa w § 13,

d) udzielenia licencji na korzystanie z algorytmu typu A,

e) składania wniosków o wydanie certyfikatu ochrony kryptograficznej „zgodności”, dla egzemplarzy badanego produktu

- w przypadku wniosku o wydanie certyfikatu ochrony kryptograficznej „typu”;

5) zasady naliczania opłat z tytułu prowadzonych czynności w ramach certyfikacji;

6) liczbę przekazanych egzemplarzy produktu do przeprowadzenia badań i oceny bezpieczeństwa;

7) liczbę przekazanych egzemplarzy wzorcowych, o których mowa w § 13, oraz ewentualnie zasady ich przechowywania w Departamencie I ABW.

4. W przypadku negatywnego wyniku wstępnej oceny materiałów albo niedotrzymania terminu, o którym mowa w ust. 1 lub 2, ABW może odmówić rozpoczęcia badań i oceny bezpieczeństwa.

5. Informację o odmowie rozpoczęcia badań, o której mowa w ust. 4, wraz z uzasadnieniem i pouczeniem o możliwości ponownego złożenia wniosku, przekazuje się niezwłocznie wnioskodawcy.

2. W czasie dokonywania przez zespół badawczy Departamentu I ABW wstępnej oceny przekazanych materiałów, o którym mowa w ust. 1, wnioskodawca ustala z ABW:

1) szczegóły realizacji wniosku, w szczególności termin realizacji badań oraz termin dostarczenia środka ochrony elektromagnetycznej;

2) termin dostarczenia dodatkowej dokumentacji środka ochrony elektromagnetycznej lub odpowiednio skonfigurowanego sprzętu lub oprogramowania, niezbędnych do przeprowadzenia badań.

3. W przypadku negatywnego wyniku wstępnej oceny materiałów albo niedotrzymania terminu, o którym mowa w ust. 1, ABW może odmówić rozpoczęcia badań i oceny bezpieczeństwa.

4. Informację o odmowie rozpoczęcia badań, o której mowa w ust. 3, wraz z uzasadnieniem i pouczeniem o możliwości ponownego złożenia wniosku, przekazuje się niezwłocznie wnioskodawcy.

2. Przebieg badań oraz oceny bezpieczeństwa podlega dokumentowaniu.

3. W przypadku wydzielonych komponentów sprzętowych bądź programowych urządzeń lub narzędzi kryptograficznych, które zostały przebadane w ramach innego procesu certyfikacji, można odstąpić od ich ponownego badania z wyłączeniem badań funkcjonalnych.

4. Dyrektor Departamentu I ABW, z uwzględnieniem przepisów ustawy, określa szczegółowe procedury postępowania zespołów badawczych Departamentu I ABW w zakresie prowadzonych badań i oceny bezpieczeństwa, w tym badań, o których mowa w § 9 ust. 1.

2. W przypadku gdy jednym z komponentów urządzenia lub narzędzia kryptograficznego podlegającego certyfikacji jest generator danych losowych to warunkiem uzyskania certyfikatu ochrony kryptograficznej „zgodności”, o którym mowa w § 3 ust. 1 pkt 1 lit. b, jest potwierdzenie przez zespół badawczy Departamentu I ABW poprawności funkcjonowania egzemplarza generatora danych losowych, zainstalowanego w tym urządzeniu lub narzędziu kryptograficznym.

3. W celu uzyskania potwierdzenia poprawności deklarowanych funkcjonalności generatora danych losowych, o którym mowa w ust. 2, wnioskodawca składa wypełniony wniosek WK-01-Z, o którym mowa w § 5 ust. 1 pkt 1 lit. b.

4. Wnioskodawca jest niezwłocznie informowany o wynikach badań, o których mowa w ust. 1.

5. W Departamencie I ABW prowadzi się, w postaci elektronicznej, ewidencję generatorów danych losowych, o których mowa w ust. 1.

2. Po przeprowadzeniu analizy, o której mowa w ust. 1, zespół badawczy Departamentu I ABW sporządza raport z certyfikacji, który stanowi podstawę do wydania lub odmowy wydania certyfikatu.

3. Wyciąg z raportu z certyfikacji, o którym mowa w ust. 2, może być udostępniony wnioskodawcy na jego pisemny wniosek skierowany do dyrektora Departamentu I ABW.

