Advanced Search

o elektron. nástrojích a úkonech při zadávání veřejných zakázek


Published: 2011
Read law translated into English here: https://www.global-regulation.com/translation/czech-republic/507542/o-elektron.-nstrojch-a-konech-pi-zadvn-veejnch-zakzek.html

Subscribe to a Global-Regulation Premium Membership Today!

Key Benefits:

Subscribe Now for only USD$40 per month.
9/2011 Sb.



VYHLÁŠKA



ze dne 10. ledna 2011,



kterou se stanoví podrobnější podmínky týkající se elektronických

nástrojů a úkonů učiněných elektronicky při zadávání veřejných zakázek

a podrobnosti týkající se certifikátu shody



Ministerstvo pro místní rozvoj stanoví podle § 159 odst. 3 zákona č.

137/2006 Sb., o veřejných zakázkách, ve znění zákona č. 179/2010 Sb.,

(dále jen „zákon“) k provedení § 149 odst. 8 a 9 zákona:



ČÁST PRVNÍ



OBECNÁ USTANOVENÍ



§ 1



Předmět úpravy



Tato vyhláška upravuje



a) podrobnější podmínky týkající se elektronických nástrojů a úkonů

učiněných elektronicky při zadávání veřejných zakázek,



b) podrobnosti týkající se podmínek pro vydání certifikátu shody, údajů

v certifikátu shody a platnosti certifikátu shody.



§ 2



Vymezení pojmů



Pro účely této vyhlášky se rozumí



a) veřejným klíčem zadavatele jedinečná elektronická data, která

jednoznačně odpovídají soukromému klíči zadavatele a slouží dodavateli

k zašifrování obsahu nabídky podle této vyhlášky,



b) soukromým klíčem zadavatele jedinečná elektronická data, která

jednoznačně odpovídají veřejnému klíči zadavatele a slouží zadavateli k

odšifrování obsahu nabídky podle této vyhlášky,



c) certifikátem veřejného klíče datová zpráva^1), která důvěryhodným

způsobem spojuje veřejný klíč zadavatele se zadavatelem, slouží k

přenášení veřejného klíče a může sloužit k ověřování identity

zadavatele a adresy jeho internetových stránek,



d) elektronickým úkonem v zadávacím řízení úkon jednající osoby

provedený prostřednictvím elektronického nástroje,



e) provozními parametry soubor požadavků vztahujících se k funkčním

vlastnostem elektronického nástroje a k prostředí, ve kterém je

elektronický nástroj provozován, jež vyplývají z přílohy této vyhlášky,



f) funkcionalitou souhrn funkčních vlastností, které elektronický

nástroj má,



g) prostředím podmínky, za kterých je elektronický nástroj provozován,



h) provozovatelem elektronického nástroje fyzická nebo právnická osoba,

která konkretizuje provozní parametry a zajišťuje provoz elektronického

nástroje, jehož prostřednictvím jsou nebo mají být prováděny

elektronické úkony za účelem zadávání veřejných zakázek nebo za účelem

získání návrhu v soutěži o návrh a který splňuje požadavky stanovené

zákonem a touto vyhláškou,



i) žadatelem provozovatel, který požádá o posouzení shody a udělení

certifikátu shody,



j) nešifrovanou datovou zprávou datová zpráva, ve které nejsou

přenášené údaje skryty například šifrováním a jsou přímo čitelné,



k) šifrovanou datovou zprávou datová zpráva, ve které jsou přenášené

údaje skryty pomocí šifrování a nejsou tak přímo čitelné,



l) časovou informací zaznamenání data a času elektronického úkonu s

uvedením hodiny, minuty a sekundy,



m) certifikačním auditem proces ověřování shody elektronického nástroje

prováděný subjektem posuzování shody akreditovaným vnitrostátním

akreditačním orgánem na základě jiného právního předpisu^2) (dále jen

„certifikační orgán“),



n) certifikačními pravidly souhrn podmínek a předpokladů stanovených

certifikačním orgánem,



o) vyhlášením oznámení o zahájení zadávacího řízení, předběžné

oznámení, pravidelné předběžné oznámení, oznámení soutěže o návrh,

oznámení o výsledku zadávacího řízení, oznámení o zrušení zadávacího

řízení nebo soutěže o návrh nebo i jiné údaje, jež se uveřejňují v

informačním systému o veřejných zakázkách, případně v Úředním věstníku

Evropské unie,



p) aktivem jakákoli součást elektronického nástroje a provozního

prostředí včetně zdrojů, která je nezbytná k provozování elektronického

nástroje v zamýšleném rozsahu.



ČÁST DRUHÁ



ELEKTRONICKÉ ÚKONY A ELEKTRONICKÉ NÁSTROJE



§ 3



Obecné požadavky na provádění elektronických úkonů při zadávání

veřejných zakázek



V zadávacím řízení určí zadavatel oprávněné osoby, které jsou za

zadavatele oprávněné činit v tomto řízení elektronické úkony, zejména

činit výzvy k účasti nebo k podání nabídek, poskytovat zadávací

dokumentaci a dodatečné informace, potvrzovat doručení nabídek,

provádět otevírání nabídek a zasílat pozvání k jednání o nabídkách.



§ 4



Poskytování zadávací dokumentace a dodatečných informací



(1) Zadávací dokumentaci, kterou zadavatel poskytuje prostřednictvím

elektronických nástrojů, poskytuje zadavatel formou neomezeného

dálkového přístupu na svém profilu nebo i na jiné adrese internetových

stránek bez předchozí žádosti, nebo ji poskytuje na základě písemné

žádosti opatřené elektronickým podpisem.



(2) Poskytuje-li zadavatel zadávací dokumentaci neomezeným dálkovým

přístupem na svém profilu nebo i na jiných internetových stránkách bez

předchozí žádosti, zajistí, aby



a) každý se mohl ujistit o identitě zadavatele i o identitě

provozovatele internetových stránek formou certifikátu veřejného klíče

vydaného k profilu zadavatele nebo k adrese internetových stránek,

prostřednictvím kterých zadavatel poskytuje zadávací dokumentaci,



b) zadávací dokumentace byla chráněna proti neoprávněné změně a



c) zadávací dokumentace byla ve stanovené lhůtě přístupná na profilu

zadavatele nebo na jiných internetových stránkách nepřetržitě.



(3) Poskytuje-li zadavatel zadávací dokumentaci na základě písemné

žádosti dodavatele, zajistí, aby



a) zadávací dokumentace byla poskytnuta jen na základě platně doručené

žádosti osoby, jejíž elektronický podpis byl úspěšně ověřen,



b) zadávací dokumentace byla opatřena elektronickým podpisem oprávněné

osoby zadavatele nebo elektronickou značkou zadavatele, pokud bude

zadávací dokumentace poskytnuta formou odeslání na požadovanou

elektronickou adresu dodavatele, a



c) byly splněny požadavky podle odstavce 2, pokud bude zadávací

dokumentace poskytnuta formou individuálního zpřístupnění zadávací

dokumentace prostřednictvím profilu zadavatele nebo jiných

internetových stránek.



(4) Na poskytování dodatečných informací k zadávacím podmínkám se

použijí ustanovení odstavců 1 až 3 obdobně.



§ 5



Podávání a otevírání nabídek



(1) Ve vyhlášení nebo ve výzvě se uveřejňuje elektronická adresa pro

podávání nabídky, předběžné nabídky, žádosti o účast, návrhu v soutěži

o návrh a podávání aukčních hodnot (dále jen „nabídka“).



(2) Nabídky musí být za účelem zajištění důvěrnosti údajů v nich

obsažených vždy chráněny šifrováním jejich obsahu v souladu s požadavky

stanovenými touto vyhláškou. To neplatí v případě podávání aukčních

hodnot za podmínky, že je technicky v souladu s touto vyhláškou

zajištěno zachování důvěrnosti obsahu nabídky.



