360/2023 Sb. znění účinné od 1. 7. 2024

360

VYHLÁŠKA

ze dne 7. prosince 2023

o dlouhodobém řízení informačních systémů veřejné správy

Digitální a informační agentura stanoví podle § 12 odst. 1 písm. a) až c) zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění zákona č. 261/2021 Sb. a zákona č. 471/2022 Sb., k provedení § 5 odst. 2 písm. j) a k), § 5a odst. 2 až 4 a § 6o odst. 4 tohoto zákona:

Část první

Úvodní ustanovení (§ 1-2)

§ 1

Předmět úpravy

Tato vyhláška stanoví

a)	požadavky na strukturu a náležitosti informační koncepce orgánu veřejné správy a postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování,
b)	požadavky na řízení informačních systémů veřejné správy (dále jen „informační systém“) a dekomponování informačních systémů,
c)	technické požadavky na informační systémy,
d)	pravidla pro strukturování dat v informačních systémech,
e)	požadavky na strukturu a náležitosti hodnocení ekonomické výhodnosti způsobu provozu informačních systémů, hodnocení ekonomické výhodnosti provozu informačních systémů a hodnocení ekonomické výhodnosti využití poptávaného cloud computingu a postup při jejich provádění a
f)	požadavky na strukturu a náležitosti provozní dokumentace a na rozsah provozní dokumentace předkládané při atestaci.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

řízením informatiky činnost související s vytvářením, správou, provozováním, užíváním a rozvojem informačních systémů,

architekturou orgánu veřejné správy použití metody architektury úřadu na orgán veřejné správy jako celek,

metodou architektury úřadu poznání a popis celkové struktury a chování úřadu jakožto systému, který je vyjádřen výčtem jeho prvků, klíčových vlastností těchto prvků, vazeb mezi nimi, klíčových vazeb těchto prvků na okolí, a který je zároveň vyjádřen principy navržení a budoucího vývoje tohoto systému,

metodou architektury řešení poznání a popis architektury informačního systému vypovídající o tom, jak tento informační systém naplňuje požadavky na něj kladené,

centrální sdílenou službou služba informačního systému poskytovaná prostřednictvím informačního systému, který je spravovaný ústředním správním úřadem, a který je určený k poskytování služeb těm informačním systémům, které spravují jiní správci,

komponentou část informačního systému, která je jednoznačně oddělitelná od jiných částí informačního systému a zabezpečuje cílevědomou a systematickou informační činnost,

otevřeným zdrojovým kódem eGovernmentu zdrojový kód komponenty určený pro další využití jiným orgánem veřejné správy,

prostředím informačního systému výskyt sady jeho komponent splňující určitý účel v rámci životního cyklu informačního systému,

produkčním prostředím prostředí, v rámci kterého je provozován informační systém ve fázi produkčního provozu a zkušebního provozu,

produkčním provozem provoz, při kterém jsou poskytovány služby informačního systému, s výjimkou zkušebního provozu,

produkčním údajem

1.	údaj, jehož vedení v informačním systému je důvodem vytvoření informačního systému a
2.	údaj zajišťující integritu, důvěrnost a dostupnost údaje podle bodu 1,

sdíleným prvkem technologické a komunikační infrastruktury orgánu veřejné správy součást informačního systému, která je sdílena alespoň s jedním dalším informačním systémem,

etapou životního cyklu informačního systému nebo jeho části období mezi dvěma okamžiky uvedení do produktivního provozu nové nebo výrazně obměněné sady služeb tohoto systému,

fází životního cyklu informačního systému nebo jeho části část etapy životního cyklu, která má od jiných částí etapy odlišný účel, metody, činnosti a výstupy.

Část druhá

Dlouhodobé řízení informačních systémů (§ 3-30)

Hlava I

Informační koncepce orgánu veřejné správy (§ 3-4)

§ 3

Struktura a náležitosti informační koncepce orgánu veřejné správy

(1)

Informační koncepci orgánu veřejné správy tvoří

a)	plán rozvoje informačních systémů orgánu veřejné správy,
b)	plán řízení informatiky a
c)	dokumentace o správě informační koncepce orgánu veřejné správy.

(2)

Plán rozvoje informačních systémů orgánu veřejné správy obsahuje

a)	popis stávajícího stavu architektury orgánu veřejné správy,
b)	popis důvodů pro změny architektury orgánu veřejné správy,
c)	navržený cílový stav architektury orgánu veřejné správy a
d)	plán realizace změn informačních systémů orgánu veřejné správy․

(3)

Plán řízení informatiky obsahuje

a)	popis stávajícího stavu řízení informatiky,
b)	popis důvodů pro změny řízení informatiky,
c)	navržený cílový stav řízení informatiky a
d)	plán realizace změn pro dosažení cílového stavu řízení informatiky.

(4)

Dokumentace o správě informační koncepce orgánu veřejné správy obsahuje

a)	dobu platnosti informační koncepce orgánu veřejné správy,
b)	postupy při vyhodnocování dodržování informační koncepce orgánu veřejné správy,
c)	postupy při provádění změn informační koncepce orgánu veřejné správy a
d)	změnové listy, kterými byla informační koncepce orgánu veřejné správy změněna.

