Výzvy, alokace, oprávněnost žadatelů

Můžete shrnout základní rozdíly obou dotačních titulů IROP a NPO?

Záleží předně na vašem záměru a jeho realizovatelnosti v čase, to je první rozdíl mezi NPO a IROP, kdy projekty v NPO musí být dokončeny do konce roku 2025 (splnění indikátorů projektu) a kompletně finalizovány do 31.5.2026.

Dále záleží na výši spolufinancování projektu z vaší strany, v rámci NPO není DPH uznatelným nákladem, to představuje 21%. Pak záleží na dohodě se zřizovatelem či příslušným ministerstvem, jak bude řešena související částka DPH.

Součástí uznatelných nákladů IROP nejsou výdaje za služby, v NPO mohou být služby související s pořizovanými nástroji v období realizace projektu uznatelným nákladem v projektu NPO. Zpětná uznatelnost nákladů projektu je od 1. 7. 2023. Právě u kybernetické bezpečnosti může být toto významným rozdílem, protože pořízení technologie u kybernetických nástrojů je pouze prvním a jednodušším krokem, související služby dávají řešení teprve smysluplnost a představují významný náklad v rámci celého projektu.
 

Proč je jiný pohled na řešení stejné kybernetické bezpečnosti mezi IROP a NPO? Měli jsme připravený kompletní projekt do IROP a nyní je v NPO všechno jinak.

Nastavení programu NPO a jeho indikátorů je výsledkem jednání s EK a výstupů, které je nutné EK ke konci 2025 doložit. V rámci žádosti IROP šlo o sledování aktivit podle § VKB, v žádosti do NPO je produktový rozpad vyplňován primárně podle informačních systémů, protože tomu odpovídá také indikátor výzvy. Jak je správně uvedeno, jedná se o jiný pohled na stejnou kybernetickou bezpečnost. Obsahově tedy není třeba na projektu nic měnit.
 

Jaký je vztah NPO a IROP? Mohu požádat o finanční podporu z NPO v případě, že

• máme úspěšný projekt v rámci výzvy č. 3 IROP
• nemáme úspěšný projekt v rámci výzvy č. 3 IROP

V případě, kdy je zájemce o financování z NPO zároveň úspěšným příjemcem dotace IROP (má úspěšný projekt v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost, tj. tento projekt získal rozhodnutí o poskytnutí dotace), nemůže podat žádost o financování z NPO výzev na kybernetickou bezpečnost.

V případě, kdy zájemce o financování z NPO je neúspěšný žadatel z v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost, například v rámci převisu poptávky z výzev IROP č. 3, 4 a 5, je možné podat žádost o financování na stejný / obdobný projekt.

V tomto případě žadatel, jehož projekt bude doporučen k financování z NPO, musí před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace (žadatel bude vyrozuměn o tom, že je doporučen k financování) stáhnout žádost z IROP (dle Obecných pravidel pro žadatele a příjemce IROP, kap. 14) a v NPO předložit Čestné prohlášení o tom, že stáhl žádost o financování z IROP (vzor bude přílohou výzvy).

V rámci odpovědi na předchozí otázku máme upřesňující dotaz ohledně situace "kdy zájemce o financování z NPO má úspěšný projekt v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace), není možné podat žádost o financování z NPO na stejný projekt ani z části. … V tomto případě žadatel, jehož projekt bude doporučen k financování z NPO, musí před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace (žadatel bude vyrozuměn o tom, že je doporučen k financování) stáhnout žádost z IROP (dle Obecných pravidel pro žadatele a příjemce IROP, kap. 14) a v NPO předložit Čestné prohlášení o tom, že stáhl žádost o financování z IROP (vzor bude přílohou výzvy)." Chápeme, že financovat stejný projekt duplicitně nelze, ale jak postupovat, pokud bychom chtěli v rámci projektu NPO pořídit doplňující/návazné dodávky a služby, které jsou stejně jako náš projekt v IROP zaměřeny na kybernetickou bezpečnost informačních systémů organizace, ale z projektu IROP podpořeny nejsou. 

NPO výzva na posílení kybernetické bezpečnosti je v první řadě zaměřena na žadatele, kteří buď připravují zcela nový projekt kybernetické bezpečnosti a tedy nepodávali žádost do výzev IROP, a dále na neúspěšné žadatele z výzev IROP č. 3 a č. 4 - Kybernetická bezpečnost, například z důvodu převisu poptávky, který byl pro EK významným důvodem právě k další podpoře oblasti kybernetické bezpečnosti.

Vámi zmíněná varianta, kdy úspěšný žadatel z IROP má zájem realizovat další obdobný projekt v NPO (realizace technických opatření, která směřují k zabezpečení stejných informačních systémů prostřednictvím jiných nástrojů), bude proto možná až v případné druhé vlně při nedočerpání alokace výzev NPO. Pokud k tomu dojde, mohl by úspěšný žadatel z výzev IROP předložit do výzvy NPO projektovou žádost. Takový žadatel musí současně doložit, že realizované činnosti nejsou "stejné ani z části" (viz výše), že nedochází k dvojímu financování aktivit z dotačních zdrojů a že projekty jsou a po celou dobu realizace zůstanou na sobě zcela nezávislé z pohledu plnění a vykazování procesu realizace, harmonogramu, financování, naplnění indikátorů, udržitelnosti a dokladování projektu.

Za tímto účelem žadatel předloží (nejpozději před podpisem právního aktu):

- Čestné prohlášení žadatele, obsahující identifikaci a specifikaci potvrzeného projektu/ů na posílení kybernetické bezpečnosti z výzvy IROP a identifikaci (bude doplněna před podpisem právního aktu) a specifikaci předkládaného projektu/ů na posílení kybernetické bezpečnosti do výzvy NPO a prohlášení, zda a v jaké části projekty předpokládají realizaci obdobných aktivit, které by bylo možno považovat za dvojí financování, jakým způsobem bude zajištěno oddělení činností a nezávislá realizace projektu z pohledu procesu realizace, harmonogramu, financování, naplnění indikátorů, udržitelnosti a dokladování projektu s vědomím, že dvojí financování shodných aktivit je v rámci dotačních projektů nepřípustné. Čestné prohlášení doplní dvěma povinnými přílohami:

- Přílohou č. 1 jsou souhlasná stanoviska OHA, zvlášť pro každý z projektů.

- Přílohou č. 2 je znalecký posudek nezávislého auditora, prokazující úplnost a nezávislost projektových záměrů z pohledu realizace technických opatření, která neobsahují duplicity a shodné činnosti, které by bylo možno považovat za dvojí financování aktivit, které je v rámci dotačních projektů nepřípustné.
 

Realizujeme projekt v rámci kybernetické výzvy IROP č.5 a rádi bychom předložili žádost i do výzvy NPO, což aktuálně podle podmínek nejde, uvádíte možnost druhé vlny. Máte k tomu bližší informace?

V současné chvíli platí podmínka uvedená ve výzvě, že pokud příjemce realizuje projekt v rámci kybernetických výzev IROP, tak v našich výzvách není oprávněným žadatelem.

Nicméně průběžně dochází k vyhodnocení čerpání v jednotlivých výzvách pro podávání projektů na zajištění kybernetické bezpečnosti a je možné, že za určitých podmínek bude umožněno čerpat i příjemcům, kteří realizují projekty ve výzvách IROP (tzv. druhá vlna).
 

Co se myslí tzv. druhou vlnou (pro úspěšné žadatele IROP)? Je třeba počkat na její případné vyhlášení nebo může žadatel podat již teď žádost a bude podpořen případně až budou vyhodnoceny projekty žadatelů, kteří zatím žádný projekt nepodali nebo byli v IROP neúspěšní?

Druhá vlna bude případně následovat poté, co budou vyhodnoceny aktuálně podané žádosti a bude zřejmé, že zbývá volná alokace, která by mohla být využita pro tento typ žadatelů. O všech krocích bude vždy zveřejněna informace na stránkách NPO. Nedává smysl žádost nyní podávat, protože podmínky 2. vlny nejsou zatím nastaveny.
 

Jsme úspěšným žadatelem v rámci IROP výzva č. 3, ale v projektu NPO bychom rádi realizovali zcela odlišná řešení kybernetické bezpečnosti. Byl by takto pojatý projekt považován za obdobný projekt v NPO (realizace technických opatření, která směřují k zabezpečení stejných informačních systémů prostřednictvím jiných nástrojů), a tím pádem ho nebude možné podpořit?

Ve Vámi popisovaném případě není rozhodující, zda jsou projekty obdobné, nebo zda každý bude zajišťovat jiné IS nebo budou pořizována jiná technická opatření. Ve výzvě je uvedeno, že oprávněným žadatelem nemůže být žadatel, který realizuje projekt schválený v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace), to znamená, že v momentě, kdy realizujete projekt z výzvy IROP, nejste už oprávněným žadatelem ve výzvě NPO.
 

Slyšeli jsme, že by mohlo dojít k navýšení alokace u výzev, což by se týkalo jak úspěšných žadatelů z IROP (2. vlna), tak navýšení alokace zejména pro obce. Evidujete v nějakém seznamu další takové zájemce?

Pro obě skupiny platí to stejné - připravujte projekt a podklady do žádosti a pokud vám to aktuální podmínky výzvy dovolují, žádosti podávejte.

Na přelomu roku či v lednu 2024 dojde k vyhodnocení aktuálního čerpání v jednotlivých výzvách a NPO předloží návrh na změnu alokace u jednotlivých výzev. To by následně mělo efekt jak na zmíněnou 2. vlnu příjmu žádostí (úspěšní žadatelé z výzev IROP na kybernetickou bezpečnost), tak na převis žádostí u výzvy na obce, či na další skutečnosti, které by se do té doby projevily.

Nevedeme žádné seznamy, proto nezasílejte informace typu "připravujeme žádost, počítejte s námi", pracujeme pouze s podanými žádostmi prostřednictvím MS, proto je třeba podávat žádosti i do výzev, kde je případně již alokace naplněna.

Všechna rozhodnutí s dopadem na případné žadatele v našich výzvách budou vždy s dostatečným předstihem zveřejněny na stránkách NPO.
 

Mezi oprávněnými žadateli do připravovaných výzev v oblasti zajištění kybernetické bezpečnosti NPO uvádíte i kraje / obce; organizace zřizované nebo zakládané kraji / obcemi. Je možné počítat i s podporou pro podřízené organizace organizací zřizovaných nebo zakládané obcemi / kraji?

Podřízené organizace organizací zřizovaných nebo zakládaných obcemi/kraji nemohou počítat s podporou z NPO jako žadatelé. Organizace zřizované / zakládané přímo kraji / obcemi požádat mohou. Vycházíme zde ze §23 zákona 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů. U těchto subjektů se bude ověřovat ze zakládacích / zřizovacích listin, že subjekt je skutečně založen nebo zřízen obcí / krajem.
 

Je nějak omezen počet žádostí na jednoho žadatele? Může jeden žadatel podat více ucelených žádostí ve finančním rozsahu 5-50 mil. Kč bez DPH?

Počet žádostí na jednoho žadatele není omezen.
 

Jsou úspěšní žadatelé z výzvy NPO č. 25 oprávněnými příjemci v připravované výzvě na kybernetickou bezpečnost? Ze zveřejněných informací vyplývá, že budou podpořeny stejné aktivity jako ve zmíněné výzvě.

Výzva NPO č. 25 je zaměřena na zvýšení kybernetické bezpečnosti pro konkrétní zdravotnická zařízení v Praze, příjemci z výzvy NPO č. 25 jsou vyloučeni z připravovaných výzev NPO na podporu kybernetické bezpečnosti.
 

Může být oprávněným žadatelem ve výzvě 43 NPO Kyberbezpečnost pro zdravotnická zařízení i soukromé zdravotnické zařízení - nemocnice, poskytující zdravotní péči podle zákona č. 372/2011 Sb., o zdravotních službách za předpokladu, že bude mít před vydáním rozhodnutí o poskytnutí dotace vydán pověřovací akt SOHZ? Ve výzvě je podmínka Poskytovatel SOHZ musí být pověřen k výkonu SOHZ v souladu s rozhodnutím 2012/21/EU po celou dobu životnosti investice. Co by se stalo, pokud by pověření v průběhu realizace projektu již neměl?

Ano, pokud splňuje subjekt tyto podmínky výzvy, může být žadatelem ve výzvě č. 43. Pokud by pověření neměl po celou dobu realizace a udržitelnosti projektu, jednalo by se o porušení podmínky výzvy a dotace by nebyla EK uznána a žadatel by ji musel vrátit.
 

Mohou do Výzvy č 43 (subjekty zdravotní péče) předkládat žádosti i zdravotnická zařízení ze skupiny AGEL nebo je zde nějaké kritérium, které by je jako způsobilého žadatele vylučovalo?

Doporučujeme pročíst přílohu č. 10 týkající se veřejné podpory - pokud mají zdravotnická zařízení pověření SOHZ, jsou zřízena dle zákona č. 372/2011 Sb., o zdravotních službách a případně splňují další podmínky, tak jsou oprávněným žadatelem.
 

Jak je to s oprávněností žadatelů, podle zveřejněných výzev by některý subjekt splňoval podmínku oprávněnosti i pro dvě výzvy. Může si tedy vybrat?

Ne, ve výzvách jsou vždy doplněny výhrady v oprávněnosti žadatelů, např. pro subjekty zdravotní péče máme oborovou výzvu a i když by žadatelé splňovali podmínku oprávněných žadatelů v jiné z výzev, podávají pouze do té oborové.
 

V případě, že jsou žadatelem lázně, jež jsou státním podnikem, spadají do výzvy č. 42 (OSS + SPO) nebo mají podávat žádosti do výzvy č. 43 (subjekty zdravotní péče)?

Státní podniky nejsou ve výzvě č. 42 oprávněným žadatelem, pouze organizační složky státu a jejich příspěvkové organizace (to státní podniky nejsou), takže pokud jsou lázně zřízeny dle zákona č. 372/2011 Sb., o zdravotních službách, tak jsou oprávněným žadatelem ve výzvě 43 (pokud splňují podmínky dle přílohy č. 10 o veřejné podpoře).
 

Jsme příspěvková organizace Min. zdravotnictví, ale jsme zároveň částečně v režimu, kdy poskytuje některé služby zařazené v oblasti zdravotní péče podle zákona č. 372/2011 Sb., o zdravotních službách. Do které z výzev máme žádost předložit?

Do oborové výzvy 43 pro zdravotnictví platí striktně přiřazení souvisejícího subjektu, i když by splňoval případně podmínku oprávněného žadatele v jiné výzvě, nebo pro něj žádal zřizovatel.
 

Jsme SPO, ale zároveň jsme subjektem zdravotní péče. Do jaké výzvy můžeme žádat?

Oborová výzva na zdravotnictví je právě určena pro zdravotnické subjekty a zdravotnické projekty bez ohledu na to, zda splňují ještě podmínku oprávněného žadatele jinde, nebo zda by pro ně někdo žádost podával, např. obec/kraj jako zřizovatel.
 

Okruh žadatelů je omezen na tyto dvě právní formy: OSS a SPO. Jsme v.v.i. (veřejná výzkumná insituce).

