| Verze | Datum zveřejnění | Popis změn |
| 1.1 | 30. 12. 2025 | Zohledněna nová legislativa (tzv. cloudové vyhlášky) |
¶ 1. Účel dokumentu
Tento dokument popisuje pravidla a procesy využívání služeb eGovernment cloudu (dále jen „eGC“) ve veřejné správě ČR definované zákonem č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů (dále jen „ZoISVS“) a je vydán Digitální a informační agenturou (dále jen „Agentura“), která je mimo jiné příslušným správním orgánem, který vede katalog cloud computingu (§ 6i odst. 2 ZoISVS). Metodický návod je určen poskytovatelům cloud computingu, kteří chtějí své služby nabízet subjektům veřejné správy.
Poskytovatelé cloud computingu (dále též „CC“) mohou metodický návod využít např. při:
- podání žádosti o zápis poskytovatele do katalogu CC,
- podání žádosti o zápis nabídky do katalogu CC,
- aktualizaci údajů v nabídce CC,
- změně či doplnění podpůrného CC k již zapsané nabídce CC/službě,
- podání žádosti o výmaz poskytovatele z katalogu CC,
- podání žádosti o výmaz nabídky z katalogu CC (nebo její části).
¶ 2. Rozsah regulace cloud computingu podle ZoISVS
ZoISVS stanovuje práva a povinnosti, které souvisejí s vytvářením, správou, provozem, užíváním a rozvojem ISVS spravovaných státními orgány, orgány územních samosprávných celků nebo státními právnickými osobami (souhrnně jen „OVS“). ZoISVS ve své hlavě VI definuje i pravidla využívání služeb CC ve veřejné správě.
Některé OVS a ISVS jsou z působnosti zákona vyňaty:
ZoISVS se nevztahuje na ISVS spravované (viz § 1, odst. 2):
- pro potřeby nakládání s utajovanými informacemi,
- zpravodajskými službami,
- Národním bezpečnostním úřadem,
- Národním úřadem pro kybernetickou a informační bezpečnost.
ZoISVS se s výjimkou vazeb na jiné informační systémy veřejné správy nevztahuje na ISVS spravované (viz § 1, odst. 3):
- pro potřeby zajišťování obrany státu,
- pro potřeby podpory krizového řízení,
- orgány činnými v trestním řízení pro potřeby trestního řízení; zákon se vztahuje na evidenci Rejstříku trestů,
- bezpečnostními sbory,
- ozbrojenými silami České republiky nebo Vojenskou policií,
- Českou národní bankou,
- Finančním analytickým úřadem pro potřeby boje proti legalizaci výnosů z trestné činnosti nebo provádění mezinárodních sankcí za účelem udržování mezinárodního míru a bezpečnosti, ochrany základních lidských práv a boje proti terorismu,
- Ministerstvem vnitra pro potřeby provádění bezpečnostního řízení a vedení evidencí podle zákona upravujícího ochranu utajovaných informací a bezpečnostní způsobilost,
- Ministerstvem vnitra, Ministerstvem financí nebo Ministerstvem spravedlnosti pro potřeby zpracování osobních údajů příslušníků bezpečnostních sborů.
ZoISVS se nevztahuje na provozní informační systémy (tj. systémy zajišťující pouze informační činnosti pro vnitřní provoz příslušného orgánu) s výjimkou státními orgány spravovaných (viz § 1, odst. 4):
- informačních systémů pro řízení a rozvoj lidských zdrojů a odměňování,
- elektronických systémů spisové služby (dále též “eSSL”) [1],
- informačních systémů pro vedení účetnictví nebo řízení finančních zdrojů,
- systémů elektronické pošty.
ZoISVS se nevztahuje na vazby provozních informačních systémů; to neplatí, jedná-li se o vazby provozních informačních systémů na jiné informační systémy veřejné správy, které nejsou provozními informačními systémy (viz §1, odst. 5).
- týká se části provozního IS, která slouží k výměně dat s ISVS (pokud toto ISVS spadá pod rozsah regulace ZoISVS).
- Základní pravidla využívání cloud computingu orgánem veřejné správy, která definuje ZoISVS, se nevztahují na informační systémy, které slouží výlučně (§ 6l, odst. 4) [2]:
- ke správě a řešení technických potíží nebo diagnostice programových anebo technických prostředků, případně k zabezpečení nebo přenosu s tím souvisejících signálů,
- ke správě nebo využívání prostředků pro elektronickou identifikaci využívajících více faktorové autentizace,
- k aktualizaci nebo opravě programového prostředku, nebo
- ke shromažďování nebo výměně provozních údajů,
- ke zkušebnímu provozu informačního systému veřejné správy, pokud při něm nebudou využity údaje, které se v informačním systému veřejné správy vedou nebo povedou anebo které jsou, nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány. [3]
¶ 3. Používané pojmy [4]
Informačním systémem veřejné správy (ISVS) je funkční celek nebo jeho část zabezpečující cílevědomou a systematickou informační činnost pro účely výkonu veřejné správy nebo plnění jiných funkcí státu anebo dalších veřejnoprávních korporací. Každý informační systém veřejné správy zahrnuje data, která jsou uspořádána tak, aby bylo možné jejich zpracování a zpřístupnění, provozní údaje a dále technické a programové prostředky, případně jiné nástroje umožňující výkon informačních činností. (viz ZoISVS § 2, odst. 1 písm. b)).
Provozním informačním systémem je informační systém veřejné správy zajišťující informační činnosti nutné pro vnitřní provoz příslušného orgánu (viz ZoISVS § 2, odst. 1 písm. q)).
Cloud computing (CC) je způsob zajištění provozu ISVS nebo jeho části prostřednictvím dálkového přístupu ke sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem ISVS (viz ZoISVS § 2, odst. 2).
Cloud computing zahrnuje služby třídy IaaS (Infrastructure as a Service), PaaS (Platform as a Service) a SaaS (Software as a Service) (viz standard Národního institutu standardů a technologií [5]). Pojem cloud computing nezahrnuje s cloud computingem úzce související profesionální služby podporující zavádění a správu CC (např. konzultační a integrační služby) ani dodávky nebo leasing hardware a software, ani služby housingu, ani služby telekomunikační infrastruktury ani služby uživatelské podpory. Detailní vysvětlení, které služby patří do služeb CC a které ne, je uvedeno na webu Agentury [6].
Katalog cloud computingu je seznam, ve kterém se vedou údaje o poptávkách cloud computingu, poskytovatelích cloud computingu, nabídkách cloud computingu a o cloud computingu využívaném orgány veřejné správy (ZoISVS, § 6k, odst. 1).
Popis služeb CC v katalogu CC respektuje jednotnou hierarchickou strukturu služeb a jednotné parametry těchto služeb (Vyhláška č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu, § 3 a § 4):
- třída služeb – IaaS (infrastruktura jako služba), PaaS (platforma jako služba) nebo SaaS (softwarová aplikace jako služba) [7],
- oblast služeb – skupina obdobných typů služeb v rámci dané třídy služeb, které plní obdobnou základní funkcionalitu a jsou používány za stejným nebo podobným účelem (např. „databáze jako služba“ v třídě PaaS),
- typ služby – skupina obdobných konkrétních služeb, které mají stejný účel, obdobnou základní funkcionalitu a stejné základní parametry (např. „relační databáze“, specifický typ databáze v rámci oblasti služeb „databáze jako služba“),
- konkrétní služba – služba z nabídky, resp. ceníku poskytovatele.
Poptávka cloud computingu je seznam typů služeb CC, které veřejná správa hodlá v daném období využívat pro provoz svých ISVS. Poptávku specifikuje Agentura souhrnně za celou veřejnou správu, a to na základě vlastní analýzy a dále na základě návrhů jednotlivých OVS [8]. Poptávku je proto možné chápat jako signál pro poskytovatele, který napovídá, o jaké služby mají OVS zájem a je vhodné je do katalogu zapsat.
Bezpečnostní úroveň pro využívání cloud computingu orgány veřejné správy [9] vyjadřuje možné dopady kybernetického bezpečnostního incidentu na poptávaný cloud computing. Bezpečnostní úrovně jsou nízká, střední, vysoká nebo kritická (Vyhláška č. 411/2025 Sb., o bezpečnostních úrovních informačních systémů veřejné správy, § 3) a určují se dopadovou analýzou dle kritérií daných vyhláškou. Poskytovatel proto zapisuje své služby do katalogu CC v takové bezpečnostní úrovni, ve které je plánuje poskytovat OVS.