§ 4

Vydávání a vyhodnocování dodržování informační koncepce orgánu veřejné správy

(1)

Orgán veřejné správy vydává informační koncepci orgánu veřejné správy na období 5 let.

(2)

Orgán veřejné správy uvádí informační koncepci orgánu veřejné správy do souladu se skutečným stavem, a to nejpozději do 6 měsíců ode dne, kdy informační koncepce orgánu veřejné správy přestala odpovídat skutečnému stavu.

(3)

Orgán veřejné správy uvádí informační koncepci orgánu veřejné správy do souladu se skutečným stavem

a)	změnovými listy, které obsahují části informační koncepce orgánu veřejné správy, které jsou měněny, nebo
b)	vydáním nové informační koncepce orgánu veřejné správy.

(4)

Orgán veřejné správy zveřejňuje informační koncepci orgánu veřejné správy způsobem umožňujícím dálkový přístup.

(5)

Orgán veřejné správy provádí vyhodnocení dodržování informační koncepce orgánu veřejné správy alespoň jednou za 2 roky ode dne jejího vydání nebo změny.

Hlava II

Řízení informatiky (§ 5-10)

§ 5

Oblasti řízení informatiky

Oblastmi řízení informatiky jsou

a)	strategie, plánování a organizace informatiky,
b)	pořizování a změny informačních systémů,
c)	provozování informačních systémů,
d)	poskytování služeb informačních systémů a
e)	útlum, konzervace a ukončování informačních systémů.

§ 6

Strategie, plánování a organizace řízení informatiky

Orgán veřejné správy v oblasti strategie, plánování a organizace řízení informatiky

a)	zavádí a uplatňuje strategické řízení informatiky,
b)	plánuje a v porovnání s plánem vyhodnocuje činnosti informatiky, zejména pořízení, změny a provoz informačních systémů,
c)	určí útvar pověřený řízením informatiky a blíže vymezuje jeho úkoly a
d)	nastavuje a udržuje procesy řízení informatiky a zajišťuje k tomu potřebné nástroje.

§ 7

Pořízení a změny informačních systémů

Orgán veřejné správy v oblasti pořízení a změn informačních systémů

a)	zajišťuje zdroje potřebné pro pořízení nebo změny informačních systémů,
b)	identifikuje požadavky na informační systémy a podmínky jejich zajištění,
c)	vyhodnocuje a v případě potřeby zajišťuje podmínky pro vytvoření ověřovacích konceptů sloužících pro ověření realizovatelnosti pořízení nebo změn informačních systémů,
d)	zajišťuje řízení programů a projektů potřebných pro pořízení a změny informačních systémů,
e)	zajišťuje řízení změn informačního systému na organizační a procesní úrovni a
f)	vyhodnocuje využitelnost existujících řešení a komponent s otevřeným zdrojovým kódem eGovernmentu pro jím spravované informační systémy.

§ 8

Provoz informačních systémů

(1)

Orgán veřejné správy v oblasti provozu informačních systémů

a)	nastavuje systém řízení provozu informačních systémů,
b)	sleduje klíčové parametry provozu informačních systémů,
c)	zajišťuje správu zdrojů potřebných pro uspokojení servisních požadavků, řešení provozních incidentů a provoz informačních systémů,
d)	zajišťuje řízení kontinuity provozu informačních systémů,
e)	zajišťuje řízení bezpečnosti provozu informačních systémů a
f)	vyhodnocuje možnost využití centrálních sdílených služeb poskytovaných jinými orgány veřejné správy.

(2)

Orgán veřejné správy na své internetové adrese užívá doménového jména třetí nebo nižší úrovně v doméně .gov.cz, je-li orgán veřejné správy státním orgánem. Doménu .gov.cz nemusí orgán veřejné správy, který je státním orgánem, užívat, zajistí-li následné přesměrování na internetovou adresu užívající doménu .gov.cz.

§ 9

Poskytování služeb informačních systémů

(1)	Orgán veřejné správy v oblasti poskytování služeb informačních systémů stanovuje závazné parametry služeb poskytovaných informačními systémy, vyhodnocuje jejich plnění a dává pokyny k nápravě.
(2)	Orgán veřejné správy zveřejňuje závazné parametry podle odstavce 1 a vyhodnocuje jejich plnění na základě informací získaných z činnosti podle odstavce 1 způsobem umožňujícím dálkový přístup.

§ 10

Útlum, konzervace a ukončení informačních systémů

Orgán veřejné správy v oblasti útlumu, konzervace a ukončení informačních systémů vytváří a průběžně aktualizuje strategii ukončování provozu informačních systémů.

Hlava III

Provozní dokumentace (§ 11-13)

§ 11

Struktura provozní dokumentace

(1)

Provozní dokumentaci každé etapy životního cyklu informačního systému tvoří sady dokumentací

a)	plánování vytvoření a rozvoje informačního systému,
b)	zadání a smluv pro vytvoření a rozvoj informačního systému,
c)	stavu informačního systému při uvedení do produkčního provozu po jeho vytvoření nebo rozvoji,
d)	plánu a zajišťování provozu,
e)	změn informačního systému a
f)	hodnocení informačního systému, včetně hodnocení ekonomické výhodnosti.