Bohužel ve výzvách NPO na kybernetickou bezpečnost nejsou v.v.i. oprávněným žadatelem a nemohou být příjemcem podpory.
 

Jaký typ zdravotnického zařízení nebo organizace z oboru poskytovatelů zdravotní péče je ve výzvě oprávněným žadatelem?

Jak je uvedeno ve výzvě, tak oprávněnými žadateli jsou

• subjekty poskytující veřejnou službu v oblasti zdravotní péče podle zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách), ve znění pozdějších předpisů,

Další podmínkou uvedenou v příloze Veřejná podpora je, že

• Poskytovatel SOHZ musí být pověřen k výkonu SOHZ v souladu s rozhodnutím 2012/21/EU po celou dobu životnosti investice.

Pokud tedy splňuje žadatel podmínky, pak je oprávněným žadatelem.
 

Váháme, zda počkat na postup IROP u projektů "pod čarou" nebo podat žádost do NPO. Můžete nám poradit?

Alokace v IROP jsou v současné době vyčerpány, tj. čeká se na úspory z již realizovaných projektů. Uvolnění většího objemu finančních prostředků není v nejbližší době (řád měsíců) příliš pravděpodobné. Současně se zaplňuje alokace ve výzvách NPO.Pokud je záměr realizovatelný v čase dle výzvy, podáním žádosti do NPO nic neriskujete, teprve před podpisem právního aktu je nutné stáhnout žádost z IROP a tento krok doložit. 
 

Je někde na webových stránkách přehled průběžného čerpání alokace výzev a bude nějakpravidelně aktualizován?

Ano, aktualizovali jsme stránky NPO, kde je nyní přehled vyhlášených výzev a pravidelně aktualizovaný stav čerpání alokace. Aktuální informace k výzvám na zajištění kybernetické bezpečnosti - Národní plán obnovy (mvcr.cz) 
 

Sledujeme rychlé naplňování alokace výzev, zejména té pro obce. Má vůbec smysl připravovat a podávat žádost?

Rozhodně! Smysl to má nejen proto, že v tuto chvíli není alokace ještě vyčerpána, ale zejména proto, že plánujeme cca v lednu úpravy v rámci alokací těchto výzev, tedy další prostředky do výzev, kde alokace nestačí - a pokud o zájmu žadatelů o dotaci nevíme, chybí nám pro takový krok argument a odhad objemu případného navýšení. Proto je pro všechny potenciální žadatele podávání žádostí bez ohledu na stav čerpání alokace výzev velmi podstatný.
 

Je oprávněným žadatelem sdružení obcí? S ohledem na limit min 5 mil Kč způsobilých výdajů, bylo by možné sdružení žadatelů vytvořit?

Ano, sdružení obcí může být žadatelem.
 

Minimální výše na projekt je pro nás vysoká, existuje možnost sloučení více žádostí pro naplnění limitu?

Minimální výše způsobilých nákladů na projekt je 5 mil. Kč bez DPH a pokud tato částka přesahuje váš projektový rozpočet, zmíněné sloučení organizací je možné, ale je plně věcí žadatele, resp. jeho zřizovatele.
 

Je oprávněným žadatelem úspěšný žadatel z IROP výzvy č. 29 eGovernemnt a Kybernetická bezpečnost - ITI?

V rámci aktuálně otevřených výzev NPO jsou aktuálně pouze tato omezení:

• oprávněný žadatel či náplň projektu, spadající do oboru zdravotnictví a doprava podává žádost vždy do příslušné oborové výzvy, i když by naplnil podmínku oprávněného žadatele v jiné výzvě.
• oprávněným žadatelem nemůže být žadatel, který realizuje projekt schválený v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace)

Výzva č.44 pro oblast dopravy je aktuálně v přípravě, podmínky pro tyto žadatele budou zveřejněny ve výzvě.
 

Rozumíme správně, že výše dotace je 100% způsobilých výdajů a není přitom důležité, v jakém regionu žadatel působí?

Ano, jde ale o částku bez DPH, která není v NPO uznatelným nákladem. V NPO neuplatňujeme členění regionů podle IROP.
 

Rádi bychom podali žádost o finanční podporu do výzvy č. 43. Naše zdravotnické zařízení je dle pravidel výzvy oprávněným žadatelem, jen nemáme pověření k poskytování SOHZ. To nám kraj nechce vydat. Můžeme i tak žádat o finanční podporu?

Ne. Pokud žadatel/konečný příjemce nedisponuje pověřením k poskytování SOHZ, není v rámci výzvy č. 43 oprávněným žadatelem. Pověřovací akt k poskytování SOHZ je zásadním dokumentem, který nelze ničím jiným nahradit a bez něhož nejsou zdravotnická zařízení oprávněna podat žádost o finanční podporu v rámci výzvy č. 43.
 

Jsme státní podnik (s.p.) zřízený ministerstvem a chceme požádat o podporu v rámci výzvy č. 42 - Kybernetická bezpečnost - OSS + SPO. Jsme oprávněným žadatelem a můžeme podat žádost o finanční podporu?

Ne. Ve výzvě č. 42 jsou oprávněnými žadateli organizační složky státu a příspěvkové organizace organizačních složek státu (viz kap. 3.2. Vymezení oprávněných žadatelů výzvy). Státní podniky tedy nejsou v této výzvě oprávněným žadatelem.

  

Příprava a podání žádosti a příloh

Připravili jsme projekty, k nimž byly podány žádosti o podporu v rámci 3. výzvy IROP - Kybernetická bezpečnost. K těmto projektům již Odbor hlavního architekta eGovernmentu (OHA) vydal Souhlasné stanovisko OHA souladu s ICT architekturou, příp. je tento proces před dokončením. Pokud budeme jako žadatel podávat žádosti (znovu) k projektům do výzvy NPO, a nedojde u nich ke změně ve smyslu opatření, vazby na ICT architekturu, atp., je možné využít tato již vydaná souhlasná stanoviska OHA?

V případě, kdy žadatel disponuje Souhlasným stanoviskem OHA na předkládaný projekt (například z důvodu, že podal žádost o finanční podporu z IROP), předloží toto stanovisko spolu s čestným prohlášením, že věcně a architektonicky se obsah projektu nemění. Čestné prohlášení by se mělo vyjadřovat stanovisko žadatele, že tento projekt rozšiřuje aktuálně realizovaná opatření kybernetické bezpečnosti zcela v intencích původní schválené architektury

V případě, že tento projekt zamýšlí zcela nové řešení kybernetické bezpečnosti a změnu bezpečnostní architektury, doporučujeme obrátit na OHA (oha@dia.gov.cz) a získat kladné vyjádření formou stanoviska, nebo jinou dohodnutou formou.
 

Kdy musíme jako žadatel do výzvy NPO předložit Souhlasné stanovisko OHA?

Souhlasným stanoviskem OHA musí žadatel disponovat před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace, tj. není potřeba jím disponovat v době podání žádosti o podporu. Zde není třeba doložit ani dokument potvrzující formální podání žádosti o stanovisko či jiný takovýto dokument.

Pokud projekt nemá povinnost disponovat Souhlasným stanoviskem OHA dle usnesení vlády č. 86 ze dne 27. ledna 2020 dle platného znění a dle zákona č. 365/2000 Sb. o informačních systémech veřejné správy, předloží prohlášení žadatele o tom, že projekt nemusí mít Souhlasné stanovisko OHA.
 

Předpokládáme, že jako podklad ke stanovení cen (hodnot do rozpočtu) využije žadatel cenový průzkum. Vzhledem k tomu, že jsme již připravili obdobný projekt v rámci 3. výzvy IROP, který však nebude v IROP realizován, můžeme využít tento již existující cenový průzkum? Nebo je platnost cenového průzkumu metodikou nějak časově omezena?

Cenový průzkum připravovaný za účelem podání žádosti o finanční podporu z IROP je pro NPO dostačující - žadatelem by měla být posouzena jeho relevantnost v postupujícím čase.
 

Na jaké další důležité dokumenty a přílohy máme být připraveni v případě podání žádosti do NPO v oblasti kybernetické bezpečnosti?

Částečně bude potřebná dokumentace bude vycházet z obdobné výzvy č. 9 - viz Aktuálně otevřené výzvy - Národní plán obnovy (mvcr.cz).

Nad rámec tohoto bude potřeba doložit jeden z následujících dokumentů

• Studie proveditelnosti, nebo
• Jiný dokument odůvodňující hodnotu projektu vůči plánovaným aktivitám (cenový průzkum, analýza na základě projektů obdobného rozsahu atd., čestné prohlášení není uznatelné) - struktura není dána.

Povinnou součástí žádosti o podporu je i předem definovaný produktový rozpad vycházejí z podoby vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti). Tento produktový rozpad zároveň stanovuje maximální okruh aktivit, které jsou způsobilé.

Není možné podat žádost o podporu na projekt, jehož obsahem jsou jen a pouze opatření dle § 3 vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti.

Další dokládané dokumenty:

• Souhlasné stanovisko OHA dle usnesení vlády č. 86 ze dne 27. ledna 2020 dle platného znění a dle zákona č. 365/2000 Sb., o informačních systémech veřejné správy (může být doloženo později, nejpozději však před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace ) / Prohlášení žadatele o tom, že projekt nemusí mít Souhlasné stanovisko OHA - viz dotaz č. 2;
• Čestné prohlášení žadatele k Souhlasnému stanovisku OHA (týká se projektů z výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost) - žadatel volnou formou prohlásí, že věcně a architektonicky se obsah projektu nemění (viz dotaz č. 1);
• Plná moc od statutárního zástupce organizace pro ředitele projektu (pokud ředitelem projektu není statutární zástupce organizace);
• Podrobný rozpočet projektu, obsahuje rozpad finančních nákladů na jednotlivé plánované komponenty a služby, přehledně uspořádaný do tabulky;
• Studie proveditelnosti (je-li zpracována) / dokument odůvodňující hodnotu projektu vůči plánovaným aktivitám (viz výše);
• Harmonogram projektu;
• Čestné prohlášení;
• Čestné prohlášení ke střetu zájmů;
• Interní akt příjemce pro zadávání veřejných zakázek (je-li vydán);
• Kompletní dokumentace k ukončeným VZ, příp. poskytnutí přístupových údajů do elektronického nástroje pro zadávání VZ (např. NEN), Seznam dodavatelů, poddodavatelů - skutečných majitelů, Seznam osob, které se podílely na výběru dodavatele a Čestné prohlášení ke střetu zájmů (ve vztahu v VZ) - (v případě administrace projektové žádosti v MS2014+ vložením do modulu VZ);
• Pověřovací akt k poskytování SOHZ / Dokument, kterým žadatel prokáže předložení Pověřovacího aktu k poskytování SOHZ nejpozději k datu vydání právního aktu (je-li relevantní);
• Popis výchozího stavu zajištění kybernetické bezpečnosti (vzor bude přílohou výzvy);
• Souhlasné stanovisko zřizovatele s realizací projektu.
   

Uznatelným výdajem není DPH, proč? Musíme upravovat rozpočet projektu, který jsme již dříve předložili do IROP včetně DPH, také ve studii proveditelnosti je DPH uvedena?

Dle podmínek Evropské komise (RRF) je DPH nezpůsobilým výdajem, to znamená, že ho nelze v rámci NPO financovat z rozpočtu EU a není ze strany EK refundováno. Každý žadatel / příjemce si zajišťuje její financování z vlastních zdrojů (vlastní podíl spolufinancování). Součástí financování projektu mohou být i další tzv. komplementární výdaje (výdaje nutné k dofinancování realizace projektu), které jsou rovněž financovány z vlastních zdrojů příjemce a v projektu jsou vedeny jako nezpůsobilé výdaje.
 

Dle metodiky nelze z dotace financovat DPH a tuto položku nefinancuje ani MZČR, tedy jde z prostředků žadatele. Jak s tím pracovat? Poslat by na MZČR fakturu vč. vyčísleného DPH a MZČR by poskytlo prostředky pouze do výše fakturace bez DPH nebo by žadateli byly poskytnuty prostředky vč. DPH a následně (kdy?) by pak nějakým způsobem žadatel toto DPH vracel (jakým způsobem a komu?) zpět?

Financování DPH je v kompetenci příjemce, případně jeho zřizovatele. Zajištění prostředků na DPH je nutné řešit v rámci své kapitoly, v tomto případě MZČR v rámci procesu rozpočtování.
 

Náklady na odborné zajištění procesu veřejných zakázek projektu - lze tento typ nákladu přiřadit k tzv. přímým nákladům? Je možné z osobních nákladů (stanovených ve výši 7% z celkových způsobilých nákladů) hradit také služby zajišťující monitoring projektu?

Ano, zajištění procesu VZ může být nákladem v rámci projektu.

V objemu 7% jsou osobní náklady, které využijete na všechny související organizační a provozní činnosti s administrací projektu, tedy třeba i zajištění monitoringu projektu.
 

Hodnocení přijatých žádostí bude probíhat průběžně nebo až po ukončení příjmu žádostí?

Hodnocení přijatých žádostí bude probíhat průběžně, jak budou předkládány, aby úspěšní žadatelé mohli co nejdříve zahájit realizaci projektu.
 

Uvádíte, že prováděné technické opatření zvyšující kybernetickou bezpečnost musí vycházet z konkrétní bezpečnostní dokumentace. Bude dostatečný interní popis současného stavu kyberbezpečnosti v organizaci, nebo se bude muset jednat o externě zpracovaný nezávislý dokument? Je možné využít již zpracovanou a platnou dokumentaci, nebo je třeba za účelem projektu NPO zpracovávat nové materiály?
Dále se uvádí, že jednou z povinných příloh bude Popis výchozího stavu zajištění kybernetické bezpečnosti (vzor bude přílohou výzvy). Bude po vyplnění této vzorové přílohy splněna podmínka pro doložení výchozí bezpečnostní dokumentace, nebo v jaké podobě a v jakém rozsahu bude tato vstupní dokumentace požadována a v jaké podobě předkládána?

Každý žadatel musí mít / vytvořit analýzu kybernetické bezpečnosti, na základě nálezů připravuje projekt konkrétního posílení kybernetické bezpečnosti vybraného IS a v závěru bude vůči ní auditor posuzovat splnění - stav před / po. Forma dokumentace není předepsána, protože různé organizace a typy IS mají svá pravidla a pokud vedení organizace vykáže analýzu vytvořenou interně za oficiální závazný dokument, je to možné - zodpovědnost je na žadateli.

Žadatel ke své žádosti nepřikládá žádné analýzy ani bezpečnostní dokumentaci, tu vždy ponechává u sebe, dokumenty mají většinou vyšší úroveň důvěrnosti. Popis výchozího stavu ve stručné a strukturované formě slouží k definování projektu a zvolených činností ve vazbě na §VKB a bude přílohou výzvy. Žadatel vyplní pouze tento popis výchozího stavu a vybraná technická opatření k posílení kybernetické bezpečnosti, která z dokumentace vychází a jsou předmětem projektu, tato příloha nahrazuje konkrétní bezpečnostní dokumentaci, kterou žadatel s žádostí NPO nepředkládá. Zmíněná bezpečnostní dokumentace bude sloužit pro potvrzení oprávněnosti zvolených opatření a porovnání počátečního a cílového stavu auditorem, případně pro účely kontroly projektu.
 

