30. | Hlava VI včetně nadpisu zní: „Hlava VI Využívání cloud computingu orgány veřejné správy § 6i Působnost v oblasti využívání cloud computingu orgány veřejné správy a) | pověřuje osobu nebo jiné právní uspořádání, které jsou zřízené nebo založené státem a které splňují požadavky podle § 6m odst. 1, poskytováním cloud computingu orgánům veřejné správy (dále jen „poskytovatel státního cloud computingu“), | b) | schvaluje plán zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy, včetně rozpočtového výhledu na 5 let. |
a) | koordinuje využívání cloud computingu orgány veřejné správy, | b) | vydává metodické pokyny pro využívání cloud computingu orgány veřejné správy, | c) | zpracovává plán zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy, včetně rozpočtového výhledu na 5 let a předkládá ho vládě, | d) | navrhuje opatření k zajištění dlouhodobě udržitelného financování využívání cloud computingu orgány veřejné správy, | e) | kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n a kvalitu tohoto cloud computingu, | f) | spravuje informační systém cloud computingu pro orgány veřejné správy (dále jen „informační systém cloud computingu“), | g) | vede katalog cloud computingu pro orgány veřejné správy (dále jen „katalog cloud computingu“), | h) | vykonává působnost správního orgánu příslušného k uplatňování, regulaci a kontrole cen podle právního předpisu upravujícího ceny v případě cen za poskytování cloud computingu orgánům veřejné správy. |
(3) | Národní úřad pro kybernetickou a informační bezpečnost kontroluje, zda cloud computing poskytovaný orgánům veřejné správy splňuje požadavky podle § 6n, v případě, že je využíván k provozování informačního systému veřejné správy, který je informačním nebo komunikačním systémem kritické informační infrastruktury, významným informačním systémem nebo informačním systémem základní služby podle právního předpisu upravujícího kybernetickou bezpečnost. |
(4) | Orgán veřejné správy poskytne na žádost ministerstva podklady pro zpracování plánu zajištění potřebné kapacity pro poskytování cloud computingu poskytovatelem státního cloud computingu orgánům veřejné správy. |
§ 6j Informační systém cloud computingu (1) | Zřizuje se informační systém cloud computingu, který je informačním systémem veřejné správy sloužícím k podpoře řízení využívání cloud computingu orgány veřejné správy. |
(2) | Správcem informačního systému cloud computingu je ministerstvo. |
(3) | Správce informačního systému cloud computingu může prostřednictvím informačního systému cloud computingu poskytovat službu dynamického nákupního systému podle právního předpisu upravujícího zadávání veřejných zakázek. |
(4) | Správce informačního systému cloud computingu může prostřednictvím informačního systému cloud computingu poskytovat službu elektronického nástroje podle právního předpisu upravujícího zadávání veřejných zakázek. |
§ 6k Katalog cloud computingu (1) | Katalog cloud computingu je seznam, ve kterém se vedou údaje o poptávkách cloud computingu, poskytovatelích cloud computingu, nabídkách cloud computingu a o cloud computingu využívaném orgány veřejné správy. |
(2) | Údaji vedenými v katalogu cloud computingu o |
a) | poptávkách cloud computingu jsou |
1. | údaje identifikující poptávku cloud computingu, | 2. | údaje identifikující orgán veřejné správy, který cloud computing poptává, | 3. | údaje charakterizující poptávaný cloud computing, včetně údajů o základních parametrech poptávaného cloud computingu a požadované bezpečnostní úrovni, |
b) | poskytovatelích cloud computingu jsou údaje identifikující poskytovatele cloud computingu, | c) | nabídkách cloud computingu jsou |
