FAQ k výzvám v oblasti zajištění kybernetické bezpečnosti
1. Připravili jsme projekty, k nimž byly podány žádosti o podporu v rámci 3. výzvy IROP - Kybernetická bezpečnost. K těmto projektům již Odbor hlavního architekta eGovernmentu (OHA) vydal Souhlasné stanovisko OHA souladu s ICT architekturou, příp. je tento proces před dokončením. Pokud budeme jako žadatel podávat žádosti (znovu) k projektům do výzvy NPO, a nedojde u nich ke změně ve smyslu opatření, vazby na ICT architekturu, atp., je možné využít tato již vydaná souhlasná stanoviska OHA?
V případě, kdy žadatel disponuje Souhlasným stanoviskem OHA na předkládaný projekt (například z důvodu, že podal žádost o finanční podporu z IROP), předloží toto stanovisko spolu s čestným prohlášením, že věcně a architektonicky se obsah projektu nemění. Čestné prohlášení by se mělo vyjadřovat stanovisko žadatele, že tento projekt rozšiřuje aktuálně realizovaná opatření kybernetické bezpečnosti zcela v intencích původní schválené architektury
V případě, že tento projekt zamýšlí zcela nové řešení kybernetické bezpečnosti a změnu bezpečnostní architektury, doporučujeme obrátit na OHA (oha@dia.gov.cz) a získat kladné vyjádření formou stanoviska, nebo jinou dohodnutou formou.
2. Kdy musíme jako žadatel do výzvy NPO předložit Souhlasné stanovisko OHA?
Souhlasným stanoviskem OHA musí žadatel disponovat před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace, tj. není potřeba jím disponovat v době podání žádosti o podporu. Zde není třeba doložit ani dokument potvrzující formální podání žádosti o stanovisko či jiný takovýto dokument.
Pokud projekt nemá povinnost disponovat Souhlasným stanoviskem OHA dle usnesení vlády č. 86 ze dne 27. ledna 2020 dle platného znění a dle zákona č. 365/2000 Sb. o informačních systémech veřejné správy, předloží prohlášení žadatele o tom, že projekt nemusí mít Souhlasné stanovisko OHA.
3. V rámci připravované výzvy je jednou z podporovaných aktivit "Pořízení a implementace nástroje pro správu aktiv a řízení rizik a zranitelností". Musí projekt naplňovat všechny body z takového kritéria? (Opatření by např. nemuselo zahrnovat opatření proti zranitelnosti.) Musí být tedy dané kritérium splněno vždy bezezbytku?
Projekt nemusí naplňovat všechny body, pokud to není z pohledu příjemce potřeba či plánovaný projekt řeší pouze výseč bezpečnostních opatření vzešlých z potřebných bezpečnostních analýz. Žadatel vybírá a komentuje jednotlivá zvolená opatření v produktovém rozpadu, viz otázka č. 7.
4. Jednou z povinností příjemce je vyhotovit bezpečnostní audit. Musí takový audit provádět pouze certifikovaná firma?
Auditor provádějící finální bezpečnostní audit musí splňovat parametry
-
vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), kde
-
v § 7 ods. 4) jsou uvedeny požadavky na roli Auditora kybernetické bezpečnosti,
-
v příloze č. 6, tab. 4 jsou uvedeny doporučení pro Auditora kybernetické bezpečnosti i s relevantní certifikací (Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified in Risk and Information Systems Control (CRISC), Lead Auditor Information Security Management Systém (Lead Auditor ISMS), Auditor BI (akreditační schéma ČIA),
-
-
případně certifikace může být i jiná než výše uvedená, jestliže certifikace dokládající odbornou způsobilost bezpečnostních rolí splňuje požadavky ISO 17024 - Posuzování shody.
5. Některé firmy okolo kybernetické bezpečnosti nám tvrdí, že podmínkou získání dotace z NPO bude i bezpečnostní audit současného stavu ICT. Budeme jako žadatel potřebovat opravdu dva audity - na začátku a na konci projektu?
