FAQ k výzvám v oblasti zajištění kybernetické bezpečnosti
- Výzvy, alokace, oprávněnost žadatelů
- Příprava a podání žádosti a příloh
- Věcné zaměření a náplň projektu
- Realizace a dokončení projektu
- Stará verze FAQ
Výzvy, alokace, oprávněnost žadatelů
Můžete shrnout základní rozdíly obou dotačních titulů IROP a NPO?
Záleží předně na vašem záměru a jeho realizovatelnosti v čase, to je první rozdíl mezi NPO a IROP, kdy projekty v NPO musí být dokončeny do konce roku 2025 (splnění indikátorů projektu) a kompletně finalizovány do 31.5.2026.
Dále záleží na výši spolufinancování projektu z vaší strany, v rámci NPO není DPH uznatelným nákladem, to představuje 21%. Pak záleží na dohodě se zřizovatelem či příslušným ministerstvem, jak bude řešena související částka DPH.
Součástí uznatelných nákladů IROP nejsou výdaje za služby, v NPO mohou být služby související s pořizovanými nástroji v období realizace projektu uznatelným nákladem v projektu NPO. Zpětná uznatelnost nákladů projektu je od 1. 7. 2023. Právě u kybernetické bezpečnosti může být toto významným rozdílem, protože pořízení technologie u kybernetických nástrojů je pouze prvním a jednodušším krokem, související služby dávají řešení teprve smysluplnost a představují významný náklad v rámci celého projektu.
Proč je jiný pohled na řešení stejné kybernetické bezpečnosti mezi IROP a NPO? Měli jsme připravený kompletní projekt do IROP a nyní je v NPO všechno jinak.
Nastavení programu NPO a jeho indikátorů je výsledkem jednání s EK a výstupů, které je nutné EK ke konci 2025 doložit. V rámci žádosti IROP šlo o sledování aktivit podle § VKB, v žádosti do NPO je produktový rozpad vyplňován primárně podle informačních systémů, protože tomu odpovídá také indikátor výzvy. Jak je správně uvedeno, jedná se o jiný pohled na stejnou kybernetickou bezpečnost. Obsahově tedy není třeba na projektu nic měnit.
Jaký je vztah NPO a IROP? Mohu požádat o finanční podporu z NPO v případě, že
- máme úspěšný projekt v rámci výzvy č. 3 IROP
- nemáme úspěšný projekt v rámci výzvy č. 3 IROP
V případě, kdy je zájemce o financování z NPO zároveň úspěšným příjemcem dotace IROP (má úspěšný projekt v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost, tj. tento projekt získal rozhodnutí o poskytnutí dotace), nemůže podat žádost o financování z NPO výzev na kybernetickou bezpečnost.
V případě, kdy zájemce o financování z NPO je neúspěšný žadatel z v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost, například v rámci převisu poptávky z výzev IROP č. 3, 4 a 5, je možné podat žádost o financování na stejný / obdobný projekt.
V tomto případě žadatel, jehož projekt bude doporučen k financování z NPO, musí před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace (žadatel bude vyrozuměn o tom, že je doporučen k financování) stáhnout žádost z IROP (dle Obecných pravidel pro žadatele a příjemce IROP, kap. 14) a v NPO předložit Čestné prohlášení o tom, že stáhl žádost o financování z IROP (vzor bude přílohou výzvy).
V rámci odpovědi na předchozí otázku máme upřesňující dotaz ohledně situace "kdy zájemce o financování z NPO má úspěšný projekt v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace), není možné podat žádost o financování z NPO na stejný projekt ani z části. … V tomto případě žadatel, jehož projekt bude doporučen k financování z NPO, musí před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace (žadatel bude vyrozuměn o tom, že je doporučen k financování) stáhnout žádost z IROP (dle Obecných pravidel pro žadatele a příjemce IROP, kap. 14) a v NPO předložit Čestné prohlášení o tom, že stáhl žádost o financování z IROP (vzor bude přílohou výzvy)." Chápeme, že financovat stejný projekt duplicitně nelze, ale jak postupovat, pokud bychom chtěli v rámci projektu NPO pořídit doplňující/návazné dodávky a služby, které jsou stejně jako náš projekt v IROP zaměřeny na kybernetickou bezpečnost informačních systémů organizace, ale z projektu IROP podpořeny nejsou.