(2)

Orgán veřejné správy může zpracovat jednu provozní dokumentaci pro více informačních systémů, a to za předpokladu, že postupy pro vytvoření, správu, provoz, užívání a rozvoj těchto informačních systémů jsou shodné, nebo v příslušné fázi životního cyklu společné. V takovém případě uvede do provozní dokumentace informaci o tom, pro které informační systémy je provozní dokumentace společná.

(3)

Orgán veřejné správy zveřejňuje sady dokumentací podle odstavce 1 způsobem umožňujícím dálkový přístup; to neplatí, jestliže zveřejnění vylučuje jiný právní předpis¹ nebo úkon anebo právní jednání vyžadované nebo umožněné takovým právním předpisem.

(4)

Správce informačního systému zařadí dokumenty provozní dokumentace do typového spisu a jako identifikátor typového spisu použije přidělený identifikátor informačního systému. Typový spis se člení na součásti typového spisu, které jsou tvořeny sadami dokumentací podle odstavce 1. Součásti typového spisu jsou členěny na díly, do kterých jsou vkládány spisy provozní dokumentace za stanovené časové období; po uplynutí tohoto období se díly uzavírají. Je-li zpracována jedna provozní dokumentace pro více informačních systémů podle odstavce 2, zakládá se do typového spisu pouze jednou, ve spisech ostatních informačních systémů je uveden odkaz na typový spis, ve kterém je založena.

§ 12

Náležitosti provozní dokumentace

(1)

Provozní dokumentace obsahuje

a)	charakteristiku informačního systému,
b)	popis architektury informačního systému,
c)	podrobný popis informačního systému,
d)	bezpečnostní dokumentaci,
e)	provozní řád,
f)	postupy a procesy související s provozem informačního systému,
g)	protokoly související s provozem informačního systému a
h)	smluvní a licenční dokumentaci.

(2)

Charakteristika informačního systému obsahuje alespoň

a)	odkaz na záznam v rejstříku informačních systémů veřejné správy a soukromoprávních systémů pro využívání údajů, v němž jsou údaje o informačním systému vedeny,
b)	vlivy působící na informační systém a z nich plynoucí předpokládané změny a cíle informačního systému,
c)	přehled dekomponování informačního systému na komponenty s uvedením vyhodnocené bezpečnostní úrovně informačního systému a jeho jednotlivých komponent a
d)	přehled ukazatelů hodnocení ekonomické výhodnosti provozu a způsobu provozu informačního systému.

(3)

Popis architektury informačního systému obsahuje alespoň dokumentaci na úrovni podrobnosti metody architektury úřadu a metody architektury řešení.

(4)

Podrobný popis informačního systému obsahuje alespoň

a)	požadavky kladené na informační systém při jeho vytvoření nebo rozvoji,
b)	výčet komponent a sdílených prvků technologické a komunikační infrastruktury, které jsou nutné pro provoz informačního systému,
c)	popis programových rozhraní,
d)	popis připravovaných a realizovaných změn informačního systému,
e)	výčet komponent informačního systému, jejich vzájemných vazeb a vazeb na jiné informační systémy,
f)	přehled dostupných funkcí a poskytovaných služeb informačního systému,
g)	přehled evidovaných údajů a jejich strukturu,
h)	přehled zjištěných závad a provedených oprav informačního systému a
i)	dobu plánované životnosti informačního systému.

(5)

Orgán veřejné správy, kterému nejsou uloženy povinnosti v oblasti kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost, stanovuje v bezpečnostní dokumentaci alespoň postupy pro

a)	hodnocení dopadů narušení dostupnosti, důvěrnosti a integrity informací v informačním systému,
b)	způsob řešení a reakce na bezpečnostní události a bezpečnostní incidenty, sběr a vyhodnocování kybernetických bezpečnostních událostí a incidentů,
c)	zajištění provozu informačních systémů a bezpečnosti informací v informačních systémech,
d)	rozvoj bezpečnostního povědomí a způsob jeho kontroly,
e)	zajištění bezpečnosti komunikační sítě a
f)	zajištění řízení kontinuity činností.

(6)

Provozní řád obsahuje alespoň

a)	provozní dobu informačního systému,
b)	parametry poskytovaných služeb informačního systému,
c)	informace o uživatelské podpoře,
d)	pravidla pro odstávky informačního systému,
e)	pravidla pro zamezení neúměrného provozního zatížení a nesprávného používání informačního systému nebo jeho služeb a
f)	podmínky pro připojení ke službám informačního systému.

§ 13

Rozsah provozní dokumentace předkládané při atestaci

Orgán veřejné správy při atestaci předkládá provozní dokumentaci v rozsahu náležitostí podle § 12 odst. 1 písm. a) až h).

Hlava IV

Řízení životního cyklu informačního systému (§ 14-21)

§ 14

Organizace řízení životního cyklu informačního systému

(1)

Orgán veřejné správy určuje pro řízení každého informačního systému věcného správce a technického správce.

(2)

Věcný správce stanovuje požadavky na služby informačního systému a poskytování služeb informačního systému splňujících tyto požadavky.

