Projekt má za cieľ plošne zvýšiť úroveň kybernetickej a informačnej bezpečnosti v obciach s počtom obyvateľov do 6 000. Riešenie kombinuje technologické opatrenia vrátane inštalácie NAS, EDR a firewallov, spracovanie bezpečnostnej dokumentácie, poskytovanie školení zamestnancov a konzultácií prostredníctvom zdieľaného odborného experta. Realizácia je plánovaná cez pilotné overenie na vzorke obcí a následný centrálny rollout. Projekt je financovaný z prostriedkov Programu Slovensko a realizovaný v modeli centrálnej prevádzky a správy technológií, pričom zapojenie obcí je deklarované ako dobrovoľné. Súčasťou návrhu je prepojenie na systém včasného varovania EWS, ktorý má slúžiť ako centrálna platforma detekcie a oznamovania incidentov vrátane koordinácie reakcií.
24,8 mil EUR (13 433 864 EUR investičné náklady, zvyšok prevádzka na 10 rokov)
Ministerstvo investícií, regionálneho rozvoja a informatizácie SR
Projekt reaguje na dlhodobo zanedbanú potrebu zvýšiť úroveň kybernetickej bezpečnosti v malých obciach a rieši povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. Zároveň vykazuje viacero kľúčových nedostatkov, ktoré výrazne oslabujú predpoklad jeho účinnosti. Projekt nie je súčasťou širšieho procesného reformného rámca a zameriava sa len na technické opatrenia bez ambície systematicky posilniť kapacity obcí. Zavedenie dobrovoľnosti zapojenia, hoci rešpektuje autonómiu, môže viesť k tomu, že najohrozenejšie obce zostanú mimo intervencie. Projekt neobsahuje jasný plán, ako prispôsobiť rozsah a typ podpory rôznym úrovniam pripravenosti a kapacitám, ani riešenie situácie obcí, ktoré nedisponujú kvalifikovaným personálom. Navrhované školenia preto hrozia byť formálne bez reálneho dopadu. Kalkulácia efektívnosti je založená na expertných odhadoch bez opory v dátach z povinných auditov a bez citlivostnej analýzy. Väzba na KRIS obcí, interoperabilita so službami DEUS a integrácia s EWS sú popísané len rámcovo, bez jasného technického a procesného scenára. Projekt nerieši otvorenosť riešení, riziko vendor lock-in a nevytvára predpoklady na transparentné sledovanie výsledkov ani pravidelné hodnotenie dopadov. Absencia detailného plánu testovania a overovania odolnosti riešení predstavuje zásadné riziko z pohľadu kvality a účinnosti dodávky.
Projekt je potrebný a adresuje významnú medzeru v úrovni kybernetickej ochrany samospráv, no v aktuálnej podobe obsahuje slabiny, ktoré môžu znížiť jeho skutočný prínos. Hlavné riziká vyplývajú z absencie väzby na reformu verejnej správy, nedostatočnej metodiky práce s údajmi z auditov a neprepracovaného modelu, ako sa intervencia prispôsobí rozdielnym podmienkam obcí a ich kapacitám. Kalkulácia efektívnosti nie je podložená reálnymi dátami a projekt zatiaľ neobsahuje ucelený scenár technickej a procesnej integrácie s EWS ani konkrétne pravidlá vlastníctva, otvorenosti a interoperability riešení. Chýba metodika testovania funkčnosti a odolnosti vrátane nezávislých penetračných testov. Z pohľadu slovensko.digital ide o projekt, ktorý v princípe sleduje zmysluplný cieľ a môže byť prínosný, pokiaľ budú pred realizáciou odstránené nedostatky identifikované v tomto hodnotení. Odporúčame projekt schváliť za podmienky dopracovania a predloženia metodiky využitia údajov z auditov ako základ pre nastavenie priorít, definovania kvalitativnych KPI a spôsobu ich merania, detailného scenára integrácie s EWS a väzieb na existujúce služby DEUS, pravidiel vlastníctva a stratégie minimalizácie vendor lock-in, metodiky testovania podľa odporúčaní NBÚ SR a ISO/IEC 27001 a plánu transparentného hodnotenia výsledkov a budovania kompetencií samospráv. V prípade odstránenia týchto rizík je možné Red Flags hodnotenie aktualizovať.
30.06.2025
Príprava projektu
Reforma VS
Merateľné ciele (KPI)
Postup dosiahnutia cieľov
Biznis prínos
Príspevok v informatizácii
Kalkulácia efektívnosti
Transparentnosť a participácia
Projekt nie je súčasťou širšieho procesného reformného zámeru verejnej správy. Hoci reaguje na legislatívnu povinnosť zabezpečenia kybernetickej bezpečnosti podľa zákona č. 69/2018 Z. z., neobsahuje ambíciu zásadnej zmeny organizačných alebo procesných nastavení v samospráve. Ide prevažne o centralizované technologické opatrenie, ktoré môže viesť len k formálnemu splneniu minimálnych požiadaviek. Slabá prepojenosť s reformou procesov znižuje potenciálny dlhodobý prínos a podporu budovania kapacít na strane obcí. Projekt deklaruje súlad s legislatívnymi povinnosťami a rámcovými cieľmi NKIVS, avšak tento súlad nie je podložený konkrétnymi opatreniami reformy verejnej správy.
