Aktuality

Používanie štátnych a európskych finančných prostriedkov nesmie byť plošne utajované

Bratislava 6. august 2021 – Národní kontrolóri sa v prvej polovici tohto roka zamerali na významný projekt z oblasti kybernetickej bezpečnosti, ktorého cieľom bolo vytvoriť siete odborne a technicky vybavených jednotiek pre riešenie bezpečnostných incidentov. Celková hodnota kybernetických informačných projektov bola bezmála 53 miliónov eur. Najvyšší kontrolný úrad Slovenskej republiky (NKÚ) v priebehu kontrolnej akcie identifikoval viacero nedostatkov. Od priebehu verejného obstarávania, transparentnosti výberu dodávateľa, až po finančné riadenie projektu zo strany bývalého Úradu podpredsedu vlády pre investície a informatizáciu. NKÚ svoje zistenia odstúpil orgánom činným v trestnom konaní pre podozrenie v súvislosti s machináciami pri verejnom obstarávaní a porušením povinností pri správe cudzieho majetku. Zistenia národnej autority pre externú kontrolu slúžia tiež na namodelovanie dobrej praxe v súvislosti so zverejňovaním rámcových zmlúv k projektom realizovaným v utajenom režime. Tie musia obsahovať informácie o finančnom plnení, povinnostiach a právach zmluvných strán či časovom plnení zákazky.

Kybernetická bezpečnosť je dnes vnímaná ako jeden z kľúčových prvkov bezpečnosti štátu, ochrany verejných, ale aj privátnych inštitúcií i samotných občanov. Pri informačných projektoch financovaných z európskych a národných zdrojov sa stalo pravidlom utajovanie celého procesu obstarávania i jeho riadenia. Aj preto predseda slovenských kontrolórov Karol Mitrík po trojstrannom rokovaní s ministerkou investícií, regionálneho rozvoja a informatizácie (MIRRI) Veronikou Remišovou a riaditeľom Národného bezpečnostného úradu Romanom Konečným rozhodol o vykonaní mimoriadnej kontrolnej akcie. Do plánu kontrolnej činnosti pre rok 2020 bola zaradená kontrola, ktorou úrad preveroval opodstatnenosť obstarania Národného projektu kybernetickej bezpečnosti vo verejnej správe, ako aj hospodárnosť, účelnosť použitia financií či samotný proces obstarania.

Infografika - národný projekt kyberbezepečnosti

Národný projekt riadenia incidentov kybernetickej bezpečnosti vo verejnej správe (2018 – 2020) sa realizoval v dvoch rovinách – dobudovanie spôsobilosti jednotiek pre riešenie počítačových incidentov (CSIRT) tak, aby bolo možné plynule a efektívne poskytovať služby a plniť zákonné úlohy. Uskutočnil ho vtedajší Úrad podpredsedu vlády pre investície a informatizáciu (ÚPVII) v spolupráci s Národnou agentúrou pre sieťové a elektronické služby (NASES). Druhé obstarávanie zamerané na vybudovanie nových pracovísk jednotiek CSIRT realizoval NBÚ pre svoje potreby, ako aj potreby Slovenskej informačnej služby (SIS). Na realizáciu národného projektu sa vyčlenilo 44 miliónov eur (takmer 53 miliónov eur s DPH), časť zo štátneho rozpočtu tvorila 11 miliónov, 33 miliónov išlo z európskych finančných prostriedkov.

EXTERNÁ FIRMA ODHADOVALA NÁKLADY BEZ KOMPLETNÝCH INFORMÁCIÍ

Napriek tomu, že odborné autority štátu (napr. NBÚ, NASES) spracovali podrobnú dokumentáciu Národného projektu kybernetickej bezpečnosti, ÚPVII si za 40-tisíc eur nechal dodatočne vypracovať štúdiu uskutočniteľnosti prostredníctvom externého dodávateľa, spoločnosti Ernst & Young, s. r. o. Dodávateľ pritom nedisponoval bezpečnostnými previerkami, ktoré by mu umožnili oboznamovať sa s utajovanými skutočnosťami a preto mohol vyhotoviť len všeobecný dokument bez odborného, vecného pohľadu. Podľa kontrolórov je takéto konanie v rozpore s princípom hospodárneho nakladania s verejnými financiami.

Vážne pochybenia zistili kontrolóri aj pri stanovení predpokladanej hodnoty zákazky (PHZ). ÚPVII ju určil nielen ako jednu položku za predmet zákazky, ale do pôvodnej hodnoty nebola započítaná kompletná technická podpora na celé obdobie trvania projektu. Preto sa pôvodná PHZ, stanovená na 12,9 milióna eur bez DPH, navýšila o tretinu, na konečných 16,7 milióna eur.

