Národný systém riadenia incidentov kybernetickej

bezpečnosti vo verejnej správe

OBSAH

ZOZNAM SKRATIEK.............................................................................................................................................. 3

VÝZNAMNÉ ZISTENIA A ODPORÚČANIA ........................................................................................................... 4

KONTROLNÁ AKCIA ............................................................................................................................................. 6

1

ÚČEL KONTROLNEJ AKCI E ........................................................................................................................ 6

2

RÁMEC KO NTROLNEJ AKCIE..................................................................................................................... 6

2.1

ZÁKLADNÁ CHARAKTERISTIKA .......................................................................................................... 6

VÝKON KONTROLY .............................................................................................................................. 6

ŠPECIFICKÉ OBLASTI .......................................................................................................................... 6

2.2

2.3

3

VÝSLEDKY KONTROLNEJ AKCIE............................................................................................................... 6

3.1

PRÍPRAVA PROJEKTU – ZÁMER NÁRODNÉHO PROJEKTU KB A Š TÚDIA USKUTOČNITEĽNO STI ........ 7

POSTUP PRED OBST ARANÍM PROJEKTU.......................................................................................... 8

Určenie c elkovej PH Z ............................................................................................................................. 8

Súťažné podklady ................................................................................................................................. 10

SPÔSOB OBSTARANIA PROJEKTU................................................................................................... 10

REAKCIA KONTROLOVANÉ HO SUBJEKTU ............................................................................................ 11

KONTAKT .................................................................................................................................................... 11

PRÍLOHA ...................................................................................................................................................... 12

| 2

ZOZNAM SKRATIEK

SKRATKA

VÝZNAM

SKRÁTENÉ POMENOVANIE

CBA

CKO 12

Analýza nákladov a prínosov (Cost-benefit analysis)

Metodický pokyn k zadávaniu zákaziek nespadajúcich pod zákon o VO

(Programové obdobie 2014 – 2020)

CRZ

Centrálny register zmlúv

CSIRT

Jednotka pre riešenie počítačových incidentov (Computer Security and In-

cident Response Team)

EFRR

ISVS

ITMS

Európsky fond regionálneho rozvoja

informačné systémy verejnej správy

centrálny informačný systém slúžiaci na evidenciu a spracúvanie údajov

o projektovom a finančnom riadení, kontrole a audite

Kybernetická bezpečnosť

KB

MDaV SR

MIRRI SR

Národný projekt KB

Ministerstvo dopravy a výstavby Slovenskej republiky

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

Národný systém riadenia incidentov kybernetickej bezpečnosti vo verejnej

správe

NASES

NFP

Národná agentúra pre sieťové a elektronické služby

nenávratný finančný príspevok

NKÚ SR

PHZ

Najvyšší kontrolný úrad Slovenskej republiky

predpokladaná hodnota zákazky

Pro Rata

Princíp pro rata, ktorý percentuálne stanovuje výšku účasti cieľa Regio-

nálna konkurencieschopnosť a zamestnanosť na celkovej alokácií finanč-

ných prostriedkov zo ŠF a KF pre SR

RO OPII

Ministerstvo dopravy a výstavby SR ako Riadiaci orgán pre Operačný pro-

gram Integrovaná infraštruktúra 2014 – 2020

SIS

Slovenská informačná služba

SOC

Security Operations Center – služba poskytujúca aktívnu 24/7 kyberne-

tickú ochranu sietí a zákazníckych technológií prostredníctvom aktívneho

monitoringu, ktorý umožňuje sledovanie bezpečnostných hrozieb a inciden-

tov

ÚPVII

VO

Úrad podpredsedu vlády pre investície a informatizáciu

verejné obstarávanie

zákon o KB

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení

niektorých zákonov v znení neskorších predpisov

Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a

doplnení niektorých zákonov v znení neskorších predpisov

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene

a doplnení niektorých zákonov v znení neskorších predpisov

Zákon č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení nie-

ktorých zákonov v znení neskorších predpisov

zákon o ochrane utajovaných

skutočností

zákon o slobode informácií

zákon o VO

Zmluva o poskytnutí NFP

Zmluva o poskytnutí nenávratného finančného príspevku

| 3

VÝZNAMNÉ ZISTENIA A ODPORÚČANIA

Hlavným cieľom Národného projektu KB bolo vytvorenie siete adekvátne odborne a technicky vybavených

jednotiek pre riešenie kybernetických bezpečnostných incidentov CSIRT na celonárodnej úrovni. Prijímate-

ľom Národného projektu KB bol v roku 2017 určený ÚPVII a partnermi projektu sa stali NBÚ, NASES a SIS. Ná-

rodný projekt KB bol realizovaný vo dvoch obstarávaniach. Jedno uskutočňoval ÚPVII (ako verejný obstarávateľ

a zároveň hlavný partner projektu), ktorý realizoval obstarávanie na Dobudovanie spôsobilosti jednotky CSIRT.SK

a Dobudovanie spôsobilosti GOV CERT SK v podmienkach NASES, a druhé obstarávanie realizoval NBÚ ako ve-

rejný obstarávateľ časti Národného projektu KB určenej pre potreby NBÚ a SIS.

Partneri projektu (ÚPVII, NBÚ, NASES a SIS) mali na konci apríla 2018 spracovanú podstatnú časť potrebnej

dokumentácie Národného projektu KB, v ktorej identifikovali potreby a projektové zámery jednotiek CSIRT, po-

drobne rozpracovali oblasť legislatívnu, organizačnú a technickú a to až do úrovne položiek (komponentov) tech-

nického vybavenia svojich pracovísk, súvisiacich činností, výstupných služieb a príslušnej funkcionality. Tieto in-

formácie neboli verejné. Napriek tomu sa ÚPVII ako žiadateľ rozhodol štúdiu uskutočniteľnosti vypracovať

v spolupráci s externým dodávateľom Ernst & Young, s. r. o.

Dodávateľ štúdie uskutočniteľnosti len vo všeobecnosti popísal stav, ktorý vyplynul z rozhodnutia iných subjektov,

zrejme z dôvodu, že nemal prístup k potrebnej projektovej a technickej dokumentácii, ktorá bola spracúvaná

v režime utajenia VYHRADENÉ a DÔVERNÉ. Do prvej strategickej fázy budovania celonárodného systému ria-

denia incidentov KB boli zaradené štyri jednotky CSIRT (CSIRT.SK, SK-CERT, CSIRT SIS a GOV CERT SK).

