Vyhláška MIRRI SR o zabezpečení prevádzky, servisu, podpory, monitoringu a hodnotenia informačných technológií verejnej správy

(Návrh)

VYHLÁŠKAMinisterstva investícií, regionálneho rozvoja a informatizácie Slovenskej republikyz .......2022o zabezpečení prevádzky, servisu, podpory, monitoringu a hodnotenia informačnýchtechnológií verejnej správy

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky podľa § 31 písm. c), f), g), h) a i) zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) ustanovuje:

§ 1Predmet úpravy

(1)Táto vyhláška ustanovuje

a)podrobnosti o nastavení riadenia prevádzky informačných technológií verejnej správy (ďalej len "prevádzka"),

b)podrobnosti o zabezpečení riadenia prevádzky vrátane zmenových požiadaviek v prevádzke, servisných požiadaviek, zmlúv v prevádzke, správy prevádzkových problémov a prevádzkových incidentov,

c)podrobnosti o zabezpečení riadenia kontinuity prevádzky,

d)úrovne prevádzkových problémov a prevádzkových incidentov a kritériá na určenie úrovne kontinuity,

e)podrobnosti o zmluve v prevádzke,

f)najvyššiu celkovú cenu na účely § 11 ods. 7 zákona a spôsob jej určenia,

g)rozsah a spôsob plnenia iných povinností v prevádzke než podľa písmen a) až f) v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov,

h)rozsah a oblasti zberu údajov v prevádzke.

(2)Táto vyhláška sa vzťahuje na informačné technológie v správe orgánu riadenia, ktorých veľkosť je taká, že na ich údržbu, prevádzku, alebo rozvoj sa rozpočtujú ročne bežné výdavky v súčte v sume najmenej 100 000 eur.

§ 2Vymedzenie základných pojmov

(1)Na účely tejto vyhlášky sa rozumie

a)servisnou požiadavkou požiadavka na činnosť iniciovaná používateľom informačnej technológie, ktorá je v rozsahu poskytovanej služby alebo iniciuje vytvorenie zmenovej požiadavky v prevádzke, ak nie je v rozsahu poskytovanej služby,

b)zmenovou požiadavkou v prevádzke je požiadavka na zmenu v prevádzke,

c)prevádzkovým incidentom každá nahlásená alebo zistená udalosť spojená s aktívom alebo jeho časťou, alebo vada aktíva alebo jeho časti, ktorých následkom je nedostupnosť alebo znížená kvalita aktíva alebo jeho časti s vplyvom na poskytovanie informačných technológií,

d)prevádzkovým problémom príčina jedného alebo viacerých prevádzkových incidentov, ktorá nie je známa v dobe vytvorenia záznamu o prevádzkovom incidente alebo príčina, pri ktorej je predpoklad vzniku prevádzkového incidentu,

e)zmenou v prevádzke činnosť spočívajúca v riešení zmenových požiadaviek v prevádzke vrátane úpravy, rozvoja, opravy informačnej technológie verejnej správy alebo odstránenia prevádzkového incidentu,

f)zmluvou v prevádzke prevádzková zmluva alebo zmena v prevádzke, bez ohľadu na to, či ide o záväzkovoprávny alebo iný právny vzťah, ako aj bez ohľadu na to, či povinnosť plnenia má orgán riadenia, osoba, ktorá s ním je v pracovnoprávnom alebo obdobnom pracovnom vzťahu, alebo iný subjekt,

g)prevádzkovou zmluvou je právny vzťah, ktorého predmetom je činnosť potrebná na zabezpečenie prevádzky informačnej technológie verejnej správy alebo riešenia servisných požiadaviek,

h)štandardnou zmenou v prevádzke zmena v prevádzke, ktorá je predschválená, predstavuje malé riziko, je bežná a vykonaná v súlade s definovaným postupom, procedúrou alebo pracovnou inštrukciou,

i)núdzovou zmenou zmena v prevádzke, ktorou správca úplne alebo čiastočne odvracia, napráva bezprostredne hroziaci, existujúci havarijný stav alebo kritický prevádzkový incident,

j)havarijným stavom stav informačnej technológie, ktorý nie je možné odstrániť v lehote určenej správcom v nadväznosti na procesy agendy a spôsobuje nedostupnosť poskytovaných služieb,

k)aktívami aktíva podľa osobitného predpisu,1)

l)hardvérovou infraštruktúrou aktíva hardvérovej povahy tvoriace fyzický základ pre ucelený ekosystém informačných technológií príslušného orgánu riadenia,

m)platformou funkčné zoskupenie softvérových aktív využívajúce časť hardvérovej infraštruktúry na účely poskytnutia zdrojov pre softvérové aktíva aplikačného charakteru,