Provedení nového bezpečnostního auditu organizace není podmínkou získání dotace. Je nicméně potřebné, aby prováděné technické opatření zvyšující kybernetickou bezpečnost konkrétního informačního systému vycházelo z konkrétní bezpečnostní dokumentace. V povinné příloze (viz otázka č. 7) by měl být popsán výchozí stav a důvody realizace projektu, za jeho správnost odpovídá žadatel. Součástí žádosti o financování projektu může být i aktualizace bezpečnostní dokumentace, nicméně tato aktualizace může být jen doprovodnou aktivitou vlastní realizace technických opatření ke zvýšení kybernetické bezpečnosti informačních systémů, nesmí být jediným výstupem projektu.
Je nicméně možné využít již existující dokumentaci a projekt zaměřit jen a pouze na realizaci technických opatření. Existenci dokumentace a návaznost realizovaných technických opatření na její závěry zkoumá na konci projektu nezávislý auditor. Doložení kladného výsledku auditu je jedním z povinných indikátorů projektu.
6. Předpokládáme, že jako podklad ke stanovení cen (hodnot do rozpočtu) využije žadatel cenový průzkum. Vzhledem k tomu, že jsme již připravili obdobný projekt v rámci 3. výzvy IROP, který však nebude v IROP realizován, můžeme využít tento již existující cenový průzkum? Nebo je platnost cenového průzkumu metodikou nějak časově omezena?
Cenový průzkum připravovaný za účelem podání žádosti o finanční podporu z IROP je pro NPO dostačující - žadatelem by měla být posouzena jeho relevantnost v postupujícím čase.
7. Na jaké další důležité dokumenty a přílohy máme být připraveni v případě podání žádosti do NPO v oblasti kybernetické bezpečnosti?
Částečně bude potřebná dokumentace bude vycházet z obdobné výzvy č. 9 - viz Aktuálně otevřené výzvy - Národní plán obnovy (mvcr.cz).
Nad rámec tohoto bude potřeba doložit jeden z následujících dokumentů
-
Studie proveditelnosti, nebo
-
Jiný dokument odůvodňující hodnotu projektu vůči plánovaným aktivitám (cenový průzkum, analýza na základě projektů obdobného rozsahu atd., čestné prohlášení není uznatelné) - struktura není dána.
Povinnou součástí žádosti o podporu je i předem definovaný produktový rozpad vycházejí z podoby vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti). Tento produktový rozpad zároveň stanovuje maximální okruh aktivit, které jsou způsobilé.
Není možné podat žádost o podporu na projekt, jehož obsahem jsou jen a pouze opatření dle § 3 vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti.
Další dokládané dokumenty:
-
Souhlasné stanovisko OHA dle usnesení vlády č. 86 ze dne 27. ledna 2020 dle platného znění a dle zákona č. 365/2000 Sb., o informačních systémech veřejné správy (může být doloženo později, nejpozději však před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace ) / Prohlášení žadatele o tom, že projekt nemusí mít Souhlasné stanovisko OHA - viz dotaz č. 2;
-
Čestné prohlášení žadatele k Souhlasnému stanovisku OHA (týká se projektů z výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost) - žadatel volnou formou prohlásí, že věcně a architektonicky se obsah projektu nemění (viz dotaz č. 1);
-
Plná moc od statutárního zástupce organizace pro ředitele projektu (pokud ředitelem projektu není statutární zástupce organizace);
-
Podrobný rozpočet projektu, obsahuje rozpad finančních nákladů na jednotlivé plánované komponenty a služby, přehledně uspořádaný do tabulky;
-
Studie proveditelnosti (je-li zpracována) / dokument odůvodňující hodnotu projektu vůči plánovaným aktivitám (viz výše);
-
Harmonogram projektu;
-
Čestné prohlášení;
-
Čestné prohlášení ke střetu zájmů;
-
Interní akt příjemce pro zadávání veřejných zakázek (je-li vydán);
-
Kompletní dokumentace k ukončeným VZ, příp. poskytnutí přístupových údajů do elektronického nástroje pro zadávání VZ (např. NEN), Seznam dodavatelů, poddodavatelů - skutečných majitelů, Seznam osob, které se podílely na výběru dodavatele a Čestné prohlášení ke střetu zájmů (ve vztahu v VZ) - (v případě administrace projektové žádosti v MS2014+ vložením do modulu VZ);
-
Pověřovací akt k poskytování SOHZ / Dokument, kterým žadatel prokáže předložení Pověřovacího aktu k poskytování SOHZ nejpozději k datu vydání právního aktu (je-li relevantní);
-
Popis výchozího stavu zajištění kybernetické bezpečnosti (vzor bude přílohou výzvy);
-
Souhlasné stanovisko zřizovatele s realizací projektu.
