Národní úřad pro kybernetickou a informační bezpečnost

Autorizace společnosti pro přístup k PRS informacím (tzv. PRS autorizace nebo SAB autorizace, dále pouze „autorizace“) je vyžadována zejména v tendrech vypisovaných Agenturou Evropské Unie pro Kosmický Program (EUSPA – European Union Agency for the Space Programme) nebo Evropskou komisí pro zakázky a projekty týkající se PRS technologií. Autorizace deklaruje, že společnost splňuje bezpečnostní předpoklady pro přístup k PRS informacím. Vydává ji Komise pro bezpečnostní akreditaci (SAB – Security Accreditation Board), spadající pod EUSPA. O autorizaci lze zažádat pouze prostřednictvím Příslušného orgánu PRS (CPA – Competent PRS Authority), který v České republice zastává NÚKIB.

Proces získání autorizace

Pro úspěšné zažádání o autorizaci je nutné provést následující kroky a vyplnit příslušné dokumenty:

Osvědčení fyzické nebo právnické osoby

Účast v tendrech a projektech týkajících se PRS technologií zpravidla předpokládá schopnost společnosti nakládat nebo se seznamovat s utajovanými informacemi. Proto je nejprve nutné obrátit se na Národní bezpečnostní úřad (NBÚ) a požádat o vydání osvědčení fyzické nebo právnické osoby dle podmínek stanovených v zákoně č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti (stupeň utajení Důvěrné a Tajné), případně mít Prohlášení podnikatele (stupeň utajení Vyhrazené). Až po splnění tohoto předpokladu má smysl podávat žádost o autorizaci NÚKIB.

Žádost o autorizaci

Žádost za právnickou osobu podává osoba oprávněná za společnost jednat, tj. statutární orgán. Pokud žádost podává jiný zaměstnanec společnosti, je potřeba k žádosti doložit také pověření statutárního orgánu společnosti za společnost jednat, například na základě plné moci. Žádost se podává přes podatelnu NÚKIB, nejlépe datovou schránkou.

Pro podání žádosti je možné použít vzor nebo je možné zaslat vlastní žádost, ve které jsou uvedeny:

identifikační údaje společnosti,
důvod žádosti,
požadovaná PRS kategorie,
stupeň utajení,
kontaktní osoba pro PRS,
místo, kde bude s PRS informacemi nakládáno (seznamování, vývoj, vytváření).

Pro stupeň utajení Důvěrné a Tajné:

V příloze k žádosti je potřeba doložit seznam zaměstnanců, kteří se budou na kontraktu podílet a pro něž je vyžadován přístup k PRS informacím (utajovaným i neutajovaným), včetně jejich rodného čísla a čísla osvědčení fyzické osoby (pro přístup k utajovaným informacím).

Pro stupeň utajení Vyhrazené:

V příloze k žádosti je potřeba doložit seznam zaměstnanců, kteří se budou na kontraktu podílet a pro něž je vyžadován přístup k PRS informacím (utajovaným i neutajovaným). Oprávnění jednotlivých zaměstnanců přistupovat k utajovaným informacím je potřeba doložit kopií oznámení o splnění podmínek pro přístup k utajované informaci stupně utajení Vyhrazené podle § 6 zákona 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.

Zároveň je potřeba doložit prohlášení podnikatele podle §15 zákona 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.

Prohlášení o shodě a Plán nakládání s PRS informacemi

Prohlášení o shodě (tzv. Statement of Compliance), je vyjádření společnosti, ve kterém se zavazuje k dodržování pravidel přístupu k PRS informacím. Plán nakládání s PRS informacemi (tzv. PRS Information Management Plan), je dokument stanovující pravidla, jak bude zacházeno s PRS informacemi a zejména uplatňován princip tzv. need-to-know. Při podání žádosti se předkládají dva typy PIMP (Project-PIMP a Entity-PIMP). V případě změn v průběhu autorizace se předkládá pouze Entity-PIMP.

Tyto dokumenty předkládá taktéž statutární orgán společnosti, případně osoba pověřená za společnost jednat.

Security Aspects Letter

Současně se žádostí je nutné zaslat na NÚKIB také kopii Security Aspects Letter (SAL), pokud už byl společnosti zaslán zadavatelem tendru.

Od 1. 1. 2023 jsou rozšířena hodnotící kritéria (SAB PRS criteria) na současných 22 bodů. Nová kritéria jsou zapracována do vzorového Prohlášení o shodě.

NÚKIB posoudí příchozí dokumenty, připraví žádost o autorizaci společnosti a podá jí do EUSPA na sekretariát SAB. Ten posoudí věcnou správnost a úplnost žádosti, kterou předá na posouzení k SAB. SAB finálně rozhodne o vydání autorizace. Rozhodnutí je skrze SAB sekretariát odesláno žádajícímu CPA a Evropské Komisi. NÚKIB následně zašle autorizaci dotčené společnosti k využití.

Časová náročnost procesu autorizace

Proces získání autorizace může trvat i několik měsíců. Poté, co společnost zašle žádost a všechny potřebné dokumenty, NÚKIB je ve spolupráci s NBÚ posoudí a ověří. Doporučujeme nejprve podat samotnou Žádost a posléze, až v průběhu řízení, doložit ostatní dokumenty, které vyžadují detailnější přípravu (Prohlášení o shodě a Plán nakládání s PRS informacemi) – ideálně do 14 dnů od podání žádosti.

Od 1. 1. 2023 se změnila pravidla pro vydání autorizací a dříve vydané autorizace se neprodlužují. Je potřeba si zažádat o novou autorizaci podle aktuálních pravidel.

V průběhu platnosti autorizace

Po získání autorizace je nadále nutné hlásit na NÚKIB (CZ CPA) změny a provádět aktualizace zaslaných údajů (zejména udržovat aktuální seznam zaměstnanců, kteří se podílejí na realizaci kontraktu a potřebují přístup k PRS informacím). Autorizace společnosti je platná za předpokladu stálého dodržování podmínek pro její získání. Při porušení podmínek může být SAB doporučeno odebrání autorizace.

Změny, incidenty a záměry, které je nutné v průběhu platnosti autorizace hlásit CPA:

aktualizaci seznamu zaměstnanců, kteří se podílejí na realizaci kontraktu a potřebují přístup k PRS informacím;
změny týkající se osvědčení (společnosti i zaměstnanců),
změnu kontaktní osoby pro PRS,
změny v Plánu nakládání s PRS informacemi,
při práci s utajovanými informacemi identifikovat místa, kde se budou zaměstnanci s utajovanými informacemi seznamovat a kde s nimi budou nakládat a hlásit případné změny;
hlásit incidenty ohledně nakládání s utajovanými informacemi;
informovat o záměru vyvážet nebo převážet PRS technologie;
informovat o záměru účastnit se nových PRS aktivit, pro které nebyla vydána autorizace, a předložit aktualizovaný Entity-PIMP;
informovat o projektech, kde se uplatňuje vydaná autorizace;
informovat o změně ve vlastnictví společnosti, o změně v zastoupení společnosti a o změně sídla společnosti;
informovat o záměru ukončit PRS aktivity;
a další změny vycházející z dokumentu Galileo PSI.

Ke stažení:

V případě dalších dotazů je možné se obrátit na Oddělení bezpečnosti satelitních služeb NÚKIB na e-mailové adrese cpa@nukib.cz.

Aktuality

Vydali jsme přehled kybernetických incidentů pohledem NÚKIB za březen 2024

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) evidoval v březnu totožný počet incidentů jako uplynulý měsíc. Jednalo se tak již o pátý měsíc v řadě s podprůměrnými hodnotami evidovaných incidentů. Stejně jako v únoru byl zaznamenán i jeden významný kybernetický incident. Zbylých 17 incidentů pak spadalo do kategorie méně významných. I nadále v přehledu dominují incidenty spojené s dostupností. Evidovány byly také incidenty z kategorií Průnik a Informační bezpečnost a oproti únoru i Škodlivý kód.

V kapitole Zaměřeno na hrozbu se tentokrát věnujeme odhalení kompromitace nástroje XZ, který je využíván většinou operačních systémů Unix. Dosud neznámý aktér do něj v rámci komplexní a dlouholeté operace umístil backdoor s cílem získat přístup k vysokému počtu zařízení. V reakci na incident došlo k vydání řady varování, zejména ze strany firem distribuujících různé varianty systému Linux.

Celý dokument naleznete zde: https://nukib.gov.cz/download/publikace/vyzkum/Kyberneticke-incidenty-pohledem-NUKIB-brezen-2024.pdf

12.04.2024

Proces autorizace společností

Proces získání autorizace

V průběhu platnosti autorizace