FAQ k výzvám v oblasti zajištění kybernetické bezpečnosti
- Výzvy, alokace, oprávněnost žadatelů
- Příprava a podání žádosti a příloh
- Věcné zaměření a náplň projektu
- Realizace a dokončení projektu
- Stará verze FAQ
Realizace a dokončení projektu
U informačního systému, který budeme v rámci NPO projektu zabezpečovat, nabízí prodejce standardně záruku 3 roky a rozsah, který přesně pokryje naše potřeby. Můžeme takovou záruku zahrnout do nákladů projektu, i když jde časově za období realizace projektu v NPO?
Pro účely způsobilosti záruky za jakost je nutné dodržet následující podmínky:
- Záruka za jakost je způsobilá, pokud se ve vztahu k danému plnění jedná o záruku standardní (tj. svým rozsahem a délkou nesmí záruka výrazně vybočovat ze standardů běžně užívaných v daném segmentu trhu pro dané plnění).
- Záruční doba záruky za jakost musí zohledňovat reálnou životnost dodaných komponent a nesmí ji přesahovat.
- Záruku za jakost vztahující se na garanci zprovoznění nefunkčního systému (tj. zprovoznění typu Next Business Day on-site a obdobné) lze považovat za způsobilou, pokud odpovídá běžným záručním podmínkám obdobných systémů v daném segmentu trhu a je úměrná požadavkům na funkčnost systémového řešení a přípustnou dobu jeho výpadku.
Záruku za jakost splňující standardy, uvedené pod písmeny a) - c), není nutné vyčíslovat finančně, je součástí ceny plnění a je způsobilá i v případě, že přesahuje dobu trvání projektu (např. záruka na 5 let v projektu s dobou realizace 3 roky). Pokud je ve smlouvě sjednána záruka za jakost, přesahující standardní úroveň podle písmen a) - c), výdaje nad rámec těchto standardů jsou nezpůsobilé. Je proto nutné část záruky za jakost, přesahující standardy ve smlouvě, finančně vyčíslit.
Jak zjistíme rozdíl mezi standardní a rozšířenou zárukou a jak ji budeme v nákladech vykazovat?
Standardní záruka je poskytována automaticky a nemusí být ve smlouvě výslovně uvedena, zatímco rozšířenou záruku vám dodavatel poskytne pouze na základě vašeho požadavku a za úhradu. Tímto způsobem typy záruk rozlišíte.
Jak je uvedeno v odpovědi na otázku v FAQ, náklady standardní záruky nevykazujete zvlášť a není rozhodné, zda doba standardní záruky časově překračuje termín dokončení realizace projektu, celá částka se zahrne do nákladů projektu. Výdaje nad rámec standardů jsou nezpůsobilé, proto je nutné část záruky za jakost, přesahující standardy ve smlouvě, finančně vyčíslit.
V odpovědi na otázku níže "Jak máme v rámci NPO pracovat s náklady na technickou podporu a provoz služeb…" uvádíte, že realizátor projektu nemůže "do nákladů započítat celou částku dle smlouvy, ale jen tu část navýšení, která souvisí s rozšířením nástrojů v rámci projektu NPO". Jak máme postupovat v případě, kdy již nyní hradíme provoz a podporu za produkty výrobce a v rámci projektu NPO plánujeme dokoupit další produkty stejného výrobce? Můžeme zahrnout do nákladů celou novou smlouvu a od jakého data?
Jak bylo zodpovězeno v rámci předchozího dotazu, uznatelnost nákladů se vztahuje pouze k nově pořízeným technologiím v rámci realizace projektu NPO, to se týká i podpory těchto produktů.
Ve vámi uvedených případech, kdy jste před realizací projektu NPO měli produkty výrobce i s podporou a nyní tuto technologii rozšiřujete, čímž se mění rozsah i cena provozu a podpory téhož výrobce / dodavatele, lze zahrnout do nákladů projektu při navýšení celkové částky podpory pouze rozdílovou částku, která se vztahuje k rozšířené technologii.