Poskytovatel cloud computingu je subjekt, který poskytuje CC (přímo nebo nepřímo) orgánům veřejné správy. V souladu se ZoISVS musí být v katalogu CC zapsány všechny subjekty v rámci dodavatelského řetězce, tj.
- materiální poskytovatel CC, který službu CC produkuje na vlastní IT infrastruktuře, nebo na cloudové IT infrastruktuře jiného poskytovatele CC,
- distributor, který službu CC přeprodává jinému poskytovateli CC,
- koncový poskytovatel CC, který službu přímo nabízí OVS (může být materiální poskytovatel nebo přeprodejce).
Poskytovatel státního cloud computingu je osoba nebo jiné právní uspořádání, které je zřízené nebo založené státem, splňuje požadavky podle § 6m odst. 1 ZoISVS a je pověřené poskytováním cloud computingu orgánům veřejné správy. Jen poskytovatel státního cloud computingu je oprávněn poskytovat služby CC nejvyšší bezpečnostní úrovně, označované jako kritická (ZoISVS, § 6m, odst 2).
Nabídka cloud computingu
je seznam konkrétních služeb CC jednotlivých zapsaných poskytovatelů CC, které úspěšně prošly ověřením (tzv. ex-ante kontrolou), že splňují požadavky dle zákona (ZoISVS § 6n a § 6t) a vyhlášky č. 505/2025 Sb., o některých požadavcích pro zápis do katalogu cloud computingu, a to pro danou bezpečnostní úroveň.
Typ služby CC označuje množinu konkrétních služeb CC, které mají stejný účel a stejné druhy parametrů, které službu charakterizují. Např. typ služby „Server bez operačního systému a bez hypervizoru“ označuje celou řadu konkrétních virtuálních serverů.Tyto servery se dají charakterizovat těmito parametry: Typ vCPU, Frekvence, RAM, Server storage, Síťové připojení, Instance Sdílená/Dedikovaná/Rezervovaná, s/bez správy poskytovatelem.
Konkrétní služba CC je služba CC, kterou nabízí poskytovatel CC ve svém ceníku. Konkrétní služba má vždy uvedeny hodnoty všech parametrů včetně místa zpracování dat nebo ceny.
Cloud computing závislý na jiném cloud computingu je cloud computing, který využívá nebo přeprodává cloud computing (služby IaaS/PaaS/SaaS) jiného poskytovatele. V případě, že cloud computing je orgánu veřejné správy dodáván řetězcem poskytovatelů [ZoISVS, § 6t, odst. 5 písm. b), c)], pak je daný cloud computing závislý na všech poskytovatelích tohoto řetězce a na všech využívaných službách tohoto řetězce.
Podpůrný CC je CC, jehož poskytování je závislé na využití jiného cloud computingu (který produkuje materiální poskytovatel). Je odpovědností každého poskytovatele, zapojeného do dodavatelského řetězce cloud computingu, si ověřit skutečný stav závislosti na cloud computingu v předchozích článcích řetězce.
Přeprodávaný CC je CC, jehož poskytování je závislé na více poskytovatelích cloud computingu (kteří předchází v dodavatelském řetězci) a který daný poskytovatel (přeprodejce) dále bez jakékoli úpravy přeprodává svým zákazníkům. Je odpovědností každého poskytovatele, zapojeného do dodavatelského řetězce cloud computingu, si ověřit skutečný stav závislosti na cloud computingu v předchozích článcích řetězce.
Balíček služeb CC je samostatně nabízená služba CC, která je sdružením samostatných služeb, zejména z obchodních a marketingových důvodů.
Základním parametrem služby CC je popisný údaj, který upřesňuje objemové, výkonové, bezpečnostní, cenové a další charakteristiky služby CC (Vyhláška č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu, § 2).
¶ 4. Základní pravidla využívání katalogu CC
Tato subkapitola shrnuje základní pravidla, která jsou aplikována při využívání katalogu CC pro realizaci informačních systémů veřejné správy.
OVS může dle odst. 1 § 6I ZoISVS využívat pouze takový CC, který splňuje požadavky podle § 6n ZoISVS a je poskytovaný:
- poskytovatelem zapsaným v katalogu CC nebo poskytovatelem státního cloud computingu nebo
- v rámci obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen “ZZVZ”) nebo
- v rámci vertikální nebo horizontální spolupráce podle ZZVZ.
Výše uvedená zákonná povinnost pro Poskytovatele znamená, že pokud chce poskytovat OVS cloudové služby (naplňující definici CC dle ZoISVS), je nutné projít dvoukolovým zápisem do katalogu CC, kdy prvním krokem je zápis samotného poskytovatele a teprve pokud je tento krok úspěšný, následuje zápis konkrétních služeb, tzn. o zápis svých nabízených služeb CC do katalogu CC může požádat pouze zapsaný poskytovatel (§ 6t odst. 1 ZoISVS). Zápis do katalogu CC (ať už poskytovatele nebo služeb) neprobíhá obratem, jedná se o správní řízení, ve kterých jsou poskytovatelé i jejich služby důkladně prověřováni, viz kapitoly níže.
Mezi poptávkou CC a nabídkou CC ve smyslu ZoISVS nemusí být přímý vztah (§ 6k odst. a) a c) ZoISVS), tj. nabídka poskytovatele může obsahovat i jiné služby, než jsou uvedeny v poptávce. Společná poptávka publikovaná Agenturou určuje v dané době platnou hierarchickou strukturu typů služeb CC vedených v katalogu CC, kterou musejí respektovat ve svých nabídkách všichni poskytovatelé. Poskytovatel zapisuje/nabízí své konkrétní služby CC tak, že je zařazuje pod příslušný typ služby, do kterého konkrétní služba patří. Jestliže poskytovatel chce nabízet i službu, která neodpovídá žádnému z poptávaných typů služeb, uvede ji v nabídce v části „ostatní nabízené služby“.
Poskytovatel CC může v žádosti uvést pouze jednu nabídku jednoho CC nebo jednu nabídku více CC zařazených do stejné bezpečnostní úrovně (§ 6t odst. 4) ZoISVS).
Je-li nabízená služba CC dodávána řetězcem poskytovatelů, pak každý poskytovatel tohoto řetězce musí být zapsán v katalogu CC. V katalogu CC musejí být zapsané i všechny služby CC dodavatelského řetězce, které jsou pro tvorbu služby nabízené OVS využívány (§ 6t ZoISVS). To například znamená, že poskytovatel SaaS služeb, který pro provoz svých služeb využívá IaaS/PaaS služeb jiného poskytovatele, může o zápis svých SaaS služeb požádat až tehdy, kdy jsou do katalogu zapsány služby IaaS/PaaS, které využívá.
Ve své nabídce poskytovatel uvádí svoje služby v těchto skupinách:
- služby IaaS/PaaS, které sám produkuje a nabízí (§ 6t odst. 5 písm. a) ZoISVS),
- služby SaaS, které sám produkuje a nabízí (§ 6t odst. 5 písm. a) ZoISVS),
- služby podpůrné (§ 6n písm. e), § 6t odst. 5 písm. b), a odst. 7 ZoISVS),
- služby přeprodávané (§ 6n písm. f), § 6t odst. 8 ZoISVS),
- produkty a služby dodavatelů jiných (necloudových) služeb, které daný poskytovatel využívá k realizaci svých služeb CC a u kterých může dojít ke zpracovávání informací orgánu veřejné správy, např. služby service desku (§ 6t odst. 6 písm. a) ZoISVS).
Pro každou službu IaaS/PaaS/SaaS, kterou sám produkuje, musí poskytovatel doložit, jak služba splňuje požadavky vyhlášky č. 505/2025 Sb., o některých požadavcích pro zápis do katalogu cloud computingu (§ 6t odst. 5 ZoISVS). Rozsah těchto dokládaných informací se liší v závislosti na bezpečnostní úrovni, ve které je služba nabízena.
