Čl. LXXX
Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 517/2002 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 70/2006 Sb., zákona č. 81/2006 Sb., zákona č. 110/2007 Sb., zákona č. 269/2007 Sb., zákona č. 130/2008 Sb., zákona č. 190/2009 Sb., zákona č. 223/2009 Sb., zákona č. 227/2009 Sb., zákona č. 281/2009 Sb., zákona č. 263/2011 Sb., zákona č. 18/2012 Sb., zákona č. 167/2012 Sb., zákona č. 64/2014 Sb., zákona č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016 Sb., zákona č. 104/2017 Sb., zákona č. 183/2017 Sb., zákona č. 195/2017 Sb., zákona č. 205/2017 Sb., zákona č. 251/2017 Sb., zákona č. 99/2019 Sb. a zákona č. 12/2020 Sb., se mění takto:
1. V § 2 písm. a) až p), v § 4 odst. 1 písm. a) až f), v § 4 odst. 2 písm. b) až i) a v § 5 odst. 2 písm. a) až e) se středník nahrazuje čárkou.
2. V § 2 písm. b) se na konci textu věty první doplňují slova „nebo plnění jiných funkcí státu anebo dalších veřejnoprávních korporací“ a za slovo „dále“ se vkládají slova „technické a programové prostředky, případně jiné“.
3. V § 2 se za písmeno f) vkládá nové písmeno g), které zní:
„g) rozvojem informačních systémů veřejné správy proces zlepšování vlastností informačních systémů veřejné správy nebo zlepšování služeb informačních systémů veřejné správy, včetně jeho právního, organizačního, znalostního a technického zajištění; rozvojem je i modernizace technických nebo programových prostředků anebo jiných nástrojů umožňujících výkon informační činnosti nebo částečná anebo úplná náhrada technických nebo programových prostředků anebo jiných nástrojů umožňujících výkon informační činnosti za účelem zlepšení vlastností informačních systémů veřejné správy nebo zlepšení služeb informačních systémů veřejné správy,“.
Dosavadní písmena g) až u) se označují jako písmena h) až v).
4. V § 2 písm. k) se slova „vybavení, programové vybavení“ nahrazují slovy „a programové prostředky“.
5. V § 2 písm. t) se za slova „dokumentace informačního systému veřejné správy“ vkládají slova „nebo centrálního místa služeb komunikační infrastruktury veřejné správy (dále jen „centrální místo služeb“)“ a za slova „vlastnosti informačního systému veřejné správy“ se vkládají slova „nebo centrálního místa služeb“.
6. V § 2 se na konci písmene v) tečka nahrazuje čárkou a doplňují se písmena w) až z), která znějí:
„w) bezpečnostní úrovní cloud computingu bezpečnostní úroveň pro využívání cloud computingu orgány veřejné moci podle právního předpisu upravujícího kybernetickou bezpečnost,
x) cloud computingem způsob zajištění provozu informačního systému veřejné správy nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy,
y) poptávkou cloud computingu úkon orgánu veřejné správy,
1. jehož předmětem je projev vůle využít cloud computing poskytovaný osobou nebo její součástí, které jsou odlišné od tohoto orgánu veřejné správy, pro potřebu tohoto nebo jiného orgánu veřejné správy a mimo rámec vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek,
2. obsahující charakteristiku poptávaného cloud computingu,
3. předcházející úkonu tohoto nebo jiného orgánu veřejné správy podle právního předpisu upravujícího zadávání veřejných zakázek, má-li být cloud computing zadán podle právního předpisu upravujícího zadávání veřejných zakázek,
z) nabídkou cloud computingu úkon poskytovatele cloud computingu,
1. jehož předmětem je projev vůle poskytnout cloud computing orgánu veřejné správy mimo rámec vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek,
2. obsahující charakteristiku nabízeného cloud computingu,
3. předcházející úkonu tohoto poskytovatele cloud computingu podle právního předpisu upravujícího zadávání veřejných zakázek, má-li být cloud computing zadán podle právního předpisu upravujícího zadávání veřejných zakázek.“.
7. V § 3 se na konci písmene c) tečka nahrazuje čárkou a doplňuje se písmeno d), které zní:
„d) rozhoduje o projektech určených informačních systémů spravovaných státními orgány v případě nesouhlasného vyjádření ministerstva k těmto projektům.“.
8. V § 4 odst. 1 písm. c) a d) se slova „budování nebo přetváření“ nahrazují slovy „vytváření nebo rozvoj“.
9. V § 4 odst. 1 písm. c) a d), v § 4 odst. 2 písm. g) a v § 5 odst. 2 písm. c) se slovo „výlučně“ zrušuje.
10. V § 4 odst. 2 písm. d) se slova „pravidla pro vazby mezi jednotlivými informačními systémy veřejné správy prostřednictvím referenčního rozhraní“ nahrazují slovy „a ve Věstníku ministerstva zveřejní pravidla užívání referenčního rozhraní“.
11. V § 4 odst. 2 písm. h) se za slovo „předpisy“ vkládají slova „upravujícími informační nebo komunikační technologie“, za slovo „dokumentací“ se vkládá čárka a na konci textu písmene h) se doplňují slova „týkajícími se informačních nebo komunikačních technologií“.
12. V § 4 odst. 2 písm. l) se slova „komunikační infrastruktury veřejné správy (dále jen „centrální místo služeb“)“ zrušují.
13. V § 5 odst. 2 písm. c) se za slova „informačního systému veřejné správy“ vkládají slova „jimi spravovaným“, za slovo „předpisy“ se vkládají slova „upravujícími informační nebo komunikační technologie“, za slovo „dokumentací“ se vkládá čárka a za slova „usneseními vlády“ se vkládají slova „týkajícími se informačních nebo komunikačních technologií“.