Projekt definuje kvantitatívne merateľné ukazovatele ako počet zapojených obcí, počet nasadených technológií a počet realizovaných školení. Chýba však definícia doplnkových indikátorov, ktoré by umožnili aspoň rámcovo vyhodnotiť prínos intervencie nad rámec formálneho plnenia povinností. Uvedomujeme si, že v oblasti kybernetickej bezpečnosti je meranie kvalitativnych KPI náročné a nie vždy presne kvantifikovateľné. Napriek tomu je možné stanoviť kontrolovateľné procesné a stavové ukazovatele, ako napríklad podiel obcí s aktualizovaným plánom opatrení, počet zaznamenaných a riešených incidentov v systéme EWS, úroveň zapojenia do monitoringu alebo mieru implementácie odporúčaní zo samohodnotení podľa zákona č. 69/2018 Z. z. V prípade auditov si uvedomujeme, že nejde o verejné dokumenty a ich detailná štruktúra podlieha obmedzeniam, avšak aj súhrnné agregované zistenia by mohli slúžiť ako východisko pre nastavenie priorít intervencie. Odporúčame preto doplniť metodiku, ktorá kombinuje kvantitatívne ukazovatele plnenia, procesné indikátory a rámcové informácie zo samohodnotení alebo auditov dostupných gestorovi projektu.
Projekt je rozdelený na pilotné overenie a následný rollout podľa záujmu obcí. V reakcii na pripomienky bol doplnený rámcový mechanizmus dobrovoľného výberu služieb a základný harmonogram realizácie, čo však samo o sebe nestačí na dôveryhodné naplánovanie intervencie. Dokumentácia neobsahuje konkrétny plán, ako prispôsobiť rozsah opatrení rozdielnym úrovniam pripravenosti a kapacitám jednotlivých samospráv, z ktorých väčšina nedisponuje kvalifikovaným personálom v oblasti kybernetickej bezpečnosti. Tento stav vytvára riziko, že intervencia nebude plošná a najkritickejšie obce ostanú mimo podpory. Navrhované školenia môžu zostať len formálnym nástrojom bez praktického dopadu na budovanie schopností obcí, ktoré nemajú poverených zamestnancov na výkon týchto úloh. Projekt tiež zatiaľ neuvádza, ako bude zabezpečená koordinácia s existujúcimi službami vrátane DEUS a akým spôsobom sa má riešiť technologická interoperabilita. Integrácia s centrálnym systémom včasného varovania EWS je popísaná len rámcovo bez detailnej procesnej a technickej špecifikácie. Celkovo absentuje ucelený scenár, ktorý by zohľadňoval rôzne východiskové podmienky, úroveň rizika a kapacitnú pripravenosť zapojených obcí.
Súlad s KRIT nie je zatiaľ vyhodnotený
Projekt rieši reálny problém nedostatočného zabezpečenia informačných systémov, čo potvrdzujú správy NKÚ aj pripomienky DEUS. Hlavným prínosom je vytvorenie základnej technologickej úrovne bezpečnosti. Slabším miestom je, že projekt nevytvára predpoklady pre budovanie kompetencií a dlhodobú nezávislosť obcí. Dlhodobý prínos závisí od nadväzujúcej podpory, vzdelávania a prepojenia na výsledky auditov.
Projekt podporuje ciele NKIVS v oblasti kybernetickej bezpečnosti, no nerieši otvorenosť technológií a vzniká riziko vendor lock-in. Neobsahuje jasnú stratégiu interoperability so službami DEUS či inými systémami.
Prenositeľnosť / Modulárnosť
Projekt zatiaľ nepreukazuje, že technologické riešenie bude modulárne a samostatne rozšíriteľné. Dodávka je plánovaná ako integrovaný balík služieb, čo môže skomplikovať budúce úpravy alebo migráciu. Odporúčame dopracovať popis možností rozšírenia a úprav komponentov bez závislosti od jedného dodávateľa.
Vendor Lock-in a autorské práva
Z dokumentácie nevyplýva, že by boli nastavené podmienky na minimalizáciu vendor lock-in alebo detailne riešené vlastnícke práva k výsledným komponentom. Chýba jasný popis, aké licencie a autorské práva budú mať obce k dokumentácii, softvéru a konfiguráciám. Tento stav vytvára riziko závislosti od jedného dodávateľa na celé obdobie životného cyklu riešenia.
Zdrojový kód / OpenSource
Projekt neuvažuje o využití open-source riešení pre monitoring, bezpečnostné služby ani spracovanie incidentov. Tento prístup znižuje potenciál flexibility a transparentnosti. Odporúčame posúdiť možnosti implementácie otvoreného kódu v častiach, kde je to technicky a legislatívne vhodné.
