Common use of KYBERNETICKÁ BEZPEČNOST Clause in Contracts

KYBERNETICKÁ BEZPEČNOST. Poskytovatel bere na vědomí, že objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvy. Poskytovatel dále bere na vědomí, že poskytování služeb uvedených v čl. I bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomí, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 této smlouvy (dále jen „pravidla bezpečnosti“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.

KYBERNETICKÁ BEZPEČNOST. Není-li v této Smlouvě nebo v souladu s touto Smlouvou stanoveno jinak, Poskytovatel tímto bere na vědomí, že objednatel že: Objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvyZKB. Poskytovatel dále tímto bere na vědomí, že poskytování služeb uvedených v čl. I Služeb dle této Smlouvy bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémůsystému. Poskytovatel je při plnění této smlouvy v postavení Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomíVKB. Strany potvrzují, že rozsah zapojení Poskytovatele na zajištění bezpečnosti aktiv významných informačních systémů je určen předmětem této Smlouvy. Poskytovatel je povinen v rozsahu plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v Příloze č. 8 („Kybernetické požadavky“), a to do termínu uzavření této Smlouvy. Poskytovatel je povinen tyto požadavky udržovat naplněné po celou dobu trvání této Smlouvy. Poskytovatel umožní Objednateli alespoň jednou (1) ročně po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. bSmlouvy a jeden (1) a crok po ukončení Smlouvy provedení zákaznického auditu (kontroly) VKB. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla Poskytovatele: jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 této smlouvy (dále jen „pravidla bezpečnosti“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k potřeby plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů Smlouvy a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání uloženými či řízení dle § 71 zpracovávanými daty a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, informacemi Objednatele v ICT prostředí Poskytovatele; a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv naplnění Kybernetických požadavků a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.vyhodnocení rizik dle bodu

KYBERNETICKÁ BEZPEČNOST. 1. Poskytovatel bere na vědomí, že objednatel je správcem provozovatelem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB zákona č. 181/2014 Sb., o kybernetické bezpečnosti a správcem o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“) a také provozovatelem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvy. Poskytovatel dále bere na vědomíZKB, že poskytování služeb uvedených v čl. I mezi které bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomí, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKBpatřit i řešení. 2. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. 3. Poskytovatel je při poskytování plnění oprávněn užívat data data, předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná získaná, pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále jen „VKB“). 4. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 5 této smlouvy (dále jen „pravidla bezpečnosti“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. 5. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. 6. Poskytovatel se zavazuje informovat zavazuje, že po dobu trvání smlouvy řešení nebude obsahovat části, které pro své fungování na straně objednatele o tombudou vyžadovat provozování nepodporovaných komponent systémového prostředí – tj. provozování komponent, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvykteré nejsou výrobcem těchto komponent podporovány (např. zastaralé verze operačního systému, databáze, prohlížeče apod.). 7. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. 8. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovateleje povinen v případě, že naplní jakýkoli definiční znak dodavatele s významným vztahem k Ruské federaci ve smyslu varování vydaného Národním úřadem pro kybernetickou a informační bezpečnost dne 21. Ovládáním se rozumí vlivbřezna 2022, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb.spisová značka: 350– 401/2022, číslo jednací: 3381/2022-NÚKIB-E/350, o obchodních korporacíchtakové skutečnosti objednatele bez zbytečného odkladu, ve znění pozdějších předpisů či ekvivalentní postavení, a to nejpozději do 5 2 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje nastání takové skutečnosti, písemně informovat objednatele o změně vlastnictví včetně uvedení způsobu řešení rizika dopadu sankcí či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změnyrizika možné nedostupnosti relevantních služeb v rámci svého řízení kontinuity činností. 9. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré veškerá data a informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.

KYBERNETICKÁ BEZPEČNOST. 25.1 Není-li v této Smlouvě nebo v souladu s touto Smlouvou stanoveno jinak, Poskytovatel tímto bere na vědomí, že objednatel že a) Objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvyzákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) (dále jen „ZKB“). Poskytovatel dále tímto bere na vědomí, že vytvoření Díla a poskytování služeb uvedených Služeb specifikovaných v čl. I článku 3 této Smlouvy bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. . b) Poskytovatel je při plnění této smlouvy v postavení významného dodavatele brán jako významný dodavatel ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomí(dále jen „Provozovatel“). 25.2 Smluvní strany potvrzují, že rozsah zapojení Poskytovatele na zajištění bezpečnosti aktiv významných informačních systémů je určen předmětem této Smlouvy. 25.3 Poskytovatel je povinen v rozsahu plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v Příloze č. 10 této Smlouvy (dále jen „Kybernetické požadavky“), a to do termínu zahájení realizace předmětu plnění této Smlouvy. 25.4 Poskytovatel umožní Objednateli v roční periodě po dobu účinnosti této smlouvy Smlouvy a 1 rok po ukončení účinnosti této Smlouvy provedení zákaznického auditu (kontroly): a) jehož rozsah bude veden ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. ICT prostředí Poskytovatele a b) jehož předmětem bude naplnění Kybernetických požadavků a c) VKBvyhodnocení rizik dle čl. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze 3 Přílohy č. 2 10 této smlouvy (dále jen „pravidla bezpečnosti“)Smlouvy. 25.5 Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. 25.6 Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. 25.7 Dále se dále Poskytovatel zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení nedostatky zjištěné: a) na základě provedení hodnocení rizik dle čl. VIII 3 v Příloze č. 10 této smlouvy. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím, že objednatel provádí Smlouvy nebo b) v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy rámci zákaznického auditu dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle 25.4 této smlouvySmlouvy odstranit ve lhůtě určené v písemném oznámení Objednatele. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. DojdeNestanoví-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých Objednatel lhůtu v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladupísemném oznámení, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvěStrany dohodnout na lhůtě pro odstranění nedostatku, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnostikterá nepřevýší 90 kalendářních dnů.