14. V § 5 odst. 2 písmeno f) zní:
„f) předložit ministerstvu k vyjádření a v případě určených informačních systémů spravovaných orgány územních samosprávných celků, které slouží výlučně k výkonu samostatné působnosti, na vědomí projekty určených informačních systémů; část věty před středníkem se nepoužije v případě technického zhodnocení určeného informačního systému spočívajícího jen ve změnách nemajících vliv na vnitřní vazby tohoto určeného informačního systému nebo na vazby na jiné informační systémy veřejné správy.“.
15. V § 5 se na konci odstavce 2 tečka nahrazuje čárkou a doplňují se písmena g) až i), která znějí:
„g) uskutečnit programy obsahující pořízení nebo technické zhodnocení určených informačních systémů, jejichž návrhy dokumentace jsou povinny předložit ministerstvu k vyjádření, investiční záměry akcí pořízení nebo technického zhodnocení určených informačních systémů, které jsou povinny předložit ministerstvu k vyjádření, a projekty určených informačních systémů, které jsou povinny předložit ministerstvu k vyjádření, až po souhlasném vyjádření ministerstva nebo souhlasném rozhodnutí vlády,
h) provádět hodnocení ekonomické výhodnosti způsobu provozu jimi spravovaných informačních systémů veřejné správy,
i) provádět před pořízením informačního systému veřejné správy nebo v rámci technického zhodnocení anebo rozvoje jimi spravovaného informačního systému veřejné správy hodnocení ekonomické výhodnosti jeho provozu.“.
16. V § 5 odst. 2 se za písmeno g) vkládají nová písmena h) a i), která znějí:
„h) oznámit ministerstvu zahájení zkušebního provozu určeného informačního systému souvisejícího s jeho pořízením nebo technickým zhodnocením před tím, než tato skutečnost nastane, vést záznam o průběhu zkušebního provozu a zpřístupnit záznam ministerstvu dálkovým přístupem; část věty před středníkem se nepoužije v případě zkušebního provozu souvisejícího s technickým zhodnocením určeného informačního systému spočívajícím jen ve změnách nemajících vliv na vnitřní vazby tohoto určeného informačního systému nebo na vazby na jiné informační systémy veřejné správy,
i) zahájit poskytování služby informačního systému veřejné správy jím spravovaným určeným informačním systémem až po vyjádření ministerstva, že určený informační systém splňuje požadavky kladené na něj právními předpisy, informační koncepcí orgánu veřejné správy a provozní dokumentací, a jde-li o informační systém veřejné správy spravovaný orgánem veřejné správy, pro něhož jsou závazná usnesení vlády, rovněž informační koncepcí České republiky a jinými usneseními vlády týkajícími se informačních systémů veřejné správy; část věty před středníkem se nepoužije na službu informačního systému veřejné správy, která se týká výlučně výkonu samostatné působnosti,“.
Dosavadní písmena h) a i) se označují jako písmena j) a k).
17. V § 5 se doplňuje odstavec 7, který zní:
„(7) Orgány veřejné správy mohou při zkušebním provozu informačního systému veřejné správy využívat v nezbytném rozsahu údaje, které se v informačním systému veřejné správy vedou nebo povedou nebo které jsou nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány.“.
18. V § 5a odst. 1 se za slovo „pořizování,“ vkládají slova „technického zhodnocení,“, slovo „a“ za slovem „správy“ se nahrazuje čárkou a za slovo „provozování“ se vkládají slova „ , užívání a rozvoje“.
19. V § 5a odstavec 2 zní:
„(2) Orgány veřejné správy vytvářejí a vydávají informační koncepci orgánu veřejné správy, uplatňují ji v praxi a vyhodnocují její dodržování. V informační koncepci orgánu veřejné správy orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení spravovaných informačních systémů veřejné správy a vymezí obecné principy pořizování, technického zhodnocení, vytváření, správy, provozování, užívání a rozvoje svých informačních systémů veřejné správy. V případě orgánů téhož územního samosprávného celku se vytváří jedna informační koncepce pro všechny orgány územního samosprávného celku. Orgány veřejné správy předkládají informační koncepci orgánu veřejné správy do 3 měsíců ode dne jejího vydání nebo aktualizace ministerstvu. Strukturu a náležitosti informační koncepce orgánu veřejné správy, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy, pravidla pro strukturování dat v informačních systémech veřejné správy a bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, stanoví prováděcí právní předpis.“.
20. V § 5a odst. 3 se slova „Obsah a strukturu“ nahrazují slovy „Strukturu a náležitosti“.
21. V § 5b se dosavadní text označuje jako odstavec 1 a doplňuje se odstavec 2, který zní:
„(2) Orgány veřejné správy při využívání cloud computingu postupují podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost.“.
22. V § 5c se na konci textu odstavce 2 doplňují slova „a v případě nedostatku v podobě nesouladu informační koncepce orgánu veřejné správy s informační koncepcí České republiky 3 měsíce“.
23. V § 6b odst. 1 se text „písm. n)“ nahrazuje textem „písm. m)“.
24. V § 6b odst. 2 písm. a) se text „písm. q)“ nahrazuje textem „písm. r)“.
25. V § 6h odst. 1 se slova „technického a programového vybavení“ nahrazují slovy „technických a programových prostředků“ a za slovo „poskytovány“ se vkládají slova „nebo využívány“.
26. V § 6h se za odstavec 2 vkládá nový odstavec 3, který zní:
„(3) Správce centrálního místa služeb vytváří a vydá provozní dokumentaci centrálního místa služeb, uplatňuje ji v praxi a vyhodnocuje její dodržování.“.
Dosavadní odstavce 3 a 4 se označují jako odstavce 4 a 5.
27. V § 6h odst. 4 se slova „Správci informačních systémů veřejné správy poskytují služby informačních systémů veřejné správy“ nahrazují slovy „Orgány veřejné správy zajistí, aby jimi spravované informační systémy veřejné správy“ a za slova „až d)“ se vkládají slova „uskutečňovaly vazbu mezi informačními systémy veřejné správy na informační systémy veřejné správy spravované jinými orgány veřejné správy nebo na informační systémy soukromoprávních uživatelů údajů“.
