ttps://mv.gov.cz/npo/clanek/faq-k-vyzvam-v-oblasti-zajisteni-kyberneticke-bezpecnosti.aspx, kde jsme v nové sekci "Dokládání" doplnili výklad monitorovacích indikátorů u projektů kybez jako doplnění obecně platného Prokynu pro žadatele a příjemce. Do této složky jsme zahrnuli také související otázky a odpovědi, dříve publikované v FAQ.

Podle právního aktu musíte v projektu naplnit tyto hlavní indikátory:

1. Dokument potvrzující zvýšení kybernetické bezpečnosti informačního systému
   Certifikát (akceptační protokol nebo podobný dokument) vydaný v souladu s národní legislativou kompetentním orgánem vlastnícím daný informační systém osvědčující zvýšení kybernetické bezpečnosti informačního systému v souladu s požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti.

2. Seznam informačních systémů vybraných v souladu s požadavky zákona č. 181/2014 Sb. o kybernetické bezpečnosti, jejichž kybernetická bezpečnost bude posílena
   Dokument obsahující seznam informačních systémů vybraných v souladu s požadavky zákona č. 181/2014 Sb. o kybernetické bezpečnosti, jejichž kybernetická bezpečnost bude posílena.

3. Dokument potvrzující úspěšné testování a ověření souladu s požadavky na kybernetickou bezpečnost
   Certifikát (protokol nebo podobný dokument) podepsaný kompetentním orgánem vlastnící daný informační systém a dodavatelem potvrzující úspěšné a zdokumentované testování a ověření souladu s požadavky kybernetické bezpečnosti – tj. audit kybernetické bezpečnosti podle VKB v rozsahu plnění realizovaného v projektu.

Ad 1) Dokládání dokončených projektů na posílení kybez vykazuje oproti jiným projektům NPO základní odlišnost ve dvojím přístupu k prokazování splnění indikátorů, kdy realizátor na jedné straně prokazuje standardně pořízení, implementaci a funkčnost zvoleného nástroje na posílení kybez či bezpečnostní úpravy informačního systému na základě dod.-odběratelských vztahů, ale vedle toho prokazuje, že došlo k posílení každého jednotlivého informačního systému, který je předmětem projektu.

Často v projektu dochází jak k přímému posílení informačního systému přes jeho vlastní upgrade atd., tak k nepřímému posílení dalších IS prostřednictvím pořízení nástroje, který pro informační systém zajišťuje posílenou kybez ochranu.

Vzor akceptačního protokolu (docx, 289 kB)
 

Ad 2) Jedná se o formální dokument s náležitostmi: název realizátora, název projektu, podepsáno realizátorem. V přehledné tabulce vyjmenování všech IS, které jsou předmětem projektu a u nichž došlo k posílení kybernetické bezpečnosti. Název IS v případě použití zkratky i rozepsat. Ke každému IS uvést § realizovaného opatření dle VKB, případně dle nového ZoKB, a vysvětlit přínos pořízené technologie v návaznosti na daný paragraf.

Vzor seznamu IS (docx, 317 kB)
 

Ad 3) Vyžadované prokázání "souladu s požadavky kybernetické bezpečnosti" prokazuje pouze nezávislý audit.

Věříme, že vám tyto dodatečné komentáře pomohou v zadání nezávislého auditu, v přípravě akceptačních protokolů či dokumentaci o testování a souladu projektu s vyhláškou VKB či novým zákonem o kybernetické bezpečnosti.

Pro podrobnější informace o dokládání monitorovacích indikátorů viz FAQ v sekci "dokládání" na https://mv.gov.cz/npo/clanek/faq-k-vyzvam-v-oblasti-zajisteni-kyberneticke-bezpecnosti.aspx.