Informace MMR: Zvýšení standardů bezpečnosti a právní jistoty
Ministerstvo pro místní rozvoj, jakožto správce Národní infrastruktury pro zadávání veřejných zakázek (NIPEZ) a Národního elektronického nástroje (NEN), implementuje zásadní opatření ke zvýšení kybernetické odolnosti a bezpečnosti dat. Pro subjekty v roli dodavatele bude ukončena podpora autentizace prostřednictvím konvenčních přihlašovacích údajů (uživatelské jméno a heslo). Novým standardem pro ověření identity se stává elektronická identifikace prostřednictvím Identity občana (NIA) a u zahraničních subjektů její evropské ekvivalenty skrze mezinárodní bránu IIG (International ID Gateway) v souladu s evropským nařízením eIDAS.
Legislativní rámec a nezbytnost změny
Systém NEN i autentizační komponenta NIPEZ spadají do kategorie informačních systémů veřejné správy (ISVS). Z této klasifikace vyplývá povinnost správce zajistit důvěryhodnou a jednoznačnou identifikaci fyzických osob, které v systémech činí právní úkony. Přechod na kvalifikovanou identifikaci je přímo ukotven v následujících právních předpisech:
-
Zákon č. 250/2017 Sb., o elektronické identifikaci.
-
Zákon č. 12/2020 Sb., o právu na digitální služby.
-
Zákon č. 264/2025 Sb., o kybernetické bezpečnosti a jeho prováděcí předpisy.
-
Nařízení EU č. 910/2014 (eIDAS), které sjednocuje standardy identifikace v rámci celého evropského hospodářského prostoru.
Přechod od jmen a hesel ke garantované identitě
Hlavním pilířem této změny je nahrazení překonaného způsobu přihlašování, který již neodpovídá současným bezpečnostním standardům informačních systémů veřejné správy. Statická hesla představují zranitelný prvek, který neumožňuje s dostatečnou mírou jistoty garantovat, že úkon v systému provedla konkrétní oprávněná fyzická osoba.
V této souvislosti je nutné zdůraznit, že pro potřeby ISVS není obecně dostačující běžná dvoufázová autentizace (např. kombinace hesla a SMS kódu zasílaného na telefonní číslo). Ačkoliv tyto metody zvyšují ochranu proti zneužití hesla, postrádají klíčový prvek vyžadovaný platnou legislativou: existenci zákonem uznaného identitního prostředku, u kterého je identita držitele úředně ověřena a ztotožněna se státními registry. Pouze kvalifikované prostředky v rámci Identity občana (NIA) poskytují zákonem vyžadovanou úroveň záruky („značná“ nebo „vysoká“), která je pro systémy veřejné správy povinná a která jako jediná v digitálním prostředí garantuje plnou právní integritu úkonu.
Systémová eliminace sdílení přístupových údajů
Implementace nového způsobu autentizace cíleně a zcela eliminuje nežádoucí praxi sdílení uživatelských účtů, ke které v současnosti u určitého procenta subjektů dochází. Je nezbytné zdůraznit, že využívání jednotných přístupových údajů více osobami představuje kritické bezpečnostní i právní riziko a není přípustné již za stávajících podmínek. Zatímco v současném modelu je tato praxe obtížně kontrolovatelná, přechod na Identitu občana celoevropský kontext eIDAS ji technicky znemožňuje. Vzhledem k tomu, že identitní prostředky jsou nepřenosné a pevně vázané na konkrétní fyzickou osobu, nový systém definitivně odstraňuje procesní nejistotu při prokazování individuální odpovědnosti za konkrétní úkony. Tím je zajištěna stoprocentní transparentnost a ochrana zájmů jak na straně veřejného zadavatele, tak na straně samotného dodavatele.
Je nutné varovat před tím, aby uživatel připustil využití své elektronické identity jinou osobou, neboť tím této osobě předává svou identitu se vším všudy a všechny úkony této osoby jsou považovány za úkony uživatele, o jehož identitu se jedná. Uživatelé by si měli uvědomit, že pod jejich identitou je možné činit i jiné úkony, než jen úkony v zadávacím řízení.
