Národní plán obnovy  

Přejdi na

Národní plán obnovy  

Rychlé linky: Mapa serveru Textová verze English Rozšířené vyhledávání

 

Hlavní menu

 
 

FAQ k výzvám v oblasti zajištění kybernetické bezpečnosti

  1. Výzvy, alokace, oprávněnost žadatelů
  2. Příprava a podání žádosti a příloh
  3. Věcné zaměření a náplň projektu
  4. Realizace a dokončení projektu
  5. Stará verze FAQ

Stará verze FAQ

1. Připravili jsme projekty, k nimž byly podány žádosti o podporu v rámci 3. výzvy IROP - Kybernetická bezpečnost. K těmto projektům již Odbor hlavního architekta eGovernmentu (OHA) vydal Souhlasné stanovisko OHA souladu s ICT architekturou, příp. je tento proces před dokončením. Pokud budeme jako žadatel podávat žádosti (znovu) k projektům do výzvy NPO, a nedojde u nich ke změně ve smyslu opatření, vazby na ICT architekturu, atp., je možné využít tato již vydaná souhlasná stanoviska OHA?

V případě, kdy žadatel disponuje Souhlasným stanoviskem OHA na předkládaný projekt (například z důvodu, že podal žádost o finanční podporu z IROP), předloží toto stanovisko spolu s čestným prohlášením, že věcně a architektonicky se obsah projektu nemění. Čestné prohlášení by se mělo vyjadřovat stanovisko žadatele, že tento projekt rozšiřuje aktuálně realizovaná opatření kybernetické bezpečnosti zcela v intencích původní schválené architektury

V případě, že tento projekt zamýšlí zcela nové řešení kybernetické bezpečnosti a změnu bezpečnostní architektury, doporučujeme obrátit na OHA (oha@dia.gov.cz) a získat kladné vyjádření formou stanoviska, nebo jinou dohodnutou formou.

  

2. Kdy musíme jako žadatel do výzvy NPO předložit Souhlasné stanovisko OHA?

Souhlasným stanoviskem OHA musí žadatel disponovat před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace, tj. není potřeba jím disponovat v době podání žádosti o podporu. Zde není třeba doložit ani dokument potvrzující formální podání žádosti o stanovisko či jiný takovýto dokument.

Pokud projekt nemá povinnost disponovat Souhlasným stanoviskem OHA dle usnesení vlády č. 86 ze dne 27. ledna 2020 dle platného znění a dle zákona č. 365/2000 Sb. o informačních systémech veřejné správy, předloží prohlášení žadatele o tom, že projekt nemusí mít Souhlasné stanovisko OHA.

  

3. V rámci připravované výzvy je jednou z podporovaných aktivit "Pořízení a implementace nástroje pro správu aktiv a řízení rizik a zranitelností". Musí projekt naplňovat všechny body z takového kritéria? (Opatření by např. nemuselo zahrnovat opatření proti zranitelnosti.) Musí být tedy dané kritérium splněno vždy bezezbytku?

Projekt nemusí naplňovat všechny body, pokud to není z pohledu příjemce potřeba či plánovaný projekt řeší pouze výseč bezpečnostních opatření vzešlých z potřebných bezpečnostních analýz. Žadatel vybírá a komentuje jednotlivá zvolená opatření v produktovém rozpadu, viz otázka č. 7.

  

4. Jednou z povinností příjemce je vyhotovit bezpečnostní audit. Musí takový audit provádět pouze certifikovaná firma?

Auditor provádějící finální bezpečnostní audit musí splňovat parametry

  • vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), kde

    • v § 7 ods. 4) jsou uvedeny požadavky na roli Auditora kybernetické bezpečnosti,

    • v příloze č. 6, tab. 4 jsou uvedeny doporučení pro Auditora kybernetické bezpečnosti i s relevantní certifikací (Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified in Risk and Information Systems Control (CRISC), Lead Auditor Information Security Management Systém (Lead Auditor ISMS), Auditor BI (akreditační schéma ČIA),

  • případně certifikace může být i jiná než výše uvedená, jestliže certifikace dokládající odbornou způsobilost bezpečnostních rolí splňuje požadavky ISO 17024 - Posuzování shody.