Štúdia uskutočniteľnosti neriešila ostatný priestor (niektoré služby zasahujú aj mimo oblasť verejnej správy), ktorý

by mal byť rovnako pokrytý kybernetickými funkciami nasadenými na prevenciu a riešenie incidentov, čo súvisí so

zapojením (rozsah, spôsob, forma) ďalších sektorových jednotiek CSIRT. Absencia komplexného pohľadu

v štúdii uskutočniteľnosti na budovanie celonárodného systému riadenia incidentov KB, bez poznania as-

poň základných predpokladov ďalších fáz jeho budovania, znemožnila ohodnotiť adekvátnosť nastavenia

funkcionalít, služieb a obstarania HW a SW jeho prvej fázy, ako aj definovať/zdôvodniť adekvátnosť budú-

cich funkcionalít, služieb a prípadného obstarávania ďalšieho HW a SW pri ďalšom rozširovaní celonárod-

ného systému.

Zámer Národného projektu KB bol pre prijímateľa/žiadateľa záväzný. V zámere ÚPVII zadefinoval ako aktivitu pro-

jektu „Nákup HW a krabicového softvéru“. Po preskúmaní technických špecifikácií obstarávaného SW v rámci

Národného projektu KB, zo zadania na vývoj a ich dodanie vyplynulo, že boli obstarávané aj SW produkty v cel-

kovej sume viac ako 2,5 mil. eur s DPH, ktoré nemali charakter hotového „krabicového SW“, ale išlo o „SW

na zákazku“, čo nebolo v súlade so zadaním obstarávania, zadefinovaným v Zámere Národného projektu KB.

Útvar hodnoty za peniaze, kvôli režimovému charakteru Národného projektu KB, projekt priamo nehodnotil.

Pripravil len verejnú informáciu o projekte pre členov riadiaceho výboru bez odporúčaní a bez zverejnenia štan-

dardného hodnotenia IT projektu nad 10 mil. eur. Pri prerokovaní Národného projektu KB na zasadnutí Riadiaceho

výboru prioritnej osi 7 OPII sa zúčastnil (s hlasovacím právom) aj riaditeľ Útvaru hodnoty za peniaze. Ten vy-

hodnotil celkovú sumu za projekt ako nesprávnu, pri hlasovaní sa zdržal a posunutie Národného projektu

KB do ďalšieho procesu nepodporil.

Zákon o VO umožňuje výnimky z jeho aplikácie, ktoré predstavujú objektívny predpoklad na uzavretie určitých

zmlúv bez použitia zákona o VO. ÚPVII (NASES) si na obstaranie predmetných častí Národného projektu KB

uplatnili výnimku podľa § 1 ods. 2 písm. a) zákona o VO a NBÚ (SIS) si uplatnili výnimku podľa § 1 ods. 2

písm. a) a w) zákona o VO, keďže výsledkom obstarávania bola aj dodávka HW a SW určeného na plnenie úloh

spravodajskej povahy a obstarávaná na účely spravodajských činností.

Kontrola preverila spôsob určenia celkovej PHZ za dobudovanie Národného projektu KB. ÚPVII PHZ pôvodne určil

ako jednu položku, ktorú prezentoval RO OPII pri prvej ex ante kontrole, pričom PHZ mala obsahovať dve položky,

z ktorých každá mala byť za odlišné plnenie. Pôvodne určenú celkovú PHZ 12 868 979,10 eur bez DPH preto

musel navýšiť cca o jednu tretinu pôvodne určenej ceny na 16 729 672,83 eur bez DPH. ÚPVII RO OPII po-

tvrdil, že PHZ na predmet zákazky Národný projekt KB v relevantných častiach (pre CSIRT.SK a NASES) stanovil

za celý predmet zákazky so zohľadnením presných požiadaviek objednávateľov CSIRT.SK a NASES. Kontrola

však zistila, že požiadavky objednávateľa NASES ÚPVII zohľadnil (bez predchádzajúcej konzultácie) len sčasti, čo

následne pri implementácii komponentov do existujúceho prostredia spôsobilo NASES značné problémy.

| 4

Zmeny v položkách zapríčinili, že časť projektu na strane partnera NASES je implementovateľná len pomocou

dodatočných investícií do nákupu chýbajúcich komponentov z jeho vlastných rozpočtových zdrojov.

Kontrola preukázala, že predmetom posúdenia RO OPII neboli podklady k výpočtu PHZ, z ktorých ÚPVII re-

álne vychádzal pri stanovení celkovej PHZ. V podkladoch neboli uvedené kľúčové obstarávané komponenty ani

doložené podklady z prieskumu cien produktov na internete a cenníkov viacerých výrobcov jednotlivých tovarov,

ako ÚPVII RO OPII informoval. RO OPII preto nemohol overovať hospodárnosť výdavkov zákazky, avšak

voči predloženej dokumentácii ani nenamietal a nežiadal obstarávateľa, aby ju doplnil. NKÚ SR preveroval,

do akej miery bol dodržaný princíp hospodárnosti, efektívnosti a účelnosti vynaložených prostriedkov pri obstará-

vaní konkrétnych komponentov. Kontrolou bolo zistené, že v niekoľkých desiatkach prípadov ceny za fakturo-

vané „Rozbalenie, montáž, osadenie HW do rackov a káblovanie, likvidáciu obalov, oživenie zariadení, aktualizá-

ciu, test funkčnosti, inštalačnú dokumentáciu a projektový manažment“, boli predražené alebo v niektorých prí-

padoch neopodstatnené.

Kontrola sa zaoberala aj postupmi pri stanovovaní ceny za jednotlivé komponenty pre potreby dobudovania spô-

sobilosti jednotky CSIRT.SK. Cena za položku (komponent) bola stanovená ako jedna cena, ktorá zahŕňala nielen

cenu za HW (so SW), ale aj cenu za inštaláciu, konfiguračné práce, resp. aj integráciu do existujúceho prostredia,

v konečnom dôsledku nebolo možné presne určiť, za koľko bol HW (SW), teda samotný komponent, reálne

obstaraný.

Po podpísaní všetkými zmluvnými stranami boli zmluvy, resp. ich dodatky vo všeobecnej časti odtajnené, od-

pojené od utajovaných príloh a následne zverejnené v CRZ v zmysle zákona o slobode informácií.

K 31. decembru 2020, mal NBÚ v prevádzke 92 % dodaných produktov a 8 % dodaných produktov bolo v stave

pripravenosti, MIRRI SR malo v používaní zatiaľ iba 1,98 % HW a SW komponentov, a NASES nedokázala de-

finovať aké prvky HW a SW boli nainštalované a čo bolo reálne v prevádzke. Z pandemických dôvodov došlo

k predĺženiu realizácie Národného projektu KB do 31. decembra 2021.

NKÚ SR odporúča výboru pre obranu a bezpečnosť Národnej rady SR, aby požiadal vládu SR, pripraviť

zmenu legislatívy tak, aby bola jednoznačne zadefinovaná povinnosť pre štátne i verejné inštitúcie zverej-

niť v Centrálnom registri zmlúv rámcové dohody, ktoré boli výsledkom zadávania zákaziek realizovaných

v utajenom režime, t. j. mimo pravidiel a postupov definovaných zákonom o verejnom obstarávaní. Technické špe-

cifikácie či odborné informácie podliehajúce utajeniu budú definované v neverejných dodatkoch.

Z dôvodu zníženia rizika vzniku pochybení pri zadávaní zákaziek s prvkom utajenia, NKÚ SR vypracoval odpo-

rúčaný postup základných krokov pri realizácii „obranno–bezpečnostných výnimiek“, ktorý tvorí prílohu tejto

Správy o výsledku kontroly.

| 5

KONTROLNÁ AKCIA

ÚČEL KONTROLNEJ AKCIE

1

Účelom kontroly bolo preverenie – opodstatnenosti obstarania projektu, hospodárnosti, efektivity jeho obstarania a

samotného procesu obstarania. Účel kontroly bol naplnený.

Predmet kontroly

1. Opodstatnenosť obstarania projektu

2. Spôsob obstarania projektu

2

RÁMEC KONTROLNEJ AKCIE

2.1 ZÁKLADNÁ CHARAKTERISTIKA

Kontrola bola vykonaná ako kontrola súladu s prvkami výkonnosti, ktorou sa preverilo dodržiavanie všeobecne

záväzných predpisov v troch kontrolovaných subjektoch MIRRI SR, NASES a NBÚ, a bola realizovaná v súlade so

zákonom o NKÚ SR a medzinárodnými štandardmi najvyšších kontrolných inštitúcií (ISSAI). NKÚ SR skontroloval

kompletnú dokumentáciu súvisiacu s Národným projektom KB, poskytnutú kontrolovanými subjektmi. Uvedená do-

kumentácia bola v stupni utajenia DÔVERNÉ, preto aj protokoly o výsledkoch kontrol boli vypracované v stupni

utajenia DÔVERNÉ, teda v súlade so zákonom o utajovaných skutočnostiach. Správa o výsledku kontroly z uve-

deného dôvodu obsahuje len neutajované agregované údaje, ktoré nie sú predmetom zákona o ochrane utajova-

ných skutočností. Kontrolovaným obdobím boli roky 2018 – 2020 a v prípade potreby zhodnotenia súvisiacich

skutočností aj predchádzajúce a nasledujúce obdobie.

2.2 VÝKON KONTROLY

Pre dosiahnutie výsledku kontroly bola použitá metóda preskúmania dokladov a dokumentov, analýzy, písomné

stanoviská k predmetu kontroly a rozhovory s vecne príslušnými zamestnancami kontrolovaných subjektov.

Kontrolou boli potvrdené nedostatky v oblasti opodstatnenosti obstarania projektu, výberu dodávateľa,

zmluvných vzťahov a čerpania finančných prostriedkov.

2.3 ŠPECIFICKÉ OBLASTI

Kontrolou zmluvných vzťahov bolo zistené, že rámcová dohoda, čiastkové realizačné zmluvy a ich dodatky boli

uzatvorené v stupni utajenia DÔVERNÉ v súlade so zákonom o ochrane utajovaných skutočností. Po podpísaní

všetkými zmluvnými stranami boli tieto zmluvy, resp. ich dodatky vo všeobecnej časti odtajnené, odpojené od uta-

jovaných príloh a následne zverejnené v CRZ v zmysle zákona o slobode informácií. NKÚ SR hodnotí pozitívne

následné zverejnenie utajovaných zmlúv a ich dodatkov v súlade so zákonom o slobode informácií pri sú-

časnom dodržaní zákona o utajovaných skutočnostiach.

3

VÝSLEDKY KONTROLNEJ AKCIE

Kybernetická bezpečnosť je v súčasnosti vnímaná ako jeden z kľúčových komponentov bezpečnosti štátu. Národný

projekt kybernetickej bezpečnosti možno považovať za napĺňanie základného strategického cieľa Koncepcie ky-

bernetickej bezpečnosti SR na roky 2015 – 2020 (2015), ktorú vláda SR schválila uznesením č. 328/2015, a pl-

nenie úloh zadefinovaných v koncepcii podrobne rozpracovaných v Akčnom pláne realizácie koncepcie kyber-

netickej bezpečnosti SR (2016), ktorých finančné krytie sa predpokladalo z viacerých zdrojov operačných progra-

mov. Jedným z nich bol Operačný program Integrovaná infraštruktúra v gescii MDaV SR.

Hlavným cieľom Národného projektu KB bolo vytvorenie siete adekvátne odborne a technicky vybavených

jednotiek pre riešenie kybernetických bezpečnostných incidentov CSIRT na celonárodnej úrovni, ktorých

úlohou bude vykonávanie preventívnych a reaktívnych opatrení v oblasti svojej pôsobnosti, zameraných na služby

definované v § 15 zákona o KB, a poskytovanie relevantných informácií o kybernetických útokoch vládnej jednotke

CSIRT s cieľom zabezpečenia ochrany pre podsektor informačné systémy verejnej správy (ISVS) podľa prílohy č.

1 k zákonu o KB. Cieľovou skupinou projektu boli prevádzkovatelia jednotiek CSIRT, zapojení do národného sys-

tému, ktorými sú:

| 6

.

SK-CERT – národná jednotka CSIRT, ktorej prevádzkovateľom je NBÚ,

CSIRT.SK – vládna jednotka CSIRT v pôsobnosti MIRRI SR, ktorá je súčasne jednotkou CSIRT pre ISVS,

GOV CERT SK – jednotka CSIRT v pôsobnosti NASES, prevádzkovateľa základnej služby zabezpečujúcej

činnosti KB pre kľúčové systémy e-Government (ÚPVS a vládna sieť Govnet),

CSIRT SIS – jednotka CSIRT v pôsobnosti SIS, ktorá zabezpečuje spravodajské činnosti KB pre podsektor

spravodajské služby a

.

ďalšie sektorové jednotky CSIRT v gescii príslušných ústredných orgánov štátnej správy, prevádzkova-

teľov ISVS, zriadené podľa zákona o KB.

Prijímateľom Národného projektu KB bol v roku 2017 určený ÚPVII a to z dôvodov, že v danom čase ako

ústredný orgán štátnej správy riadil a koordinoval informačnú bezpečnosť ISVS, vo vzťahu ku KB bol podľa zákona

o KB ústredným orgánom pre sektor verejná správa – ISVS, prevádzkoval vládnu jednotku CSIRT a bol orgánom

zastrešujúcim bezpečnosť a riešenie kybernetických incidentov vo vzťahu k ISVS. Partnermi Národného projektu

KB sa stali NBÚ, NASES a SIS.

Národný projekt KB bol realizovaný vo dvoch obstarávaniach. Jedno uskutočňoval ÚPVII (ako verejný obstará-

vateľ a zároveň hlavný partner projektu), ktorý realizoval obstarávanie na Dobudovanie spôsobilosti jednotky

CSIRT.SK a Dobudovanie spôsobilosti GOV CERT SK v podmienkach NASES, a druhé obstarávanie realizoval

NBÚ ako verejný obstarávateľ časti Národného projektu KB, určenej pre potreby NBÚ a SIS.

Predmet zákazky ako celok bol situovaný vo dvoch rovinách.

Prvá sa týkala dobudovania spôsobilosti jednotiek CSIRT tak, aby bolo možné kontinuálne a efektívne posky-

tovať služby a plniť úlohy, ktoré vyplývajú zo zákona o KB a medzinárodných záväzkov SR v oblasti KB. Druhá

rovina projektu bola zameraná na vybudovanie nových pracovísk jednotiek CSIRT a ich implementáciu do ná-

rodného systému KB tak, aby boli splnené zákonné predpoklady na zabezpečovanie služieb a plnenie úloh v rámci

sektorov a podsektorov, vyplývajúce zo zákona o KB a nadväzujúcich vyhlášok.

3.1 PRÍPRAVA PROJEKTU – ZÁMER NÁRODNÉHO PROJEKTU KB A ŠTÚDIA USKUTOČNITEĽNOSTI

Partneri projektu (ÚPVII, NBÚ, NASES a SIS) mali na konci apríla 2018 spracovanú podstatnú časť potrebnej

dokumentácie Národného projektu KB, v ktorej identifikovali potreby a projektové zámery jednotiek CSIRT, po-

drobne rozpracovali oblasť legislatívnu, organizačnú a technickú a to až do úrovne položiek (komponentov) tech-

nického vybavenia svojich pracovísk, súvisiacich činností, výstupných služieb a príslušnej funkcionality. Tieto in-

formácie neboli verejné. Napriek tomu sa ÚPVII ako žiadateľ rozhodol štúdiu uskutočniteľnosti vypracovať

v spolupráci s externým dodávateľom Ernst & Young, s. r. o. (na základe cenovo najvýhodnejšej ponuky za

39 600 eur s DPH). Zmluva s úspešným uchádzačom bola uzatvorená 14. mája 2018 a účinná od 16. mája 2018.

Dodávateľovi štúdie uskutočniteľnosti boli na jej vypracovanie poskytované len nevyhnutné verejné infor-

mácie. Utajované skutočnosti boli vytvárané len na strane orgánu verejnej moci.

V štúdii uskutočniteľnosti boli navrhované tri riešenia. Preferovaný bol variant B, ktorý rátal s vybudovaním

národného systému riadenia incidentov vo verejnej správe, spočívajúcom v nákladovo efektívnom horizontál-

nom i vertikálnom (do)vybavení už existujúcich jednotiek CSIRT. Dodávateľ štúdie uskutočniteľnosti len vo všeo-

becnosti popísal stav, ktorý vyplynul z rozhodnutia iných subjektov, zrejme z dôvodu, že nemal prístup k potreb-

nej projektovej a technickej dokumentácii, ktorá bola spracúvaná v režime utajenia VYHRADENÉ a DÔ-

VERNÉ. Hlavnou úlohou realizácie Národného projektu KB bol nákup (obstaranie) HW a SW komponentov. Mini-

málne tretina z obstarávaného vybavenia je štandardne používaná ako informačno-komunikačná technologická

výbava aj v rámci ostatného verejného sektora. Pritom štúdia uskutočniteľnosti neobsahovala takmer žiadne infor-

mácie o obstarávanom HW a SW. V rámci procesu prípravy obsahu štúdie uskutočniteľnosti sa potom akosi

vytrácal reálny prínos, ktorý do tohto procesu mal vložiť externý dodávateľ.

Do prvej strategickej fázy budovania celonárodného systému riadenia incidentov KB boli zaradené štyri jednotky

CSIRT (CSIRT.SK, SK-CERT, CSIRT SIS a GOV CERT SK). Štúdia uskutočniteľnosti neriešila ostatný priestor

(niektoré služby zasahujú aj mimo oblasť verejnej správy), ktorý by mal byť rovnako pokrytý kybernetickými funk-

ciami nasadenými na prevenciu a riešenie incidentov, čo súvisí so zapojením (rozsah, spôsob, forma) ďalších sek-

torových jednotiek CSIRT. Absencia komplexného pohľadu v štúdii uskutočniteľnosti na budovanie celoná-

rodného systému riadenia incidentov KB, bez poznania aspoň základných predpokladov ďalších fáz jeho

budovania, znemožnila ohodnotiť adekvátnosť nastavenia funkcionalít, služieb a obstarania HW a SW v

| 7

jeho prvej fáze, a definovať/zdôvodniť adekvátnosť budúcich funkcionalít, služieb a prípadného obstará-

vania ďalšieho HW a SW pri ďalšom rozširovaní celonárodného systému.

Zámer Národného projektu KB bol pre prijímateľa/žiadateľa záväzný. V zámere ÚPVII zadefinoval ako aktivitu

projektu „Nákup HW a krabicového softvéru“. Po preskúmaní technických špecifikácií obstarávaného SW

v rámci Národného projektu KB, zo zadania na vývoj a jeho dodanie vyplynulo, že boli obstarávané aj SW produkty

v celkovej sume viac ako 2,5 mil. eur s DPH, ktoré nemali charakter hotového „krabicového SW“, ale išlo o „SW na

zákazku“, čo nebolo v súlade so zadaním predmetu obstarávania, zadefinovaným v Zámere Národného pro-

jektu KB.

Útvar hodnoty za peniaze MF SR kvôli režimovému charakteru Národného projektu KB, projekt priamo ne-

hodnotil. Pripravil len verejnú informáciu o projekte pre členov riadiaceho výboru bez odporúčaní a bez zverejne-

nia štandardného hodnotenia IT projektu nad 10 mil. eur. Zámer Národného projektu KB k štúdii uskutočniteľnosti

s Doplňujúcimi informáciami a Zdôvodnením strategickosti Národného projektu KB bol prerokovaný na 7. zasadnutí

Riadiaceho výboru prioritnej osi 7 OPII, ktorého sa zúčastnil (s hlasovacím právom) aj riaditeľ Útvaru hodnoty za

peniaze. Ten vyhodnotil celkovú sumu za projekt ako nesprávnu. Riaditeľ Útvaru hodnoty za peniaze sa pri

hlasovaní zdržal a posunutie Národného projektu KB do ďalšieho procesu nepodporil.

ÚPVII ako sprostredkovateľský orgán pre OPII 2014 – 2020 v zastúpení MDaV SR ako RO OPII 2014 – 2020 dňa

21. 9. 2018 zverejnil „Vyzvanie na predloženie Národného projektu KB“ v zmysle špecifického cieľa „zvýšenie ky-

bernetickej bezpečnosti v spoločnosti“. Indikatívna výška finančných prostriedkov zo zdrojov EÚ, vyčlenených na

vyzvanie, bola 33 852 219,94 eur bez DPH. K výške zdrojov EÚ bola vyčlenená príslušná výška finančných pro-

striedkov ŠR v súlade so Stratégiou financovania EŠIF pre programové obdobie 2014 – 2020. Zároveň zo ŠR boli

vyčlenené aj finančné prostriedky za zdroj Pro-Rata. Celková výška finančných prostriedkov určených na realizáciu

Národného projektu KB bola stanovená na 44 960 647,00 eur bez DPH (EFRR 33 852 219,94 eur + ŠR 5 973

921,17 eur + Pro Rata 5 134 505,89 eur), z toho malo tvoriť 24,71 % národné spolufinancovanie vo výške 11 108

427,07 eur bez DPH. V skutočnosti boli vyčlenené celkové finančné prostriedky nižšie o 914 411,77 eur bez DPH

a predstavovali sumu 44 046 235,23 eur bez DPH. Národné spolufinancovanie bolo v skutočnosti nižšie o 224

602,34 eur bez DPH a predstavovalo celkovú sumu 10 883 824,73 eur bez DPH.

Partneri projektu (ÚPVII, NBÚ, NASES a SIS) dňa 11. decembra 2018 podpísali v súvislosti s uzatvorením Zmluvy

o poskytnutí NFP na účel spolufinancovania Národného projektu KB a s cieľom zabezpečiť realizáciu aktivít pro-

jektu Zmluvu o partnerstve. Predmetná zmluva bola prílohou Zmluvy o poskytnutí NFP. Podľa Zmluvy o partner-

stve však jej účelom bola realizácia projektu: „Vytvorenie, vybavenie a zabezpečenie siete jednotiek pre rieše-

nie kybernetických bezpečnostných incidentov“, nie realizácia Národného projektu KB. Chybný názov pro-

jektu bol v Zmluve o partnerstve opravený Dodatkom č. 1 k Zmluve o partnerstve z 13. novembra 2019, ktorým

došlo k zmene názvu projektu na – Národný projekt KB, až takmer rok po jej podpise.

Kontrola v súvislosti s uzatváraním Zmluvy o partnerstve zistila aj ďalšie nedostatky, ktoré hlavný partner a partneri

museli následne revidovať. Prístup k príprave Národného projektu KB zo strany hlavného partnera preto NKÚ

SR vyhodnotil ako nedôsledný.

3.2 POSTUP PRED OBSTARANÍM PROJEKTU

Zákon o VO umožňuje tzv. exempcie (výnimky) z jeho aplikácie (§ 1 ods. 2 až ods. 14). Výnimky predstavujú

objektívny predpoklad na uzavretie určitých zmlúv bez použitia zákona o VO. ÚPVII (NASES) si na obstaranie

predmetných častí Národného projektu KB uplatnil výnimku z aplikácie zákona o VO podľa § 1 ods. 2 písm. a)

zákona o VO a NBÚ (SIS) si uplatnil výnimku z aplikácie zákona o VO podľa § 1 ods. 2 písm. a) a w) zákona

o VO, keďže výsledkom obstarávania bola aj dodávka HW a SW určeného na plnenie úloh spravodajskej povahy

a obstarávaná na účely spravodajských činností vykonávaných SIS a Vojenským spravodajstvom a to aj na národ-

nej úrovni v podmienkach národnej jednotky SK – CERT. Ak si ÚPVII (NASES) a NBÚ (SIS) uplatnili výnimku z VO,

boli povinní postupovať podľa Príručky pre realizáciu VO MDaV SR zákaziek zadávaných od 18. apríla 2016 a

Metodického pokynu CKO 12 k zadávaniu zákaziek nespadajúcich pod zákon o verejnom obstarávaní.

URČENIE CELKOVEJ PHZ

Podľa Príručky pre realizáciu VO MDaV SR a Metodického pokynu CKO 12 k zadávaniu zákaziek nespada-

júcich pod zákon o verejnom obstarávaní – v prípade zákaziek, na obstarávanie ktorých sa nevzťahuje povin-

nosť postupovať podľa zákona o VO, sa PHZ stanovuje v súlade s princípom hospodárnosti, v nadväznosti na

| 8

povinnosť hospodárnosti vyplývajúcej zo zákona o finančnej kontrole a zo zákona o rozpočtových pravidlách. K

takémuto postupu sa RO OPII zaviazal hlavný partner aj NBÚ.