Oddělení osobní identity a zastupování organizace
Je nezbytné zdůraznit, že v souladu s nařízením eIDAS a zákonem o elektronické identifikaci disponují identitními prostředky výhradně fyzické osoby. Právnická osoba (firma) jako taková elektronickou identitu v tomto smyslu nemá. Proces autentizace proto probíhá vždy na úrovni konkrétního uživatele, který se přihlašuje jako identifikovaná fyzická osoba a následně realizuje úkony jménem organizace na základě přidělených systémových oprávnění a rolí.
Tento mechanismus zajišťuje, že za každým úkonem právnické osoby stojí konkrétní a dohledatelný zástupce. Rozdělení právní odpovědnosti mezi fyzickou osobu a zaměstnavatele přitom zůstává plně zachováno v souladu s pracovněprávními předpisy a zákonem o zadávání veřejných zakázek. MMR garantuje, že využití Identity občana slouží výhradně pro účely autentizace (ověření totožnosti). Systém NIA funguje jako nezávislá ověřovací vrstva – ministerstvu ani zaměstnavateli nejsou skrze tento proces zpřístupněny žádné soukromé informace držitele.
Využití Identity občana (NIA) a eIDAS přináší:
-
Právní nezpochybnitelnost: Vytvoření nezaměnitelné vazby mezi úkonem v systému a konkrétní fyzickou osobou v souladu s legislativou. Tato vazba chrání všechny účastníky procesu zadávání veřejných zakázek včetně samotného zaměstnavatele (právnické osoby) před právními riziky spojenými s anonymitou či zpochybněním autorství úkonu.
-
Soulad s úrovní záruky dle eIDAS: Kvalifikované prostředky (např. Bankovní identita, Mobilní klíč eGovernmentu či eObčanka) garantují vysokou úroveň jistoty identifikace, kterou běžné komerční 2FA systémy (např. přes e-mail nebo SMS) bez vazby na certifikovaného poskytovatele identity nemohou zajistit.
-
Prevenci zneužití a transparentnost: Systém technicky znemožní sdílení identit mezi více osobami, čímž zajišťuje, že za každým rozhodnutím nebo podáním v systému NEN stojí konkrétní, dohledatelný a identifikovaný uživatel.
Přístup pro zahraniční dodavatele (EU)
V souladu s nařízením eIDAS je systém NEN plně integrován s mezinárodní identitní bránou IIG (International ID Gateway). Zahraniční uživatelé z členských států EU využívají své národní identitní prostředky (např. slovenské eID). Pro tyto účely není vyžadován trvalý ani přechodný pobyt na území ČR. Podmínkou je pouze disponování prostředkem, který daný členský stát notifikoval pro úroveň záruky „vysoká“ nebo „značná“.
Přístup pro zahraniční dodavatele (mimo EU)
Pro uživatele mimounijních zahraničních dodavatelů je registrace do NIPEZ nastavena odlišně. Je nutné provést registraci do autentizační komponenty NIPEZ s využitím úředního dokladu potvrzujícího totožnost registrujícího se uživatele a existujícího e-mailového účtu. Pro přihlašování je rovněž nutná instalace aplikace Microsoft Authenticator.
Závěrečná doporučení
Všem uživatelům doporučujeme provést včasnou revizi svých identitních prostředků. Je žádoucí, aby organizace přizpůsobily své vnitřní procesy a zajistily, že každý pověřený zaměstnanec disponuje vlastní digitální identitou.
Ministerstvo pro místní rozvoj touto cestou naplňuje vizi moderní, bezpečné a transparentní státní správy, která minimalizuje rizika pro všechny účastníky procesu zadávání veřejných zakázek.
Pro technické konzultace a pomoc při řešení individuálních situací je k dispozici uživatelská podpora na lince +420 272 680 985.