  

5. Některé firmy okolo kybernetické bezpečnosti nám tvrdí, že podmínkou získání dotace z NPO bude i bezpečnostní audit současného stavu ICT. Budeme jako žadatel potřebovat opravdu dva audity - na začátku a na konci projektu?

Provedení nového bezpečnostního auditu organizace není podmínkou získání dotace. Je nicméně potřebné, aby prováděné technické opatření zvyšující kybernetickou bezpečnost konkrétního informačního systému vycházelo z konkrétní bezpečnostní dokumentace. V povinné příloze (viz otázka č. 7) by měl být popsán výchozí stav a důvody realizace projektu, za jeho správnost odpovídá žadatel. Součástí žádosti o financování projektu může být i aktualizace bezpečnostní dokumentace, nicméně tato aktualizace může být jen doprovodnou aktivitou vlastní realizace technických opatření ke zvýšení kybernetické bezpečnosti informačních systémů, nesmí být jediným výstupem projektu.

Je nicméně možné využít již existující dokumentaci a projekt zaměřit jen a pouze na realizaci technických opatření. Existenci dokumentace a návaznost realizovaných technických opatření na její závěry zkoumá na konci projektu nezávislý auditor. Doložení kladného výsledku auditu je jedním z povinných indikátorů projektu.

  

6. Předpokládáme, že jako podklad ke stanovení cen (hodnot do rozpočtu) využije žadatel cenový průzkum. Vzhledem k tomu, že jsme již připravili obdobný projekt v rámci 3. výzvy IROP, který však nebude v IROP realizován, můžeme využít tento již existující cenový průzkum? Nebo je platnost cenového průzkumu metodikou nějak časově omezena?

Cenový průzkum připravovaný za účelem podání žádosti o finanční podporu z IROP je pro NPO dostačující - žadatelem by měla být posouzena jeho relevantnost v postupujícím čase.

  

7. Na jaké další důležité dokumenty a přílohy máme být připraveni v případě podání žádosti do NPO v oblasti kybernetické bezpečnosti?

Částečně bude potřebná dokumentace bude vycházet z obdobné výzvy č. 9 - viz Aktuálně otevřené výzvy - Národní plán obnovy (mvcr.cz).

Nad rámec tohoto bude potřeba doložit jeden z následujících dokumentů

  • Studie proveditelnosti, nebo

  • Jiný dokument odůvodňující hodnotu projektu vůči plánovaným aktivitám (cenový průzkum, analýza na základě projektů obdobného rozsahu atd., čestné prohlášení není uznatelné) - struktura není dána.

Povinnou součástí žádosti o podporu je i předem definovaný produktový rozpad vycházejí z podoby vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti). Tento produktový rozpad zároveň stanovuje maximální okruh aktivit, které jsou způsobilé.

Není možné podat žádost o podporu na projekt, jehož obsahem jsou jen a pouze opatření dle § 3 vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti.

Další dokládané dokumenty:

  • Souhlasné stanovisko OHA dle usnesení vlády č. 86 ze dne 27. ledna 2020 dle platného znění a dle zákona č. 365/2000 Sb., o informačních systémech veřejné správy (může být doloženo později, nejpozději však před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace ) / Prohlášení žadatele o tom, že projekt nemusí mít Souhlasné stanovisko OHA - viz dotaz č. 2;

  • Čestné prohlášení žadatele k Souhlasnému stanovisku OHA (týká se projektů z výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost) - žadatel volnou formou prohlásí, že věcně a architektonicky se obsah projektu nemění (viz dotaz č. 1);

  • Plná moc od statutárního zástupce organizace pro ředitele projektu (pokud ředitelem projektu není statutární zástupce organizace);

  • Podrobný rozpočet projektu, obsahuje rozpad finančních nákladů na jednotlivé plánované komponenty a služby, přehledně uspořádaný do tabulky;

  • Studie proveditelnosti (je-li zpracována) / dokument odůvodňující hodnotu projektu vůči plánovaným aktivitám (viz výše);

  • Harmonogram projektu;

  • Čestné prohlášení;

  • Čestné prohlášení ke střetu zájmů;

  • Interní akt příjemce pro zadávání veřejných zakázek (je-li vydán);