Specifikace pozice Ředitel projektu, upřesnění funkce této osoby

Ředitel projektu je osoba odpovědná za průběh projektu na straně příjemce.
 

V podmínkách se uvádí, že osobní výdaje jsou způsobilým výdajem, mohou však činit maximálně 7 % způsobilých výdajů projektu, které jsou financovány v rámci NPO (bez DPH) a musí být vynaloženy v souvislosti s účelem a výstupy projektu, tedy s vazbou na plnění reforem a investic, a musí být nezbytné k naplnění milníku / cíle projektu. Kdo by mohl být zahrnut mezi tyto osobní výdaje? Může to být i pracovník IT jako zaměstnanec žadatele na pracovní smlouvu? Musí pak být při realizaci doloženo výkazy práce?

Ano, může to být i zaměstnanec na pracovní smlouvu, činnost na projektu musí mít uvedenu v náplni práce. Výkazy práce se dokládají pro DPP a DPČ. Při plánování osobních výdajů na projektu doporučuji řídit se informacemi, které jsou uvedeny v pokynu pro příjemce, který je zveřejněn na našich webových stránkách zde https://www.mvcr.cz/npo/clanek/dokumenty-programove-dokumenty-programove-dokumenty.aspx Pravidla vykazování osobních výdajů jsou uvedena na str. 56-57.
 

V jakém režimu veřejné podpory, prosím, mají žádat obce, jejichž projekty jsou zaměřené na zvyšování kybernetické bezpečnosti IS MěÚ?

Pokud žádá obec sama za sebe, na svojí činnost, řídí se přílohou č. 10 "Veřejná podpora", kapitolou 4. "Žádosti o finanční podporu nezakládající veřejnou podporu ve smyslu čl. 107 odst. 1 Smlouvy o fungování Evropské unie." Zároveň by měla vyplnit přílohu č. 11 "Tabulku vymezení činností/služeb, které budou podpořeny v rámci finanční podpory", pokud vytvořená infrastruktura pokrývá i hospodářskou činnost obce (nesmí překročit 20 % celkových činností). Vše je popsáno ve zmiňované kapitole č. 4 v příloze č. 10.

Pokud žádá obec za podřízené organizace, řídí se kapitolou č. 3 "Žadatel o finanční podporu, který není poskytovatelem služeb obecného hospodářského zájmu dle Rozhodnutí 2012/21/EU", příloha č. 10.
 

K jakému datu máme nastavit předpokládané datum zahájení realizace projektu? Datum vyhlášení VZ? Datum 1. 7. 2023, jakožto milník pro způsobilé výdaje? Nebo budoucí termín, kdy bude případně žádost schválena a započne realizace projektu?

Nastavte termín 1.7.2023, jakožto milník pro způsobilost výdajů.
 

V žádosti máme aktuálně nastavené 2 hlavní produkty (dle vzoru NPO), v rámci 1. hlavního produktu jsme vytvořili dva podprodukty, které reflektují dvě integrální části projektu. Je to takto správně? Případně jaké další produkty / podprodukty je nezbytné přidat?

Postupujte dle přílohy č. 7 Náležitosti produktového rozpadu, ideálně by měl mít v rámci I. hlavního produktu každý posílený IS svůj podprodukt.
 

Není nám jasná struktura produktů - do IROP jsme vybírali jednotlivá opatření a podle toho systémy, kterých se to týká, v NPO je to jinak. Máme ve studii náklady na opatření, ale nemáme náklad na IS - co s tím?

Jediným indikátorem projektu je počet informačních systémů, u nichž došlo k posílení kybernetické bezpečnosti. Z toho plyne, že se na projekt díváte v první řadě přes IS, teprve následně přes § VKB. Vyberete systémy a k nim přiřadíte §, podle typu a dosahu řešení třeba pro část či všechny IS použijete stejný § opatření. Pokud nemáte od dodavatele IS náklady na posílení konkrétního systému, tak náklad např. aritmeticky rozdělíte.

Podstatné je, že pro každý IS budete muset následně doložit naplnění indikátoru, proto s tím při výběru počítejte a počet/výběr zahrnujte do projektu jen tam, kde jste si jisti možností věrohodného doložení dodavatelem, že IS byl posílen z pohledu kybernetické bezpečnosti
 

Příručka k žádosti NPO se odkazuje na kap. č. 5 v žádosti, kde by měl být uveden rozpočet. Nicméně ve vzoru žádosti žádný rozpočet není.

Stáhněte si na našem webu novou verzi příručky, kde už kapitola o rozpočtu není - rozpočet se vyplňuje pouze v ISKP14+
 

Je někde k dispozici aktuální čerpání alokace v rámci výzvy?

Ano, zde: https://www.mvcr.cz/npo/clanek/harmonogram-vyzev-pro-komponenty-1-1-1-2-a-4-4-narodniho-planu-obnovy-v-roce-2022.aspx
 

Jsou všechny povinné indikátory pro předkládaný projekt uvedené v MS 2014+? Tedy:

• 01205 Dokument potvrzující zvýšení kybernetické bezpečnosti informačního systému
• 01206 Dokument potvrzující úspěšné testování a ověření souladu s požadavky na kybernetickou bezpečnost
• 01204 Seznam informačních systémů vybraných v souladu s požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti, jejichž kybernetická bezpečnost bude posílena

Ano, vaše povinné indikátory jsou uvedeny ve výzvě a v ISKP, jsou to ty, které uvádíte a všechny tři jsou pro každý projekt povinné.
 

Kolonku návaznost na strategii (str.2). Text "Program Digitální Česko" jsme vyplnili, jednotlivé koncepce jsme si přečetli, ale váháme s výběrem koncepce / cíle pro náš projekt.

Do kolonky návaznost na strategie se vyplňuje:

Program Digitální Česko - Informační Koncepce ČR, Hlavní cíl 3: Rozvoj prostředí podporujícího digitální technologie v oblasti eGovernmentu, Dílčí cíl 3.8: Podpora opatření kybernetické bezpečnosti pro veřejnou správu
 

Realizační tým - je přípustné, aby 1 osoba zastávala vícero rolí?

 Ano, je to přípustné
 

Je uznatelným výdajem zpracování projektového záměru projektu včetně některých povinných příloh? Lze to zahrnout pod "zpracování projektu projektovou kanceláři"? Pokud ano, lze v rozpočtu žádosti v ISKP dát na položku 1.1.1.1 Hmotný majetek / 1.1.1.2 Nehmotný majetek? Pochopitelně ve stanoveném limitu. To, co by bylo přes limit, by šlo do 1.2.2.1 Komplementární investiční výdaje?

Ano, přesně toto je položkou myšleno. Jedná se o službu, tedy ostatní běžné výdaje. Částka nad limit bude komplementárním výdajem.
 

Bude dostačující k žádosti do Modulu VZ dát na výše uvedené objednávku a do příloh žádosti Interní pokyn k VZ?

Interní pokyn k VZ dejte jako přílohu žádosti. Co se týká dokumentace do ISKP, záleží na tom, jak máte napsaný postup pro příslušnou kategorii VZMR ve vašem interním postupu v VZMR - tento postup je nutné doložit. Objednávka je nezbytná, kdyby jí dle vašeho interního pokynu předcházelo zaslání nabídky, tak vložte i nabídku. Příp. kdybyste měli za povinnost oslovit více uchazečů, doložte i komunikaci s nimi.
 

Je uznatelným výdajem zajištění Výběrového řízení na dodavatele? Pokud ano, do které položky lze zahrnout? zajištění VŘ - spadá do stanoveného limitu 100 tis. Kč na zpracování projektu?

Ano, zajištění výběrového řízení je uznatelným výdajem, jedná se o službu, tedy ostatní běžné výdaje. Zajištění VŘ nespadá do limitu na zpracování projektu, limit se týká zpracování žádosti o finanční podporu.
 

Jaké datum má být uvedeno u výchozí hodnoty Indikátorů? Zahájení projektu, tzn. uzavření objednávky na zpracování projektu?

Indikátory vykopírujte z výzvy a nic v nich neměňte.
 

U nerelevantních příloh vložíme list s odůvodněním - musí být také elektronicky podepsáno?

Elektronicky podepsaná musí být projektová žádost a čestná prohlášení.
 

Je příloha č. 7 Náležitosti produktového rozpadu povinnou přílohou k žádosti? Příloha č.7 se přikládá samostatně k projektové žádosti, nebo stačí tabulky v ní obsažené vyplnit v rámci formuláře žádosti?

Není to povinná příloha žádosti, produktový rozpad je povinnou součástí žádosti (kap. 1.4 a 1.5) a musí být zpracován podle této přílohy (č. 7). Přílohu č. 7 berte jako návod na to, jak vyplnit produktový rozpad v žádosti, nepřikládá se jako samostatná příloha.
 

Existuje nějaký předepsaný vzor souhlasného stanoviska MZČR, který je pro danou výzvu požadován?

Předepsaný vzor není, je to zcela v kompetenci MZČR.
 

Co je míněno přílohou "Podrobný rozpočet"? Jde o samostatný dokument, nebo jde o Dokument odůvodňující hodnotu projektu?

Podrobný rozpočet není povinnou přílohou, vyplňuje se jen rozpočet v ISKP, máte zřejmě staženou starou verzi žádosti o podporu.
 

Má být každá příloha vložena ve formát pdf elektronicky podepsána a současně v editovatelném formátu, pokud to bude možné?

V editovatelném formátu musí být vložena jen projektová žádost.
 

Lze nastavit režim financování realizace projektu následujícím způsobem?

• Jednoetapový projekt
• průběžné zasílání splatných faktur od dodavatele na MZČR, jež na základě toho uvolní prostředky pro úhradu.
• Na konci realizace projektu jedna žádost o platbu, kde se doloží faktury a potvrzení o úhradě

Není možné realizovat jednoetapový projekt - dle návodu na vyplnění žádosti v ISKP (příloha 6 výzvy) je třeba nastavit půlroční etapy, dle kterých se předkládají monitorovací zprávy a s nimi spojené žádosti o platbu.
 

Prosíme o informaci, zda uvedený projekt lze podat s materiály (povinnými přílohami), které byly použity při podání do 3.výzvy IROP - studii proveditelnosti a souhlasné stanovisko OHA, v souladu s bodem 7.1 výzvy.

Upozorňujeme na rozdíl mezi IROP a NPO, kdy do naší výzvy NPO nezasíláte studii proveditelnosti, nebo jiné podkladové materiály z bezpečnostních analýz, atd., z těchto materiálů pouze vybíráte aktivity, které chcete realizovat prostřednictvím projektu NPO a vyplňujete je do přílohy žádosti. Stanovisko OHA je samozřejmě použitelné za předpokladu, že se nezměnil předmět projektu, pro který bylo stanovisko vydáno.
 

Dáváme dohromady žádost a chybí nám podepsaná příloha v originálu, jedná se při podání žádosti o nenapravitelné kritérium a riskujeme vyloučení?

Nenapravitelné kritérium se týká evidentní situace, kdy žádost pošlete vyplněnou zjevně nedostatečně, zejména bez základních údajů, analýzy současného stavu a produktového rozpadu (přílohy č. 7 a 8). Zde jde o napravitelné kritérium a doložení finálního podepsaného dokumentu je podmínkou před podpisem právního aktu. Doložte tedy zmíněný dokument v podobě, v jaké ho máte k dispozici.
 

Prohlášení o odstoupení od projektu IROP se týká pouze přijatých žádostí? Nebo i pouze zaregistrovaných žádostí? V systému jsem totiž nenašel možnost "odvolat".

Odstoupení od projektu IROP je popsáno v Obecných podmínkách pro žadatele IROP - u kterékoli výzvy, kap.14. Prohlášení stačí předložit před podpisem právního aktu v NPO.
 

Předpokládáme správně, že souhlasné stanovisko zřizovatele není pro obec, resp. město relevantní přílohou?

Ano, výzva je společná a toto platí pro druhou skupinu oprávněných žadatelů.
 

Bylo by možné požádat o osobní konzultaci projektového záměru? Můžeme případně poslat k vaší předběžné kontrole vyplněné přílohy žádosti?

Osobní konzultace či předběžná kontrola ve chvíli otevřených výzev již není možná principiálně z důvodu rovného přístupu k žadatelům, také však z kapacitních důvodů, kdy již probíhá hodnocení přijatých žádostí. Nicméně stále zodpovídáme obdržené konkrétní dotazy, pokud potřebujete témata nad rámec zveřejněných FAQ.
 

Jsme střední škola zřízená krajem, musíme splňovat podmínku Souhlasného stanoviska OHA, případně, kde se můžeme ujistit, jestli organizace zřizované krajem spadají pod tyto subjekty.

Při posuzování vycházíme z této formulace: Všichni žadatelé, kteří si žádají o dotaci z relevantních výzev evropských strukturálních fondů typu IROP (integrovaný regionální operační program) a vynakládají prostředky na ICT, musí k čerpání dotace mít souhlasné posouzení OHA. U NPO (národní plán obnovy) není povinnost mít stanovisko OHA z důvodu žádosti o prostředky NPO, pokud však žadatel má povinnost mít stanovisko dle jiných právních předpisů, je povinnou přílohou. , viz https://archi.gov.cz/uvod_schvalovani
 

U Souhlasného stanoviska zřizovatele je přesná definice / formulář, jak by tento dokument měl vypadat nebo stačí pouze např. výpis z Rady o schválení záměru?

Souhlasné stanovisko předkládáte volnou formou, ale musí z něj být patrné, že jde o oficiální schválení dle platných právních či interních předpisů schvalovatele.
 

Bylo by možné ze strany poskytovatele dotace uveřejnit vzorové vyplnění projektové žádosti, alespoň se dvěma produkty, čtyřmi podprodukty a současně se zanášeným výdajem na zpracování projektové žádosti, osobních výdajů a nákladů na publicitu (včetně jejich vyčíslení a souvislosti s produkty a podprodukty)?

Uvedený váš návrh není realizovatelný z kapacitních důvodů a zejména z principu rovného přístupu k žadatelům, kteří již žádosti vyplnili a podali. Vaše žádost bude posuzována až po vašem oficiálním podání v systému ISKP14+.

Podrobnější informace ke způsobilosti osobních výdajů naleznete v pokynu pro příjemce, který je zveřejněný zde: https://www.mvcr.cz/npo/clanek/dokumenty-programove-dokumenty-programove-dokumenty.aspx
 

Pokud jsme podali žádost do IROPu na kybernetickou bezpečnost (ta nám byla zamítnuta a chtěli bychom žádat o dotaci z NPO) a máme ve studii např. dobudování serverovny včetně elektroinstalace, stavebních úprav, vnitřních rozvodů a záložních UPS - což podle informací v NPO nelze uplatnit, můžeme použít a předložit původní studii proveditelnosti, nebo musíme tyto věci z žádosti vyřadit.

Vy s žádostí ani pracovníkům NPO žádné dokumenty předkládat nemusíte, tedy ani SP, ze které pouze vyberete ty části, které jsou relevantní pro projekt a dáte je do žádosti do příloh. Detailněji viz další odpovědi.