n)prostredím platforma a ďalšie softvérové aktíva najmä aplikačného charakteru tvoriace spolu celok schopný poskytovať časť služieb informačného systému alebo služby informačného systému ako celku,

o)okolitým prostredím fyzické prostredie, v ktorom sa informačné technológie nachádzajú,

p)koncovou službou služba, ktorá napĺňa určitú potrebu používateľa pri komunikácii s verejnou správou,

q)koncovou službou typu prezentačná služba koncová služba, pri ktorej správca informačného systému verejnej správy cez redakčný systém zverejňuje údaje, informácie alebo súbory z informačného systému verejnej správy, ktoré sú dostupné 24 hodín denne,

r)koncovou službou typu podanie koncová služba pozostávajúca z elektronického podania2) alebo elektronického úradného dokumentu3),

s)návštevou informačného obsahu koncovej služby zobrazenie informácie zo špecializovaného portálu o koncovej službe a návodu pre používateľa, ako má službu iniciovať,

t)dostupnosťou služby možnosť používať službu v okamihu jej potreby, zvyčajne vyjadrená ako percento času dostupnosti služby v danom období, obvykle za rok,

u)funkčnosťou služby schopnosť služby poskytnúť bezporuchové plnenie počas jej používania, v rozsahu pre službu určených funkcií a požiadaviek,

1) § 2 písm. a) vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy.

2) § 3 písm. j) zákona č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente)

3) § 3 písm. k) zákona č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente)

(2)Prevádzková zmluva a zmeny v prevádzke sú veľkými, ak celková cena prevádzkovej zmluvy alebo zmeny v prevádzke je najmenej 1 000 000,- eur.

(3)Celková cena podľa odseku 2 sa určuje ku každej informačnej technológii verejnej správy samostatne. Ak je plnenie zo zmluvy v prevádzke dohodnuté ako

a)konkrétna činnosť alebo súbor činností s určenou alebo určiteľnou pevnou odplatou, celkovou cenou je suma tejto odplaty,

b)konkrétna činnosť alebo súbor činností, alebo dohodnuté popisom druhov činností, ktoré sa majú vykonávať a odplata závisí od rozsahu poskytnutých plnení, celkovou cenou je najvyššia možná suma, ktorú možno podľa zmluvy o prevádzke na všetky plnenia z nej vynaložiť,

c)opakovaná činnosť alebo súbor činností, alebo dohodnuté ako opakované plnenie dohodnuté popisom druhov činností, ktoré sa majú vykonávať a odplata je určená alebo určiteľná ku každému opakovanému vykonávaniu činnosti, celkovou cenou je súčet jednotlivých súm odplaty.

(4)Ak sa celková cena podľa odseku 2 určuje podľa § 11 ods. 7 posledná veta zákona z viacerých zmlúv v prevádzke, na účely odseku 2 sa posudzujú spoločne zmluvy v prevádzke uzatvorené k jednej informačnej technológii verejnej správy v priebehu 12 po sebe nasledujúcich kalendárnych mesiacov a veľkou zmluvou v prevádzke je každá zmluva v prevádzke, ktorej celkovou cenou dôjde k dosiahnutiu alebo prekročeniu sumy podľa odseku 2.

(5)Ak je povinným zo zmluvy v prevádzke osoba v pracovnoprávnom alebo inom pracovnom vzťahu k orgánu riadenia, celková cena podľa odseku 2 sa určuje ako súčet všetkých nákladov orgánu riadenia na plnenie zo zmluvy v prevádzke.

(6)Ak je zmluva v prevádzke rámcovou dohodou alebo obdobným druhom právneho vzťahu, ktorý určuje spôsob zadávania konkrétneho plnenia, zmluvou v prevádzke je aj každý právny vzťah, ktorým sa zadáva plnenie z rámcovej dohody alebo obdobného druhu právneho vzťahu.

§ 3Klasifikácia aktív a ich posúdenie

(1)Aktíva sa posudzujú z pohľadu služieb, ktoré orgán riadenia poskytuje, ako aj z pohľadu dopadu na informačné technológie verejnej správy v správe orgánu riadenia.

(2)Na účely podľa prvej vety sa vytvára katalóg služieb, ktorý pre každú službu definuje kvalitu, rozsah a časové pokrytie zabezpečenia poskytovanej služby a ktorého obsah tvoria informácie o koncových službách, službách pre interných používateľov orgánu riadenia, službách pre ostatné orgány verejnej moci, službách poskytujúcich alebo obsluhujúcich rozhrania informačných systémov a podporných službách, ktoré sú potrebné na dodávku týchto služieb. Kvalitatívne požiadavky na službu vychádzajú najmä z požiadaviek na kvalitu, rozsah a spôsob plnenia úloh podľa všeobecne záväzných právnych predpisov, na ktorých plnenie služba slúži a kritickosti plnenia týchto úloh, alebo následkom nemožnosti ich plnenia.

(3)Aktíva v správe orgánu riadenia sa priraďujú k jednotlivým službám podľa katalógu služieb, na ktorých poskytovanie slúžia.

(4)Posudzovanie aktív identifikuje stav, v akom sa aktíva nachádzajú a tento stav sa vyhodnocuje z pohľadu dopadu na dostupnosť služby, na ktorej poskytovanie slúžia, ako

aj z pohľadu dopadu ich výpadku na činnosť orgánu riadenia a kritickosti pre zabezpečenie činnosti orgánu riadenia.

(5)Na základe posúdenia aktív sa aktíva zaradia do klasifikačného stupňa informačných aktív z hľadiska ich dostupnosti podľa osobitného predpisu.4)

(6)Služby zaradené v zozname kľúčových parametrov pre riadenie prevádzky podľa § 9 ods. 1 písm. k) prvého bodu zákona sa klasifikujú v súlade s týmto zaradením.

(7)Údaje týkajúce sa klasifikácie aktív a ich posúdenia sa vedú a uchovávajú centralizovane v elektronickej podobe v informačnom systéme, ktorého je orgán riadenia správcom a ak ide o služby vyžadujúce vysokú dostupnosť aj v centrálnom metainformačnom systéme verejnej správy (ďalej len „metainformačný systém“).

§ 4Správa servisných požiadaviek a prevádzkových incidentov

(1)Správa servisných požiadaviek a prevádzkových incidentov sa zabezpečuje tak, aby sa dosiahlo efektívne využívanie informačných technológií a minimalizovanie prerušenia dostupnosti služby, a to najmä pomocou včasného riešenia servisných požiadaviek a prevádzkových incidentov. Na účely podľa prvej vety sa zabezpečí činnosť jednotného kontaktného miesta pre používateľov, osoby zodpovedné za prevádzku informačných technológií a osoby zodpovedné za bezpečnosť informačných technológií, ktoré slúži na nahlasovanie prevádzkových incidentov, bezpečnostných incidentov a servisných požiadaviek, ich evidenciu a sledovanie stavu riešenia (ďalej len „ServiceDesk“).

(2)Správou servisných požiadaviek a prevádzkových incidentov sa na účely tejto vyhlášky rozumie poskytovanie včasných a efektívnych reakcií na požiadavky používateľa, riešenie prevádzkových incidentov vrátane evidencie kybernetických bezpečnostných incidentov.5) Súčasťou výkonu správy sú najmä obnovenie prevádzky služby, zaznamenanie, splnenie alebo nesplnenie servisnej požiadavky používateľa a zaznamenanie, zaznamenanie, diagnostikovanie, eskalácia a vyriešenie prevádzkového incidentu.

(3)Servisné požiadavky sa klasifikujú minimálne v rozsahu troch úrovní podľa priority, a to na servisnú požiadavku priority

a)vysokej,

b)strednej,

c)nízkej.

(4)Riešenie servisnej požiadavky a jej uzavretie sa zabezpečuje v závislosti od úrovne servisnej požiadavky v lehotách, ktoré určí orgán riadenia.

(5)Prevádzkové incidenty sa klasifikujú minimálne v rozsahu troch úrovní podľa závažnosti, a to na prevádzkový incident označený kategóriou

a)„A“– kritický, ak incident spôsobí úplné zlyhanie informačnej technológie ako celku a nie je možné používať ani jednu jej časť,

b)„B“– závažný, ak incident zapríčiní čiastočné zlyhanie informačnej technológie, ktoré neumožňuje používať jej časť,

4) Príloha č. 2, písm. A, bod 3

vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje

obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných

bezpečnostných opatrení

5) § 3 písm. k) zákona č. 69/2018 Z. z. v znení zákona č. 287/2021 Z. z.

c)„C“– nezávažný, ak incident spôsobí čiastočné zlyhanie funkcionality informačnej technológie a informačná technológia je použiteľná s obmedzeniami.

(6)Vyriešenie prevádzkového incidentu a jeho uzavretie sa zabezpečuje v závislosti od kategórie prevádzkového incidentu v takých lehotách, aby boli splnené požiadavky procesov agendy na dostupnosť informačných technológií stanovených katalógom služieb.

§ 5Správa prevádzkových problémov

(1)Správa prevádzkových problémov sa zabezpečuje tak, aby sa zvýšila dostupnosť služieb, zlepšila úroveň služieb, znížili náklady na služby, zvýšila spokojnosť používateľa znižoval počet prevádzkových problémov a aby sa zabezpečilo identifikovanie zdrojových príčin prevádzkových problémov ako súčasť ich riešenia. Správa prevádzkových problémov sa zabezpečuje prostredníctvom informačného systému pre riadenie prevádzky, ktorého je orgán riadenia správcom, a to pre každú prevádzkovanú informačnú technológiu, ktorej je správcom.

(2)Správou prevádzkových problémov sa na účely tejto vyhlášky rozumie identifikácia a klasifikácia prevádzkových problémov, ich základných príčin, poskytovanie včasného riešenia, aby sa zabránilo opakujúcim sa prevádzkovým incidentom, kybernetickým bezpečnostným incidentom5) a poskytovaním odporúčaní na vylepšenia.

§ 6Správa zmenových požiadaviek v prevádzke a zmien v prevádzke

(1)Správa zmenových požiadaviek v prevádzke a zmien v prevádzke sa zabezpečuje tak, aby sa rýchlo a spoľahlivo nasadili zmeny a zmiernilo riziko ich nepriaznivého vplyvu na stabilitu, integritu alebo kybernetickú bezpečnosť6) zmeneného prostredia. Správa zmenových požiadaviek v prevádzke a zmien v prevádzke sa zabezpečuje prostredníctvom informačného systému pre riadenie prevádzky, ktorého je orgán riadenia správcom, a to pre každú prevádzkovanú informačnú technológiu, ktorej je správcom.

(2)Správou zmenových požiadaviek v prevádzke a zmien v prevádzke sa na účely tejto vyhlášky rozumie správa všetkých zmien informačných technológií kontrolovaným procesom, vrátane štandardných zmien a núdzových zmien týkajúcich sa agendových a ostatných procesov, aplikácií a infraštruktúry a zahŕňa štandardy zmien tejto správy, pravidlá pre prioritizáciu a postupy schvaľovania a nasadzovania zmien v prevádzke, hodnotenie ich vplyvu, stanovenie priority a schválenia zmeny, núdzové zmeny ako aj sledovanie, reportovanie, ukončovanie a dokumentovanie zmien.

(3)Pri výkone správy zmien v prevádzke v časti hodnotenia vplyvu zmeny sa vykonáva aj posúdenie aktíva a klasifikáciu aktíva podľa § 3.

(4)Na účely správy zmenových požiadaviek v prevádzke a zmien v prevádzke sa vyhotovuje a aktualizuje ročný plán pripravovaných a predpokladaných zmenových požiadaviek v prevádzke a zmien v prevádzke, v súlade s koncepciou rozvoja

6) § 3 písm. h) zákona č. 69/2018 Z. z. v znení zákona č. 287/2021 Z. z.

informačnej technológie; časový harmonogram sa určí najmä s ohľadom na termíny nasadenia, ktoré vyplývajú z plnenia úloh orgánu riadenia podľa všeobecne záväzných právnych predpisov alebo majú zásadný vplyv na zabezpečenie kontinuity prevádzky a bezpečnosti poskytovaných služieb.

(5)Známe alebo predpokladané zmeny v prevádzke možno plánovať aj na obdobie dlhšie ako jeden kalendárny rok vopred, v súlade s koncepciou rozvoja informačnej technológie.

(6)Pripravované a predpokladané zmeny v prevádzke z ročného plánu podľa odseku 4, ktorých celková hodnota presiahne 200 000 eur, sa oznamujú a aktualizujú aj prostredníctvom metainformačného systému.

(7)Ak ide o zmenovú požiadavku na veľkú zmenu v prevádzke postupuje sa podľa § 7.

§ 7Správa veľkých zmenových požiadaviek v prevádzke a veľkých zmien v prevádzke

(1)Správa veľkých zmenových požiadaviek v prevádzke a veľkých zmien v prevádzke sa zabezpečujú tak, aby bola ich implementácia v pomeroch orgánu riadenia bezpečná a vykonaná v súlade s očakávanými prínosmi určenými orgánom riadenia. Správa veľkých zmenových požiadaviek v prevádzke a veľkých zmien v prevádzke sa zabezpečuje prostredníctvom informačného systému pre riadenie prevádzky, ktorého je orgán riadenia správcom, a to pre každú prevádzkovanú informačnú technológiu, ktorej je orgán riadenia správcom.

(2)Správou veľkých zmenových požiadaviek v prevádzke a veľkých zmien v prevádzke sa na účely tejto vyhlášky rozumie určený postup akceptovania a zavedenia nových alebo modifikovaných riešení alebo agendových procesov do prevádzky. Správa veľkých zmenových požiadaviek v prevádzke a veľkých zmien v prevádzke zahŕňa spravidla plánovanie implementácie, zmeny systému, konverziu dát, akceptačné testovanie, komunikáciu, prípravu vydania, podporu vytvorenia nových alebo zmenených procesov a služieb, včasnú podporu prevádzky, vypracovanie bezpečnostných opatrení7) a vyhodnotenie zmeny po implementácii.

(3)Veľká zmena v prevádzke sa predkladá na posúdenie a schválenie orgánu vedenia prostredníctvom metainformačného systému.

(4)Ak orgán riadenia postupuje pri veľkej zmenovej požiadavke v prevádzke a veľkej zmene v prevádzke postupom ustanoveným osobitným predpisom pre veľký projekt,8) ustanovenia prílohy upravujúce správu veľkých zmenových požiadaviek v prevádzke a veľkých zmien v prevádzke sa nepoužijú.

(5)Ak je to odôvodnené povahou veľkej zmeny v prevádzke, alebo inými okolnosťami, ktoré môžu byť rizikom pre riadnu implementáciu v pomeroch orgánu riadenia, súhlas orgánu vedenia možno podmieniť postupom orgánu riadenia ako pri veľkom projekte podľa osobitného predpisu;10) ustanovenia prílohy upravujúce správu veľkých zmenových požiadaviek v prevádzke a veľkých zmien v prevádzke sa nepoužijú.

7) Vyhláška č. 179/2020 Z. z.

8) § 4 až 9 vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 85/2020 Z. z. o riadení projektov v znení zákona č. 545/2021 Z. z.

§ 8Správa aktív a ich konfigurácií

(1)Správa aktív sa zabezpečuje tak, aby bola zaistená zodpovednosť za všetky aktíva a optimalizovaná hodnota aktív poskytovaná ich používaním. Správa aktív sa zabezpečuje prostredníctvom informačného systému pre riadenie prevádzky, ktorého je orgán riadenia správcom, a to pre každú prevádzkovanú informačnú technológiu, ktorej je správcom.

(2)Správou aktív sa na účely tejto vyhlášky rozumie spravovanie aktív počas ich životného cyklu s cieľom zabezpečiť prínos hodnoty pri optimálnych nákladoch, funkčnosť a vhodnosť pre daný účel, určenie zodpovednej osoby, ochranu podľa hodnoty aktíva, spoľahlivosť a dostupnosť aktív rozhodujúcich pre podporu schopnosti orgánu riadenia poskytovať služby. Ak ide o aktíva, ktorými sú softvérové licencie, správou aktív sa na účely tejto vyhlášky rozumie získanie, zachovanie a nasadenie optimálneho počtu softvérových licencií v súvislosti s požadovaným agendovým systémom, využitie a nainštalovanie softvéru v súlade s licenčnými podmienkami.

(3)Správa konfigurácie aktív sa zabezpečuje tak, aby boli poskytované dostatočné informácie o aktívach tvoriacich službu, s cieľom ich efektívneho spravovania. Správa konfigurácie aktív zahŕňa posudzovanie vplyvu zmien, zabezpečenie efektívneho riešenia servisných požiadaviek, prevádzkových incidentov a prevádzkových problémov. Správa konfigurácie aktív sa zabezpečuje prostredníctvom informačného systému pre riadenie prevádzky, ktorého je orgán riadenia správcom, a to pre každú prevádzkovanú informačnú technológiu, ktorej je správcom alebo prostredníctvom viacerých špecializovaných služieb špecificky vhodných pre danú triedu aktív, ktorých je orgán riadenia správcom.

(4)Správou konfigurácie aktív sa na účely tejto vyhlášky rozumie definovanie a udržiavanie popisov, parametrov a hodnôt konfigurácie, vzťahov medzi aktívami a schopnosťami aktív požadovanými na poskytovanie služieb informačných technológií. Súčasťou správy konfigurácie aktív je aj zhromažďovanie informácií o konfigurácii, ich overovanie, auditovanie informácií o konfigurácii a aktualizácia úložiska konfigurácií.

(5)Aktíva, ktoré boli identifikované na spoločné použitie,9) sa zverejnia prostredníctvom metainformačného systému.

(6)Využitie už existujúceho aktíva iného orgánu riadenia sa eviduje prostredníctvom metainformačného systému orgánom riadenia, ktorý aktívum využíva.

(7)Životný cyklus aktíva sa plánuje tak, aby bolo zabezpečené najmä nasledovné:

a)požiadavky na prevádzku budúceho aktíva sa zohľadnili už počas plánovania životného cyklu budúceho aktíva,

b)pred uvedením aktíva do prevádzky sa overilo, že aktívum spĺňa požiadavky podľa zákona a tejto vyhlášky,

c)splnenie požiadaviek na aktívum podľa zákona a tejto vyhlášky bolo počas jeho prevádzky pravidelne kontrolované a bolo zabezpečené odstránenie nedostatkov,

d)počas prevádzky aktíva detailne naplánuje, pripraví a zabezpečí činnosti podľa všeobecne záväzných právnych predpisov, ktoré je potrebné vykonať v súvislosti s ukončením prevádzky aktíva a to aj vo vzťahu k ostatným aktívam správcu a v prípade väzby na aktíva ostatných správcov aj vo vzťahu k nim,

9) § 15 ods. 8 písm. b) zákona č. 95/2019 Z. z.

e)naplánuje a zabezpečí činnosti súvisiace s vyradením a likvidáciou aktíva v súlade so všeobecne záväznými právnymi predpismi.

(8)Správca formálne schváli a implementuje celkový plán podpory prevádzky, údržby a rozvoja informačných technológií. Pri vyčíslení finančných a personálnych nákladov správca postupuje podľa odseku 9.

(9)Ak ide o aktívum, ktorým je služba, plánovaný životný cyklus aktíva sa prehodnocuje najmenej raz ročne, pričom sa posudzuje najmä súlad s § 6 ods. 1 písm. a) a b) zákona, s koncepciou rozvoja informačných technológií a s aktuálnymi potrebami prevádzky a posúdia sa prípadné alternatívy ďalšieho prevádzkovania služby alebo ukončenie prevádzky služby, a to najmenej na základe analýzy nákladov na službu a jej prínosov.

(10)Ak sa uzatvára prevádzková zmluva s dodávateľom, na účely riadneho výkonu prevádzky a správy aktív sú obsahom dojednania prevádzkovej zmluvy aj

a)oddelenie odplaty za rozvoj od inej odplaty,

b)dojednanie odmien za činnosť vykonávanú osobami na jednotlivých pozíciách vo forme sadzieb za dohodnutú časovú jednotku, a to najmenej vtedy, ak ide o činnosť vykonávanú nad rámec paušálne dohodnutej odplaty,

c)definovanie úrovní podpory prevádzky, vrátane rozdelenia úloh medzi orgán riadenia a dodávateľa,

d)kategorizácia prevádzkových incidentov podľa § 4 ods. 5, kybernetických bezpečnostných incidentov a dojednanie dôb na reakciu a vyriešenie incidentu,

e)povinnosť dodávateľa poskytovať orgánu riadenia súčinnosť potrebnú na plnenia jeho povinností, najmä poskytovanie údajov potrebných na monitorovanie prevádzky.

(11)Veľká prevádzková zmluva sa predkladá na posúdenie a schválenie orgánu vedenia prostredníctvom metainformačného systému.

(12)Ak celkové náklady na zabezpečenie prevádzky poskytovanej služby prostredníctvom informačného systému, ktorého je orgán riadenia správcom sú najmenej 200 000 eur a najviac 1 000 000 eur za kalendárny rok, dokumentácia k posúdeniu ekonomickej výhodnosti podľa odseku 9 sa predkladá orgánu vedenia prostredníctvom metainformačného systému.

§ 9Správa infraštruktúry, platformy, prostredia a okolitého prostredia

(1)Správa okolitého prostredia a aktív, ktorými sú infraštruktúra, platforma a prostredie sa na účely zabezpečenia stabilnej prevádzky zabezpečuje aj vykonávaním prevádzkových opatrení.

(2)Správou aktív podľa odseku 1 sa na účely tejto vyhlášky rozumie aj definovanie, vykonávanie prevádzkových opatrení pre zaistenie stabilnej prevádzky, prevádzkovanie prostredia, zabezpečovanie okolitého prostredia a priestoru potrebných k zabezpečeniu stabilnej prevádzky.

§ 10Kvalita prevádzky a kontinuita prevádzky

(1)Kvalita prevádzky služieb sa určuje na základe kritérií, ktoré vychádzajú z posúdenia aktív, klasifikácie aktív a určenia služieb vysokej dostupnosti podľa § 3 a zabezpečia, aby služby a úrovne služieb spĺňali súčasné a budúce predpokladané potreby orgánu riadenia.

(2)Zabezpečovaním kvality prevádzky služieb sa na účely tejto vyhlášky rozumie proces zosúladenia služieb a úrovní poskytovania služieb s potrebami a očakávaniami orgánu riadenia a používateľa služieb vrátane identifikácie, špecifikácie, návrhu, prijatia, zverejňovania, odsúhlasovania a monitorovania služieb, úrovní služieb a ukazovateľov výkonnosti v katalógu služieb.

(3)Kontinuita prevádzky sa zabezpečuje plánovaním a reagovaním na udalosti a prevádzkové incidenty tak, aby bolo možné pokračovať vo výkone činností na prijateľnej, vopred určenej úrovni podľa potrieb agendových procesov. Pri zabezpečovaní kontinuity prevádzky sa vychádza z posúdenia aktív, klasifikácie aktív a určenia služieb vysokej dostupnosti podľa § 3.

(4)Zabezpečením kontinuity prevádzky sa na účely tejto vyhlášky rozumie vytvorenie a udržiavanie plánu, ktorý určí postup reakcie na udalosti a prevádzkové incidenty, spôsob, ako sa prispôsobiť výpadkom alebo narušeniam prevádzky a opatrenia na zabezpečenie prevádzky určených kritických agendových procesov a požadovaných služieb, dostupnosť zdrojov, aktív a informácií na určenej úrovni podľa potrieb agendových procesov.

§ 11Správa monitorovaných údajov, riadenie dostupnosti a kapacity

(1)Správa monitorovaných údajov sa zabezpečuje tak, aby bola udržiavaná kvalita prevádzky služieb podľa § 10, efektívna správa zdrojov a optimalizácia výkonu systému pomocou predpovedania budúcich požiadaviek na výkon a kapacitu. Správa monitorovaných údajov zahŕňa aj monitorovanie aktív10) a súvisiacich udalostí. Správa monitorovaných údajov sa zabezpečuje prostredníctvom informačného systému pre riadenie prevádzky, ktorého je orgán riadenia správcom, a to pre každú prevádzkovanú informačnú technológiu, ktorej je orgán riadenia správcom alebo prostredníctvom viacerých špecializovaných služieb špecificky vhodných pre danú triedu aktív pre každú prevádzkovanú informačnú technológiu, ktorej je orgán riadenia správcom.

(2)Správou monitorovaných údajov sa na účely tejto vyhlášky rozumie činnosť, ktorej účelom je vyvažovanie súčasných a budúcich potrieb dostupnosti, výkonu a kapacity s nákladovo efektívnym poskytovaním služieb a ktorej obsahom je hodnotenie súčasných schopností, potvrdzovanie projektovaných schopností a nefunkčných požiadaviek na výkon systému, predpovedanie budúcich potrieb na základe agendových požiadaviek, analýzy dopadov na agendové procesy a hodnotenie rizika tak, aby sa mohli naplánovať a implementovať opatrenia na splnenie požiadaviek. Správa monitorovaných údajov zahŕňa aj monitorovanie aktív prostredníctvom správy meraní a spracovania hodnôt kľúčových charakteristík aktív informačných technológií a poskytovaných služieb.

10) § 15 ods. 8 zákona č. 95/2019 Z. z.

(3)Na základe vykonaného monitorovania údajov sa spravidla raz mesačne analyzujú a vyhodnocujú dosiahnuté hodnoty úrovne kontinuity prevádzky služieb vo vzťahu k požiadavkám na kontinuitu prevádzky a prijímajú sa opatrenia na nápravu, ak dosiahnuté hodnoty úrovne kontinuity prevádzky služieb nie sú na úrovni požiadaviek na kontinuitu prevádzky určených plánom podľa § 10 ods. 4.

(4)Ak ide o služby vyžadujúce podľa § 3 vysokú dostupnosť a strednú dostupnosť, o ich aktuálnom stave dostupnosti a funkčnosti, o začiatku výpadku, ukončení výpadku, plánovanej odstávke, začatí plánovanej odstávky, ukončení plánovanej odstávky, plánovanom termíne ukončenia poskytovania a o ukončení poskytovania služby sa informuje prostredníctvom metainformačného systému.

§ 12Monitorovanie využívania koncových služieb

(1)Správca zabezpečuje monitorovanie využívania koncových služieb pre informačné systémy, ktoré majú bežné výdavky nad 100 000 eur ročne evidované správcom v informačnom systéme Ministerstva financií Slovenskej republiky.

(2)Monitorovanie využívania koncových služieb sa realizuje prostredníctvom sledovania vybraných parametrov koncových služieb poskytovaných pre fyzickú osobu, fyzickú osobu podnikateľa alebo právnickú osobu v prevádzke evidovanej v metainformačnom systéme.

(3)Pri koncovej službe typu podanie sa monitorujú parametre v celkovom počte

a)podaní cez všetky komunikačné kanály za merané obdobie, pričom do celkového počtu podaní sa nezapočítava ostatná komunikácia vzťahujúca sa k podaniu,

b)elektronických podaní za merané obdobie,

c)jedinečných používateľov, ktorí navštívili informačný obsah prostredníctvom Uniform Resource Locator informácie o koncovej službe z akéhokoľvek zariadenia.