Celou částku za stávající i nové produkty lze do nákladů projektu zahrnout pouze v případech, kdy dochází fakturačně ke snížení nákladů, nebo kdy dochází při rozšíření plnění k udržení stejné výše nákladů. Realizátor projektu tím naplňuje princip hospodárnosti, kdy projektem dochází nejen k rozvoji, ale současně k optimalizaci nákladů na provoz IT a tím ke zvýšení garance budoucí udržitelnosti realizovaného technického řešení.
Časově je uznatelnost dána na začátku termínem uvedení nově pořízených produktů do provozu, konec uznatelnosti těchto nákladů je dán termínem ukončení projektu dle právního aktu.
Uznatelnost nákladů na podporu z hlediska rozsahu a doby vykazujete podle smlouvy.
Ve výzvě uvádíte mezi nutnými podmínkami realizace projektu "provedení finálního nezávislého auditu (viz indikátor Dokument potvrzující úspěšné testování a ověření souladu s požadavky na kybernetickou bezpečnost) ověřujícího naplnění kybernetických požadavků, a to prostřednictvím certifikovaného auditora." Můžete zpřesnit, jaké oblasti a jaký rozsah musí být předmětem auditu, abychom podle toho mohli specifikovat zadání zakázky na znalce?
Znalecký posudek nezávislého auditora bude součástí dokumentace, kterou žadatel dokládá splnění povinných indikátorů projektu. Cílem finálního auditu je porovnání projektové dokumentace žadatele na vstupu (Popis výchozího stavu, produkty / podprodukty v právním aktu projektu) s výstupy projektu (výsledný stav realizace, tzn. co bylo definováno, bylo pořízeno, implementováno, je funkční) a posouzení, zda realizace projektu přispěla ke zvýšení kybernetické bezpečnosti žadatelem definovaných informačních systémů. Auditor ve svém znaleckém posudku v zásadě odpoví na dvě otázky:
- Došlo k nasazení vybraných technologií či služeb dle předloženého projektu?
- Došlo u vybraných informačních systémů, které jsou předmětem projektu, prostřednictvím realizace zvolených opatření k posílení jejich kybernetické bezpečnosti?
Rozsah předkládané dokumentace a způsob ověřování je věcí auditora. Nejedná se rozhodně o audit celé organizace žadatele, ale jen předmětu projektu NPO.
Jednou z povinností příjemce je vyhotovit bezpečnostní audit. Musí takový audit provádět pouze certifikovaná firma?
Auditor provádějící finální bezpečnostní audit musí splňovat parametry
- vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), kde
- v § 7 ods. 4) jsou uvedeny požadavky na roli Auditora kybernetické bezpečnosti,
- v příloze č. 6, tab. 4 jsou uvedeny doporučení pro Auditora kybernetické bezpečnosti i s relevantní certifikací (Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified in Risk and Information Systems Control (CRISC), Lead Auditor Information Security Management Systém (Lead Auditor ISMS), Auditor BI (akreditační schéma ČIA),
- případně certifikace může být i jiná než výše uvedená, jestliže certifikace dokládající odbornou způsobilost bezpečnostních rolí splňuje požadavky ISO 17024 - Posuzování shody.
Můžete ještě blíže specifikovat rozsah činností, které by měl auditor v souvislosti se závěrečným auditem projektu NPO provést?
V návaznosti na předchozí odpovědi k osobě auditora a k základním tematickým otázkám doplňujeme, že realizátor projektu se vždy řídí právním aktem („Dopis o schválení finanční podpory“) svého projektu, který je základním a závazným projektovým dokumentem. Při realizaci projektu vychází z předmětu projektu a popsaného způsobu realizace, z rozpadu projektu na hlavní produkty, kde jsou žadatelem vždy stanoveny „posílené informační systémy v rámci zabezpečení kybernetické bezpečnosti“, názvy těchto vybraných IS i způsob, jakým má být u nich dosaženo posílení kybernetické bezpečnosti.