28. V § 6h odst. 5 se slova „Orgány veřejné správy využívají“ nahrazují slovy „Poskytují-li nebo využívají-li orgány veřejné správy služby informačních systémů veřejné správy s využitím“ a za slovo „komunikací“ se vkládají slova „ , zajistí, aby se tak stalo“.
29. V § 6h se doplňuje odstavec 6, který zní:
„(6) Správce centrálního místa služeb a správce referenčního rozhraní zajistí, aby přístup k referenčnímu rozhraní byl možný výlučně prostřednictvím centrálního místa služeb.“.
30. Hlava VI včetně nadpisu zní:
„HLAVA VI
Využívání cloud computingu orgány veřejné správy
§ 6i
Působnost v oblasti využívání cloud computingu orgány veřejné správy
(1) Vláda
a) pověřuje osobu nebo jiné právní uspořádání, které jsou zřízené nebo založené státem a které splňují požadavky podle § 6m odst. 1, poskytováním cloud computingu orgánům veřejné správy (dále jen „poskytovatel státního cloud computingu“),
b) schvaluje plán zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy, včetně rozpočtového výhledu na 5 let.
(2) Ministerstvo
a) koordinuje využívání cloud computingu orgány veřejné správy,
b) vydává metodické pokyny pro využívání cloud computingu orgány veřejné správy,
c) zpracovává plán zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy, včetně rozpočtového výhledu na 5 let a předkládá ho vládě,
d) navrhuje opatření k zajištění dlouhodobě udržitelného financování využívání cloud computingu orgány veřejné správy,
e) kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n a kvalitu tohoto cloud computingu,
f) spravuje informační systém cloud computingu pro orgány veřejné správy (dále jen „informační systém cloud computingu“),
g) vede katalog cloud computingu pro orgány veřejné správy (dále jen „katalog cloud computingu“),
h) vykonává působnost správního orgánu příslušného k uplatňování, regulaci a kontrole cen podle právního předpisu upravujícího ceny v případě cen za poskytování cloud computingu orgánům veřejné správy.
(3) Národní úřad pro kybernetickou a informační bezpečnost kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n, v případě, že je využíván k provozování informačního systému veřejné správy, který je informačním nebo komunikačním systémem kritické informační infrastruktury, významným informačním systémem nebo informačním systémem základní služby podle právního předpisu upravujícího kybernetickou bezpečnost.
(4) Orgán veřejné správy poskytne na žádost ministerstva podklady pro zpracování plánu zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy.
§ 6j
Informační systém cloud computingu
(1) Zřizuje se informační systém cloud computingu, který je informačním systémem veřejné správy sloužícím k podpoře řízení využívání cloud computingu orgány veřejné správy.
(2) Správcem informačního systému cloud computingu je ministerstvo.
(3) Správce informačního systému cloud computingu může prostřednictvím informačního systému cloud computingu poskytovat službu dynamického nákupního systému podle právního předpisu upravujícího zadávání veřejných zakázek.
(4) Správce informačního systému cloud computingu může prostřednictvím informačního systému cloud computingu poskytovat službu elektronického nástroje podle právního předpisu upravujícího zadávání veřejných zakázek.
§ 6k
Katalog cloud computingu
(1) Katalog cloud computingu je seznam, ve kterém se vedou údaje o poptávkách cloud computingu, poskytovatelích cloud computingu, nabídkách cloud computingu a o cloud computingu využívaném orgány veřejné správy.
(2) Údaji vedenými v katalogu cloud computingu o
a) poptávkách cloud computingu jsou
1. údaje identifikující poptávku cloud computingu,
2. údaje identifikující orgán veřejné správy, který cloud computing poptává,
3. údaje charakterizující poptávaný cloud computing, včetně údajů o základních parametrech poptávaného cloud computingu a požadované bezpečnostní úrovni,
b) poskytovatelích cloud computingu jsou údaje identifikující poskytovatele cloud computingu,
c) nabídkách cloud computingu jsou
1. údaje identifikující nabídku cloud computingu,
2. údaje identifikující poskytovatele cloud computingu, který cloud computing nabízí,
3. údaje charakterizující nabízený cloud computing, včetně údajů o základních parametrech nabízeného cloud computingu a jeho bezpečnostní úrovni a údaje o předpokládaném místu zpracování informací orgánu veřejné správy a předpokládané době, předpokládaném rozsahu a předpokládaném účelu zpracování informací orgánu veřejné správy v tomto místě, případně o tom, že nabízený cloud computing vyžaduje dlouhodobé uložení informací orgánu veřejné správy mimo území Evropské unie,
d) využívaném cloud computingu jsou
1. údaje identifikující využívaný cloud computing,
2. údaje identifikující orgán veřejné správy, který cloud computing využívá,
3. údaje identifikující poskytovatele cloud computingu, který cloud computing poskytuje,
4. údaje charakterizující využívaný cloud computing, včetně údajů o základních parametrech využívaného cloud computingu, jeho bezpečnostní úrovni a finančním objemu nákladů vynaložených v souvislosti s využíváním cloud computingu.
(3) Údaje podle odstavce 2 jsou veřejné s výjimkou údajů charakterizujících poptávaný, nabízený nebo využívaný cloud computing, jejichž zveřejnění by mohlo ohrozit kybernetickou bezpečnost a které určí u konkrétního cloud computingu ministerstvo na základě požadavku orgánu veřejné správy, který cloud computing poptává nebo využívá. Po jejich vymazání z katalogu cloud computingu ministerstvo uchová údaje po dobu 5 let v informačním systému cloud computingu.
(4) Katalog cloud computingu je součástí informačního systému cloud computingu.
§ 6l
Základní pravidla využívání cloud computingu orgánem veřejné správy
(1) Orgán veřejné správy může využívat pouze cloud computing, který splňuje požadavky podle § 6n a je poskytovaný
a) poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu na základě nabídky cloud computingu tohoto poskytovatele zapsané v okamžiku jejího přijetí orgánem veřejné správy v katalogu cloud computingu,
b) v rámci vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo
c) v rámci obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek.