  • Kompletní dokumentace k ukončeným VZ, příp. poskytnutí přístupových údajů do elektronického nástroje pro zadávání VZ (např. NEN), Seznam dodavatelů, poddodavatelů - skutečných majitelů, Seznam osob, které se podílely na výběru dodavatele a Čestné prohlášení ke střetu zájmů (ve vztahu v VZ) - (v případě administrace projektové žádosti v MS2014+ vložením do modulu VZ);

  • Pověřovací akt k poskytování SOHZ / Dokument, kterým žadatel prokáže předložení Pověřovacího aktu k poskytování SOHZ nejpozději k datu vydání právního aktu (je-li relevantní);

  • Popis výchozího stavu zajištění kybernetické bezpečnosti (vzor bude přílohou výzvy);

  • Souhlasné stanovisko zřizovatele s realizací projektu.

  

8. Jaký je vztah NPO a IROP? Mohu požádat o finanční podporu z NPO v případě, že

  1. mám úspěšný projekt v rámci výzvy č. 3 IROP

  2. nemám úspěšný projekt v rámci výzvy č. 3 IROP

V případě, kdy zájemce o financování z NPO má úspěšný projekt v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace), není možné podat žádost o financování z NPO na stejný projekt ani z části.

V případě, kdy zájemce o financování z NPO je neúspěšný žadatel z v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost, například v rámci převisu poptávky z výzev IROP č. 3, 4 a 5, je možné podat žádost o financování na stejný / obdobný projekt.

V tomto případě žadatel, jehož projekt bude doporučen k financování z NPO, musí před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace (žadatel bude vyrozuměn o tom, že je doporučen k financování) stáhnout žádost z IROP (dle Obecných pravidel pro žadatele a příjemce IROP, kap. 14) a v NPO předložit Čestné prohlášení o tom, že stáhl žádost o financování z IROP (vzor bude přílohou výzvy).

  

9. Jak máme chápat počet informačních systémů, u nichž došlo k posílení kybernetické bezpečnosti ve smyslu zákona 181/2014 Sb. o kybernetické bezpečnosti? Budeme chtít zabezpečit jeden klíčový systém, ale zavedení technického opatření bude mít dopad i na řadu dalších provozovaných informačních systémů.

Každý projekt musí doložit minimálně 1 informační systém posílený ve smyslu zákona o kybernetické bezpečnosti. Celkový počet zabezpečených IS by měl samozřejmě zahrnovat všechny systémy, u kterých došlo v rámci projektu a realizovaných technických opatření k posílení jejich kybernetické bezpečnosti.

  

10. Jak doložíme zvýšení kybernetické bezpečnosti u informačního systému, ke kterému nebudeme mít uváděné osvědčení o dokončení prací dodavatelem?

Součástí dokladů ke splnění indikátoru je kromě Osvědčení i Seznam IS a Popis realizace. Pokud budete mít ke konkrétnímu IS osvědčení, např. akceptační protokol od dodavatele, doložíte ho.

Pokud pořídíte bezpečnostní nástroj, který bude mít dopad na řadu dalších provozovaných informačních systémů, tyto informační systémy zahrnete do Seznamu a zároveň v Popisu uvedete způsob jejich zabezpečení (doporučujeme pro přehlednost zpracovat aplikační architekturu, která doloží propojení pořizovaných produktů na chráněné aplikace). Současně pak tyto skutečnosti ověří a potvrdí závěrečný audit, který je pro každý projekt povinný.

  

11. V podporovaných aktivitách je bod "Zabezpečení komunikační sítě v rozsahu L2 / L3 switche a nástroje pro segmentaci datové komunikační sítě, NAC, 802.1X". Lze chápat, že v rámci tohoto bodu bude uznatelný náklad pouze pořízení aktivních prvků, ale vzhledem k bodu "Nepodporované aktivity", tak pořízení nové strukturální kabeláže, již ne?

Pořízení či rekonstrukce elektrických či kabelových rozvodů a tedy i strukturované kabeláže, stejně jako zabezpečení prostor, vybavení serverovny, stavební úpravy, atd. nejsou uznatelným výdajem v rámci těchto otevřených výzev NPO.

  

12. V podporovaných aktivitách jsou body "Pořízení a implementace nástroje ... a Servery a disková úložiště, která budou přímo využita v rámci zajištění kybernetické bezpečnosti (virtualizace, ukládání logů, servery bezpečnostních systémů, aj.)". Lze chápat, že v rámci těchto nástrojů bude uznatelným výdajem také pořízení vlastního HW (tj. železa, resp. serverů, NAS, atp.), na kterých vlastní nástroje poběží, resp. v rámci virtualizovaného prostředí?

Koncová zařízení nejsou uznatelným výdajem vyjma právě nutného HW pro nově pořízený bezpečnostní nástroj. Zodpovědnost za doložení účelu pořizovaného HW / SW a jeho rozsah je plně na žadateli.

  

13. V rámci téhož bodu "Servery a disková uložiště ..." lze jako uznatelný výdaj chápat také pořízení serverové technologie, která bude sloužit pro vytvoření bezpečného prostředí na způsob Sandboxů, atp., které bude sloužit k výuce technologií vedoucí ke kybernetické bezpečnosti?

Pokud v dotazu uvádíte slovo "výuka", zde je třeba zdůraznit, že aktivity související se vzděláváním zaměstnanců či administrátorů v oblasti kybernetické bezpečnosti nejsou uznatelným výdajem. Předmětem projektu musí být primárně posílení kybernetické bezpečnosti stávajících informačních systémů, tj. zajištění zvýšeni důvěrnosti, integrity a dostupnosti informací a dat v relevantním IS. Proto pořízení izolovaného výukového prostředí do předmětu takového projektu nezapadá.

  

14. Jaká je časová způsobilost výdajů?

Časová způsobilost výdajů je uvedena v Informacích a bude vždy uvedena ve výzvě, nicméně počáteční datum uznatelnosti výdajů projektu je 1. 7. 2023, konečné datum pro splnění monitorovacích indikátorů a doložení požadovaných dokladů je konec roku 2025.

  

15. Slyšeli jsme, že je v projektech NPO nutné komunikovat v angličtině, je to pravda?

Částečně ano. V průběhu realizace projektu se předkládají monitorovací zprávy, které je z části nutné vyplňovat v angličtině. Nicméně žádost o finanční podporu se podává v češtině, stejně tak komunikace s Vlastníkem komponenty (Ministerstvem vnitra) probíhá v češtině.

  

16. Uznatelným výdajem není DPH, proč? Musíme upravovat rozpočet projektu, který jsme již dříve předložili do IROP včetně DPH, také ve studii proveditelnosti je DPH uvedena?

Dle podmínek Evropské komise (RRF) je DPH nezpůsobilým výdajem, to znamená, že ho nelze v rámci NPO financovat z rozpočtu EU a není ze strany EK refundováno. Každý žadatel si musí DPH hradit z vlastních zdrojů. Pro účely evidenční a kontrolní Ministerstvo vnitra jakožto vlastník komponent zahrnuje částky DPH vztahujících se ke způsobilým výdajům financovaných z EU (NPO) do celkových způsobilých výdajů projektu. V rámci jednotlivých žádostí o platbu (ŽoP) bude tudíž příjemce částku DPH vykazovat, bude součástí schváleného vyúčtování, ale financovaná pouze z vlastních zdrojů.

  

17. Strategie nám ukládá zejména opatření v oblasti fyzické bezpečnosti, v jakém poměru mohou být výdaje na tato opatření v rámci projektu?

Řešení pro fyzickou bezpečnost nejsou uznatelným výdajem v otevřených výzvách NPO, proto doporučujeme z vašich opatření vybrat ta, která fyzickou bezpečnost a koncová zařízení nezahrnují, případně projekt do NPO nepodávat, byl by z uvedených důvodů vyřazen.

  

18. Pokud pořídíme nový bezpečnostní software, může být uznatelným výdajem i školení zaměstnanců?

Školení zaměstnanců, nákup školícího SW atd., byť v oblasti kybernetické bezpečnosti, není uznatelným výdajem v otevřených výzvách NPO. Výjimkou je obvyklý formát školení administrátorů, které dodavatel SW z oblasti kybernetické bezpečnosti poskytne v rámci dodávky. Toto nezahrnuje obecná či certifikovaná školení, poskytovaná školícími agenturami, která lze považovat za vzdělávání.

  

19. Hodnocení přijatých žádostí bude probíhat průběžně nebo až po ukončení příjmu žádostí?

Hodnocení přijatých žádostí bude probíhat průběžně, jak budou předkládány, aby úspěšní žadatelé mohli co nejdříve zahájit realizaci projektu.

  

20. Jaké přímé (realizační) výdaje v rámci projektu je možné hradit?

Pokud je v rámci projektu pořizován dlouhodobý hmotný a nehmotný majetek (specifikovaný již v Žádosti o finanční podporu), který tvoří nedílnou a nezbytnou složku pro dosažení účelu a výstupu projektu, je způsobilá pořizovací cena daného majetku. Rovněž jsou způsobilé výdaje na jeho technické zhodnocení a servis v době realizace projektu. Za způsobilé tedy lze považovat výdaje na pořízení, servis (v době realizace projektu) a nutný provoz majetku (v době realizace projektu), který byl v rámci plnění milníku / cíle a indikátorů projektu pořízen, a to dle skutečných výdajů a při respektování principu hospodárnosti.

V rámci projektů hrazených z NPO jsou tedy způsobilé všechny relevantní výdaje přímo spojené s implementací projektu a vynaložené v souvislosti s účelem a výstupy projektu, tedy s vazbou na plnění reforem a investic a musí být nezbytné k naplnění milníku / cíle projektu (včetně nezbytného vybavení pro realizaci projektu, dodávek a služeb), tj. tzv. přímé výdaje. Tyto přímé výdaje musí být zaúčtovány a přiřazeny přímo k projektu.

  

21. Mezi oprávněnými žadateli do připravovaných výzev v oblasti zajištění kybernetické bezpečnosti NPO uvádíte i kraje / obce; organizace zřizované nebo zakládané kraji / obcemi. Je možné počítat i s podporou pro podřízené organizace organizací zřizovaných nebo zakládané obcemi / kraji?

Podřízené organizace organizací zřizovaných nebo zakládaných obcemi/kraji nemohou počítat s podporou z NPO jako žadatelé. Organizace zřizované / zakládané přímo kraji / obcemi požádat mohou. Vycházíme zde ze §23 zákona 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů. U těchto subjektů se bude ověřovat ze zakládacích / zřizovacích listin, že subjekt je skutečně založen nebo zřízen obcí / krajem.

  

22. Budou v souvislosti se zajištěním dostupnosti informací způsobilým výdajem i náklady na pořízení záložních zdrojů napájení pro servery a sdílená datová uložiště?

Koncová zařízení samotná nejsou uznatelným výdajem. Výjimkou je HW nutný pro vlastní provoz nově pořízených bezpečnostních nástrojů. Projekt, obsahující pouze řešení zálohování při výpadku napájení není uznatelným výdajem v otevřených výzvách NPO.

  

23. V projektech NPO je oproti IROP uznatelnost služeb. Můžeme v rámci projektu využít nabídku IT firem a převést služby kybernetické bezpečnosti mimo naši organizaci s tím, že platby za tyto služby budou uznatelným nákladem v projektu NPO?

Zmíněná uznatelnost služeb v projektech NPO se týká například IT spolupráce s dodavatelem či třetí stranou při nastavení bezpečnostního nástroje, případně samotném provozu bezpečnostního systému, a to do doby ukončení projektu (nejpozději do 05/26). Nepřekročitelnou podmínkou zde je, aby tento výdaj byl v souladu s pravidly NPO - viz otázka č. 20. Je třeba si ovšem uvědomit, že příjemce má za povinnost držet udržitelnost výstupů projektu po dobu minimálně pěti let od ukončení realizace projektu. Po tuto pětiletou lhůtu udržitelnosti jdou veškeré výdaje s tímto spojené na vrub příjemce finanční podpory.

Činnosti, které nejsou realizované v souladu s požadavky zákona č. 181/2014 Sb. o kybernetické bezpečnosti, nejsou uznatelným výdajem v rámci projektu kybernetické bezpečnosti v NPO.

Služby třetí strany (např. SOC, analýzy síťového provozu) tak mohou být uznatelným výdajem v otevřených výzvách NPO, pokud jejich úhrada je nezbytná pro splnění cíle projektu a monitorovacího indikátoru a dané probíhá v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (například, že služby jsou poskytovány na infrastruktuře příjemce (KII a VIS), případně i na jiných platformách (u systémů nespadající do kategorie KII a VIS).

  

24. Ve zveřejněných informacích se neuvádí limit projektů na jednoho žadatele, může žadatel podat jednu nebo i více projektových žádostí?

Počet žádostí žadatele není omezen.

  

25. Bude nějak omezena výše max. způsobilých výdajů na jeden projekt nebo jednoho žadatele?

Ve výzvě bude uvedeno rozpětí způsobilých výdajů na projekt, nikoli na žadatele. Pro kraje i obce se předpokládá limit 50 mil. na projekt.

  

26. Uvádíte mezi podporovanými aktivitami „Dodávka a implementace SIEM, služby SOC.“ Zajímalo by mě, zda služby security operations center (SOC) budou způsobilé pouze pro SIEM, nebo bez tohoto omezení. 

Dodávka a implementace SIEM není podmínkou pro využití služby SOC, který může provést služby analýzy nad daty, generovanými nejen v SIEM, ale i v jiném bezpečnostním nástroji. Záleží na žadateli, jaké IS a způsob jejich zabezpečení zvolí s ohledem na efektivitu projektu.

  

27. Budou úspěšní žadatelé z výzvy NPO č. 25 oprávněnými příjemci v připravované výzvě na kybernetickou bezpečnost? Ze zveřejněných informací vyplývá, že budou podpořeny stejné aktivity jako ve zmíněné výzvě.

Výzva NPO č. 25 je zaměřena na zvýšení kybernetické bezpečnosti pro konkrétní zdravotnická zařízení v Praze, příjemci z výzvy NPO č. 25 jsou vyloučeni z připravovaných výzev NPO na podporu kybernetické bezpečnosti.

  

28. Uvádíte, že prováděné technické opatření zvyšující kybernetickou bezpečnost musí vycházet z konkrétní bezpečnostní dokumentace. Bude dostatečný interní popis současného stavu kyberbezpečnosti v organizaci, nebo se bude muset jednat o externě zpracovaný nezávislý dokument? Je možné využít již zpracovanou a platnou dokumentaci, nebo je třeba za účelem projektu NPO zpracovávat nové materiály?
Dále se uvádí, že jednou z povinných příloh bude Popis výchozího stavu zajištění kybernetické bezpečnosti (vzor bude přílohou výzvy). Bude po vyplnění této vzorové přílohy splněna podmínka pro doložení výchozí bezpečnostní dokumentace, nebo v jaké podobě a v jakém rozsahu bude tato vstupní dokumentace požadována a v jaké podobě předkládána?

Každý žadatel musí mít/vytvořit analýzu kybernetické bezpečnosti, na základě nálezů připravuje projekt konkrétního posílení kybernetické bezpečnosti vybraného IS a v závěru bude vůči ní auditor posuzovat splnění - stav před/po. Forma dokumentace není předepsána, protože různé organizace a typy IS mají svá pravidla a pokud vedení organizace vykáže analýzu vytvořenou interně za oficiální závazný dokument, je to možné - zodpovědnost je na žadateli.

Žadatel ke své žádosti nepřikládá žádné analýzy ani bezpečnostní dokumentaci, tu vždy ponechává u sebe, dokumenty mají většinou vyšší úroveň důvěrnosti. Popis výchozího stavu ve stručné a strukturované formě slouží k definování projektu a zvolených činností ve vazbě na §VKB a bude přílohou výzvy. Žadatel vyplní pouze tento popis výchozího stavu a vybraná technická opatření k posílení kybernetické bezpečnosti, která z dokumentace vychází a jsou předmětem projektu, tato příloha nahrazuje konkrétní bezpečnostní dokumentaci, kterou žadatel s žádostí NPO nepředkládá. Zmíněná bezpečnostní dokumentace bude sloužit pro potvrzení oprávněnosti zvolených opatření a porovnání počátečního a cílového stavu auditorem, případně pro účely kontroly projektu.

  

29. V rámci odpovědi na otázku č. 8 máme upřesňující dotaz ohledně situace „kdy zájemce o financování z NPO má úspěšný projekt v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace), není možné podat žádost o financování z NPO na stejný projekt ani z části. … V tomto případě žadatel, jehož projekt bude doporučen k financování z NPO, musí před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace (žadatel bude vyrozuměn o tom, že je doporučen k financování) stáhnout žádost z IROP (dle Obecných pravidel pro žadatele a příjemce IROP, kap. 14) a v NPO předložit Čestné prohlášení o tom, že stáhl žádost o financování z IROP (vzor bude přílohou výzvy).“ Chápeme, že financovat stejný projekt duplicitně nelze, ale jak postupovat, pokud bychom chtěli v rámci projektu NPO pořídit doplňující/návazné dodávky a služby, které jsou stejně jako náš projekt v IROP zaměřeny na kybernetickou bezpečnost informačních systémů organizace, ale z projektu IROP podpořeny nejsou. 

