====== PODMÍNKY PRO AKREDITUJÍCÍ OSOBU A ATESTAČNÍ STŘEDISKA SLOUŽÍCÍ PRO ATESTACI DLOUHODOBÉHO ŘÍZENÍ ISVS VE SMYSLU HLAVY III ZÁKONA č. 365/2000 Sb., O INFORMAČNÍCH SYSTÉMECH VEŘEJNÉ SPRÁVY ====== Digitální a informační agentura (dále také „DIA“) v souladu s ustanoveními § 6 až § 6f zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů (dále také „ZoISVS"), stanoví tato akreditační pravidla. Požadavky na dlouhodobé řízení informačních systémů veřejné správy jsou stanoveny v ustanovení § 5a odst. 2, 3 a 4 ZoISVS a vyhláškou č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy. Postupy atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy se řídí vyhláškou č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy. V těchto pravidlech jsou obsaženy podmínky pro akreditující osobu a atestační středisko stanovené ze strany DIA, jež je ústředním správním úřadem vykonávajícím působnost stanovenou ZoISVS pro oblast akreditace a atestací. Akreditace atestačních středisek a následné pověření atestačních středisek budou prováděné v souladu s národními a mezinárodními standardy pro akreditace a inspekce s tím, že DIA upřesňuje některé požadavky na provádění akreditace atestačních středisek, atestace dlouhodobého řízení informačních systémů veřejné správy a pověření atestačních středisek těmito pravidly. Požadavky jsou členěny na: * Požadavky na akreditující osobu, * Požadavky na atestační středisko, * Požadavky na Digitální a informační agenturu, * Požadavky na atestaci dlouhodobého řízení informačních systémů veřejné správy. ===== 1. Požadavky na akreditující osobu ===== Akreditující osoba provádí posuzování odborné způsobilosti atestačních středisek v souladu s ČSN EN ISO/IEC 17020:2012. ==== 1.1 Kompetence skupiny posuzovatelů akreditující osoby ==== - DIA nominuje, nebo akreditující osoba navrhne a DIA schválí, do akreditačního týmu odborného posuzovatele/experta, který bude garantovat, že v průběhu akreditačního procesu atestačního střediska pro provádění atestací dlouhodobého řízení informačních systémů veřejné správy budou uplatněny všechny požadavky DIA ve vztahu k atestačnímu středisku. Odborný posuzovatel/expert musí mít prokazatelné znalosti práv a povinností vyplývajících ze ZoISVS a jeho prováděcích právních předpisů v platném a účinném znění, případně jiných relevantních právních předpisů určených DIA. - Akreditující osoba doplní skupinu posuzovatelů o další odborné posuzovatele/experty, kteří budou mít alespoň znalosti: - Dlouhodobého řízení informačních systémů veřejné správy, aby byli schopni posoudit úroveň architektury informačního systému a splnění požadavků na řízení jeho kvality a bezpečnosti v souladu s požadavky Informační koncepce ČR a dokumentů, které na ni navazují. - Prokázání naplnění požadavků dle písm. B. doloží posuzovatel / expert: - Pro oblast dlouhodobého řízení informačních systémů správy VŠ vzděláním a 2 roky praxe, nebo SŠ vzděláním a 4 roky praxe v roli architekta informačních systémů, enterprise architekta nebo obdobné pozice. ==== 1.2 Akreditace ==== Akreditaci provádí akreditující osoba v souladu s postupy dle normy ČSN EN ISO/IEC 17020:2012 a těmito pravidly. Výstupem je osvědčení o akreditaci atestačního střediska a jeho inspekčního postupu k provádění atestací. ==== 1.3 Výkaznictví o udělených akreditacích ==== Akreditující osoba povede evidenci atestačních středisek akreditovaných k provádění atestací dlouhodobého řízení informačních systémů veřejné správy. Akreditující osoba informuje prostřednictvím datové schránky DIA, nebo jiným oboustranně sjednaným způsobem o rozhodnutí a zveřejnění údaje o vydání, pozastavení, změně nebo zrušení osvědčení o akreditaci ve lhůtě do 5 pracovních dnů od data nabytí účinnosti příslušného rozhodnutí. ==== 1.4 Přechodné období ==== **Pro atestační střediska s platným Pověřením** k provádění atestací dlouhodobého řízení informačních systém veřejné správy **a Osvědčením** o akreditaci na rozsah inspekce „Atestace dlouhodobého řízení ISVS v rozsahu požadavků vyhlášky č. 529/2006 Sb., ve znění pozdějších předpisů, a postupem dle vyhlášky č. 530/2006 Sb., ve znění pozdějších předpisů“ **k 1.6.2024 platí**, **že** na základě smlouvy o provedení atestace dle § 6d odst. 3 ZoISVS, uzavřených v době od platnosti a vyhlášení těchto pravidel, **musí veškeré atesty** dlouhodobého řízení informačních systémů veřejné správy **udělovat nejvýše na 3 roky** bez možnosti jejich prodloužení dle § 6d odst. 6 ZoISVS. Pokud atestační středisko nebude moci získat osvědčení o akreditaci (reakreditovat svůj postup) dle § 6a ZoISVS od akreditující osoby, aby mohlo provádět atestace dlouhodobého řízení informačních systémů veřejné správy v souladu s novými vyhláškami do 30.6.2024 z důvodů, které nejsou zapříčiněny atestačním střediskem, může atestační středisko provádět atestace podle právních předpisů platných a účinných před 1.7.2024. Atestační středisko v takovém případě uvědomí Digitální a informační agenturu o této skutečnosti, a sdělí termín, do kdy bude osvědčení o akreditaci získáno. Atesty se v tomto případě udělují stejně jako v předchozím odstavci nejvýše na 3 roky bez možnosti jejich prodloužení dle § 6d odst. 6 ZoISVS. ===== 2 Požadavky na atestační středisko ===== Atestační středisko provádí atestaci v souladu s: * vyhláškou č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy, * akreditovaným postupem pro provádění atestací dle požadavků vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy, * akreditovaným systémem řízení inspekčního orgánu dle normy ČSN EN ISO/IEC 17020:2012 * těmito pravidly. Atestační středisko není oprávněno provádět atestaci dlouhodobého řízení informačních systémů veřejné správy u orgánu veřejné správy, u kterého se podílelo či podílí samo nebo s ním ekonomicky nebo personálně spojenou osobou na vývoji, přípravě a údržbě informačních systémů veřejné správy, informační koncepce či provozní dokumentace. ==== 2.1 Kompetence týmu inspektorů atestačního střediska ==== - Osoby provádějící atestaci jménem atestačního střediska se nazývají inspektoři. Všichni inspektoři atestačního střediska musí disponovat platným osvědčením o absolvování kurzu pořádaného DIA k potvrzení znalosti problematiky dlouhodobého řízení informačních systémů veřejné správy. Získání osvědčení je nezbytnou podmínkou pro získání oprávnění realizovat činnosti inspektora pro atestaci dlouhodobého řízení informačních systémů veřejné správy. - Inspektor musí disponovat prokazatelnou znalostí inspekčních postupů tak, aby byl schopen provést atestaci dlouhodobého řízení informačních systémů veřejné správy. - Inspektor musí disponovat prokazatelnou znalostí systému řízení služeb v IT v takovém rozsahu, aby byl schopen posoudit kvalitu posuzovaného řešení, např. pomocí posouzení míry plnění SLA parametrů, procesů a řízení služeb v IT, které vyplývají z požadavků normy ČSN ISO/IEC 20000-1, ITIL apod. ===== 3 Požadavky na Digitální a informační agenturu ===== ==== 3.1 Osvědčení o získané úrovni znalostí dlouhodobého řízení informačních systémů veřejné správy ==== - DIA zajistí možnost kurzu pro inspektory atestačních středisek, a to obvykle pro minimálně 4 žadatele. Kurz bude zakončen přezkoumáním získaných znalostí písemnou zkouškou (testem), na základě které DIA vydá osvědčení o získané úrovni znalostí dlouhodobého řízení informačních systémů veřejné správy. Rozsah znalostí bude zahrnovat zejména: - Základní principy ZoISVS a vyhlášky č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy. - Další požadavky na informační systémy veřejné správy vyplývající z jiných právních předpisů. - Základní principy architektury veřejné správy a dostatečnosti jejího popisu v informační koncepci. - Správnost a dostatečnost plnění požadavků vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy. - Další relevantní informace s dopadem do hodnocení informačních systémů veřejné správy a činnosti atestačních středisek. - Osvědčení obdrží inspektor atestačních středisek na místě vykonané zkoušky. - Osvědčení o získané úrovni znalostí dlouhodobého řízení informačních systémů veřejné správy se vydává s platností na 2 roky. - Oznámení o získaném osvědčení zašle DIA atestačnímu středisku, jehož je inspektor zaměstnanec, do jeho datové schránky. - DIA poskytne na vyžádání atestačního střediska nebo akreditující osoby seznam platných osvědčení. ==== 3.2 Součinnost DIA při provádění atestací ==== - DIA poskytuje atestačním střediskům součinnost ve formě dodaných podkladů z centrálních evidencí sloužící ke kontrole informací obsažených v předkládaných podkladech od orgánu veřejné správy a informací obsažených v centrálních evidencích. - DIA poskytuje součinnost na vyžádání atestačního střediska na základě zahájené atestace u orgánu veřejné správy. ===== 4 Požadavky na atestaci dlouhodobého řízení informačních systémů veřejné správy ===== Atestační středisko zveřejní atestační (obchodní) podmínky k provádění atestací dlouhodobého řízení informačních systémů veřejné správy vydané atestačním střediskem obsahující zejména vymezení předmětu atestace a postupy atestačního střediska při provádění atestací schválené DIA, každou jejich změnu, odejmutí pověření k provádění atestací nebo zrušení rozhodnutí o schválení postupů atestačního střediska ve své provozovně. Atestační středisko zveřejní výše uvedené dokumenty způsobem umožňujícím dálkový přístup do 7 pracovních dnů od vydání příslušného rozhodnutí DIA. ==== 4.1 Podmínky pro realizaci atestačního řízení ==== === 4.1.1 Rozsah atestačního řízení === - Minimální rozsah každé atestace dlouhodobého řízení informačních systémů veřejné správy dle kapitoly 4.1.2 je stanoven na dva auditodny pro posouzení předložené dokumentace a jeden den pro posouzení informací předaných DIA v rámci poskytované součinnosti. - Atestační středisko stanoví písemný postup pro výpočet doby trvání atestace v závislosti na rozsahu předaných podkladů od orgánu veřejné správy k atestaci. - Na počet zaměstnanců orgánu veřejné správy dedikovaných k provedení atestace nebude brán zřetel. - Inspektor musí provést atestační řízení postupem stanoveným body 4.2 až 4.5. === 4.1.2 Průběh atestačního řízení === - Každé atestační řízení bude prováděno dvoustupňově. - V prvním stupni inspektor posoudí soulad předložené dokumentace s požadavky na informační koncepci a provozní dokumentaci a v případě identifikace neshod vydá zprávu, která bude obsahovat zjištěné nedostatky. - Ve druhém stupni inspektor posoudí soulad předložené dokumentace od orgánu veřejné správy s předanými podklady od DIA, tj. reálný stav vůči deklarovanému stavu. Inspektor provede ověření všech informačních systémů veřejné správy a dalších informací, které žadatel uvedl v předložené dokumentaci, nebo které atestační středisko zjistilo v rámci poskytnuté součinnosti od DIA. ==== 4.2 Žádost o atestaci ==== - Žádost o atestaci zaslaná atestačnímu středisku je výzvou atestačnímu středisku k předložení smluvního návrhu žadateli ve smyslu § 6e odst. 2 zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů. - Atestačnímu středisku je na základě § 3 odst. 2 vyhlášky č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy, předkládána informační koncepce a provozní dokumentace. Rozsah provozní dokumentace předkládané při atestaci stanovuje § 13 vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy. - Atestační středisko provádí atestace na základě smlouvy uzavřené s žadatelem o atestaci za úplatu, přičemž atestační středisko navrhne uzavření smlouvy a provedení atestace každému, kdo jej způsobem stanoveným v atestačních podmínkách vyzve k uzavření smlouvy podle zveřejněných atestačních podmínek. Odchylky od atestačních podmínek lze pro jednotlivý případ sjednat jen tehdy, jestliže to atestační podmínky připouštějí a jestliže se těmito změnami nemění povaha nabízené atestační služby. - Atestačnímu středisku nevzniká povinnost navrhnout uzavření smlouvy o provedení atestace, jestliže jejím obsahem mají být také odchylky od atestačních podmínek. - Žádost o atestaci, tj. úmysl uzavřít s atestačním střediskem smluvní vztah, oznamuje žadatel přímo atestačnímu středisku dostupnou formou, zejména elektronicky nebo písemně. - Na základě žádosti o atestaci poskytne atestační středisko žadateli informace o nezbytných pokladech k uzavření smluvního vztahu, návrh ceny, seznam podkladů k atestačnímu řízení, specifikaci požadavků, informace o průběhu atestace a výstupech z atestace, případně další podmínky nebo informace nezbytné k zasmluvnění služby a provedení atestace. - Atestační středisko může vyzvat/vyzve žadatele k doplnění podkladů k uzavření smlouvy o provedení atestace, v případě, že jsou tyto podklady neúplné nebo obsahují nesprávné údaje. ==== 4.3 Zahájení a realizace atestace ==== - Atestační řízení je zahájeno neprodleně po uzavření smlouvy o provedení atestace, přičemž je podmíněno předáním podkladů k provedení atestace v rozsahu stanoveném vyhláškou č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy, a vyhláškou č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy, a k tomu akreditovaným postupem. Vlastní atestace probíhá v souladu s podmínkami dle smlouvy o provedení atestace, oboustranně schváleného časového harmonogramu atestace, atestačních podmínek a postupů a těchto pravidel. - Atestace je prováděna podle akreditovaného a schváleného postupu pro provádění atestací v souladu s těmito pravidly. - Atestační středisko musí při svém hodnocení zohlednit informace poskytnuté v rámci součinnosti DIA. - Výstupem z atestace je vždy Atestační protokol a v případě úspěšného splnění všech požadavků je výstupem Atestační protokol a Atest. - Výstupy z atestace budou obsahovat informaci, že další atestace musí proběhnout nejpozději do doby stanovené v Atestu, nejpozději však za 5 let. - Atestační středisko stanoví dobu, za kterou musí proběhnout opětovně atestace na dobu kratší než 5 let v případě, že: - Atest je vydán dle § 6 odst. 3 vyhlášky č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy, s výhradou. V takovém případě může být atest udělen nejdéle na 2 roky. - Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. připojeny své informační systém veřejné správy na referenční rozhraní veřejné správy pro účely vazeb na informační systémy veřejné správy jiného orgánu veřejné správy. V takovém případě může být atest udělen nejdéle na 2 roky. - Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. zajištěnou identifikaci a autentizaci fyzických osob, u kterých se vyžaduje prokázání totožnosti pomocí kvalifikovaného systému. V takovém případě může být atest udělen nejdéle na 2 roky. - Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. zajištěnou vazbu svých informačních systémů veřejné správy na informační systémy veřejné správy jiného orgánu veřejné správy prostřednictvím centrálního místa služeb. V takovém případě může být atest udělen nejdéle na 2 roky. - Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. souhlasná stanoviska odboru Hlavního architekta eGovernmentu DIA na projekty architektonických změn svých informačních systémů veřejné správy. V takovém případě může být atest udělen nejdéle na 2 roky. ==== 4.4 Výkaznictví o udělených certifikátech shody ==== - Atestační středisko vede seznam vydaných, ukončených a odňatých atestů. Atestační středisko oznámí elektronicky DIA vydání atestu, změnu jeho rozsahu, odnětí atestu shody nebo jakékoliv jiné relevantní skutečnosti nejpozději do 7 pracovních dnů ode dne nabytí účinnosti příslušného rozhodnutí. Součástí oznámení budou DIA předem stanovené strukturované informace o provedené atestaci. - Oznámení dle bodu 4.4. A. bude atestační středisko zasílat do datové schránky DIA, nebo jiným způsobem, na kterém se obě strany shodnou. ===== 5 Účinnost ===== Tato pravidla se uplatní ode dne jejich vydání. Atestační středisko má povinnost doložit plnění těchto pravidel v rámci nejbližšího dozorového nebo akreditačního auditu svého inspekčního orgánu.