NPO výzva na posílení kybernetické bezpečnosti je v první řadě zaměřena na žadatele, kteří buď připravují zcela nový projekt kybernetické bezpečnosti a tedy nepodávali žádost do výzev IROP, a dále na neúspěšné žadatele z výzev IROP č. 3 a č. 4 - Kybernetická bezpečnost, například z důvodu převisu poptávky, který byl pro EK významným důvodem právě k další podpoře oblasti kybernetické bezpečnosti.
Vámi zmíněná varianta, kdy úspěšný žadatel z IROP má zájem realizovat další obdobný projekt v NPO (realizace technických opatření, která směřují k zabezpečení stejných informačních systémů prostřednictvím jiných nástrojů), bude proto možná až v případné druhé vlně při nedočerpání alokace výzev NPO. Pokud k tomu dojde, mohl by úspěšný žadatel z výzev IROP předložit do výzvy NPO projektovou žádost. Takový žadatel musí současně doložit, že realizované činnosti nejsou "stejné ani z části" (viz výše), že nedochází k dvojímu financování aktivit z dotačních zdrojů a že projekty jsou a po celou dobu realizace zůstanou na sobě zcela nezávislé z pohledu plnění a vykazování procesu realizace, harmonogramu, financování, naplnění indikátorů, udržitelnosti a dokladování projektu.
Za tímto účelem žadatel předloží (nejpozději před podpisem právního aktu):
- Čestné prohlášení žadatele, obsahující identifikaci a specifikaci potvrzeného projektu/ů na posílení kybernetické bezpečnosti z výzvy IROP a identifikaci (bude doplněna před podpisem právního aktu) a specifikaci předkládaného projektu/ů na posílení kybernetické bezpečnosti do výzvy NPO a prohlášení, zda a v jaké části projekty předpokládají realizaci obdobných aktivit, které by bylo možno považovat za dvojí financování, jakým způsobem bude zajištěno oddělení činností a nezávislá realizace projektu z pohledu procesu realizace, harmonogramu, financování, naplnění indikátorů, udržitelnosti a dokladování projektu s vědomím, že dvojí financování shodných aktivit je v rámci dotačních projektů nepřípustné. Čestné prohlášení doplní dvěma povinnými přílohami:
- Přílohou č. 1 jsou souhlasná stanoviska OHA, zvlášť pro každý z projektů.
- Přílohou č. 2 je znalecký posudek nezávislého auditora, prokazující úplnost a nezávislost projektových záměrů z pohledu realizace technických opatření, která neobsahují duplicity a shodné činnosti, které by bylo možno považovat za dvojí financování aktivit, které je v rámci dotačních projektů nepřípustné.
Realizujeme projekt v rámci kybernetické výzvy IROP č.5 a rádi bychom předložili žádost i do výzvy NPO, což aktuálně podle podmínek nejde, uvádíte možnost druhé vlny. Máte k tomu bližší informace?
V současné chvíli platí podmínka uvedená ve výzvě, že pokud příjemce realizuje projekt v rámci kybernetických výzev IROP, tak v našich výzvách není oprávněným žadatelem.
Nicméně průběžně dochází k vyhodnocení čerpání v jednotlivých výzvách pro podávání projektů na zajištění kybernetické bezpečnosti a je možné, že za určitých podmínek bude umožněno čerpat i příjemcům, kteří realizují projekty ve výzvách IROP (tzv. druhá vlna).
Co se myslí tzv. druhou vlnou (pro úspěšné žadatele IROP)? Je třeba počkat na její případné vyhlášení nebo může žadatel podat již teď žádost a bude podpořen případně až budou vyhodnoceny projekty žadatelů, kteří zatím žádný projekt nepodali nebo byli v IROP neúspěšní?
Druhá vlna bude případně následovat poté, co budou vyhodnoceny aktuálně podané žádosti a bude zřejmé, že zbývá volná alokace, která by mohla být využita pro tento typ žadatelů. O všech krocích bude vždy zveřejněna informace na stránkách NPO. Nedává smysl žádost nyní podávat, protože podmínky 2. vlny nejsou zatím nastaveny.