(3)

Technický správce zajišťuje

návrh a realizaci informačního systému z hlediska splňování

požadavků na služby informačního systému podle odstavce 2 a

požadavků na technické a programové prostředky kladených na ně právními předpisy upravujícími informační nebo komunikační technologie, informační koncepcí orgánu veřejné správy a provozní dokumentací, a jde-li o informační systém spravovaný orgánem veřejné správy, pro nějž jsou závazná usnesení vlády, rovněž informační koncepcí České republiky a jinými usneseními vlády týkajícími se informačních nebo komunikačních technologií,

zpracování provozní dokumentace a její aktuálnost.

§ 15

Fáze životního cyklu informačního systému

Fázemi životního cyklu informačního systému jsou

a)	strategické plánování vytvoření a rozvoje informačního systému,
b)	plánování a příprava vytvoření a rozvoje informačního systému,
c)	realizace vytvoření a rozvoje informačního systému,
d)	produkční provoz informačního systému,
e)	vyhodnocení životního cyklu informačního systému a
f)	ukončení životního cyklu informačního systému.

§ 16

Strategické plánování vytvoření a rozvoje informačního systému

(1)

Věcný správce ve fázi strategického plánování vytvoření a rozvoje informačního systému

a)	identifikuje motivace k vytvoření nebo rozvoji informačního systému, porovná je se stávajícím stavem architektury orgánu veřejné správy a prostřednictvím aktualizace informační koncepce orgánu veřejné správy provede strategické naplánování vytvoření nebo rozvoje tohoto systému,
b)	v návaznosti na plán v informační koncepci orgánu veřejné správy vypracuje a schválí investiční záměr a v případě určeného informačního systému obdrží souhlasné vyjádření Digitální a informační agentury a
c)	stanoví cíle, kterých chce dosáhnout vytvořením nebo rozvojem informačního systému nebo se odkáže na platné strategické cíle orgánu veřejné správy nebo cíle České republiky, jejichž splnění bude podpořeno plánovaným informačním systémem.

§ 17

Plánování a příprava vytvoření a rozvoje informačního systému

(1)

Věcný správce ve fázi plánování a přípravy vytvoření a rozvoje informačního systému

a)	identifikuje a stanovuje požadavky na služby informačního systému, zpracování informací a bezpečnostní úrovně informačního systému,
b)	vyhodnocuje a schvaluje řešení informačního systému podle předložených variant řešení informačního systému,
c)	plánuje zajištění zdrojů potřebných pro plánování a přípravu vytvoření a rozvoje informačního systému,
d)	identifikuje požadavky na zpracování datového výstupu určeného k dlouhodobému uchovávání,
e)	schvaluje plán ukončení provozu informačního systému a
f)	zajišťuje vypracování studie proveditelnosti k posouzení možných variant nebo zjištění podmínek pro realizovatelnost nových nebo významně měněných informačních systémů.

(2)

Technický správce ve fázi plánování a přípravy vytvoření a rozvoje informačního systému

a)	zpracovává a předkládá varianty řešení informačního systému podle požadavku věcného správce, přičemž posuzuje možnost využití stávajících infomačních systémů,
b)	zpracovává architekturu informačního systému na úrovni podrobnosti metody architektury úřadu a metody architektury řešení a specifikace možných řešení,
c)	využívá výstupů provedených ověřovacích konceptů potřebných pro pořizování nebo změnu informačního systému,
d)	vytváří plán ukončení provozu informačního systému a
e)	vytváří plán uchovávání dat.

§ 18

Realizace vytvoření a rozvoj informačního systému

(1)

Věcný správce ve fázi realizace vytvoření a rozvoje informačního systému

a)	zajišťuje zdroje potřebné k realizaci vytvoření nebo rozvoji informačního systému,
b)	stanovuje rozsah a formát datového výstupu k dlouhodobému uchovávání a
c)	stanovuje uživatelské role, náplň vykonávaných činností a přístupová oprávnění.

(2)

Technický správce ve fázi realizace vytvoření a rozvoje informačního systému zajišťuje

a)	pořízení nebo technické zhodnocení informačního systému splňujícího požadavky kladené na jeho služby,
b)	splnění požadavků kladených na provoz informačního systému,
c)	zveřejnění zdrojového kódu vytvořeného během projektu v rozsahu, v jakém jej nemůže být zneužito k narušení nebo zničení informačního systému,
d)	řízení změn informačního systému,
e)	řízení kontinuity provozu informačního systému a
f)	zřízení podpory uživatelům informačního systému.

(3)

Technický správce ve fázi realizace vytvoření a rozvoje informačního systému zajišťuje, aby projekt, jehož součástí je dodávka více než jedné komponenty, byl rozdělen na dílčí plnění obsahující dodávku jednotlivých komponent. Činí tak způsobem, aby bylo možné po dodávce každé komponenty projekt ukončit, pokud ztratil své původní opodstatnění.

(4)

Technický správce ve fázi realizace vytvoření a rozvoje informačního systému při zahajování provozu informačního systému s využitím jeho zkušebního provozu

zajišťuje akceptaci produkčního prostředí informačního systému, akceptační protokoly, seznam chyb a postup jejich odstranění,

provádí testy

1.	výkonu,
2.	reakcí na poruchy a přetížení a
3.	integrace a kvality poskytovaných služeb,

provádí testy mechanismů

1.	k zajištění integrity dat a procesů jejich zpracování,
2.	detekce chyb, jejich ohlášení a postupu nápravy,
3.	detekce škodlivého programového prostředku a škodlivé komunikace a
4.	hlášení a předcházení výskytu škodlivého programového prostředku nebo škodlivé komunikace,

zajišťuje kontrolu a upřesnění plánu ukončení provozu předchozího informačního systému,

vytváří a předává zkušební datový výstup k dlouhodobému uchovávání.