8. Jaký je vztah NPO a IROP? Mohu požádat o finanční podporu z NPO v případě, že
-
mám úspěšný projekt v rámci výzvy č. 3 IROP
-
nemám úspěšný projekt v rámci výzvy č. 3 IROP
V případě, kdy zájemce o financování z NPO má úspěšný projekt v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost (tj. tento projekt získal rozhodnutí o poskytnutí dotace), není možné podat žádost o financování z NPO na stejný projekt ani z části.
V případě, kdy zájemce o financování z NPO je neúspěšný žadatel z v rámci výzev IROP č. 3, 4 a 5 - Kybernetická bezpečnost, například v rámci převisu poptávky z výzev IROP č. 3, 4 a 5, je možné podat žádost o financování na stejný / obdobný projekt.
V tomto případě žadatel, jehož projekt bude doporučen k financování z NPO, musí před schválením finanční podpory / vydáním Rozhodnutí o poskytnutí dotace (žadatel bude vyrozuměn o tom, že je doporučen k financování) stáhnout žádost z IROP (dle Obecných pravidel pro žadatele a příjemce IROP, kap. 14) a v NPO předložit Čestné prohlášení o tom, že stáhl žádost o financování z IROP (vzor bude přílohou výzvy).
9. Jak máme chápat počet informačních systémů, u nichž došlo k posílení kybernetické bezpečnosti ve smyslu zákona 181/2014 Sb. o kybernetické bezpečnosti? Budeme chtít zabezpečit jeden klíčový systém, ale zavedení technického opatření bude mít dopad i na řadu dalších provozovaných informačních systémů.
Každý projekt musí doložit minimálně 1 informační systém posílený ve smyslu zákona o kybernetické bezpečnosti. Celkový počet zabezpečených IS by měl samozřejmě zahrnovat všechny systémy, u kterých došlo v rámci projektu a realizovaných technických opatření k posílení jejich kybernetické bezpečnosti.
10. Jak doložíme zvýšení kybernetické bezpečnosti u informačního systému, ke kterému nebudeme mít uváděné osvědčení o dokončení prací dodavatelem?
Součástí dokladů ke splnění indikátoru je kromě Osvědčení i Seznam IS a Popis realizace. Pokud budete mít ke konkrétnímu IS osvědčení, např. akceptační protokol od dodavatele, doložíte ho.
Pokud pořídíte bezpečnostní nástroj, který bude mít dopad na řadu dalších provozovaných informačních systémů, tyto informační systémy zahrnete do Seznamu a zároveň v Popisu uvedete způsob jejich zabezpečení (doporučujeme pro přehlednost zpracovat aplikační architekturu, která doloží propojení pořizovaných produktů na chráněné aplikace). Současně pak tyto skutečnosti ověří a potvrdí závěrečný audit, který je pro každý projekt povinný.
11. V podporovaných aktivitách je bod "Zabezpečení komunikační sítě v rozsahu L2 / L3 switche a nástroje pro segmentaci datové komunikační sítě, NAC, 802.1X". Lze chápat, že v rámci tohoto bodu bude uznatelný náklad pouze pořízení aktivních prvků, ale vzhledem k bodu "Nepodporované aktivity", tak pořízení nové strukturální kabeláže, již ne?
Pořízení či rekonstrukce elektrických či kabelových rozvodů a tedy i strukturované kabeláže, stejně jako zabezpečení prostor, vybavení serverovny, stavební úpravy, atd. nejsou uznatelným výdajem v rámci těchto otevřených výzev NPO.
12. V podporovaných aktivitách jsou body "Pořízení a implementace nástroje ... a Servery a disková úložiště, která budou přímo využita v rámci zajištění kybernetické bezpečnosti (virtualizace, ukládání logů, servery bezpečnostních systémů, aj.)". Lze chápat, že v rámci těchto nástrojů bude uznatelným výdajem také pořízení vlastního HW (tj. železa, resp. serverů, NAS, atp.), na kterých vlastní nástroje poběží, resp. v rámci virtualizovaného prostředí?