2. Sprawozdanie, o którym mowa w ust. 1, stanowi podstawę do wydania lub odmowy wydania certyfikatu.

2. Raport, o którym mowa w ust. 1, stanowi podstawę do wydania lub odmowy wydania certyfikatu.

2. Wymogu przekazywania egzemplarzy wzorcowych, o których mowa w ust. 1, nie stosuje się w przypadku certyfikacji mającej na celu ponowne wydanie certyfikatu ochrony kryptograficznej „typu” dla tej samej wersji urządzenia lub narzędzia kryptograficznego albo w przypadku wystąpienia o objęcie certyfikatem nowego wydania produktu, o którym mowa w § 16 ust. 1.

2. Certyfikat, o którym mowa w § 3 ust. 1:

1) pkt 1 lit. a i c oraz pkt 3 - wydaje lub odmawia jego wydania Szef ABW;

2) pkt 1 lit. b oraz pkt 2 - wydaje lub odmawia jego wydania dyrektor Departamentu I ABW, na podstawie upoważnienia udzielonego przez Szefa ABW.

3. O odmowie wydania certyfikatu informuje się pisemnie wnioskodawcę, podając przyczyny odmowy.

4. W Departamencie I ABW prowadzi się, w postaci elektronicznej, ewidencję certyfikatów wydanych przez ABW.

5. Wydany certyfikat przekazuje się wnioskodawcy po potwierdzeniu uiszczenia opłat, o których mowa w przepisach wykonawczych wydanych na podstawie art. 53 ust. 4 ustawy, z tytułu przeprowadzonych badań, oceny bezpieczeństwa oraz wydania certyfikatu.

6. W przypadku jednostek organizacyjnych, o których mowa w art. 53 ust. 2 ustawy, certyfikat przekazuje się bezpośrednio po jego wydaniu.

7. Informacje o wydanych certyfikatach, o których mowa w § 3 ust. 1 pkt 1 lit. a i c oraz pkt 3, są publikowane w BIP ABW.

8. W odniesieniu do certyfikatów wydanych dla produktów certyfikowanych na potrzeby ABW, ust. 7 nie stosuje się.

2. Certyfikat ochrony kryptograficznej, o którym mowa w § 3 ust. 1 pkt 1 lit. a i c zawiera w szczególności:

1) numer certyfikatu;

2) nazwę i wersję produktu;

3) informacje o producencie i wnioskodawcy;

4) poziom ochrony produktu;

5) warunki ważności certyfikatu, w tym warunki eksploatacyjne, jeśli są wymagane.

3. Certyfikat ochrony kryptograficznej „zgodności”, o którym mowa w § 3 ust. 1 pkt 1 lit. b, jest wydawany dla wersji produktu posiadającej ważny certyfikat ochrony kryptograficznej „typu”, o którym mowa w § 3 ust. 1 pkt 1 lit. a.

4. Stosowanie urządzenia lub narzędzia kryptograficznego, przeznaczonego do ochrony informacji niejawnych o klauzuli „poufne” lub wyższej, w akredytowanym systemie teleinformatycznym albo systemie teleinformatycznym podlegającym akredytacji, dopuszczalne jest wyłącznie przy jednoczesnym posiadaniu przez określony egzemplarz produktu ważnych certyfikatów ochrony kryptograficznej „typu” i „zgodności”, o których mowa w § 3 ust. 1 pkt 1 lit. a i b.

5. Certyfikaty ochrony kryptograficznej „zgodności” mogą być wydawane na okres ważności certyfikatu ochrony kryptograficznej „typu” wydanego dla danej wersji produktu.

6. W przypadku wydania kolejnego certyfikatu ochrony kryptograficznej „typu” dla wersji produktu określonej w certyfikatach ochrony kryptograficznej „zgodności”, certyfikaty ochrony kryptograficznej „zgodności” wydane dla dotychczasowej wersji produktu zachowują ważność na zasadach określonych w certyfikacie.

7. Certyfikat ochrony elektromagnetycznej, o którym mowa w § 3 ust. 1 pkt 2, zawiera w szczególności:

1) numer certyfikatu;

2) informacje o środku ochrony elektromagnetycznej i wnioskodawcy;

3) warunki ważności certyfikatu, w tym warunki eksploatacyjne, jeśli są wymagane.