Na tento nedostatok upozornil úrad podpredsedu vlády už v priebehu súťaže jeden z uchádzačov, avšak úrad zásadný nedostatok riešil len formálne. Ďalšie dodatočné zmeny spôsobili, že časť projektu bola na strane NASES implementovaná len vďaka dodatočným investíciám do nákupu chýbajúcich komponentov priamo zo štátneho rozpočtu.

Kvôli utajenému režimu projekt neposudzoval Útvar hodnoty za peniaze (ÚHP), ktorý má hodnotiť všetky IT projekty nad 10 miliónov eur. Kybernetický projekt bol síce prerokovaný v Riadiacom výbore bez vecného stanoviska ÚHP, avšak s upozornením jeho riaditeľa, že celková suma projektu nie je stanovená správne a absentuje transparentný rozpočet. „Podrobný rozpočet je pritom kľúčovým nástrojom pre správne riadenie celého projektu a je to taktiež rozhodujúci nástroj pre vnútornú kontrolu,“ konštatuje podpredseda NKÚ Ľubomír Andrassy. Zároveň dodáva, že európske i národné pravidlá jednoznačne požadujú od prijímateľa finančnej pomoci, aby už pri schvaľovaní projektovej dokumentácie bol jej súčasťou položkovitý rozpočet s jasnými termínmi jeho realizácie.

CENY ZA TECHNICKE KOMPONENTY BOLI VÝRAZNE NADHODNOTENÉ

Kontrola odhalila, že riadiaci orgán nedostal na posúdenie správne podklady k výpočtu PHZ, z ktorých ÚPVII vychádzal pri jej stanovení. V dokumentácii k projektu chýbali kľúčové obstarávané komponenty, podklady z prieskumu cien produktov či cenník viacerých výrobcov jednotlivých tovarov. Národní kontrolóri zistili, že v niekoľkých desiatkach prípadov ceny fakturované za rozbalenie, montáž a osadenie hardvéru (HW), likvidáciu obalov či oživenie zariadení, boli neštandardne vysoké. Zistenia potvrdzujú aj špecialisti NBÚ, ktorí v uvedených prípadoch odhadovali výrazne nižšie ceny, ako boli fakturované víťazom súťaže (tabuľka).

Tabuľka cien za likvidáciu obalov

Kontrolóri ďalej upozorňujú na rozdielnu pripravenosť projektu pod dohľadom dvoch realizátorov, ktorý mal byť plne funkčný ku koncu minulého roka. NBÚ mal k 31. decembru 2020 v prevádzke 92 % dodaných produktov, pričom zvyšných 8 % bolo v stave pripravenosti. K tomu istému dátumu bolo na MIRRI SR z dodaného SW a HW v používaní len 1,98 % z požadovaných komponentov. NASES nedokázal kontrolórom preukázať, aké prvky SW a HW boli nainštalované a čo bolo reálne v prevádzke. Nedostatočným riadením projektu došlo k predĺženiu jeho realizácie minimálne o jeden kalendárny rok, pričom riziká spojené s kybernetickými incidentmi sú vysoko aktuálne (graf).

graf - porovnanie stavu k 21.12.2020

DOBRÁ PRAX – UTAJIŤ LEN NEVYHNUTNÉ

Národní kontrolóri hodnotia pozitívne, že vedenie NBÚ odtajnilo základné náležitosti projektu v rámcovej zmluve, ktorá bola zverejnená v Centrálnom registri zmlúv. Dôležité technické informácie projektu sú zadefinované v prílohách zmluvy, ktoré podliehajú pravidlám zákona o ochrane utajovaných skutočností. „Na základe výsledkov kontrolných akcií súvisiacich s preverovaním projektov informatizácie spoločnosti a v súčinnosti s Národným bezpečnostným úradom sme namodelovali pravidlá, ako sa majú  v záujme transparentnosti a efektívnosti používania verejných prostriedkov správať ministerstvá, či iné verejné inštitúcie,“ približuje podpredseda NKÚ. „Dobrá prax hovorí o tom, že použitie štátnych financií musí podliehať bezbariérovej verejnej kontrole. Aj preto víťaz obstarávania musí vzísť s nediskriminujúcej súťaže a verejnosť má právo poznať rámcovú zmluvu. Tá musí obsahovať informácie o výslednej cene, účele použitia verejných financií, povinnostiach zmluvných strán či zodpovednosti za riadenie projektu a dodržiavanie vysúťažených termínov“, uzatvára Ľ. Andrassy.  