KYBERNETICKÁ BEZPEČNOST. 1. Poskytovatel bere na vědomí, že objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvy. Poskytovatel dále bere na vědomí, že poskytování služeb uvedených v čl. I bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. 2. Poskytovatel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomí, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB. 3. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. 4. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. 5. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 5 této smlouvy (dále jen „pravidla bezpečnosti“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. 6. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. 7. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. 8. Dojde-li u poskytovatele nebo konečného poskytovatele cloudových služeb nebo dodavatele informací o zranitelnostech nebo výrobce Řešení k výskytu bezpečnostních incidentů vzniklých v souvislosti souvisejících s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů systémů, jichž se plnění dle této smlouvy dotýká, a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednateleinformací. 9. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovateleposkytovatele nebo konečného poskytovatele cloudových služeb nebo dodavatele informací o zranitelnostech nebo výrobce Řešení, a to do 5 pracovních dnů od uskutečnění této změny. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. 10. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem nebo konečným poskytovatelem cloudových služeb nebo dodavatelem informací o zranitelnostech nebo výrobcem Řešení k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. 11. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré veškerá data a informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. 12. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.

KYBERNETICKÁ BEZPEČNOST. 9.1. Poskytovatel tímto bere na vědomí, že objednatel že a) Objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“), správcem komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvyZKB. Poskytovatel dále tímto bere na vědomí, že poskytování služeb uvedených v čl. I bude Plnění dle této Smlouvy může být prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení . b) Objednatel považuje Poskytovatele za významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomíVKB. 9.2. Smluvní strany potvrzují, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB. Rozsah rozsah zapojení poskytovatele Poskytovatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele systému je určen předmětem této smlouvy. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisySmlouvy, tj. zejména ZKB a VKBjakož i předmětem jednotlivých objednávek dle této Smlouvy. 9.3. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v oblasti bezpečnosti IT uvedená v příloze Příloze č. 2 6 této smlouvy Smlouvy (dále jen „pravidla bezpečnostiKybernetické požadavky“), a to do termínu uzavření objednávky na dodávku ISDŘ. Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII Poskytoval je povinen udržovat plnění těchto požadavků po celou dobu trvání této smlouvySmlouvy. 9.4. Poskytovatel se zavazuje umožnit Objednateli v roční periodě po dobu trvání smluvního vztahu založeného touto Smlouvou a 1 kalendářní rok po ukončení smluvního vztahu provedení zákaznického auditu (kontroly): a) jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby pl- nění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele, a b) jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. 3 Přílohy 6 této Smlouvy. 9.5. Objednatel je oprávněn při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou škodu či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvyjinou újmu. 9.6. Poskytovatel se zavazuje informovat objednatele o tomumožnit Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých to v souvislosti s plněním této smlouvy na informačních systémechlokalitě Poskytovatele i vzdáleně, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatelepokud to technické prostředky Poskytovatele umožňují. 9.7. Poskytovatel se dále nad rámec poskytování Předmětu plnění zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů poskytnout Objednateli součinnost minimálně v rozsahu 10 ČD (1 ČD = 8 pracovních hodin) při provádění každého zákaznického auditu ze strany Objednatele a podezření pro tuto činnost zajistit účast kvalifikovaných pracovníků. 9.8. Dále se Poskytovatel zavazuje odstranit ve lhůtě určené v písemném oznámení Objednatele nedostatky zjištěné: a) na jakékoliv zranitelnosti bezpečnosti informací u objednatelezákladě provedení hodnocení rizik dle ZKB a vnitřních řídících aktů Objednatele, nebo b) v rámci zákaznického auditu dle odst. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele9.4 této Smlouvy. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. DojdeNestanoví-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva Objednatel lhůtu v souladupísemném oznámení, zavazují se smluvní Smluvní strany uzavřít písemný dodatek k dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší devadesát (90) kalendářních dnů. Neodstranění nedostatků ve stanovené lhůtě je považováno za nenaplnění Kybernetických požadavků a tím porušení čl. 9.3. 9.9. Čl. 9.4. až 9.7. této smlouvěSmlouvy se neaplikují, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a/nebo VKB nabydou platnosti) až g) ZKB.

