...V minulosti působil jako business analytik ve státním podniku NAKIT a byl členem představenstva společnosti Operátor ICT. Podílel se na projektech Ministerstva vnitra, včetně rozvoje systému datových schránek.
Vyšlo v č. 4/2026
Pavel Tesař se dlouhodobě věnuje digitálním službám státu, například datovým schránkám nebo Czech POINTu. Dnes v Digitální a informační agentuře vede projekt CAAIS – nový centrální autentizační a autorizační systém, který bude důležitý už při letošních říjnových komunálních volbách. V rozhovoru vysvětluje, proč systém vznikl a proč by obce neměly s přechodem na CAAIS otálet.
Pane Tesaři, začněme od úplného základu. Co je CAAIS a jaká je jeho role v architektuře eGovernmentu?
CAAIS je centrální autentizační a autorizační systém pro úředníky. Zjednodušeně řečeno, jde o sdílenou službu, která poskytuje identitu uživatele, umožňuje jejich přihlášení a řízení oprávnění v napojených státních systémech, nahrazuje stávající JIP/KAAS a přiřazuje úředníkům role pro správu přístupů.
Co byl hlavní impuls k tomu, že jste se rozhodli pro tak zásadní změnu?
Bylo to kombinací faktorů. Architektonická rigidita původního řešení, bezpečnostní aspekty, licenční otázky a praktická potřeba větší provozní autonomie. Původní systém totiž vznikal v jiné době, s jinými nároky a jiným technologickým kontextem. Postupně se kolem něj nabalovaly další funkce a závislosti. To, co dříve dávalo smysl, začalo být z pohledu dlouhodobé udržitelnosti problematické. Enterprise architektura našich centrálních sdílených služeb bude zdravější, když nebudou v jednom celku kombinovány funkcionality, které mohou fungovat odděleně.
Co nové řešení umožňuje?
CAAIS nám umožňuje plnou kontrolu nad vývojem, protože jej řídíme jako vlastní platformu a nejsme závislí na roadmapě ani prioritách třetích stran. Zároveň máme jasně definované integrační rozhraní, takže napojení na další systémy je předvídatelné, standardizované a dlouhodobě udržitelné. Architektura je navržena jako škálovatelná, což nám dává možnost reagovat na růst objemu dat i uživatelů bez zásadních zásahů do jádra řešení. Významným přínosem je také čistší bezpečnostní model, kde jsou kompetence, přístupy i odpovědnosti jednoznačně oddělené a lépe auditovatelné. Díky tomu všemu dokážeme pružněji reagovat i na legislativní změny, aniž bychom byli omezeni konstrukcí jiného nadřazeného systému. CAAIS je od začátku koncipován jako samostatná platforma, nikoli jako vedlejší komponenta jiného řešení, což nám dává větší stabilitu, flexibilitu i strategickou nezávislost.
V jakém stavu je dnes provoz CAAIS? Jde stále o přechodné období?
Jsme v plném produkčním provozu. Provoz zajišťuje NAKIT, státní podnik, který má zkušenosti s kritickou infrastrukturou státu. Infrastruktura je dimenzována s rezervou, máme SLA odpovídající kritické informační infrastruktuře. Zároveň jsme ale stále i v přechodném období. Starší autentizační systém označovaný jako JIP/KAAS zatím běží paralelně. Používáme metaforu „sunset“ a „sunrise“ období: nový systém vychází, starý postupně zapadá. Chceme dosáhnout řízeného přechodu bez náhlého odstřižení.
Jak konkrétně migrace probíhá? Co to znamená pro obce a další orgány veřejné moci?
Migrace probíhá ve dvou hlavních krocích: převod uživatelských účtů a rolí a přenesení informačních systémů na nové autentizační rozhraní CAAIS. Zaměstnanci obcí, krajů a dalších orgánů veřejné moci si tak zachovávají stávající přístupy a oprávnění. Pro lokální administrátory jsou připraveny nástroje pro automatizovaný přenos účtů ze systému JIP/KAAS do CAAIS, což zjednodušuje celý proces. Cílem je zajistit plynulý přechod bez výpadků služeb a minimalizovat dopad na běžný provoz.