ÚPVII PHZ pôvodne určil ako jednu položku, ktorú prezentoval RO OPII pri prvej ex ante kontrole, pričom PHZ

mala obsahovať dve položky, z ktorých každá mala byť za odlišné plnenie. Pôvodne určenú celkovú PHZ

12 868 979,10 eur bez DPH preto musel navýšiť cca o jednu tretinu pôvodne určenej ceny, t. j. na

16 729 672,83 eur bez DPH. Na pochybenie poukázal jeden z hospodárskych subjektov, ktorý predložil ce-

novú ponuku. Podľa zdôvodnenia ÚPVII pre RO OPII došlo k chybnému vysvetleniu zo strany technického odde-

lenia na strane objednávateľa pri vytváraní samotného zadania projektu a parametre boli nastavené len na proak-

tívnu podporu, kde v tomto pojme predpokladali, že je celková podpora a suport na spomínané obdobie, čo však

tak nie je.

Pri tvorbe PHZ, za časť projektu – Dobudovanie spôsobilosti jednotky CSIRT.SK zoznam a ocenenie jednotlivých

komponentov pripravila vládna jednotka CSIRT. Za časť projektu – Dobudovanie spôsobilosti GOV CERT SK,

zoznam a ocenenie obstarávaných komponentov pripravila a hlavnému partnerovi predložila NASES. ÚPVII

v rámci prvej ex ante kontroly RO OPII potvrdil, že PHZ na predmet zákazky Národný projekt KB v relevantných

častiach (pre CSIRT.SK a GOV CERT SK) stanovil za celý predmet zákazky so zohľadnením presných požiadaviek

objednávateľov CSIRT.SK a GOV CERT SK.

ÚPVII v rámci prípravnej fázy VO RO OPII výslovne zdôvodnil, že pri zabezpečení dovybavenia a vybavenia

oboch jednotiek CSIRT bolo viac ako nevyhnutné dodržať osobitné bezpečnostné nastavenia celej infra-

štruktúry riadenia bezpečnostných rizík v oblasti kybernetickej bezpečnosti, a preto bol predmet zákazky

presne definovaný presnými požiadavkami na jednotlivé moduly a pracoviská v technickej špecifikácii pred-

metu zákazky.

Kontrola NKÚ SR však zistila, že požiadavky objednávateľa NASES ÚPVII zohľadnil (bez predchádzajúcej kon-

zultácie) len sčasti, čo následne pri implementácii komponentov do existujúceho prostredia spôsobilo NA-

SES značné problémy. Zmeny v položkách zapríčinili, že časť projektu na strane partnera NASES je implemen-

tovateľná len pomocou dodatočných investícií do nákupu chýbajúcich komponentov z jeho vlastných rozpočto-

vých zdrojov. Konfiguračné a implementačné problémy vznikli aj v dôsledku zmeny technických parametrov napr.

v oblasti sieťových kariet serverov. Niektoré komponenty boli obstarané a dodané vo vyššej konfigurácii oproti

požadovaným, čo zasa spôsobilo potrebu licenčného doplnenia softvérových riešení. V procese implementácie

projektu a tvorby HLD dizajnu (High-Level Design) a LLD dizajnu (Low-Level Design) boli identifikované aj zá-

kladné chýbajúce komponenty na správu incidentov, technológia ktorá tvorí základ SOC a automatizáciou za-

ručuje zrýchlenie reakčnej doby a poskytuje celkovú platformu na spracovanie udalostí. V priebehu implementácie

projektu teda vyplynula akútna požiadavka aj na doplnenie EPS licencie na spracovanie udalostí, keďže s obsta-

ranou konfiguráciou bolo veľmi náročné až nemožné zapojiť do riešenia základnú službu v zmysle zákona

o KB, najmä prevádzkované informačné systémy Ústredného portálu verejnej správy a ďalšie.

NKÚ SR v súvislosti s určením PHZ preveril aj podklady, ktoré ÚPVII predložil na kontrolu RO OPII a zisťoval, či

bola predložená kompletná dokumentácia, z ktorej reálne vychádzal pri stanovení PHZ. Kontrola preukázala, že

predmetom posúdenia RO OPII neboli podklady k výpočtu PHZ, z ktorých ÚPVII reálne vychádzal pri sta-

novení celkovej PHZ. V podkladoch neboli uvedené kľúčové obstarávané komponenty ani doložené podklady z

prieskumu cien produktov na internete a cenníkov viacerých výrobcov jednotlivých tovarov, ako ÚPVII RO OPII

informoval. RO OPII preto nemohol overovať hospodárnosť výdavkov zákazky, avšak voči predloženej do-

kumentácii ani nenamietal a nežiadal ÚPVII, aby ju doplnil. Výpočet PHZ pre časť obstarávania realizovaného

NBÚ pre potreby NBÚ a SIS, vychádzal z kvalifikovaných odhadov nákladov a z predpokladaných rozpočtov oboch

partnerov. Jednotlivé rozpočty partnerov boli nezávisle posúdené z pohľadu opodstatnenosti položiek v zmysle

pôsobnosti partnera, ako aj z pohľadu reálnosti stanovených nákladov. Posúdená bola aj návratnosť projektu. PHZ

predstavovala sumu celkom 27 156 914 eur s DPH.

NBÚ jednotlivé položky v rámci modulov vo výpočte ohodnotil buď na základe cien uvedených v Global Price Lists

jednotlivých výrobcov, platných na rok 2018, na základe prieskumu trhu prostredníctvom dostupných cien uvede-

ných na internete pre tovary s uvedenou špecifikáciou v popise položky, alebo na základe predpokladaných nákla-

dov na dodávané služby uvedené v popise položky. Položky v module školenia boli vypočítané na základe cien

uvedených v cenníkoch jednotlivých spoločností, ktoré poskytujú školenia a certifikáciu. Ani v tomto prípade pod-

klady, ktoré sa týkali prieskumu cien produktov na internete alebo cenníkov výrobcov jednotlivých tovarov, ktoré

| 9

NBÚ v žiadosti o vykonanie prvej ex ante kontroly uviedol, a na základe ktorých stanovil PHZ na predmet zákazky,

neboli predmetom konzultácií s RO OPII a RO OPII neoveroval hospodárnosť výdavkov zákazky.

NKÚ SR preto preveroval, do akej miery bol dodržaný princíp hospodárnosti, efektívnosti a účelnosti vynaložených

prostriedkov pri obstarávaní konkrétnych komponentov. Kontrolou NKÚ SR bolo zistené, že v niekoľkých de-

siatkach prípadov fakturované ceny za „Rozbalenie, montáž, osadenie HW do rackov a káblovanie, likvidáciu

obalov, oživenie zariadení, aktualizáciu, test funkčnosti, inštalačnú dokumentáciu a projektový manažment“, boli

predražené, alebo v niektorých prípadoch neopodstatnené. Predpoklad NBÚ bol v indikovaných prípadov spra-

vidla reálnejší ako ponuka hospodárskeho subjektu, v prospech ktorého bola zadaná zákazka (úspešného dodá-

vateľa). Napríklad za likvidáciu obalu z HDMI kábla obstarávateľ predpokladal výdavky 7 eur za kus. Úspešný

dodávateľ fakturoval 84 eur za kus. Išlo o HDMI kábel štandardného typu, ktorý nevyžaduje žiadnu špeciálnu ma-

nipuláciu ani inštaláciu. Za likvidáciu obalu z monitoru PC, resp. jeho inštaláciu obstarávateľ predpokladal výdavky

25,75 eur za kus. Úspešný dodávateľ fakturoval 420 eur za kus. Išlo o štandardný monitor k PC, ktorý nevyžaduje

žiadnu osobitnú inštaláciu.

Pri vychádzaní z premisy, že na strane obstarávateľa aj úspešného dodávateľa ocenenie robili odborníci

na informačno-komunikačné technológie, potom za takéto diametrálne odlišné (niekedy až neadekvátne

vysoké) stanovenie ceny za inštalačné a implementačné práce, môže byť zodpovedný pravdepodobne aj

nesprávne nastavený mechanizmus, ktorý umožňuje v neprimerane širokom spektre definovať podmienky

za takúto službu.

SÚŤAŽNÉ PODKLADY

V rámci kontroly boli preskúmané predložené návrhy hospodárskych subjektov, ktorí predložili ponuku (vrátane

ponuky úspešného dodávateľa). Po preverení všetkých modulov kontrola zistila, že celková suma za komponenty

v rámci modulu pracovisko č. 4, súvisiace s dobudovaním spôsobilosti jednotky CSIRT.SK, nebola správne určená.

Úspešný dodávateľ pochybil, keď do stĺpca „Celková cena bez DPH“ uviedol celkovú cenu s DPH a do stĺpca „Cel-

ková cena s DPH“ uviedol cenu z predchádzajúceho stĺpca zaťaženú ďalšou sadzbou DPH, čo cenu za modul

navýšilo cca o 50 tis. eur s DPH. ÚPVII sa v rámci obstarávania dôsledne nezaoberal preskúmaním doruče-

ných cenových ponúk, keďže si chybný výpočet nevšimol, chybu nenamietal a na chybu neupozornil ani

RO OPII pri následnej kontrole.

Kontrola sa zaoberala aj postupmi pri stanovovaní ceny za jednotlivé komponenty pre potreby dobudovania spô-

sobilosti jednotky CSIRT.SK. Jednotkovú cenu za komponent a následne celkovú sumu za všetky komponenty

v rámci jednej položky vládna jednotka CSIRT.SK (ÚPVII) vyrátala ako súčet cien len za samotný HW a SW. V sú-

ťažných podkladoch pre záujemcov sa však následne predpokladalo, že pri väčšine komponentov táto cena ne-

predstavovala len sumu za obstarávaný HW alebo SW, ale aj za služby na „Inštalačné a konfiguračné práce“, resp.

aj za „integráciu do existujúceho prostredia“. Keďže cena za položku (komponent) bola stanovená ako jedna cena,

ktorá zahŕňala nielen cenu za HW (SW), ale aj cenu za inštaláciu, konfiguračné práce, resp. aj integráciu do exis-

tujúceho prostredia, v konečnom dôsledku nebolo možné presne určiť, za koľko bol HW (SW), teda samotný

komponent, reálne obstaraný.

3.3 SPÔSOB OBSTARANIA PROJEKTU

Národný projekt KB bol realizovaný vo dvoch obstarávaniach. Jedno uskutočňoval ÚPVII (ako verejný obstará-

vateľ a zároveň hlavný partner projektu), ktorý realizoval obstarávanie na Dobudovanie spôsobilosti jednotky

CSIRT.SK a Dobudovanie spôsobilosti GOV CERT SK v podmienkach NASES, a druhé obstarávanie realizoval

NBÚ ako verejný obstarávateľ časti Národného projektu KB, určenej pre potreby NBÚ a SIS.

V prípade oboch obstarávaní postupovali hlavný partner (ÚPVII) a NBÚ pri uplatňovaní výnimky z VO podľa Prí-

ručky pre realizáciu VO MDaV SR a Metodického pokynu CKO 12 k zadávaniu zákaziek nespadajúcich pod zákon

o verejnom obstarávaní. V rámci schváleného Návrhu postupu boli identifikované kritériá na hospodárske subjekty

(záujemcov, dodávateľov), ktoré museli spĺňať stanovené podmienky.

NKÚ SR k samotným kritériám výberu hospodárskych subjektov uvádza, že napriek rozhodnutiu hlavného partnera

(ÚPVII) a NBÚ, že budú postupovať tak, aby boli zachované princípy – transparentnosti, rovnakého zaobchádzania

(vrátane skúmania konfliktu záujmov), nediskriminácie hospodárskych subjektov, hospodárnosti, efektívnosti, pro-

| 10

porcionality, účinnosti a účelnosti, boli nimi stanovené kritéria diskriminačné. Stanovené kritéria zužovali mož-

nosť účasti na obstarávaní len na také subjekty, ktoré mali platnú zmluvu o prístupe podnikateľa k utajovaným

skutočnostiam, a teda sa podieľali na zákazkách v minulosti len s uvedenými subjektmi.

Uzavretie rámcovej dohody, čiastkových realizačných zmlúv a ich dodatkov pri všetkých troch kontrolovaných sub-

jektoch bolo v stupni utajenia DÔVERNÉ v súlade so zákonom o ochrane utajovaných skutočností. Po podpísaní

všetkými zmluvnými stranami boli tieto zmluvy, resp. ich dodatky vo všeobecnej časti odtajnené, odpojené od uta-

jovaných príloh a následne zverejnené v CRZ v zmysle zákona o slobode informácií. NKÚ SR hodnotí pozitívne

následné zverejnenie utajovaných zmlúv a ich dodatkov v súlade so zákonom o slobode informácií pri sú-

časnom dodržaní zákona o utajovaných skutočnostiach.