(2) Přestane-li cloud computing využívaný orgánem veřejné správy splňovat podmínky podle odstavce 1, orgán veřejné správy ukončí jeho využívání nejpozději do 12 měsíců ode dne, kdy se o této skutečnosti dozvěděl.
(3) Orgán veřejné správy využívá cloud computing poskytovaný poskytovatelem cloud computingu na základě písemné smlouvy o poskytování cloud computingu orgánu veřejné správy.
(4) Odstavce 1 až 3 se nepoužijí v případě cloud computingu, který slouží výlučně
a) ke správě a řešení technických potíží nebo diagnostice programových anebo technických prostředků, případně k zabezpečení nebo přenosu s tím souvisejících signálů,
b) ke správě nebo využívání prostředků pro elektronickou identifikaci využívajících vícefaktorové autentizace,
c) k aktualizaci nebo opravě programového prostředku, nebo
d) ke shromažďování nebo výměně provozních údajů,
e) ke zkušebnímu provozu informačního systému veřejné správy, pokud při něm nebudou využity údaje, které se v informačním systému veřejné správy vedou nebo povedou anebo které jsou nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány.
(5) Je-li poskytování cloud computingu poskytovatelem státního cloud computingu závislé na využití cloud computingu jiného poskytovatele cloud computingu, použijí se na toto využití ustanovení tohoto zákona o využívání cloud computingu orgány veřejné správy.
§ 6m
Požadavky na poskytovatele cloud computingu poskytujícího cloud computing orgánu veřejné správy
(1) Poskytovatelem cloud computingu poskytujícím cloud computing orgánu veřejné správy může být pouze osoba nebo jiné právní uspořádání, které jsou
a) způsobilé zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy,
b) bezúhonné v rozsahu bezúhonnosti požadované po kvalifikovaném správci kvalifikovaného systému elektronické identifikace,
c) způsobilé pro poskytnutí cloud computingu orgánu veřejné správy z hlediska veřejného pořádku, bezpečnosti a dodržování práv třetích osob.
(2) Poskytovatelem cloud computingu poskytujícím orgánu veřejné správy cloud computing zařazený do nejvyšší bezpečnostní úrovně může být pouze poskytovatel státního cloud computingu.
§ 6n
Požadavky na cloud computing využívaný orgánem veřejné správy
Orgán veřejné správy může využívat a poskytovatel cloud computingu může orgánu veřejné správy nebo poskytovateli státního cloud computingu poskytovat pouze cloud computing,
a) který umožňuje splnění požadavků kladených na informační systém veřejné správy informační koncepcí České republiky,
b) který umožňuje dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy,
c) který umožňuje orgánu veřejné správy postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost,
d) jehož bezpečnostní úroveň je stejná nebo vyšší než bezpečnostní úroveň informačního systému veřejné správy nebo jeho části, k zajištění jehož provozu je využíván,
e) který v případě, že je jeho poskytování závislé na jiném cloud computingu, je poskytovaný s využitím cloud computingu splňujícího požadavky podle písmen b) až d) a poskytovaného poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c),
f) u něhož v případě, že je jeho poskytování závislé na více poskytovatelích cloud computingu, je každý poskytovatel cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c).
§ 6o
Zápis poptávky cloud computingu do katalogu cloud computingu
(1) Ministerstvo zapíše poptávku cloud computingu do katalogu cloud computingu na základě požadavku orgánu veřejné správy, který poptává poskytnutí cloud computingu, a to do 15 dnů ode dne uplatnění požadavku. Ministerstvo dále zapíše poptávku cloud computingu do katalogu cloud computingu na základě vlastního vyhodnocení potřeby využívání cloud computingu orgány veřejné správy.
(2) Orgán veřejné správy uplatňuje požadavek elektronicky ve strojově čitelném formátu.
(3) Orgán veřejné správy uvede v požadavku údaje o poptávce cloud computingu v rozsahu údajů, které se o poptávce cloud computingu vedou v katalogu cloud computingu.
(4) Orgán veřejné správy připojí k požadavku hodnocení ekonomické výhodnosti využití poptávaného cloud computingu.
(5) Odpovídá-li poptávka cloud computingu zapsaná v katalogu cloud computingu charakteristikou poptávaného cloud computingu jiné poptávce cloud computingu zapsané v katalogu cloud computingu, ministerstvo tyto poptávky sdruží.
§ 6p
Výmaz poptávky cloud computingu z katalogu cloud computingu
(1) Ministerstvo vymaže z katalogu cloud computingu poptávku cloud computingu,
a) o jejíž zápis do katalogu cloud computingu požádal orgán veřejné správy, na základě požadavku tohoto orgánu veřejné správy, a to do 15 dnů ode dne uplatnění požadavku,
b) o jejíž zápis do katalogu cloud computingu požádal orgán veřejné správy, po uplynutí doby 1 roku ode dne, kdy byla poptávka cloud computingu do katalogu cloud computingu zapsána,
c) o jejíž zápis do katalogu cloud computingu požádal orgán veřejné správy, na základě zápisu cloud computingu, který je předmětem poptávky cloud computingu, do katalogu cloud computingu podle § 6x,
d) kterou zapsalo do katalogu cloud computingu podle § 6o odst. 1 věty druhé, na základě vlastního vyhodnocení potřeby využívání cloud computingu orgány veřejné správy.
(2) Ministerstvo vyrozumí prostřednictvím informačního systému cloud computingu orgán veřejné správy, na základě jehož požadavku byla poptávka cloud computingu do katalogu cloud computingu zapsána, o výmazu poptávky cloud computingu podle odstavce 1 písm. a) a b).
Zápis poskytovatele cloud computingu do katalogu cloud computingu
§ 6q
(1) Ministerstvo rozhodne o zápisu poskytovatele cloud computingu do katalogu cloud computingu na základě jeho žádosti, splňuje-li poskytovatel cloud computingu požadavky podle § 6m odst. 1. O žádosti rozhodne ministerstvo do 45 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný.