Zmínil jste lokální administrátory. Jaká je jejich role?
Lokální administrátor je klíčová osoba na úřadě. Spravuje uživatelské účty, role a oprávnění. V přechodném období má zásadní roli při synchronizaci mezi starým a novým systémem. Proces jmenování je administrativně jednoduchý. Vyplní se formulář dostupný na hlavní stránce CAAIS, uloží se ve formátu XML a odešle datovou zprávou. Ve většině případů je žádost zpracována automaticky. Pokud narazíme na specifický typ elektronického podpisu nebo jinou technickou odchylku, řešíme to individuálně. Naším cílem je, aby všechny obce a města začaly používat CAAIS do konce druhého kvartálu letošního roku.
Kolik systémů je už dnes do CAAIS zapojeno?
Pohybujeme se přibližně kolem stovky agendových informačních systémů, které využívají pro přístup autentizační služby JIP/KAAS. Oslovujeme jejich správce s výzvou k přechodu na CAAIS. Některé z nich jsou již připojeny plně produkčně, jiné procházejí testováním. Například systém Nabídka majetku státu, který využívají obce při žádostech o převod státního majetku, autentizuje přístup výhradně přes CAAIS. Letošek jsme začali s několika stovkami aktivních obcí, ale po rozeslání hromadné výzvy nám jich statistiky ukazují přes 2 200 a každý den přibývají další. Celkem musíme v následujících měsících zprovoznit CAAIS ve více jak 6 500 městech a obcích České republiky.
Největší zátěž ale systém čeká během komunálních voleb. Už jsme o tom psali v březnovém čísle Veřejné správy, ale pojďme si to připomenout – jakou roli v tomto období CAAIS vlastně hraje?
Zásadní. Nový informační systém pro správu voleb (ISSV), který připravuje Ministerstvo vnitra, vyžaduje autentizaci právě prostřednictvím CAAIS. To znamená, že každá obec, která bude ustavovat volební komise a spravovat agendu voleb elektronicky, musí být včas připravena. Vzhledem k tomu, že komunální volby probíhají ve všech obcích, týká se přechod na CAAIS všech obcí! Kdo nebude mít včas otevřený účet v CAAIS a přiděleny odpovídající role, nepřihlásí se do ISSV a nebude tedy schopný volby administrativně zvládnout. Proto onboardingu CAAIS do všech měst a obcí věnujeme maximální pozornost.
Jak se na proces přechodu na CAAIS a ISSV připravujete?
Ve spolupráci s Ministerstvem vnitra rozesíláme dopisy všem samosprávám. O naléhavosti přechodu na CAAIS v souvislosti s podzimními volbami informujeme města a obce na mnoha konferencích, budeme pořádat semináře pro lokální administrátory, poskytovat potřebnou metodickou podporu. Vysvětlujeme povinnost, popisujeme postup a přikládáme jednoduché návody, jak na to.
Na čem podle vás bude nejvíc záležet a co by administrátoři, kteří mají v obcích na starosti informační systémy, rozhodně neměli podcenit?
Zásadní je nenechat přechod na CAAIS na poslední chvíli. Samotný proces je sice technicky poměrně jednoduchý, ale je potřeba si včas zřídit účet v CAAIS a připravit správu uživatelů.
Co je v tomto kroku nejdůležitější?
Administrátoři by měli myslet hlavně na správné nastavení rolí pro zaměstnance úřadu. Pravidla delegované správy oprávnění totiž CAAIS prakticky beze změny převzal z osvědčených principů JIP/KAAS. Přesto se vyplatí si jejich fungování znovu připomenout. Klíčovou roli má především lokální administrátor obce. Ten zakládá účty ostatním uživatelům a přiděluje jim role z rozsahu, který má obec k dispozici. Zprovoznění účtu přitom vyžaduje ztotožnění uživatele vůči Registru obyvatel. Lokální administrátor proto buď zná a zadá potřebné osobní údaje uživatele, nebo nechá jejich vyplnění přímo na něm.