K 31. decembru 2020, mal NBÚ v prevádzke 92 % dodaných produktov a 8 % dodaných produktov bolo v stave

pripravenosti. Týchto 8 % bolo, v súlade s projektovým plánom, určených na operatívnu detekciu a riešenie inci-

dentov u zákazníkov a na činnosti súvisiace s forenznou analýzou a špecializovanými činnosťami prevencie a re-

akcie na kybernetické bezpečnostné incidenty. Z celkového dodaného množstva HW a SW bolo na MIRRI SR k 31.

decembru 2020 v používaní zatiaľ iba 1,98 % komponentov, pričom NASES nedokázala definovať, aké prvky

HW a SW boli nainštalované a čo bolo reálne v prevádzke. Z pandemických dôvodov došlo k predĺženiu reali-

zácie Národného projektu KB do 31. decembra 2021.

4

REAKCIA KONTROLOVANÉHO SUBJEKTU

Kontrolované subjekty nevzniesli námietky proti pravdivosti, úplnosti a preukázateľnosti kontrolných zistení uvede-

ných v protokoloch o výsledkoch kontrol. Výsledky kontrol boli prerokované so štatutárnymi orgánmi kontrolova-

ných subjektov. V zmysle zápisníc o prerokovaní jednotlivých protokolov sa kontrolované subjekty zaviazali prijať

opatrenia a následne zaslať správu o ich splnení, resp. plnení na NKÚ SR. Plnenie jednotlivých opatrení bude NKÚ

SR v rámci svojej činnosti monitorovať. V súvislosti s výkonom kontroly na kontrolovanom subjekte MIRRI SR bolo

zo strany NKÚ SR podané trestné oznámenie.

5

KONTAKT

Najvyšší kontrolný úrad Slovenskej republiky

Priemyselná 2

824 73 Bratislava 26

Ministerstvo investícií, regionálneho rozvoja

a informatizácie Slovenskej republiky

Štefánikova 882/15

02/50 114 911

811 05 Bratislava

info@nku.gov.sk

02/2092 8258

tlacove@vicepremier.gov.sk

Národná agentúra pre sieťové a elektronické

služby

Kollárova 543/8

917 02 Trnava



02/3278 0700

podatelna@nases.gov.sk

Národný bezpečnostný úrad

Budatínska 30

851 06 Bratislava



02/6869 1111

podatelna@nbu.gov.sk

| 11

6

PRÍLOHA

ODPORÚČANÝ POSTUP ZÁKLADNÝCH KROKOV

pri realizácii „obranno-bezpečnostných výnimiek“

(zákazky s prvkom utajenia)

1.

2.

Odôvodnenie potreby

Analýza režimu obstarávania zákazky – výnimku je možné uplatniť len ak neexistujú menej rušivé

opatrenia.

Použitie výnimky z aplikácie pravidiel a postupov vo verejnom obstarávaní musí byť založené na identifi-

kácii základných bezpečnostných záujmov Slovenskej republiky a zhodnotení potreby špecifických opat-

rení spočívajúcich v použití tzv. priameho zadania bez aplikácie pravidiel a postupov vo verejnom obsta-

rávaní. Je zakázané, aby výnimky boli použité účelovo s cieľom vyhnúť sa transparentným a súťažným

postupom zadávania zákazky bez objektívnych dôvodov (viď. kľúčový rozsudok Súdneho dvora EÚ vo

veci C – 187/16).

3.

Odôvodnenie, preukázanie oprávnenosti použitia výnimky (preukázať, že konkrétne prijaté opatrenie

je nevyhnutné a objektívne zodpovedajúce ochrane identifikovaných základných bezpečnostných záujmov

Slovenskej republiky) a jej podloženie relevantnou dokumentáciou. Predmetná výnimka sa musí vykla-

dať reštriktívne - zužujúco (viď. ustálená judikatúra Súdneho dvora EÚ, napr. rozsudky Súdneho dvora

EÚ: C-57/94, C-385/02, C-20/01 a C-394/02).

4.

5.

Stanovenie požiadaviek na spôsobilosť a dôveryhodnosť dodávateľov (nastavenie vhodných pod-

mienok postupu zadávania zákazky ako aj zmluvných podmienok) a určenie potrebných (vyžadovaných)

dokladov.

Zistenie - overenie možností trhu (počet oprávnených hospodárskych subjektov). V prípade existencie

jediného dodávateľa musí verejný obstarávateľ / obstarávateľ / osoba podľa § 8 zákona o verejnom ob-

starávaní, ktorá z dôvodu použitia výnimky nepostupuje podľa zákona podľa zákona o verejnom obstará-

vaní, túto skutočnosť písomne zdôvodniť / doložiť relevantným dokladom preukazujúcim túto sku-

točnosť.

6.

Zistenie ceny obvyklej na trhu – povinnosť aj v prípadoch, kedy zadávanie zákaziek na dodanie tovarov,

stavebných prác alebo služieb nespadá pod zákon o verejnom obstarávaní, postupovať pri ich obstarávaní

v súlade so Zmluvou o fungovaní EÚ a o. i. dodržiavať aj princíp zákonnosti a zásadu riadneho fi-

nančného riadenia, resp. zásadu hospodárnosti, efektívnosti a účinnosti.

7.

8.

Preukázanie nákupu „hodnoty za peniaze“ – napr. rokovanie o podmienkach zákazky, najmä o tech-

nických, administratívnych a finančných podmienkach. Predloženie potrebných (vyžadovaných) dokladov.

Vyhotovenie Zápisnice z rokovaní. Overenie možného konfliktu záujmov a preukázanie jeho overenia.

Overenie zápisu v registri partnerov verejného sektora (ak je to v zmysle protischránkového zákona

relevantné).

9.

Uzatvorenie zmluvy resp. rámcovej dohody tak, aby bola rozčlenená na časť verejnú a utajovanú.

10.

Zaslanie verejnej časti povinne zverejňovanej zmluvy / rámcovej dohody na jej zverejnenie v centrál-

nom registri zmlúv (resp. zverejnenie na webovom sídle povinnej osoby) v súlade so zákonom o slo-

bode informácií.

*V prípade zákaziek financovaných EŠIF sa postupuje aj podľa pravidiel a pokynov Centrálneho koordinačného orgánu, riadiacich orgánov.

Nevyhnutnosťou je kontrola súladu finančnej operácie s právom SR a EÚ. Vykonanie kontroly v zmysle

zákona č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov v znení

neskorších predpisov (v prípade subjektov, ktoré sú povinné postupovať v zmysle tohto zákona).

| 12