Tím je dán zároveň základní rámec auditu, minimální požadovaný rozsah činností auditora, proto je vhodné, aby auditor při posuzování také vycházel z těchto závazných dokumentů projektu NPO a zahrnul do svého znaleckého posuzování jak vyjmenované informační systémy, tak uvedené způsoby realizace.
Některé firmy okolo kybernetické bezpečnosti nám tvrdí, že podmínkou získání dotace z NPO bude i bezpečnostní audit současného stavu ICT. Budeme jako žadatel potřebovat opravdu dva audity - na začátku a na konci projektu?
Provedení nového bezpečnostního auditu organizace není podmínkou získání dotace. Je nicméně potřebné, aby prováděné technické opatření zvyšující kybernetickou bezpečnost konkrétního informačního systému vycházelo z konkrétní bezpečnostní dokumentace. V povinné příloze by měl být popsán výchozí stav a důvody realizace projektu, za jeho správnost odpovídá žadatel. Součástí žádosti o financování projektu může být i aktualizace bezpečnostní dokumentace, nicméně tato aktualizace může být jen doprovodnou aktivitou vlastní realizace technických opatření ke zvýšení kybernetické bezpečnosti informačních systémů, nesmí být jediným výstupem projektu.
Je nicméně možné využít již existující dokumentaci a projekt zaměřit jen a pouze na realizaci technických opatření. Existenci dokumentace a návaznost realizovaných technických opatření na její závěry zkoumá na konci projektu nezávislý auditor. Doložení kladného výsledku auditu je jedním z povinných indikátorů projektu.
Jak doložíme zvýšení kybernetické bezpečnosti u informačního systému, ke kterému nebudeme mít uváděné osvědčení o dokončení prací dodavatelem?
Součástí dokladů ke splnění indikátoru je kromě Osvědčení i Seznam IS a Popis realizace. Pokud budete mít ke konkrétnímu IS osvědčení, např. akceptační protokol od dodavatele, doložíte ho.
Pokud pořídíte bezpečnostní nástroj, který bude mít dopad na řadu dalších provozovaných informačních systémů, tyto informační systémy zahrnete do Seznamu a zároveň v Popisu uvedete způsob jejich zabezpečení (doporučujeme pro přehlednost zpracovat aplikační architekturu, která doloží propojení pořizovaných produktů na chráněné aplikace). Současně pak tyto skutečnosti ověří a potvrdí závěrečný audit, který je pro každý projekt povinný.
Jaká je časová způsobilost výdajů?
Časová způsobilost výdajů je uvedena v Informacích a bude vždy uvedena ve výzvě, nicméně počáteční datum uznatelnosti výdajů projektu je 1. 7. 2023, konečné datum pro splnění monitorovacích indikátorů a doložení požadovaných dokladů je konec roku 2025.
Slyšeli jsme, že je v projektech NPO nutné komunikovat v angličtině, je to pravda?
Částečně ano. V průběhu realizace projektu se předkládají monitorovací zprávy, které je z části nutné vyplňovat v angličtině. Nicméně žádost o finanční podporu se podává v češtině, stejně tak komunikace s Vlastníkem komponenty (Ministerstvem vnitra) probíhá v češtině.
Jaké přímé (realizační) výdaje v rámci projektu je možné hradit?
Pokud je v rámci projektu pořizován dlouhodobý hmotný a nehmotný majetek (specifikovaný již v Žádosti o finanční podporu), který tvoří nedílnou a nezbytnou složku pro dosažení účelu a výstupu projektu, je způsobilá pořizovací cena daného majetku. Rovněž jsou způsobilé výdaje na jeho technické zhodnocení a servis v době realizace projektu. Za způsobilé tedy lze považovat výdaje na pořízení, servis (v době realizace projektu) a nutný provoz majetku (v době realizace projektu), který byl v rámci plnění milníku / cíle a indikátorů projektu pořízen, a to dle skutečných výdajů a při respektování principu hospodárnosti.