NKÚ na základe vecných zistení z kontrolných akcií zameraných na preverenie realizácie IT projektov odporúča poslancom slovenského parlamentu, aby požiadali vládu o úpravu platnej legislatívy tak, že zákonom budú stanovené jasné pravidlá pre povinné zverejňovanie rámcových zmlúv aj v prípade obstarávania akýchkoľvek služieb či tovarov, ktoré sa realizujú z verejných a európskych zdrojov v utajenom režime. Pohľad národnej autority na to, ako by mali postupovať štátne, resp. verejné inštitúcie pri realizácii verejného obstarávania v utajenom režime, nájdete v prílohe.

 

náhľad správy

 

Kompletná Správa o výsledku kontroly "Národný systém riadenia incidentov kybernetickej bezpečnosti vo verejnej správe" (pdf, 700 kB)

 

 

Príloha

ODPORÚČANÝ POSTUP ZÁKLADNÝCH KROKOV

pri realizácii „obranno-bezpečnostných výnimiek“
(zákazky s prvkom utajenia)
 
 
  1. Odôvodnenie potreby
  2. Analýza režimu obstarávania zákazky – výnimku je možné uplatniť len ak neexistujú menej rušivé opatrenia.
  3. Použitie výnimky z aplikácie pravidiel a postupov vo verejnom obstarávaní musí byť založené na identifikácii základných bezpečnostných záujmov Slovenskej republiky a zhodnotení potreby špecifických opatrení spočívajúcich v použití tzv. priameho zadania bez aplikácie pravidiel a postupov vo verejnom obstarávaní. Je zakázané, aby výnimky boli použité účelovo s cieľom vyhnúť sa transparentným a súťažným postupom zadávania zákazky bez objektívnych dôvodov (viď. kľúčový rozsudok Súdneho dvora EÚ vo veci C – 187/16).
  4. Odôvodnenie, preukázanie oprávnenosti použitia výnimky (preukázať, že konkrétne prijaté opatrenie je nevyhnutné a objektívne zodpovedajúce ochrane identifikovaných základných bezpečnostných záujmov Slovenskej republiky) a jej podloženie relevantnou dokumentáciou. Predmetná výnimka sa musí vykladať reštriktívne - zužujúco (viď. ustálená judikatúra Súdneho dvora EÚ, napr. rozsudky Súdneho dvora EÚ: C-57/94, C-385/02, C-20/01 a C-394/02).
  5. Stanovenie požiadaviek na spôsobilosť a dôveryhodnosť dodávateľov (nastavenie vhodných pod-mienok postupu zadávania zákazky ako aj zmluvných podmienok) a určenie potrebných (vyžadovaných) dokladov.
  6. Zistenie - overenie možností trhu (počet oprávnených hospodárskych subjektov). V prípade existencie jediného dodávateľa musí verejný obstarávateľ / obstarávateľ / osoba podľa § 8 zákona o verejnom obstarávaní, ktorá z dôvodu použitia výnimky nepostupuje podľa zákona podľa zákona o verejnom obstará-vaní, túto skutočnosť písomne zdôvodniť / doložiť relevantným dokladom preukazujúcim túto skutočnosť.
  7. Zistenie ceny obvyklej na trhu – povinnosť aj v prípadoch, kedy zadávanie zákaziek na dodanie tovarov, stavebných prác alebo služieb nespadá pod zákon o verejnom obstarávaní, postupovať pri ich obstarávaní v súlade so Zmluvou o fungovaní EÚ a o. i. dodržiavať aj princíp zákonnosti a zásadu riadneho finančného riadenia, resp. zásadu hospodárnosti, efektívnosti a účinnosti.
  8. Preukázanie nákupu „hodnoty za peniaze“ – napr. rokovanie o podmienkach zákazky, najmä o technických, administratívnych a finančných podmienkach. Predloženie potrebných (vyžadovaných) dokladov. Vyhotovenie Zápisnice z rokovaní. Overenie možného konfliktu záujmov a preukázanie jeho overenia.
  9. Overenie zápisu v registri partnerov verejného sektora (ak je to v zmysle protischránkového zákona relevantné).
  10. Uzatvorenie zmluvy resp. rámcovej dohody tak, aby bola rozčlenená na časť verejnú a utajovanú.
  11. Zaslanie verejnej časti povinne zverejňovanej zmluvy / rámcovej dohody na jej zverejnenie v centrálnom registri zmlúv (resp. zverejnenie na webovom sídle povinnej osoby) v súlade so zákonom o slobode informácií.
*V prípade zákaziek financovaných EŠIF sa postupuje aj podľa pravidiel a pokynov Centrálneho koordinačného orgánu, riadiacich orgánov.

Nevyhnutnosťou je kontrola súladu finančnej operácie s právom SR a EÚ. Vykonanie kontroly v zmysle zákona č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (v prípade subjektov, ktoré sú povinné postupovať v zmysle tohto zákona).
None

Zdielať: