Cloud computing představuje od srpna 2020 další z oblastí, kde stát usiluje o zvýšenou digitalizaci postupů veřejné správy za účelem její efektivnosti a úspory finančních prostředků, a to především snížením celkových nákladů na vlastnictví infrastruktury. Doposud však úprava dle zákona č. 365/2000 Sb., o informačních systémech veřejné správy, ve znění účinném před 1. 9. 2021, kde je těžiště právní úpravy cloud computingu, nedosáhla svého plného potenciálu. Teprve v květnu 2021 dosáhli první poskytovatelé cloudu svého zápisu do katalogu cloud computingu, kdy samotný zápis nabídky cloud computingu je nezbytným předpokladem poskytování cloud computingových služeb státu.

Současně však Poslanecká sněmovna Parlamentu České republiky v červnu 2021 schválila finální znění novelizačního balíčku DEPO, tedy zákona č. 261/2021 Sb. , kterým se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci (dále jen „DEPO“), který do existující úpravy cloud computingu vnáší řadu nových prvků a povinností a který ve vybraných částech nabývá účinnosti již k 1. 9. 2021. Pro veřejného zadavatele, který chce veřejnou zakázkou poptávat služby cloud computingu, tak vzniká dilema, jak sladit postup dle zákona č. 365/2000 Sb. , o informačních systémech veřejné správy, ve znění účinném k 1. 9. 2021 (dále jen „ZISVS“) a dle zákona č. 134/2016 Sb. , o zadávaní veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“), tak, aby naplnil podmínky obou zákonů a úspěšně poptal služby cloud computingu. Správný postup současně komplikuje fakt, že Ministerstvo vnitra České republiky (dále jen „ministerstvo“) a Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) teprve připravují prováděcí předpisy, které upraví například náležitosti smlouvy o poskytování cloud computingu nebo požadavky na zajištění základní úrovně ochrany, důvěrnosti, integrity a dostupnosti informací. Pro zmírnění dopadů novely DEPO je také možno v přechodném období po účinnosti ZISVS využít alternativní zjednodušený postup: mezi 1. 9. 2021 a 31. 1. 2022 může orgán veřejné správy začít využívat cloud computing, i když ten ani jeho poskytovatel nesplňují požadavky ZISVS, a to s možností využívat takový cloud computing až do 31. 12. 2022.

Základní východiska právní úpravy

Centrálním prvkem systému státního cloud computingu je tzv. katalog cloud computingu, tedy katalog pro zápis poptávek, poskytovatelů a nabídek cloud computingu a současně aktuálně využívaného cloud computingu.[1] Novela ZISVS nově také definuje samotný cloud computing a poptávky a nabídky cloud computingu. Cloud computing ve smyslu § 2 písm. x) ZISVS znamená způsob zajištění provozu informačních systémů veřejné správy nebo jejich části prostřednictvím dálkového přístupu ke sdíleným technickým či programovým prostředkům. Cloud computingem ve smyslu ZISVS tak není každé využití cloudové technologie, ale pouze její využití za účelem provozu informačních systémů veřejné správy.

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Ve vztahu k vymezení poptávky a nabídky cloud computingu lze pak uzavřít, že se v obou případech jedná o úkon předcházející úkonu orgánu veřejné správy (dále také „zadavatele“) nebo poskytovatele (dále také „dodavatele“) podle ZZVZ. Zákon však blíže nedefinuje tento časový souběh mezi ZISVS a ZZVZ, jak rozvádíme níže, ačkoliv důvodová zpráva uvádí, že DEPO odstraňuje interpretační spor mezi postupy dle ZISVS a ZZVZ.[2]

Základním předpokladem pro čerpání služeb cloud computingu je zápis poptávky do katalogu, a to postupem dle § 6o ZISVS. Samotný zápis je spíše formálního charakteru a ministerstvo má pouze 15 dní k vyřízení žádosti o zápis. Samotná důvodová zpráva uvádí, že bude docházet pouze ke kontrole splnění formálních náležitostí, zejména úplnosti žádosti.[3] Podoba formuláře k podání žádosti je aktuálně obsažena v metodice ministerstva, která by nicméně měla být postupně nahrazena prováděcími předpisy a která se v aktuálním znění uplatní pouze pro posuzování žádosti o zápis nabídky do katalogu, kterou ministerstvo obdrželo do 31. 8. 2021.[4] Metodika by se měla současně dočkat aktualizace a úprav v souvislosti s účinností ZISVS a přijetím prováděcích předpisů, a to v druhé polovině září 2021.[5]