Jsme úspěšným žadatelem v rámci IROP výzva č. 3, ale v projektu NPO bychom rádi realizovali zcela odlišná řešení kybernetické bezpečnosti. Byl by takto pojatý projekt považován za obdobný projekt v NPO (realizace technických opatření, která směřují k zabezpečení stejných informačních systémů prostřednictvím jiných nástrojů), a tím pádem ho nebude možné podpořit?
Ve Vámi popisovaném případě není rozhodující, zda jsou projekty obdobné, nebo zda každý bude zajišťovat jiné IS nebo budou pořizována jiná technická opatření. Ve výzvě je uvedeno, že oprávněným žadatelem nemůže být žadatel, který realizuje projekt schválený v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace), to znamená, že v momentě, kdy realizujete projekt z výzvy IROP, nejste už oprávněným žadatelem ve výzvě NPO.
Slyšeli jsme, že by mohlo dojít k navýšení alokace u výzev, což by se týkalo jak úspěšných žadatelů z IROP (2. vlna), tak navýšení alokace zejména pro obce. Evidujete v nějakém seznamu další takové zájemce?
Pro obě skupiny platí to stejné - připravujte projekt a podklady do žádosti a pokud vám to aktuální podmínky výzvy dovolují, žádosti podávejte.
Na přelomu roku či v lednu 2024 dojde k vyhodnocení aktuálního čerpání v jednotlivých výzvách a NPO předloží návrh na změnu alokace u jednotlivých výzev. To by následně mělo efekt jak na zmíněnou 2. vlnu příjmu žádostí (úspěšní žadatelé z výzev IROP na kybernetickou bezpečnost), tak na převis žádostí u výzvy na obce, či na další skutečnosti, které by se do té doby projevily.
Nevedeme žádné seznamy, proto nezasílejte informace typu "připravujeme žádost, počítejte s námi", pracujeme pouze s podanými žádostmi prostřednictvím MS, proto je třeba podávat žádosti i do výzev, kde je případně již alokace naplněna.
Všechna rozhodnutí s dopadem na případné žadatele v našich výzvách budou vždy s dostatečným předstihem zveřejněny na stránkách NPO.
Mezi oprávněnými žadateli do připravovaných výzev v oblasti zajištění kybernetické bezpečnosti NPO uvádíte i kraje / obce; organizace zřizované nebo zakládané kraji / obcemi. Je možné počítat i s podporou pro podřízené organizace organizací zřizovaných nebo zakládané obcemi / kraji?
Podřízené organizace organizací zřizovaných nebo zakládaných obcemi/kraji nemohou počítat s podporou z NPO jako žadatelé. Organizace zřizované / zakládané přímo kraji / obcemi požádat mohou. Vycházíme zde ze §23 zákona 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů. U těchto subjektů se bude ověřovat ze zakládacích / zřizovacích listin, že subjekt je skutečně založen nebo zřízen obcí / krajem.
Je nějak omezen počet žádostí na jednoho žadatele? Může jeden žadatel podat více ucelených žádostí ve finančním rozsahu 5-50 mil. Kč bez DPH?
Počet žádostí na jednoho žadatele není omezen.
Jsou úspěšní žadatelé z výzvy NPO č. 25 oprávněnými příjemci v připravované výzvě na kybernetickou bezpečnost? Ze zveřejněných informací vyplývá, že budou podpořeny stejné aktivity jako ve zmíněné výzvě.
Výzva NPO č. 25 je zaměřena na zvýšení kybernetické bezpečnosti pro konkrétní zdravotnická zařízení v Praze, příjemci z výzvy NPO č. 25 jsou vyloučeni z připravovaných výzev NPO na podporu kybernetické bezpečnosti.
Může být oprávněným žadatelem ve výzvě 43 NPO Kyberbezpečnost pro zdravotnická zařízení i soukromé zdravotnické zařízení - nemocnice, poskytující zdravotní péči podle zákona č. 372/2011 Sb., o zdravotních službách za předpokladu, že bude mít před vydáním rozhodnutí o poskytnutí dotace vydán pověřovací akt SOHZ? Ve výzvě je podmínka Poskytovatel SOHZ musí být pověřen k výkonu SOHZ v souladu s rozhodnutím 2012/21/EU po celou dobu životnosti investice. Co by se stalo, pokud by pověření v průběhu realizace projektu již neměl?