Koncová zařízení nejsou uznatelným výdajem vyjma právě nutného HW pro nově pořízený bezpečnostní nástroj. Zodpovědnost za doložení účelu pořizovaného HW / SW a jeho rozsah je plně na žadateli.
13. V rámci téhož bodu "Servery a disková uložiště ..." lze jako uznatelný výdaj chápat také pořízení serverové technologie, která bude sloužit pro vytvoření bezpečného prostředí na způsob Sandboxů, atp., které bude sloužit k výuce technologií vedoucí ke kybernetické bezpečnosti?
Pokud v dotazu uvádíte slovo "výuka", zde je třeba zdůraznit, že aktivity související se vzděláváním zaměstnanců či administrátorů v oblasti kybernetické bezpečnosti nejsou uznatelným výdajem. Předmětem projektu musí být primárně posílení kybernetické bezpečnosti stávajících informačních systémů, tj. zajištění zvýšeni důvěrnosti, integrity a dostupnosti informací a dat v relevantním IS. Proto pořízení izolovaného výukového prostředí do předmětu takového projektu nezapadá.
14. Jaká je časová způsobilost výdajů?
Časová způsobilost výdajů je uvedena v Informacích a bude vždy uvedena ve výzvě, nicméně počáteční datum uznatelnosti výdajů projektu je 1. 7. 2023, konečné datum pro splnění monitorovacích indikátorů a doložení požadovaných dokladů je konec roku 2025.
15. Slyšeli jsme, že je v projektech NPO nutné komunikovat v angličtině, je to pravda?
Částečně ano. V průběhu realizace projektu se předkládají monitorovací zprávy, které je z části nutné vyplňovat v angličtině. Nicméně žádost o finanční podporu se podává v češtině, stejně tak komunikace s Vlastníkem komponenty (Ministerstvem vnitra) probíhá v češtině.
16. Uznatelným výdajem není DPH, proč? Musíme upravovat rozpočet projektu, který jsme již dříve předložili do IROP včetně DPH, také ve studii proveditelnosti je DPH uvedena?
Dle podmínek Evropské komise (RRF) je DPH nezpůsobilým výdajem, to znamená, že ho nelze v rámci NPO financovat z rozpočtu EU a není ze strany EK refundováno. Každý žadatel si musí DPH hradit z vlastních zdrojů. Pro účely evidenční a kontrolní Ministerstvo vnitra jakožto vlastník komponent zahrnuje částky DPH vztahujících se ke způsobilým výdajům financovaných z EU (NPO) do celkových způsobilých výdajů projektu. V rámci jednotlivých žádostí o platbu (ŽoP) bude tudíž příjemce částku DPH vykazovat, bude součástí schváleného vyúčtování, ale financovaná pouze z vlastních zdrojů.
17. Strategie nám ukládá zejména opatření v oblasti fyzické bezpečnosti, v jakém poměru mohou být výdaje na tato opatření v rámci projektu?
Řešení pro fyzickou bezpečnost nejsou uznatelným výdajem v otevřených výzvách NPO, proto doporučujeme z vašich opatření vybrat ta, která fyzickou bezpečnost a koncová zařízení nezahrnují, případně projekt do NPO nepodávat, byl by z uvedených důvodů vyřazen.
18. Pokud pořídíme nový bezpečnostní software, může být uznatelným výdajem i školení zaměstnanců?
Školení zaměstnanců, nákup školícího SW atd., byť v oblasti kybernetické bezpečnosti, není uznatelným výdajem v otevřených výzvách NPO. Výjimkou je obvyklý formát školení administrátorů, které dodavatel SW z oblasti kybernetické bezpečnosti poskytne v rámci dodávky. Toto nezahrnuje obecná či certifikovaná školení, poskytovaná školícími agenturami, která lze považovat za vzdělávání.
19. Hodnocení přijatých žádostí bude probíhat průběžně nebo až po ukončení příjmu žádostí?
Hodnocení přijatých žádostí bude probíhat průběžně, jak budou předkládány, aby úspěšní žadatelé mohli co nejdříve zahájit realizaci projektu.