SP bude chtít vidět auditor na konci a ten z ní vyčte pouze to, že jste realizovali to, co bylo schváleno v organizaci a co se týká předmětu projektu a to bude kontrolovat. Vy samozřejmě můžete realizovat celý projekt tak, jak jste si ve studii naplánovali, pouze některé části realizace (stavební práce, rozvody, nesouvisející HW, zálohy, hašení atd.) budou neuznatelnými náklady v projektu NPO.
 

Jakým způsobem máme pro projekt předkládaný do 43. výzvy NPO naplnit požadavek povinné přílohy "Souhlasné stanovisko zřizovatele s realizací projektu", když je žadatel akciovou společností, kde mají jako akcionáři podíly 2 města společně s krajem a nejedná se o zřizovatele, ale podílníky. Nebo bude v našem případě nerelevantní?

Ne, souhlasné stanovisko s realizací projektu žadatele je povinnou přílohou a vydávají ho všichni, kdo jsou v rámci takového rozhodnutí relevantní.
 

Máme zpracovanou studii proveditelnosti z 5. výzvy IROP - Kybernetická bezpečnost, kde žádost o dotaci neprošla. Můžeme použít zpracovanou studii proveditelnosti v dané podobě, nebo nám doporučujete ji zjednodušit a ponechat pouze ukazatele a informace, které se týkají aktuální výzvy?

Pokud nejste úspěšným žadatelem ve výzvě IROP č. 5, můžete žádost podat do NPO. Studii nemusíte měnit, protože v NPO není podmínka předkládání SP ani další bezpečnostní dokumentace. Detailněji viz další odpovědi.
 

Pokud by žádost podávala obec na projekt v rámci budovy městského úřadu (tj. kanceláří), bude to veřejná podpora?

Pokud se ptáte se na situaci, že žadatelem bude obec - v tom případě se řídíte bodem 4 v příloze č. 10 Veřejná podpora. Pokud bude vytvořená infrastruktura pokrývat pouze nehospodářskou činnost obce, nejedná se o veřejnou podporu. Pokud bude pokrývat i hospodářské činnosti, nesmí to být z více jak 20 %, aby se nejednalo o veřejnou podporu (v tomto případě je nutné vyplnit přílohu č. 11).
 

Potřebujeme pro žádost o dotaci na kybernetickou bezpečnost v NPO souhlasné stanovisko MZČR, když jsme přímo řízená organizace MZČR?

Potřebujete souhlasné stanovisko zřizovatele. Podle informace zveřejněné 20.11.2023 na stránkách MZČR požádáte o souhlasné stanovisko zřizovatele (MZČR) a tato žádost bude předána i na IT pro stanovisko od sekce IT MZ, viz https://www.mzcr.cz/informace-pro-prispevkove-organizace-ktere-pripravuji-zadost-o-dotaci-v-ramci-vyzev-irop-npo-na-e-health-a-npo-na-kyberbezpecnost/
 

U výdajů za zpracování a podání žádosti o dotaci je dle výzvy limit 100 tis. Kč - kam výdaj zapracovat, aby byl výdaj a aktivita zachyceny? A výdaje na administraci veřejných zakázek lze zahrnout do uznatelných výdajů a je nutné vytvářet k tomuto výdaji produkt nebo lze jen zařadit do rozpočtu projektu? A výdaje na zpracování žádosti a OHA nad limit 100 tis. Kč uvádíme v neuznatelných v komplementárních neinvestičních výdajích?

Ano, limit výdajů se týká zpracování žádosti o finanční podporu a jde do komplementárních, jedná se o službu, tedy ostatní běžné výdaje. Zajištění VŘ nespadá do limitu na zpracování projektu a zařazení je stejné.
 

Obsah přílohy č. 11 (Vymezení činností / služeb, které budou podpořeny v rámci finanční podpory), je tato příloha pro nás relevantní? Cílem našeho projektu je zvýšení kybernetické bezpečnosti města. Také nevíme, co vyplnit do kolonek zařazení a procenta.

Obce se řídí bodem 4 v příloze č. 10 Veřejná podpora: přílohu č. 11 vyplňují ti, jejichž vytvořená infrastruktura pokrývá i činnosti, které mají hospodářský charakter. Tzn. pokud vytvořená infrastruktura nepokrývá hospodářské činnosti, přílohu č. 11 není nutné vyplňovat, neboť pokrytí nehospodářských činností je 100 %. Bylo by vhodné toto uvést opět jako nerelevantní spolu s odůvodněním. Tabulka slouží k tomu, abychom dostali ujištění, že případné pokrytí i hospodářských činností, nepřesahuje 20 %. Pro procentní stanovení činností neurčujeme metodu výpočtu, neboť neznáme detailní situaci žadatele. Například časové hledisko - kolik človekohodin/dní se stráví na té konkrétní činnosti nebo souboru činností (hospodářských / nehospodářských). Charakteristikou metody chceme zjistit, jak žadatel ke konkrétnímu procentuálnímu vyjádření došel.
 

Ohledně výdajů na zpracování žádosti a administraci VZ, zda vytvářet pro tyto výdaje nový produkt, nebo lze jen zařadit do rozpočtu v ISKP bez vazby na produkty?

Všechny výdaje musí být v produktovém rozpadu vidět - buď jako součást nějakého produktu nebo podporduktu, nebo mít samostatný produkt jen na tento výdaj.
 

Vzhledem k tomu, že je na jeden projekt stanovena maximální výše celkových způsobilých výdajů ve výši 50 mil. Kč bez DPH a zároveň není omezen počet projektových žádostí na jednoho žadatele, můžeme podat pro jeden informační systém více projektových žádostí, abychom mohli čerpat vyšší částku? Případně můžeme mít dvě projektové žádosti na skupinu stejných informačních systémů?

V naprosté většině případů ne. Není možné, aby bylo více žádostí o podporu na zabezpečení kybernetické bezpečnosti stejného IS a to ani v případě, že by žádali dva různí žadatelé (např. na stejné IS podá jednu projektovou žádost podá kraj a druhou jím zřízený nebo založený subjekt).

Pravidlo, že pro tentýž IS by nemělo být podáno více projektových žádostí, vychází obecně ze znění cílů Národního plánu obnovy stanovených Evropskou komisí, pro jejichž plnění jsou dané výzvy vyhlášeny, tj.:

• T24: Počet informačních systémů , jejichž kybernetická bezpečnost byla posílena v souladu se zákonem č. 181/2014 Sb., a
• T248: Informační systémy, jejichž kybernetická bezpečnost byla posílena v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti.

Vůči Evropské komisi se tedy vykazuje počet pořízených informačních systémů. VK musí zajistit, aby za úměrnou výši finančních prostředků byla zajištěna kybernetická bezpečnost dostatečného množství informačních systémů.

Z tohoto důvodu byla stanovena maximální výše výdajů na projekt vycházející ze zkušeností z historicky stejně věcně zaměřených dotačních výzev a hodnoty zde předložených projektů. Předpokládá se tedy, že každá projektová žádost by měla posílit zabezpečení jiných IS. Tímto pravidlem je zároveň řízeno riziko dvojího financování.

Nicméně, pokud žadatel disponuje rozsáhlým projektovým záměrem, na více IS, může podat více projektových žádostí na totožné IS. Tento úkon neznamená automaticky vyřazení těchto projektových žádostí. Ve výjimečných a řádně odůvodněných případech (viz níže), může vlastník komponenty, např. z důvodu technické provázanosti projektů, rozhodnout, že

• je možné spojit více žádostí o podporu podaných na stejné IS bez ohledu na výši celkových způsobilých výdajů,
• přijme více žádosti o podporu, ve kterých se vyskytují různé části stejných IS, které na sebe navazují (za předpokladu detailního vysvětlení rozdělení IS a návaznosti těchto žádostí / projektů - viz níže)

Jak vyplývá z informací výše, je také v pořádku, aby jeden žadatel podal více žádostí o podporu, musí se ale jednat o zabezpečení různých IS.

V případě spojení žádostí / projektů či jejich značné technické provázanosti je nutné poskytnout ucelené informace o celkovém nastavení a provázanosti žádostí / projektů z kterého bude jasně patrné, že existuje vnitřní logika, která eliminuje riziko dvojího financování (realizace stejných opatření na stejné IS ve 2 a více různých žádostech).

Minimálně bude vyžadováno k žádostem doložit následující doplňující informace:

• jaká je celková architektura řešení napříč všemi projekty,
• jaký je důvod podávání více žádostí a logika jejich rozdělení.

Předložené žádosti budou posouzeny ze strany Ministerstva vnitra a Odboru hlavního architekta. eGovernmentu.

  

Věcné zaměření a náplň projektu

V rámci připravované výzvy je jednou z podporovaných aktivit "Pořízení a implementace nástroje pro správu aktiv a řízení rizik a zranitelností". Musí projekt naplňovat všechny body z takového kritéria? (Opatření by např. nemuselo zahrnovat opatření proti zranitelnosti.) Musí být tedy dané kritérium splněno vždy bezezbytku?

Projekt nemusí naplňovat všechny body, pokud to není z pohledu příjemce potřeba či plánovaný projekt řeší pouze výseč bezpečnostních opatření vzešlých z potřebných bezpečnostních analýz. Žadatel vybírá a komentuje jednotlivá zvolená opatření v produktovém rozpadu, viz další odpovědi na otázky.
 

Jak máme chápat počet informačních systémů, u nichž došlo k posílení kybernetické bezpečnosti ve smyslu zákona 181/2014 Sb. o kybernetické bezpečnosti? Budeme chtít zabezpečit jeden klíčový systém, ale zavedení technického opatření bude mít dopad i na řadu dalších provozovaných informačních systémů.

Každý projekt musí doložit minimálně 1 informační systém posílený ve smyslu zákona o kybernetické bezpečnosti. Celkový počet zabezpečených IS by měl samozřejmě zahrnovat všechny systémy, u kterých došlo v rámci projektu a realizovaných technických opatření k posílení jejich kybernetické bezpečnosti.
 

V podporovaných aktivitách je bod "Zabezpečení komunikační sítě v rozsahu L2 / L3 switche a nástroje pro segmentaci datové komunikační sítě, NAC, 802.1X". Lze chápat, že v rámci tohoto bodu bude uznatelný náklad pouze pořízení aktivních prvků, ale vzhledem k bodu "Nepodporované aktivity", tak pořízení nové strukturální kabeláže, již ne?

Pořízení či rekonstrukce elektrických či kabelových rozvodů a tedy i strukturované kabeláže, stejně jako zabezpečení prostor, vybavení serverovny, stavební úpravy, atd. nejsou uznatelným výdajem v rámci těchto otevřených výzev NPO.
 

V podporovaných aktivitách jsou body "Pořízení a implementace nástroje... a Servery a disková úložiště, která budou přímo využita v rámci zajištění kybernetické bezpečnosti (virtualizace, ukládání logů, servery bezpečnostních systémů, aj.)". Lze chápat, že v rámci těchto nástrojů bude uznatelným výdajem také pořízení vlastního HW (tj. železa, resp. serverů, NAS, atp.), na kterých vlastní nástroje poběží, resp. v rámci virtualizovaného prostředí?

Koncová zařízení nejsou uznatelným výdajem vyjma právě nutného HW pro nově pořízený bezpečnostní nástroj. Zodpovědnost za doložení účelu pořizovaného HW / SW a jeho rozsah je plně na žadateli.
 

V rámci téhož bodu "Servery a disková uložiště..." lze jako uznatelný výdaj chápat také pořízení serverové technologie, která bude sloužit pro vytvoření bezpečného prostředí na způsob Sandboxů, atp., které bude sloužit k výuce technologií vedoucí ke kybernetické bezpečnosti?

Pokud v dotazu uvádíte slovo "výuka", zde je třeba zdůraznit, že aktivity související se vzděláváním zaměstnanců či administrátorů v oblasti kybernetické bezpečnosti nejsou uznatelným výdajem. Předmětem projektu musí být primárně posílení kybernetické bezpečnosti stávajících informačních systémů, tj. zajištění zvýšeni důvěrnosti, integrity a dostupnosti informací a dat v relevantním IS. Proto pořízení izolovaného výukového prostředí do předmětu takového projektu nezapadá.
 

Strategie nám ukládá zejména opatření v oblasti fyzické bezpečnosti, v jakém poměru mohou být výdaje na tato opatření v rámci projektu?

Řešení pro fyzickou bezpečnost nejsou uznatelným výdajem v otevřených výzvách NPO, proto doporučujeme z vašich opatření vybrat ta, která fyzickou bezpečnost a koncová zařízení nezahrnují, případně projekt do NPO nepodávat, byl by z uvedených důvodů vyřazen.
 

Pokud pořídíme nový bezpečnostní software, může být uznatelným výdajem i školení zaměstnanců?

Školení zaměstnanců, nákup školícího SW atd., byť v oblasti kybernetické bezpečnosti, není uznatelným výdajem v otevřených výzvách NPO. Výjimkou je obvyklý formát školení administrátorů, které dodavatel SW z oblasti kybernetické bezpečnosti poskytne v rámci dodávky. Toto nezahrnuje obecná či certifikovaná školení, poskytovaná školícími agenturami, která lze považovat za vzdělávání.
 

Budou v souvislosti se zajištěním dostupnosti informací způsobilým výdajem i náklady na pořízení záložních zdrojů napájení pro servery a sdílená datová uložiště?

Koncová zařízení samotná nejsou uznatelným výdajem. Výjimkou je HW nutný pro vlastní provoz nově pořízených bezpečnostních nástrojů. Projekt, obsahující pouze řešení zálohování při výpadku napájení není uznatelným výdajem v otevřených výzvách NPO.
 

V projektech NPO je oproti IROP uznatelnost služeb. Můžeme v rámci projektu využít nabídku IT firem a převést služby kybernetické bezpečnosti mimo naši organizaci s tím, že platby za tyto služby budou uznatelným nákladem v projektu NPO?

Zmíněná uznatelnost služeb v projektech NPO se týká například IT spolupráce s dodavatelem či třetí stranou při nastavení bezpečnostního nástroje, případně samotném provozu bezpečnostního systému, a to do doby ukončení projektu (nejpozději do 05/26). Nepřekročitelnou podmínkou zde je, aby tento výdaj byl v souladu s pravidly NPO. Je třeba si ovšem uvědomit, že příjemce má za povinnost držet udržitelnost výstupů projektu po dobu minimálně pěti let od ukončení realizace projektu. Po tuto pětiletou lhůtu udržitelnosti jdou veškeré výdaje s tímto spojené na vrub příjemce finanční podpory.

Činnosti, které nejsou realizované v souladu s požadavky zákona č. 181/2014 Sb. o kybernetické bezpečnosti, nejsou uznatelným výdajem v rámci projektu kybernetické bezpečnosti v NPO.

Služby třetí strany (např. SOC, analýzy síťového provozu) tak mohou být uznatelným výdajem v otevřených výzvách NPO, pokud jejich úhrada je nezbytná pro splnění cíle projektu a monitorovacího indikátoru a dané probíhá v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (například, že služby jsou poskytovány na infrastruktuře příjemce (KII a VIS), případně i na jiných platformách (u systémů nespadající do kategorie KII a VIS).
 