1. | údaje identifikující nabídku cloud computingu, | 2. | údaje identifikující poskytovatele cloud computingu, který cloud computing nabízí, | 3. | údaje charakterizující nabízený cloud computing, včetně údajů o základních parametrech nabízeného cloud computingu a jeho bezpečnostní úrovni a údaje o předpokládaném místu zpracování informací orgánu veřejné správy a předpokládané době, předpokládaném rozsahu a předpokládaném účelu zpracování informací orgánu veřejné správy v tomto místě, případně o tom, že nabízený cloud computing vyžaduje dlouhodobé uložení informací orgánu veřejné správy mimo území Evropské unie, |
d) | využívaném cloud computingu jsou |
1. | údaje identifikující využívaný cloud computing, | 2. | údaje identifikující orgán veřejné správy, který cloud computing využívá, | 3. | údaje identifikující poskytovatele cloud computingu, který cloud computing poskytuje, | 4. | údaje charakterizující využívaný cloud computing, včetně údajů o základních parametrech využívaného cloud computingu, jeho bezpečnostní úrovni a finančním objemu nákladů vynaložených v souvislosti s využíváním cloud computingu. |
(3) | Údaje podle odstavce 2 jsou veřejné s výjimkou údajů charakterizujících poptávaný, nabízený nebo využívaný cloud computing, jejichž zveřejnění by mohlo ohrozit kybernetickou bezpečnost a které určí u konkrétního cloud computingu ministerstvo na základě požadavku orgánu veřejné správy, který cloud computing poptává nebo využívá. Po jejich vymazání z katalogu cloud computingu ministerstvo uchová údaje po dobu 5 let v informačním systému cloud computingu. |
(4) | Katalog cloud computingu je součástí informačního systému cloud computingu. |
§ 6l Základní pravidla využívání cloud computingu orgánem veřejné správy (1) | Orgán veřejné správy může využívat pouze cloud computing, který splňuje požadavky podle § 6n a je poskytovaný |
a) | poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu na základě nabídky cloud computingu tohoto poskytovatele zapsané v okamžiku jejího přijetí orgánem veřejné správy v katalogu cloud computingu, | b) | v rámci vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo | c) | v rámci obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek. |
(2) | Přestane-li cloud computing využívaný orgánem veřejné správy splňovat podmínky podle odstavce 1, orgán veřejné správy ukončí jeho využívání nejpozději do 12 měsíců ode dne, kdy se o této skutečnosti dozvěděl. |
(3) | Orgán veřejné správy využívá cloud computing poskytovaný poskytovatelem cloud computingu na základě písemné smlouvy o poskytování cloud computingu orgánu veřejné správy. |
(4) | Odstavce 1 až 3 se nepoužijí v případě cloud computingu, který slouží výlučně |
a) | ke správě a řešení technických potíží nebo diagnostice programových anebo technických prostředků, případně k zabezpečení nebo přenosu s tím souvisejících signálů, | b) | ke správě nebo využívání prostředků pro elektronickou identifikaci využívajících vícefaktorové autentizace, | c) | k aktualizaci nebo opravě programového prostředku, nebo | d) | ke shromažďování nebo výměně provozních údajů, | e) | ke zkušebnímu provozu informačního systému veřejné správy, pokud při něm nebudou využity údaje, které se v informačním systému veřejné správy vedou nebo povedou anebo které jsou nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány. |
(5) | Je-li poskytování cloud computingu poskytovatelem státního cloud computingu závislé na využití cloud computingu jiného poskytovatele cloud computingu, použijí se na toto využití ustanovení tohoto zákona o využívání cloud computingu orgány veřejné správy. |
§ 6m Požadavky na poskytovatele cloud computingu poskytujícího cloud computing orgánu veřejné správy (1) | Poskytovatelem cloud computingu poskytujícím cloud computing orgánu veřejné správy může být pouze osoba nebo jiné právní uspořádání, které jsou |
a) | způsobilé zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy, | b) | bezúhonné v rozsahu bezúhonnosti požadované po kvalifikovaném správci kvalifikovaného systému elektronické identifikace, | c) | způsobilé pro poskytnutí cloud computingu orgánu veřejné správy z hlediska veřejného pořádku, bezpečnosti a dodržování práv třetích osob. |
(2) | Poskytovatelem cloud computingu poskytujícím orgánu veřejné správy cloud computing zařazený do nejvyšší bezpečnostní úrovně může být pouze poskytovatel státního cloud computingu. |
§ 6n Požadavky na cloud computing využívaný orgánem veřejné správy Orgán veřejné správy může využívat a poskytovatel cloud computingu může orgánu veřejné správy nebo poskytovateli státního cloud computingu poskytovat pouze cloud computing, a) | který umožňuje splnění požadavků kladených na informační systém veřejné správy informační koncepcí České republiky, | b) | který umožňuje dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy, | c) | který umožňuje orgánu veřejné správy postupovat podle bezpečnostních pravidel pro orgány veřejné moci využívající služby cloud computingu podle právního předpisu upravujícího kybernetickou bezpečnost, | d) | jehož bezpečnostní úroveň je stejná nebo vyšší než bezpečnostní úroveň informačního systému veřejné správy nebo jeho části, k zajištění jehož provozu je využíván, | e) | který v případě, že je jeho poskytování závislé na jiném cloud computingu, je poskytovaný s využitím cloud computingu splňujícího požadavky podle písmen b) až d) a poskytovaného poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c), | f) | u něhož v případě, že je jeho poskytování závislé na více poskytovatelích cloud computingu, je každý poskytovatel cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu; část věty před středníkem se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c). |
§ 6o Zápis poptávky cloud computingu do katalogu cloud computingu (1) | Ministerstvo zapíše poptávku cloud computingu do katalogu cloud computingu na základě požadavku orgánu veřejné správy, který poptává poskytnutí cloud computingu, a to do 15 dnů ode dne uplatnění požadavku. Ministerstvo dále zapíše poptávku cloud computingu do katalogu cloud computingu na základě vlastního vyhodnocení potřeby využívání cloud computingu orgány veřejné správy. |
(2) | Orgán veřejné správy uplatňuje požadavek elektronicky ve strojově čitelném formátu. |
(3) | Orgán veřejné správy uvede v požadavku údaje o poptávce cloud computingu v rozsahu údajů, které se o poptávce cloud computingu vedou v katalogu cloud computingu. |
(4) | Orgán veřejné správy připojí k požadavku hodnocení ekonomické výhodnosti využití poptávaného cloud computingu. |
(5) | Odpovídá-li poptávka cloud computingu zapsaná v katalogu cloud computingu charakteristikou poptávaného cloud computingu jiné poptávce cloud computingu zapsané v katalogu cloud computingu, ministerstvo tyto poptávky sdruží. |
§ 6p Výmaz poptávky cloud computingu z katalogu cloud computingu (1) | Ministerstvo vymaže z katalogu cloud computingu poptávku cloud computingu, |
a) | o jejíž zápis do katalogu cloud computingu požádal orgán veřejné správy, na základě požadavku tohoto orgánu veřejné správy, a to do 15 dnů ode dne uplatnění požadavku, | b) | o jejíž zápis do katalogu cloud computingu požádal orgán veřejné správy, po uplynutí doby 1 roku ode dne, kdy byla poptávka cloud computingu do katalogu cloud computingu zapsána, | c) | o jejíž zápis do katalogu cloud computingu požádal orgán veřejné správy, na základě zápisu cloud computingu, který je předmětem poptávky cloud computingu, do katalogu cloud computingu podle § 6x, | d) | kterou zapsalo do katalogu cloud computingu podle § 6o odst. 1 věty druhé, na základě vlastního vyhodnocení potřeby využívání cloud computingu orgány veřejné správy. |
(2) | Ministerstvo vyrozumí prostřednictvím informačního systému cloud computingu orgán veřejné správy, na základě jehož požadavku byla poptávka cloud computingu do katalogu cloud computingu zapsána, o výmazu poptávky cloud computingu podle odstavce 1 písm. a) a b). |
Zápis poskytovatele cloud computingu do katalogu cloud computingu § 6q (1) | Ministerstvo rozhodne o zápisu poskytovatele cloud computingu do katalogu cloud computingu na základě jeho žádosti, splňuje-li poskytovatel cloud computingu požadavky podle § 6m odst. 1. O žádosti rozhodne ministerstvo do 45 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný. |
(2) | Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu poskytovatele cloud computingu do katalogu cloud computingu. O zápisu do katalogu cloud computingu ministerstvo vyrozumí poskytovatele cloud computingu, který o zápis požádal. |
(3) | Poskytovatel cloud computingu podává žádost elektronicky ve strojově čitelném formátu. |
(4) | Poskytovatel cloud computingu uvede v žádosti |
a) | údaje o sobě v rozsahu údajů, které se o poskytovateli cloud computingu vedou v katalogu cloud computingu, | b) | adresu svého sídla, má-li jej mimo území České republiky. |
(5) | Poskytovatel cloud computingu k žádosti připojí |
a) | doklad vydaný orgánem státu, v němž má sídlo, obsahující identifikační údaje osob, které jsou jeho skutečným majitelem; část věty před středníkem se nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky, | b) | doklad o svých zkušenostech s poskytováním cloud computingu za posledních 5 let, | c) | doklad o tom, že splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost, | d) | doklad o své bezúhonnosti, nelze-li bezúhonnost potvrdit postupem podle § 12 zákona o Rejstříku trestů; ustanovení právního předpisu upravujícího elektronickou identifikaci o dokladech prokazujících bezúhonnost kvalifikovaného správce kvalifikovaného systému elektronické identifikace se použijí obdobně, | e) | doklad vydaný orgánem státu, v němž má sídlo, a doklad vydaný orgánem státu, na jehož území předpokládá dlouhodobé uložení informací orgánu veřejné správy, že nemá evidován nedoplatek vůči žádnému z orgánů těchto států; část věty před středníkem se ve vztahu k dokladu vydanému orgánem státu, v němž má poskytovatel cloud computingu sídlo, nepoužije, má-li poskytovatel cloud computingu sídlo na území České republiky. |
(6) | Nevydává-li orgán státu doklad podle odstavce 5 písm. a) nebo e), poskytovatel cloud computingu jej může nahradit čestným prohlášením. |
§ 6r (1) | Ministerstvo si vyžádá pro účely posouzení splnění požadavků podle § 6m odst. 1 písm. a) závazné stanovisko Národního úřadu pro kybernetickou a informační bezpečnost. Národní úřad pro kybernetickou a informační bezpečnost vydá závazné stanovisko do 3 měsíců od jeho vyžádání. |
(2) | Ministerstvo si vyžádá pro účely posouzení splnění požadavku podle § 6m odst. 1 písm. c) informace o tom, zda poskytovatel cloud computingu nemá evidovaný nedoplatek u |
a) | orgánu Finanční správy České republiky, | b) | orgánu Celní správy České republiky, | c) | orgánu sociálního zabezpečení na pojistném a na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti a | d) | zdravotní pojišťovny na pojistném a na penále na veřejné zdravotní pojištění. |
(3) | Pro rozsah údajů poskytnutých podle odstavce 2 se přiměřeně použijí ustanovení daňového řádu o rozsahu údajů v potvrzení o stavu osobního daňového účtu. Poskytnutí těchto údajů není porušením mlčenlivosti podle daňového řádu. |
(4) | Ministerstvo si vyžádá pro účely posouzení splnění požadavku podle § 6m odst. 1 písm. c) údaje o skutečném majiteli poskytovatele cloud computingu z evidence údajů o skutečných majitelích; pro tento účel umožní Ministerstvo spravedlnosti ministerstvu dálkový přístup k údajům o skutečném majiteli podle právního předpisu upravujícího veřejné rejstříky právnických a fyzických osob. |
(5) | Ministerstvo je oprávněno si vyžádat pro účely posouzení splnění požadavku podle § 6m odst. 1 písm. c) informace Národního úřadu pro kybernetickou a informační bezpečnost, Policie České republiky, zpravodajské služby nebo jiného orgánu. |
(6) | Po dobu od vyžádání vyjádření nebo informace podle odstavců 2, 4 a 5 do jejich poskytnutí lhůta podle § 6q odst. 1 neběží, nejdéle však po dobu 3 měsíců. |
(7) | Dokumenty týkající se posuzování splnění požadavků podle § 6m odst. 1, které obsahují utajované informace nebo jiné informace, na něž se vztahuje zákonem uložená nebo uznaná povinnost mlčenlivosti, se uchovávají odděleně mimo spis. |
§ 6s Výmaz poskytovatele cloud computingu z katalogu cloud computingu (1) | Ministerstvo rozhodne o výmazu poskytovatele cloud computingu z katalogu cloud computingu, |
a) | požádá-li o to poskytovatel cloud computingu, a to do 15 dnů ode dne podání žádosti, nebo | b) | zjistí-li, že poskytovatel cloud computingu přestal splňovat požadavek podle § 6m odst. 1 písm. a) a nezjednal-li nápravu ve lhůtě stanovené ministerstvem, která nesmí být kratší než 30 dnů, nebo zjistí-li, že poskytovatel cloud computingu přestal splňovat požadavek podle § 6m odst. 1 písm. b) nebo c). |
(2) | Proti rozhodnutí podle odstavce 1 není rozklad přípustný. |
(3) | Ministerstvo vyrozumí prostřednictvím informačního systému cloud computingu o výmazu poskytovatele cloud computingu z katalogu cloud computingu orgán veřejné správy, který využívá cloud computing tohoto poskytovatele cloud computingu; ve vyrozumění uvede datum výmazu a jeho důvody. |
(4) | Ustanovení § 6r se na výmaz poskytovatele cloud computingu z katalogu cloud computingu použijí obdobně. |
Zápis nabídky cloud computingu do katalogu cloud computingu § 6t (1) | Ministerstvo rozhodne o zápisu nabídky cloud computingu zařazeného do jiné než nejnižší bezpečnostní úrovně do katalogu cloud computingu na základě žádosti poskytovatele státního cloud computingu nebo poskytovatele cloud computingu zapsaného v katalogu cloud computingu, splňuje-li nabízený cloud computing požadavky podle § 6n písm. a), b), d) a f) a požadavek podle § 6n písm. e), pokud jde o požadavky podle § 6n písm. b) a d) a požadavek na poskytování podpůrného cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu. Ministerstvo rozhodne o zápisu nabídky cloud computingu zařazeného do nejnižší bezpečnostní úrovně do katalogu cloud computingu na základě žádosti poskytovatele podle věty první, splňuje-li nabízený cloud computing požadavky podle § 6n písm. a) a f) a požadavek podle § 6n písm. e), pokud jde o požadavek na poskytování podpůrného cloud computingu poskytovatelem státního cloud computingu nebo poskytovatelem cloud computingu zapsaným v katalogu cloud computingu. O žádosti podle vět první a druhé rozhodne ministerstvo do 30 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný. |
(2) | Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu nabídky cloud computingu do katalogu cloud computingu. Ministerstvo o zápisu do katalogu cloud computingu vyrozumí poskytovatele cloud computingu, který o zápis požádal. |
(3) | Poskytovatel cloud computingu podává žádost elektronicky ve strojově čitelném formátu. |
(4) | Poskytovatel cloud computingu může v žádosti uvést pouze jednu nabídku jednoho cloud computingu nebo jednu nabídku více cloud computingů zařazených do stejné bezpečnostní úrovně. |
(5) | Poskytovatel cloud computingu uvede v žádosti |
a) | údaje o nabídce cloud computingu v rozsahu údajů, které se o nabídce cloud computingu vedou v katalogu cloud computingu, | b) | údaj, zda je poskytování nabízeného cloud computingu závislé na využití jiného cloud computingu, identifikaci tohoto cloud computingu a jeho poskytovatele a popis využití jiného cloud computingu, včetně rozsahu využití, | c) | údaj, zda je poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu, identifikaci těchto poskytovatelů cloud computingu a popis jejich zapojení do poskytování nabízeného cloud computingu, včetně rozsahu zapojení. |
(6) | Poskytovatel cloud computingu k žádosti připojí |
a) | seznam svých dodavatelů, u kterých předpokládá zpracovávání informací orgánu veřejné správy, | b) | doklad o tom, že nabízený cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost, | c) | dokumentaci nabízeného cloud computingu, | d) | zprávu o provedení penetračního testu nabízeného cloud computingu, pokud je požadována právním předpisem upravujícím kybernetickou bezpečnost, | e) | plán zajištění kontinuity provozu nabízeného cloud computingu a plán na obnovu poskytování nabízeného cloud computingu po havárii, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost; namísto plánů lze připojit auditní zprávu osvědčující jejich existenci, | f) | doklad o zhodnocení zdrojů rizik nabízeného cloud computingu, pokud je požadován právním předpisem upravujícím kybernetickou bezpečnost, | g) | podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací nabízeným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost. |
(7) | Je-li poskytování nabízeného cloud computingu závislé na využití jiného cloud computingu a není-li jiný cloud computing ke dni podání žádosti předmětem nabídky cloud computingu zapsané v katalogu cloud computingu, poskytovatel cloud computingu k žádosti dále připojí |
a) | smlouvu s poskytovatelem cloud computingu, který poskytuje cloud computing, na jehož využití je závislé poskytování nabízeného cloud computingu, (dále jen „podpůrný cloud computing“), | b) | seznam dodavatelů poskytovatele podpůrného cloud computingu, u kterých poskytovatel podpůrného cloud computingu předpokládá zpracovávání informací orgánu veřejné správy, | c) | doklad o tom, že podpůrný cloud computing splňuje požadavky pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podpůrným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost, | d) | dokumentaci podpůrného cloud computingu, | e) | zprávu o provedení penetračního testu podpůrného cloud computingu, pokud je požadována právním předpisem upravujícím kybernetickou bezpečnost, | f) | plán zajištění kontinuity provozu podpůrného cloud comutingu a plán na obnovu poskytování podpůrného cloud computingu po havárii, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost; namísto plánů lze připojit auditní zprávu osvědčující jejich existenci, | g) | doklad o zhodnocení zdrojů rizik podpůrného cloud computingu, pokud je požadován právním předpisem upravujícím kybernetickou bezpečnost, | h) | podklady k ověření splnění požadavku na zajištění důvěrnosti, integrity a dostupnosti informací podpůrným cloud computingem, pokud jsou požadovány právním předpisem upravujícím kybernetickou bezpečnost. | (8) | Je-li poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu, poskytovatel cloud computingu k žádosti dále připojí | a) | smlouvu o poskytování nabízeného cloud computingu s těmito poskytovateli cloud computingu, | b) | seznam dodavatelů těchto poskytovatelů cloud computingu, u kterých tito poskytovatelé cloud computingu předpokládají zpracovávání informací orgánu veřejné správy. |
§ 6u (1) | Ministerstvo si vyžádá pro účely posouzení splnění požadavků podle § 6n písm. b) a e) závazné stanovisko Národního úřadu pro kybernetickou a informační bezpečnost; část věty před středníkem se nepoužije v případě žádosti o zápis nabídky cloud computingu zařazeného do nejnižší bezpečnostní úrovně. Národní úřad pro kybernetickou a informační bezpečnost vydá závazné stanovisko podle věty první do 30 dnů od jeho vyžádání. |
(2) | Ustanovení § 6r odst. 7 se na zápis nabídky cloud computingu do katalogu cloud computingu použije obdobně. |
§ 6v Aktualizace nabídky cloud computingu zapsané v katalogu cloud computingu (1) | Ministerstvo rozhodne o zápisu aktualizace nabídky cloud computingu zapsané v katalogu cloud computingu na základě žádosti poskytovatele cloud computingu, který požádal o její zápis do katalogu cloud computingu, je-li splněna podmínka podle odstavce 4. O žádosti rozhodne ministerstvo do 30 dnů ode dne jejího podání; proti rozhodnutí o žádosti není rozklad přípustný. |
(2) | Je-li žádosti v plném rozsahu vyhověno, písemné vyhotovení rozhodnutí se nevydává. Takové rozhodnutí nabývá právní moci dnem zápisu aktualizace nabídky cloud computingu do katalogu cloud computingu. O zápisu do katalogu cloud computingu ministerstvo vyrozumí poskytovatele cloud computingu, který o zápis požádal. |
(3) | Poskytovatel cloud computingu uvede v žádosti údaje o nabídce cloud computingu v rozsahu údajů, které se o nabídce cloud computingu vedou v katalogu cloud computingu a které jsou aktualizací dotčeny. Poskytovatel cloud computingu k žádosti připojí podklady podle § 6t odst. 6 až 8, v nichž jsou vyjádřeny skutečnosti, jež jsou aktualizací dotčeny. |
(4) | Podmínkou aktualizace nabídky cloud computingu zapsané v katalogu cloud computingu je, že |
a) | nabízený cloud computing bude po aktualizaci nadále splňovat podmínky pro zápis do katalogu cloud computingu, | b) | aktualizace se nedotýká údajů charakterizujících nabízený cloud computing s výjimkou objemu, rámcové ceny nebo názvu konkrétní cloudové služby. |
(5) | Ustanovení § 6r odst. 7 a § 6u odst. 1 se na aktualizaci nabídky cloud computingu zapsané v katalogu cloud computingu použijí obdobně. |
§ 6w Výmaz nabídky cloud computingu z katalogu cloud computingu (1) | Ministerstvo rozhodne o výmazu nabídky cloud computingu z katalogu cloud computingu, |
a) | požádá-li o výmaz poskytovatel cloud computingu, o jehož nabídku se jedná, a to do 15 dnů ode dne podání žádosti, | b) | zjistí-li, že nabízený cloud computing přestal splňovat požadavky podle § 6n a nezjednal-li poskytovatel cloud computingu nápravu ve lhůtě stanovené ministerstvem, která nesmí být kratší než 15 dnů, | c) | uplyne-li doba 3 let ode dne, kdy byla nabídka cloud computingu do katalogu cloud computingu zapsána, pokud poskytovatel cloud computingu nepotvrdil ministerstvu, že nabídka cloud computingu je stále platná, nebo uplyne-li doba 3 let ode dne, kdy poskytovatel cloud computingu naposledy potvrdil ministerstvu, že nabídka cloud computingu je stále platná; ministerstvo vyzve prostřednictvím informačního systému cloud computingu poskytovatele cloud computingu, aby potvrdil platnost nabídky cloud computingu po uplynutí doby 30 měsíců ode dne, kdy byla nabídka cloud computingu do katalogu cloud computingu zapsána, a dále vždy po uplynutí doby 30 měsíců ode dne, kdy mu poskytovatel cloud computingu potvrdil, že nabídka cloud computingu je stále platná, | d) | o jejíž zápis do katalogu cloud computingu požádal poskytovatel cloud computingu, u něhož došlo k výmazu z katalogu cloud computingu, a to současně s výmazem poskytovatele cloud computingu; je-li poskytování nabízeného cloud computingu závislé na více poskytovatelích cloud computingu zapsaných do katalogu cloud computingu, postačí výmaz kteréhokoliv z těchto poskytovatelů cloud computingu, | e) | o jejíž zápis do katalogu cloud computingu požádal poskytovatel cloud computingu, a u níž došlo k výmazu poskytovatele podpůrného cloud computingu z katalogu cloud computingu, a to současně s výmazem poskytovatele podpůrného cloud computingu. |
(2) | Týká-li se žádost o výmaz nabídky cloud computingu podle odstavce 1 písm. a), zjištění podle odstavce 1 písm. b) nebo potvrzení platnosti nabídky cloud computingu podle odstavce 1 písm. c) nabídky cloud computingu obsahující více cloud computingů zařazených do stejné bezpečnostní úrovně, ministerstvo vymaže z katalogu cloud computingu u nabídky cloud computingu pouze cloud computing, jehož se žádost, zjištění nebo potvrzení platnosti týká. |
(3) | Proti rozhodnutí podle odstavce 1 není rozklad přípustný. |
(4) | Ministerstvo vyrozumí prostřednictvím informačního systému cloud computingu o výmazu nabídky cloud computingu nebo její části z katalogu cloud computingu orgán veřejné správy, který využívá cloud computing, který je předmětem nabídky; ve vyrozumění uvede datum výmazu a jeho důvody. |
(5) | Ustanovení § 6r odst. 7 se na výmaz nabídky cloud computingu nebo její části z katalogu cloud computingu použije obdobně. |
§ 6x Zápis využívaného cloud computingu do katalogu cloud computingu Orgán veřejné správy zapíše cloud computing, který využívá, do katalogu cloud computingu, a to do 45 dnů ode dne nabytí platnosti smlouvy o poskytnutí cloud computingu. Věta první se nepoužije v případě cloud computingu poskytovaného podle § 6l odst. 1 písm. c). § 6y Poskytování informací a podkladů týkajících se poskytovatelů cloud computingu, nabídky cloud computingu nebo využívaného cloud computingu (1) | Dojde-li v době, kdy je cloud computing předmětem nabídky cloud computingu zapsané v katalogu cloud computingu nebo kdy je poskytován orgánu veřejné správy, ke změně údajů vedených v katalogu cloud computingu, které poskytuje poskytovatel cloud computingu, anebo skutečností vyjádřených v podkladech podle § 6q odst. 5 nebo § 6t odst. 6 až 8, poskytovatel cloud computingu o této změně bezodkladně vyrozumí ministerstvo a současně mu předloží aktuální podklady. |
(2) | Poskytovatel cloud computingu předkládá po dobu, kdy je cloud computing předmětem nabídky cloud computingu zapsané v katalogu cloud computingu nebo kdy je poskytován orgánu veřejné správy, v intervalech stanovených prováděcím právním předpisem ministerstvu doklady o splnění požadavku pro certifikaci nebo audit pro oblast ochrany důvěrnosti, integrity a dostupnosti informací podle § 6q odst. 5 písm. c), § 6t odst. 6 písm. b) a § 6t odst. 7 písm. c) a zprávu o provedení penetračního testu podle § 6t odst. 6 písm. d) a § 6t odst. 7 písm. e). |
(3) | Orgán veřejné správy zapíše do katalogu cloud computingu vždy do 3 měsíců od skončení rozpočtového období údaje o finančním objemu nákladů vynaložených v souvislosti s využívaním cloud computingu za uplynulé rozpočtové období za každý informační systém veřejné správy, pro který orgán veřejné správy využívá nebo využíval cloud computing. |
§ 6z Výmaz využívaného cloud computingu z katalogu cloud computingu Orgán veřejné správy vymaže cloud computing, jehož využívání ukončil, z katalogu cloud computingu, a to do 45 dnů ode dne pozbytí platnosti smlouvy o poskytnutí cloud computingu.“. |