2. W celu wystąpienia o objęcie certyfikatem produktu w nowym wydaniu, o którym mowa w ust. 1, wnioskodawca jest obowiązany dostarczyć do ABW:

1) wniosek WK-01-T, o którym mowa w § 5 ust. 1 pkt 1 lit. a;

2) dokumentację zmian wprowadzonych w nowym wydaniu produktu z wyjaśnieniem przyczyn ich wprowadzenia;

3) dokumentację stanowiącą załączniki, o których mowa w § 5 ust. 1, zaktualizowaną pod względem zmian wyszczególnionych w dokumentacji, o której mowa w pkt 2.

3. Produkt w nowym wydaniu oraz dokumentacja, o której mowa w ust. 2 pkt 2 i 3 podlegają badaniom w zakresie wprowadzonych zmian i ich wpływu na zmianę funkcjonalności i poziom bezpieczeństwa.

4. Badania, o których mowa w ust. 3, są prowadzone w sposób określony w § 8.

5. Zgodę na objęcie lub odmowę objęcia certyfikatem nowego wydania produktu, o którym mowa w ust. 1, wydaje Szef ABW.

1) utraty przez produkt zdolności do ochrony informacji niejawnych;

2) wprowadzenia w produkcie zmian niezgodnych z wydanym certyfikatem;

3) utraty przez producenta produktu zdolności do zapewnienia właściwego procesu produkcji certyfikowanego produktu oraz stwierdzenia naruszenia przez niego zasad wynikających z nadanych mu uprawnień i licencji;

4) stwierdzenia nieprzestrzegania warunków ważności certyfikatu.

2. Po potwierdzeniu informacji o zaistnieniu przesłanki, o której mowa w ust. 1, w Departamencie I ABW przeprowadza się analizę zagrożeń dla bezpieczeństwa informacji niejawnych przetwarzanych przez produkt objęty certyfikatem, o którym mowa w § 3 ust. 1 pkt 1 i 3.

3. W przypadku braku możliwości niezwłocznego usunięcia lub zminimalizowania skutków zidentyfikowanych zagrożeń dla bezpieczeństwa informacji niejawnych przetwarzanych przez certyfikowany produkt, Szef ABW albo dyrektor Departamentu I ABW, na podstawie upoważnienia udzielonego przez Szefa ABW, stwierdza utratę ważności certyfikatu. Do stwierdzenia utraty ważności certyfikatu stosuje się przepisy § 14 ust. 2.

4. O stwierdzeniu utraty ważności certyfikatu niezwłocznie informuje się wnioskodawcę.

5. O stwierdzeniu utraty ważności certyfikatu, o którym mowa w § 3 ust. 1 pkt 1 oraz pkt 3, wnioskodawca niezwłocznie informuje wszystkie podmioty, którym zostały przekazane urządzenia lub narzędzia objęte tym certyfikatem.

6. Certyfikat ochrony kryptograficznej, który utracił ważność, podlega zwrotowi do ABW.

1) nieprzestrzegania warunków ważności certyfikatu przez wnioskodawcę;

2) wycofania z użytkowania środka ochrony elektromagnetycznej.

2. W przypadku uzyskania informacji mających wpływ na ważność certyfikatu ochrony elektromagnetycznej, o którym mowa w ust. 1 pkt 1, w Departamencie I ABW przeprowadza się analizę zagrożeń dla bezpieczeństwa informacji niejawnych przetwarzanych przez środek ochrony elektromagnetycznej objęty certyfikatem, o którym mowa w § 3 ust. 2.

3. W przypadku braku możliwości niezwłocznego usunięcia lub zminimalizowania skutków zidentyfikowanych zagrożeń dla bezpieczeństwa informacji niejawnych przetwarzanych przez certyfikowany środek ochrony elektromagnetycznej, dyrektor Departamentu I ABW, na podstawie upoważnienia udzielonego przez Szefa ABW, może stwierdzić utratę ważności certyfikatu.

4. O utracie ważności certyfikatu niezwłocznie informuje się wnioskodawcę.

5. W przypadku wycofania z użytkowania środka ochrony elektromagnetycznej certyfikat ochrony elektromagnetycznej podlega zwrotowi do ABW.

2. Porozumienia zawarte na podstawie zarządzenia uchylanego w § 22, pozostają w mocy do czasu zakończenia certyfikacji, której dotyczą.

Szef
Agencji Bezpieczeństwa Wewnętrznego
płk Rafał Syrysko