Součástí žádosti o zápis poptávky je také specifikace veškerých údajů, které se o poptávce v katalogu evidují dle § 6k odst. 2 písm. a) ZISVS, tedy také informace o požadované bezpečnostní úrovni cloud computingu. ZISVS definuje bezpečnostní úroveň jako bezpečnostní úroveň pro využívání cloud computingu orgány veřejné moci, přičemž další detaily provádí vyhláška č. 315/2021 Sb. , o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci. Uvedená vyhláška následně vymezuje čtyři základní bezpečnostní úrovně, a to nízkou, střední, vysokou a kritickou podle klasifikace možných dopadů kybernetického bezpečnostního incidentu na poptávaný cloud computing.

Co se týká strany nabídky, musí dojít prvně k zápisu samotného dodavatele (resp. poskytovatele cloud computingu dle dikce ZISVS) do katalogu postupem dle § 6q ZISVS. Ministerstvo má k vyřízení žádosti lhůtu 45 dní, která však neběží při ověřování některých podmínek dle § 6m ZISVS. Současně musí dojít také k přerušení řízení o zápisu dodavatele postupem dle § 149 odst. 3 zákona č. 500/2004, správní řád, ve znění pozdějších předpisů, a to po dobu než bude vydáno závazné stanovisko NÚKIB o naplnění požadavků dle § 6m odst. 1 písm. a) ZISVS, přičemž NÚKIB má k vyřízení této žádosti celé 3 měsíce.

Úspěšně zapsaný poskytovatel cloud computingu následně může do katalogu zapisovat své nabídky postupem dle § 6t ZISVS. Poskytovatel současně může podat i více nabídek cloud computingu, které však musí být zařazeny do stejné bezpečnostní úrovně. K vyřízení žádosti má ministerstvo dalších 30 dní, přičemž pro posouzení některých podmínek dle § 6n ZISVS si i zde musí vyžádat závazné stanovisko NÚKIB, které NÚKIB vydá do 30 dnů od podání žádosti.

Posledním, do katalogu zapisovaným, údajem je využívaný cloud computing podle § 6x ZISVS. Zadavatel má v takovém případě povinnost zápis provést do 45 dnů od nabytí platnosti smlouvy.

Působnost a výjimky z povinnosti zápisu do katalogu cloud computingu

Pokud jde o aplikaci nové právní úpravy, je předně nezbytné pamatovat na zákonné vymezení cloud computingu, kdy dle § 2 písm. x) ZISVS, není cloud computingem každé použití cloudové technologie, ale pouze její využití za účelem provozu informačních systémů veřejné správy či jejich částí. Zadavatel při přípravě zadávacích podmínek na realizaci veřejné zakázky musí prvotně provést dílčí úvahu, zda informační systém, pro který chce poptat služby cloud computingu, je či není informačním systémem veřejné správy či jeho částí.

Z výše uvedené povinnosti zápisu jednotlivých údajů do katalogu cloud computingu existují také výjimky, které lze rozdělit na materiální a procesní, případně lze jako samostatnou kategorii vymezit výjimky časové dle přechodných ustanovení DEPO.

Materiální výjimky vychází z úpravy ustanovení § 6l odst. 4 ZISVS a týkají se cloud computingu sloužícího výlučně:

„a)         ke správě a řešení technických potíží nebo diagnostice programových a technických prostředků, případně zabezpečení nebo přenosu s tím souvisejících signálů;

b)           ke správě nebo využívání prostředků pro elektronickou identifikaci využívajících vícefaktorové autentizace;

c)            k aktualizaci nebo opravě programového prostředku;

d)           ke shromažďování nebo výměně provozních údajů;

e)           ke zkušebnímu provozu informačního systému veřejné správy, pokud při něm nebudou využity údaje, které se v informačním systému veřejné správy vedou nebo povedou anebo které jsou nebo budou v souvislosti s poskytováním služby informačního systému veřejné správy využívány.“

Výše uvedené výjimky tak lze využít, pokud předmětem poptávaného cloud computingu má být některá z výše uvedených služeb, přičemž v takovém případě není potřeba zapisovat poptávku, poskytovatele a ani nabídku do katalogu cloud computingu. Současně nemusí být splněny ani požadavky na poskytovatele dle § 6m ZISVS, neboť ten se do katalogu vůbec nezapisuje, jakož ani požadavky na cloud computing dle § 6n ZISVS, neboť se explicitně neužije § 6l odst. 1 ZISVS, který tuto povinnost ukládá.

