FAQ k výzvám v oblasti zajištění kybernetické bezpečnosti
- Výzvy, alokace, oprávněnost žadatelů
- Příprava a podání žádosti a příloh
- Věcné zaměření a náplň projektu
- Realizace a dokončení projektu
- Stará verze FAQ
Věcné zaměření a náplň projektu
V rámci připravované výzvy je jednou z podporovaných aktivit "Pořízení a implementace nástroje pro správu aktiv a řízení rizik a zranitelností". Musí projekt naplňovat všechny body z takového kritéria? (Opatření by např. nemuselo zahrnovat opatření proti zranitelnosti.) Musí být tedy dané kritérium splněno vždy bezezbytku?
Projekt nemusí naplňovat všechny body, pokud to není z pohledu příjemce potřeba či plánovaný projekt řeší pouze výseč bezpečnostních opatření vzešlých z potřebných bezpečnostních analýz. Žadatel vybírá a komentuje jednotlivá zvolená opatření v produktovém rozpadu, viz další odpovědi na otázky.
Jak máme chápat počet informačních systémů, u nichž došlo k posílení kybernetické bezpečnosti ve smyslu zákona 181/2014 Sb. o kybernetické bezpečnosti? Budeme chtít zabezpečit jeden klíčový systém, ale zavedení technického opatření bude mít dopad i na řadu dalších provozovaných informačních systémů.
Každý projekt musí doložit minimálně 1 informační systém posílený ve smyslu zákona o kybernetické bezpečnosti. Celkový počet zabezpečených IS by měl samozřejmě zahrnovat všechny systémy, u kterých došlo v rámci projektu a realizovaných technických opatření k posílení jejich kybernetické bezpečnosti.
V podporovaných aktivitách je bod "Zabezpečení komunikační sítě v rozsahu L2 / L3 switche a nástroje pro segmentaci datové komunikační sítě, NAC, 802.1X". Lze chápat, že v rámci tohoto bodu bude uznatelný náklad pouze pořízení aktivních prvků, ale vzhledem k bodu "Nepodporované aktivity", tak pořízení nové strukturální kabeláže, již ne?
Pořízení či rekonstrukce elektrických či kabelových rozvodů a tedy i strukturované kabeláže, stejně jako zabezpečení prostor, vybavení serverovny, stavební úpravy, atd. nejsou uznatelným výdajem v rámci těchto otevřených výzev NPO.
V podporovaných aktivitách jsou body "Pořízení a implementace nástroje... a Servery a disková úložiště, která budou přímo využita v rámci zajištění kybernetické bezpečnosti (virtualizace, ukládání logů, servery bezpečnostních systémů, aj.)". Lze chápat, že v rámci těchto nástrojů bude uznatelným výdajem také pořízení vlastního HW (tj. železa, resp. serverů, NAS, atp.), na kterých vlastní nástroje poběží, resp. v rámci virtualizovaného prostředí?
Koncová zařízení nejsou uznatelným výdajem vyjma právě nutného HW pro nově pořízený bezpečnostní nástroj. Zodpovědnost za doložení účelu pořizovaného HW / SW a jeho rozsah je plně na žadateli.
V rámci téhož bodu "Servery a disková uložiště..." lze jako uznatelný výdaj chápat také pořízení serverové technologie, která bude sloužit pro vytvoření bezpečného prostředí na způsob Sandboxů, atp., které bude sloužit k výuce technologií vedoucí ke kybernetické bezpečnosti?
Pokud v dotazu uvádíte slovo "výuka", zde je třeba zdůraznit, že aktivity související se vzděláváním zaměstnanců či administrátorů v oblasti kybernetické bezpečnosti nejsou uznatelným výdajem. Předmětem projektu musí být primárně posílení kybernetické bezpečnosti stávajících informačních systémů, tj. zajištění zvýšeni důvěrnosti, integrity a dostupnosti informací a dat v relevantním IS. Proto pořízení izolovaného výukového prostředí do předmětu takového projektu nezapadá.
Strategie nám ukládá zejména opatření v oblasti fyzické bezpečnosti, v jakém poměru mohou být výdaje na tato opatření v rámci projektu?