KYBERNETICKÁ BEZPEČNOST. Poskytovatel bere na vědomí, že objednatel je správcem provozovatelem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB zákona č. 181/2014 Sb., o kybernetické bezpečnosti a správcem o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“) a také provozovatelem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvy. Poskytovatel dále bere na vědomíZKB, že poskytování služeb uvedených v čl. I mezi které bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomí, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKBpatřit i řešení. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. Poskytovatel je při poskytování plnění oprávněn užívat data data, předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná získaná, pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále jen „VKB“). Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 6 této smlouvy (dále jen „pravidla bezpečnosti“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tímse zavazuje, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odstpo dobu trvání smlouvy řešení nebude obsahovat části, které pro své fungování na straně objednatele budou vyžadovat provozování nepodporovaných komponent systémového prostředí – tj. 1 tohoto článkuprovozování komponent, kterých se týká poskytování plnění dle této smlouvykteré nejsou výrobcem těchto komponent podporovány (např. Poskytovatel se zavazuje informovat objednatele o tomzastaralé verze operačního systému, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvydatabáze, prohlížeče apod.). Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů předpisů, či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen v případě, že naplní jakýkoli definiční znak dodavatele s významným vztahem k Ruské federaci ve smyslu varování vydaného Národním úřadem pro kybernetickou a informační bezpečnost dne 21. března 2022, spisová značka: 350– 401/2022, číslo jednací: 3381/2022-NÚKIB-E/350 (xxxxx://xxx.xxxxx.xx/xxxxxxxx/xxxxxx_xxxxx/0000-00-00_xxxxxxxx_xxxxx dodavatele.pdf), o takové skutečnosti objednatele bez zbytečného odkladu, nejpozději do 2 pracovních dnů od nastání takové skutečnosti, písemně informovat včetně uvedení způsobu řešení rizika dopadu sankcí či rizika možné nedostupnosti relevantních služeb v rámci svého řízení kontinuity činností. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré veškerá data a informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti trvání této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavustran, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou nabudou platnosti.

KYBERNETICKÁ BEZPEČNOST. Poskytovatel bere na vědomí, že objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvy. Poskytovatel dále bere na vědomí, že poskytování služeb uvedených v čl. I bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomí, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 této smlouvy (dále jen „pravidla bezpečnosti“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednateleinformací. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré veškerá data a informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavustran, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.

KYBERNETICKÁ BEZPEČNOST. Poskytovatel tímto bere na vědomí, že objednatel Objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB, správcem komunikačního systému kritické informační infrastruktury dle ustanovení § 3 písm. d) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvyZKB. Poskytovatel dále tímto bere na vědomí, že poskytování služeb uvedených poskytnutí plnění specifikovaného shora v člodst. I 3 této Smlouvy bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomíVKB. Smluvní strany potvrzují, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB. Rozsah rozsah zapojení poskytovatele Poskytovatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele systému je určen předmětem této smlouvySmlouvy. Poskytovatel prohlašuje, že má zavedena všechna bezpečnostní opatření, procesy a technologie, které prohlásil za zavedené (odpověděl ANO) v dotazníku pro hodnocení úrovně kybernetické bezpečnosti dodavatele, který tvoří Přílohu 7 této Smlouvy. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze povinen v rozsahu nezbytném ke splnění smlouvy a pouze plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 Příloze 6 této smlouvy Smlouvy (dále jen „pravidla bezpečnostiKybernetické požadavky“)) a to do začátku poskytování prvního Bezpečnostního testování dle odst. 3.1 této Smlouvy. Poskytovatel umožní Objednateli v roční periodě po dobu platnosti této Smlouvy a 1 (slovy: jeden) rok po ukončení platnosti této Smlouvy provedení zákaznického auditu (kontroly): jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele, a jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. 3 Přílohy 6 této Smlouvy. Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. Poskytovatel se dále nad rámec plnění dle odst. 3.1 této Smlouvy zavazuje zajistit, aby jeho poddodavatelé poskytnout Objednateli součinnost minimálně v plném rozsahu dodržovali zejména ustanovení 10 MD při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků. Dále se Poskytovatel zavazuje nedostatky zjištěné: na základě provedení hodnocení rizik dle čl. VIII 3 Přílohy 6 této smlouvySmlouvy nebo v rámci zákaznického auditu dle odst. 18.5 této Smlouvy odstranit ve lhůtě určené v písemném oznámení Objednatele nebo ve lhůtě přiměřené. Odstavce 18.5 až 18.9 této Smlouvy se neaplikují, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB. Poskytovatel se zavazuje při výkonu své činnosti včas nad rámec čl. 8 této Xxxxxxx také zavazuje: Poskytnout na vyžádání Objednateli dokumenty a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků. Na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění dle této Smlouvy detailní nastavení bezpečnostních opatření k pravidlům bezpečnostinaplnění Kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků. Neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, jejichž následkem může vzniknout újma nebo nesoulad které nastanou kdykoli v průběhu trvání této Smlouvy. Bezodkladně a s právními předpisy, a vyvinutím nejlepšího úsilí zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnostiKybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tímBezodkladně informovat Objednatele o bezpečnostních incidentech, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy které mohou ovlivnit realizaci plnění dle této Smlouvy. Při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům a jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo obecně závaznými právními předpisy. Porušení povinností Poskytovatele dle odst. 1 tohoto článku, kterých se týká poskytování plnění 18.11 této Smlouvy je považováno za porušení smluvní povinnosti dle bodu 17.1.6 této smlouvy. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy Smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace nedodržení Kybernetických požadavků ze strany Poskytovatele platí adekvátně ustanovení odst. 17.2 a data získané či vzniklé v souvislosti s plněním 17.3 této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnostiSmlouvy.