Uvádíte mezi podporovanými aktivitami "Dodávka a implementace SIEM, služby SOC." Zajímalo by mě, zda služby security operations center (SOC) budou způsobilé pouze pro SIEM, nebo bez tohoto omezení. 

Dodávka a implementace SIEM není podmínkou pro využití služby SOC, který může provést služby analýzy nad daty, generovanými nejen v SIEM, ale i v jiném bezpečnostním nástroji. Záleží na žadateli, jaké IS a způsob jejich zabezpečení zvolí s ohledem na efektivitu projektu.
 

V případě rozvoje aplikačního programového vybavení (APV) - je možné financovat z programu NPO jen tzv. krabicové řešení (komerční SW), nebo lze pořídit řešení, které je customizované dle požadavků objednatele? Lze v rámci projektu pořídit řešení, u kterého bychom nebyli vlastníky zdrojového kódu k danému řešení?

Pro předmět projektu někde vyhovuje dostatečně tzv. krabicové řešení, někdy může být součástí i customizace. Vlastnictví zdrojového kódu není podmínkou. Zvolený způsob řešení musí vždy nejlépe odpovídat naplnění účelu projektu, při zachování pravidel 3E - hospodárnost, účelnost a efektivnost. Zodpovědnost za zvolené řešení je na žadateli.
 

Doplňující dotaz k předchozí otázce. Lze profinancovat z programu NPO řešení, které není dodáno "na míru" dle zadání objednatele? Lze to i v případě, že by dodávané krabicové řešení bylo customizováno dle požadavků objednatele? 

Výsledné řešení, které je složené z krabicového řešení a jeho případných úprav je možné, nicméně musí být (s ohledem jak na ZZVZ tak pravidla eGovernmentu) splněny následující podmínky:

• Další správu a úpravu krabicového řešení dokáže realizovat více subjektů než jen a pouze výrobce krabicového řešení (tj. existuje partnerský program, který je otevřený všem případným zájemcům)
• Zdrojové kódy případných úprav takovéhoto řešení by měly být v majetku objednatele

V případě individuálních úprav aplikace je potřeba držet zdrojové kódy úprav a zároveň příslušnou dokumentaci, a to z toho důvodu, aby bylo možné tyto předat případně jinému dodavateli. Naprostá absence kódu a dokumentace ztěžuje další zadávání veřejných zakázek na úpravu daného systému a dostává objednatele pod riziko vendor-lock inu.
 

Jsme nějak limitováni v počtu IS, které chceme v projektu zabezpečit?

Ano, každý projekt musí vždy zabezpečit nejméně jeden informační systém. Horní hranice počtu IS není omezena, zde bych pouze doporučil ověřit si u IT, zda vůbec či jak bude možno posílení kybernetické bezpečnosti u každého konkrétního systému prokázat a doložit, protože specifikovaný produkt / podprodukt pak musí být v projektu včas realizován a funkčnost doložena akceptačním protokolem. Závěrečný audit pak potvrzuje i správnost výběru konkrétních IS - opora pro výběr v schválené bezpečnostní dokumentaci, či studii proveditelnosti).
 

Lze v rámci výzev NPO na podporu posílení kyberbezpečnosti obcí, krajů, zdravotnických zařízení a dalších, čerpat finanční prostředky také na podporu implementace unijní směrnice NIS2? S ohledem na skutečnost, že NIS2 je součástí chystané novely zákona o kyberbezpečnosti, by podpora pro lepší adaptaci firem, podniků i státních subjektů mohla být předmětem výzev.

Všechny výzvy jsou zaměřeny na posílení kybernetické bezpečnosti stávajících informačních systémů a tomu odpovídají i indikátory - jaké IS jste zabezpečili a jakým způsobem. Jde výhradně o realizaci technických opatření, která směřují k posílení kybernetické bezpečnosti, jedinou výjimkou jsou dvě organizační opatření - úvodní analýza stavu (která stanovuje priority pro realizaci projektu, výběr IS a způsob jeho zabezpečení) a závěrečný nezávislý audit (provedených technických opatření a posouzení, zda realizací projektu skutečně došlo k posílení kybernetické bezpečnosti).

Dotaz pravděpodobně směřuje na zajištění organizačních činností. Tyto "měkké" aktivity nejsou samy o sobě předmětem uznatelných nákladů v projektech NPO.
 

Jaký HW můžeme pořídit pro naplnění VKB §27 - technické opatření k "zajištění úrovně dostupnosti informací", kam padá dostupnost, zálohování i redundance (záložní infrastruktura).

Nákup HW a koncových zařízení obecně není uznatelným výdajem v rámci těchto výzev NPO, vyjma prokazatelné a přiměřené potřebnosti pro provoz nových bezpečnostních nástrojů. V rámci redundance můžete pořídit redundantní zařízení, nikoli však již další HW nástroje zabezpečení. Primárním předmětem projektu je zabezpečení IS, pokud v rámci zabezpečení IS vyberete jeho redundanci, jde o jednu a zároveň limitní úroveň zabezpečení, tedy můžete pořídit obdobný server na redundantní provoz IS, nikoli již dále zabezpečovat provoz tohoto nového serveru - jeho další záloha, UPS, atd. U zabezpečení informačního systému může jít vždy pouze o jednu úroveň zabezpečení IS a vždy jen nutného HW, bez rozvodů, stavebních úprav, atd.
 

Můžeme v rámci zabezpečení IS obnovit naše UPS zařízení?

Ne, jde o HW, který nemá přímý dopad na provoz IS, kdy přímý dopad má pouze server, na kterém je IS provozován. UPS jsou z tohoto pohledu již druhou úrovní zabezpečení, což nejsou uznatelné náklady.
 

Využíváme služby SOC a chceme rozsah v projektu rozšířit, jaké služby budou uznatelné v rámci projektu?

Budou uznatelné ty služby, které souvisí s realizací produktů, tedy posílením zabezpečení IS. Pokud služby nyní využíváte, jsou uznatelné náklady rozšíření.
 

Můžeme čerpat dotaci na náklady spojené se zajištěním úvodní analýzy stavu připravenosti firem na unijní směrnici o kybernetické bezpečnosti?

Ano, úvodní analýza je uznatelným nákladem ve všech našich kybernetických výzvách, ale ne samostatně, pouze v rámci realizace celého projektu, tedy pak i realizace technických opatření a naplnění indikátoru výzvy.
 

Náš připravovaný projekt se týká nového systému IDM (Identity Management Systém). Mohou být nákup mobilních telefonů, příp. datové služby, wifi systém či "tokeny" způsobilým výdajem projektu?

Předmětem vašeho projektu je správa a ověřování identit, což odpovídá § 19 VKB, tedy jde o uznatelné náklady projektu v rozsahu pořízení licencí nástroje, jeho implementace na HW dle doporučení výrobce, provoz tohoto SW / HW a podpora do doby dokončení realizace projektu.

K druhé části dotazu - obecně je HW nezpůsobilým výdajem právě vyjma potřeby provozu těchto nových nástrojů pro posílení kybernetické bezpečnosti. Vámi zmíněná koncová zařízení (mobil, token) nejsou tedy způsobilým výdajem.

Zmíněný HW by ale nebyl uznatelným nákladem v žádném ze záměrů, například ani v případě, kdy byste pořizovali v rámci posílení kybernetické bezpečnosti nástroj pro správu mobilních zařízení (Mobile Device Management). Ten by v rámci technických opatření byl uznatelným nákladem v projektu NPO, ale opět jen v rozsahu pořízení licence a provozu nástroje na přiměřeném HW, nikoli pořízení koncových zařízení. Totéž se týká wifi nebo datových služeb.
 

Je možné v rámci žádosti o dotaci zahrnout do nákladů i účetní program pro obce?

Není. Výzva je zaměřena na posílení kybernetické bezpečnosti IS, tedy primárně na stávající IS, nikoli na pořizování nových IS.

Současně musí mít žadatel analýzu organizace z pohledu kybernetické bezpečnosti, která mu stanovuje priority v realizaci tohoto zabezpečení, o ně se musí projekt opírat a nepředpokládáme, že je účetní program mezi prioritami v rámci realizace kybernetické bezpečnosti taxativně uveden.

Z těchto důvodů účetní program nelze pořídit, ale případně jen zabezpečit. Určitou možností by mohl být upgrade tohoto informačního systému (při současném doložení dodavatelem, že právě jeho upgrade obsahuje určitá vylepšení IS z pohledu bezpečnosti IS), ale k tomu by žadatel musel mít nejprve stávající verzi IS a započítat do NPO jen náklady na upgrade.
 

Bylo by možné pro společnost 100% vlastněnou městem podpořit poskytování privátní MPLS sítě pro zabezpečenou komunikaci technologií s kontraktem na 36 měsíců?

V rámci výzev na kybernetickou bezpečnost je jediným indikátorem počet IS u kterých došlo k navýšení kybernetické bezpečnosti, podmínkou volby řešení je jeho opora v bezpečnostní analýze či dokumentaci a vazba na § VKB, bez ohledu na typ žadatele.

Služba MPLS je pouze komunikační službou a jako taková není uznatelným nákladem, stejně jako jiné datové služby, wifi atd., protože IS, které jsou předmětem projektu, pro svůj provoz již nějakou datovou komunikaci využívají.

Žadatel by musel v rámci služby MPLS najít oporu pro výběr nadstavbového bezpečnostního řešení ve vazbě na IS a pokud by toto bylo součástí projektu, pak by tato nadstavbová část mohla být v rámci projektu uznatelnou službou po dobu realizace projektu, následně pak povinná pro žadatele po dobu udržitelnosti.

  

Realizace a dokončení projektu

U informačního systému, který budeme v rámci NPO projektu zabezpečovat, nabízí prodejce standardně záruku 3 roky a rozsah, který přesně pokryje naše potřeby. Můžeme takovou záruku zahrnout do nákladů projektu, i když jde časově za období realizace projektu v NPO?

Pro účely způsobilosti záruky za jakost je nutné dodržet následující podmínky:

1. Záruka za jakost je způsobilá, pokud se ve vztahu k danému plnění jedná o záruku standardní (tj. svým rozsahem a délkou nesmí záruka výrazně vybočovat ze standardů běžně užívaných v daném segmentu trhu pro dané plnění).
2. Záruční doba záruky za jakost musí zohledňovat reálnou životnost dodaných komponent a nesmí ji přesahovat.
3. Záruku za jakost vztahující se na garanci zprovoznění nefunkčního systému (tj. zprovoznění typu Next Business Day on-site a obdobné) lze považovat za způsobilou, pokud odpovídá běžným záručním podmínkám obdobných systémů v daném segmentu trhu a je úměrná požadavkům na funkčnost systémového řešení a přípustnou dobu jeho výpadku.

Záruku za jakost splňující standardy, uvedené pod písmeny a) - c), není nutné vyčíslovat finančně, je součástí ceny plnění a je způsobilá i v případě, že přesahuje dobu trvání projektu (např. záruka na 5 let v projektu s dobou realizace 3 roky). Pokud je ve smlouvě sjednána záruka za jakost, přesahující standardní úroveň podle písmen a) - c), výdaje nad rámec těchto standardů jsou nezpůsobilé. Je proto nutné část záruky za jakost, přesahující standardy ve smlouvě, finančně vyčíslit.

  

Jak zjistíme rozdíl mezi standardní a rozšířenou zárukou a jak ji budeme v nákladech vykazovat?

Standardní záruka je poskytována automaticky a nemusí být ve smlouvě výslovně uvedena, zatímco rozšířenou záruku vám dodavatel poskytne pouze na základě vašeho požadavku a za úhradu. Tímto způsobem typy záruk rozlišíte.

Jak je uvedeno v odpovědi na otázku v FAQ, náklady standardní záruky nevykazujete zvlášť a není rozhodné, zda doba standardní záruky časově překračuje termín dokončení realizace projektu, celá částka se zahrne do nákladů projektu. Výdaje nad rámec standardů jsou nezpůsobilé, proto je nutné část záruky za jakost, přesahující standardy ve smlouvě, finančně vyčíslit.

  

V odpovědi na otázku níže "Jak máme v rámci NPO pracovat s náklady na technickou podporu a provoz služeb…" uvádíte, že realizátor projektu nemůže "do nákladů započítat celou částku dle smlouvy, ale jen tu část navýšení, která souvisí s rozšířením nástrojů v rámci projektu NPO". Jak máme postupovat v případě, kdy již nyní hradíme provoz a podporu za produkty výrobce a v rámci projektu NPO plánujeme dokoupit další produkty stejného výrobce? Můžeme zahrnout do nákladů celou novou smlouvu a od jakého data?

Jak bylo zodpovězeno v rámci předchozího dotazu, uznatelnost nákladů se vztahuje pouze k nově pořízeným technologiím v rámci realizace projektu NPO, to se týká i podpory těchto produktů.

Ve vámi uvedených případech, kdy jste před realizací projektu NPO měli produkty výrobce i s podporou a nyní tuto technologii rozšiřujete, čímž se mění rozsah i cena provozu a podpory téhož výrobce / dodavatele, lze zahrnout do nákladů projektu při navýšení celkové částky podpory pouze rozdílovou částku, která se vztahuje k rozšířené technologii.

Celou částku za stávající i nové produkty lze do nákladů projektu zahrnout pouze v případech, kdy dochází fakturačně ke snížení nákladů, nebo kdy dochází při rozšíření plnění k udržení stejné výše nákladů. Realizátor projektu tím naplňuje princip hospodárnosti, kdy projektem dochází nejen k rozvoji, ale současně k optimalizaci nákladů na provoz IT a tím ke zvýšení garance budoucí udržitelnosti realizovaného technického řešení.

Časově je uznatelnost dána na začátku termínem uvedení nově pořízených produktů do provozu, konec uznatelnosti těchto nákladů je dán termínem ukončení projektu dle právního aktu.

Uznatelnost nákladů na podporu z hlediska rozsahu a doby vykazujete podle smlouvy.

  

Ve výzvě uvádíte mezi nutnými podmínkami realizace projektu "provedení finálního nezávislého auditu (viz indikátor Dokument potvrzující úspěšné testování a ověření souladu s požadavky na kybernetickou bezpečnost) ověřujícího naplnění kybernetických požadavků, a to prostřednictvím certifikovaného auditora." Můžete zpřesnit, jaké oblasti a jaký rozsah musí být předmětem auditu, abychom podle toho mohli specifikovat zadání zakázky na znalce?

Znalecký posudek nezávislého auditora bude součástí dokumentace, kterou žadatel dokládá splnění povinných indikátorů projektu. Cílem finálního auditu je porovnání projektové dokumentace žadatele na vstupu (Popis výchozího stavu, produkty / podprodukty v právním aktu projektu) s výstupy projektu (výsledný stav realizace, tzn. co bylo definováno, bylo pořízeno, implementováno, je funkční) a posouzení, zda realizace projektu přispěla ke zvýšení kybernetické bezpečnosti žadatelem definovaných informačních systémů. Auditor ve svém znaleckém posudku v zásadě odpoví na dvě otázky:

1. Došlo k nasazení vybraných technologií či služeb dle předloženého projektu?
2. Došlo u vybraných informačních systémů, které jsou předmětem projektu, prostřednictvím realizace zvolených opatření k posílení jejich kybernetické bezpečnosti?