Procesní výjimky, na druhou stranu, plynou z ustanovení § 6l odst. 1 ZISVS, kdy cloud computing jednak může poskytovat poskytovatel státního cloudu či poskytovatel zapsaný v katalogu, nebo může státní orgán čerpat cloud computing, který je poskytovaný:

„b)         v rámci vertikální nebo horizontální spolupráce podle právního předpisu upravujícího zadávání veřejných zakázek nebo

c)           v rámci obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle právního předpisu upravujícího zadávání veřejných zakázek.“

Podstatným rozdílem oproti materiálním výjimkám z povinnosti zápisu do katalogu je však povinnost i při využití procesní výjimky splnit požadavky na cloud computing dle § 6n ZISVS. Požadavky na poskytovatele dle § 6m ZISVS však závazné nejsou, neboť nedochází k zápisu poskytovatele do katalogu.

V neposlední řadě lze mezi výjimky z povinnosti zápisu poptávky, poskytovatele a nabídky do katalogu cloud computingu zařadit také výjimky časové plynoucí z přechodných ustanovení DEPO. Dle čl. LXXXI DEPO tak může orgán veřejné správy využívat:

1. až do 31. 12. 2023 cloud computing, jehož využívání započal nebo ke kterému uzavřel smlouvu před 1. 9. 2021, přičemž takový cloud computing nesplňuje podmínky podle ZISVS (čl. LXXXI odst. 1 DEPO);
2. až do 31. 12. 2023 cloud computing, který byl obsažen v nabídce cloud computingu zapsané v katalogu cloud computingu před 1. 9. 2021 nebo nabídce zapsané na základě řízení zahájeného před 1. 9. 2021, přičemž takový cloud computing nesplňuje podmínky podle ZISVS (čl. LXXXI odst. 2 DEPO);
3. až do 31. 12. 2022 cloud computing, jehož využívání započal po 1. 9. 2021 ale současně před 31. 1. 2022, přičemž takový cloud computing ani jeho poskytovatel nesplňují podmínky podle ZISVS (čl. LXXXI odst. 4 DEPO).

V uvedeném přechodném období dle jednotlivých výjimek může orgán veřejné správy využívat cloud computing nesplňující podmínky ZISVS. Po skončení přechodného období však musí být veškeré podmínky ZISVS naplněny, chce-li orgán veřejné správy služby cloud computingu využívat.

Požadavky na poskytovatele a cloud computing

Skrze jednotlivé kroky při zadávání veřejné zakázky na služby cloud computingu je dále potřeba pamatovat na požadavky na poskytovatele cloud computingu dle § 6m ZISVS a požadavky na cloud computing dle § 6n ZISVS. Napříč předpisem je splnění požadavků při jednotlivých krocích kontrolováno a pouze při jejich splnění může dojít k zápisu poskytovatele a nabídky do katalogu a následnému uzavření smlouvy na služby cloud computingu, nejedná-li se o některou z výjimek zmíněných výše.

Současně je třeba vyzdvihnout, že zákon v § 6m odst. 2 ZISVS klade omezení na osobu poskytovatele v tom ohledu, že poskytovatelem cloud computingu zařazeného do nejvyšší bezpečnostní úrovně může být pouze poskytovatel státního cloud computingu. Poskytovatelem státního cloud computingu je však pouze osoba zřízená nebo založená státem splňující požadavky § 6m odst. 1 ZISVS, která poskytuje cloud computing orgánům veřejné správy.

Z hlediska požadavků na poskytovatele musí být poskytovatel zejména způsobilým zajistit důvěrnost, integritu a dostupnost informací, přičemž podle § 12 odst. 2 písm. a) ZISVS jsou požadavky stanoveny vyhláškou č. 316/2021 Sb. , o některých požadavcích pro zápis do katalogu cloud computingu. Dále musí být poskytovatel bezúhonný a způsobilý poskytnout cloud computing i z hlediska veřejného pořádku, bezpečnosti a dodržování práv třetích osob. Vše výše uvedené však ověřuje už ministerstvo při zápisu poskytovatele do katalogu cloud computingu a veřejný zadavatel nemá ze zákona povinnost uvedené opět ověřovat.