U služeb zařazených do bezpečnostních úrovní 2, 3 a 4 kontroluje splnění požadavků zákona o kybernetické bezpečnosti a související vyhlášky č. 505/2025 Sb., o některých požadavcích pro zápis do katalogu cloud computingu (dále jen „vyhláška č. 505“) Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) v rámci procesu zápisu nabídky do katalogu CC. Z toho důvodu je zápis nabídky služeb do katalogu CC (do BÚ 2, 3 a 4) podmíněn vydáním závazného stanoviska NÚKIB, které si od něj Agentura vyžaduje. U služeb zařazených do bezpečnostní úrovně 1 kontroluje splnění požadavků vyhlášky č. 505 Agentura.
Poskytovatel uzavře s OVS písemnou smlouvu o poskytování cloud computingu orgánu veřejné správy (§ 6l odst. 3 ZoISVS). V případě poskytování služeb třídy SaaS se může využít vzorová smlouva připravená Agenturou [10], ve které jsou obsažena bezpečnostní opatření, která musí OVS pro provoz ISVS prostřednictvím CC zajistit (vyplývající z vyhlášky č. 411/2025 Sb., o bezpečnostních úrovních informačních systémů veřejné správy). Pokud OVS z nějakého důvodu nemůže použít vzorovou smlouvu, pak je nezbytné, aby do smlouvy s poskytovatelem předmětná bezpečnostní opatření zahrnul.
¶ 5. Zápis poskytovatele do katalogu cloud computingu
Tato kapitola popisuje postup zápisu poskytovatele cloud computingu (CC) do katalogu CC spravovaného Agenturou. Zápis do katalogu CC je povinný pro všechny poskytovatele, kteří chtějí nabízet své služby prostřednictvím eGovernment Cloudu (eGC). O zápisu rozhoduje Agentura na základě posouzení splnění požadavků vyplývajících ze ZoISVS.
¶ 5.1 Žádost o zápis poskytovatele CC do katalogu CC
Žádost o zápis se podávají prostřednictvím formuláře, který je dostupný na webových stránkách Agentury (Formuláře pro poskytovatele cloud computingu). Pro podání žádosti je nutné použít vždy aktuální verzi formuláře. Pokyny k vyplnění žádosti jsou součástí formuláře – na listu „Pokyny k vyplnění“ a v poznámkách u jednotlivých buněk.
¶ 5.1.1 Formulář žádosti
Žádost o zápis poskytovatele CC se skládá ze dvou částí (listů, které se vyplňují).
Jednotlivé listy formuláře a jak je vyplnit:
1) "Identifikační údaje" - identifikace žadatele a jeho žádosti.
2) "Připojené dokumenty" - seznam dokumentů, které žadatel musí přiložit k žádosti. Rozsah dokumentů, které je k žádosti nutné přiložit, se liší podle toho, kde má žadatel sídlo (blíže viz list „Pokyny k vyplnění“ přímo ve formuláři). Doklad o zkušenostech žadatele s poskytováním cloud computingu za posledních 5 let není povinný, ale pouze doporučený.
¶
5.1.2 Podání žádosti
Poskytovatelé s datovou schránkou zasílají žádost do datové schránky Agentury označené jako „Katalog cloud computingu“ (ID datové schránky: ap2hwi6). Žádost se odesílá ve formátu xlsx.
Poskytovatelé bez datové schránky zasílají žádost elektronicky na elektronickou podatelnu Agentury (posta@dia.gov.cz). Průvodní dopis k žádosti musí být podepsán zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu pro elektronický podpis, nebo kvalifikovaným elektronickým podpisem oprávněného zástupce poskytovatele, nebo opatřen uznávanou elektronickou pečetí. Žádost se odesílá ve formátu xlsx.
Přílohy k žádosti
Jedna žádost může obsahovat více podkladů (dokumenty, výpisy, prohlášení). Přílohy musí být správně označeny podle pokynů uvedených ve formuláři. Z bezpečnostních důvodů není možné vkládat přílohy ve formátu .zip. Dokumenty je nutné vložit jednotlivě. Maximální velikost příloh v jedné datové zprávě je 100 MB. Pokud celkový objem přesáhne tento limit, lze podání rozdělit do více datových zpráv.
¶ 5.2 Zastupování
Žádost o zápis může za poskytovatele podat i určený zástupce (např. dceřiná společnost nebo právní kancelář). V případě, že žádost podává dceřiná společnost za svou mateřskou společnost – poskytovatele CC, je nutné k žádosti doložit:
- Listinu prokazující oprávnění k jednání za mateřskou společnost, která musí být opatřena podpisem osoby oprávněné jednat za mateřskou společnost. Podpis musí být úředně ověřen dle zákona č. 21/2006 Sb., o ověřování, nebo ověřen podle zahraničních právních předpisů uznaných v ČR. Úřední ověření podpisu se nevyžaduje, pokud je listina opatřena elektronickým podpisem v souladu s § 6 zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce.
- Listinu prokazující existenci mateřské společnosti, která obsahuje údaje o statutárním orgánu a způsobu jeho jednání / výpis ze zahraničního obchodního rejstříku). Listina musí být předložena v originále, nebo jako úředně ověřená kopie dle zákona č. 21/2006 Sb., nebo jako kopie ověřená podle zahraničních předpisů uznávaných v ČR. Listina není vyžadována, pokud je možné údaje ověřit ve veřejně dostupném zahraničním obchodním rejstříku přístupném z ČR prostřednictvím internetu. V takovém případě je nutné uvést odkaz na rejstřík a přiložit aktuální výpis z rejstříku ve formátu PDF.
- Prohlášení o zastupování, které musí obsahovat jasnou specifikaci poskytovatele, který je zastupován, žadatele, který je pověřen zastupováním, a rozsah jeho pověření.
¶ 5.3 Průběh řízení
Podáním žádosti o zápis poskytovatele cloud computingu do katalogu cloud computingu je zahájeno správní řízení o žádosti.
Agentura rozhoduje o zápisu poskytovatele do katalogu CC na základě jeho žádosti a splnění požadavků stanovených v § 6m odst. 1 ZoISVS. O zahájení řízení, příslušných lhůtách a dalším postupu v řízení je žadatel písemně informován prostřednictvím komunikačního kanálu použitého při podání žádosti.
V řízení o zápisu poskytovatele má Agentura na rozhodnutí o žádosti 45 dní od jejího podání. Aby mohla o žádosti rozhodnout, spolupracuje s ostatními orgány státu (jako jsou např. Finanční správa, Celní správa, orgán sociálního zabezpečení, Policie, zpravodajské služby a další), od kterých si vyžaduje informace o poskytovateli (§ 6r ZoISVS). Zároveň se jedná o řízení, ve kterém je zápis do katalogu podmíněn i vydáním závazného stanoviska Národního úřadu pro kybernetickou a informační bezpečnost (pro účely posouzení splnění požadavků podle § 6m odst. 1 písm. a) ZoISVS), který má na jeho vydání 3 měsíce od vyžádání. Agentura obdržené informace průběžně vyhodnocuje a případně se doptává poskytovatele na zjištěné nedostatky formou výzvy. Po dobu získávání informací/závazného stanoviska (nejdéle 3 měsíce) nebo čekání na odpovědi od poskytovatele lhůta pro vyřízení žádosti neběží. Délka celého procesu zápisu se proto odvíjí od toho, zda Agentura v průběhu řízení zjistí o poskytovateli nějaké informace negativního charakteru, které je potřeba objasnit či dovysvětlit, nebo zjistí nedostatky, které je potřeba ze strany poskytovatele odstranit a jak dlouho poskytovateli takové sjednání nápravy trvá.
Pro urychlení procesu zápisu je vhodné, aby si poskytovatel před podáním žádosti zkontroloval, zda má uhrazeny veškeré nedoplatky vůči Finanční správě, Celní správě a u orgánu sociálního zabezpečení a zajistil, aby měl ve Sbírce listin Obchodního rejstříku zveřejněny veškeré účetní závěrky, zakladatelskou listinu a uvedeny konkrétní obory činnosti (ne pouze obecný předmět podnikání „výroba, obchod a služby neuvedené v přílohách 1 až 3 živnostenského zákona“). Jedná se o nejčastější chyby, které jsou během řízení o zápisu do katalogu odhalovány a je potřeba je odstranit.
Rozhodnutí o zápisu do katalogu CC. Pokud je žádosti vyhověno v plném rozsahu, písemné vyhotovení rozhodnutí se nevydává. Rozhodnutí nabývá právní moci dnem zápisu poskytovatele CC do katalogu CC. Při zápisu do katalogu CC Agentura přidělí poskytovateli jednoznačnou identifikaci (ID poskytovatele). O zápisu do katalogu CC vyrozumí Agentura poskytovatele prostřednictvím komunikačního kanálu použitého při podání žádosti.
Pokud se změní název společnosti, sídlo, nebo kontaktní osoba, Poskytovatel nahlásí tuto změnu Agentuře prostřednictvím datové schránky či jiného komunikačního kanálu použitého při podání žádosti o zápis poskytovatele do katalogu. Agentura tuto změnu promítne do katalogu CC.
¶ 6. Výmaz poskytovatele
Dle § 6s ZoISVS Agentura rozhodne o výmazu poskytovatele cloud computingu z katalogu cloud computingu v následujících případech:
- požádá-li o výmaz poskytovatel cloud computingu, a to do 15 dnů ode dne podání žádosti,
- zjistí-li, že poskytovatel cloud computingu přestal splňovat požadavek podle § 6m odst. 1 písm. a) a nezjednal-li nápravu ve lhůtě stanovené Agenturou, která nesmí být kratší než 30 dnů, nebo zjistí-li, že poskytovatel cloud computingu přestal splňovat požadavek podle § 6m odst. 1 písm. b) nebo c).
V prvním případě je iniciátorem výmazu z katalogu sám poskytovatel, který tak učiní podáním žádosti o výmaz poskytovatele z katalogu cloud computingu. Pro takovou žádost není předepsaný formulář. Důležité je, aby se poskytovatel v žádosti o výmaz z katalogu jasně identifikoval (nejlépe prostřednictvím přiděleného ID), a uvedl důvod výmazu. Tato situace nastává např. tehdy, kdy poskytovatel přestane nabízet cloud computing OVS.
Žádost o výmaz nabídky nebo její části z katalogu CC poskytovatel podá Agentuře prostřednictvím datové schránky či jiného komunikačního kanálu použitého při podání žádosti o zápis nabídky do katalogu.
Ve druhém případě je iniciátorem výmazu z katalogu Agentura, která s poskytovatelem zahájí řízení o výmazu poskytovatele z katalogu CC, které může vyústit ve výmaz.
¶ 7. Zápis nabídky cloud computingu do katalogu cloud computingu
Tato kapitola popisuje proces zápisu nabídky služeb CC do katalogu CC.
Podle § 6t ZoISVS podává zapsaný poskytovatel cloud computingu žádost o zápis nabídky cloud computingu do katalogu cloud computingu.
¶ 7.2 Žádost o zápis nabídky CC do katalogu CC
Poskytovatel CC o zápis své nabídky CC požádá vyplněním příslušné žádosti. Obsah žádosti se liší podle bezpečnostní úrovně, ve které poskytovatel své služby provozuje a nabízí (proto je důležité zvolit správný formulář žádosti pro danou bezpečnostní úroveň).
Žádosti o zápis nabídky do katalogu se podávají na formulářích, které jsou dostupné na webu Agentury (Formuláře pro poskytovatele cloud computingu). Pro podání žádosti je nutné použít vždy aktuální verzi formuláře. Pokyny k vyplnění žádosti jsou uvedeny ve formuláři (list „Pokyny k vyplnění“, příp. poznámky u jednotlivých buněk).
Poskytovatelé CC, kteří jsou pouze tzv. distributory (tzn. služby neprodukují ani nenabízejí přímo OVS, ale jsou pouze mezičlánkem v dodavatelském řetězci), nemusí Agentuře zasílat žádost o zápis nabídky CC. Budou-li přesto na Agenturu zaslány, budou tyto nabídky CC schváleny, ale nebudou zveřejněny v katalogu CC.
¶ 7.2.1 Formulář žádosti
Žádost o zápis nabídky CC se skládá až z devíti částí (listů, které se vyplňují), přičemž poskytovatel vyplňuje pouze ty, které jsou pro jeho nabídku relevantní (ostatní je vhodné pro lepší přehlednost z formuláře vymazat).
Formulář obsahuje makro, které je nutné spustit, aby bylo možné provést vícenásobný výběr typů služeb na listech „IaaS a PaaS“ a „SaaS a smíšené modely“. Makro je podepsané důvěryhodným certifikátem Agentury a je bezpečné. Digitální podpis se zobrazí na kartě Vývojář na Visual Basic – Nástroje (Tools) – Digitální podpis (Digital Signature).
Jednotlivé listy formuláře a jak je vyplnit:
1) Identifikace poskytovatele a jeho nabídky (list formuláře „Identifikační údaje“). Vyplňuje se vždy. Zde Agentura upozorňuje zejména na první řádek bodu 2, ve kterém poskytovatelé často chybují. Vyžaduje se zde unikátní název zapisované nabídky. Identifikaci je nutné zvolit tak, aby název nebyl shodný s nabídkou jiného poskytovatele, ale ani jinou nabídkou téhož poskytovatele. Zároveň by zvolený název měl být stručný (např. <zkratka poskytovatele>_<pořadové číslo nabídky>).
2) Schéma dodavatelského řetězce (list formuláře „Schéma dodavatelského řetězce“). Vyplňuje se vždy.
Na schématu poskytovatel graficky zachytí celý dodavatelský řetězec svých služeb. Ve schématu musí být zachyceni všichni členové dodavatelského řetězce včetně všech materiálních poskytovatelů, jejichž služby CC daný poskytovatel využívá nebo přeprodává. Seznam podpůrných služeb poskytovatel uvede ve formuláři "Podpůrný cloud computing". Seznam přeprodávaných služeb poskytovatel uvede ve formuláři "Přeprodávaný cloud computing".
Ve schématu je nutné barevně odlišit (červené pole) toho poskytovatele, jehož nabídka je podávanou žádostí deklarována.
Všichni předchůdci poskytovatele, který žádost podává, musí již být zapsáni v katalogu CC jako prověření poskytovatelé CC (na níže uvedeném schématu se tato povinnost vztahuje na poskytovatele 1, 2 i 3). V katalogu CC musejí být zapsány také všechny služby CC materiálních poskytovatelů, které aktuální poskytovatel využívá nebo přeprodává (na níže uvedeném schématu se tato povinnost vztahuje na služby poskytovatelů 2 a 3).
Schéma dodavatelského řetězce:
3 a 4) Nabídka služeb IaaS, PaaS a SaaS (list formuláře „IaaS a PaaS“ a list formuláře „SaaS a smíšené modely“). Vyplňuje se tehdy, pokud poskytovatel, kterého se žádost o zápis služeb CC týká, služby IaaS/PaaS a/nebo služby SaaS sám produkuje (tzn. nezapisují se zde služby poskytovatele podpůrného nebo přeprodávaného CC). Každou nabízenou službu CC musí poskytovatel v nabídce zařadit pod jeden nebo více typů služeb CC, které jsou v žádosti předepsány. Seznam typů služeb, ze kterých je možno vybírat, je uveden pro třídu služeb IaaS a PaaS na listu „IaaS a PaaS – seznam typů služeb“ a pro třídu služeb SaaS a smíšené modely na listu „SaaS – seznam typů služeb“. Názvy typů služeb a struktura typů služeb ve formuláři je shodná s názvy a strukturou typů služeb v aktuálně platné společné poptávce cloud computingu. Je v zájmu poskytovatele, aby byl při přiřazování typů služeb k zapisované službě pečlivý a vybral opravdu všechny typy, které daná služba naplňuje, a to z důvodu, že OVS se při vyhledávání služeb v katalogu CC (i při zadávání veřejných zakázek) nejčastěji orientují právě podle typů služeb, které aktuálně poptávají nebo plánují poptávat. V případě, že se nabízená služba nedá zařadit pod žádný předepsaný typ služby, poskytovatel tuto službu uvede pod typ služby „Ostatní služby“.