(5)

Věcný správce při dokončení fáze vytvoření a rozvoje informačního systému

a)	školí budoucí uživatele informačního systému a
b)	identifikuje vady informačního systému a zajišťuje jejich odstranění.

(6)

Technický správce při dokončení fáze vytvoření a rozvoje informačního systému

a)	zajišťuje provoz produkčního prostředí informačního systému,
b)	identifikuje vady informačního systému a zajišťuje jejich odstranění a
c)	zodpovídá za úplnost a aktuálnost provozní dokumentace informačního systému při jejím převzetí.

Produkční provoz informačního systému

§ 19

(1)

Věcný správce ve fázi produkčního provozu informačního systému

a)	zajišťuje zdroje potřebné k zajištění produkčního provozu informačního systému,
b)	průběžně školí uživatele informačního systému,
c)	zajišťuje příjem a evidenci požadavků na změny funkcí a služeb informačního systému od uživatelů informačního systému,
d)	vyhodnocuje plnění stanovených požadavků na služby informačního systému a
e)	stanovuje prioritu evidovaných požadavků na změny funkcí a služeb informačního systému.

(2)

Technický správce ve fázi produkčního provozu informačního systému zajišťuje

a)	provozování produkčního prostředí,
b)	plánování a pravidelnou kontrolu dostupnosti a zajištění zdrojů potřebných k provozování informačního systému,
c)	pravidelnou kontrolu integrity dat,
d)	pravidelné zálohování a uchovávání dat bez přerušení provozu informačního systému,
e)	pravidelné testy obnovy všech funkcí, kódů a dat informačního systému do nového prostředí,
f)	komponenty v provozuschopném a bezpečném stavu,
g)	příjem a evidenci požadavků na změny funkcí a služeb informačního systému,
h)	příjem hlášení provozních událostí a vyhodnocování závažnosti dopadu nalezených chyb, poruch a nedostatků informačního systému, vytváření a upřednostnění servisních požadavků,
i)	vyhledávání škodlivých programových prostředků a škodlivé komunikace,
j)	sledování a analýzu dopadů provozních událostí,
k)	nasazování ověřených, funkčních a formálně akceptovaných verzí s předem otestovanou integrací bez ohrožení kvality a dostupnosti služeb informačního systému,
l)	vytváření a předávání datového výstupu k dlouhodobému uchovávání,
m)	stanovenou úroveň kontinuity pro služby informačního systému, pro podporu služeb jiných informačních systémů a pro provoz informačních systémů a
n)	řízení provozovatele informačního systému.

§ 20

(1)

Věcný správce ve fázi produkčního provozu informačního systému vyhodnocuje

a)	plnění stanovených požadavků na služby informačního systému,
b)	přínosy služeb informačního systému,
c)	ekonomickou výhodnost služeb informačního systému a
d)	plnění cílů stanovených ve fázi strategického plánování vytvoření a rozvoje informačního systému.

(2)

Technický správce ve fázi produkčního provozu informačního systému vyhodnocuje

a)	plnění věcným správcem stanovených požadavků na služby informačního systému a
b)	zajištění bezpečnosti informačního systému a aplikuje bezodkladně potřebná bezpečnostní opatření.

§ 21

Ukončení životního cyklu informačního systému

(1)

Technický správce ve fázi ukončení životního cyklu informačního systému zajišťuje

a)	transformaci údajů a export dat podle potřeb z informačního systému způsobem umožňujícím jejich dlouhodobé uchovávání nebo přenesení do informačního systému, který má původní informační systém nahradit, a
b)	přenos aktuálních dat, kódů a prostředí v útlumovém režimu, je-li plánován.

(2)

Technický správce provádí export dat podle odstavce 1 písm. a) v rozsahu údajů, které informační systém zpracovával k okamžiku ukončení jeho produkčního provozu s ověřením integrity dat. Správce provádí export dat přednostně v otevřeném formátu.

(3)

Věcný správce stanovuje pro provoz prostředí v útlumovém režimu pravidla pro aktivaci, údržbu a aktualizaci kódů a komponent, přístup uživatelů informačního systému a využívání a poskytování údajů, bude-li technický správce takové prostředí vytvářet a udržovat.

Hlava V

Dekomponování informačních systémů (§ 22)

§ 22

(1)

Orgán veřejné správy provádí dekomponování informačních systémů ve 3 nezávislých a vzájemně se kombinujících děleních, kterými jsou

a)	funkční dělení; funkčním dělením se rozumí dělení podle různých funkcí komponent při poskytování služeb informačního systému,
b)	technologické dělení; technologickým dělením se rozumí dělení podle technologických platforem sloužících pro vytvoření, rozvoj a provoz informačních systémů a
c)	provozní dělení; provozním dělením se rozumí dělení na prostředí podle jejich různého využití v životním cyklu informačních systémů.

(2)

Orgán veřejné správy provádí dekomponování informačního systému na všech vrstvách architektury informačních systémů.

(3)

Odstavce 1 a 2 se na dekomponování prvků sdílené infrastruktury použijí obdobně.

(4)

Orgán veřejné správy každé prostředí jednoznačně identifikuje. Údaje v produkčním prostředí nelze změnit prostřednictvím neprodukčního prostředí.

Hlava VI

Strukturování dat v informačních systémech (§ 23)

§ 23

(1)

Orgán veřejné správy strukturuje data vedená v informačním systému na údaje

a)	základních registrů,
b)	jiných agend,
c)	vlastní a
d)	provozní.

(2)

Orgán veřejné správy strukturuje data vedená v informačním systému podle způsobu jejich sdílení na údaje

a)	veřejně přístupné,
b)	poskytované na žádost a
c)	zpřístupňované pro výkon agendy.

(3)

Orgán veřejné správy strukturuje data vedená v informačním systému podle jejich obsahu na údaje

a)	identifikační,
b)	evidenční a
c)	statistické.

(4)

Orgán veřejné správy odděluje údaje vedoucí k jednoznačné identifikaci fyzické osoby od evidenčních údajů.

(5)

Orgán veřejné správy strukturuje data tak, aby bylo možno naplnit požadavky právních předpisů upravujících ochranu osobních údajů.

Hlava VII

Technické požadavky na informační systémy (§ 24-27)

§ 24

Technické požadavky na zajištění sdílení údajů

(1)

Údaje vedené v informačním systému jsou zpřístupněny v otevřeném a strojově čitelném formátu, a to ve formě datových souborů nebo prostřednictvím programovacího aplikačního rozhraní.

(2)

Údaje vedené v informačním systému jsou poskytovány podle otevřené formální normy pro rozhraní katalogů otevřených dat, kterou zveřejňuje Digitální a informační agentura způsobem umožňujícím dálkový přístup.

(3)

Technické a programové prostředky, které slouží pro sdílení údajů mimo referenční rozhraní, umožňují

a)	sdílení údajů mezi informačními systémy jednoho správce prostřednictvím integračního rozhraní a
b)	sdílení údajů jako službu, jejíž technické a technologické specifikace jsou veřejně dostupné a využitelné bez dalších omezení a zvýšených nákladů.

§ 25

Technické požadavky související s provozem různých prostředí

(1)

Během provozu různých prostředí informačního systému zařazených do různých bezpečnostních úrovní jsou tato prostředí rozlišována a produkční údaje odděleny od údajů ostatních.

(2)

Propojované informační systémy provozované v různých prostředích a zařazené do různých bezpečnostních úrovní

a)	zajišťují rozlišení jednotlivých prostředí pro použitá rozhraní, poskytnuté služby a přístupová oprávnění,
b)	zamezují uživatelům informačního systému používat shodné autentizační údaje současně v prostředí s produkčními údaji a v prostředí s ostatními údaji,
c)	zamezují uživatelům zajišťujícím provoz, užívání a konfiguraci informačních systémů používat stejné pracovní stanice pro více prostředí s produkčními údaji,
d)	oddělují údaje při přístupu k údajům do prostředí s vyšší bezpečnostní úrovní z prostředí s nižší bezpečnostní úrovní jejich pseudonymizací nebo anonymizací,
e)	zajišťují důvěrnost údajů a stabilitu prostředí při přístupu k údajům do prostředí s vyšší bezpečnostní úrovní z prostředí s nižší bezpečnostní úrovní a
f)	zaznamenávají informace o bezpečnostních a provozních událostech.

§ 26

Technické požadavky na užití centrálních sdílených služeb informačním systémem

Informační systém využívá centrální sdílené služby pro

a)	zajištění identifikace a autentizace uživatelů služeb,
b)	zajištění autorizace uživatelů uvnitř orgánu veřejné správy, kteří nejsou jeho zaměstnanci, a
c)	publikování poskytovaných služeb informačního systému v portálu veřejné správy, pokud je služba informačního systému vedena v katalogu služeb podle zákona upravujícího právo na digitální služby.

§ 27

Technické požadavky na technologické platformy informačního systému

(1)

Je-li to při tvorbě technických požadavků na nový informační systém nebo rozvoj stávajícího informačního systému možné, využívají se

a)	technické a programové prostředky a návrhové vzory, které umožňují vytvořit informační systém pro cloud computing nebo pro provoz bez odstávek, a
b)	prvky infrastruktury umožňující své sdílení.

(2)

Dálkový přístup ke službám informačních systémů je umožněn rovnocenným použitím informačního protokolu IPv4 a IPv6.

(3)

Informační systém, který poskytuje služby překladu jmen, poskytuje tyto služby způsobem zaručujícím integritu.

Hlava VIII

Hodnocení ekonomické výhodnosti provozu a způsobu provozu informačních systémů (§ 28-30)

§ 28

Struktura hodnocení

(1)

Hodnocení ekonomické výhodnosti provozu a způsobu provozu informačního systému tvoří

a)	výsledky pravidelných hodnocení za použití metody celkových nákladů na vlastnictví informačního systému; popis metody celkových nákladů na vlastnictví informačního systému je uveden v příloze k této vyhlášce a
b)	hodnocení ukazatelů hospodárnosti, efektivnosti a účelnosti provozu a způsobu provozu informačního systému za minulá účetní období a jejich cílové hodnoty pro příští účetní období s uvedením nezbytných předpokladů pro jejich dosažení.

(2)

Orgán veřejné správy porovnává aktualizované hodnocení za použití metody celkových nákladů na vlastnictví informačního systému provozovaného ve správě majetku orgánu veřejné správy s provozováním informačního systému způsobem odlišným od provozu informačního systému ve správě majetku orgánu veřejné správy a uvede jej do hodnocení ekonomické výhodnosti provozu a způsobu provozu informačního systému. Orgán veřejné správy porovnává způsoby provozu informačního systému ve vyžadovaných bezpečnostních úrovních informačního systému a jeho jednotlivých komponent, pokud pro ně byly stanoveny bezpečnostní úrovně samostatně.

§ 29

Provádění hodnocení

(1)

Orgán veřejné správy provádí hodnocení ekonomické výhodnosti provozu a způsobu provozu informačních systémů a využití cloud computingu ve fázích životního cyklu informačního systému

a)	podle § 15 písm. a) až c) před změnou informačního systému mající povahu architektonické změny a
b)	podle § 15 písm. d) před změnou smluvního vztahu s provozovatelem informačního systému.

(2)

Orgán veřejné správy zohledňuje při hodnocení ekonomické výhodnosti provozu, způsobu provozu informačních systémů a využití cloud computingu dostupnost vlastních personálních kapacit a možnost jejich využití za účelem snížení závislosti na dodavatelích.

(3)

Orgán veřejné správy využívá při řízení životního cyklu informačního systému rovněž ukazatele ekonomické výhodnosti provozu a způsobu provozu srovnatelných informačních systémů, sdílených prvků technologické a komunikační infrastruktury a služeb.

(4)

Orgán veřejné správy porovnává při provádění hodnocení ekonomické výhodnosti způsobu provozu informačních systémů variantu provozu informačního systému s použitím vlastní nebo zprostředkované infrastruktury. Orgán veřejné správy využívá pro variantu odpovídající současnému způsobu provozu hodnocení ukazatelů hospodárnosti, efektivnosti a účelnosti jím spravovaných informačních systémů a pro jiné varianty kvalifikovaný odhad hodnocení ukazatelů hospodárnosti, efektivnosti a účelnosti jím spravovaných informačních systémů na základě použití metody hodnocení celkových nákladů na vlastnictví informačního systému.

(5)

Orgán veřejné správy provádí vyhodnocení za použití metody celkových nákladů na vlastnictví po zahájení poskytování služeb informačního systému a po obdržení podkladů umožňujících toto vyhodnocení.

§ 30

Předběžné posouzení využití poptávaného cloud computingu

Orgán veřejné správy provádí předběžné posouzení plánovaných nákladů za použití metody celkových nákladů na vlastnictví ve fázi plánování a přípravy vytvoření a rozvoje informačního systému s využitím relevantních nabídek cloud computingu uvedených v katalogu cloud computingu. Je-li varianta s využitím nabídek cloud computingu vybraná s odbornou péčí výhodnější, využije orgán veřejné správy tuto variantu.

Část třetí

Závěrečná ustanovení (§ 31-33)

§ 31

Přechodná ustanovení

(1)	Orgán veřejné správy zpracuje informační koncepci orgánu veřejné správy a provozní dokumentaci k informačním systémům, jejichž je správcem, ve struktuře a s náležitostmi podle této vyhlášky do 4 let ode dne nabytí účinnosti této vyhlášky.
(2)	Do doby splnění povinností podle odstavce 1 je orgán veřejné správy povinen mít zpracovanou informační koncepci orgánu veřejné správy a provozní dokumentaci k informačním systémům, jejichž je správcem, ve struktuře a s náležitostmi podle vyhlášky č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy), ve znění účinném přede dnem nabytí účinnosti této vyhlášky.
(3)	Orgán veřejné správy zpřístupní údaje v otevřeném a strojově čitelném formátu podle § 24 odst. 1, a to ve formě datových souborů nebo prostřednictvím programovacího aplikačního rozhraní do 1 roku ode dne nabytí účinnosti této vyhlášky.
(4)	Orgán veřejné správy splní povinnost u stávajících informačních systémů podle § 8 odst. 2 do 6 měsíců ode dne nabytí účinnosti této vyhlášky. V důvodných a ojedinělých případech a v souladu se zásadou hospodárnosti může tento orgán veřejné správy požádat Digitální a informační agenturu o odklad termínu migrace pod jednotnou státní doménu .gov.cz některých svých dosavadních informačních systémů, u kterých by migrace do 6 měsíců ode dne nabytí účinnosti této vyhlášky byla ekonomicky i technicky vysoce náročná, na pozdější datum.

§ 32

Zrušovací ustanovení

Vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy), se zrušuje.

§ 33

Účinnost

Tato vyhláška nabývá účinnosti dnem 1. července 2024.

Ředitel:

Ing. Mesršmíd v. r.