KYBERNETICKÁ BEZPEČNOST. Poskytovatel bere na vědomí, že objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvy. Poskytovatel dále bere na vědomí, že poskytování služeb uvedených v čl. I bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomí, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 5 této smlouvy (dále jen „pravidla bezpečnosti“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele nebo konečného poskytovatele cloudových služeb (text specifický pro variantu I) nebo dodavatele informací o zranitelnostech nebo výrobce Řešení k výskytu bezpečnostních incidentů vzniklých v souvislosti souvisejících s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů systémů, jichž se plnění dle této smlouvy dotýká, a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednateleinformací. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovateleposkytovatele nebo konečného poskytovatele cloudových služeb (text specifický pro variantu I) nebo dodavatele informací o zranitelnostech nebo výrobce Řešení, a to do 5 pracovních dnů od uskutečnění této změny. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem nebo konečným poskytovatelem cloudových služeb (text specifický pro variantu I) nebo dodavatelem informací o zranitelnostech nebo výrobcem Řešení k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré veškerá data a informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.

KYBERNETICKÁ BEZPEČNOST. Poskytovatel 1. Zhotovitel bere na vědomí, že objednatel je správcem provozovatelem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB zákona č. 181/2014 Sb., o kybernetické bezpečnosti a správcem o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“) a provozovatelem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvyZKB, zejména informačních systémů ABO/ABO-K, CERTIS, SKD, KRZR a JERRS. 2. Poskytovatel dále bere na vědomí, že poskytování služeb uvedených v čl. I bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel Zhotovitel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB vyhlášky č. 82/2018 Sb., bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „VKB“). 3. Xxxxxxxxxx bere na vědomí, že po dobu účinnosti této smlouvy bude veden je v evidenci významných dodavatelů objednatele ve smyslu souladu s § 8 odst. 1 písm. b) a c) VKBVKB veden v seznamu významných dodavatelů objednatele. 4. Rozsah zapojení poskytovatele zhotovitele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. 5. Poskytovatel Zhotovitel je při poskytování plnění oprávněn užívat data data, předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná získaná, pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. 6. Poskytovatel Zhotovitel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele zhotovitele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 této smlouvy 9 (dále jen „pravidla bezpečnosti“). 7. Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. Poskytovatel Zhotovitel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. 8. Poskytovatel Zhotovitel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. 9. Poskytovatel Zhotovitel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. 10. Dojde-li u poskytovatele zhotovitele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel zhotovitel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel Zhotovitel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. 11. Poskytovatel Zhotovitel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sbzhotovitele., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.

KYBERNETICKÁ BEZPEČNOST. 16.1 Není-li v této Smlouvě nebo v souladu s touto Smlouvou stanoveno jinak, Poskytovatel tímto bere na vědomí, že objednatel že 16.1.1 Objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB, správcem komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvyZKB. Poskytovatel dále tímto bere na vědomí, že poskytování služeb uvedených v čl. I bude poskytnutí Plnění může být prováděno na podpůrných aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení systému. 16.1.2 Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomíVKB. 16.2 Smluvní strany potvrzují, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB. Rozsah rozsah zapojení poskytovatele Poskytovatele na zajištění bezpečnosti podpůrných aktiv informačních a komunikačních systémů kritické informační infrastruktury a podpůrných aktiv významných informačních systémů používaných v prostředí objednatele systému je určen předmětem této smlouvy. Smlouvy. 16.3 Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze povinen v rozsahu nezbytném ke splnění smlouvy a pouze plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze Příloze č. 2 7 této smlouvy Smlouvy (dále jen „pravidla bezpečnostiKybernetické požadavky“). , a to nejpozději od účinnosti Xxxxxxx. 16.4 Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé je povinen umožnit Objednateli alespoň jednou (1) ročně po dobu účinnosti této Smlouvy a následně také jeden (1) rok po ukončení trvání této Smlouvy provedení zákaznického auditu (kontroly): 16.4.1 jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v plném rozsahu dodržovali zejména ustanovení ICT prostředí Poskytovatele; 16.4.2 jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. VIII 3 Přílohy č. 7 této smlouvySmlouvy 16.5 Objednatel je oprávněn při zákaznickém auditu využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. 16.6 Poskytovatel umožní Objednateli zákaznický audit provedený prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. 16.7 Poskytovatel se zavazuje poskytnout Objednateli součinnost minimálně v rozsahu deset (10) ČD při výkonu své činnosti včas provádění každého zákaznického auditu ze strany Objednatele a prokazatelně upozornit objednatele pro tuto činnost zabezpečit účast kvalifikovaných pracovníků. 16.8 Dále se Poskytovatel zavazuje nedostatky zjištěné: 16.8.1 na zřejmou nevhodnost jeho příkazů či doporučení vztahujících základě provedení hodnocení rizik dle čl. 3 Přílohy č. 7 této Smlouvy; nebo 16.8.2 v rámci zákaznického auditu dle čl. 16.7 této Smlouvy; odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Smluvní strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší devadesát (90) kalendářních dnů. 16.9 Články 16.1 až 16.7 této Smlouvy se nepoužijí, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB. 16.10 Poskytovatel se dle této Smlouvy zavazuje: 16.10.1 poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků; 16.10.2 na požádání s Objednatelem konzultovat kdykoli v průběhu poskytování Plnění dle této Smlouvy detailní nastavení bezpečnostních opatření k pravidlům bezpečnostinaplnění Kybernetických požadavků a pro takovéto konzultace zabezpečit účast kvalifikovaných pracovníků; 16.10.3 neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, jejichž následkem může vzniknout újma nebo nesoulad které nastanou kdykoli v průběhu trvání této Smlouvy; 16.10.4 bezodkladně a s právními předpisy, a zajistit ve spolupráci s objednatelem vyvinutím nejlepšího úsilí zabezpečit náhradní způsob naplnění pravidel bezpečnostiKybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím; 16.10.5 bezodkladně informovat Objednatele o bezpečnostních incidentech, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká které mohou ovlivnit poskytování plnění Plnění dle této smlouvy. Poskytovatel Smlouvy; 16.10.6 při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy ke Kybernetickým požadavkům a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž jejichž následkem může vzniknout újma nebo nesoulad se plnění dle této smlouvy týká, zákony nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech jinými obecně závaznými právními předpisy; 16.10.7 bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. Poskytovatel se zavazuje Objednateli; 16.10.8 poskytnout součinnost při realizaci auditu Poskytovatele Objednatelem dle relevantních právních předpisů o kybernetické bezpečnosti; a 16.10.9 informovat objednatele Objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či rizicích Plnění a jejich řízení dle § 71 a násl. zákona č. 90/2012 Sbze strany Poskytovatele., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.

KYBERNETICKÁ BEZPEČNOST. 16.1 Není-li v této Smlouvě nebo v souladu s touto Smlouvou stanoveno jinak, Poskytovatel tímto bere na vědomí, že objednatel že 16.1.1 Objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB, správcem komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvyZKB. Poskytovatel dále tímto bere na vědomí, že poskytování služeb uvedených v čl. I bude poskytnutí Plnění může být prováděno na podpůrných aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení systému. 16.1.2 Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomíVKB. 16.2 Smluvní strany potvrzují, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB. Rozsah rozsah zapojení poskytovatele Poskytovatele na zajištění bezpečnosti podpůrných aktiv informačních a komunikačních systémů kritické informační infrastruktury a podpůrných aktiv významných informačních systémů používaných v prostředí objednatele systému je určen předmětem této smlouvy. Smlouvy. 16.3 Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze povinen v rozsahu nezbytném ke splnění smlouvy a pouze plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze Příloze č. 2 7 této smlouvy Smlouvy (dále jen „pravidla bezpečnostiKybernetické požadavky“). , a to nejpozději od účinnosti Xxxxxxx. 16.4 Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé je povinen umožnit Objednateli alespoň jednou (1) ročně po dobu účinnosti této Smlouvy a následně také jeden (1) rok po ukončení trvání této Smlouvy provedení zákaznického auditu (kontroly): 16.4.1 jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v plném rozsahu dodržovali zejména ustanovení ICT prostředí Poskytovatele; 16.4.2 jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. VIII 3 Přílohy č. 7 této smlouvySmlouvy 16.5 Objednatel je oprávněn při zákaznickém auditu využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. 16.6 Poskytovatel umožní Objednateli zákaznický audit provedený prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. 16.7 Poskytovatel se zavazuje poskytnout Objednateli součinnost minimálně v rozsahu deset (10) ČD při výkonu své činnosti včas provádění každého zákaznického auditu ze strany Objednatele a prokazatelně upozornit objednatele pro tuto činnost zabezpečit účast kvalifikovaných pracovníků. 16.8 Dále se Poskytovatel zavazuje nedostatky zjištěné: 16.8.1 na zřejmou nevhodnost jeho příkazů či doporučení vztahujících základě provedení hodnocení rizik dle čl. 3 Přílohy č. 7 této Smlouvy; nebo 16.8.2 v rámci zákaznického auditu dle čl. 16.7 této Smlouvy; odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Smluvní strany dohodnout na lhůtě pro odstraněnínedostatku, která nepřevýší devadesát (90) kalendářních dnů. 16.9 Články 16.1 až 16.7 této Smlouvy se nepoužijí, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB. 16.10 Poskytovatel se dle této Smlouvy zavazuje: 16.10.1 poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků; 16.10.2 na požádání s Objednatelem konzultovat kdykoli v průběhu poskytování Plněnídle této Smlouvy detailnínastaveníbezpečnostních opatření k pravidlům bezpečnostinaplnění Kybernetických požadavků a pro takovéto konzultace zabezpečit účast kvalifikovaných pracovníků; 16.10.3 neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, jejichž následkem může vzniknout újma nebo nesoulad které nastanou kdykoli v průběhu trvání této Smlouvy; 16.10.4 bezodkladně a s právními předpisy, a zajistit ve spolupráci s objednatelem vyvinutím nejlepšího úsilí zabezpečit náhradní způsob naplnění pravidel bezpečnostiKybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím; 16.10.5 bezodkladně informovat Objednatele o bezpečnostních incidentech, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká které mohou ovlivnit poskytování plnění Plnění dle této smlouvy. Poskytovatel Smlouvy; 16.10.6 při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy ke Kybernetickým požadavkům a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž jejichž následkem může vzniknout újma nebo nesoulad se plnění dle této smlouvy týká, zákony nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech jinými obecně závaznými právními předpisy; 16.10.7 bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. Poskytovatel se zavazuje Objednateli; 16.10.8 poskytnout součinnost při realizaciauditu Poskytovatele Objednatelem dle relevantních právních předpisů o kybernetické bezpečnosti; a 16.10.9 informovat objednatele Objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či rizicích Plnění a jejich řízení dle § 71 a násl. zákona č. 90/2012 Sbze strany Poskytovatele., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.