V rámci projektů hrazených z NPO jsou tedy způsobilé všechny relevantní výdaje přímo spojené s implementací projektu a vynaložené v souvislosti s účelem a výstupy projektu, tedy s vazbou na plnění reforem a investic a musí být nezbytné k naplnění milníku / cíle projektu (včetně nezbytného vybavení pro realizaci projektu, dodávek a služeb), tj. tzv. přímé výdaje. Tyto přímé výdaje musí být zaúčtovány a přiřazeny přímo k projektu.
Jak máme v rámci NPO pracovat s náklady na technickou podporu a provoz služeb, souvisejících s projektem NPO? Můžeme uzavřít prodlouženou záruku? Když půjde o rozšíření stávajících služeb, můžeme započítat do nákladů NPO celou částku dle nové smlouvy od 1. 7. 2023?
Technická podpora (TP) nebo údržba, stejně jako všechny služby, které chcete do projektu nákladově započítat, musí souviset přímo s novými pořízenými nástroji pro posílení kybernetické bezpečnosti IS, nikoli s běžnými službami, které využíváte v rámci provozu organizace (datové služby, podpora stávající infrastruktury, atd.).
U již běžícího provozu a TP u kybernetických nástrojů je uznatelnost zpětně od 1.7.2023, tam se to ale netýká starých běžících podpor k nástrojům, nakoupeným před 1.7.2023, ale pouze od tohoto data nově pořízených a prokazatelně potřebných k realizaci produktu / popdproduktu v rámci projektu NPO. Pokud tedy již např. máte běžící smlouvu na provoz kybernetických služeb a v rámci NPO nakoupíte nové technologie, čímž se vám třeba i stávající smlouva rozšíří, nemůžete do nákladů započítat celou částku dle smlouvy, ale jen tu část navýšení, která souvisí s rozšířením nástrojů v rámci projektu NPO.
Všechny služby jsou uznatelné pouze po dobu realizace projektu, nejpozději tedy do doby jeho dokončení. Určitou výjimkou může být 3 letá podpora, pokud bude uzavřena v roce 2024 a současně nepřesahuje dobu NPO do konce roku 2026. Můžete samozřejmě uzavřít podporu či objednat služby na delší období, pak pouze musíte náklady rozdělit na uznatelnou a neuznatelnou část, kdy uznatelná je do doby dokončení realizace projektu, následující období včetně doby udržitelnosti projektu již není uznatelným nákladem NPO.
Analogicky je to i u záruky, kdy hradíme standardní variantu záruky (tedy nikoli NBD (= next business day), předplacené výjezdy v ceně záruky, atd.). Zde stejně jako u podpory platí uznatelnost na 3 roky při uzavření v roce 2024, pokud časově nepřesahuje za rok 2026, u delší doby se opět započítává jen část do doby dokončení projektu.
Realizujeme projekt Log Managementu, kdy smlouva na veřejnou zakázku byla podepsána v listopadu 2022 a plnění probíhá ve třech fázích, fáze 1 byla ukončena a předána 10. 5. 2023. Ve Výzvě je uvedeno: "Zahájením projektu se rozumí datum zahájení fyzické realizace projektu, tj. započetí aktivit směřujících k dosažení stanovených milníků a cílů. Fyzická realizace projektu může začít již před schválením finanční podpory pro projekt, tedy před vydáním právního aktu, nicméně musí být v souladu s právním aktem, podmínkami o realizaci projektu, právním rámcem a metodikami Národního plánu obnovy, nejdříve však od 1. 7. 2023.". Pochopili jsme správně, že náklady vynaložené ve fázi 1 nebudou způsobilé? Případně je možné financovat část zakázky, která byla realizována až od data 1. 7. 2023?
Způsobilost nákladů je od 1.7.2023, tedy pokud byla uvedená část ukončena / předána před tímto datem, nelze ji zahrnout. Naopak další fáze zahrnout lze, stejně tak služby související s fází 1 a dalšími, pokud existují, od uvedeného data.
Jednou z podmínek realizace je provedení závěrečného auditu - je známo, kdo konkrétně bude audit provádět? Nebo bude těchto auditorských firem splňujících požadavky dle vyhlášky č. 82/2018 Sb. více a bude možno si konkrétního auditora zvolit?