Příloha

Popis metody celkových nákladů na vlastnictví informačního systému

Popis nákladové kategorie	Popis nákladové komponenty
A. Předběžné analýzy, tvorba zadání, výběr řešení a dodavatele - náklady nákupního procesu	A1. Projektový záměr a úvodní studie (studie proveditelnosti, zadávací dokumentace, marketingový průzkum trhu)
	A2. Práce spojené s výběrem software (SW) aplikace a jejího dodavatele a výběrem hardware (HW) a jeho dodavatelů
B. Nákup SW a HW pro projekt (ne v případě software jako služba (SaaS))	B1. Stavební, provozní a komunikační infrastruktura
	B2. Informační a komunikační technologie (ICT) - HW a interní sítě
	B3. Licence systémového SW - základní SW nutný pro provoz aplikace (operační systém, systém řízení báze dat, atd.)
	B4. Licence vývojového SW prostředí pro vývoj aplikace, nebo pro úpravy standardního SW
	B5. Pořízení aplikačního SW
	B6. Spojené HW+SW zařízení (Appliance)
	B7. Prostředky kybernetické bezpečnosti
C. Analýza, vývoj, implementace a zkušební provoz	C1. Vedení projektu vývoje a implementace na straně orgánu veřejné správy (i dodavatele)
	C2. Vypracování celkové architektury řešení, včetně návrhu procesního chování budoucího řešení
	C3. Náklady organizačních a procesních změn vyvolaných zavedením ICT služby
	C4. Oživení HW a systémového SW vývojového a implementačního prostředí
	C5. Vývoj a programové úpravy aplikace
	C6. Customizace (nastavení parametrů) aplikace
	C7. Integrace aplikace na ostatní aplikace
	C8. Pořízení dat, migrace dat
	C9. Testování (funkcionality, vazeb na jiné aplikace, výkonu, spolehlivosti, bezpečnosti)
	C10. Školení uživatelův projektu (započítávají se pouze náklady na vlastní školení, nikoliv časová ztráta školených zaměstnanců)
	C11. Akceptace a ověřovací provoz
	C12. Implementace HW a SW pro kybernetickou bezpečnost, implementace bezpečnosti, audit
	C13. Ostatní přímé náklady na pořízení řešení
D. Provoz a podpora řešení HW a SW (ne v případě SaaS)	D1. Provoz a podpora aplikací (service desk / podpora uživatelů při provozu aplikace - řešení incidentů a problémů)
	D2. Provoz a podpora ICT technologií (administrátoři, správci, technici na administraci aplikace, systému a sítě, řízení konfigurace a kapacit, řízení dostupnosti a dalších dohodnutých parametrů služby)
	D3. Provoz a podpora technologie datových center a komunikační infrastruktury
	D4. Provoz a podpora prostředků kybernetické bezpečnosti
	D5. Zajištění kybernetické bezpečnosti provozu řešení a dodávky služeb
E. Hardware/Software údržba a průběžné úpravy (ne v případě SaaS)	E1. Poplatky za roční standardní údržbu HW a prvků infrastruktury
	E2. Poplatky za roční standardní údržbu, typicky právo upgrade) vývojového, provozního i systémového SW
	E3. Poplatky za roční standardní údržbu (, typicky právo upgrade) aplikačního SW
	E4. Upravy/rozvoj aplikace (nad standardní údržbu) - průběžné (interní, liniově řízené)
	E5. Poplatky za roční standardní údržbu prostředků kybernetické bezpečnosti
	E6. Úpravy/opravy/rozvoj HW a prvků síťové infrastruktury (nad standardní údržbu)
	E7. Upravy/opravy/rozvoj vývojového, provozního i systémového SW (nad standardní údržbu)
	E8. Úpravy/opravy/rozvoj aplikace (nad standardní údržbu) - průběžné (interní, liniově řízené)
	E9. Úpravy/opravy/rozvoj HW+SW zařízení (Appliance) (nad standardní údržbu)
	E10. Úpravy/opravy/rozvoj prostředků kybernetické bezpečnosti (nad standardní údržbu)
F. Projekty postupné inovace a zlepšování (plánované)	F1. Funkční (procesní) inovační rozvojové projekty
	F2. Technologické rozvojové projekty
	F3. Roll-out projekty (rozšíření na další uživatele, organizace)
	F4. Projekty optimalizace řešení (např. konsolidace HW)
G. Projekty upgrade (pokud jsou plánovány)	G1. Projekty aplikačního upgrade
	G2. Projekty upgrade systémového SW
	G3. Projekty technologického upgrade
	G4. Projekty infrastrukturního upgrade
H. Zvýšené náklady užívání řešení (pokud se vyskytnou)	H1. Náklady ze ztráty produktivity
H. Zvýšené náklady užívání řešení (pokud se vyskytnou)	H2. Náklady spojené s užíváním řešení
I. Útlum, konzervace a ukončení řešení	I1. Archivace, zakonzervování a útlum řešení
	I2. Příprava dat pro migraci z řešení při ukončení
	I3. Likvidace komponent řešení
X. Licence, HW, provoz, podpora, údržba, průběžný rozvoj - vše v subskripci (pouze SaaS)	XI. Předplatné služby
Z. Ostatní, do fází životního cyklu nerozlišitelné režijní náklady	Z1. Provozní režie
	Z2. Správní režie

Poznámky pod čarou:

Například zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, zákon č. 106/1999 Sb., o svobodném přístupu k informacím, zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.

Poznámky pod čarou:
1	Například zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, zákon č. 106/1999 Sb., o svobodném přístupu k informacím, zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.