20. Jaké přímé (realizační) výdaje v rámci projektu je možné hradit?
Pokud je v rámci projektu pořizován dlouhodobý hmotný a nehmotný majetek (specifikovaný již v Žádosti o finanční podporu), který tvoří nedílnou a nezbytnou složku pro dosažení účelu a výstupu projektu, je způsobilá pořizovací cena daného majetku. Rovněž jsou způsobilé výdaje na jeho technické zhodnocení a servis v době realizace projektu. Za způsobilé tedy lze považovat výdaje na pořízení, servis (v době realizace projektu) a nutný provoz majetku (v době realizace projektu), který byl v rámci plnění milníku / cíle a indikátorů projektu pořízen, a to dle skutečných výdajů a při respektování principu hospodárnosti.
V rámci projektů hrazených z NPO jsou tedy způsobilé všechny relevantní výdaje přímo spojené s implementací projektu a vynaložené v souvislosti s účelem a výstupy projektu, tedy s vazbou na plnění reforem a investic a musí být nezbytné k naplnění milníku / cíle projektu (včetně nezbytného vybavení pro realizaci projektu, dodávek a služeb), tj. tzv. přímé výdaje. Tyto přímé výdaje musí být zaúčtovány a přiřazeny přímo k projektu.
21. Mezi oprávněnými žadateli do připravovaných výzev v oblasti zajištění kybernetické bezpečnosti NPO uvádíte i kraje / obce; organizace zřizované nebo zakládané kraji / obcemi. Je možné počítat i s podporou pro podřízené organizace organizací zřizovaných nebo zakládané obcemi / kraji?
Podřízené organizace organizací zřizovaných nebo zakládaných obcemi/kraji nemohou počítat s podporou z NPO jako žadatelé. Organizace zřizované / zakládané přímo kraji / obcemi požádat mohou. Vycházíme zde ze §23 zákona 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů. U těchto subjektů se bude ověřovat ze zakládacích / zřizovacích listin, že subjekt je skutečně založen nebo zřízen obcí / krajem.
22. Budou v souvislosti se zajištěním dostupnosti informací způsobilým výdajem i náklady na pořízení záložních zdrojů napájení pro servery a sdílená datová uložiště?
Koncová zařízení samotná nejsou uznatelným výdajem. Výjimkou je HW nutný pro vlastní provoz nově pořízených bezpečnostních nástrojů. Projekt, obsahující pouze řešení zálohování při výpadku napájení není uznatelným výdajem v otevřených výzvách NPO.
23. V projektech NPO je oproti IROP uznatelnost služeb. Můžeme v rámci projektu využít nabídku IT firem a převést služby kybernetické bezpečnosti mimo naši organizaci s tím, že platby za tyto služby budou uznatelným nákladem v projektu NPO?
Zmíněná uznatelnost služeb v projektech NPO se týká například IT spolupráce s dodavatelem či třetí stranou při nastavení bezpečnostního nástroje, případně samotném provozu bezpečnostního systému, a to do doby ukončení projektu (nejpozději do 05/26). Nepřekročitelnou podmínkou zde je, aby tento výdaj byl v souladu s pravidly NPO - viz otázka č. 20. Je třeba si ovšem uvědomit, že příjemce má za povinnost držet udržitelnost výstupů projektu po dobu minimálně pěti let od ukončení realizace projektu. Po tuto pětiletou lhůtu udržitelnosti jdou veškeré výdaje s tímto spojené na vrub příjemce finanční podpory.
Činnosti, které nejsou realizované v souladu s požadavky zákona č. 181/2014 Sb. o kybernetické bezpečnosti, nejsou uznatelným výdajem v rámci projektu kybernetické bezpečnosti v NPO.
Služby třetí strany (např. SOC, analýzy síťového provozu) tak mohou být uznatelným výdajem v otevřených výzvách NPO, pokud jejich úhrada je nezbytná pro splnění cíle projektu a monitorovacího indikátoru a dané probíhá v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (například, že služby jsou poskytovány na infrastruktuře příjemce (KII a VIS), případně i na jiných platformách (u systémů nespadající do kategorie KII a VIS).