(2) Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu poskytovatele cloud computingu do katalogu cloud computingu. O zápisu do katalogu cloud computingu ministerstvo vyrozumí poskytovatele cloud computingu, který o zápis požádal.
(3) Poskytovatel cloud computingu podává žádost elektronicky ve strojově čitelném formátu.
(4) Poskytovatel cloud computingu uvede v žádosti
a) údaje o sobě v rozsahu údajů, které se o poskytovateli cloud computingu vedou v katalogu cloud computingu,
b) adresu svého sídla, má-li jej mimo území České republiky.
(5) Poskytovatel cloud computingu k žádosti připojí
a) doklad vydaný orgánem státu, v němž má sídlo, obsahující identifikační údaje osob, které jsou jeho skutečným majitelem; část věty před středníkem se nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky,
b) doklad o svých zkušenostech s poskytováním cloud computingu za posledních 5 let,
c) doklad o tom, že splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost,
d) doklad o své bezúhonnosti, nelze-li bezúhonnost potvrdit postupem podle § 12 zákona o Rejstříku trestů; ustanovení právního předpisu upravujícího elektronickou identifikaci o dokladech prokazujících bezúhonnost kvalifikovaného správce kvalifikovaného systému elektronické identifikace se použijí obdobně,
e) doklad vydaný orgánem státu, v němž má sídlo, a doklad vydaný orgánem státu, na jehož území předpokládá dlouhodobé uložení informací orgánu veřejné správy, že nemá evidován nedoplatek vůči žádnému z orgánů těchto států; část věty před středníkem se ve vztahu k dokladu vydanému orgánem státu, v němž má poskytovatel cloud computingu sídlo, nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky.
(6) Nevydává-li orgán státu doklad podle odstavce 5 písm. a) nebo e), poskytovatel cloud computingu jej může nahradit čestným prohlášením.
§ 6r
(1) Ministerstvo si vyžádá pro účely posouzení splnění požadavků podle § 6m odst. 1 písm. a) závazné stanovisko Národního úřadu pro kybernetickou a informační bezpečnost. Národní úřad pro kybernetickou a informační bezpečnost vydá závazné stanovisko do 3 měsíců od jeho vyžádání.
(2) Ministerstvo si vyžádá pro účely posouzení splnění požadavku podle § 6m odst. 1 písm. c) informace o tom, zda poskytovatel cloud computingu nemá evidovaný nedoplatek u
a) orgánu Finanční správy České republiky,
b) orgánu Celní správy České republiky,
c) orgánu sociálního zabezpečení na pojistném a na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti a
d) zdravotní pojišťovny na pojistném a na penále na veřejné zdravotní pojištění.
(3) Pro rozsah údajů poskytnutých podle odstavce 2 se přiměřeně použijí ustanovení daňového řádu o rozsahu údajů v potvrzení o stavu osobního daňového účtu. Poskytnutí těchto údajů není porušením mlčenlivosti podle daňového řádu.
(4) Ministerstvo si vyžádá pro účely posouzení splnění požadavku podle § 6m odst. 1 písm. c) údaje o skutečném majiteli poskytovatele cloud computingu z evidence údajů o skutečných majitelích; pro tento účel umožní Ministerstvo spravedlnosti ministerstvu dálkový přístup k údajům o skutečném majiteli podle právního předpisu upravujícího veřejné rejstříky právnických a fyzických osob.
(5) Ministerstvo je oprávněno si vyžádat pro účely posouzení splnění požadavku podle § 6m odst. 1 písm. c) informace Národního úřadu pro kybernetickou a informační bezpečnost, Policie České republiky, zpravodajské služby nebo jiného orgánu.
(6) Po dobu od vyžádání vyjádření nebo informace podle odstavců 2, 4 a 5 do jejich poskytnutí lhůta podle § 6q odst. 1 neběží, nejdéle však po dobu 3 měsíců.
(7) Dokumenty týkající se posuzování splnění požadavků podle § 6m odst. 1, které obsahují utajované informace nebo jiné informace, na něž se vztahuje zákonem uložená nebo uznaná povinnost mlčenlivosti, se uchovávají odděleně mimo spis.
§ 6s
Výmaz poskytovatele cloud computingu z katalogu cloud computingu
(1) Ministerstvo rozhodne o výmazu poskytovatele cloud computingu z katalogu cloud computingu,
a) požádá-li o to poskytovatel cloud computingu, a to do 15 dnů ode dne podání žádosti, nebo
b) zjistí-li, že poskytovatel cloud computingu přestal splňovat požadavek podle § 6m odst. 1 písm. a) a nezjednal-li nápravu ve lhůtě stanovené ministerstvem, která nesmí být kratší než 30 dnů, nebo zjistí-li, že poskytovatel cloud computingu přestal splňovat požadavek podle § 6m odst. 1 písm. b) nebo c).
(2) Proti rozhodnutí podle odstavce 1 není rozklad přípustný.
(3) Ministerstvo vyrozumí prostřednictvím informačního systému cloud computingu o výmazu poskytovatele cloud computingu z katalogu cloud computingu orgán veřejné správy, který využívá cloud computing tohoto poskytovatele cloud computingu; ve vyrozumění uvede datum výmazu a jeho důvody.
(4) Ustanovení § 6r se na výmaz poskytovatele cloud computingu z katalogu cloud computingu použijí obdobně.