Audit je součástí projektu, tedy jej zajišťuje realizátor - je to zcela na vás.
Ve výzvě jsou uvedeny závazné limity způsobilých výdajů, a to i pro max. hodinovou mzdu při uzavření DPP / DPČ. Chápeme to správně, že se jedná o osobu na DPP / DPČ, která se podílí na realizaci projektu a jedná se o externí osobu, která není zaměstnaná v organizaci? Poprosím o přesnější definici této osoby, zda-li se může jednat o externistu, který bude mít na starosti např. správu systémů?
Ano, chápete to správně, že se jedná o osobu na DPP / DPČ, která se podílí na realizaci projektu a jedná se o externí osobu, která není zaměstnaná v organizaci, podrobnější informace ke způsobilosti osobních výdajů naleznete v pokynu pro příjemce, který je zveřejněný zde: https://www.mvcr.cz/npo/clanek/dokumenty-programove-dokumenty-programove-dokumenty.aspx
Jak je to u SW s uznatelností prodloužené záruky, která je pro žadatele výrazně finančně výhodnější a je součástí pořizovací ceny produktů?
Neuznatelnými náklady projektu jsou ty, které jdou časově za dobu dokončení realizace projektu v NPO. V případě objednání podpor, licencí, záruk atd. vás samozřejmě nelimitujeme objednáním podpory na tuto dobu, protože to, jak správně píšete, není s ohledem na povinnou udržitelnost projektu ekonomicky výhodné, případně ani možné, v tom případě započítáte poměrnou část.
V kap. 3.3 je uvedeno: "Příjemce (OSS) si narozpočtuje peněžní prostředky ve své rozpočtové kapitole. Příjemcům (SPO) budou finanční prostředky poskytovány prostřednictvím rozpočtové kapitoly zřizovatele (předfinancování)." Znamená to tedy, že tyto organizace (OSS či SPO) - žadatelé - požádají "své" ministerstvo o přidělení finančních prostředků na proplacení nákladů zhotoviteli, tedy na realizaci projektu zajišťující kybernetickou bezpečnost, a po realizaci akce obdrží dotaci z NPO přímo žadatel či zřizovatel? Respektive jaká je posloupnost poskytnutí dotace na základě vzniklých nákladů: žadatel - zřizovatel - NPO?
Pokud dojde k podpisu právního aktu na realizaci projektu s žadatelem, ten na základě toho požádá o přidělení prostředků na realizaci projektu "své" ministerstvo (rozpočtovou kapitolu), pokud již tak neučinil při tvorbě SR v předešlém roce. Po dokončení realizace projektu a odsouhlasení žádosti o platbu, kterou NPO předloží u EK, přijdou peníze (refundace) na účet MPO a následně zpět do SR prostřednictvím kapitoly, která prostředky vydala. Netýká se DPH, které není ze strany EK refundováno.
V případě indikátorů "Dokument potvrzující zvýšení kybernetické bezpečnosti" a "Dokument potvrzující úspěšné testování a ověření souladu s požadavky na kybernetickou bezpečnost" bude relevantním naplněním a doložením finální audit kybernetické bezpečnosti?
Nebude. Máte v rámci projektu doložit : 1) certifikát nebo AP dokládající realizaci plánovaných aktivit a zvýšení kybernetické bezpečnosti informačního systému (např. AP potvrzený dodavatelem a žadatelem), 2) Seznam všech systémů, jejichž kybernetická bezpečnost byla posílena (popis dotčených systémů a způsob, jak k posílení kybernetické bezpečnosti došlo - vazba na projekt), 3) audit dle VKB, respektive zpráva z provedeného auditu.
Z výzev nám není jasné, zda jde o financování ex-ante, nebo ex-post. Jak zajistíme prostředky na realizaci projektu?
Jedná se o ex-post financování, kdy u příjemců navázaných na některou rozpočtovou kapitolu se jedná o ex-post s předfinancováním z rozpočtu SR. Ostatní příjemci si musí předfinancování zajistit z vlastních zdrojů a průběžně po předložení a schválení žádosti o platbu jsou jim vynaložené prostředky refundovány dvakrát ročně (půlroční monitorovací období).