Ano, pokud splňuje subjekt tyto podmínky výzvy, může být žadatelem ve výzvě č. 43. Pokud by pověření neměl po celou dobu realizace a udržitelnosti projektu, jednalo by se o porušení podmínky výzvy a dotace by nebyla EK uznána a žadatel by ji musel vrátit.
Mohou do Výzvy č 43 (subjekty zdravotní péče) předkládat žádosti i zdravotnická zařízení ze skupiny AGEL nebo je zde nějaké kritérium, které by je jako způsobilého žadatele vylučovalo?
Doporučujeme pročíst přílohu č. 10 týkající se veřejné podpory - pokud mají zdravotnická zařízení pověření SOHZ, jsou zřízena dle zákona č. 372/2011 Sb., o zdravotních službách a případně splňují další podmínky, tak jsou oprávněným žadatelem.
Jak je to s oprávněností žadatelů, podle zveřejněných výzev by některý subjekt splňoval podmínku oprávněnosti i pro dvě výzvy. Může si tedy vybrat?
Ne, ve výzvách jsou vždy doplněny výhrady v oprávněnosti žadatelů, např. pro subjekty zdravotní péče máme oborovou výzvu a i když by žadatelé splňovali podmínku oprávněných žadatelů v jiné z výzev, podávají pouze do té oborové.
V případě, že jsou žadatelem lázně, jež jsou státním podnikem, spadají do výzvy č. 42 (OSS + SPO) nebo mají podávat žádosti do výzvy č. 43 (subjekty zdravotní péče)?
Státní podniky nejsou ve výzvě č. 42 oprávněným žadatelem, pouze organizační složky státu a jejich příspěvkové organizace (to státní podniky nejsou), takže pokud jsou lázně zřízeny dle zákona č. 372/2011 Sb., o zdravotních službách, tak jsou oprávněným žadatelem ve výzvě 43 (pokud splňují podmínky dle přílohy č. 10 o veřejné podpoře).
Jsme příspěvková organizace Min. zdravotnictví, ale jsme zároveň částečně v režimu, kdy poskytuje některé služby zařazené v oblasti zdravotní péče podle zákona č. 372/2011 Sb., o zdravotních službách. Do které z výzev máme žádost předložit?
Do oborové výzvy 43 pro zdravotnictví platí striktně přiřazení souvisejícího subjektu, i když by splňoval případně podmínku oprávněného žadatele v jiné výzvě, nebo pro něj žádal zřizovatel.
Jsme SPO, ale zároveň jsme subjektem zdravotní péče. Do jaké výzvy můžeme žádat?
Oborová výzva na zdravotnictví je právě určena pro zdravotnické subjekty a zdravotnické projekty bez ohledu na to, zda splňují ještě podmínku oprávněného žadatele jinde, nebo zda by pro ně někdo žádost podával, např. obec/kraj jako zřizovatel.
Okruh žadatelů je omezen na tyto dvě právní formy: OSS a SPO. Jsme v.v.i. (veřejná výzkumná insituce).
Bohužel ve výzvách NPO na kybernetickou bezpečnost nejsou v.v.i. oprávněným žadatelem a nemohou být příjemcem podpory.
Jaký typ zdravotnického zařízení nebo organizace z oboru poskytovatelů zdravotní péče je ve výzvě oprávněným žadatelem?
Jak je uvedeno ve výzvě, tak oprávněnými žadateli jsou
- subjekty poskytující veřejnou službu v oblasti zdravotní péče podle zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách), ve znění pozdějších předpisů,
Další podmínkou uvedenou v příloze Veřejná podpora je, že
- Poskytovatel SOHZ musí být pověřen k výkonu SOHZ v souladu s rozhodnutím 2012/21/EU po celou dobu životnosti investice.
Pokud tedy splňuje žadatel podmínky, pak je oprávněným žadatelem.
Váháme, zda počkat na postup IROP u projektů "pod čarou" nebo podat žádost do NPO. Můžete nám poradit?