Rozsah předkládané dokumentace a způsob ověřování je věcí auditora. Nejedná se rozhodně o audit celé organizace žadatele, ale jen předmětu projektu NPO.

  

Jednou z povinností příjemce je vyhotovit bezpečnostní audit. Musí takový audit provádět pouze certifikovaná firma?

Auditor provádějící finální bezpečnostní audit musí splňovat parametry

• vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), kde
  • v § 7 ods. 4) jsou uvedeny požadavky na roli Auditora kybernetické bezpečnosti,
  • v příloze č. 6, tab. 4 jsou uvedeny doporučení pro Auditora kybernetické bezpečnosti i s relevantní certifikací (Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified in Risk and Information Systems Control (CRISC), Lead Auditor Information Security Management Systém (Lead Auditor ISMS), Auditor BI (akreditační schéma ČIA),
• případně certifikace může být i jiná než výše uvedená, jestliže certifikace dokládající odbornou způsobilost bezpečnostních rolí splňuje požadavky ISO 17024 - Posuzování shody.

  

Některé firmy okolo kybernetické bezpečnosti nám tvrdí, že podmínkou získání dotace z NPO bude i bezpečnostní audit současného stavu ICT. Budeme jako žadatel potřebovat opravdu dva audity - na začátku a na konci projektu?

Provedení nového bezpečnostního auditu organizace není podmínkou získání dotace. Je nicméně potřebné, aby prováděné technické opatření zvyšující kybernetickou bezpečnost konkrétního informačního systému vycházelo z konkrétní bezpečnostní dokumentace. V povinné příloze by měl být popsán výchozí stav a důvody realizace projektu, za jeho správnost odpovídá žadatel. Součástí žádosti o financování projektu může být i aktualizace bezpečnostní dokumentace, nicméně tato aktualizace může být jen doprovodnou aktivitou vlastní realizace technických opatření ke zvýšení kybernetické bezpečnosti informačních systémů, nesmí být jediným výstupem projektu.

Je nicméně možné využít již existující dokumentaci a projekt zaměřit jen a pouze na realizaci technických opatření. Existenci dokumentace a návaznost realizovaných technických opatření na její závěry zkoumá na konci projektu nezávislý auditor. Doložení kladného výsledku auditu je jedním z povinných indikátorů projektu.

  

Jak doložíme zvýšení kybernetické bezpečnosti u informačního systému, ke kterému nebudeme mít uváděné osvědčení o dokončení prací dodavatelem?

Součástí dokladů ke splnění indikátoru je kromě Osvědčení i Seznam IS a Popis realizace. Pokud budete mít ke konkrétnímu IS osvědčení, např. akceptační protokol od dodavatele, doložíte ho.

Pokud pořídíte bezpečnostní nástroj, který bude mít dopad na řadu dalších provozovaných informačních systémů, tyto informační systémy zahrnete do Seznamu a zároveň v Popisu uvedete způsob jejich zabezpečení (doporučujeme pro přehlednost zpracovat aplikační architekturu, která doloží propojení pořizovaných produktů na chráněné aplikace). Současně pak tyto skutečnosti ověří a potvrdí závěrečný audit, který je pro každý projekt povinný.

  

Jaká je časová způsobilost výdajů?

Časová způsobilost výdajů je uvedena v Informacích a bude vždy uvedena ve výzvě, nicméně počáteční datum uznatelnosti výdajů projektu je 1. 7. 2023, konečné datum pro splnění monitorovacích indikátorů a doložení požadovaných dokladů je konec roku 2025.

  

Slyšeli jsme, že je v projektech NPO nutné komunikovat v angličtině, je to pravda?

Částečně ano. V průběhu realizace projektu se předkládají monitorovací zprávy, které je z části nutné vyplňovat v angličtině. Nicméně žádost o finanční podporu se podává v češtině, stejně tak komunikace s Vlastníkem komponenty (Ministerstvem vnitra) probíhá v češtině.

  

Jaké přímé (realizační) výdaje v rámci projektu je možné hradit?

Pokud je v rámci projektu pořizován dlouhodobý hmotný a nehmotný majetek (specifikovaný již v Žádosti o finanční podporu), který tvoří nedílnou a nezbytnou složku pro dosažení účelu a výstupu projektu, je způsobilá pořizovací cena daného majetku. Rovněž jsou způsobilé výdaje na jeho technické zhodnocení a servis v době realizace projektu. Za způsobilé tedy lze považovat výdaje na pořízení, servis (v době realizace projektu) a nutný provoz majetku (v době realizace projektu), který byl v rámci plnění milníku / cíle a indikátorů projektu pořízen, a to dle skutečných výdajů a při respektování principu hospodárnosti.

V rámci projektů hrazených z NPO jsou tedy způsobilé všechny relevantní výdaje přímo spojené s implementací projektu a vynaložené v souvislosti s účelem a výstupy projektu, tedy s vazbou na plnění reforem a investic a musí být nezbytné k naplnění milníku / cíle projektu (včetně nezbytného vybavení pro realizaci projektu, dodávek a služeb), tj. tzv. přímé výdaje. Tyto přímé výdaje musí být zaúčtovány a přiřazeny přímo k projektu.

  

Jak máme v rámci NPO pracovat s náklady na technickou podporu a provoz služeb, souvisejících s projektem NPO? Můžeme uzavřít prodlouženou záruku? Když půjde o rozšíření stávajících služeb, můžeme započítat do nákladů NPO celou částku dle nové smlouvy od 1. 7. 2023?

Technická podpora (TP) nebo údržba, stejně jako všechny služby, které chcete do projektu nákladově započítat, musí souviset přímo s novými pořízenými nástroji pro posílení kybernetické bezpečnosti IS, nikoli s běžnými službami, které využíváte v rámci provozu organizace (datové služby, podpora stávající infrastruktury, atd.).

U již běžícího provozu a TP u kybernetických nástrojů je uznatelnost zpětně od 1.7.2023, tam se to ale netýká starých běžících podpor k nástrojům, nakoupeným před 1.7.2023, ale pouze od tohoto data nově pořízených a prokazatelně potřebných k realizaci produktu / popdproduktu v rámci projektu NPO. Pokud tedy již např. máte běžící smlouvu na provoz kybernetických služeb a v rámci NPO nakoupíte nové technologie, čímž se vám třeba i stávající smlouva rozšíří, nemůžete do nákladů započítat celou částku dle smlouvy, ale jen tu část navýšení, která souvisí s rozšířením nástrojů v rámci projektu NPO.

Všechny služby jsou uznatelné pouze po dobu realizace projektu, nejpozději tedy do doby jeho dokončení. Určitou výjimkou může být 3 letá podpora, pokud bude uzavřena v roce 2024 a současně nepřesahuje dobu NPO do konce roku 2026. Můžete samozřejmě uzavřít podporu či objednat služby na delší období, pak pouze musíte náklady rozdělit na uznatelnou a neuznatelnou část, kdy uznatelná je do doby dokončení realizace projektu, následující období včetně doby udržitelnosti projektu již není uznatelným nákladem NPO.

Analogicky je to i u záruky, kdy hradíme standardní variantu záruky (tedy nikoli NBD (= next business day), předplacené výjezdy v ceně záruky, atd.). Zde stejně jako u podpory platí uznatelnost na 3 roky při uzavření v roce 2024, pokud časově nepřesahuje za rok 2026, u delší doby se opět započítává jen část do doby dokončení projektu.

  

Realizujeme projekt Log Managementu, kdy smlouva na veřejnou zakázku byla podepsána v listopadu 2022 a plnění probíhá ve třech fázích, fáze 1 byla ukončena a předána 10. 5. 2023. Ve Výzvě je uvedeno: "Zahájením projektu se rozumí datum zahájení fyzické realizace projektu, tj. započetí aktivit směřujících k dosažení stanovených milníků a cílů. Fyzická realizace projektu může začít již před schválením finanční podpory pro projekt, tedy před vydáním právního aktu, nicméně musí být v souladu s právním aktem, podmínkami o realizaci projektu, právním rámcem a metodikami Národního plánu obnovy, nejdříve však od 1. 7. 2023.". Pochopili jsme správně, že náklady vynaložené ve fázi 1 nebudou způsobilé? Případně je možné financovat část zakázky, která byla realizována až od data 1. 7. 2023?

Způsobilost nákladů je od 1.7.2023, tedy pokud byla uvedená část ukončena / předána před tímto datem, nelze ji zahrnout. Naopak další fáze zahrnout lze, stejně tak služby související s fází 1 a dalšími, pokud existují, od uvedeného data.

  

Jednou z podmínek realizace je provedení závěrečného auditu - je známo, kdo konkrétně bude audit provádět? Nebo bude těchto auditorských firem splňujících požadavky dle vyhlášky č. 82/2018 Sb. více a bude možno si konkrétního auditora zvolit?

Audit je součástí projektu, tedy jej zajišťuje realizátor - je to zcela na vás.

  

Ve výzvě jsou uvedeny závazné limity způsobilých výdajů, a to i pro max. hodinovou mzdu při uzavření DPP / DPČ. Chápeme to správně, že se jedná o osobu na DPP / DPČ, která se podílí na realizaci projektu a jedná se o externí osobu, která není zaměstnaná v organizaci? Poprosím o přesnější definici této osoby, zda-li se může jednat o externistu, který bude mít na starosti např. správu systémů?

Ano, chápete to správně, že se jedná o osobu na DPP / DPČ, která se podílí na realizaci projektu a jedná se o externí osobu, která není zaměstnaná v organizaci, podrobnější informace ke způsobilosti osobních výdajů naleznete v pokynu pro příjemce, který je zveřejněný zde: https://www.mvcr.cz/npo/clanek/dokumenty-programove-dokumenty-programove-dokumenty.aspx

  

Jak je to u SW s uznatelností prodloužené záruky, která je pro žadatele výrazně finančně výhodnější a je součástí pořizovací ceny produktů?

Neuznatelnými náklady projektu jsou ty, které jdou časově za dobu dokončení realizace projektu v NPO. V případě objednání podpor, licencí, záruk atd. vás samozřejmě nelimitujeme objednáním podpory na tuto dobu, protože to, jak správně píšete, není s ohledem na povinnou udržitelnost projektu ekonomicky výhodné, případně ani možné, v tom případě započítáte poměrnou část.

  

V kap. 3.3 je uvedeno: "Příjemce (OSS) si narozpočtuje peněžní prostředky ve své rozpočtové kapitole. Příjemcům (SPO) budou finanční prostředky poskytovány prostřednictvím rozpočtové kapitoly zřizovatele (předfinancování)." Znamená to tedy, že tyto organizace (OSS či SPO) - žadatelé - požádají "své" ministerstvo o přidělení finančních prostředků na proplacení nákladů zhotoviteli, tedy na realizaci projektu zajišťující kybernetickou bezpečnost, a po realizaci akce obdrží dotaci z NPO přímo žadatel či zřizovatel? Respektive jaká je posloupnost poskytnutí dotace na základě vzniklých nákladů: žadatel - zřizovatel - NPO?

Pokud dojde k podpisu právního aktu na realizaci projektu s žadatelem, ten na základě toho požádá o přidělení prostředků na realizaci projektu "své" ministerstvo (rozpočtovou kapitolu), pokud již tak neučinil při tvorbě SR v předešlém roce. Po dokončení realizace projektu a odsouhlasení žádosti o platbu, kterou NPO předloží u EK, přijdou peníze (refundace) na účet MPO a následně zpět do SR prostřednictvím kapitoly, která prostředky vydala. Netýká se DPH, které není ze strany EK refundováno.

  

V případě indikátorů "Dokument potvrzující zvýšení kybernetické bezpečnosti" a "Dokument potvrzující úspěšné testování a ověření souladu s požadavky na kybernetickou bezpečnost" bude relevantním naplněním a doložením finální audit kybernetické bezpečnosti?

Nebude. Máte v rámci projektu doložit : 1) certifikát nebo AP dokládající realizaci plánovaných aktivit a zvýšení kybernetické bezpečnosti informačního systému (např. AP potvrzený dodavatelem a žadatelem), 2) Seznam všech systémů, jejichž kybernetická bezpečnost byla posílena (popis dotčených systémů a způsob, jak k posílení kybernetické bezpečnosti došlo - vazba na projekt), 3) audit dle VKB, respektive zpráva z provedeného auditu.

  

Z výzev nám není jasné, zda jde o financování ex-ante, nebo ex-post. Jak zajistíme prostředky na realizaci projektu?

Jedná se o ex-post financování, kdy u příjemců navázaných na některou rozpočtovou kapitolu se jedná o ex-post s předfinancováním z rozpočtu SR. Ostatní příjemci si musí předfinancování zajistit z vlastních zdrojů a průběžně po předložení a schválení žádosti o platbu jsou jim vynaložené prostředky refundovány dvakrát ročně (půlroční monitorovací období).

  

Informace k max. možné výši podpory v %? Bude to 100 % jako u většiny projektů v rámci NPO? Prostředky budou poskytnuty kdy?

Ano, podpora je 100%, je však třeba z vlastních zdrojů hradit DPH. I když prostředky EK budou poskytnuty až po naplnění indikátorů a odsouhlasení EK po dokončení projektu, vy si prostředky po podpisu právního aktu k projektu NPO budete žádat u svého nadřízeného orgánu, viz další odpovědi.

  

Existuje v rámci NPO / MVČR obecná metodika k výběrovým řízením, kromě ZVZ nebo jsou dostupné jen tyto formuláře, "Programové dokumenty - Národní plán obnovy" na webu mvcr.cz

V průběhu prosince vyjde aktualizovaný Pokyn pro příjemce, který bude mít novou přílohu - Pokyn pro zadávání VZMR. Ta bude od data zveřejnění povinná pro všechny žadatele.

  

Ve výzvě uvádíte dva termíny ve vztahu k realizaci projektu: Datum cílové hodnoty (indikátoru): 31. 12. 2025 a Nejzazší datum pro ukončení fyzické realizace projektu: 31. 5. 2026. Který z termínů se týká uznatelnosti nákladů projektu?

Uznatelnost nákladů projektu je pouze po dobu realizace projektu, tedy záleží na harmonogramu a termínu dokončení konkrétního projektu, uvedenému v žádosti, resp. na termínu ukončení realizace projektu, definovaném v Právním aktu a jeho podmínkách. Toto období je pak závazné pro všechny typy nákladů / výdajů projektu. Tzn. je-li výdaj smluvně vázán na časový úsek, přesahující datum ukončení realizace projektu, jsou výdaje, které se váží k časovému období po ukončení realizace projektu hrazeny z prostředků příjemce, a to i v případě, že byly uhrazeny ještě v době realizace projektu.

  

Je možné mezi způsobilé / uznatelné výdaje projektu zahrnout i služby na servis a nutný provoz (maintenance) majetku?

