Tajni podatki v elektronski obliki se smejo obravnavati in hraniti le v komunikacijsko-informacijskih sistemih (v nadaljnjem besedilu: sistemi), ki imajo veljavno varnostno dovoljenje za delovanje sistema najmanj enake stopnje tajnosti, kot je najvišja stopnja tajnosti v njih obravnavanih in hranjenih podatkov.
Nacionalni varnostni organ opravi varnostno vrednotenje sistema, s katerim preveri, ali sistem izpolnjuje fizične, organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov do določene stopnje tajnosti. Če sistem izpolnjuje fizične, organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov, nacionalni varnostni organ izda varnostno dovoljenje za delovanje sistema.
Z varnostnimi ukrepi v sistemih se zagotovi, da so tajni podatki v sistemih zaščiteni pred razkritjem, zlorabo ali izgubo, da so zagotovljene njihova celovitost, razpoložljivost in verodostojnost ter da ni možna zatajitev dostopanja do podatkov.
Varovanje tajnih podatkov v sistemih temelji na postopku obvladovanja tveganj, ki zajema identifikacijo in oceno tveganj, posledice tveganj, ukrepe za zmanjšanje tveganj na sprejemljivo raven ter odgovornost za preostala tveganja.
Vse sestavine sistemov, v katerih se obravnavajo in hranijo tajni podatki stopnje tajnosti ZAUPNO ali višje, morajo biti zaščitene proti neželenemu elektromagnetnemu sevanju.
Elektronski prenos tajnih podatkov izven upravnega ali varnostnega območja je dovoljen le z uporabo kriptografskih rešitev, ki jih je na podlagi postopka ugotavljanja ustreznosti kriptografskih rešitev odobril nacionalni varnostni organ.
Ne glede na prejšnji odstavek se lahko v primeru razglasitve izrednega ali vojnega stanja tajni podatki v elektronski obliki stopnje tajnosti INTERNO, ZAUPNO in TAJNO prenašajo v sistemih, odobrenih za nižjo stopnjo tajnosti, ali v nekriptirani obliki.
Postopek ugotavljanja ustreznosti kriptografskih rešitev za varovanje tajnih podatkov je postopek, v katerem se ugotovi varnostna ustreznost kriptografske rešitve, in se izvaja na podlagi pisnih predlogov, ki jih podajo ministrstvo, pristojno za javno upravo, ministrstvo, pristojno za notranje zadeve, ministrstvo, pristojno za obrambo, ministrstvo, pristojno za zunanje zadeve, Slovenska obveščevalno-varnostna agencija. Nacionalni varnostni organ začne postopek po uradni dolžnosti, če ugotovi ali izve, da je treba glede na obstoječe ali dejansko stanje začeti postopek ugotavljanja ustreznosti kriptografske rešitve za varovanje tajnih podatkov. Postopek in vsebino dokumentacije, ki jo mora vsebovati predlog, določi vlada.
Kriptografsko rešitev lahko za organe iz prejšnjega odstavka razvije ali izdela organizacija, ki ima veljavno varnostno dovoljenje ustrezne stopnje tajnosti za varovanje tajnih podatkov na sedežu organizacije, veljavno še najmanj eno leto od vložitve predloga.
Postopek iz osmega odstavka tega člena lahko traja največ eno leto od prejema popolnega predloga in se konča z varnostnim ovrednotenjem. Izjemoma, zaradi zahtevnosti kriptografske rešitve, se lahko postopek podaljša še za eno leto.
Če nacionalni varnostni organ ugotovi, da so predlagane kriptografske rešitve ustrezne, izda potrdilo o varnostni ustreznosti.
Obravnavanje tajnih podatkov izven varnostnega ali upravnega območja je dovoljeno z uporabo kriptografskih rešitev, za katere je izdano potrdilo o varnostni ustreznosti. Dostop do kriptografskih rešitev in podatkov mora biti ustrezno zaščiten, da ni možen nepooblaščen dostop.
Nacionalni varnostni organ izvaja tudi naslednje naloge za zagotavljanje varovanja tajnih podatkov v sistemih:
Vlada podrobneje predpiše fizične, organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov v sistemih.«.