Toto je část metodického dokumentu Podmínky pro atestační střediska a atestace dlouhodobého řízení

4 Požadavky na atestaci dlouhodobého řízení informačních systémů veřejné správy

Atestační středisko zveřejní atestační (obchodní) podmínky k provádění atestací dlouhodobého řízení informačních systémů veřejné správy vydané atestačním střediskem obsahující zejména vymezení předmětu atestace a postupy atestačního střediska při provádění atestací schválené DIA, každou jejich změnu, odejmutí pověření k provádění atestací nebo zrušení rozhodnutí o schválení postupů atestačního střediska ve své provozovně. Atestační středisko zveřejní výše uvedené dokumenty způsobem umožňujícím dálkový přístup do 7 pracovních dnů od vydání příslušného rozhodnutí DIA.

4.1 Podmínky pro realizaci atestačního řízení

4.1.1 Rozsah atestačního řízení

1. Minimální rozsah každé atestace dlouhodobého řízení informačních systémů veřejné správy dle kapitoly 4.1.2 je stanoven na dva auditodny pro posouzení předložené dokumentace a jeden den pro posouzení informací předaných DIA v rámci poskytované součinnosti.
2. Atestační středisko stanoví písemný postup pro výpočet doby trvání atestace v závislosti na rozsahu předaných podkladů od orgánu veřejné správy k atestaci.
3. Na počet zaměstnanců orgánu veřejné správy dedikovaných k provedení atestace nebude brán zřetel.
4. Inspektor musí provést atestační řízení postupem stanoveným body 4.2 až 4.5.

4.1.2 Průběh atestačního řízení

1. Každé atestační řízení bude prováděno dvoustupňově.
   1. V prvním stupni inspektor posoudí soulad předložené dokumentace s požadavky na informační koncepci a provozní dokumentaci a v případě identifikace neshod vydá zprávu, která bude obsahovat zjištěné nedostatky.
   2. Ve druhém stupni inspektor posoudí soulad předložené dokumentace od orgánu veřejné správy s předanými podklady od DIA, tj. reálný stav vůči deklarovanému stavu. Inspektor provede ověření všech informačních systémů veřejné správy a dalších informací, které žadatel uvedl v předložené dokumentaci, nebo které atestační středisko zjistilo v rámci poskytnuté součinnosti od DIA.

4.2 Žádost o atestaci

1. Žádost o atestaci zaslaná atestačnímu středisku je výzvou atestačnímu středisku k předložení smluvního návrhu žadateli ve smyslu § 6e odst. 2 zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů.
2. Atestačnímu středisku je na základě § 3 odst. 2 vyhlášky č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy, předkládána informační koncepce a provozní dokumentace. Rozsah provozní dokumentace předkládané při atestaci stanovuje § 13 vyhlášky č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy.
3. Atestační středisko provádí atestace na základě smlouvy uzavřené s žadatelem o atestaci za úplatu, přičemž atestační středisko navrhne uzavření smlouvy a provedení atestace každému, kdo jej způsobem stanoveným v atestačních podmínkách vyzve k uzavření smlouvy podle zveřejněných atestačních podmínek. Odchylky od atestačních podmínek lze pro jednotlivý případ sjednat jen tehdy, jestliže to atestační podmínky připouštějí a jestliže se těmito změnami nemění povaha nabízené atestační služby.
4. Atestačnímu středisku nevzniká povinnost navrhnout uzavření smlouvy o provedení atestace, jestliže jejím obsahem mají být také odchylky od atestačních podmínek.
5. Žádost o atestaci, tj. úmysl uzavřít s atestačním střediskem smluvní vztah, oznamuje žadatel přímo atestačnímu středisku dostupnou formou, zejména elektronicky nebo písemně.
6. Na základě žádosti o atestaci poskytne atestační středisko žadateli informace o nezbytných pokladech k uzavření smluvního vztahu, návrh ceny, seznam podkladů k atestačnímu řízení, specifikaci požadavků, informace o průběhu atestace a výstupech z atestace, případně další podmínky nebo informace nezbytné k zasmluvnění služby a provedení atestace.
7. Atestační středisko může vyzvat/vyzve žadatele k doplnění podkladů k uzavření smlouvy o provedení atestace, v případě, že jsou tyto podklady neúplné nebo obsahují nesprávné údaje.

4.3 Zahájení a realizace atestace

1. Atestační řízení je zahájeno neprodleně po uzavření smlouvy o provedení atestace, přičemž je podmíněno předáním podkladů k provedení atestace v rozsahu stanoveném vyhláškou č. 360/2023 Sb., o dlouhodobém řízení informačních systémů veřejné správy, a vyhláškou č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy, a k tomu akreditovaným postupem. Vlastní atestace probíhá v souladu s podmínkami dle smlouvy o provedení atestace, oboustranně schváleného časového harmonogramu atestace, atestačních podmínek a postupů a těchto pravidel.
2. Atestace je prováděna podle akreditovaného a schváleného postupu pro provádění atestací v souladu s těmito pravidly.
3. Atestační středisko musí při svém hodnocení zohlednit informace poskytnuté v rámci součinnosti DIA.
4. Výstupem z atestace je vždy Atestační protokol a v případě úspěšného splnění všech požadavků je výstupem Atestační protokol a Atest.
5. Výstupy z atestace budou obsahovat informaci, že další atestace musí proběhnout nejpozději do doby stanovené v Atestu, nejpozději však za 5 let.
6. Atestační středisko stanoví dobu, za kterou musí proběhnout opětovně atestace na dobu kratší než 5 let v případě, že:
   1. Atest je vydán dle § 6 odst. 3 vyhlášky č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy, s výhradou. V takovém případě může být atest udělen nejdéle na 2 roky.
   2. Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. připojeny své informační systém veřejné správy na referenční rozhraní veřejné správy pro účely vazeb na informační systémy veřejné správy jiného orgánu veřejné správy. V takovém případě může být atest udělen nejdéle na 2 roky.
   3. Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. zajištěnou identifikaci a autentizaci fyzických osob, u kterých se vyžaduje prokázání totožnosti pomocí kvalifikovaného systému. V takovém případě může být atest udělen nejdéle na 2 roky.
   4. Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. zajištěnou vazbu svých informačních systémů veřejné správy na informační systémy veřejné správy jiného orgánu veřejné správy prostřednictvím centrálního místa služeb. V takovém případě může být atest udělen nejdéle na 2 roky.
   5. Atestovaný orgán veřejné správy nemá dle jím dodaných podkladů 4.2. B a podkladů dodaných DIA v rámci součinnosti dle 3.2. souhlasná stanoviska odboru Hlavního architekta eGovernmentu DIA na projekty architektonických změn svých informačních systémů veřejné správy. V takovém případě může být atest udělen nejdéle na 2 roky.

4.4 Výkaznictví o udělených certifikátech shody

1. Atestační středisko vede seznam vydaných, ukončených a odňatých atestů. Atestační středisko oznámí elektronicky DIA vydání atestu, změnu jeho rozsahu, odnětí atestu shody nebo jakékoliv jiné relevantní skutečnosti nejpozději do 7 pracovních dnů ode dne nabytí účinnosti příslušného rozhodnutí. Součástí oznámení budou DIA předem stanovené strukturované informace o provedené atestaci.
2. Oznámení dle bodu 4.4. A. bude atestační středisko zasílat do datové schránky DIA, nebo jiným způsobem, na kterém se obě strany shodnou.