Na druhé straně pak stojí požadavky na samotný cloud computing, které podle povahy nabízeného cloud computingu tvoří podmínky pro zápis nabídky do katalogu dle § 6t ZISVS. Podmínky na cloud computing dále stanoví vyhláška č. 316/2021 Sb. , o některých požadavcích pro zápis do katalogu cloud computingu. V prvé řadě musí cloud computing splňovat požadavky kladené na informační systém veřejné správy informační koncepcí ČR. Dále musí umožnit dosažení alespoň základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací a umožnit postup podle bezpečnostních pravidel určených dle předpisů v oblasti kybernetické bezpečnosti.

Cloud computing dále musí dosáhnout stejné nebo vyšší bezpečnostní úrovně než informační systém nebo jeho část, k jehož provozu je využíván. Současně musí výše uvedené požadavky splnit také případný poddodavatel, tedy poskytovatel podpůrného cloud computingu, který taktéž musí být zapsán do katalogu. Tento požadavek se však neuplatní pro výjimku z postupu dle § 6l odst. 1 písm. c) ZISVS, tj. pro obecné výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení podle ZZVZ. Je-li poskytování závislé na více poskytovatelích, musí být v katalogu zapsán každý z nich, přičemž se uvedené opět neuplatní pro obecné výjimky dle ZZVZ.

Uzavření smlouvy

Nyní je potřeba výše uvedené zasadit do kontextu ZZVZ, tedy objasnit, jakým způsobem veřejnou zakázku na cloud computing úspěšně zadat. Prvním krokem zadavatele by měla být příprava zadávací dokumentace, při které dojde i k vyjasnění předmětu a hlavních parametrů budoucí veřejné zakázky. Před samotným zahájením zadávacího řízení však musí dojít k zápisu poptávky zadavatele do katalogu cloud computingu. Lze však doporučit žádost o zápis poptávky podat až těsně před samotným zahájením zadávacího řízení, neboť v průběhu přípravy zadávacích podmínek, tj. technických požadavků a parametrů na poptávané služby, může dojít ke změnám v obsahových náležitostech poptávky cloud computingu. Z pohledu procesní obezřetnosti při zvážení nejasné povahy zápisu do katalogu cloud computingu lze také plně doporučit před zahájením zadávacího řízení dle ZZVZ vyčkat samotného provedení zápisu na straně ministerstva.

Při přípravě zadávacích podmínek a smluvní dokumentace příslušné veřejné zakázky je nezbytné pamatovat také na ustanovení § 6l odst. 3 ZISVS, dle kterého orgán veřejné správy využívá cloud computing na základě písemné smlouvy. Současně však ministerstvo dle § 12 odst. 1 písm. f) ZISVS vyhláškou stanoví požadavky kladené na smlouvu o poskytování cloud computingu dle ZISVS. Ačkoliv aktuálně prováděcí předpis neexistuje, lze očekávat, že se při jeho přípravě bude ministerstvo inspirovat svou Metodikou pro práci s katalogem cloud computingu, jejíž přílohu č. 4 tvoří minimální smluvní podmínky.[6] Současně lze očekávat, že před přijetím prováděcích předpisů bude ministerstvo metodiku aktualizovat. Lze tak plně doporučit sjednání vyhrazené změny závazku dle § 100 odst. 1 ZZVZ jako součást smlouvy tak, aby po vydání vyhlášky mohl zadavatel po poskytovateli požadovat potřebné požadavky dle příslušného prováděcího předpisu, a to např. formou písemného oznámení ze strany zadavatele, tj. bez nutnosti uzavření písemného dodatku ke smlouvě.

Na straně poskytovatele cloud computingu je vyžadována aktivita již před samotným zadáním veřejné zakázky, neboť zápis poskytovatele do katalogu cloud computingu zabere výrazně delší dobu, a to až v řádu několika měsíců. Poskytovatel cloud computingu by tak měl usilovat o zápis do katalogu bez ohledu na konkrétní veřejnou zakázku.