KYBERNETICKÁ BEZPEČNOST. Poskytovatel 1. Zhotovitel bere na vědomí, že objednatel je správcem provozovatelem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB zákona č. 181/2014 Sb., o kybernetické bezpečnosti a správcem o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“) a provozovatelem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvyZKB, zejména informačních systémů ABO/ABO-K, CERTIS, SKD, KRZR a JERRS. 2. Poskytovatel dále bere na vědomí, že poskytování služeb uvedených v čl. I bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel Zhotovitel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB vyhlášky č. 82/2018 Sb., bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „VKB“). 3. Xxxxxxxxxx bere na vědomí, že po dobu účinnosti této smlouvy bude veden je v evidenci významných dodavatelů objednatele ve smyslu souladu s § 8 odst. 1 písm. b) a c) VKBVKB veden v seznamu významných dodavatelů objednatele. 4. Rozsah zapojení poskytovatele zhotovitele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. 5. Poskytovatel Zhotovitel je při poskytování plnění oprávněn užívat data data, předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná získaná, pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. 6. Poskytovatel Xxxxxxxxxx se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele zhotovitele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 této smlouvy 9 (dále jen „pravidla bezpečnosti“). 7. Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. Poskytovatel Xxxxxxxxxx se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. 8. Poskytovatel Zhotovitel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. 9. Poskytovatel Xxxxxxxxxx se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. 10. Dojde-li u poskytovatele zhotovitele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel zhotovitel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel Zhotovitel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. 11. Poskytovatel Xxxxxxxxxx se zavazuje informovat objednatele o významné změně ovládání poskytovatelezhotovitele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů předpisů, či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. 12. Poskytovatel Zhotovitel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem zhotovitelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. 13. Poskytovatel Zhotovitel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré veškerá data a informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel Xxxxxxxxxx je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Zhotovitel je v případě ukončení smlouvy rovněž povinen předat objednateli čipové karty a přístupové údaje nezbytné pro správu zhotovitelem upgradovaného technického řešení HSM modulů, a to nejpozději v den ukončení smlouvy. 14. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavustran, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.