Ano, tyto výdaje lze zahrnout mezi způsobilé výdaje, za předpokladu, že jsou vynakládány v souvislosti s vazbou na plnění definovaného milníku / cíle a/nebo stanovených monitorovacích indikátorů. Tyto služby musí být řádně popsány již v žádosti a musí být řádně vysoutěženy, při respektování principů hospodárnosti. Konečným datem způsobilosti těchto výdajů je datum ukončení realizace projektu, definovaném v Právním aktu a jeho podmínkách.

  

Plánujeme uzavřít smlouvu s externím provozovatelem SOC a tyto náklady zahrnout mezi uznatelné, lze takové řešení využít a na jakou dobu je lze vykázat v rámci projektu?

Pokud je externí SOC obsažen ve vstupní analytické dokumentaci a je součástí vašeho řešení kybernetické bezpečnosti, lze tyto náklady do projektu zahrnout. Termín uznatelnosti nákladů souvisí s vámi uvedeným termínem dokončení realizace projektu v žádosti, resp. s termínem ukončení realizace projektu, definovaném v Právním aktu a jeho podmínkách, náklady jsou uznatelné pouze po dobu realizace projektu.

Vaše řešení jako celek spadá do povinné udržitelnosti, po dokončení projektu hradíte jeho provoz po celou dobu udržitelnosti projektu NPO z vlastních prostředků.

  

Které části projektu se týká povinná udržitelnost, investic nebo i provozu?

Udržitelnost se netýká částí, ale celku. Žadatel v žádosti definuje způsob řešení a výstupy projektu, příjemce dotace NPO musí po dokončení realizace projektu udržet výstupy projektu po celou dobu navazující udržitelnosti, toto hradí z vlastních zdrojů. Doba udržitelnosti je definována v Právním aktu a jeho podmínkách, zpravidla po dobu 5 let od data ukončení realizace projektu, minimálně do konce roku 2026.

  

Stará verze FAQ

1. Připravili jsme projekty, k nimž byly podány žádosti o podporu v rámci 3. výzvy IROP - Kybernetická bezpečnost. K těmto projektům již Odbor hlavního architekta eGovernmentu (OHA) vydal Souhlasné stanovisko OHA souladu s ICT architekturou, příp. je tento proces před dokončením. Pokud budeme jako žadatel podávat žádosti (znovu) k projektům do výzvy NPO, a nedojde u nich ke změně ve smyslu opatření, vazby na ICT architekturu, atp., je možné využít tato již vydaná souhlasná stanoviska OHA?

V případě, kdy žadatel disponuje Souhlasným stanoviskem OHA na předkládaný projekt (například z důvodu, že podal žádost o finanční podporu z IROP), předloží toto stanovisko spolu s čestným prohlášením, že věcně a architektonicky se obsah projektu nemění. Čestné prohlášení by se mělo vyjadřovat stanovisko žadatele, že tento projekt rozšiřuje aktuálně realizovaná opatření kybernetické bezpečnosti zcela v intencích původní schválené architektury

V případě, že tento projekt zamýšlí zcela nové řešení kybernetické bezpečnosti a změnu bezpečnostní architektury, doporučujeme obrátit na OHA (oha@dia.gov.cz) a získat kladné vyjádření formou stanoviska, nebo jinou dohodnutou formou.

  

2. Kdy musíme jako žadatel do výzvy NPO předložit Souhlasné stanovisko OHA?

Souhlasným stanoviskem OHA musí žadatel disponovat před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace, tj. není potřeba jím disponovat v době podání žádosti o podporu. Zde není třeba doložit ani dokument potvrzující formální podání žádosti o stanovisko či jiný takovýto dokument.

Pokud projekt nemá povinnost disponovat Souhlasným stanoviskem OHA dle usnesení vlády č. 86 ze dne 27. ledna 2020 dle platného znění a dle zákona č. 365/2000 Sb. o informačních systémech veřejné správy, předloží prohlášení žadatele o tom, že projekt nemusí mít Souhlasné stanovisko OHA.

  

3. V rámci připravované výzvy je jednou z podporovaných aktivit "Pořízení a implementace nástroje pro správu aktiv a řízení rizik a zranitelností". Musí projekt naplňovat všechny body z takového kritéria? (Opatření by např. nemuselo zahrnovat opatření proti zranitelnosti.) Musí být tedy dané kritérium splněno vždy bezezbytku?

Projekt nemusí naplňovat všechny body, pokud to není z pohledu příjemce potřeba či plánovaný projekt řeší pouze výseč bezpečnostních opatření vzešlých z potřebných bezpečnostních analýz. Žadatel vybírá a komentuje jednotlivá zvolená opatření v produktovém rozpadu, viz otázka č. 7.

  

4. Jednou z povinností příjemce je vyhotovit bezpečnostní audit. Musí takový audit provádět pouze certifikovaná firma?

Auditor provádějící finální bezpečnostní audit musí splňovat parametry

• vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), kde

  • v § 7 ods. 4) jsou uvedeny požadavky na roli Auditora kybernetické bezpečnosti,

  • v příloze č. 6, tab. 4 jsou uvedeny doporučení pro Auditora kybernetické bezpečnosti i s relevantní certifikací (Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified in Risk and Information Systems Control (CRISC), Lead Auditor Information Security Management Systém (Lead Auditor ISMS), Auditor BI (akreditační schéma ČIA),

• případně certifikace může být i jiná než výše uvedená, jestliže certifikace dokládající odbornou způsobilost bezpečnostních rolí splňuje požadavky ISO 17024 - Posuzování shody.

  

5. Některé firmy okolo kybernetické bezpečnosti nám tvrdí, že podmínkou získání dotace z NPO bude i bezpečnostní audit současného stavu ICT. Budeme jako žadatel potřebovat opravdu dva audity - na začátku a na konci projektu?

Provedení nového bezpečnostního auditu organizace není podmínkou získání dotace. Je nicméně potřebné, aby prováděné technické opatření zvyšující kybernetickou bezpečnost konkrétního informačního systému vycházelo z konkrétní bezpečnostní dokumentace. V povinné příloze (viz otázka č. 7) by měl být popsán výchozí stav a důvody realizace projektu, za jeho správnost odpovídá žadatel. Součástí žádosti o financování projektu může být i aktualizace bezpečnostní dokumentace, nicméně tato aktualizace může být jen doprovodnou aktivitou vlastní realizace technických opatření ke zvýšení kybernetické bezpečnosti informačních systémů, nesmí být jediným výstupem projektu.

Je nicméně možné využít již existující dokumentaci a projekt zaměřit jen a pouze na realizaci technických opatření. Existenci dokumentace a návaznost realizovaných technických opatření na její závěry zkoumá na konci projektu nezávislý auditor. Doložení kladného výsledku auditu je jedním z povinných indikátorů projektu.

  

6. Předpokládáme, že jako podklad ke stanovení cen (hodnot do rozpočtu) využije žadatel cenový průzkum. Vzhledem k tomu, že jsme již připravili obdobný projekt v rámci 3. výzvy IROP, který však nebude v IROP realizován, můžeme využít tento již existující cenový průzkum? Nebo je platnost cenového průzkumu metodikou nějak časově omezena?

Cenový průzkum připravovaný za účelem podání žádosti o finanční podporu z IROP je pro NPO dostačující - žadatelem by měla být posouzena jeho relevantnost v postupujícím čase.

  

7. Na jaké další důležité dokumenty a přílohy máme být připraveni v případě podání žádosti do NPO v oblasti kybernetické bezpečnosti?

Částečně bude potřebná dokumentace bude vycházet z obdobné výzvy č. 9 - viz Aktuálně otevřené výzvy - Národní plán obnovy (mvcr.cz).

Nad rámec tohoto bude potřeba doložit jeden z následujících dokumentů

• Studie proveditelnosti, nebo

• Jiný dokument odůvodňující hodnotu projektu vůči plánovaným aktivitám (cenový průzkum, analýza na základě projektů obdobného rozsahu atd., čestné prohlášení není uznatelné) - struktura není dána.

Povinnou součástí žádosti o podporu je i předem definovaný produktový rozpad vycházejí z podoby vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti). Tento produktový rozpad zároveň stanovuje maximální okruh aktivit, které jsou způsobilé.

Není možné podat žádost o podporu na projekt, jehož obsahem jsou jen a pouze opatření dle § 3 vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti.

Další dokládané dokumenty:

• Souhlasné stanovisko OHA dle usnesení vlády č. 86 ze dne 27. ledna 2020 dle platného znění a dle zákona č. 365/2000 Sb., o informačních systémech veřejné správy (může být doloženo později, nejpozději však před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace ) / Prohlášení žadatele o tom, že projekt nemusí mít Souhlasné stanovisko OHA - viz dotaz č. 2;

• Čestné prohlášení žadatele k Souhlasnému stanovisku OHA (týká se projektů z výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost) - žadatel volnou formou prohlásí, že věcně a architektonicky se obsah projektu nemění (viz dotaz č. 1);

• Plná moc od statutárního zástupce organizace pro ředitele projektu (pokud ředitelem projektu není statutární zástupce organizace);

• Podrobný rozpočet projektu, obsahuje rozpad finančních nákladů na jednotlivé plánované komponenty a služby, přehledně uspořádaný do tabulky;

• Studie proveditelnosti (je-li zpracována) / dokument odůvodňující hodnotu projektu vůči plánovaným aktivitám (viz výše);

• Harmonogram projektu;

• Čestné prohlášení;

• Čestné prohlášení ke střetu zájmů;

• Interní akt příjemce pro zadávání veřejných zakázek (je-li vydán);

• Kompletní dokumentace k ukončeným VZ, příp. poskytnutí přístupových údajů do elektronického nástroje pro zadávání VZ (např. NEN), Seznam dodavatelů, poddodavatelů - skutečných majitelů, Seznam osob, které se podílely na výběru dodavatele a Čestné prohlášení ke střetu zájmů (ve vztahu v VZ) - (v případě administrace projektové žádosti v MS2014+ vložením do modulu VZ);

• Pověřovací akt k poskytování SOHZ / Dokument, kterým žadatel prokáže předložení Pověřovacího aktu k poskytování SOHZ nejpozději k datu vydání právního aktu (je-li relevantní);

• Popis výchozího stavu zajištění kybernetické bezpečnosti (vzor bude přílohou výzvy);

• Souhlasné stanovisko zřizovatele s realizací projektu.

  

8. Jaký je vztah NPO a IROP? Mohu požádat o finanční podporu z NPO v případě, že

1. mám úspěšný projekt v rámci výzvy č. 3 IROP

2. nemám úspěšný projekt v rámci výzvy č. 3 IROP

V případě, kdy zájemce o financování z NPO má úspěšný projekt v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace), není možné podat žádost o financování z NPO na stejný projekt ani z části.

V případě, kdy zájemce o financování z NPO je neúspěšný žadatel z v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost, například v rámci převisu poptávky z výzev IROP č. 3, 4 a 5, je možné podat žádost o financování na stejný / obdobný projekt.

V tomto případě žadatel, jehož projekt bude doporučen k financování z NPO, musí před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace (žadatel bude vyrozuměn o tom, že je doporučen k financování) stáhnout žádost z IROP (dle Obecných pravidel pro žadatele a příjemce IROP, kap. 14) a v NPO předložit Čestné prohlášení o tom, že stáhl žádost o financování z IROP (vzor bude přílohou výzvy).

  

9. Jak máme chápat počet informačních systémů, u nichž došlo k posílení kybernetické bezpečnosti ve smyslu zákona 181/2014 Sb. o kybernetické bezpečnosti? Budeme chtít zabezpečit jeden klíčový systém, ale zavedení technického opatření bude mít dopad i na řadu dalších provozovaných informačních systémů.

Každý projekt musí doložit minimálně 1 informační systém posílený ve smyslu zákona o kybernetické bezpečnosti. Celkový počet zabezpečených IS by měl samozřejmě zahrnovat všechny systémy, u kterých došlo v rámci projektu a realizovaných technických opatření k posílení jejich kybernetické bezpečnosti.

  

10. Jak doložíme zvýšení kybernetické bezpečnosti u informačního systému, ke kterému nebudeme mít uváděné osvědčení o dokončení prací dodavatelem?

Součástí dokladů ke splnění indikátoru je kromě Osvědčení i Seznam IS a Popis realizace. Pokud budete mít ke konkrétnímu IS osvědčení, např. akceptační protokol od dodavatele, doložíte ho.

Pokud pořídíte bezpečnostní nástroj, který bude mít dopad na řadu dalších provozovaných informačních systémů, tyto informační systémy zahrnete do Seznamu a zároveň v Popisu uvedete způsob jejich zabezpečení (doporučujeme pro přehlednost zpracovat aplikační architekturu, která doloží propojení pořizovaných produktů na chráněné aplikace). Současně pak tyto skutečnosti ověří a potvrdí závěrečný audit, který je pro každý projekt povinný.

  

11. V podporovaných aktivitách je bod "Zabezpečení komunikační sítě v rozsahu L2 / L3 switche a nástroje pro segmentaci datové komunikační sítě, NAC, 802.1X". Lze chápat, že v rámci tohoto bodu bude uznatelný náklad pouze pořízení aktivních prvků, ale vzhledem k bodu "Nepodporované aktivity", tak pořízení nové strukturální kabeláže, již ne?

Pořízení či rekonstrukce elektrických či kabelových rozvodů a tedy i strukturované kabeláže, stejně jako zabezpečení prostor, vybavení serverovny, stavební úpravy, atd. nejsou uznatelným výdajem v rámci těchto otevřených výzev NPO.

  

12. V podporovaných aktivitách jsou body "Pořízení a implementace nástroje ... a Servery a disková úložiště, která budou přímo využita v rámci zajištění kybernetické bezpečnosti (virtualizace, ukládání logů, servery bezpečnostních systémů, aj.)". Lze chápat, že v rámci těchto nástrojů bude uznatelným výdajem také pořízení vlastního HW (tj. železa, resp. serverů, NAS, atp.), na kterých vlastní nástroje poběží, resp. v rámci virtualizovaného prostředí?

Koncová zařízení nejsou uznatelným výdajem vyjma právě nutného HW pro nově pořízený bezpečnostní nástroj. Zodpovědnost za doložení účelu pořizovaného HW / SW a jeho rozsah je plně na žadateli.

  

13. V rámci téhož bodu "Servery a disková uložiště ..." lze jako uznatelný výdaj chápat také pořízení serverové technologie, která bude sloužit pro vytvoření bezpečného prostředí na způsob Sandboxů, atp., které bude sloužit k výuce technologií vedoucí ke kybernetické bezpečnosti?

Pokud v dotazu uvádíte slovo "výuka", zde je třeba zdůraznit, že aktivity související se vzděláváním zaměstnanců či administrátorů v oblasti kybernetické bezpečnosti nejsou uznatelným výdajem. Předmětem projektu musí být primárně posílení kybernetické bezpečnosti stávajících informačních systémů, tj. zajištění zvýšeni důvěrnosti, integrity a dostupnosti informací a dat v relevantním IS. Proto pořízení izolovaného výukového prostředí do předmětu takového projektu nezapadá.

  

14. Jaká je časová způsobilost výdajů?

Časová způsobilost výdajů je uvedena v Informacích a bude vždy uvedena ve výzvě, nicméně počáteční datum uznatelnosti výdajů projektu je 1. 7. 2023, konečné datum pro splnění monitorovacích indikátorů a doložení požadovaných dokladů je konec roku 2025.