(3) Zadavatel zajistí, aby



a) veřejný klíč zadavatele určený k šifrování obsahu nabídek

jednoznačně odpovídal soukromému klíči zadavatele,



b) nebylo možné za vynaložení přiměřeného úsilí certifikát veřejného

klíče padělat,



c) nebylo možné za vynaložení přiměřeného úsilí soukromý klíč

zadavatele padělat a



d) soukromý klíč zadavatele byl zajištěn proti ztrátě a neoprávněnému

přístupu po celou dobu platnosti odpovídajícího certifikátu veřejného

klíče.



(4) Za účelem šifrování obsahu nabídky poskytuje zadavatel dodavatelům

prostřednictvím svého profilu, případně jiných internetových stránek

nebo zasláním na základě vyžádání certifikát veřejného klíče.



(5) Je-li stanovena v souladu se zákonem lhůta pro podávání nabídky,

zadavatel zajistí, aby nabídka podaná na adresu podle odstavce 1



a) před uplynutím stanovené lhůty byla dále zpracována v souladu s

touto vyhláškou a uložena v nezměněné podobě do doby jejího otevření;

zároveň bude odesláno dodavateli na jeho elektronickou adresu oznámení

o jejím doručení a



b) po uplynutí stanovené lhůty byla označena jako nepřijatelná; v

takovém případě bude odesláno dodavateli na jeho elektronickou adresu

oznámení o této skutečnosti.



(6) Podání nabídky musí být opatřeno záznamem časové informace podle §

7.



(7) Po podání nabídky bude ověřena platnost elektronického podpisu

dodavatele a výsledek ověření se zaznamená k doručené nabídce.



(8) Zadavatel nebo osoby oprávněné k otevírání nabídek zajistí

odšifrování obsahu nabídek s využitím soukromého klíče zadavatele.



(9) Zadavatel zajistí, aby odšifrování i otevření nabídek s využitím

soukromého klíče zadavatele prováděly oprávněné osoby tak, aby



a) odšifrování nebo otevření bylo provedeno vždy za účasti dvou nebo

více oprávněných osob,



b) nebylo možné použít soukromý klíč zadavatele k odšifrování nabídek

jiným způsobem než za účasti oprávněných osob.



(10) Provozovatel zajistí, aby elektronický nástroj neumožnil

odšifrování a otevření nabídky před lhůtou stanovenou k jejímu

otevření. Čas odšifrování a otevření nabídky musí být v souladu s § 6

zaznamenán.



(11) Elektronická nabídka, po jejím otevření, přečtení, posouzení nebo

hodnocení, musí spolu se záznamem o ověření platnosti elektronického

podpisu zůstat uložena u zadavatele v zašifrované podobě, v jaké byla

zadavateli doručena. Tím není dotčena možnost zadavatele ponechat vedle

toho nabídky uložené rovněž v odšifrované podobě.



§ 6



Pořizování záznamů o elektronických úkonech



(1) O provedených elektronických úkonech a veškerých dalších činnostech

elektronického nástroje zadavatel povede evidenci. Součástí této

evidence musí být alespoň



a) určení elektronického úkonu nebo další činnosti elektronického

nástroje,



b) čas provedení elektronického úkonu nebo činnosti uvedený s přesností

na sekundu,



c) identifikátor osoby, která elektronický úkon provedla nebo činnost

elektronického nástroje zahájila,



d) záznam o případném chybovém výsledku elektronického úkonu nebo další

činnosti elektronického nástroje.



(2) Kromě záznamů podle odstavce 1 musí být zaznamenány i informace o

systémovém stavu elektronického nástroje podle písmen b) a c) s

uvedením časové informace podle § 7. Systémovým stavem je stav, ve

kterém se v daném okamžiku nebo intervalu nachází elektronický nástroj,

a který odpovídá jedné ze tří možných hodnot



a) v provozu,



b) mimo provoz,



c) omezení funkcionality neumožňující realizovat elektronické úkony,

které jinak prostřednictvím daného elektronického nástroje realizovat

lze.



(3) Veškeré údaje podle odstavců 1 a 2 musí být chráněny proti

neoprávněnému přístupu, změně a zničení.



§ 7



Zaznamenávání časové informace



(1) Časová informace musí být poskytovaná operačním systémem navázaným

na zdroj reprodukující světový koordinovaný čas UTC například na státní

etalon času a frekvence nebo pomocí přijímače globálního systému

určování polohy (GPS).



(2) Synchronizace času měřeného operačním systémem podle odstavce 1 s

koordinovaným světovým časem se provádí alespoň jedenkrát za 24 hodin v

průběhu zadávacího řízení.



(3) Synchronizace podle odstavce 2 musí být zajištěna i v případě

výskytu přestupné sekundy.



ČÁST TŘETÍ



CERTIFIKACE SHODY ELEKTRONICKÝCH NÁSTROJŮ



§ 8



Certifikát shody



(1) Shoda elektronického nástroje se posuzuje z hlediska funkcionality

elektronického nástroje a z hlediska prostředí, ve kterém je

elektronický nástroj provozován. Podrobné požadavky týkající se

funkčních vlastností elektronického nástroje a prostředí, ve kterém má

být elektronický nástroj provozován, jsou uvedeny v příloze této

vyhlášky.



(2) Pro účely posuzování shody funkcionality elektronického nástroje

jsou elektronické úkony rozděleny na



a) elektronické úkony nezahrnující přenos a příjem nabídek



1. odesílání a příjem datových zpráv,



2. elektronické úkony zadavatele bez odesílání datové zprávy,



3. jednání zadavatele nebo orgánu ustanoveného zadavatelem (komise) s

dodavatelem prostředky umožňujícími dálkový přístup,



4. poskytování dokumentů dálkovým přístupem,



b) elektronické úkony spočívající v přenosu a příjmu nabídek.



(3) Certifikát shody musí obsahovat alespoň tyto údaje:



a) obchodní firmu nebo název, sídlo, právní formu, identifikační číslo

osoby, bylo-li přiděleno, pokud jde o právnickou osobu, a obchodní

firmu nebo jméno a příjmení, místo podnikání, popřípadě místo trvalého

pobytu, identifikační číslo osoby, bylo-li přiděleno, pokud jde o

fyzickou osobu, certifikačního orgánu, který certifikát shody vydal,



b) obchodní firmu nebo název, sídlo a právní formu provozovatele,

jedná-li se o právnickou osobu,



c) jméno a příjmení, popřípadě obchodní firmu, a místo podnikání,

popřípadě místo trvalého pobytu provozovatele, jedná-li se o fyzickou

osobu,



d) identifikační číslo osoby provozovatele, pokud bylo přiděleno,



e) obchodní označení a verzi elektronického nástroje,



f) uvedení skupiny elektronických úkonů v členění podle odstavce 2, pro

které byl elektronický nástroj certifikován v souladu s požadavky

stanovenými touto vyhláškou, a výčet elektronických úkonů v rámci této

skupiny,



g) datum vydání certifikátu shody,



h) dobu platnosti certifikátu shody a



i) podpis osoby oprávněné jednat za certifikační orgán.



(4) Certifikát shody je možno vydat v listinné podobě nebo v

elektronické podobě s platným elektronickým podpisem osoby oprávněné

jednat jménem nebo za certifikační orgán.



(5) Certifikát shody se vydává v českém jazyce.



(6) Pokud provozovatel předloží platný certifikát shody, prokazuje, že

v rozsahu skupiny elektronických úkonů a údajů uvedených v certifikátu

shody splňuje jím provozovaný elektronický nástroj požadavky stanovené

zákonem a touto vyhláškou.