Dalším vyžadovaným krokem na straně poskytovatele je podání žádosti o zápis nabídky cloud computingu, přičemž zápis může trvat nejdéle 30 dní, případně až dalších 30 dní při současném přerušení řízení za účelem vydání závazného stanoviska NÚKIB. Definice nabídky cloud computingu navíc uvádí, že se jedná o úkon předcházející prvnímu úkonu poskytovatele dle ZZVZ (čímž je dle našeho názoru potřeba rozumět podání nabídky na realizaci veřejné zakázky). Podle § 6l odst. 1 písm. a) ZISVS však musí dojít k zápisu nabídky nejpozději před jejím přijetím zadavatelem. Poskytovatel tak může v reakci na vypsanou veřejnou zakázku podat nabídku do veřejné zakázky, která bude odpovídat žádosti o zápis nabídky do katalogu cloud computingu, přičemž nejpozději před samotným podpisem smlouvy s vybraným dodavatelem dle ZZVZ musí být nabídka v katalogu skutečně zapsána.

Veřejný zadavatel tak zahájí zadávací řízení, ve kterém obdrží jednotlivé nabídky možných dodavatelů cloudových služeb, přičemž ti jsou povinni postupem dle ZISVS požádat o zápis nabídky do katalogu cloud computingu. Po skončení lhůty pro podání nabídek dle ZZVZ však nemusí být zápis nabídek v katalogu dokončen, postačuje pouze podání žádosti o jejich zápis, a to v rámci běhu lhůty pro podání nabídek dle ZZVZ. Veřejný zadavatel v tento moment může jednotlivé nabídky otevřít a přistoupit k jejich posouzení a hodnocení ve smyslu dle ZZVZ. Součástí nabídky by tedy měla být informace o tom, že dodavatel požádal o zápis nabídky do katalogu cloud computingu, přičemž samotný zápis musí být dokončen nejpozději před samotným podpisem smlouvy s vybraným dodavatelem dle ZZVZ. V rámci požadavků na přípravu nabídky by tedy měl zadavatel požadovat doložení podání žádosti o zápis nabídky do katalogu cloud computingu, nesplnění této zadávací podmínky by mělo za následek vyloučení účastníka ze zadávacího řízení.

Při přezkumu nabídek však už veřejný zadavatel neodpovídá ani za přezkum splnění způsobilosti poskytovatele dle § 6m ZISVS, ani za splnění požadavků na cloud computing dle § 6n ZISVS, které jsou přezkoumány již při zápisu poskytovatele a nabídky do katalogu cloud computingu. Veřejný zadavatel tak nemusí ověřovat, že poskytovatel a nabídka splnili veškeré požadavky dle ZISVS, neboť jejich splnění je ověřováno příslušnými orgány při zápisu do katalogu. Za co však veřejný zadavatel ve vztahu ke zkoumání nabídky a poskytovatele odpovídá, je zejména správné vymezení poptávaného cloud computingu ve své poptávce. Tedy pokud veřejný zadavatel chybně určí bezpečnostní úroveň, pro kterou cloud computing poptává, jedná se pouze o selhání na straně veřejného zadavatele.

Konečně může veřejný zadavatel také přistoupit k výběru dodavatele, se kterým následně uzavře smlouvu na realizaci veřejné zakázky. Nezbytné je však mít na paměti, že dle § 6l odst. 1 písm. a) ZISVS musí být k tomuto časovému bodu již dokončen zápis nabídky poskytovatele v katalogu cloud computingu. V rámci zadávací dokumentace je tedy možné vyhradit si postupem dle § 104 písm. e) ZZVZ další podmínku součinnosti před podpisem smlouvy s vybraným dodavatelem. V případě, že by následně vybraný dodavatel na základě výzvy k poskytnutí součinnosti dle § 122 odst. 3 písm. b) ZZVZ (dále jen „Výzva“) nedoložil zápis nabídky poskytovatele v katalogu cloud computingu (do určité doby ode dne doručení této Výzvy), byl by zadavatelem ze zadávacího řízení vyloučen (viz § 122 odst. 7 písm. b) ZZVZ), a to pro neposkytnutí součinnosti před podpisem smlouvy.

Po samotném uzavření smlouvy je současně nezbytné pamatovat na povinnost zápisu využívaného cloud computingu, a to do 45 dnů ode dne nabytí platnosti.

Ukončení smlouvy

Samozřejmě podpisem smlouvy proces dle ZISVS nekončí. Samotným zápisem využívaného cloud computingu současně dochází k výmazu příslušné poptávky. Naopak sám poskytovatel a nabídka zůstávají v katalogu cloud computingu nadále zapsány, čímž je verifikováno kontinuální naplňování podmínek dle § 6m odst. 1 a § 6n ZISVS, které jsou na poskytovatele a nabídku kladeny.

V případě nabídky nedochází k jejímu automatickému výmazu po zápisu využívaného cloud computingu. Nabídka naopak zůstává v katalogu nadále aktivní, a to až po dobu 3 let od zápisu. Ministerstvo však po 30 měsících poskytovatele žádá o potvrzení, zda je nabídka stále platná, a v případě jejího potvrzení prodlužuje zápis nabídky o dalších 30 měsíců ode dne tohoto potvrzení. O provedeném výmazu musí být informován orgán veřejné správy, který cloud computing tvořící předmět nabídky využívá, a to včetně důvodu pro výmaz nabídky z katalogu.

Pokud ministerstvo zjistí, že poskytovatel přestal splňovat podmínky dle § 6m odst. 1 ZISVS, rozhodne o výmazu poskytovatele z katalogu cloud computingu. V případě zjištění pochybení dle § 6m odst. 1 písm. a) ZISVS však nejdříve ministerstvo stanoví poskytovateli lhůtu ke zjednání nápravy. Výmaz osoby poskytovatele má současně přímý vliv na zapsanou nabídku, která musí být v souladu s § 6w odst. 1 písm. d) ZISVS taktéž vymazána. Současně musí být o výmazu poskytovatele z katalogu cloud computingu informován orgán veřejné správy, který využívá služby cloud computingu tohoto poskytovatele, a to včetně důvodu pro tento výmaz.

Orgán veřejné správy, kterému je oznámen výmaz poskytovatele, následně nemůže nadále čerpat služby cloud computingu, které od něj čerpal. Současně orgán veřejné správy nemůže využívat cloud computing, který nesplňuje požadavky dle § 6n ZISVS, přičemž takové selhání poskytovatele je také důvodem pro výmaz jeho nabídky z katalogu cloud computingu. V opačném případě by došlo k porušení jedné ze základních zásad ZISVS, tedy že orgán veřejné správy může využívat pouze cloud computing, který splňuje požadavky dle § 6n ZISVS a který je poskytovaný poskytovatelem státního cloud computingu nebo poskytovatelem zapsaným v katalogu podle § 6l odst. 1 ZISVS.

V neposlední řadě musí k ukončení využívání služeb cloud computingu dojít také v případě využití některé z časových výjimek dle čl. LXXXI DEPO, pokud ke konci přechodného období nedošlo k naplnění podmínek ZISVS. V takovém případě by došlo k rozporu s § 6l odst. 1 ZISVS, neboť by orgán veřejné správy využíval cloud computing, pro který nedošlo k zápisu poskytovatele a nabídky do katalogu.

S ohledem na uvedené legislativní požadavky tak lze zadavateli plně doporučit zahrnutí rozvazovací podmínky do smlouvy pro případ výmazu z katalogu tak, aby zadavatel mohl selhání poskytovatele flexibilně řešit, a to např. formou odstoupení od smlouvy apod.

Závěr

Novela v oblasti cloud computingu přináší značné novinky při pokračující digitalizaci státu a otevírá státní správu moderním technologickým postupům. Nicméně i s touto novelou se pojí řada nejasností a aplikačních problémů, na které musí veřejní zadavatelé a potenciální dodavatelé myslet při vytváření nabídek a poptávek. Nejasné situaci současně nenahrává, že § 12 ZISVS předpokládá úpravu celé řady otázek až prováděcími předpisy, ze kterých byly doposud přijaty pouze některé.

Kamenem úrazu je pak zejména fakt, že na subjekty budou kladeny nové požadavky, jejichž obsah prozatím není zcela jasně definován. Při poptávání či nabízení cloudových služeb lze tak jen doporučit využití odborných služeb. Pouze tak lze zajistit úspěšnou cestu k uzavření smlouvy na cloudové služby. V opačném případě může dojít i na zákaz plnění smlouvy pro nesplnění zákonných požadavků a znehodnocení veškeré práce, kterou zadavatelé a poskytovatelé na cestě k podpisu smlouvy vynaloží.