  

15. Slyšeli jsme, že je v projektech NPO nutné komunikovat v angličtině, je to pravda?

Částečně ano. V průběhu realizace projektu se předkládají monitorovací zprávy, které je z části nutné vyplňovat v angličtině. Nicméně žádost o finanční podporu se podává v češtině, stejně tak komunikace s Vlastníkem komponenty (Ministerstvem vnitra) probíhá v češtině.

  

16. Uznatelným výdajem není DPH, proč? Musíme upravovat rozpočet projektu, který jsme již dříve předložili do IROP včetně DPH, také ve studii proveditelnosti je DPH uvedena?

Dle podmínek Evropské komise (RRF) je DPH nezpůsobilým výdajem, to znamená, že ho nelze v rámci NPO financovat z rozpočtu EU a není ze strany EK refundováno. Každý žadatel si musí DPH hradit z vlastních zdrojů. Pro účely evidenční a kontrolní Ministerstvo vnitra jakožto vlastník komponent zahrnuje částky DPH vztahujících se ke způsobilým výdajům financovaných z EU (NPO) do celkových způsobilých výdajů projektu. V rámci jednotlivých žádostí o platbu (ŽoP) bude tudíž příjemce částku DPH vykazovat, bude součástí schváleného vyúčtování, ale financovaná pouze z vlastních zdrojů.

  

17. Strategie nám ukládá zejména opatření v oblasti fyzické bezpečnosti, v jakém poměru mohou být výdaje na tato opatření v rámci projektu?

Řešení pro fyzickou bezpečnost nejsou uznatelným výdajem v otevřených výzvách NPO, proto doporučujeme z vašich opatření vybrat ta, která fyzickou bezpečnost a koncová zařízení nezahrnují, případně projekt do NPO nepodávat, byl by z uvedených důvodů vyřazen.

  

18. Pokud pořídíme nový bezpečnostní software, může být uznatelným výdajem i školení zaměstnanců?

Školení zaměstnanců, nákup školícího SW atd., byť v oblasti kybernetické bezpečnosti, není uznatelným výdajem v otevřených výzvách NPO. Výjimkou je obvyklý formát školení administrátorů, které dodavatel SW z oblasti kybernetické bezpečnosti poskytne v rámci dodávky. Toto nezahrnuje obecná či certifikovaná školení, poskytovaná školícími agenturami, která lze považovat za vzdělávání.

  

19. Hodnocení přijatých žádostí bude probíhat průběžně nebo až po ukončení příjmu žádostí?

Hodnocení přijatých žádostí bude probíhat průběžně, jak budou předkládány, aby úspěšní žadatelé mohli co nejdříve zahájit realizaci projektu.

  

20. Jaké přímé (realizační) výdaje v rámci projektu je možné hradit?

Pokud je v rámci projektu pořizován dlouhodobý hmotný a nehmotný majetek (specifikovaný již v Žádosti o finanční podporu), který tvoří nedílnou a nezbytnou složku pro dosažení účelu a výstupu projektu, je způsobilá pořizovací cena daného majetku. Rovněž jsou způsobilé výdaje na jeho technické zhodnocení a servis v době realizace projektu. Za způsobilé tedy lze považovat výdaje na pořízení, servis (v době realizace projektu) a nutný provoz majetku (v době realizace projektu), který byl v rámci plnění milníku / cíle a indikátorů projektu pořízen, a to dle skutečných výdajů a při respektování principu hospodárnosti.

V rámci projektů hrazených z NPO jsou tedy způsobilé všechny relevantní výdaje přímo spojené s implementací projektu a vynaložené v souvislosti s účelem a výstupy projektu, tedy s vazbou na plnění reforem a investic a musí být nezbytné k naplnění milníku / cíle projektu (včetně nezbytného vybavení pro realizaci projektu, dodávek a služeb), tj. tzv. přímé výdaje. Tyto přímé výdaje musí být zaúčtovány a přiřazeny přímo k projektu.

  

21. Mezi oprávněnými žadateli do připravovaných výzev v oblasti zajištění kybernetické bezpečnosti NPO uvádíte i kraje / obce; organizace zřizované nebo zakládané kraji / obcemi. Je možné počítat i s podporou pro podřízené organizace organizací zřizovaných nebo zakládané obcemi / kraji?

Podřízené organizace organizací zřizovaných nebo zakládaných obcemi/kraji nemohou počítat s podporou z NPO jako žadatelé. Organizace zřizované / zakládané přímo kraji / obcemi požádat mohou. Vycházíme zde ze §23 zákona 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů. U těchto subjektů se bude ověřovat ze zakládacích / zřizovacích listin, že subjekt je skutečně založen nebo zřízen obcí / krajem.

  

22. Budou v souvislosti se zajištěním dostupnosti informací způsobilým výdajem i náklady na pořízení záložních zdrojů napájení pro servery a sdílená datová uložiště?

Koncová zařízení samotná nejsou uznatelným výdajem. Výjimkou je HW nutný pro vlastní provoz nově pořízených bezpečnostních nástrojů. Projekt, obsahující pouze řešení zálohování při výpadku napájení není uznatelným výdajem v otevřených výzvách NPO.

  

23. V projektech NPO je oproti IROP uznatelnost služeb. Můžeme v rámci projektu využít nabídku IT firem a převést služby kybernetické bezpečnosti mimo naši organizaci s tím, že platby za tyto služby budou uznatelným nákladem v projektu NPO?

Zmíněná uznatelnost služeb v projektech NPO se týká například IT spolupráce s dodavatelem či třetí stranou při nastavení bezpečnostního nástroje, případně samotném provozu bezpečnostního systému, a to do doby ukončení projektu (nejpozději do 05/26). Nepřekročitelnou podmínkou zde je, aby tento výdaj byl v souladu s pravidly NPO - viz otázka č. 20. Je třeba si ovšem uvědomit, že příjemce má za povinnost držet udržitelnost výstupů projektu po dobu minimálně pěti let od ukončení realizace projektu. Po tuto pětiletou lhůtu udržitelnosti jdou veškeré výdaje s tímto spojené na vrub příjemce finanční podpory.

Činnosti, které nejsou realizované v souladu s požadavky zákona č. 181/2014 Sb. o kybernetické bezpečnosti, nejsou uznatelným výdajem v rámci projektu kybernetické bezpečnosti v NPO.

Služby třetí strany (např. SOC, analýzy síťového provozu) tak mohou být uznatelným výdajem v otevřených výzvách NPO, pokud jejich úhrada je nezbytná pro splnění cíle projektu a monitorovacího indikátoru a dané probíhá v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (například, že služby jsou poskytovány na infrastruktuře příjemce (KII a VIS), případně i na jiných platformách (u systémů nespadající do kategorie KII a VIS).

  

24. Ve zveřejněných informacích se neuvádí limit projektů na jednoho žadatele, může žadatel podat jednu nebo i více projektových žádostí?

Počet žádostí žadatele není omezen.

  

25. Bude nějak omezena výše max. způsobilých výdajů na jeden projekt nebo jednoho žadatele?

Ve výzvě bude uvedeno rozpětí způsobilých výdajů na projekt, nikoli na žadatele. Pro kraje i obce se předpokládá limit 50 mil. na projekt.

  

26. Uvádíte mezi podporovanými aktivitami „Dodávka a implementace SIEM, služby SOC.“ Zajímalo by mě, zda služby security operations center (SOC) budou způsobilé pouze pro SIEM, nebo bez tohoto omezení. 

Dodávka a implementace SIEM není podmínkou pro využití služby SOC, který může provést služby analýzy nad daty, generovanými nejen v SIEM, ale i v jiném bezpečnostním nástroji. Záleží na žadateli, jaké IS a způsob jejich zabezpečení zvolí s ohledem na efektivitu projektu.

  

27. Budou úspěšní žadatelé z výzvy NPO č. 25 oprávněnými příjemci v připravované výzvě na kybernetickou bezpečnost? Ze zveřejněných informací vyplývá, že budou podpořeny stejné aktivity jako ve zmíněné výzvě.

Výzva NPO č. 25 je zaměřena na zvýšení kybernetické bezpečnosti pro konkrétní zdravotnická zařízení v Praze, příjemci z výzvy NPO č. 25 jsou vyloučeni z připravovaných výzev NPO na podporu kybernetické bezpečnosti.

  

28. Uvádíte, že prováděné technické opatření zvyšující kybernetickou bezpečnost musí vycházet z konkrétní bezpečnostní dokumentace. Bude dostatečný interní popis současného stavu kyberbezpečnosti v organizaci, nebo se bude muset jednat o externě zpracovaný nezávislý dokument? Je možné využít již zpracovanou a platnou dokumentaci, nebo je třeba za účelem projektu NPO zpracovávat nové materiály?
Dále se uvádí, že jednou z povinných příloh bude Popis výchozího stavu zajištění kybernetické bezpečnosti (vzor bude přílohou výzvy). Bude po vyplnění této vzorové přílohy splněna podmínka pro doložení výchozí bezpečnostní dokumentace, nebo v jaké podobě a v jakém rozsahu bude tato vstupní dokumentace požadována a v jaké podobě předkládána?

Každý žadatel musí mít/vytvořit analýzu kybernetické bezpečnosti, na základě nálezů připravuje projekt konkrétního posílení kybernetické bezpečnosti vybraného IS a v závěru bude vůči ní auditor posuzovat splnění - stav před/po. Forma dokumentace není předepsána, protože různé organizace a typy IS mají svá pravidla a pokud vedení organizace vykáže analýzu vytvořenou interně za oficiální závazný dokument, je to možné - zodpovědnost je na žadateli.

Žadatel ke své žádosti nepřikládá žádné analýzy ani bezpečnostní dokumentaci, tu vždy ponechává u sebe, dokumenty mají většinou vyšší úroveň důvěrnosti. Popis výchozího stavu ve stručné a strukturované formě slouží k definování projektu a zvolených činností ve vazbě na §VKB a bude přílohou výzvy. Žadatel vyplní pouze tento popis výchozího stavu a vybraná technická opatření k posílení kybernetické bezpečnosti, která z dokumentace vychází a jsou předmětem projektu, tato příloha nahrazuje konkrétní bezpečnostní dokumentaci, kterou žadatel s žádostí NPO nepředkládá. Zmíněná bezpečnostní dokumentace bude sloužit pro potvrzení oprávněnosti zvolených opatření a porovnání počátečního a cílového stavu auditorem, případně pro účely kontroly projektu.

  

29. V rámci odpovědi na otázku č. 8 máme upřesňující dotaz ohledně situace „kdy zájemce o financování z NPO má úspěšný projekt v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace), není možné podat žádost o financování z NPO na stejný projekt ani z části. … V tomto případě žadatel, jehož projekt bude doporučen k financování z NPO, musí před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace (žadatel bude vyrozuměn o tom, že je doporučen k financování) stáhnout žádost z IROP (dle Obecných pravidel pro žadatele a příjemce IROP, kap. 14) a v NPO předložit Čestné prohlášení o tom, že stáhl žádost o financování z IROP (vzor bude přílohou výzvy).“ Chápeme, že financovat stejný projekt duplicitně nelze, ale jak postupovat, pokud bychom chtěli v rámci projektu NPO pořídit doplňující/návazné dodávky a služby, které jsou stejně jako náš projekt v IROP zaměřeny na kybernetickou bezpečnost informačních systémů organizace, ale z projektu IROP podpořeny nejsou. 

Připravovaná NPO výzva na posílení kybernetické bezpečnosti je v první řadě zaměřena na žadatele, kteří buď připravují zcela nový projekt kybernetické bezpečnosti a tedy nepodávali žádost do výzev IROP, a dále na neúspěšné žadatele z výzev IROP č. 3 a č. 4 - Kybernetická bezpečnost, například z důvodu převisu poptávky, který byl pro EK významným důvodem právě k další podpoře oblasti kybernetické bezpečnosti.

Vámi zmíněná varianta, kdy úspěšný žadatel z IROP má zájem realizovat další obdobný projekt v NPO (realizace technických opatření, která směřují k zabezpečení stejných informačních systémů prostřednictvím jiných nástrojů), bude proto možná až v případné druhé vlně při nedočerpání alokace výzev NPO. Pokud k tomu dojde a úspěšný žadatel z výzev IROP předloží do výzvy NPO projektovou žádost, musí současně doložit, že realizované činnosti nejsou „stejné ani z části“ (viz výše), že nedochází k dvojímu financování aktivit z dotačních zdrojů a že projekty jsou a po celou dobu realizace zůstanou na sobě zcela nezávislé z pohledu plnění a vykazování procesu realizace, harmonogramu, financování, naplnění indikátorů, udržitelnosti a dokladování projektu.

Za tímto účelem žadatel předloží (nejpozději před podpisem právního aktu):

- Čestné prohlášení žadatele, obsahující identifikaci a specifikaci potvrzeného projektu/ů na posílení kybernetické bezpečnosti z výzvy IROP a identifikaci (bude doplněna před podpisem právního aktu) a specifikaci předkládaného projektu/ů na posílení kybernetické bezpečnosti do výzvy NPO a prohlášení, zda a v jaké části projekty předpokládají realizaci obdobných aktivit, které by bylo možno považovat za dvojí financování, jakým způsobem bude zajištěno oddělení činností a nezávislá realizace projektu z pohledu procesu realizace, harmonogramu, financování, naplnění indikátorů, udržitelnosti a dokladování projektu s vědomím, že dvojí financování shodných aktivit je v rámci dotačních projektů nepřípustné. Čestné prohlášení doplní dvěma povinnými přílohami:

- Přílohou č. 1 jsou souhlasná stanoviska OHA, zvlášť pro každý z projektů.

- Přílohou č. 2 je znalecký posudek nezávislého auditora, prokazující úplnost a nezávislost projektových záměrů z pohledu realizace technických opatření, která neobsahují duplicity a shodné činnosti, které by bylo možno považovat za dvojí financování aktivit, které je v rámci dotačních projektů nepřípustné.

  

30. V případě rozvoje aplikačního programového vybavení (APV) - je možné financovat z programu NPO jen tzv. krabicové řešení (komerční SW), nebo lze pořídit řešení, které je customizované dle požadavků objednatele? Lze v rámci projektu pořídit řešení, u kterého bychom nebyli vlastníky zdrojového kódu k danému řešení?

Pro předmět projektu někde vyhovuje dostatečně tzv. krabicové řešení, někdy může být součástí i customizace. Vlastnictví zdrojového kódu není podmínkou. Zvolený způsob řešení musí vždy nejlépe odpovídat naplnění účelu projektu, při zachování pravidel 3E - hospodárnost, účelnost a efektivnost. Zodpovědnost za zvolené řešení je na žadateli.

  

31. Je možné mezi oprávněné žadatele ve vyhlášených nebo připravovaných výzvách v oblasti zajištění kybernetické bezpečnosti NPO počítat i dopravní podniky?

V současné době nepatří dopravní podniky mezi oprávněné žadatele ve vyhlášených ani připravovaných výzvách v oblasti zajištění kybernetické bezpečnosti NPO.