Připravovaná NPO výzva na posílení kybernetické bezpečnosti je v první řadě zaměřena na žadatele, kteří buď připravují zcela nový projekt kybernetické bezpečnosti a tedy nepodávali žádost do výzev IROP, a dále na neúspěšné žadatele z výzev IROP č. 3 a č. 4 - Kybernetická bezpečnost, například z důvodu převisu poptávky, který byl pro EK významným důvodem právě k další podpoře oblasti kybernetické bezpečnosti.

Vámi zmíněná varianta, kdy úspěšný žadatel z IROP má zájem realizovat další obdobný projekt v NPO (realizace technických opatření, která směřují k zabezpečení stejných informačních systémů prostřednictvím jiných nástrojů), bude proto možná až v případné druhé vlně při nedočerpání alokace výzev NPO. Pokud k tomu dojde a úspěšný žadatel z výzev IROP předloží do výzvy NPO projektovou žádost, musí současně doložit, že realizované činnosti nejsou „stejné ani z části“ (viz výše), že nedochází k dvojímu financování aktivit z dotačních zdrojů a že projekty jsou a po celou dobu realizace zůstanou na sobě zcela nezávislé z pohledu plnění a vykazování procesu realizace, harmonogramu, financování, naplnění indikátorů, udržitelnosti a dokladování projektu.

Za tímto účelem žadatel předloží (nejpozději před podpisem právního aktu):

- Čestné prohlášení žadatele, obsahující identifikaci a specifikaci potvrzeného projektu/ů na posílení kybernetické bezpečnosti z výzvy IROP a identifikaci (bude doplněna před podpisem právního aktu) a specifikaci předkládaného projektu/ů na posílení kybernetické bezpečnosti do výzvy NPO a prohlášení, zda a v jaké části projekty předpokládají realizaci obdobných aktivit, které by bylo možno považovat za dvojí financování, jakým způsobem bude zajištěno oddělení činností a nezávislá realizace projektu z pohledu procesu realizace, harmonogramu, financování, naplnění indikátorů, udržitelnosti a dokladování projektu s vědomím, že dvojí financování shodných aktivit je v rámci dotačních projektů nepřípustné. Čestné prohlášení doplní dvěma povinnými přílohami:

- Přílohou č. 1 jsou souhlasná stanoviska OHA, zvlášť pro každý z projektů.

- Přílohou č. 2 je znalecký posudek nezávislého auditora, prokazující úplnost a nezávislost projektových záměrů z pohledu realizace technických opatření, která neobsahují duplicity a shodné činnosti, které by bylo možno považovat za dvojí financování aktivit, které je v rámci dotačních projektů nepřípustné.

  

30. V případě rozvoje aplikačního programového vybavení (APV) - je možné financovat z programu NPO jen tzv. krabicové řešení (komerční SW), nebo lze pořídit řešení, které je customizované dle požadavků objednatele? Lze v rámci projektu pořídit řešení, u kterého bychom nebyli vlastníky zdrojového kódu k danému řešení?

Pro předmět projektu někde vyhovuje dostatečně tzv. krabicové řešení, někdy může být součástí i customizace. Vlastnictví zdrojového kódu není podmínkou. Zvolený způsob řešení musí vždy nejlépe odpovídat naplnění účelu projektu, při zachování pravidel 3E - hospodárnost, účelnost a efektivnost. Zodpovědnost za zvolené řešení je na žadateli.

  

31. Je možné mezi oprávněné žadatele ve vyhlášených nebo připravovaných výzvách v oblasti zajištění kybernetické bezpečnosti NPO počítat i dopravní podniky?

V současné době nepatří dopravní podniky mezi oprávněné žadatele ve vyhlášených ani připravovaných výzvách v oblasti zajištění kybernetické bezpečnosti NPO.

  

vytisknout  e-mailem 

 

© 2024 Ministerstvo vnitra České republiky. Všechna práva vyhrazena.