Zápis nabídky cloud computingu do katalogu cloud computingu
§ 6t
(1) Ministerstvo rozhodne o zápisu nabídky cloud computingu zařazeného do jiné než nejnižší bezpečnostní úrovně do katalogu cloud computingu na základě žádosti poskytovatele státního cloud computingu nebo poskytovatele cloud computingu zapsaného v katalogu cloud computingu, splňuje-li nabízený cloud computing požadavky podle § 6n písm. a), b), d) a f) a požadavek podle § 6n písm. e), pokud jde o požadavky podle § 6n písm. b) a d) a požadavek na poskytování podpůrného cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu. Ministerstvo rozhodne o zápisu nabídky cloud computingu zařazeného do nejnižší bezpečnostní úrovně do katalogu cloud computingu na základě žádosti poskytovatele podle věty první, splňuje-li nabízený cloud computing požadavky podle § 6n písm. a) a f) a požadavek podle § 6n písm. e), pokud jde o požadavek na poskytování podpůrného cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu. O žádosti podle vět první a druhé rozhodne ministerstvo do 30 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný.
(2) Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu nabídky cloud computingu do katalogu cloud computingu. Ministerstvo o zápisu do katalogu cloud computingu vyrozumí poskytovatele cloud computingu, který o zápis požádal.
(3) Poskytovatel cloud computingu podává žádost elektronicky ve strojově čitelném formátu.
(4) Poskytovatel cloud computingu může v žádosti uvést pouze jednu nabídku jednoho cloud computingu nebo jednu nabídku více cloud computingů zařazených do stejné bezpečnostní úrovně.
(5) Poskytovatel cloud computingu uvede v žádosti
a) údaje o nabídce cloud computingu v rozsahu údajů, které se o nabídce cloud computingu vedou v katalogu cloud computingu,
b) údaj, zda je poskytování nabízeného cloud computingu závislé na využití jiného cloud computingu, identifikaci tohoto cloud computingu a jeho poskytovatele a popis využití jiného cloud computingu, včetně rozsahu využití,
c) údaj, zda je poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu, identifikaci těchto poskytovatelů cloud computingu a popis jejich zapojení do poskytování nabízeného cloud computingu, včetně rozsahu zapojení.
(6) Poskytovatel cloud computingu k žádosti připojí
a) seznam svých dodavatelů, u kterých předpokládá zpracovávání informací orgánu veřejné správy,
b) doklad o tom, že nabízený cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost,
c) dokumentaci nabízeného cloud computingu,
d) zprávu o provedení penetračního testu nabízeného cloud computingu, pokud je požadována právním předpisem upravujícím kybernetickou bezpečnost,
e) plán zajištění kontinuity provozu nabízeného cloud computingu a plán na obnovu poskytování nabízeného cloud computingu po havárii, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost; namísto plánů lze připojit auditní zprávu osvědčující jejich existenci,
f) doklad o zhodnocení zdrojů rizik nabízeného cloud computingu, pokud je požadován právním předpisem upravujícím kybernetickou bezpečnost,
g) podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací nabízeným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost.
(7) Je-li poskytování nabízeného cloud computingu závislé na využití jiného cloud computingu a není-li jiný cloud computing ke dni podání žádosti předmětem nabídky cloud computingu zapsané v katalogu cloud computingu, poskytovatel cloud computingu k žádosti dále připojí
a) smlouvu s poskytovatelem cloud computingu, který poskytuje cloud computing, na jehož využití je závislé poskytování nabízeného cloud computingu, (dále jen „podpůrný cloud computing“),
b) seznam dodavatelů poskytovatele podpůrného cloud computingu, u kterých poskytovatel podpůrného cloud computingu předpokládá zpracovávání informací orgánu veřejné správy,
c) doklad o tom, že podpůrný cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podpůrným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost,
d) dokumentaci podpůrného cloud computingu,
e) zprávu o provedení penetračního testu podpůrného cloud computingu, pokud je požadována právním předpisem upravujícím kybernetickou bezpečnost,
f) plán zajištění kontinuity provozu podpůrného cloud comutingu a plán na obnovu poskytování podpůrného cloud computingu po havárii, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost; namísto plánů lze připojit auditní zprávu osvědčující jejich existenci,
g) doklad o zhodnocení zdrojů rizik podpůrného cloud computingu, pokud je požadován právním předpisem upravujícím kybernetickou bezpečnost,
h) podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podpůrným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost.
(8) Je-li poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu, poskytovatel cloud computingu k žádosti dále připojí
a) smlouvu o poskytování nabízeného cloud computingu s těmito poskytovateli cloud computingu,
b) seznam dodavatelů těchto poskytovatelů cloud computingu, u kterých tito poskytovatelé cloud computingu předpokládají zpracovávání informací orgánu veřejné správy.
§ 6u
(1) Ministerstvo si vyžádá pro účely posouzení splnění požadavků podle § 6n písm. b) a e) závazné stanovisko Národního úřadu pro kybernetickou a informační bezpečnost; část věty před středníkem se nepoužije v případě žádosti o zápis nabídky cloud computingu zařazeného do nejnižší bezpečnostní úrovně. Národní úřad pro kybernetickou a informační bezpečnost vydá závazné stanovisko podle věty první do 30 dnů od jeho vyžádání.
(2) Ustanovení § 6r odst. 7 se na zápis nabídky cloud computingu do katalogu cloud computingu použije obdobně.
§ 6v
Aktualizace nabídky cloud computingu zapsané v katalogu cloud computingu
(1) Ministerstvo rozhodne o zápisu aktualizace nabídky cloud computingu zapsané v katalogu cloud computingu na základě žádosti poskytovatele cloud computingu, který požádal o její zápis do katalogu cloud computingu, je-li splněna podmínka podle odstavce 4. O žádosti rozhodne ministerstvo do 30 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný.
(2) Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu aktualizace nabídky cloud computingu do katalogu cloud computingu. O zápisu do katalogu cloud computingu ministerstvo vyrozumí poskytovatele cloud computingu, který o zápis požádal.
(3) Poskytovatel cloud computingu uvede v žádosti údaje o nabídce cloud computingu v rozsahu údajů, které se o nabídce cloud computingu vedou v katalogu cloud computingu a které jsou aktualizací dotčeny. Poskytovatel cloud computingu k žádosti připojí podklady podle § 6t odst. 6 až 8, v nichž jsou vyjádřeny skutečnosti, jež jsou aktualizací dotčeny.
(4) Podmínkou aktualizace nabídky cloud computingu zapsané v katalogu cloud computingu je, že
a) nabízený cloud computing bude po aktualizaci nadále splňovat podmínky pro zápis do katalogu cloud computingu,
b) aktualizace se nedotýká údajů charakterizujících nabízený cloud computing s výjimkou objemu, rámcové ceny nebo názvu konkrétní cloudové služby.
(5) Ustanovení § 6r odst. 7 a § 6u odst. 1 se na aktualizaci nabídky cloud computingu zapsané v katalogu cloud computingu použijí obdobně.
§ 6w
Výmaz nabídky cloud computingu z katalogu cloud computingu
(1) Ministerstvo rozhodne o výmazu nabídky cloud computingu z katalogu cloud computingu,
a) požádá-li o výmaz poskytovatel cloud computingu, o jehož nabídku se jedná, a to do 15 dnů ode dne podání žádosti,
b) zjistí-li, že nabízený cloud computing přestal splňovat požadavky podle § 6n a nezjednal-li poskytovatel cloud computingu nápravu ve lhůtě stanovené ministerstvem, která nesmí být kratší než 15 dnů,
c) uplyne-li doba 3 let ode dne, kdy byla nabídka cloud computingu do katalogu cloud computingu zapsána, pokud poskytovatel cloud computingu nepotvrdil ministerstvu, že nabídka cloud computingu je stále platná, nebo uplyne-li doba 3 let ode dne, kdy poskytovatel cloud computingu naposledy potvrdil ministerstvu, že nabídka cloud computingu je stále platná; ministerstvo vyzve prostřednictvím informačního systému cloud computingu poskytovatele cloud computingu, aby potvrdil platnost nabídky cloud computingu po uplynutí doby 30 měsíců ode dne, kdy byla nabídka cloud computingu do katalogu cloud computingu zapsána, a dále vždy po uplynutí doby 30 měsíců ode dne, kdy mu poskytovatel cloud computingu potvrdil, že nabídka cloud computingu je stále platná,
d) o jejíž zápis do katalogu cloud computingu požádal poskytovatel cloud computingu, u něhož došlo k výmazu z katalogu cloud computingu, a to současně s výmazem poskytovatele cloud computingu; je-li poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu zapsaných do katalogu cloud computingu, postačí výmaz kteréhokoliv z těchto poskytovatelů cloud computingu,
e) o jejíž zápis do katalogu cloud computingu požádal poskytovatel cloud computingu, a u níž došlo k výmazu poskytovatele podpůrného cloud computingu z katalogu cloud computingu, a to současně s výmazem poskytovatele podpůrného cloud computingu.
(2) Týká-li se žádost o výmaz nabídky cloud computingu podle odstavce 1 písm. a), zjištění podle odstavce 1 písm. b) nebo potvrzení platnosti nabídky cloud computingu podle odstavce 1 písm. c) nabídky cloud computingu obsahující více cloud computingů zařazených do stejné bezpečnostní úrovně, ministerstvo vymaže z katalogu cloud computingu u nabídky cloud computingu pouze cloud computing, jehož se žádost, zjištění nebo potvrzení platnosti týká.
(3) Proti rozhodnutí podle odstavce 1 není rozklad přípustný.
(4) Ministerstvo vyrozumí prostřednictvím informačního systému cloud computingu o výmazu nabídky cloud computingu nebo její části z katalogu cloud computingu orgán veřejné správy, který využívá cloud computing, který je předmětem nabídky; ve vyrozumění uvede datum výmazu a jeho důvody.
(5) Ustanovení § 6r odst. 7 se na výmaz nabídky cloud computingu nebo její části z katalogu cloud computingu použije obdobně.
§ 6x
Zápis využívaného cloud computingu do katalogu cloud computingu
Orgán veřejné správy zapíše cloud computing, který využívá, do katalogu cloud computingu, a to do 45 dnů ode dne nabytí platnosti smlouvy o poskytnutí cloud computingu. Věta první se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c).
§ 6y
Poskytování informací a podkladů týkajících se poskytovatelů cloud computingu, nabídky cloud computingu nebo využívaného cloud computingu
(1) Dojde-li v době, kdy je cloud computing předmětem nabídky cloud computingu zapsané v katalogu cloud computingu nebo kdy je poskytován orgánu veřejné správy, ke změně údajů vedených v katalogu cloud computingu, které poskytuje poskytovatel cloud computingu, anebo skutečností vyjádřených v podkladech podle § 6q odst. 5 nebo § 6t odst. 6 až 8, poskytovatel cloud computingu o této změně bezodkladně vyrozumí ministerstvo a současně mu předloží aktuální podklady.
(2) Poskytovatel cloud computingu předkládá po dobu, kdy je cloud computing předmětem nabídky cloud computingu zapsané v katalogu cloud computingu nebo kdy je poskytován orgánu veřejné správy, v intervalech stanovených prováděcím právním předpisem ministerstvu doklady o splnění požadavku pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c) a zprávu o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e).
(3) Orgán veřejné správy zapíše do katalogu cloud computingu vždy do 3 měsíců od skončení rozpočtového období údaje o finančním objemu nákladů vynaložených v souvislosti s využívaním cloud computingu za uplynulé rozpočtové období za každý informační systém veřejné správy, pro který orgán veřejné správy využívá nebo využíval cloud computing.
§ 6z
Výmaz využívaného cloud computingu z katalogu cloud computingu
Orgán veřejné správy vymaže cloud computing, jehož využívání ukončil, z katalogu cloud computingu, a to do 45 dnů ode dne pozbytí platnosti smlouvy o poskytnutí cloud computingu.“.
31. V § 7 odst. 2 písm. b) se slova „způsobilost žadatele o atestaci (§ 6b) k realizaci vazeb informačního systému veřejné správy s jinými informačními systémy prostřednictvím referenčního rozhraní nebo“ zrušují.
32. V § 7 odst. 2 písm. c) se slova „na způsobilost k realizaci vazeb informačního systému veřejné správy s jinými informačními systémy prostřednictvím referenčního rozhraní nebo“ zrušují.
33. V části první se za hlavu VII vkládá nová hlava VIII, která včetně nadpisu zní:
„HLAVA VIII
Účinky podpisu
§ 8
Úkon, jehož náležitostí má být podpis toho, kdo jej činí, učiněný prostřednictvím informačního systému veřejné správy se považuje za podepsaný, umožňuje-li informační systém veřejné správy prokázání totožnosti toho, kdo úkon činí, s využitím elektronické identifikace, autorizaci úkonu tím, kdo úkon činí, a zpětné prokázání projevu vůle toho, kdo úkon činí.“.
Dosavadní hlavy VIII až X se označují jako hlavy IX až XI.
34. V § 8a odst. 2 písm. f) se slova „a Hospodářská komora České republiky“ nahrazují slovy „ , Hospodářská komora České republiky a Agrární komora České republiky“.
35. V § 8a odst. 2 písm. g) a v § 8b odst. 1 se slova „zákona o elektronických komunikacích“ nahrazují slovy „právního předpisu upravujícího elektronické komunikace“.
36. V § 8a odst. 3 se za slovo „republiky“ vkládají slova „ , Agrární komora České republiky“.
37. V § 8a odst. 3 se slova „zákoně o správních poplatcích“ nahrazují slovy „právním předpisu upravujícím správní poplatky“.
38. Za § 9d se vkládá označení a nadpis hlavy XI, které znějí:
„HLAVA XI
Součinnost provozovatele informačního systému veřejné správy“.
Dosavadní hlava XI se označuje jako hlava XII.
39. V § 9e odst. 3 se věta první nahrazuje větou „Provozovatel informačního systému veřejné správy postupuje při likvidaci kopií dat a provozních údajů týkajících se provozovaného informačního systému veřejné správy podle pravidel stanovených právním předpisem upravujícím kybernetickou bezpečnost pro likvidaci dat, provozních údajů, informací a jejich kopií správci a provozovateli významného informačního systému.“ a na konci textu odstavce 3 se doplňují slova „ , nevylučuje-li to způsob provozování informačního systému veřejné správy“.
40. V § 9e se odstavec 4 zrušuje.
Dosavadní odstavce 5 a 6 se označují jako odstavce 4 a 5.
41. § 12 zní:
㤠12
(1) Ministerstvo stanoví vyhláškou
a) požadavky na strukturu a náležitosti hodnocení ekonomické výhodnosti způsobu provozu informačních systémů veřejné správy podle § 5 odst. 2 písm. i), hodnocení ekonomické výhodnosti provozu informačního systému veřejné správy podle § 5 odst. 2 písm. j) a hodnocení ekonomické výhodnosti využití poptávaného cloud computingu podle § 6o odst. 4 a postup při jejich provádění,
b) požadavky na strukturu a náležitosti informační koncepce orgánu veřejné správy, postupy orgánů veřejné správy při jejím vytváření, vydávání, při vyhodnocování jejího dodržování, požadavky na řízení informačních systémů veřejné správy, včetně bezpečnostních úrovní a dekomponování informačních systémů veřejné správy, technické požadavky na informační systémy veřejné správy, pravidla pro strukturování dat v informačních systémech veřejné správy a bezpečnostní požadavky na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy spravovaných orgány veřejné správy, které nejsou orgány nebo osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, podle § 5a odst. 2,
c) požadavky na strukturu a náležitosti provozní dokumentace podle § 5a odst. 3 a na rozsah provozní dokumentace předkládané při atestaci podle § 5a odst. 4,
d) postupy atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy podle § 6d odst. 1 písm. b),
e) údaje o poptávkách cloud computingu, poskytovatelích cloud computingu, nabídkách cloud computingu a o cloud computingu využívaném orgány veřejné správy podle § 6k odst. 2,
f) požadavky na náležitosti smlouvy o poskytování cloud computingu orgánu veřejné správy podle § 6l odst. 3,
g) požadavky na náležitosti dokladu o zkušenostech poskytovatele cloud computingu s poskytováním cloud computingu podle § 6q odst. 5 písm. b),
h) požadavky na strukturu a náležitosti dokumentace nabízeného cloud computingu podle § 6t odst. 6 písm. c) a dokumentace podpůrného cloud computingu podle § 6t odst. 7 písm. d),
i) seznam obecních úřadů, úřadů městských částí nebo městských obvodů územně členěných statutárních měst a úřadů městských částí hlavního města Prahy podle § 8a odst. 2 písm. d).
(2) Národní úřad pro kybernetickou a informační bezpečnost stanoví vyhláškou
a) požadavky na zajištění základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy podle § 6m odst. 1 písm. a) a § 6n písm. b),
b) seznam certifikací a auditů pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c), doklady o jejich splnění a intervaly pro předkládání těchto dokladů podle § 6y odst. 2,
c) požadavky na strukturu a náležitosti zprávy o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) a intervaly pro její předkládání,
d) požadavky na náležitosti auditní zprávy osvědčující existenci plánu zajištění kontinuity provozu nabízeného cloud computingu a plánu na obnovu poskytování nabízeného cloud computingu po havárii podle § 6t odst. 6 písm. e) a § 6t odst. 7 písm. f),
e) požadavky na strukturu a náležitosti dokladu o zhodnocení zdrojů rizik podle § 6t odst. 6 písm. f) a § 6t odst. 7 písm. g),
f) požadavky na strukturu a náležitosti podkladů k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podle § 6t odst. 6 písm. g) a § 6t odst. 7 písm. h).“.
42. V § 12 odst. 1 písm. a) se slova „§ 5 odst. 2 písm. i)“ nahrazují slovy „§ 5 odst. 2 písm. j)“ a slova „§ 5 odst. 2 písm. j)“ se nahrazují slovy „§ 5 odst. 2 písm. k)“.