Ostatní

1. K čemu slouží doplňky CNA a CWE a kde můžu ověřit jejich funkčnost?

Instalace doplňků Crypto Native App (rozšíření pro operační systém) a Crypto Web Extension (rozšíření pro webový prohlížeč) je nezbytné pro úkony podepisování a dešifrování v systému NEN (ke stažení zde). V testu kompatibility lze ověřit instalaci těchto doplňků, a to ve spodní části obrazovky v bloku „Test podepisování a šifrování”, kde je potřeba mít pole zeleně zabarvené. Je možné zde vložit a otestovat funkčnost Vašeho kvalifikovaného certifikátu.

Po stažení aplikace Crypto Native App se stáhne soubor s příponou .dmg, nejedná se o instalační soubor (soubor s příponou .dmg (disk image) se používá obvykle v macOS X jako formát obrazu disku). Po připojení tohoto obrazu disku naleznete přes Finder instalační soubor s příponou .pkg.

Pokud má uživatel zájem, je možné poskytnout dodavatelem technické podpory zdrojový kód od CNA, ke stažení s tím, že si ho můžou uživatelé Linuxu stáhnout a sestavit.

2. Jak postupovat při ztrátě či zapomenutí hesla?

V případě, že si pamatuje své přihlašovací jméno a e-mailovou adresu, která je uvedena v systému NEN, využijte přímo na přihlášení funkcionalitu „Zapomenuté heslo”. V opačném případě kontaktujte Uživatelskou podporu systému NEN (kontakty uvedeny v záhlaví) nebo administrátora subjektu vaší organizace.

3. Jaká je maximální velikost přiloženého souboru?

Systém NEN podporuje přílohy do maximální velikosti 2 GB na jeden soubor. Omezení je společné pro veřejnou, autorizovanou i integrační část systému NEN. Větší přílohy musí být rozděleny do samostatných souborů pomocí ZIP algoritmu. V případě rozdělení na části je podporován formát ZIP s příponami ZIP a 001, 002, atd.

4. Jaký je rozdíl mezi kvalifikovaným a komerčním certifikátem?

Kvalifikované certifikáty slouží především pro podepisování (např. registračního formuláře, podání nabídky, zprávy aj.). Komerční certifikáty jsou určeny pro šifrování a dešifrování veřejných zakázek (pro tyto účely je zřizuje vždy pouze zadavatel).

5. Jaký je rozdíl mezi interními a externími notifikacemi?

Interní notifikací se rozumí všechny notifikace, které jsou doručeny do systému NEN. K těmto notifikacím se dostanete pomocí obálky, která se nachází v pravém horním rohu. Externí notifikace jsou notifikace, které Vám budou doručeny na Vámi zadanou e-mailovou adresu.

6. Co je kvalifikované časové razítko v systému NEN?

Jedná se o kvalifikované časové razítko, které systém NEN automaticky přiděluje dokumentům obsahující kvalifikovaný elektronický podpis, aby bylo možné ukotvit platnost podpisu v čase nezávislou časovou autoritou nebo se jedná o elektronickou značku prokazující původ dokumentu.

Účelem této značky je pouze informace o původu dokumentu (dokument byl vložen do systému NEN). Platnost této elektronické značky je vždy rok. Vypršením platnosti elektronické značky systému NEN nelze a priori pokládat dokument za nepravý nebo neautentický. Nelze a priori považovat právní jednání za neplatné.

7. Kde získám potvrzení o doručení?

8. Jak je to s archivací dat?

9. Co znamená, pokud je u elektronicky podepsaného dokumentu po nahrání do systému NEN zobrazeno „Podpis je v ochranné lhůtě, je třeba vyčkat 23h do potvrzení platnosti”.

Ochranná lhůta je zavedena v důsledku posílení souladu systému NEN s nařízením EIDAS, respektive vyhláškou č. 212/2012 Sb., vyhláška o ověřování platnosti zaručeného elektronického podpisu (dále jen „Vyhláška").

Ověření platnosti kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu vyžaduje dle § 4 odst. 1 písm. a) výše uvedené Vyhlášky ověření, zda kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát nebyl zneplatněn, a ověření elektronické značky, kterou kvalifikovaný poskytovatel certifikačních služeb (dále jen „poskytovatel") označil seznam zneplatněných certifikátů nebo informaci o stavu certifikátu, a kvalifikovaného systémového certifikátu poskytovatele.

Dále dle § 4 odst. 2 výše uvedené vyhlášky Ověření, zda kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát nebyl v okamžiku, ke kterému je ověřována jeho platnost, zneplatněn, se provádí v souladu s certifikační politikou poskytovatele, který certifikát vydal. Je-li k ověření užit seznam zneplatněných certifikátů, pro ověření je rozhodným seznamem poslední seznam, který byl vydán ve lhůtě 24 hodin od okamžiku, ke kterému je platnost certifikátu ověřována, případně každý následující seznam vydaný před koncem intervalu platnosti ověřovaného certifikátu. Pokud lhůta 24 hodin přesahuje interval platnosti ověřovaného certifikátu, jsou rozhodnými seznamy všechny seznamy vydané od posledního seznamu vydaného v intervalu platnosti certifikátu po poslední seznam, který byl vydán ve lhůtě 24 hodin od okamžiku, ke kterému je platnost certifikátu ověřována.