Prototyp GUI a navigácie
Vzhľadom na zameranie projektu na technické opatrenia nie je vytvorený prototyp používateľského rozhrania. Ak však bude súčasťou riešenia centrálna konzola prístupná obciam, je vhodné definovať štandardy dizajnu a ergonomických princípov podľa ID-SK. Absencia prototypu môže v budúcnosti sťažiť používateľskú akceptáciu.
Elektronické služby / funkcionalita / formuláre
Projekt nedefinuje nové elektronické služby ani formuláre v zmysle e-Government funkcionality. Funkcionalita je skôr prevádzková a technická, napríklad reporting incidentov a správa konfigurácií. Aj v tejto oblasti by bolo vhodné uviesť, ako sa budú sprístupňovať informácie pre štatutárov obcí cez jednotné rozhranie.
OpenAPI
Riešenie podľa dostupnej dokumentácie nepredpokladá zverejnenie funkcionality vo forme OpenAPI. Odporúčame preskúmať, či nie je vhodné vytvoriť aspoň základné API pre sledovanie prevádzky a incidentov. Zverejnenie rozhraní OpenAPI by mohlo podporiť prepojenie riešenia s centrálnym systémom EWS a zlepšiť interoperabilitu.
Riadenie/migrácia údajov
Projekt rieši najmä ochranu údajov a prevenciu straty, ale neobsahuje podrobnosti o migrácii údajov medzi existujúcimi systémami obcí a novými riešeniami. Nie je jasné, ako bude zabezpečené kontinuálne riadenie údajov v prostredí, kde sa využívajú viaceré lokálne a centrálne systémy. Odporúčame doplniť podrobnosti o správe a konsolidácii dát.
1x a dosť
V dokumentácii nie je uvedené, že projekt zabezpečí využívanie údajov v princípe „jedenkrát a dosť“.
MyData
Koncept MyData, teda sprístupnenie údajov občanom o ich vlastnej agende, projekt explicitne nerieši.
OpenData
Projekt nemá ambíciu publikovať OpenData.
Dokumentácia
Projekt obsahuje rámcový záväzok spracovania metodických materiálov, vzorovej dokumentácie a bezpečnostných plánov. Nie je však detailne popísaný ich obsah, štandard formátu ani proces odovzdania do správy obcí. Odporúčame zadefinovať presný rozsah používateľskej, prevádzkovej a bezpečnostnej dokumentácie.
Testovanie
Projektová dokumentácia zatiaľ neobsahuje detailný plán testovania dodaných komponentov ani overenia odolnosti prostredníctvom penetračných testov. Vzhľadom na kritickú povahu riešenia odporúčame spracovať stratégiu testovania vrátane UX testov, penetračných testov a overenia funkčnosti integrácie s EWS podľa odporúčaní NBÚ SR a ISO/IEC 27001.
Kalkulácia efektívnosti projektu vychádza z predpokladu, že centralizované dodanie technológií a metodická podpora prinesú úspory z rozsahu a znížia počet incidentov, čo viedlo k modelovému výpočtu priaznivého pomeru prínosov a nákladov (BCR). Projektová dokumentácia uvádza, že tieto odhady boli založené na scenároch predpokladaného poklesu finančných škôd, optimalizácie času zamestnancov obcí a porovnania s individuálnymi nákladmi na zabezpečenie. Uvedomujeme si, že kalkulácia efektívnosti v oblasti kybernetickej bezpečnosti je vždy do istej miery modelová, keďže priamy dôkaz o očakávanom znížení incidentov je len ťažko preukázateľný vopred. Napriek tomu považujeme za dôležité, aby predpoklady návratnosti boli čo najviac podložené empirickými údajmi, referenčnými benchmarkmi a realistickými scenármi rizík. Uvedomujeme si, že nie všetky údaje z auditov sú verejne dostupné a niektoré podliehajú obmedzeniam z dôvodu ochrany bezpečnosti. V dokumentácii absentuje citlivostná analýza vstupných údajov, ktorá by ukázala, ako sa návratnosť mení v prípade nižšej miery zapojenia obcí alebo ich obmedzených kapacít na využívanie riešení. Súčasne nie je vysvetlené, do akej miery boli pri modelovaní prínosov zohľadnené aspoň rámcové. poznatky zo samohodnotení alebo auditov, ktoré sú povinné podľa zákona č. 69/2018 Z. z. Podľa dostupných podkladov nie je doložené, že by tieto informácie boli využité, ani nie je spracovaný súhrnný prehľad ich aplikácie na odhad vstupných parametrov. Bez realistického scenára rizík, overenia vstupov a definície testovacej metodiky zostáva kalkulácia orientačná a citlivá na odchýlky od predpokladaného scenára.
Projektová dokumentácia bola verejne zverejnená a prebehlo verejné pripomienkovanie. Zapracovanie pripomienok DEUS ukazuje ochotu reflektovať názory stakeholderov. Slabinou je absencia konkrétneho plánu publikovania priebehu implementácie, výsledkov pilotu a reálneho dopadu. Odporúčame pripraviť komunikačný plán pre verejnosť a obce o výsledkoch a prínosoch projektu.
Dokumenty
Aktivity