KYBERNETICKÁ BEZPEČNOST. 1. Poskytovatel tímto bere na vědomí, že objednatel Objednatel je správcem informačních systémů kritické informační infrastruktury osobou povinnou dle ustanovení § 3 písmzákona č. c181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZoKB“) ZKB a správcem významných informačních systémů dle ustanovení § 3 písmplní povinnosti vyhlášky č. e) ZKB uvedených 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v preambuli této smlouvyoblasti kybernetické bezpečnosti a likvidaci dat, ve znění pozdějších předpisů (dále jen „VyKB“). 2. Poskytovatel dále tímto bere na vědomí, že poskytování služeb uvedených je pro Objednatele při zajišťování smluvního vztahu založeného touto smlouvou v čl. I bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení pozici významného dodavatele ve smyslu § 2 písm. n) VyKB a § 8 odst. 1 písm. f) a odst. 2 VKB VyKB a bere na vědomí, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele pozici možného budoucího provozovatele ve smyslu § 8 odst. 1 2 písm. bg) a c) VKBZoKB. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvyV případě, že se Poskytovatel stane provozovatelem ve smyslu shora uvedeného, bude o tomto informován Objednatelem. 3. Poskytovatel prohlašuje, že má zavedena všechna bezpečnostní opatření, procesy a technologie, které prohlásil za zavedené (odpovědí Ano) v tabulce pro úroveň bezpečnosti informací, která tvoří přílohu č. 5 smlouvy. 4. Objednatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou ustanovením § 4 odst. 4 ZoKB a příslušnými právními předpisy, tj. zejména ZKB a VKB. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze ve spojení s přílohou č. 2 7 VyKB povinen stanovit závazná bezpečnostní opatření, která se vztahují na Poskytovatele při plnění předmětu této smlouvy (dále jen „pravidla bezpečnostiBezpečnostní opatření“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny 5. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním rozsahu plnění této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči datnaplnit všechna Bezpečnostní opatření uvedená v příloze č. 4 smlouvy – Bezpečnostní požadavky. 6. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB zpracovat a předat Objednateli před předáním akceptačního protokolu: a/nebo VKB takového charakteru ) podrobný popis zajištění technické bezpečnosti systému a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.bezpečnosti provozu systému (bezpečnostní dokumentace systému);

KYBERNETICKÁ BEZPEČNOST. 1. Poskytovatel bere na vědomí, že objednatel je správcem provozovatelem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB zákona č. 181/2014 Sb., o kybernetické bezpečnosti a správcem o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“) a provozovatelem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvy. Poskytovatel dále bere na vědomíZKB, že poskytování služeb uvedených v čl. I bude prováděno na aktivech zejména informačních systémů kritické informační infrastruktury ABO/ABO-K, CERTIS, SKD, DMS, ESPIS, ISAI, KRZR a aktivech významných informačních systémůJERRS. 2. Poskytovatel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB vyhlášky č. 82/2018 Sb., bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „VKB“). 3. Poskytovatel bere na vědomí, že po dobu účinnosti této smlouvy bude veden je v evidenci významných dodavatelů objednatele ve smyslu souladu s § 8 odst. 1 písm. b) a c) VKBVKB veden v seznamu významných dodavatelů objednatele. 4. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. 5. Poskytovatel je při poskytování plnění oprávněn užívat data data, předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná získaná, pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. 6. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 8 této smlouvy (dále jen „pravidla bezpečnosti“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. 7. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. 8. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. odstavce 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. 9. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. 10. Dojde-li u poskytovatele k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných ohrožujících informace a software předávané mezi poskytovatelem k plnění této smlouvya objednatelem, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatele. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření na jakékoliv zranitelnosti bezpečnosti informací u objednatele. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručí, že nebude možné zrekonstruovat jednotlivé datové struktury, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnosti.