Zjednodušeně, zadavatel potřebuje mít jistotu, že v mezidobí certifikát nebyl revokován. A tuto jistotu můžete získat až za oněch 24 hodin. Protože autorita má právě oněch (maximálních) 24 hodin na zveřejnění.

V případě podpisu vytvořeného prostřednictvím NEN, bude uživateli u ikony podpisu zobrazena informace, že pro ověření platnosti podpisu bude nutné absolvovat onu 24hodinovou lhůtu, aby bylo možné skutečně ověřit platnost elektronického podpisu vůči aktuálně vydaným listům revokovaných certifikátu (CRL) od certifikačních autorit.

Po ověření bude podpis označen jako platný (zelená kokarda podpisu), nebo neplatný (značka oranžového vykřičník) a v podrobnostech podpisu bude uživatel opět informován o tom, jak byl certifikát vyhodnocen a jaký je problém u špatně vyhodnoceného podpisu. Celý proces 24hodinového ověření se týká pouze ověření certifikátů od kvalifikovaných certifikačních autorit.

10. Co dělat, pokud jsem při přihlašování do systému NEN 3x zadal špatně heslo?

V případě, že se Vám podaří 3x zadat nesprávné heslo, systém NEN na 15 minut Vás uživatelský účet uzamkne. Po uplynutí této doby budete moci pokus o přihlášení zopakovat.

11. Vysvětlení nezbytnosti přechodu na kvalifikované prostředky elektronické identifikace

Informace MMR: Zvýšení standardů bezpečnosti a právní jistoty

Ministerstvo pro místní rozvoj, jakožto správce Národní infrastruktury pro zadávání veřejných zakázek (NIPEZ) a Národního elektronického nástroje (NEN), implementuje zásadní opatření ke zvýšení kybernetické odolnosti a bezpečnosti dat. Pro subjekty v roli dodavatele bude ukončena podpora autentizace prostřednictvím konvenčních přihlašovacích údajů (uživatelské jméno a heslo). Novým standardem pro ověření identity se stává elektronická identifikace prostřednictvím Identity občana (NIA) a u zahraničních subjektů její evropské ekvivalenty skrze mezinárodní bránu IIG (International ID Gateway) v souladu s evropským nařízením eIDAS.

Legislativní rámec a nezbytnost změny

Systém NEN i autentizační komponenta NIPEZ spadají do kategorie informačních systémů veřejné správy (ISVS). Z této klasifikace vyplývá povinnost správce zajistit důvěryhodnou a jednoznačnou identifikaci fyzických osob, které v systémech činí právní úkony. Přechod na kvalifikovanou identifikaci je přímo ukotven v následujících právních předpisech:

• Zákon č. 250/2017 Sb., o elektronické identifikaci.

• Zákon č. 12/2020 Sb., o právu na digitální služby.

• Zákon č. 264/2025 Sb., o kybernetické bezpečnosti a jeho prováděcí předpisy.

• Nařízení EU č. 910/2014 (eIDAS), které sjednocuje standardy identifikace v rámci celého evropského hospodářského prostoru.

Přechod od jmen a hesel ke garantované identitě

Hlavním pilířem této změny je nahrazení překonaného způsobu přihlašování, který již neodpovídá současným bezpečnostním standardům informačních systémů veřejné správy. Statická hesla představují zranitelný prvek, který neumožňuje s dostatečnou mírou jistoty garantovat, že úkon v systému provedla konkrétní oprávněná fyzická osoba.

V této souvislosti je nutné zdůraznit, že pro potřeby ISVS není obecně dostačující běžná dvoufázová autentizace (např. kombinace hesla a SMS kódu zasílaného na telefonní číslo). Ačkoliv tyto metody zvyšují ochranu proti zneužití hesla, postrádají klíčový prvek vyžadovaný platnou legislativou: existenci zákonem uznaného identitního prostředku, u kterého je identita držitele úředně ověřena a ztotožněna se státními registry. Pouze kvalifikované prostředky v rámci Identity občana (NIA) poskytují zákonem vyžadovanou úroveň záruky („značná“ nebo „vysoká“), která je pro systémy veřejné správy povinná a která jako jediná v digitálním prostředí garantuje plnou právní integritu úkonu.

Systémová eliminace sdílení přístupových údajů

Implementace nového způsobu autentizace cíleně a zcela eliminuje nežádoucí praxi sdílení uživatelských účtů, ke které v současnosti u určitého procenta subjektů dochází. Je nezbytné zdůraznit, že využívání jednotných přístupových údajů více osobami představuje kritické bezpečnostní i právní riziko a není přípustné již za stávajících podmínek. Zatímco v současném modelu je tato praxe obtížně kontrolovatelná, přechod na Identitu občana celoevropský kontext eIDAS ji technicky znemožňuje. Vzhledem k tomu, že identitní prostředky jsou nepřenosné a pevně vázané na konkrétní fyzickou osobu, nový systém definitivně odstraňuje procesní nejistotu při prokazování individuální odpovědnosti za konkrétní úkony. Tím je zajištěna stoprocentní transparentnost a ochrana zájmů jak na straně veřejného zadavatele, tak na straně samotného dodavatele.

Je nutné varovat před tím, aby uživatel připustil využití své elektronické identity jinou osobou, neboť tím této osobě předává svou identitu se vším všudy a všechny úkony této osoby jsou považovány za úkony uživatele, o jehož identitu se jedná. Uživatelé by si měli uvědomit, že pod jejich identitou je možné činit i jiné úkony, než jen úkony v zadávacím řízení.

Oddělení osobní identity a zastupování organizace

Je nezbytné zdůraznit, že v souladu s nařízením eIDAS a zákonem o elektronické identifikaci disponují identitními prostředky výhradně fyzické osoby. Právnická osoba (firma) jako taková elektronickou identitu v tomto smyslu nemá. Proces autentizace proto probíhá vždy na úrovni konkrétního uživatele, který se přihlašuje jako identifikovaná fyzická osoba a následně realizuje úkony jménem organizace na základě přidělených systémových oprávnění a rolí.

Tento mechanismus zajišťuje, že za každým úkonem právnické osoby stojí konkrétní a dohledatelný zástupce. Rozdělení právní odpovědnosti mezi fyzickou osobu a zaměstnavatele přitom zůstává plně zachováno v souladu s pracovněprávními předpisy a zákonem o zadávání veřejných zakázek. MMR garantuje, že využití Identity občana slouží výhradně pro účely autentizace (ověření totožnosti). Systém NIA funguje jako nezávislá ověřovací vrstva – ministerstvu ani zaměstnavateli nejsou skrze tento proces zpřístupněny žádné soukromé informace držitele.

Využití Identity občana (NIA) a eIDAS přináší:

• Právní nezpochybnitelnost: Vytvoření nezaměnitelné vazby mezi úkonem v systému a konkrétní fyzickou osobou v souladu s legislativou. Tato vazba chrání všechny účastníky procesu zadávání veřejných zakázek včetně samotného zaměstnavatele (právnické osoby) před právními riziky spojenými s anonymitou či zpochybněním autorství úkonu.

• Soulad s úrovní záruky dle eIDAS: Kvalifikované prostředky (např. Bankovní identita, Mobilní klíč eGovernmentu či eObčanka) garantují vysokou úroveň jistoty identifikace, kterou běžné komerční 2FA systémy (např. přes e-mail nebo SMS) bez vazby na certifikovaného poskytovatele identity nemohou zajistit.

• Prevenci zneužití a transparentnost: Systém technicky znemožní sdílení identit mezi více osobami, čímž zajišťuje, že za každým rozhodnutím nebo podáním v systému NEN stojí konkrétní, dohledatelný a identifikovaný uživatel.

Přístup pro zahraniční dodavatele (EU)

V souladu s nařízením eIDAS je systém NEN plně integrován s mezinárodní identitní bránou IIG (International ID Gateway). Zahraniční uživatelé z členských států EU využívají své národní identitní prostředky (např. slovenské eID). Pro tyto účely není vyžadován trvalý ani přechodný pobyt na území ČR. Podmínkou je pouze disponování prostředkem, který daný členský stát notifikoval pro úroveň záruky „vysoká“ nebo „značná“.

Přístup pro zahraniční dodavatele (mimo EU)

Pro uživatele mimounijních zahraničních dodavatelů je registrace do NIPEZ nastavena odlišně. Je nutné provést registraci do autentizační komponenty NIPEZ s využitím úředního dokladu potvrzujícího totožnost registrujícího se uživatele a existujícího e-mailového účtu. Pro přihlašování je rovněž nutná instalace aplikace Microsoft Authenticator.

Závěrečná doporučení

Všem uživatelům doporučujeme provést včasnou revizi svých identitních prostředků. Je žádoucí, aby organizace přizpůsobily své vnitřní procesy a zajistily, že každý pověřený zaměstnanec disponuje vlastní digitální identitou.

Ministerstvo pro místní rozvoj touto cestou naplňuje vizi moderní, bezpečné a transparentní státní správy, která minimalizuje rizika pro všechny účastníky procesu zadávání veřejných zakázek.

Pro technické konzultace a pomoc při řešení individuálních situací je k dispozici uživatelská podpora na lince +420 272 680 985.