Orgán státu, právnická osoba nebo podnikající fyzická osoba, která provozuje komunikační systém nakládající s utajovaným informacemi je povinna zpracovat projekt bezpečnosti komunikačního systému.
Komunikační systém, jehož projekt byl schválen Národním bezpečnostním úřadem před 1. 8. 2017, lze provozovat i nadále. Schvalování veškerých změn a doplňků tohoto komunikačního systému je však od 1. 8. 2017 v kompetenci Národního úřadu pro kybernetickou a informační bezpečnost.
Obsah projektu bezpečnosti komunikačního systému je stanoven zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti a náležitosti projektu bezpečnosti komunikačního systému a způsob a podmínky jeho schvalování vyhláškou č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor.