NÚKIB vydal metodiku pro bezpečnější zadávání ICT zakázek

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zveřejnil novou metodiku zaměřenou na zadávání veřejných zakázek v oblasti informačních a komunikačních technologií (ICT). Dokument má veřejným zadavatelům pomoci promítnout požadavky na kybernetickou bezpečnost do zadávacích řízení tak, aby současně respektovaly pravidla hospodářské soutěže.

Nová metodika vznikla ve spolupráci NÚKIB, Úřadu pro ochranu hospodářské soutěže (ÚOHS) a Asociace pro veřejné zakázky a propojuje pohled bezpečnostní regulace, zadavatelské praxe i ochrany trhu.

Materiál navazuje na dlouhodobou sérii výkladových dokumentů, které NÚKIB v oblasti kybernetické bezpečnosti průběžně vydává.

Bezpečnost už při přípravě zakázky

Metodika se soustředí především na přípravnou fázi veřejné zakázky. Právě zde by podle NÚKIB měli zadavatelé vycházet z vlastního procesu řízení rizik a výsledky této analýzy promítnout do zadávací dokumentace.

Důraz je kladen nejen na technické požadavky na pořizované řešení, ale také na kvalifikaci dodavatelů, jejich schopnost plnit bezpečnostní standardy a způsob hodnocení nabídek.

NÚKIB doporučuje, aby vedle ceny hrála významnou roli také kvalita řešení a úroveň zajištění kybernetické bezpečnosti.

Důležitá role smluv s dodavateli

Dokument se věnuje také nastavení smluvních podmínek mezi zadavatelem a dodavatelem ICT technologií nebo služeb. Podle metodiky by měla být odpovědnost za bezpečnost jasně definována po celou dobu životního cyklu řešení – od implementace přes provoz a údržbu až po ukončení služby.

NÚKIB upozorňuje, že vhodně nastavené smluvní mechanismy mohou organizacím pomoci efektivněji reagovat na bezpečnostní incidenty nebo změny v rizikovém prostředí.

Varování NÚKIB není automatický zákaz

Významná část metodiky se zaměřuje na praktickou aplikaci varování a dalších protiopatření vydávaných NÚKIB.

Samotné varování automaticky neznamená zákaz konkrétní technologie nebo dodavatele.

Naopak představuje vstupní informaci pro vlastní proces řízení rizik zadavatele. Teprve výsledky této analýzy by měly být promítnuty do technických podmínek zakázky, kvalifikačních požadavků, hodnoticích kritérií nebo smluvních ustanovení.

Metodika se věnuje také problematice:

• ochrany důvěrných informací,
• řízení dodavatelského řetězce,
• omezení účasti dodavatelů ze třetích zemí v případech odůvodněných požadavky kybernetické bezpečnosti.

Praktické vodítko pro zadavatele ICT zakázek

Součástí dokumentu je rovněž přehled relevantních rozhodnutí ÚOHS a správních soudů, která mohou zadavatelům pomoci při nastavování bezpečnostních požadavků v souladu se zákonem o zadávání veřejných zakázek.

Podle NÚKIB má nová metodika sloužit jako praktické vodítko pro zadavatele ICT zakázek, kteří při pořizování ICT řešení hledají rovnováhu mezi požadavky na kybernetickou bezpečnost a zachováním otevřené a férové hospodářské soutěže.

Pro koho je metodika určena?

Metodika je určena zejména zadavatelům, kteří jsou současně poskytovateli regulovaných služeb podle zákona o kybernetické bezpečnosti. Přínosná však může být i pro další zadavatele veřejných zakázek, kteří chtějí při pořizování ICT řešení zohledňovat kybernetická rizika a bezpečnostní požadavky.

V době rostoucího počtu kybernetických útoků a zpřísňujících se regulatorních požadavků nabízí dokument konkrétní doporučení, jak zohledňovat kybernetická rizika, posuzovat dodavatele a nastavovat smluvní podmínky, aniž by docházelo k porušování principů hospodářské soutěže.