Informace k max. možné výši podpory v %? Bude to 100 % jako u většiny projektů v rámci NPO? Prostředky budou poskytnuty kdy?
Ano, podpora je 100%, je však třeba z vlastních zdrojů hradit DPH. I když prostředky EK budou poskytnuty až po naplnění indikátorů a odsouhlasení EK po dokončení projektu, vy si prostředky po podpisu právního aktu k projektu NPO budete žádat u svého nadřízeného orgánu, viz další odpovědi.
Existuje v rámci NPO / MVČR obecná metodika k výběrovým řízením, kromě ZVZ nebo jsou dostupné jen tyto formuláře, "Programové dokumenty - Národní plán obnovy" na webu mvcr.cz
V průběhu prosince vyjde aktualizovaný Pokyn pro příjemce, který bude mít novou přílohu - Pokyn pro zadávání VZMR. Ta bude od data zveřejnění povinná pro všechny žadatele.
Ve výzvě uvádíte dva termíny ve vztahu k realizaci projektu: Datum cílové hodnoty (indikátoru): 31. 12. 2025 a Nejzazší datum pro ukončení fyzické realizace projektu: 31. 5. 2026. Který z termínů se týká uznatelnosti nákladů projektu?
Uznatelnost nákladů projektu je pouze po dobu realizace projektu, tedy záleží na harmonogramu a termínu dokončení konkrétního projektu, uvedenému v žádosti, resp. na termínu ukončení realizace projektu, definovaném v Právním aktu a jeho podmínkách. Toto období je pak závazné pro všechny typy nákladů / výdajů projektu. Tzn. je-li výdaj smluvně vázán na časový úsek, přesahující datum ukončení realizace projektu, jsou výdaje, které se váží k časovému období po ukončení realizace projektu hrazeny z prostředků příjemce, a to i v případě, že byly uhrazeny ještě v době realizace projektu.
Je možné mezi způsobilé / uznatelné výdaje projektu zahrnout i služby na servis a nutný provoz (maintenance) majetku?
Ano, tyto výdaje lze zahrnout mezi způsobilé výdaje, za předpokladu, že jsou vynakládány v souvislosti s vazbou na plnění definovaného milníku / cíle a/nebo stanovených monitorovacích indikátorů. Tyto služby musí být řádně popsány již v žádosti a musí být řádně vysoutěženy, při respektování principů hospodárnosti. Konečným datem způsobilosti těchto výdajů je datum ukončení realizace projektu, definovaném v Právním aktu a jeho podmínkách.
Plánujeme uzavřít smlouvu s externím provozovatelem SOC a tyto náklady zahrnout mezi uznatelné, lze takové řešení využít a na jakou dobu je lze vykázat v rámci projektu?
Pokud je externí SOC obsažen ve vstupní analytické dokumentaci a je součástí vašeho řešení kybernetické bezpečnosti, lze tyto náklady do projektu zahrnout. Termín uznatelnosti nákladů souvisí s vámi uvedeným termínem dokončení realizace projektu v žádosti, resp. s termínem ukončení realizace projektu, definovaném v Právním aktu a jeho podmínkách, náklady jsou uznatelné pouze po dobu realizace projektu.
Vaše řešení jako celek spadá do povinné udržitelnosti, po dokončení projektu hradíte jeho provoz po celou dobu udržitelnosti projektu NPO z vlastních prostředků.
Které části projektu se týká povinná udržitelnost, investic nebo i provozu?
Udržitelnost se netýká částí, ale celku. Žadatel v žádosti definuje způsob řešení a výstupy projektu, příjemce dotace NPO musí po dokončení realizace projektu udržet výstupy projektu po celou dobu navazující udržitelnosti, toto hradí z vlastních zdrojů. Doba udržitelnosti je definována v Právním aktu a jeho podmínkách, zpravidla po dobu 5 let od data ukončení realizace projektu, minimálně do konce roku 2026.