Ak spravne rozumiem tak ide o vzory, ktore reflektuju napr. zakon o ITVS, chyby, nedostatky z minulosti a pod. a tieto vzory by mali byt pouzivane odteraz dobuducna.
Info, ktore mam neobsahovalo jasne instrukcie, vymedzenie, ze kedy, na ake pripady su OVM povinne dane vzory pouzivat, napr. len nove projekty z OPII alebo aj sucasne projekty a riesenie ich SLA a pod.
Jedine info, ktore mam v tomto smere je, ze OVM si vzory budu moct modifikovat pre svoje potreby.
Zaroven mam info od UPVII, ze na dane vzory je mozne reagovat zo strany OVM, odbornej verejnosti a v pripade, ze pripomienky budu relevantne, tak budu do vzorov zapracovane.
Cize ak po precitani danych vzorov budete mat reakcie, poprosime reagovat tu v ramci tohto vlakna.
práve o tom rokujeme s UPVII - aj mne osobne sa to zdá, že práva, ktoré by mal obstarávateľ mať podľa EUPL, sa zbytočne okresávajú mlčanlivosťou a pod.
Presne tak, na jednej strane sa tam deklarativne minimalne na dvoch miestach hovori o splneni podmienok ITVS zakona, a potom sa zrazu hovori o dovernosti k odovzdavanemu dielu, vyhradnemu posktyvaniu licencii na uzemi a pocas doby atd. Takisto ako velmi problematicke (neexatne) vnimam urcenie casti diela ktore moze mat bezpecnostne dopady a je nezverejnitelne - kto to urci ? dodavatel ?
Bezpečnosť je riešená extrémne detailne a požiadavky na ňu tým pádom nemusia zodpovedať samotnému predmetu zmluvy. Navrhujem skor referencovat platné zákony a vyhlášky (OOU, KybSec, ITVS, KI). Je zodpovednostou dodavatela prijat a implementovat system komplexnych opatreni tak, aby dodanie dielo splnalo bezpecnostne poziadavky stanovene legislativou (a rozpracovat tieto poziadavky v spolupraci so zakaznikom konkretne podla predmetu zmluvy) a dodane dielo bolo “bezpecne”.
Ustanovenia ako
" dodržiavať bezpečnostné požiadavky špecifikované v Metodike pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti (dostupná na https://www.csirt.gov.sk/doc/MetodikaZabezpeceniaIKT_v2.0.pdf, ďalej len „ Metodika zabezpečenia “),"
vyvolajú len chaos, pretože su duplicitné až triplicitné k požiadavkam legislatívy, opatrenia z nich vypplyvajuce su príliš detailné a orientované na organizáciu celkovo.
Samotná kapitola 23. BEZPEČNOSŤ VÝVOJA DIELA postráda kľúčové požiadavky vyplývajúce z legislatívy (vykonanie analýzy rizík a vypracovenie bezpečnostného projektu). Namiesto toho sa opät venuje extrémnym detailom ktoré v zmluve nemajú čo robiť a mali by sa nachádzať v príslušnej vyhláške, ktorú sa zhoviteľ zaväzuje dodržiavať, resp by mali tvoriť súčasť komplexného opisu opatrení v bezpečnostnom projekte predmetu diela.