(7) Pokud je elektronický nástroj provozován jinou osobou než

žadatelem, který prokázal shodu a disponuje platným certifikátem shody,

může pro takový elektronický nástroj tato jiná osoba k prokázání

splnění požadavků stanovených právními předpisy předložit platný

certifikát shody tohoto jiného provozovatele. V takovém případě

elektronický nástroj splňuje v rozsahu skupiny elektronických úkonů

uvedených v certifikátu shody požadavky stanovené zákonem na funkční

vlastnosti elektronického nástroje. Předložením certifikátu shody

jiného provozovatele však nelze prokázat shodu s požadavky týkajícími

se prostředí, ve kterém je elektronický nástroj provozován.



§ 9



Podrobnosti týkající se podmínek pro vydání certifikátu shody



(1) Žádost o vydání certifikátu shody podává žadatel certifikačnímu

orgánu. Žadatel prokazuje v žádosti a následném certifikačním auditu

shodu elektronického nástroje s požadavky stanovenými právními předpisy

ve vztahu k funkcionalitě elektronického nástroje a ve vztahu k

prostředí, v němž je elektronický nástroj provozován. Shodu

elektronického nástroje prokáže žadatel, pokud elektronický nástroj

splňuje alespoň požadavky stanovené v příloze této vyhlášky.



(2) Pokud má elektronický nástroj platný certifikát shody ve vztahu k

funkcionalitě a je provozován jinou osobou než žadatelem, kterému byl

certifikát shody vydán, prokazuje tato jiná osoba jako žadatel

certifikačnímu orgánu pouze splnění požadavků ve vztahu k provoznímu

prostředí, v němž je elektronický nástroj provozován, ve smyslu přílohy

této vyhlášky.



(3) Žádost o vydání certifikátu shody musí splňovat minimálně

náležitosti stanovené v § 10. V případě uvedeném v odstavci 2 musí být

přílohou žádosti o vydání certifikátu shody platný certifikát shody,

který byl pro elektronický nástroj vydán. Certifikační orgán vydá

certifikát shody pro elektronický nástroj, pokud byla zjištěna shoda

elektronického nástroje s požadavky uvedenými v příloze této vyhlášky,

a to v rozsahu zjištěné shody. Certifikační orgán není oprávněn vydat

certifikát shody pro elektronický nástroj nad rámec podané žádosti o

vydání certifikátu shody.



(4) Podrobná certifikační pravidla stanoví certifikační orgán.

Certifikační pravidla musí s ohledem na jednotlivé druhy certifikátů

shody obsahovat aspoň



a) adresu pro podání žádosti o vydání certifikátu shody,



b) obsahové a formální náležitosti žádosti o vydání certifikátu shody,



c) popis jednotlivých kroků certifikačního auditu,



d) časovou náročnost certifikačního auditu,



e) obsahové a formální náležitosti výstupu z certifikačního auditu,



f) ceník odměn za úkony činěné certifikačním orgánem, který bude

obsahovat aspoň



1. výši odměny za provedení certifikačního auditu,



2. výši odměny za provedení certifikačního auditu na prodloužení

platnosti certifikátu shody osvědčujícího soulad s požadavky kladenými

na prostředí podle § 11 odst. 1,



3. výši odměny za změnu certifikátu v důsledku změny vlastností či

podmínek elektronického nástroje podle § 11 odst. 2,



4. výši odměny za změnu rozsahu certifikátu shody podle § 11 odst. 4 a



5. výši odměny pro případ, že bude certifikační orgán postupovat podle

§ 11 odst. 3,



g) opatření k nápravě.



(5) Certifikační pravidla je certifikační orgán povinen uveřejnit na

svých internetových stránkách.



§ 10



Minimální náležitosti žádosti o vydání certifikátu shody



(1) V žádosti o vydání certifikátu shody uvede žadatel své

identifikační údaje, kterými jsou obchodní firma nebo název, sídlo,

právní forma, identifikační číslo, bylo-li přiděleno, pokud jde o

právnickou osobu, a obchodní firma nebo jméno a příjmení, místo

podnikání, popřípadě místo trvalého pobytu, identifikační číslo,

bylo-li přiděleno, pokud jde o fyzickou osobu.



(2) V případě, že žadatelem o vydání certifikátu shody je osoba, která

není výrobcem elektronického nástroje, uvede žadatel v žádosti o vydání

certifikátu shody identifikační údaje výrobce, kterými jsou obchodní

firma nebo název, sídlo, právní forma, identifikační číslo, bylo-li

přiděleno, pokud jde o právnickou osobu, a obchodní firma nebo jméno a

příjmení, místo podnikání, popřípadě místo trvalého pobytu,

identifikační číslo, bylo-li přiděleno, pokud jde o fyzickou osobu.



(3) V žádosti o vydání certifikátu shody uvede žadatel obchodní

označení a verzi elektronického nástroje a uvede v souladu s § 8

skupinu nebo skupiny, do kterých elektronický nástroj spadá, a výčet

elektronických úkonů v rámci této skupiny, které elektronický nástroj

zajišťuje.



§ 11



Platnost certifikátů shody



(1) Není-li stanoveno jinak, platí, že pokud provozovatel prokáže

certifikačnímu orgánu shodu elektronického nástroje s požadavky

kladenými na funkční vlastnosti u elektronického nástroje, má

certifikát shody v rozsahu skupiny elektronických úkonů a údajů

uvedených v certifikátu shody, které se týkají funkčních vlastností

elektronického nástroje, neomezenou platnost. Pokud provozovatel

prokáže certifikačnímu orgánu i shodu elektronického nástroje s

požadavky kladenými na prostředí, v němž je nebo má být elektronický

nástroj provozován, má certifikát shody v rozsahu údajů uvedených v

certifikátu shody, které se týkají provozního prostředí, platnost 3

roky ode dne jeho vydání. Uplynutím uvedené doby není dotčena platnost

certifikátu shody v rozsahu údajů týkajících se funkčních vlastností

elektronického nástroje. Platnost certifikátu shody osvědčujícího

soulad s požadavky kladenými na prostředí je možné na žádost

provozovatele prodloužit o další 3 roky, a to i opakovaně.



(2) Dojde-li ke změně vlastností či podmínek provozu elektronického

nástroje oproti vlastnostem či podmínkám provozu elektronického

nástroje, na základě kterých byl certifikát shody vydán, a tato změna

by mohla mít za následek neprokázání shody s požadavky stanovenými

právními předpisy ve stanoveném rozsahu, je provozovatel povinen do 15

dnů ode dne, kdy ke změně došlo, oznámit tuto skutečnost certifikačnímu

orgánu a současně předložit návrh opatření k nápravě. V opačném případě

certifikační orgán odejme certifikát shody, případně změní jeho rozsah,

pokud to změna vlastností či podmínek provozu elektronického nástroje

umožňuje.



(3) Certifikační orgán dále odejme nebo změní certifikát shody v

případě, že provozovatel



a) nesplňuje podmínky pro vydání certifikátu shody, nebo



b) použil jako podklady pro vydání certifikátu shody doklady či

informace, které se ukázaly jako nepravdivé či neúplné.



(4) Žadatel je oprávněn podat návrh na změnu rozsahu certifikátu shody.

V takovém případě prokáže provozovatel certifikačnímu orgánu pouze

splnění požadavků, kterých se změna týká.



(5) Žadatel je oprávněn se vzdát certifikátu shody. Vzdání se

certifikátu shody je povinen žadatel písemně oznámit certifikačnímu

orgánu.



ČÁST ČTVRTÁ



ZÁVĚREČNÁ USTANOVENÍ



§ 12



Zrušovací ustanovení



Vyhláška č. 329/2006 Sb., kterou se stanoví bližší požadavky na

elektronické prostředky, elektronické nástroje a elektronické úkony při

zadávání veřejných zakázek, se zrušuje.



§ 13



Účinnost



Tato vyhláška nabývá účinnosti dnem jejího vyhlášení.



Ministr:



Ing. Jankovský v. r.



Příloha



SPECIFIKACE POŽADAVKŮ PRO PROKAZOVÁNÍ SHODY ELEKTRONICKÝCH NÁSTROJŮ



I. Seznam použitých zkratek

------------------- ------------------------------------------------------

ČSN EN ISO 9001 Česká technická norma - Systémy managementu

kvality - Požadavky

------------------- ------------------------------------------------------

ČSN EN/IEC 27001 Česká technická norma - Informační technologie -

Bezpečnostní techniky - Systémy managementu

bezpečnosti informací - Požadavky

------------------- ------------------------------------------------------

EU Evropská unie

------------------- ------------------------------------------------------

GPS Globální polohový systém

------------------- ------------------------------------------------------

IETF Internet Engineering Task Force, česky „Komise

techniky Internetu“.

------------------- ------------------------------------------------------

IS VZ US Informační systém o veřejných zakázkách -

uveřejňovací subsystém

------------------- ------------------------------------------------------

JŘSU Jednací řízení s uveřejněním

------------------- ------------------------------------------------------

OJS eSender Official Journal Supplement. Úřední věstník EU

(tj. evropské uveřejňovací místo).

------------------- ------------------------------------------------------

OPOCE Úřad pro publikace Evropské unie

------------------- ------------------------------------------------------

PDF/A, ISO 19005 Portable Dokument Format/Archive. Archivační

verze formátu PDF definovaná standardem ISO 19005

------------------- ------------------------------------------------------

SD Soutěžní dialog

------------------- ------------------------------------------------------

ÚOHS Úřad pro ochranu hospodářské soutěže

------------------- ------------------------------------------------------

UŘ Užší řízení

------------------- ------------------------------------------------------

UTC Coordinated Universal Time, česky koordinovaný

světový čas

------------------- ------------------------------------------------------

ZD Zadávací dokumentace

------------------- ------------------------------------------------------

ZVZ Zákon č. 137/2006 Sb., o veřejných zakázkách, ve

znění pozdějších předpisů

------------------- ------------------------------------------------------





II. Úvodní ustanovení



1.



Předmět



Specifikace požadavků pro prokazování shody elektronických nástrojů

(dále jen „standard“) vymezuje způsob prokázání shody elektronických

nástrojů s požadavky stanovenými v ZVZ a jeho prováděcích právních

předpisech (dále jen „legislativní požadavky“).



1.1 Systém řízení elektronického nástroje a související požadavky



Požadavky obsažené v tomto standardu se aplikují na



1. zavedení systému řízení elektronického nástroje tak, aby byl

elektronický nástroj vytvořen a provozován v souladu s legislativními

požadavky a



2. certifikaci shody elektronického nástroje tj. shody systému řízení

elektronického nástroje s legislativními požadavky.



Provozovatel prokáže shodu elektronického nástroje s legislativními

požadavky, pokud prokáže splnění požadavků ve vztahu k



1. funkcionalitě elektronického nástroje a



2. prostředí, ve kterém je elektronický nástroj provozován.



Systém řízení elektronického nástroje je znázorněn na následujícím

schématu.



Schéma I. Systém řízení elektronického nástroje



Legenda ke schématu



Jednotlivé požadavky související se systémem řízení elektronického

nástroje jsou popsány v tomto standardu následujícím způsobem



1. požadavky na elektronický nástroj (tj. legislativní a technické

požadavky na funkcionalitu elektronického nástroje) - technické

požadavky viz hlava 2. tohoto standardu,



2. požadavky na řízení zdrojů (provozního prostředí a lidských zdrojů)

v souvislosti s provozem elektronického nástroje - viz hlava 3. tohoto

standardu,



3. systémové požadavky na elektronický nástroj - viz hlava 4. tohoto

standardu.



1.2 Rozsah certifikace shody elektronického nástroje ve vazbě na rozsah

funkcionality



Provozovatel elektronického nástroje může požádat o certifikaci

elektronického nástroje pro následující skupiny elektronických úkonů



1. úkony nezahrnující přenos a příjem nabídek:



a) odesílání a příjem datových zpráv,



b) elektronické úkony zadavatele bez odesílání datové zprávy,



c) jednání zadavatele nebo orgánu ustanoveného zadavatelem (komise) s

dodavatelem prostředky umožňujícími dálkový přístup,



d) poskytování dokumentů dálkovým přístupem.



2. úkony spočívající v přenosu a příjmu nabídek.



Ve vztahu k zadávacím postupům upraveným v ZVZ se certifikace shody

elektronického nástroje vztahuje na



1. zadávací řízení ve smyslu ustanovení § 21 ZVZ,



2. zvláštní postupy v zadávacím řízení v rozsahu ustanovení § 89 až §

97 ZVZ a



3. soutěž o návrh ve smyslu ustanovení § 102 a násl. ZVZ.



Rozsah certifikace shody elektronického nástroje ve vazbě na rozsah

funkcionality elektronického nástroje je uveden na Schématu II.

„Certifikace elektronického nástroje ve vazbě na rozsah jeho

funkcionality“. Certifikace bude vždy prováděna pro skupiny

elektronických úkonů, které zadavatel uvede v žádosti o vydání

certifikátu.



Schéma II. Certifikace elektronického nástroje ve vazbě na rozsah jeho

funkcionality



1.3 Splnění jakých požadavků musí provozovatel elektronického nástroje

prokázat pro účely certifikace



Pro získání certifikátu shody musí provozovatel elektronického nástroje

prokázat splnění



1. obecných legislativních požadavků, a to bez ohledu na to, pro jakou

skupinu elektronických úkonů provozovatel žádá o vydání certifikátu

shody,



2. specifických legislativních požadavků, a to v rozsahu stanoveném pro

příslušnou skupinu elektronických úkonů, pro kterou provozovatel žádá o

vydání certifikátu shody,



3. požadavků na řízení zdrojů, a to bez ohledu na to, pro jakou skupinu

elektronických úkonů provozovatel žádá o vydání certifikátu shody a



4. systémových požadavků, a to bez ohledu na to, pro jakou skupinu

elektronických úkonů provozovatel žádá o vydání certifikátu shody.



III. Požadavky na elektronické nástroje



2.



Technické požadavky



Technické požadavky představují minimální úroveň, kterou musí

elektronický nástroj splňovat. Provozovatel může zajistit naplnění

jednotlivý požadavků technicko-technologicky pokročilejším

řešením/opatřením. Ověření shody elektronického nástroje bude

certifikačním orgánem prováděno v oblasti splnění technických požadavků

dle specifikace uvedené v následujících kapitolách, přičemž budou

akceptována i pokročilejší řešení/opatření.



2.1 Zaznamenání času elektronického úkonu (T 1)



Zadavatel zajistí, aby zaznamenání času elektronického úkonu bylo

provedeno jedním z následujících způsobů



1. záznam času, získaný ze zdroje časové informace, je připojen k

datové zprávě,



2. po provedení postupu dle bodu 1. je k datové zprávě s připojeným

záznamem času připojen elektronický podpis nebo elektronická značka

nebo



3. zaznamenání času je provedeno připojením kvalifikovaného časového

razítka k datové zprávě.



2.2 Pořízení záznamu o elektronickém úkonu (T 2)



Zadavatel zajistí, aby veškeré záznamy o elektronických úkonech

obsahovaly



1. jednoznačné určení daného konkrétního úkonu v rámci organizace

zadavatele,



2. identifikaci osoby, která elektronický úkon provedla v případě, že

jde o úkon učiněný konkrétní fyzickou osobou a nejedná o úkon provedený

automaticky elektronickým nástrojem (např. příjem nabídek),



3. informaci o nestandardním výsledku úkonu, pokud nastala při

provedení úkonu chyba a



4. zaznamenání času elektronického úkonu dle oddílu 2.1.