A co bude uživatel potřebovat pro samotné přihlášení?
Pro plnohodnotnou práci je nutný druhý faktor autentizace. Nejčastěji jde o komerční certifikát, případně mohou uživatelé využít jakoukoli metodu podporovanou v NIA. Je důležité připomenout, že kvalifikovaný certifikát používaný pro elektronický podpis nelze pro autentizaci použít. Pro zachování kontinuity účtů je také výhodné ponechat si stejné uživatelské jméno jako v systému JIP/KAAS. Jakmile pak Ministerstvo vnitra spustí ISSV, bude díky tomu přístup přes CAAIS pro uživatele výrazně jednodušší.
Co když dojde během voleb k technickému problému?
Jsme připraveni a děláme vše pro to, aby k žádnému problému nedošlo. Máme vyčleněný speciální projektový tým, posílené centrum podpory a nastaven režim pohotovosti i mimo běžnou pracovní dobu. Náš Service Desk funguje v takzvaném tiketovacím režimu, to je došlé požadavky odbavuje postupně, ale pro kritické scénáře máme připraveny i přímé eskalační kanály. Volební proces je vždycky citlivý z hlediska času i důvěry veřejnosti, která očekává, že informační systémy v pozadí fungují bezchybně. To si plně uvědomujeme.
Kdy dojde k úplnému vypnutí starého systému?
Konkrétní datum jsme zatím nestanovili. Nechceme vyhlašovat termín bez jistoty, že jsou všechny dotčené subjekty, systémy a uživatelé připraveni. Ambicí je, aby rok 2026 byl přelomový a následně bylo možné oznámit finální termín. Specifickou výzvou zatím zůstává oddělení autentizační vrstvy od Czech POINTu, kde je historická provázanost technologicky komplikovanější.
Stávající autentizační systém JIP/KAAS bude nadále plně funkční pro využívání agend správních činností, stavebního řízení a dalších souvisejících procesů?
Jednotlivé systémy budou postupně přecházet na CAAIS, ale přesné termíny záleží na jejich možnostech. Některé systémy umožní paralelně přihlášení pomocí JIP/KAAS i CAAIS, ale jiné budou technicky vynucovat ostrý předěl. V této souvislosti je potřeba dodat, že například fungování zápisových formulářů pro matriky a ohlašovny bude v Czech POINTu ukončeno již ve druhém čtvrtletí tohoto roku. Ministerstvo vnitra připravuje spuštění nové verze aplikace C227, která převezme tyto funkcionality k sobě a otevře se všem typům obcí.
Jaký je váš osobní pohled na význam CAAIS?
CAAIS není jen technický projekt, je to služba vytvářející důvěru. Pokud má digitální stát fungovat, musí mít stabilní, bezpečnou a dobře řízenou identitu úředních osob. Říjnové komunální volby budou první skutečně plošnou zkouškou. Věřím, že obstojíme, ale zároveň apelujeme na obce: začněte včas, otevřete si účet v CAAIS, otestujte přístup, jmenujte administrátora, přidělte potřebné role zaměstnancům vašeho úřadu. Technologie je připravena. Teď jde o koordinaci a disciplínu v implementaci. ■
Kde lze získat více informací? Aplikace CAAIS: caais.gov.cz nebo caais.cms2.cz Uživatelská příručka: docs.caais.gov.cz/prirucka/ Věcné a metodické dotazy: caais@dia.gov.cz Telefonická podpora CAAIS: 246 091 450 (po–pá 8:00–12:00 a 14:00–18:00) Webináře k CAAIS: 15. 4. 2026 9:00–11:00 a 22. 4. 14:00–16:00 Technické problémy: Service Desk DIA |