5 a 6) Podklady k ověření splnění požadavků dle § 6t, odst. 6, písm. b) až g) ZoISVS, a to dle požadavků prováděcího předpisu – vyhlášky č. 505 (listy formuláře "Podklady k ověření IaaS-PaaS" a "Podklady k ověření SaaS"). Podklady se vyplňují pro všechny služby, které jsou uvedeny ve formuláři na listech "IaaS a PaaS" a "SaaS a smíšené modely". Podklady k ověření služeb lze slučovat do skupin, to např. znamená, že mají-li všechny nabízené služby stejnou sadu dokumentů, které dokládají splnění bezpečnostních opatření, zařadí se všechny nabízené služby do jedné skupiny a podklady se doloží jednou pro celou skupinu. V případě, že některá ze služeb zařazená do skupiny má v některém požadavku jiný způsob nebo jiný dokument dokládající jeho splnění, uvádí se tyto odchylky v části formuláře „Služby s odchylkou od skupiny“. Jak už bylo uvedeno výše, bezpečnostní požadavky dané vyhláškou č. 505 se liší podle bezpečnostní úrovně, ve které poskytovatel své služby provozuje a nabízí. Na těchto listech žádosti je u každého bezpečnostního požadavku uvedeno jeho znění dle vyhlášky č. 505 a zároveň způsob, jakým je možné splnění požadavku doložit (všechny varianty). U některých požadavků stačí pouze písemný popis, u jiných je potřeba přiložit dokumenty. Na webu Agentury je zveřejněn vzor vyplnění tohoto listu žádosti: Vzor vyplnění listu "Podklady k ověření IaaS-PaaS". Jedná se o neveřejnou část žádosti, která slouží pro informaci pouze Agentuře a NÚKIB (tato část žádosti není s ohledem na kybernetickou bezpečnost v katalogu zveřejňována).
Způsob podání a identifikace přiložených dokumentů k žádosti:
Dokumenty vyžadované na listech formuláře „Podklady k ověření“ poskytovatel předává v rámci datové zprávy/datových zpráv jako samostatné soubory, jejichž název je definován takto:
IDx.x_Pořadové číslo dokumentu_RRMMDD_Volitelná část
kde jednotlivé části identifikace mají následující význam:
- IDx.x je identifikátor požadavku, ke kterému poskytovatel přikládá dokument/dokumenty (například ID1.2),
- Pořadové číslo dokumentu je pořadové číslo dokumentu v rámci dokumentů, které se vztahují k témuž požadavku (např. 01, 02),
- RRMMDD je datum vytvoření dokumentu,
- Volitelná část je část identifikace dle volby poskytovatele. Může se např. jednat o iniciálu zpracovatele dokumentu, stručný název dokumentu apod.
Oddělovačem jednotlivých částí identifikace dokumentu je znak „_“.
Pokud jsou k žádosti přikládány další dokumenty (např. smlouvy, průvodní dopis k žádosti atd.), pak je název souboru označen: 00_Název_RRMMDD_Volitelná část.
Cílem je, aby názvy dokumentů byly stručné, neboť Agentura i NÚKIB s nimi dále pracují (používají je např. ve výzvách k odstranění nedostatků atd..).
7) Seznam cloud computingu IaaS, PaaS a SaaS jiného poskytovatele, které daný poskytovatel využívá k realizaci nabízeného cloud computingu - tzv. podpůrný cloud computing dle § 6n e), § 6t odst. 5, písm. b) a odst. 7 ZoISVS (list formuláře "Podpůrný cloud computing"). Vyplňuje se pouze tehdy, když daný poskytovatel využívá pro realizaci svých služeb služby CC jiných poskytovatelů CC. Příkladem je, když poskytovatel služeb SaaS využívá pro provoz svých služeb služby PaaS jiného poskytovatele. Poskytovatel podpůrného cloud computingu musí být zároveň uveden na listu „schéma dodavatelského řetězce“.
8) Popis služeb dodavatelů jiných služeb, než jsou služby cloud computingu, které daný poskytovatel využívá k realizaci svých služeb a u kterých může dojít ke zpracovávání informací orgánu veřejné správy (list formuláře "Dodavatelé"). Vyplňuje se pouze tehdy, když takové služby poskytovatel využívá. Příkladem takových služeb nebo produktů jsou služby service desku, software nebo hardware, který je součástí provozního prostředí nabízených služeb CC.
9) Seznam cloud computingu IaaS, PaaS a SaaS, které poskytují jiní poskytovatelé a které žadatel přeprodává dle § 6t odst. 5, písm. c) a odst. 8, písm. a) ZoISVS (list formuláře "Přeprodávaný cloud computing"). Vyplňuje se pouze tehdy, když daný poskytovatel přeprodává všechny nebo pouze některé služby z nabídky či více nabídek jiného poskytovatele. Celý dodavatelský řetězec poskytovatelů CC musí být uveden na listu „schéma dodavatelského řetězce“.
Pokud poskytovatel pouze přeprodává cloud computing jiného poskytovatele (je přeprodejcem CC) a zároveň je i konečným prodejcem, tzn. poskytuje přeprodávané služby přímo OVS, pak může využít zjednodušený formulář pro zápis takovéto nabídky CC do katalogu CC, který je k dispozici na webu Agentury: Formulář žádosti o zápis nabídky přeprodávaných služeb do katalogu CC. Důležité je, že přeprodejce může v jedné žádosti uvést přeprodávané služby z jedné nebo více nabídek jednoho materiálního poskytovatele, ale pouze ve stejné bezpečnostní úrovni (viz § 6t odst. 4 ZoISVS).
Důležitá upozornění (platí pro všechny formuláře pro zápis nabídky CC do katalogu CC):
- Detailní pokyny k vyplnění jednotlivých listů formuláře žádosti jsou součástí samotného formuláře (na listu „Pokyny k vyplnění“ a jako poznámky k jednotlivým buňkám).
- Ve formuláři žádosti poskytovatel vyplňuje pouze žlutě nebo oranžově zabarvená pole.
- Podpůrná, resp. přeprodávaná služba se v žádosti identifikuje identifikátorem, který dané službě přidělila Agentura při jejím zápisu do katalogu CC. Poskytovatel podpůrného i přeprodávaného CC musí být zapsán v katalogu CC jako poskytovatel CC. Podpůrné služby musí být zapsány do katalogu CC před tím, než je daná žádost odeslána. Pokud v katalogu podpůrné služby zapsány nejsou, musí poskytovatel, který na ně v žádosti odkazuje, k této žádosti dále připojit samostatný "Formulář žádosti o zápis nabídky cloud computingu do katalogu cloud computingu", a to v rozsahu § 6t, odst. 7 ZoISVS.
- Poskytovatel v žádosti na listech „IaaS a PaaS“ a „SaaS a smíšené modely“ uvádí pouze služby, které jsou uvedeny v auditních zprávách. Po zápisu těchto služeb do katalogu CC, bude mít poskytovatel možnost libovolně sdružovat zapsané služby do balíčků – viz kapitola 9.
¶ 7.2.2 Podání žádosti
Poskytovatelé, kteří mají zřízenou datovou schránku, zasílají žádost do datové schránky Agentury označené jako Katalog cloud computingu (ID: ap2hwi6). Žádost se odesílá ve formátu xlsx.
Poskytovatelé, kteří nemají zřízenou datovou schránku, zasílají žádost elektronicky na elektronickou podatelnu Agentury (posta@dia.gov.cz). Průvodní dopis k žádosti o zápis musí být v tomto případě podepsán zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu pro elektronický podpis nebo kvalifikovaným elektronickým podpisem oprávněného zástupce/oprávněných zástupců poskytovatele nebo opatřeným uznávanou elektronickou pečetí. Žádost se odesílá ve formátu xlsx.
Žádost o zápis nabídky do katalogu CC zpravidla obsahuje řadu podkladů (dokumentů, výpisů, prohlášení). Do datové zprávy systému datových schránek však nelze z bezpečnostních důvodů kvůli kontrole malwaru vložit přílohu typu ZIP. Dokumenty je tedy nutné vložit jednotlivě. Počet příloh je omezen do max. 100 MB objemu v jedné datové zprávě. Jedno podání je možné rozdělit do několika následných datových zpráv.
Protože formulář obsahuje makro (je ve formátu xlsxm), je nutné ho před odesláním do datové schránky převést (uložit) do formátu xlsx, jinak bude na vstupu odmítnut.
¶ 7.3 Zastupování
Žádost o zápis nabídky do katalogu CC může za poskytovatele podat i určený zástupce. Zpravidla jde o evropské nebo české ovládané právnické osoby (dceřiné společnosti), které podávají žádost za poskytovatele, kterými jsou jejich zahraniční ovládající osoby (mateřské společnosti) nebo právní kanceláře.
V situaci při podání žádosti o zápis do katalogu CC za jiného poskytovatele CC, která je mateřskou společností, je nutné doložit oprávnění dceřiné společnosti k zastupování s těmito náležitostmi:
- listina prokazující oprávnění k jednání za mateřskou společnost musí být opatřena podpisem osoby oprávněné jednat za mateřskou společnost, přičemž tento podpis musí být úředně ověřen podle českých právních předpisů (legalizace podle zákona č. 21/2006 Sb., o ověřování) nebo úředně ověřen podle zahraničních právních předpisů způsobem, který je v České republice uznán jako ekvivalent úředního ověření podpisu; úřední ověření podpisu se nevyžaduje, jde-li o elektronickou listinu opatřenou elektronickým podpisem úrovně podle § 6 zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce; a
- listina prokazující existenci mateřské společnosti, údaje o jejím statutárním orgánu a údaj o tom, jak její statutární orgán jedná (výpis ze zahraničního obchodního rejstříku) musí být předložena v originále, jako úředně ověřená kopie podle českých právních předpisů (vidimace podle zákona č. 21/2006 Sb., o ověřování) nebo jakožto kopie ověřená podle zahraničních právních předpisů způsobem, který je v České republice uznán jako ekvivalent úředně ověřené kopie; tato listina se nevyžaduje, pokud jsou údaje prokazující existenci mateřské společnosti, údaje o jejím statutárním orgánu a údaj o tom, jak její statutární orgán jedná, uvedeny v zahraničním rejstříku, který je veřejný, přístupný z České republiky prostřednictvím internetu, pravost údajů uvedených v tomto zobrazení zahraničního veřejného rejstříku je zaručena a žadatel na něj odkáže a zároveň přiloží aktuální výpis tohoto rejstříku v PDF formátu.
V plné moci je nutná jasná specifikace žadatele (poskytovatele) i jím pověřené osoby a také rozsahu pověření. U nabídky služeb je vhodné plnou moc neomezovat pouze na proces zápisu, neboť se zápisem nabídky do katalogu CC se pojí i následné povinnosti poskytovatele (myšleno především periodické dokládání certifikátů, auditních zpráv, penetračních testů atd.). Tyto následné povinnosti poskytovatele se zapsanou nabídkou v katalogu CC jsou dány vyhláškou č. 505. Je nezbytné, aby bylo i po zápisu nabídky do katalogu CC jasně dáno, na koho se obracet v rámci oficiální komunikace, tzn. komu a jakým způsobem doručovat písemnosti.
¶ 7.4 Průběh řízení
Podáním žádosti o zápis nabídky cloud computingu do katalogu cloud computingu je zahájeno správní řízení o žádosti.
O zahájení řízení, příslušných lhůtách a dalším postupu v řízení je žadatel písemně informován prostřednictvím komunikačního kanálu použitého při podání žádosti.
O žádosti rozhodne Agentura do 30 dnů ode dne jejího podání.
Agentura si vyžádá pro účely posouzení splnění požadavků podle § 6n písm. b) a e) ZoISVS závazné stanovisko NÚKIB (platí pro zápis služeb do bezpečnostní úrovně střední, vysoká nebo kritická). Závazné stanovisko se nevyžaduje:
- v případě žádosti o zápis nabídky cloud computingu zařazeného do nejnižší bezpečnostní úrovně (splnění bezpečnostních požadavků daných vyhláškou č. 505 posuzuje pouze Agentura),
- pro služby, které daný poskytovatel využívá nebo přeprodává (protože tyto služby jsou již zapsané v katalogu CC a byly již NÚKIB prověřeny).
NÚKIB vydá závazné stanovisko do 30 dnů od jeho vyžádání.
Pokud je žádost chybně či neúplně vyplněna nebo neobsahuje požadované a správné podklady (nejsou splněny povolené způsoby doložení jednotlivých bezpečnostních požadavků pro danou BÚ dle vyhlášky č. 505), pak je poskytovatel Agenturou vyzván k odstranění nedostatků žádosti. Po dobu odstraňování nedostatků je řízení o žádosti přerušeno a lhůta pro její vyřízení neběží. Pokud se jedná o řízení, ve kterém je rozhodnutí o žádosti podmíněno vydáním závazného stanoviska NÚKIB (BÚ 2, 3 a 4), pak je po dobu od vyžádání si závazného stanoviska do jeho obdržení toto řízení přerušeno. Agentura opětovně žádá NÚKIB o vydání závazného stanoviska po každém doplnění podkladů (opravě žádosti) od poskytovatele. Výzev k odstranění nedostatků žádosti bývá v průběhu jednoho řízení několik. Délka celého řízení se proto odvíjí zejména od toho, zda jsou poskytovatelem dokládané dokumenty v požadované kvalitě v souladu s požadavky vyhlášky č. 505.
Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se dle ZoISVS nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu nabídky CC do katalogu CC. Agentura o zápisu do katalogu CC vyrozumí poskytovatele CC, který o zápis požádal (je odesláno Sdělení o provedení zápisu do katalogu). Při zápisu služby do katalogu CC Agentura přidělí službě jednoznačnou identifikaci.
ID služby je tvořeno dle následující logiky:
- xxx … je ID poskytovatele, který danou službu prodává.
- jestliže danou službu prodává přímo materiální poskytovatel, pak xxx = yyy,
- jestliže se daná služba neprodává přímo, tzn. jedná se o nepřímý prodej CC, pak xxx = 000,
- yyy … je ID poskytovatele, který danou službu „produkuje“, tzn. je materiální poskytovatel,
- zzzz … je ID služby daného materiálního poskytovatele.
Provozním službám podléhající výjimce ZoISVS dle § 6l odst. 4, písm. a) až d), které jsou součástí tzv. balíčku služeb (viz kapitola 9) přiděluje Agentura čísla začínající 9zzz.
¶ 8. Aktualizace nabídky cloud computingu
Podle § 6v ZoISVS může poskytovatel podat žádost o aktualizaci nabídky zapsané v katalogu cloud computingu.
Základní podmínkou pro provedení aktualizace nabídky v katalogu cloud computingu je, že nabízený cloud computing bude po aktualizaci nadále splňovat podmínky pro zápis do katalogu CC (§ 6v odst. 1 a 4 ZoISVS).
Poskytovatel uvede v žádosti rozsah údajů, které jsou aktualizovány a doloží potřebné podklady (podle § 6t odst. 6 až 8 ZoISVS). V původním formuláři nabídky aktualizovaná pole označí modře, aby bylo zřejmé, u kterých služeb došlo ke změně. Takto vyplněný formulář zašlete Agentuře prostřednictvím datové schránky.
Pokud se jedná o aktualizaci objemu, rámcové ceny nebo názvu konkrétní služby (dle § 6v, odst. 4, písm. b)), nebo se jedná o aktualizaci nabídky v BÚ 1, posuzuje tyto změny pouze Agentura. V případě změny názvu služby poskytovatel musí kromě výše uvedeného doložit i čestné prohlášení, že původní název služby v zapsané nabídce odpovídá novému názvu služby (tzn. že služba, která byla např. na ISO certifikátu označena jako ABC se pouze přejmenovala na XYZ, jiné parametry se nezměnily).
V ostatních případech se jedná o novou žádost zápisu nabídky a Agentura si vyžádá závazné stanovisko NÚKIB (dle § 6v, odst. 5).
O žádosti rozhodne Agentura do 30 dnů ode dne jejího podání.
¶ 9. Změna podpůrného CC u nabídky cloud computingu
Pokud dojde u služeb zapsaných v katalogu CC ke změně podpůrného cloud computingu, pak se nejedná o aktualizaci nabídky dle ustanovení § 6v ZoISVS. V takovém případě je nutné podat novou žádost o zápis nabídky služeb do katalogu CC.
Mohou nastat dvě situace:
- Pokud se jedná o případ, kdy nový poskytovatel podpůrného cloud computingu plně nahradí původního poskytovatele, tzn. služby z nabídky již nebudou poskytovány v původní podobě, pak tato nová nabídka přebírá název původní nabídky a společně s žádostí o zápis nové nabídky je nutné podat i žádost o výmaz původní nabídky (se sdělením, že nová nabídka po zápisu do katalogu nahradí tu stávající). Agentura pak při zápisu do katalogu ponechá jednotlivým službám původní ID (nebude mít žádný vliv na přeprodejce) a se zápisem nové nabídky do katalogu cloud computingu bude původní nabídka z katalogu vymazána. Pro podání žádosti je možné využít původní formulář, ve kterém se na příslušných listech pouze upraví/doplní údaje, kde došlo ke změně. Typicky se bude jednat o list „schéma dodavatelského řetězce“, kde se vyplní nový poskytovatel podpůrného CC, poté list „SaaS a smíšené modely“, kde může dojít ke změně např. v poli „předpokládané místo(a) zpracování informací orgánu veřejné správy“ a dále je nejdůležitější provést změny na listu „Podklady k ověření SaaS“, kde se správně odkáže na nově dokládané přílohy a především je nutné tyto nové přílohy k žádosti dodat. Všechny změny provedené v žádosti je vhodné barevně odlišit, aby bylo zřejmé, jaké atributy se u nabídky změnily.
- Pokud se jedná o případ, kdy nový poskytovatel podpůrného cloud computingu bude pouze alternativou k původnímu poskytovateli, tzn. služby budou poskytovány v obou variantách, pak tato nová nabídka služeb musí mít svůj unikátní název a Agentura při zápisu do katalogu CC těmto nově zapisovaným službám přidělí unikátní ID (přeprodejci se následně budou muset zapsat do katalogu s těmito novými službami). Ve formuláři žádosti budou uvedeny pouze nové služby, ke kterým se vyplní veškeré požadované informace s tím, že na listu „Podklady k ověření SaaS“ je možné u relevantních požadavků odkazovat na již doložené podklady v rámci jiného řízení (k původní nabídce). Takové řízení nemá žádný vliv na původní nabídku, která zůstává i nadále v katalogu zapsána.
¶ 10. Žádost o zápis nabídky balíčku služeb do katalogu CC
Poskytovatelé CC aktualizují nabídku svých služeb i několikrát do roka. Často tyto aktualizace zahrnují služby, které vzniknou sdružením několika dříve samostatně prodávaných služeb do nového prodejního balíčku. Aby tyto balíčky mohl poskytovatel nabízet v katalogu CC, byl pro tento účel vytvořen samostatný „Formulář žádosti poskytovatele cloud computingu o zápis balíčku služeb do katalogu“, dostupný zde: Formulář žádosti o zápis balíčku služeb.
Ve formuláři poskytovatel CC uvede název balíčku, bezpečnostní úroveň, do které je zařazen, a dále seznam služeb zařazených do balíčku rozdělený do třech kategorií:
Kategorie A) Služby CC, které splňují požadavky ZoISVS – tyto služby CC byly již zapsány do katalogu CC a v rozpadu balíčku na ně poskytovatel odkáže již přiděleným ID služby.
Kategorie B) Služby CC, které podléhají výjimce dle § 6l odst. 4) písm. a) až d) ZoISVS – jedná se o vyňaté provozní služby, které svým zvláštním charakterem nemusí splňovat všechny podmínky zápisu do katalogu CC, a přesto se může jednat o důležité platformní komponenty pro výstavbu ISVS.
Aby takovou službu CC bylo možné nakupovat i samostatně, Agentura ji po zápisu přiděluje standardní identifikaci, a to ve tvaru xxx-yyy-9zzz.
Kategorie C) Služby CC, které nesplňují požadavky ZoISVS – často se jedná o „přídavky zdarma“ do balíčku CC zahrnuté proto, aby se marketingově zvedla hodnota celého balíčku CC, přičemž pro OVS nejsou podstatné a provoz ISVS nemusí být využívány. S ohledem na to, že tyto služby nesplňují požadavky ZoISVS, nesmí je OVS pro ISVS dané bezpečnostní úrovně využívat, i když jsou součástí zakoupeného balíčku!
Je-li v auditní zprávě uveden celý balíček služeb, lze ho uvést v nabídce jako samostatnou entitu.
Je-li v auditní zprávě uveden celý balíček služeb, ale množina služeb, které balíček obsahuje, se později rozšíří o další služby, musí poskytovatel novou žádostí doložit, že všechny služby zahrnuté do balíčku pořád splňují požadovaná bezpečnostní opatření, případně transparentně určité služby z balíčku označit jako nesplňující požadavky zápisu.
Po obdržení žádosti Agentura zkontroluje, zda jsou v balíčku uvedeny pouze služby, které patří do jedné ze tří uvedených kategorií (A až C).
Jestliže je tato podmínka splněna, Agentura přidělí balíčku služeb identifikaci a balíček zapíše do katalogu CC.
ID balíčku CC je tvořeno dle následující logiky:
- xxx-yyy-95q; v případě, že balíček obsahuje jen služby kat. A a/nebo B;
- xxx-yyy-99q, v případě, že balíček obsahuje služby kat. C
- xxx … je ID poskytovatele, který daný balíček prodává.
- jestliže daný balíček prodává přímo materiální poskytovatel, pak xxx = yyy,
- jestliže se daný balíček neprodává přímo, tzn. jedná se o nepřímý prodej CC, pak xxx = 000;
- yyy … je ID poskytovatele, který dané služby v balíčku „produkuje“, tzn. je materiální poskytovatel,
- 95qq/99qq … je unikátní číslo přidělené danému balíčku CC
Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu nabídky CC do katalogu CC. Agentura o zápisu do katalogu CC vyrozumí poskytovatele CC, který o zápis požádal.
¶ 11. Povinnosti poskytovatele po zápisu nabídky CC do katalogu CC
Dle § 6y odst. 2 ZoISVS poskytovatel cloud computingu předkládá po dobu, kdy je cloud computing předmětem nabídky cloud computingu zapsané v katalogu cloud computingu nebo kdy je poskytován orgánu veřejné správy, v intervalech stanovených prováděcím právním předpisem Agentuře doklady o splnění požadavku pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c) a zprávu o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e) ZoISVS.
Prováděcím předpisem je vyhláška č. 505, kde je v přílohách č. 5 a 6 uvedeno, jaké dokumenty ke kterým bezpečnostním požadavkům je potřeba k zapsané nabídce pravidelně dokládat a v jakých intervalech (např. každých 15 měsíců doklad platnosti certifikátu nebo platný ISO certifikát, každých 24 měsíců Auditní zprávu SOC 2 Type 2, záznamy o provedení skenů zranitelnosti nebo zprávu o provedení penetračního testu atd.)
Je tedy zákonnou povinností poskytovatele, aby si tyto termíny hlídal a sám Agentuře požadovanou dokumentaci ve stanovených intervalech dokládal. Pokud poskytovatel požadované doklady ke své nabídce v daném termínu nedoloží, je k jejich doložení vyzván. Ve výzvě mu Agentura k jejich doložení stanoví přiměřenou lhůtu a v případě, kdy poskytovatel ani po výzvě požadované dokumenty nedodá, je zahájeno řízení o výmazu nabídky CC z katalogu CC.
K této periodicky dokládané dokumentaci si Agentura po jejím obdržení opět vyžaduje závazné stanovisko NÚKIB a případně může vyzvat poskytovatele k odstranění nedostatků.
¶ 12. Výmaz nabídky CC nebo její části z katalogu CC
Dle § 6w ZoISVS Agentura rozhodne o výmazu nabídky cloud computingu z katalogu cloud computingu v následujících případech:
- požádá-li o výmaz poskytovatel cloud computingu, o jehož nabídku se jedná, a to do 15 dnů ode dne podání žádosti,
- zjistí-li, že nabízený cloud computing přestal splňovat požadavky podle § 6n a nezjednal-li poskytovatel cloud computingu nápravu ve lhůtě stanovené Agenturou, která nesmí být kratší než 15 dnů,
- uplyne-li doba 3 let ode dne, kdy byla nabídka cloud computingu do katalogu cloud computingu zapsána, pokud poskytovatel cloud computingu nepotvrdil Agentuře, že nabídka cloud computingu je stále platná, nebo uplyne-li doba 3 let ode dne, kdy poskytovatel cloud computingu naposledy potvrdil Agentuře, že nabídka cloud computingu je stále platná; Agentura vyzve prostřednictvím informačního systému cloud computingu poskytovatele cloud computingu, aby potvrdil platnost nabídky cloud computingu po uplynutí doby 30 měsíců ode dne, kdy byla nabídka cloud computingu do katalogu cloud computingu zapsána, a dále vždy po uplynutí doby 30 měsíců ode dne, kdy mu poskytovatel cloud computingu potvrdil, že nabídka cloud computingu je stále platná,
- o jejíž zápis do katalogu cloud computingu požádal poskytovatel cloud computingu, u něhož došlo k výmazu z katalogu cloud computingu, a to současně s výmazem poskytovatele cloud computingu; je-li poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu zapsaných do katalogu cloud computingu, postačí výmaz kteréhokoliv z těchto poskytovatelů cloud computingu,
- o jejíž zápis do katalogu cloud computingu požádal poskytovatel cloud computingu, a u níž došlo k výmazu poskytovatele podpůrného cloud computingu z katalogu cloud computingu, a to současně s výmazem poskytovatele podpůrného cloud computingu.
V prvním případě je iniciátorem výmazu nabídky nebo její části z katalogu sám poskytovatel, který tak učiní podáním žádosti o výmaz nabídky z katalogu cloud computingu. Pro takovou žádost není předepsaný formulář. Důležité je, aby poskytovatel v žádosti o výmaz z katalogu jasně identifikoval nabídku nebo její část (nejlépe prostřednictvím unikátního názvu nabídky nebo ID konkrétních služeb), kterou požaduje z katalogu vymazat a uvedl důvod výmazu. Tato situace nastává např. tehdy, kdy poskytovatel některou ze zapsaných služeb přestane nabízet.
Žádost o výmaz nabídky nebo její části z katalogu CC poskytovatel podá Agentuře prostřednictvím datové schránky či jiného komunikačního kanálu použitého při podání žádosti o zápis nabídky do katalogu.
V ostatních případech je iniciátorem výmazu z katalogu Agentura, která s poskytovatelem zahájí řízení o výmazu nabídky (nebo její části) z katalogu CC, které může vyústit ve výmaz.
¶ 13. Dynamický nákupní systém na zajištění služeb CC – SaaS
Agentura zavedla v souladu se zákonem č. 134/2016 Sb., o zadávání veřejných zakázek dynamický nákupní systém [11], který umožňuje OVM snadné a transparentní pořízení cloudových služeb typu Software as a Service (SaaS), neboť administraci zakázky provádí Agentura. Výhod dynamického nákupního systému (dále jen „DNS“) mohou využívat i obce. DNS zajišťuje transparentní a otevřený proces výběru dodavatelů, což umožňuje rychleji a účinněji získat potřebné služby bez zbytečného prodlení. Do DNS se jako dodavatel může přihlásit takový poskytovatel, který je zapsán v katalogu CC a má zde zapsány i služby. Podmínkou možné účasti dodavatele na zadávání konkrétních veřejných zakázek v zavedeném DNS je zařazení dodavatele do DNS, kdy kritériem je mj. zapsaná nabídka CC v katalogu CC [12].
¶ 14. Význam zkratek
| BÚ | bezpečnostní úroveň |
| CC | cloud computing |
| Agentura | Digitální a informační agentura |
| eGC | eGovernment Cloud |
| IaaS | infrastruktura jako služba |
| ISVS | informační systém veřejné správy |
| NIST | National Institute of Standards and Technology |
| NÚKIB | Národní úřad pro kybernetickou a informační bezpečnost |
| OVS | orgán veřejné správy |
| PaaS | platforma jako služba |
| SaaS | software jako služba |
| VS | veřejná správa |
| ZoKB | zákon č. 264/2025 Sb., o kybernetické bezpečnosti |
| ZoISVS | zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, v platném znění |
¶ 15. Související legislativa
¶ 15.2. Právní předpisy České republiky
- Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů – základní povinnosti v oblasti CC,
- Vyhláška č. 505/2025 Sb., o některých požadavcích pro zápis do katalogu cloud computingu – konkrétní požadavky a postupy pro zápis cloudových služeb do katalogu CC,,
- Vyhláška č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu konkrétně stanovuje – jaké údaje musí být v katalogu CC vedeny a jakým způsobem mají být evidovány,
- Vyhláška č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy – konkrétní pravidla a požadavky v oblasti CC pro OVS,
- Vyhláška č. 411/2025 Sb., o bezpečnostních úrovních informačních systémů veřejné správy – určuje, ve které bezpečnostní úrovni má OVS poptávat služby CC,
- Vyhláška č. 412/2025 Sb., o bezpečnostních pravidlech pro orgány veřejné správy využívající služby poskytovatelů cloud computingu – stanovuje povinnosti a bezpečnostní pravidla pro OVS při využívání CC,
- Zákon č. 264/2025 Sb., o kybernetické bezpečnosti – stanovuje povinnosti v oblasti kybernetické bezpečnosti i pro cloudové služby,
- Zákon č. 134/2016 Sb., o zadávání veřejných zakázek – reguluje výběr poskytovatelů cloud služeb ve veřejné správě.
¶ 15.3 Právní předpisy Evropské unie
- Nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů (GDPR) - reguluje zpracování osobních dat i v cloudových službách,
- Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2); byla implementována novým zákonem o kybernetické bezpečnosti č. 264/2025 Sb. - zvyšuje požadavky na kybernetickou bezpečnost v klíčových sektorech,
- Evropské schéma pro certifikaci cloudových služeb (EUCS - European Cybersecurity Certification Scheme for Cloud Services) je v procesu finalizace v rámci EU a bude pravděpodobně požadováno pro dodavatele poskytující služby veřejnému sektoru.
Poznámky:
[1] Systém eSSL nebo účetnictví se považují za ISVS, jestliže zajišťují procesy nebo dílčí procesy agend úřadu.
[2] Podrobnější příklady scénářů pro body a) až d) jsou dále popsány v Příloze tohoto dokumentu.
[3] Viz www.dia.gov.cz/media/2479/download/Vyklad-ustanoveni-%C2%A7-6l-ZoISVS_231223.pdf
[4] Tato kapitola uvádí definice, které jsou jednak definicemi zákona (v tomto případě je uveden odkaz na příslušnou legislativní normu), a jednak definicemi, které přidává tato metodika.
[5] Viz National Institute of Standards and Technology
[6] Viz bod 1 https://www.dia.gov.cz/cs/nase-cinnosti/na-cem-pracujeme/egovernment-cloud/metodiky-navody-formulare/otazky-a-odpovedi-1
[7] SaaS zahrnuje i tzv. smíšené modely. tj. každému tenantu/OVS je spuštěna samostatná instance kódu aplikace v operační paměti, avšak některé platformní komponenty jsou využívány multi-tenantně (tedy jako PaaS nebo IaaS), může, avšak nemusí být zapsána v katalogu CC (v listu „SaaS a smíšené modely“). Viz další podrobnosti v dokumentu č. 10, dostupný zde https://www.dia.gov.cz/oha/egovernment-cloud/metodiky-navody-formulare/podpurne-materialy/. Využívané služby (komponenty) IaaS/PaaS musí být zapsány v katalogu CC.
[8] Pokud OVS plánuje poptávat typ služby, který nenalezne ve zveřejněné společné poptávce, nahlásí to Agentuře. Agentura návrh zváží a při nejbližší aktualizaci zahrne do nové verze společné poptávky cloud computingu.
[9] Výkladové stanovisko NÚKIB sjednocuje všechny povinnosti v oblasti regulace CC na OVS, viz https://nukib.gov.cz/download/publikace/podpurne_materialy/2023-07-14_vyklad-ust-par-4-odst-5_v1.1.pdf
[10] Dynamický nákupní systém na zajištění služeb cloud computingu | DIA
[11] DNS na zajištění služeb cloud computingu | Národní elektronický nástroj