KYBERNETICKÁ BEZPEČNOST. Není-li v této Servisní smlouvě nebo v souladu s touto Servisní smlouvou stanoveno jinak, Poskytovatel tímto bere na vědomí, že objednatel že: Objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB, správcem komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvyZKB. Poskytovatel dále tímto bere na vědomí, že poskytování služeb uvedených v čl. I Služeb dle této Servisní smlouvy bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémůsystému. Poskytovatel je při plnění této smlouvy v postavení Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomíVKB. Strany potvrzují, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB. Rozsah rozsah zapojení poskytovatele Poskytovatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele systému je určen předmětem této Servisní smlouvy. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze povinen v rozsahu nezbytném ke splnění plnění této Servisní smlouvy naplnit všechny bezpečnostní požadavky uvedené v Příloze č. 11 [Požadavky na zajištění kybernetické bezpečnosti] (dále jen „Kybernetické požadavky“), a to do termínu uzavření této Servisní smlouvy. Poskytoval je povinen tyto požadavky udržovat naplněné po celou dobu trvání této Servisní smlouvy. Poskytovatel umožní Objednateli alespoň jednou (1) ročně po dobu účinnosti této Servisní smlouvy a pouze jeden (1) rok po ukončení Servisní smlouvy provedení zákaznického auditu (kontroly) v souladu s touto smlouvou prostředí Poskytovatele: jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Servisní smlouvy a příslušnými právními předpisyuloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele; a jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. 1.3 Přílohy č. 11 [Požadavky na zajištění kybernetické bezpečnosti] této Servisní smlouvy. Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, tjjako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. zejména ZKB Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a VKBto v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele poskytnout Objednateli součinnost v rámci Služeb na objednávku dle Článku 8 a jejich pracovníci v plném rozsahu dodržovali obecná pravidla uvedeném v Příloze 1 [Technická specifikace] této Servisní smlouvy u Služby KS1.7 a pro dodavatele tuto činnost zabezpečit účast kvalifikovaných pracovníků Poskytovatele. Dále se Poskytovatel zavazuje nedostatky zjištěné: na základě provedení hodnocení rizik dle čl. 3 v oblasti bezpečnosti IT uvedená v příloze Příloze č. 2 11 [Požadavky na zajištění kybernetické bezpečnosti] této Servisní smlouvy nebo v rámci zákaznického auditu dle Článku 30.4 této Servisní smlouvy odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší devadesát (dále jen „pravidla bezpečnosti“)90) kalendářních dnů. Neodstranění nedostatků ve stanovené lhůtě je považováno za nenaplnění Kybernetických požadavků a tím porušení Článku 30.3. Články 30.4 až 30.7 této Servisní smlouvy se nepoužijí, pokud je Poskytovatel pro poskytování Služeb dle této Servisní smlouvy orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB. Poskytovatel se dále zavazuje zajistitzavazuje: poskytnout na vyžádání a bez zbytečného odkladu Objednateli dokumenty a obdobné výstupy, aby jeho poddodavatelé které budou prokazovat naplnění Kybernetických požadavků; na požádání s Objednatelem konzultovat kdykoli v plném rozsahu dodržovali zejména ustanovení čl. VIII průběhu realizace plnění Služeb dle této Servisní smlouvy detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků; neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání této Servisní smlouvy. Poskytovatel se zavazuje při výkonu své činnosti včas ; bezodkladně a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a vyvinutím nejlepšího úsilí zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnostiKybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím; bezodkladně informovat oprávněnou osobu Objednatele dle Přílohy 5 [Kontaktní osoby] 1.1(d)(osoba oprávněná jednat v záležitostech kybernetické bezpečnosti) o bezpečnostních incidentech, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování které mohou ovlivnit realizaci plnění dle této Servisní smlouvy. Kontaktní osoby Stran vzájemně komunikují v průběhu poskytování Služeb dle Servisní smlouvy za účelem dosažení standardů pro bezpečnost informací dle tohoto Článku 30 (Kybernetická bezpečnost). V případě ohrožení anebo porušení bezpečnosti informací, zejména v případě výskytu kybernetické bezpečnostní události anebo incidentu, jsou Kontaktní osoby povinny vzájemně komunikovat, ihned po zjištění takových skutečností hlásit jejich výskyt druhé Straně a společně podnikat kroky k zajištění obnovení bezpečnosti informací; a při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům, jejichž následkem bude či může být vznik újmy anebo rozporu s obecně závaznými právními předpisy. Jestliže Poskytovatel při plnění Servisní smlouvy zjistí či jako odborník mohl a měl zjistit rozpor ustanovení Interních předpisů se zavazuje informovat objednatele o tomZKB, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy VKB anebo rozhodnutím či jiným pokynem NÚKIB, je povinen takový rozpor Objednateli neprodleně ohlásit a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele poskytnout Objednateli součinnost k výskytu bezpečnostních incidentů vzniklých v souvislosti s plněním této smlouvy na informačních systémech, jichž se plnění dle této smlouvy týká, nebo týkající se aktiv používaných poskytovatelem k plnění této smlouvy, zavazuje se poskytovatel o těchto bezpečnostních incidentech bezodkladně informovat objednatelejeho odstranění. Poskytovatel se dále zavazuje oznamovat objednateli bezodkladně neobvyklé chování těchto informačních systémů a podezření bere na jakékoliv zranitelnosti bezpečnosti informací u objednatele. Poskytovatel se zavazuje informovat objednatele o významné změně ovládání poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, ve znění pozdějších předpisů či ekvivalentní postavení, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel se zavazuje informovat objednatele o změně vlastnictví či oprávnění nakládat se zásadními aktivy využívanými poskytovatelem k plnění této smlouvy, a to do 5 pracovních dnů od uskutečnění této změny. Poskytovatel je povinen zajistit, aby byly v případě ukončení smlouvy veškeré informace a data získané či vzniklé v souvislosti s plněním této smlouvy likvidovány bezpečným způsobem, který zaručívědomí, že nebude možné zrekonstruovat jednotlivé datové strukturyveškeré aktivity Poskytovatele a jeho plnění realizované v prostředí Objednatele jsou monitorovány a vyhodnocovány v rozsahu předmětu plnění a v souladu s Interními předpisy Objednatele, části dat a informací do podoby, jež by umožnila identifikovat obsah a zpracování nebo použití dat a/nebo informací se kterými byl Poskytovatel seznámen. Povinnosti Poskytovatele vyplývající z tohoto Článku 30 (Kybernetická bezpečnost) platí adekvátně k podílu na konkrétním nosiči dat. Poskytovatel je přitom povinen zajistit soulad postupu při likvidaci dat s přílohou č. 4 VKB. Dojde-li za dobu účinnosti této smlouvy ke změnám ZKB a/nebo VKB takového charakteru a rozsahu, že s nimi nebude smlouva v souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran nezbytných k nápravě tohoto stavu, a to bez zbytečného odkladu poté, co legislativní změny ZKB a/nebo VKB nabydou platnostiposkytování Služeb i pro Poddodavatele.