2.3 Řízení přístupu k aktivům v rámci zadávacích postupů (T 3)



Zadavatel zajistí, aby řízení přístupu k aktivům v rámci zadávacích

postupů bylo provedeno jednou z následujících variant



1. autentizace a autorizace přistupující osoby je založena na zadání

jména a hesla. Poskytovatel dokumentu musí zajistit, aby distribuce

jména a hesla přistupujícím osobám proběhla přiměřeně bezpečným

způsobem,



2. autentizace a autorizace přistupující osoby je založena na

certifikátu veřejného klíče přistupující osoby nebo



3. autentizace a autorizace přistupující osoby je založena i na jiných

technologiích; vždy však musí probíhat přiměřeně bezpečným způsobem.



2.4 Použití otevřených formátů dokumentů (T 4)



Zadavatel zajistí, aby formátem datových zpráv, které jsou vyměňovány

během zadávacích postupů, byl otevřený formát.



2.5 Archivace dokumentace o veřejné zakázce (T 5)



Zadavatel zajistí, aby dokumentace o veřejné zakázce, ke které je

vyžadováno připojení zaručeného elektronického podpisu, byla uchovávána

v datovém úložišti s řízeným přístupem. Řízení přístupu se musí řídit

pravidly dle oddílu 2.3. Elektronický nástroj musí zajistit, aby při

uložení dokumentace do datového úložiště bylo k dokumentaci připojeno

kvalifikované časové razítko.



Dokumentace o veřejné zakázce, která obsahuje důvěrné informace, musí

být uchovávána v datovém úložišti s řízeným přístupem. Řízení přístupu

se musí řídit pravidly dle oddílu 2.3. Dokumentace může být uchovávána

ve své šifrované podobě. Pokud je dokumentace uchovávána v šifrované

podobě, musí zadavatel bezpečně uchovávat soukromý klíč zadavatele,

odpovídající veřejnému klíči zadavatele, kterým byl dokument šifrován.

Doba uchování soukromého klíče zadavatele musí odpovídat době uchování

dokumentace.



2.6 Omezené poskytování zabezpečeného dokumentu dálkovým přístupem (T

6)



Zadavatel zajistí, aby k zabezpečenému dokumentu, který bude omezeně

poskytován dálkovým přístupem, byl připojen zaručený elektronický

podpis poskytovatele dokumentu. Formát dokumentu musí odpovídat

požadavkům dle oddílu 2.4. K dokumentu musí být řízený přístup. Řízení

přístupu k dokumentu se musí řídit pravidly dle oddílu 2.3.



2.7 Neomezené poskytování zabezpečeného dokumentu dálkovým přístupem (T

7)



Zadavatel zajistí, aby k zabezpečenému dokumentu, který bude neomezeně

poskytován dálkovým přístupem, byl připojen zaručený elektronický

podpis poskytovatele dokumentu. Formát dokumentu musí odpovídat

požadavkům dle oddílu 2.4.



2.8 Neomezené poskytování dokumentu dálkovým přístupem (T 8)



Při poskytování dokumentu neomezeným dálkovým přístupem zadavatel

pořídí záznam o elektronickém úkonu dle oddílu 2.2. Formát dokumentu

musí odpovídat požadavkům dle oddílu 2.4.



2.9 Odeslání datové zprávy v rámci organizace zadavatele (T 9)



Formát datové zprávy odesílané v rámci organizace zadavatele bude

zvolen podle potřeb zadavatele. Zadavatel vždy zvolí takový formát,

který ochrání dokument proti neoprávněné změně. Elektronický protokol

použitý k přenosu datové zprávy bude zvolen podle potřeb zadavatele.

Zadavatel určí, zda datová zpráva bude šifrována a určí pravidla, jaký

klíč bude používán k šifrování.



2.10 Příjem datové zprávy v rámci organizace zadavatele (T 10)



Při příjmu datové zprávy, přenášené v rámci organizace zadavatele, musí

zadavatel respektovat formát a elektronický protokol příchozí zprávy. V

případě šifrované datové zprávy zadavatel stanoví pravidla určující,

zda bude datová zpráva dešifrována.. Pravidla pro to, zda bude pro

datovou zprávu ověřena platnost tohoto elektronického podpisu, resp.

značky, stanoví zadavatel. O příjmu datové zprávy musí být pořízen

záznam o elektronickém úkonu dle oddílu 2.2.



2.11 Odeslání šifrované datové zprávy opatřené elektronickým podpisem

(T 11)



Přípustné formáty odesílané datové zprávy musí stanovit zadavatel.

Formát dokumentu musí odpovídat požadavkům dle oddílu 2.4. Elektronický

protokol použitý k přenosu datové zprávy, stanoví zadavatel. Příjemce

datové zprávy musí odesílateli poskytnout certifikát veřejného klíče.

Datová zpráva musí být šifrována veřejným klíčem příjemce. Datová

zpráva musí mít připojen zaručený elektronický podpis nebo

elektronickou značku, založenou na kvalifikovaném systémovém

certifikátu. Pokud je zpráva odesílána zadavatelem, musí být pořízen

záznam o elektronickém úkonu dle oddílu 2.2.



2.12 Odeslání otevřené datové zprávy opatřené elektronickým podpisem (T

12)



Přípustné formáty odesílané datové zprávy stanoví zadavatel. Formát

dokumentu musí odpovídat požadavkům dle oddílu 2.4. Elektronický

protokol použitý k přenosu datové zprávy, stanoví zadavatel.. Datová

zpráva musí mít připojen zaručený elektronický podpis nebo

elektronickou značku, založenou na kvalifikovaném systémovém

certifikátu. Pokud je zpráva odesílána zadavatelem, musí být pořízen

záznam o elektronickém úkonu dle oddílu 2.2.



2.13 Odeslání otevřené datové zprávy (T 13)



Přípustné formáty odesílané datové zprávy stanoví zadavatel. Formát

dokumentu musí odpovídat požadavkům dle oddílu 2.4. Elektronický

protokol použitý k přenosu datové zprávy stanoví zadavatel. Pokud je

zpráva odesílána zadavatelem, musí být pořízen záznam o elektronickém

úkonu dle oddílu 2.2.



2.14 Příjem šifrované datové zprávy opatřené elektronickým podpisem (T

14)



Při příjmu datové zprávy musí zadavatel respektovat formát a

elektronický protokol příchozí zprávy. Zadavatel zajistí ověření

platnosti připojeného elektronického podpisu, resp. elektronické

značky. Datová zpráva může být dešifrována. Pravidla určující, zda bude

datová zpráva dešifrována, stanoví příjemce. Pokud je zpráva přijímána

zadavatelem, musí být pořízen záznam o elektronickém úkonu dle oddílu

2.2.



Pokud je připojen zaručený elektronický podpis, příjemce musí datovou

zprávu odmítnout v případě, kdy zaručený elektronický podpis není

platný nebo jeho kvalifikovaný certifikát byl zneplatněn. Pokud je

připojena elektronická značka, příjemce musí datovou zprávu odmítnout v

případě, kdy elektronická značka není platná nebo její kvalifikovaný

systémový certifikát byl zneplatněn.



2.15 Příjem otevřené datové zprávy opatřené elektronickým podpisem (T

15)



Při příjmu datové zprávy musí zadavatel respektovat formát a

elektronický protokol příchozí zprávy. Zadavatel musí zajistit ověření

platnosti připojeného elektronického podpisu, resp. elektronické

značky. Pokud je zpráva přijímána zadavatelem, musí být pořízen záznam

o elektronickém úkonu dle oddílu 2.2. Pokud je připojen zaručený

elektronický podpis, příjemce musí datovou zprávu odmítnout v případě,

kdy zaručený elektronický podpis není platný nebo jeho kvalifikovaný

certifikát byl zneplatněn. Pokud je připojena elektronická značka,

příjemce musí datovou zprávu odmítnout v případě, kdy elektronická

značka není platná nebo její kvalifikovaný systémový certifikát byl

zneplatněn.



2.16 Příjem otevřené datové zprávy (T 16)



Při příjmu datové zprávy musí zadavatel respektovat formát a

elektronický protokol příchozí datové zprávy.V případech, kdy je k

datové zprávě připojen zaručený elektronický podpis nebo elektronická

značka, ačkoliv to zákon ani zadavatel nepožadoval, nemůže příjemce

datovou zprávu odmítnout, a to ani v případě, kdy elektronický podpis

nebo elektronická značka nejsou platné



2.17 Příjem a uložení nabídky (T 17)



Při příjmu datové zprávy nabídky musí zadavatele respektovat formát a

elektronický protokol příchozí zprávy. Zadavatel musí zajistit ověření

platnosti připojeného zaručeného elektronického podpisu, resp.

elektronické značky. Pokud není ověřena platnost připojeného zaručeného

elektronického podpisu, resp. elektronické značky během příjmu nabídky,

musí být ověřena v průběhu úkonu otevírání obálek. Datová zpráva

nabídky nesmí být dešifrována. Zadavatel musí pořídit záznam o

elektronickém úkonu dle oddílu 2.2. V průběhu příjmu nabídky nesmí být

pořízeny žádné kopie datové zprávy nabídky.



Zadavatel zajistí, aby po příjmu datové zprávy nabídky neprodleně

následovalo bezpečné uložení datové zprávy nabídky. Bezpečné uložení

datové zprávy nabídky musí být provedeno způsobem, aby přístup k

šifrované nabídce, uložené v datovém úložišti, nebyl možný před

uplynutím lhůty pro podání nabídek.



Zadavatel zajistí, aby datová zpráva nabídky byla uložena takovým

způsobem, aby byl zjistitelný pokus o přístup k uložené nabídce před

termínem otevírání nabídek. Při jakémkoli takovém pokusu o přístup k

nabídce před termínem otevírání nabídek musí být pořízen záznam o

elektronickém úkonu dle oddílu 2.2.



2.18 Otevírání nabídek podaných elektronickými prostředky (T 18)



Zadavatel zajistí, aby otevření nabídek podaných elektronickými

prostředky bylo provedeno jednou z následujících variant



1. otevření nabídky podané elektronickými prostředky bude provedeno

způsobem navazujícím na příjem nabídky dle oddílu 2.17. Přístup k

šifrované nabídce uložené v datovém úložišti, bude proveden součinností

minimálně dvou osob, resp. i většího počtu osob, stanoví-li tak

zadavatel, s neúplnými právy přístupu k uložené nabídce. Kombinací

přístupových práv těchto osob bude umožněn přístup k uložené nabídce.

Nabídka pak bude dešifrována soukromým klíčem zadavatele příslušejícím

veřejnému klíči zadavatele, který byl použit k šifrování datové zprávy

nabídky nebo



2. otevření nabídky podané elektronickými prostředky bude provedeno

způsobem, navazujícím na příjem nabídky dle oddílu 2.17. Šifrovaná

datová zpráva nabídky je dešifrována součinností osob, majících přístup

k soukromým klíčům zadavatele příslušejícím veřejným klíčům zadavatele,

které byly použity k šifrování datové zprávy nabídky.



2.19 Jednání komise / poroty / zadavatele (T 19)



Zadavatel zajistí, aby součástí záznamu o jednání komise / poroty /

zadavatele byl dokument zápisu z jednání. Musí být pořízen záznam o

elektronickém úkonu dle oddílu 2.2.



2.20 Elektronický podpis dokumentu (T 20)



Zadavatel zajistí, aby elektronický podpis dokumentu byl proveden

jedním z následujících způsobů



1. formát dokumentu musí odpovídat požadavkům dle oddílu 2.4. Dokument

musí být podepsán připojením zaručeného elektronických podpisu nebo

zaručené elektronické značky k dokumentu. Po připojení elektronického

podpisu nebo elektronické značky zadavatele musí být pořízen záznam o

elektronickém úkonu dle oddílu 2.2, nebo



2. u vícestranného zaručeného elektronického podpisu bude dokument

oboustranně podepsán postupnou výměnou zpráv. V tomto případě zadavatel

musí odeslat datovou zprávu s dokumentem s připojeným zaručeným

elektronickým podpisem dodavateli způsobem dle oddílu 2.11. Dodavatel

musí při příjmu datové zprávy respektovat formát příchozí zprávy. V

případě, že byla datová zpráva šifrovaná, provede dodavatel její

dešifrování. Dodavatel ověří platnost připojeného zaručeného

elektronického podpisu. Dodavatel musí datovou zprávu odmítnout v

případě, kdy zaručený elektronický podpis není platný nebo jeho

kvalifikovaný certifikát byl zneplatněn. Dále dodavatel musí k

dešifrovanému dokumentu připojit vlastní zaručený elektronický podpis a

odeslat jej v datové zprávě v souladu s oddílu 2.11. Zadavatel při

příjmu této zprávy musí postupovat dle oddílu 2.14. Postup

vícestranného elektronického podpisu lze realizovat v opačném pořadí,

tj. dokument nejdříve podepíše dodavatel a následně ho předá

zadavateli. Veškeré výše uvedené požadavky se použijí obdobně.



2.21 Odeslání datové zprávy webové služby (T 21)



Klientská aplikace musí při odeslání zprávy webové službě dodržet

pravidla komunikace stanovená službou. Musí být pořízen záznam o

elektronickém úkonu dle oddílu 2.2.



2.22 Příjem datové zprávy webové služby (T 22)



Klientská aplikace musí při příjmu zprávy webové služby dodržet

pravidla komunikace stanovená službou. Musí být pořízen záznam o

elektronickém úkonu dle oddílu 2.2.



2.23 Zpřístupnění návrhu v soutěži o návrh soutěžní porotě (T 24)



Elektronický nástroj musí zadavateli umožnit zpřístupnění návrhu v

soutěži o návrh soutěžní porotě tak, aby pro osoby, jež jsou součástí

soutěžní poroty, nebylo možné na základě informací poskytnutých

elektronickým nástrojem identifikovat dodavatele, který návrh podal

(dále jen „anonymizace návrhu“). K anonymizaci návrhu musí dojít až po

otevření a dešifrování návrhu. Soutěžní porotě zpřístupní zadavatel

anonymizovaný návrh v dešifrované podobě.



Elektronický nástroj musí i po anonymizaci návrhu poskytnout zadavateli

informaci o dodavateli, jež návrh podal.



Zadavatel zajistí, aby o zpřístupnění návrhu v soutěži o návrh soutěžní

porotě byl pořízen záznam o elektronickém úkonu dle oddílu 2.2.



2.24 Zajištění zákazu diskriminace (T 25)



Provozovatel musí provozovat elektronický nástroj v takovém prostředí a

takovým způsobem, aby užívání elektronického nástroje nebylo

podmiňováno používáním běžně nedostupných nebo nákladných technologií,

což by způsobilo vyloučení určitého dodavatele z účasti na zadávacích

postupech.



2.25 Zpřístupnění informací pro využití elektronického nástroje (T26)



Elektronický nástroj musí umožnit zadavateli poskytovat dodavatelům,

kteří mají zájem účastnit se zadávacích postupů, k dispozici veškeré

informace technické povahy, včetně případného kódování a šifrování,

které jsou nezbytné pro komunikaci elektronickými prostředky, zejména

pro elektronické podání nabídek a žádostí o účast, a to po celou dobu

používání elektronického nástroje.



Zadavatel zajistí, aby o zpřístupnění informací pro využití

elektronického nástroje byl pořízen záznam o elektronickém úkonu dle

oddílu 2.2.



2.26 Zajištění technické podpory a servisu elektronického nástroje

(T27)



Provozovatel elektronického nástroje musí zajistit technickou podporu a

servis elektronického nástroje v takové míře, aby bylo možné zajistit

řádný provoz elektronického nástroje a splnění ostatních požadavků

tohoto standardu. Technickou podporu a servis musí provozovatel

elektronického nástroje poskytovat v rozsahu přiměřeném složitosti

funkcionality elektronického nástroje.



3.



Požadavky na řízení zdrojů



Provozovatel elektronického nástroje musí určovat a zajistit zdroje

potřebné pro efektivní a účinný provoz elektronického nástroje. Zdroje

pro účely tohoto standardu tvoří



1. prostředí,, ve kterém je elektronický nástroj provozován a které

zahrnuje hardware, operační systémy a další systémové programové

vybavení a prostory nezbytné pro zajištění požadovaných parametrů

elektronického nástroje a



2. lidské zdroje, které jsou nezbytné pro provozování elektronického

nástroje (správu a obsluhu) v zamýšleném rozsahu a pro dodržování

stanovených požadavků na elektronický nástroj. Provozovatel

elektronického nástroje musí specifikovat požadavky na řízení zdrojů

(provozního prostředí a lidských zdrojů) a jeho části tak, aby bylo

zajištěno, že elektronický nástroj plní stanovené požadavky při jeho

provozování v provozním prostředí v zamýšleném rozsahu.



3.1 Požadavky na prostředí



Provozovatel elektronického nástroje musí dokumentovaným způsobem

stanovit požadavky na prostředí, a to zejména hardware, software a

prostory nezbytné pro provozování elektronického nástroje v zamýšleném

rozsahu. Musí vést záznamy o tom, že jsou tyto požadavky při provozu

elektronického nástroje plněny. Rozsah požadavků je závislý na

složitosti elektronického nástroje (tj. komptabilitě funkcionality).



3.2 Požadavky na procesy řízení lidských zdrojů



Provozovatel musí provést taková opatření v oblasti řízení lidských

zdrojů, která minimalizují negativní vliv pracovníků na provoz

elektronického nástroje ve stanoveném rozsahu při dodržení všech

stanovených požadavků. Požadavky na řízení lidských zdrojů jsou zde

následně členěny jako doporučené a minimální. Doporučené procesy řízení

lidských zdrojů a jejich plnění zajistí provozovateli elektronického

nástroje ucelenější nástroj řízení . Pro plnění požadavků tohoto

standardu však provozovateli elektronického nástroje postačí naplnění

minimálních požadavků na procesy řízení lidských zdrojů. Způsob

naplnění níže uvedených požadavků musí být dokumentován a musí

existovat záznamy jako důkazy o plnění požadavků.



Minimální procesy řízení lidských zdrojů jsou definovány v následující

matici.



Tabulka I. Struktura (matice) procesů oblasti řízení lidských zdrojů

------------------- --------------------- -----------------------

PROCESY

------------------- --------------------- -----------------------

Před započetím Během práce Při ukončení práce

práce s elektronickým s elektronickým

s elektronickým nástrojem nebo nástrojem nebo

nástrojem nebo v provozním v provozním

v provozním prostředí prostředí

prostředí elektronického elektronického

elektronického nástroje nástroje

nástroje

------------------- --------------------- -----------------------

Vytvoření role Provádění

vzdělávacích aktivit

------------------- ---------------------

Stanovení Disciplinární řízení

požadavků na

odbornou Ukončení práce

způsobilost v roli

pracovníka v roli

--------------------

Ustanovení

pracovníka do role

a jeho proškolení

------------------- ------------------- -------------------------



Pozn. 1: Pracovníkem se rozumí zaměstnanec provozovatele elektronického

nástroje nebo i jiná osoba, která se podílí na provozování

elektronického nástroje.



Pozn. 2: Disciplinárním řízením se rozumí uplatňování odpovědnosti za

činnost spočívající v provozování elektronického nástroje a uplatňování

sankcí bez ohledu na to, zda se jedná o odpovědnost vyplývající z

pracovního poměru nebo jiného vztahu.



3.2.1 Před započetím práce s elektronickým nástrojem nebo v provozním

prostředí elektronického nástroje



Provozovatel elektronického nástroje



1. stanoví role nutné pro provozování elektronického nástroje, jejich

odpovědnosti, pravomoci a požadavky na odbornou způsobilost,



2. definuje odpovědnosti a postupy seznamování pracovníků určovanými

pro danou roli s jejich odpovědnostmi, povinnostmi a pravomocemi,



3. definuje odpovědnosti, pravomoci a postupy určování pracovníků do

rolí.



3.2.2 Během práce s elektronickým nástrojem nebo v provozním prostředí

elektronického nástroje



Provozovatel elektronického nástroje plánuje a zajišťuje vzdělávací

aktivity, prostřednictvím nichž zajistí, že pracovníci budou splňovat

požadavky na odbornou způsobilost stanovené pro zastávanou roli. V

případě, že jsou činnosti zajištěny smluvní stranou, provozovatel

vyžaduje naplnění tohoto požadavku po smluvní straně.



Provozovatel elektronického nástroje stanoví odpovědnosti a postupy pro

zahájení, provedení a ukončení disciplinárního řízení pro případ, že

pracovník poruší stanovené povinnosti při provozu elektronického

nástroje.



3.2.3 Při ukončení práce s elektronickým nástrojem nebo v provozním

prostředí elektronického nástroje



Provozovatel elektronického nástroje stanoví odpovědnosti a postupy pro

řádný průběh ukončení práce pracovníka s elektronickým nástrojem

(včetně ukončení případných smluvních vztahů), které zahrnují zejména

odevzdání přidělených aktiv a odejmutí přístupových práv k

elektronickému nástroji.



4.



Systémové požadavky na elektronický nástroj



Prostřednictvím systémových požadavků na elektronické nástroje

zajišťuje provozovatel plnění legislativních požadavků již v průběhu

návrhu a vývoje elektronického nástroje a po celou dobu provozování

elektronického nástroje.



4.1 Požadavky na bezpečnost informací



Provozovatel elektronického nástroje musí eliminovat dopady

identifikovaných hrozeb, které mohou mít za následek neplnění

stanovených požadavků na elektronický nástroj. Příklady struktury

hrozeb a z ní vyplývající důvody členění požadavků jsou uvedeny na

následujícím Schématu. Při provádění úkonů v zadávacích postupech musí

být ve všech případech zajištěna dostupnost a integrita předávaných a

zpracovávaných informací a ve stanovených případech musí být navíc

zajištěna i důvěrnost těchto informací.



Schéma III. Stěžejní faktory ovlivňující plnění požadavků na

elektronický nástroj



Dostupnost, integritu a důvěrnost musí provozovatel dokumentovaným

způsobem zabezpečit a to aplikováním vybraných postupů mezinárodních

norem v oblasti bezpečnosti informací.



Provozovatel musí zajistit provedení alespoň následujících kroků



1. určit rozsah a hranice elektronického nástroje na základě posouzení

jeho uspořádání, struktury, umístění (lokality), aktiv a technologií,



2. definovat politiku bezpečnosti informací elektronického nástroje,

která



a) stanovuje principy, zásady a celkový rámec řízení bezpečnosti

informací,



b) bere v úvahu zákonné nebo regulatorní požadavky a smluvní závazky

provozovatele elektronického nástroje a stanovuje kritéria, kterými

budou hodnocena rizika,



3. stanovit přístup provozovatele elektronického nástroje k rizikům

bezpečnosti informací



a) identifikovat metodiku hodnocení rizik, která vyhovuje stanovené

úrovni bezpečnosti informací, zákonným a regulatorním požadavkům, a

zajistí reprodukovatelnost a porovnatelnost výsledků,



b) vytvořit kritéria pro akceptaci rizik a identifikovat jejich

akceptační úrovně,



4. identifikovat rizika



a) identifikovat aktiva v rámci rozsahu elektronického nástroje a

jejich vlastníky,



b) identifikovat hrozby pro tato aktiva,



c) identifikovat zranitelnosti, které by mohly být hrozbami využity,



d) identifikovat jaké dopady na provoz elektronického nástroje by mohla

mít ztráta důvěrnosti, integrity a dostupnosti aktiv,



5. analyzovat a vyhodnotit rizika,



6. identifikovat a stanovit varianty pro zvládání rizik, kterými může

být



a) aplikování vhodných opatření k eliminaci či snížení dopadu rizik,



b) vědomé a objektivní akceptování rizik za předpokladu, že zřetelně

naplňují politiky organizace a kritéria pro akceptaci rizik



c) vyhnutí se rizikům,



d) přenesení rizik spojených s činností organizace na třetí strany,

např. na pojišťovny, dodavatele,



7. vybrat a aplikovat jednotlivá bezpečnostní opatření pro zvládání

rizik.



Provozovatel elektronického nástroje musí v rámci provozování

elektronického nástroje:



1. monitorovat, přezkoumávat a zavádět další opatření



a) pro včasnou detekci chyb zpracování,



b) pro včasnou identifikaci úspěšných i neúspěšných pokusů o narušení

bezpečnosti a detekci bezpečnostních incidentů,



c) umožňující vedení provozovatele elektronického nástroje určit, zda

bezpečnostní aktivity prováděné pověřenými osobami, nebo pro které byly

implementovány technologie, fungují podle očekávání,



d) umožňující detekci bezpečnostních událostí, které mohou způsobit

bezpečnostní incident,



2. měřit účinnost zavedených opatření pro ověření toho, že byly

naplněny požadavky na bezpečnost,



3. provádět interní audity bezpečnosti informací v plánovaných

intervalech a přijímat účinná opatření k odstranění nedostatků a



4. pravidelně přezkoumávat rizika, přiměřenost a účinnost přijatých

opatření pro zvládání rizik, výskyt bezpečnostních událostí a

incidentů, výsledky interních auditů a na základě toho přijímat

opatření ke zlepšování nastaveného systému řízení bezpečnosti

informací.



4.2 Požadavky na procesy řízení dokumentů



Provozovatel elektronického nástroje musí řídit (vytváří, klasifikuje,

schvaluje, označuje, eviduje, ukládá, distribuuje, reviduje, provádí

změny, chrání, uchovává a likviduje) veškeré dokumenty související s

provozováním elektronického nástroje s ohledem na jejich klasifikaci po

celou dobu jejich životního cyklu. Součástí řízení je i zajišťování

stanovené úrovně dostupnosti, integrity a důvěrnosti informací v

dokumentech. Provozovatel elektronického nástroje musí vytvořit

dokumentované postupy, které stanoví odpovědnosti, pravidla a postupy

zejména pro



1. vytváření, identifikaci a evidenci dokumentů,



2. klasifikaci dokumentů,



3. schvalování dokumentů,



4. distribuci dokumentů.



5. nakládání s dokumenty podle pravidel odpovídající klasifikaci

dokumentů,



6. zajištění aktuálnosti dokumentů jejich revidováním a aktualizací

včetně opakovaného schvalování,



7. zajištění identifikovatelnosti změn dokumentů a jejich aktuálního

stavu,



8. zajištění čitelnosti a snadné identifikovatelnosti dokumentů,



9. zajištění stanovené dostupnosti dokumentů,



10. zajištění integrity dokumentů,



11. zajištění identifikace a řízení dokumentů externího původu.



Vytváření dokumentů souvisejících s provozem elektronického nástroje

mohou být v jakékoliv podobě (tj. listinné či elektronické) a na

jakémkoliv nosiči.



4.3 Požadavky na procesy řízení záznamů



Záznamy jako zvláštní kategorie dokumentů musí být vytvořeny a

udržovány tak, aby poskytovaly důkaz o shodě se stanovenými požadavky

na provoz elektronického nástroje. Záznamy musí být chráněny a řízeny,

musí zůstat čitelné, snadno identifikovatelné a musí být možné je

snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně,

vyhledání, době platnosti a uspořádání záznamů musí být dokumentována.



Provozovatel elektronického nástroje musí zajistit kontinuitu verzí

dokumentu a zajistit požadavek dohledatelnosti u každého dokumentu a

záznamu.



Vytváření záznamů souvisejících s provozem elektronického nástroje

mohou být v jakékoliv podobě (tj. listinné či elektronické) a na

jakémkoliv nosiči.



4.4 Požadavky na vytváření elektronického nástroje



Provozovatel elektronického nástroje musí zajistit dokumentovaným

způsobem objektivní důkazy o tom, že vytváření elektronického nástroje

probíhalo v souladu s jím stanovenými požadavky na návrh a vývoj

elektronického nástroje, které zahrnují minimálně požadavky tohoto

standardu a požadavky na bezpečnost zpracovávaných informací. Dále musí

vést záznamy o tom, že v průběhu plánování návrhu a vývoje byly

stanoveny



1. odpovědnosti a pravomoci při návrhu a vývoji elektronického

nástroje,



2. vhodné etapy návrhu a vývoje elektronického nástroje (minimálně

návrh a vývoj elektronického nástroje a integrace elektronického

nástroje do provozního prostředí),



3. způsoby a podmínky testování (ověření) a validace elektronického

nástroje, v každé stanovené etapě návrhu a vývoje elektronického

nástroje.



Ve stanovených etapách musí provozovatel elektronického nástroje

provádět systematická přezkoumání návrhu a vývoje tak, aby



1. byla průběžně vyhodnocována schopnost elektronického nástroje plnit

stanovené požadavky,



2. byly včas identifikovány všechny problémy a mohla být navržena

nezbytná opatření k zajištění splnění požadavků na elektronický

nástroj.



Provozovatel elektronického nástroje musí vést záznamy o výsledcích a

průběhu testování elektronického nástroje, které bylo prováděno tak,

aby bylo prokázáno, že plní stanovené požadavky na elektronický

nástroj.



Provozovatel musí vést záznamy o výsledcích a průběhu validace

elektronického nástroje, která byla prováděna tak, aby bylo zajištěno,

že elektronický nástroj provozovaný ve specifikovaném prostředí je

schopen plnit požadavky specifikovaného nebo zamýšleného použití.



Musí být zpracována uživatelská dokumentace elektronického nástroje a

dokumentace související se správou elektronického nástroje.

Provozovatel musí vést dokumentaci zdrojového kódu, a to v případě, že

je oprávněn provádět změny v tomto zdrojovém kódu.



4.5 Požadavky na provádění změn elektronického nástroje



Pro provádění změn elektronického nástroje platí stejné požadavky jako

na vytváření elektronického nástroje.



Všechny změny elektronického nástroje musí být v souladu s

legislativními požadavky a požadavky tohoto standardu. Tyto změny musí

být identifikovatelné, musí být dokumentovány a schváleny odpovědnou

osobou před jejich realizací.



4.6 Požadavky na monitorování, měření a přezkoumávání provozu

elektronického nástroje



Provozovatel elektronického nástroje musí aplikovat vhodné metody

monitorování a podle okolností také měření stanovených provozních

parametrů elektronického nástroje.



Výsledky monitorování nebo měření musí být zaznamenány a analyzovány s

cílem identifikovat neshody a jejich příčiny. Provozovatel

elektronického nástroje musí neprodleně po zjištění neshody přijmout

účinná opatření k nápravě pro odstranění dopadu neshody a jejích

příčin. Po stanovené době musí provozovatel elektronického nástroje

přezkoumat, zda přijatá opatření byla účinná. Neshody a jejich příčiny,

přijatá opatření i přezkoumání účinnosti přijatých opatření musí být

dokumentováno.



1) Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých

dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších

předpisů.



2) Zákon č. 22/1997 Sb., o technických požadavcích na výrobky a o změně

a doplnění některých zákonů, ve znění pozdějších předpisů.