Přesně - problém marketingu výrobce napíše AI, ale nikdo se nikde nedozví co to dělá a z čeho vychází, takže ani fakticky nejde posoudit užitečnost.
Pokud se budeme bavit o počtu signatur - tak ani snad nedávají jejich soupis. Snažím se statisticky trefit, že ten s vyšším počtem bude lepší a nebo se dozvím, že ten s nižším počtem má to co zejména potřebuji narozdíl od toho s vyšším počtem, který tam má věci, které jsou pro moji reálnou aplikaci nerelevantní?
U bezpečnosti, je mnohdy motivací výběru důvěra v procesy výrobce, že se produktu věnuje a zajistí mi bezpečnost v průběhu živvotního cyklu a ne, že jen vypouští produkty s velmi krátkým životním cyklem.
U nadlimitních zakázek jste omezen zákonem na co se může a nemůže odkazovat. FIPS je národní standard USA a na něj by se ve veřejných zakázkách nemělo odkazovat. Resp. je to možné napadnout. Nebo zvolit postup podle § 91
§ 90 Normy nebo technické dokumenty
(1) Pokud zadavatel stanoví technické podmínky prostřednictvím odkazu na normy nebo technické dokumenty, použije je v tomto pořadí
a) české technické normy přejímající evropské normy přijaté evropskými normalizačními orgány a zpřístupněné veřejnosti,
b) evropské technické posouzení,
c) obecné technické specifikace v oblasti informačních a komunikačních technologií podle čl. 13 a 14 nařízení Evropského parlamentu a Rady (EU) č. 1025/2012 ze dne 25. října 2012 o evropské normalizaci, změně směrnic Rady 89/686/EHS a 93/15/EHS a směrnic Evropského parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES, a kterým se ruší rozhodnutí Rady 87/95/EHS a rozhodnutí Evropského parlamentu a Rady č. 1673/2006/ES,
d) mezinárodní normy přijaté mezinárodními normalizačními orgány a zpřístupněné veřejnosti,
e) technické dokumenty vydané evropskými normalizačními orgány postupem přizpůsobeným vývoji potřeb trhu, který není evropskou normou.
§ 91
(1) Jestliže zadavatel stanoví technické podmínky s využitím odkazu na normy nebo technické dokumenty podle § 90 odst. 1 nebo 2, nesmí odmítnout nabídku z důvodu, že nabízené dodávky, služby nebo stavební práce nejsou v souladu s takto stanovenými podmínkami, pokud dodavatel prokáže, že nabízené dodávky, služby nebo stavební práce splňují rovnocenným způsobem požadavky vymezené takovými technickými podmínkami. Tuto skutečnost dodavatel ve své nabídce vhodným prostředkem prokáže, a to zejména technickou dokumentací výrobce nebo dokladem podle § 95.
od toho jsou standardy, certifikace a měkká kritéria, podle technických parametrů se dají vybírat max. různé verze od stejného výrobce a ne mezi výrobce mezi sebou. Stejně to funguje i v ostatních oborech, málokdy máš tak hluboké znalosti, abys porovnání mohl udělat sám, to i sám potvrzuješ, že praxe s používání ti ty znalosti nepřinese.
Uvedu jako priklad vyber IPS… zakladni veci jako pocet portu, zakladni funkce umis popsat ale pak jsou veci typu 20tis signatur vs 15tis signatur a nejaka AI/analyza provozu… jak vyberes z tehle dvou reseni? Obe reseni jsou vicemen srovnatelne ale popsat tohle do vyberoveho rizeni a obhajit si neumim ani po 25+ letech praxe.
Stat dlouhodobe soutezi primarne na cenu - pro hodnoceni je to pro uredniky pohodlnejsi - a tohle vsechno jsou jen dusledky. U zadani vyberovych rizeni/soutezi to zacina. Aneb co dnes brani statu si v ramci svych poptavek zohlednit sve i bezpecnostni potreby? Jenze to by panove a damy ty kriteria museli umet sepsat a obhajit.
To je stejne jako s transpozici NIS2 - cele se to toci u toho, ze urednici svou praci nedelaji poradne. A namestek z NUKIBu namisto omluvy vytvari dojem, ze jinak to nejde. Ale jisteze jde. Jenom se mechce na uradech nikomu makat. A nedotazena RIA je toho jasnym dukazem.