Řešení pro fyzickou bezpečnost nejsou uznatelným výdajem v otevřených výzvách NPO, proto doporučujeme z vašich opatření vybrat ta, která fyzickou bezpečnost a koncová zařízení nezahrnují, případně projekt do NPO nepodávat, byl by z uvedených důvodů vyřazen.
Pokud pořídíme nový bezpečnostní software, může být uznatelným výdajem i školení zaměstnanců?
Školení zaměstnanců, nákup školícího SW atd., byť v oblasti kybernetické bezpečnosti, není uznatelným výdajem v otevřených výzvách NPO. Výjimkou je obvyklý formát školení administrátorů, které dodavatel SW z oblasti kybernetické bezpečnosti poskytne v rámci dodávky. Toto nezahrnuje obecná či certifikovaná školení, poskytovaná školícími agenturami, která lze považovat za vzdělávání.
Budou v souvislosti se zajištěním dostupnosti informací způsobilým výdajem i náklady na pořízení záložních zdrojů napájení pro servery a sdílená datová uložiště?
Koncová zařízení samotná nejsou uznatelným výdajem. Výjimkou je HW nutný pro vlastní provoz nově pořízených bezpečnostních nástrojů. Projekt, obsahující pouze řešení zálohování při výpadku napájení není uznatelným výdajem v otevřených výzvách NPO.
V projektech NPO je oproti IROP uznatelnost služeb. Můžeme v rámci projektu využít nabídku IT firem a převést služby kybernetické bezpečnosti mimo naši organizaci s tím, že platby za tyto služby budou uznatelným nákladem v projektu NPO?
Zmíněná uznatelnost služeb v projektech NPO se týká například IT spolupráce s dodavatelem či třetí stranou při nastavení bezpečnostního nástroje, případně samotném provozu bezpečnostního systému, a to do doby ukončení projektu (nejpozději do 05/26). Nepřekročitelnou podmínkou zde je, aby tento výdaj byl v souladu s pravidly NPO. Je třeba si ovšem uvědomit, že příjemce má za povinnost držet udržitelnost výstupů projektu po dobu minimálně pěti let od ukončení realizace projektu. Po tuto pětiletou lhůtu udržitelnosti jdou veškeré výdaje s tímto spojené na vrub příjemce finanční podpory.
Činnosti, které nejsou realizované v souladu s požadavky zákona č. 181/2014 Sb. o kybernetické bezpečnosti, nejsou uznatelným výdajem v rámci projektu kybernetické bezpečnosti v NPO.
Služby třetí strany (např. SOC, analýzy síťového provozu) tak mohou být uznatelným výdajem v otevřených výzvách NPO, pokud jejich úhrada je nezbytná pro splnění cíle projektu a monitorovacího indikátoru a dané probíhá v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (například, že služby jsou poskytovány na infrastruktuře příjemce (KII a VIS), případně i na jiných platformách (u systémů nespadající do kategorie KII a VIS).
Uvádíte mezi podporovanými aktivitami "Dodávka a implementace SIEM, služby SOC." Zajímalo by mě, zda služby security operations center (SOC) budou způsobilé pouze pro SIEM, nebo bez tohoto omezení.
Dodávka a implementace SIEM není podmínkou pro využití služby SOC, který může provést služby analýzy nad daty, generovanými nejen v SIEM, ale i v jiném bezpečnostním nástroji. Záleží na žadateli, jaké IS a způsob jejich zabezpečení zvolí s ohledem na efektivitu projektu.
V případě rozvoje aplikačního programového vybavení (APV) - je možné financovat z programu NPO jen tzv. krabicové řešení (komerční SW), nebo lze pořídit řešení, které je customizované dle požadavků objednatele? Lze v rámci projektu pořídit řešení, u kterého bychom nebyli vlastníky zdrojového kódu k danému řešení?
Pro předmět projektu někde vyhovuje dostatečně tzv. krabicové řešení, někdy může být součástí i customizace. Vlastnictví zdrojového kódu není podmínkou. Zvolený způsob řešení musí vždy nejlépe odpovídat naplnění účelu projektu, při zachování pravidel 3E - hospodárnost, účelnost a efektivnost. Zodpovědnost za zvolené řešení je na žadateli.
Doplňující dotaz k předchozí otázce. Lze profinancovat z programu NPO řešení, které není dodáno "na míru" dle zadání objednatele? Lze to i v případě, že by dodávané krabicové řešení bylo customizováno dle požadavků objednatele?
Výsledné řešení, které je složené z krabicového řešení a jeho případných úprav je možné, nicméně musí být (s ohledem jak na ZZVZ tak pravidla eGovernmentu) splněny následující podmínky:
- Další správu a úpravu krabicového řešení dokáže realizovat více subjektů než jen a pouze výrobce krabicového řešení (tj. existuje partnerský program, který je otevřený všem případným zájemcům)
- Zdrojové kódy případných úprav takovéhoto řešení by měly být v majetku objednatele
V případě individuálních úprav aplikace je potřeba držet zdrojové kódy úprav a zároveň příslušnou dokumentaci, a to z toho důvodu, aby bylo možné tyto předat případně jinému dodavateli. Naprostá absence kódu a dokumentace ztěžuje další zadávání veřejných zakázek na úpravu daného systému a dostává objednatele pod riziko vendor-lock inu.
Jsme nějak limitováni v počtu IS, které chceme v projektu zabezpečit?
Ano, každý projekt musí vždy zabezpečit nejméně jeden informační systém. Horní hranice počtu IS není omezena, zde bych pouze doporučil ověřit si u IT, zda vůbec či jak bude možno posílení kybernetické bezpečnosti u každého konkrétního systému prokázat a doložit, protože specifikovaný produkt / podprodukt pak musí být v projektu včas realizován a funkčnost doložena akceptačním protokolem. Závěrečný audit pak potvrzuje i správnost výběru konkrétních IS - opora pro výběr v schválené bezpečnostní dokumentaci, či studii proveditelnosti).
Lze v rámci výzev NPO na podporu posílení kyberbezpečnosti obcí, krajů, zdravotnických zařízení a dalších, čerpat finanční prostředky také na podporu implementace unijní směrnice NIS2? S ohledem na skutečnost, že NIS2 je součástí chystané novely zákona o kyberbezpečnosti, by podpora pro lepší adaptaci firem, podniků i státních subjektů mohla být předmětem výzev.
Všechny výzvy jsou zaměřeny na posílení kybernetické bezpečnosti stávajících informačních systémů a tomu odpovídají i indikátory - jaké IS jste zabezpečili a jakým způsobem. Jde výhradně o realizaci technických opatření, která směřují k posílení kybernetické bezpečnosti, jedinou výjimkou jsou dvě organizační opatření - úvodní analýza stavu (která stanovuje priority pro realizaci projektu, výběr IS a způsob jeho zabezpečení) a závěrečný nezávislý audit (provedených technických opatření a posouzení, zda realizací projektu skutečně došlo k posílení kybernetické bezpečnosti).
Dotaz pravděpodobně směřuje na zajištění organizačních činností. Tyto "měkké" aktivity nejsou samy o sobě předmětem uznatelných nákladů v projektech NPO.
Jaký HW můžeme pořídit pro naplnění VKB §27 - technické opatření k "zajištění úrovně dostupnosti informací", kam padá dostupnost, zálohování i redundance (záložní infrastruktura).
Nákup HW a koncových zařízení obecně není uznatelným výdajem v rámci těchto výzev NPO, vyjma prokazatelné a přiměřené potřebnosti pro provoz nových bezpečnostních nástrojů. V rámci redundance můžete pořídit redundantní zařízení, nikoli však již další HW nástroje zabezpečení. Primárním předmětem projektu je zabezpečení IS, pokud v rámci zabezpečení IS vyberete jeho redundanci, jde o jednu a zároveň limitní úroveň zabezpečení, tedy můžete pořídit obdobný server na redundantní provoz IS, nikoli již dále zabezpečovat provoz tohoto nového serveru - jeho další záloha, UPS, atd. U zabezpečení informačního systému může jít vždy pouze o jednu úroveň zabezpečení IS a vždy jen nutného HW, bez rozvodů, stavebních úprav, atd.
Můžeme v rámci zabezpečení IS obnovit naše UPS zařízení?
Ne, jde o HW, který nemá přímý dopad na provoz IS, kdy přímý dopad má pouze server, na kterém je IS provozován. UPS jsou z tohoto pohledu již druhou úrovní zabezpečení, což nejsou uznatelné náklady.
Využíváme služby SOC a chceme rozsah v projektu rozšířit, jaké služby budou uznatelné v rámci projektu?
Budou uznatelné ty služby, které souvisí s realizací produktů, tedy posílením zabezpečení IS. Pokud služby nyní využíváte, jsou uznatelné náklady rozšíření.
Můžeme čerpat dotaci na náklady spojené se zajištěním úvodní analýzy stavu připravenosti firem na unijní směrnici o kybernetické bezpečnosti?
Ano, úvodní analýza je uznatelným nákladem ve všech našich kybernetických výzvách, ale ne samostatně, pouze v rámci realizace celého projektu, tedy pak i realizace technických opatření a naplnění indikátoru výzvy.
Náš připravovaný projekt se týká nového systému IDM (Identity Management Systém). Mohou být nákup mobilních telefonů, příp. datové služby, wifi systém či "tokeny" způsobilým výdajem projektu?
Předmětem vašeho projektu je správa a ověřování identit, což odpovídá § 19 VKB, tedy jde o uznatelné náklady projektu v rozsahu pořízení licencí nástroje, jeho implementace na HW dle doporučení výrobce, provoz tohoto SW / HW a podpora do doby dokončení realizace projektu.
K druhé části dotazu - obecně je HW nezpůsobilým výdajem právě vyjma potřeby provozu těchto nových nástrojů pro posílení kybernetické bezpečnosti. Vámi zmíněná koncová zařízení (mobil, token) nejsou tedy způsobilým výdajem.
Zmíněný HW by ale nebyl uznatelným nákladem v žádném ze záměrů, například ani v případě, kdy byste pořizovali v rámci posílení kybernetické bezpečnosti nástroj pro správu mobilních zařízení (Mobile Device Management). Ten by v rámci technických opatření byl uznatelným nákladem v projektu NPO, ale opět jen v rozsahu pořízení licence a provozu nástroje na přiměřeném HW, nikoli pořízení koncových zařízení. Totéž se týká wifi nebo datových služeb.
Je možné v rámci žádosti o dotaci zahrnout do nákladů i účetní program pro obce?
Není. Výzva je zaměřena na posílení kybernetické bezpečnosti IS, tedy primárně na stávající IS, nikoli na pořizování nových IS.
Současně musí mít žadatel analýzu organizace z pohledu kybernetické bezpečnosti, která mu stanovuje priority v realizaci tohoto zabezpečení, o ně se musí projekt opírat a nepředpokládáme, že je účetní program mezi prioritami v rámci realizace kybernetické bezpečnosti taxativně uveden.
Z těchto důvodů účetní program nelze pořídit, ale případně jen zabezpečit. Určitou možností by mohl být upgrade tohoto informačního systému (při současném doložení dodavatelem, že právě jeho upgrade obsahuje určitá vylepšení IS z pohledu bezpečnosti IS), ale k tomu by žadatel musel mít nejprve stávající verzi IS a započítat do NPO jen náklady na upgrade.
Bylo by možné pro společnost 100% vlastněnou městem podpořit poskytování privátní MPLS sítě pro zabezpečenou komunikaci technologií s kontraktem na 36 měsíců?
V rámci výzev na kybernetickou bezpečnost je jediným indikátorem počet IS u kterých došlo k navýšení kybernetické bezpečnosti, podmínkou volby řešení je jeho opora v bezpečnostní analýze či dokumentaci a vazba na § VKB, bez ohledu na typ žadatele.
Služba MPLS je pouze komunikační službou a jako taková není uznatelným nákladem, stejně jako jiné datové služby, wifi atd., protože IS, které jsou předmětem projektu, pro svůj provoz již nějakou datovou komunikaci využívají.
Žadatel by musel v rámci služby MPLS najít oporu pro výběr nadstavbového bezpečnostního řešení ve vazbě na IS a pokud by toto bylo součástí projektu, pak by tato nadstavbová část mohla být v rámci projektu uznatelnou službou po dobu realizace projektu, následně pak povinná pro žadatele po dobu udržitelnosti.