Alokace v IROP jsou v současné době vyčerpány, tj. čeká se na úspory z již realizovaných projektů. Uvolnění většího objemu finančních prostředků není v nejbližší době (řád měsíců) příliš pravděpodobné. Současně se zaplňuje alokace ve výzvách NPO.Pokud je záměr realizovatelný v čase dle výzvy, podáním žádosti do NPO nic neriskujete, teprve před podpisem právního aktu je nutné stáhnout žádost z IROP a tento krok doložit.
Je někde na webových stránkách přehled průběžného čerpání alokace výzev a bude nějakpravidelně aktualizován?
Ano, aktualizovali jsme stránky NPO, kde je nyní přehled vyhlášených výzev a pravidelně aktualizovaný stav čerpání alokace. Aktuální informace k výzvám na zajištění kybernetické bezpečnosti - Národní plán obnovy (mvcr.cz)
Sledujeme rychlé naplňování alokace výzev, zejména té pro obce. Má vůbec smysl připravovat a podávat žádost?
Rozhodně! Smysl to má nejen proto, že v tuto chvíli není alokace ještě vyčerpána, ale zejména proto, že plánujeme cca v lednu úpravy v rámci alokací těchto výzev, tedy další prostředky do výzev, kde alokace nestačí - a pokud o zájmu žadatelů o dotaci nevíme, chybí nám pro takový krok argument a odhad objemu případného navýšení. Proto je pro všechny potenciální žadatele podávání žádostí bez ohledu na stav čerpání alokace výzev velmi podstatný.
Je oprávněným žadatelem sdružení obcí? S ohledem na limit min 5 mil Kč způsobilých výdajů, bylo by možné sdružení žadatelů vytvořit?
Ano, sdružení obcí může být žadatelem.
Minimální výše na projekt je pro nás vysoká, existuje možnost sloučení více žádostí pro naplnění limitu?
Minimální výše způsobilých nákladů na projekt je 5 mil. Kč bez DPH a pokud tato částka přesahuje váš projektový rozpočet, zmíněné sloučení organizací je možné, ale je plně věcí žadatele, resp. jeho zřizovatele.
Je oprávněným žadatelem úspěšný žadatel z IROP výzvy č. 29 eGovernemnt a Kybernetická bezpečnost - ITI?
V rámci aktuálně otevřených výzev NPO jsou aktuálně pouze tato omezení:
- oprávněný žadatel či náplň projektu, spadající do oboru zdravotnictví a doprava podává žádost vždy do příslušné oborové výzvy, i když by naplnil podmínku oprávněného žadatele v jiné výzvě.
- oprávněným žadatelem nemůže být žadatel, který realizuje projekt schválený v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace)
Výzva č.44 pro oblast dopravy je aktuálně v přípravě, podmínky pro tyto žadatele budou zveřejněny ve výzvě.
Rozumíme správně, že výše dotace je 100% způsobilých výdajů a není přitom důležité, v jakém regionu žadatel působí?
Ano, jde ale o částku bez DPH, která není v NPO uznatelným nákladem. V NPO neuplatňujeme členění regionů podle IROP.
Rádi bychom podali žádost o finanční podporu do výzvy č. 43. Naše zdravotnické zařízení je dle pravidel výzvy oprávněným žadatelem, jen nemáme pověření k poskytování SOHZ. To nám kraj nechce vydat. Můžeme i tak žádat o finanční podporu?
Ne. Pokud žadatel/konečný příjemce nedisponuje pověřením k poskytování SOHZ, není v rámci výzvy č. 43 oprávněným žadatelem. Pověřovací akt k poskytování SOHZ je zásadním dokumentem, který nelze ničím jiným nahradit a bez něhož nejsou zdravotnická zařízení oprávněna podat žádost o finanční podporu v rámci výzvy č. 43.
Jsme státní podnik (s.p.) zřízený ministerstvem a chceme požádat o podporu v rámci výzvy č. 42 - Kybernetická bezpečnost - OSS + SPO. Jsme oprávněným žadatelem a můžeme podat žádost o finanční podporu?
Ne. Ve výzvě č. 42 jsou oprávněnými žadateli organizační složky státu a příspěvkové organizace organizačních složek státu (viz kap. 3.2. Vymezení oprávněných žadatelů výzvy). Státní podniky tedy nejsou v této výzvě oprávněným žadatelem.