(4)Pre koncovú službu typu prezentačná služba sa monitoruje parameter podľa odseku 3 písm. c).

(5)Ak je informačný obsah umiestnený na Ústrednom portáli verejnej správy, parameter nie je potrebné monitorovať a evidovať v metainformačnom systéme.

(6)Ak informačný obsah umiestnený na špecializovanom portáli zobrazuje informácie o viacerých koncových službách, celkový počet návštev informačného obsahu sa zaeviduje v metainformačnom systéme pre každú koncovú službu, ku ktorej sa informačný obsah vzťahuje.

(7)Správca monitoruje parametre podľa odsekov 3 a 4 za obdobie jedného mesiaca kalendárneho roka raz za mesiac, pričom namerané hodnoty zaeviduje v metainformačnom systéme, okrem parametra podľa odseku 3 písm. c), ktorý sa monitoruje a eviduje v metainformačnom systéme, ak je informačný obsah dostupný cez špecializovaný portál.

(8)Správca eviduje v metainformačnom systéme hodnoty za merané obdobie vždy najneskôr do piatich pracovných dní nasledujúceho mesiaca po mesiaci, v ktorom parametre monitoroval.

(9)Import hodnôt monitorovaných parametrov koncových služieb do metainformačného systému môže byť zabezpečený manuálne cez grafické používateľské rozhranie alebo hromadným importom.

§ 13Spoločné ustanovenia

(1)Pri výkone činností podľa § 4 až 11 sa pre aktívum prijímajú a vykonávajú prevádzkové opatrenia podľa prílohy, a to v závislosti od zaradenia aktíva do klasifikačného stupňa informačných aktív z hľadiska ich dostupnosti podľa osobitného predpisu.

(2)Správca v správe podľa § 4 až 11 pri realizácii prevádzkového opatrenia postupuje podľa osobitného predpisu,11) ak bezpečnostné opatrenie podľa osobitného predpisu13) dosahuje vyššiu úroveň zabezpečenia bezpečnosti sietí a informačných systémov.

(3)Správca pri duplicite alebo nekompatibilite minimálnych prevádzkových opatrení rôznych kategórií, ktoré sa vzťahujú na konkrétne aktíva, postupuje podľa ustanovení upravujúcich opatrenia vyššej kategórie.

(4)Činnosti podľa § 4 ods. 1, § 5 ods. 1, § 6 ods. 1, § 7 ods. 1, § 8 ods. 1 a 3 a § 11 ods. 1 sa vykonávajú v reálnom čase preukázanom časovou značkou implementovanou v informačnom systéme orgánu riadenia.

(5)Vo vzťahu k činnostiam podľa § 4 ods. 1, § 5 ods. 1, § 6 ods. 1, § 7 ods. 1, § 8 ods. 1 a 3 a § 11 ods. 1 sa v prevádzkovanom informačnom systéme, ktorého je orgán riadenia správcom, zabezpečí prepojenie medzi jednotlivými správami a ich hodnotami tak, aby boli splnené požiadavky na prevádzkové opatrenia.

(6)Údaje z činnosti podľa § 4 ods. 1, § 5 ods. 1, § 6 ods. 1, § 7 ods. 1, § 8 ods. 1 a 3 a § 11 ods. 1, určené orgánom vedenia podľa § 8 ods. 2 sa sprístupnia v metainformačnom systéme raz mesačne najneskôr do piatich pracovných dní nasledujúceho mesiaca po mesiaci, v ktorom orgán riadenia údaje evidoval.

(7)Činností podľa § 4 ods. 1, § 5 ods. 1, § 6 ods. 1, § 7 ods. 1, § 8 ods. 1 a 3 a § 11 ods. 1 možno vykonávať aj prostredníctvom funkcionality na tento účel vytvorenej a sprístupnenej orgánom vedenia.

§ 14Prechodné ustanovenia

(1)Pri správe aktív týkajúcich sa informačného systému sa postupuje podľa § 8 ods. 9 až 11 do 31. decembra 2023. Pri správe životného cyklu služby sa postupuje podľa § 8 ods. 9 až 11 od 1. januára 2024.

(2)Správca pri správe podľa § 4 ods. 1, § 5 ods. 1, § 6 ods. 1, § 7 ods. 1, § 8 ods. 1 a 3 a § 11 ods. 1, v ktorých je uzatvorená zmluva alebo v ktorých je vystavená objednávka na základe existujúcej zmluvy alebo rámcovej dohody, postupuje podľa tejto zmluvy alebo rámcovej dohody do 31. decembra 2023.

(3)Ak správca postupuje podľa odseku 2, ustanovenie § 13 ods. 4 sa nepoužije.

11) § 2 ods. 3 vyhlášky č. 179/2020 Z. z.