Common use of KYBERNETICKÁ BEZPEČNOST Clause in Contracts

KYBERNETICKÁ BEZPEČNOST. Není-li v této Smlouvě nebo v souladu s touto Smlouvou stanoveno jinak, Poskytovatel tímto bere na vědomí, že Objednatel je správcem informačních systémů kritické informační infrastruktury dle § 3 písm. c) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) (dále jen „ZKB“), správce komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů dle § 3 písm. e) ZKB. Poskytovatel dále tímto bere na vědomí, že poskytnutí služeb specifikovaných v článku 3.1 této Smlouvy bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systému. Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB. Smluvní strany potvrzují, že rozsah zapojení Poskytovatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systému je určen předmětem této Smlouvy. Poskytovatel je povinen v rozsahu plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v příloze č. 10 této Smlouvy (dále jen „Kybernetické požadavky“), a to do termínu uzavření první Prováděcí smlouvy dle odst. 8.7 této Smlouvy. Poskytovatel umožní Objednateli v roční periodě po dobu platnosti této Smlouvy a 1 rok po ukončení platnosti této Smlouvy provedení zákaznického auditu (kontroly): jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele a jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. 3 Přílohy č. 10 této Smlouvy. Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. Poskytovatel se nad rámec ustanovení odst. 3.6 této Smlouvy zavazuje poskytnout Objednateli součinnost minimálně v rozsahu 10 ČD při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků. Dále se Poskytovatel zavazuje nedostatky zjištěné: na základě provedení hodnocení rizik dle čl. 3 v Příloze č. 10 této Smlouvy nebo v rámci zákaznického auditu dle odst. 20.4 této Smlouvy odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší 90 kalendářních dnů. Odstavce 20.4 až 20.7 této Smlouvy se neaplikují, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB. Poskytovatel se nad rámec čl. 12 této Smlouvy také zavazuje: poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků; na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění dle této Smlouvy či Prováděcí smlouvy detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků; neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání této Smlouvy; bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní; bezodkladně informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit realizaci plnění dle této Smlouvy či dle Prováděcích smluv; a při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům a jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo jinými obecně závaznými právními předpisy.

KYBERNETICKÁ BEZPEČNOST. Není-li v této Smlouvě smlouvě nebo v souladu s touto Smlouvou smlouvou stanoveno jinak, Poskytovatel poskytovatel tímto bere na vědomí, že že: Objednatel je správcem významných informačních systémů kritické informační infrastruktury dle § 3 písm. ce) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon dále jen „ZoKB“). Poskytovatelem zajišťovaný akreditační systém je v souladu s § 3 odst. 1 písm. f) vyhlášky č. 317/2014 Sb., o kybernetické bezpečnosti) významných informačních systémech a jejich určujících kritériích, určen objednatelem, jako významný informační systém (dále jen „ZKBVIS“). Zajišťováním akreditačního systému se poskytovatel stává provozovatelem VIS, správce komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů tedy povinnou osobou dle § 3 písm. e) ZKBZoKB a budou tak na něj a jeho případné poddodavatele kladeny požadavky z hlediska zajištění požadované úrovně kybernetické bezpečnosti, ve smyslu dostupnosti, důvěrnosti a integrity, plně v souladu se ZoKB a jeho prováděcím předpisem, tj. Poskytovatel vyhláškou č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále tímto bere na vědomí, že poskytnutí služeb specifikovaných v článku 3.1 této Smlouvy bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémujen „VoKB“). Objednatel chápe Poskytovatele jako významného dodavatele Je z pohledu objednatele významným dodavatelem ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a § 8 odst. 2 VKBVoKB. Na základě analýzy rizik provedené objednatelem v souvislosti s varováním NÚKIB č.j. 3012/2018-NÚKIB-E/110 ze dne 17. prosince 2018, je ze strany objednatele požadováno, aby poskytovatel zajistil, a to včetně svých případných poddodavatelů, že v rámci žádné z částí dodaného řešení akreditačního systému nebudou použity technické ani programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Xxxxxx xxxxxx xxxxxxxxx a ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx. Za účelem zajištění odpovídající úrovně kybernetické bezpečnosti v oblasti řízení bezpečnosti informací, objednatel požaduje, aby poskytovatel a stejně tak i jeho případní poddodavatelé, byli držiteli certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF – International Accreditation Forum. V případě řešení akreditačního systému zajištěného s využitím cloud computingu, pak objednatel požaduje, aby byl poskytovatel resp. poddodavatel, který službu cloud computingu přímo zajišťuje držitel certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF, do jehož rozsahu certifikace náleží poskytovaná služba cloud computingu, provozovaná v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018. V případě řešení akreditačního systému zajištěného s využitím cloud computingu objednatel rovněž požaduje, aby byla veškerá jeho informační aktiva, tj. zákaznická data a s nimi přímo související provozní údaje (např. logy přístupů a změn), dlouhodobě a nepřetržitě uložena a zpracovávána výlučně na území členských států Evropské unie nebo států, které jsou smluvní stranou Dohody o Evropském hospodářském prostoru. Současně s tím objednatel požaduje, aby veškerá zákaznická data byla po celou dobu plnění výlučně pod jurisdikcí evropského práva. V případě ostatních provozních dat, tj. jiných než zákaznických dat a s nimi přímo souvisejících provozních údajů (např. údaje o stavu používaných technických prostředků), generovaných poskytovatelem cloud computingu během provozování služby, požaduje objednatel poskytnutí transparentních informací o tom, kde jsou tato provozní data geograficky uložena a zpracovávána. Bezprostředně po skončení konání předsednictví ČR v Radě EU budou poskytovatelem veškerá informační aktiva objednatele, ve smyslu zákaznických dat a s nimi přímo souvisejících provozních údajů, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu předána objednateli a poté bez zbytečného odkladu poskytovatelem bezpečně zlikvidována, a to plně v souladu s přílohou č. 4 VoKB a též v kontextu ohodnocení těchto aktiv objednatelem z hlediska úrovně jejich důvěrnosti, přičemž o bezpečné likvidaci těchto aktiv a způsobu jejího provedení bude poskytovatelem vyhotoven protokol, který bude následně předán objednateli. Smluvní strany potvrzují, že rozsah zapojení Poskytovatele poskytovatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních akreditačního systému je určen předmětem této Smlouvysmlouvy. Poskytovatel je povinen v rozsahu plnění této Smlouvy smlouvy naplnit všechny bezpečnostní požadavky ve smyslu zajištění kybernetické bezpečnosti, uvedené v příloze č. 10 4, této Smlouvy smlouvy (dále jen „Kybernetické KB požadavky“), a to nejpozději do termínu uzavření první Prováděcí zahájení realizace předmětu plnění této smlouvy dle odst. 8.7 této Smlouvya následně též po celou jeho dobu plnění. Poskytovatel umožní Objednateli v roční periodě objednateli kdykoli po dobu platnosti realizace předmětu plnění této Smlouvy a 1 rok po ukončení platnosti této Smlouvy smlouvy provedení zákaznického auditu (kontroly): jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele a jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. 3 Přílohy č. 10 této Smlouvy. Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. Poskytovatel se nad rámec ustanovení odst. 3.6 této Smlouvy zavazuje poskytnout Objednateli součinnost minimálně v rozsahu 10 ČD při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků. Dále se Poskytovatel zavazuje nedostatky zjištěné: na základě provedení hodnocení rizik dle čl. 3 v Příloze č. 10 této Smlouvy nebo v rámci zákaznického auditu dle odst. 20.4 této Smlouvy odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší 90 kalendářních dnů. Odstavce 20.4 až 20.7 této Smlouvy se neaplikují, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB. Poskytovatel se nad rámec čl. 12 této Smlouvy také zavazuje: poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků; na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění dle této Smlouvy či Prováděcí smlouvy detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků; neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání této Smlouvy; bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní; bezodkladně informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit realizaci plnění dle této Smlouvy či dle Prováděcích smluv; a při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům a jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo jinými obecně závaznými právními předpisy.auditu:

KYBERNETICKÁ BEZPEČNOST. Není-li v této Smlouvě nebo Poskytovatel se při plnění zavazuje dodržovat zásady bezpečnosti informací v souladu s touto Smlouvou stanoveno jinakse zákonem o kybernetické bezpečnosti, Poskytovatel tímto bere na vědomí, že Objednatel je správcem informačních systémů kritické informační infrastruktury dle § 3 písma vyhláškou o kybernetické bezpečnosti. c) zákona č. 181/2014 Sb., Bezpečností informací se v souladu se zákonem o kybernetické bezpečnosti rozumí zajištění důvěrnosti, integrity a dostupnosti informací, které budou uchovávány, vytvářeny nebo zpracovávány v rámci plnění poskytovatele dle této rámcové smlouvy, resp. prováděcích smluv, nebo v systémech, které mají vazbu na plnění poskytovatele dle této smlouvy a v souvislosti s kterými objednateli vznikají právní povinnosti na základě zákona o změně souvisejících zákonů kybernetické bezpečnosti (zákon § 3 tohoto zákona). Poskytovatel se zavazuje poskytnout objednateli veškerou součinnost nezbytnou k tomu, aby objednatel řádně naplňoval právní povinnosti stanovené zákonem o kybernetické bezpečnosti, vyhláškou o kybernetické bezpečnosti, vyhláškou o VIS. Zejména se poskytovatel zavazuje poskytnout objednateli součinnost směřující k zavedení a provádění bezpečnostních opatření podle uvedených právních předpisů. Poskytovatel se zavazuje, že roli specialisty na kybernetickou bezpečnost pro účely této smlouvy bude vykonávat: ………….., tel.: +420 ……….. ….., e-mail: ………..@........... Tuto osobu uvedl poskytovatel ve své nabídce a zároveň tato osoba v rámci zadávacích podmínek veřejné zakázky získala v testu z kybernetické bezpečnosti alespoň minimální počet bodů pro prokázání způsobilosti k plnění předmětu této smlouvy. Jakákoliv dodatečná změna musí být předem písemně schválena ze strany objednatele s tím, že osoba, která by měla osobu na pozici specialisty na kybernetickou bezpečnost nahradit, musí splňovat kvalifikaci požadovanou ze strany objednatele pro tuto roli v rámci zadávacích podmínek veřejné zakázky a zároveň tato osoba získá v testu z kybernetické bezpečnosti alespoň minimální počet bodů pro prokázání způsobilosti k plnění předmětu této smlouvy. Poskytovatel prohlašuje, že ke dni podpisu této rámcové smlouvy on ani osoba, která bude vykonávat roli specialisty na kybernetickou bezpečnost, nejsou ke stávajícím významným dodavatelům objednatele v oblasti ICT (kteří ať již přímo nebo nepřímo jsou dodavateli dle přílohy č. 2 rámcové smlouvy): (i) v pracovněprávním nebo jiném obdobném poměru nebo (ii) jinak majetkově nebo personálně propojeni (dále jen „ZKBstávající dodavatelé“), správce komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů dle § 3 písmSeznam stávajících dodavatelů je přílohou č. e) ZKB2 rámcové smlouvy. Poskytovatel dále tímto bere na vědomíse zavazuje dodržovat svá prohlášení uvedená v tomto odstavci také po dobu účinnosti této rámcové smlouvy, resp. prováděcích smluv. Poskytovatel se z důvodu zachování jeho nestrannosti zavazuje, že poskytnutí služeb specifikovaných se po dobu účinnosti této rámcové smlouvy, resp. prováděcích smluv nezúčastní nadlimitní veřejné zakázky Objednatele v článku 3.1 této Smlouvy bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémuoblasti ICT. Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB. Smluvní strany potvrzujíPoskytovatel prohlašuje, že rozsah zapojení Poskytovatele na zajištění bezpečnosti aktiv informačních ovládá všechny činnosti a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systému je určen předmětem této Smlouvy. Poskytovatel je povinen v rozsahu plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené má znalosti minimálně dle Hlavní náplně role uvedení v příloze č. 10 1 této Smlouvy (dále jen „Kybernetické požadavky“), smlouvy a to do termínu uzavření první Prováděcí smlouvy dle odst. 8.7 této Smlouvy. Poskytovatel umožní Objednateli v roční periodě po dobu platnosti této Smlouvy a 1 rok po ukončení platnosti této Smlouvy provedení zákaznického auditu (kontroly): jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele a jehož předmětem bude naplnění Kybernetických rozsahu požadavků a vyhodnocení rizik na kvalifikaci dodavatele dle čl. 3 Přílohy č. 10 této Smlouvy. Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. Poskytovatel se nad rámec ustanovení odst. 3.6 této Smlouvy zavazuje poskytnout Objednateli součinnost minimálně v rozsahu 10 ČD při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků. Dále se Poskytovatel zavazuje nedostatky zjištěné: na základě provedení hodnocení rizik dle čl. 3 v Příloze č. 10 této Smlouvy nebo v rámci zákaznického auditu dle odst. 20.4 této Smlouvy odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší 90 kalendářních dnů. Odstavce 20.4 až 20.7 této Smlouvy se neaplikují, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB. Poskytovatel se nad rámec čl. 12 této Smlouvy také zavazuje: poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků; na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění dle této Smlouvy či Prováděcí smlouvy detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků; neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání této Smlouvy; bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní; bezodkladně informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit realizaci plnění dle této Smlouvy či dle Prováděcích smluv; a při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům a jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo jinými obecně závaznými právními předpisyzadávací dokumentace.

KYBERNETICKÁ BEZPEČNOST. Není-li v této Smlouvě smlouvě nebo v souladu s touto Smlouvou smlouvou stanoveno jinak, Poskytovatel poskytovatel tímto bere na vědomí, že že: Objednatel je správcem významných informačních systémů kritické informační infrastruktury dle § 3 písm. ce) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon dále jen „ZoKB“). Poskytovatelem zajišťovaný akreditační systém je v souladu s § 3 odst. 1 písm. f) vyhlášky č. 317/2014 Sb., o kybernetické bezpečnosti) významných informačních systémech a jejich určujících kritériích, určen objednatelem, jako významný informační systém (dále jen „ZKBVIS“). Zajišťováním akreditačního systému se poskytovatel stává provozovatelem VIS, správce komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů tedy povinnou osobou dle § 3 písm. e) ZKBZoKB a budou tak na něj a jeho případné poddodavatele kladeny požadavky z hlediska zajištění požadované úrovně kybernetické bezpečnosti, ve smyslu dostupnosti, důvěrnosti a integrity, plně v souladu se ZoKB a jeho prováděcím předpisem, tj. Poskytovatel vyhláškou č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále tímto bere na vědomí, že poskytnutí služeb specifikovaných v článku 3.1 této Smlouvy bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémujen „VoKB“). Objednatel chápe Poskytovatele jako významného dodavatele Je z pohledu objednatele významným dodavatelem ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a § 8 odst. 2 VKBVoKB. Na základě analýzy rizik provedené objednatelem v souvislosti s varováním NÚKIB č.j. 3012/2018-NÚKIB-E/110 ze dne 17. prosince 2018, je ze strany objednatele požadováno, aby poskytovatel zajistil, a to včetně svých případných poddodavatelů, že v rámci žádné z částí dodaného řešení akreditačního systému nebudou použity technické ani programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Xxxxxx xxxxxx xxxxxxxxx a ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx. Za účelem zajištění odpovídající úrovně kybernetické bezpečnosti v oblasti řízení bezpečnosti informací, objednatel požaduje, aby poskytovatel a stejně tak i jeho případní poddodavatelé, byli držiteli certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF – International Accreditation Forum. V případě řešení akreditačního systému zajištěného s využitím cloud computingu, pak objednatel požaduje, aby byl poskytovatel resp. poddodavatel, který službu cloud computingu přímo zajišťuje držitel certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF, do jehož rozsahu certifikace náleží poskytovaná služba cloud computingu, provozovaná v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018. V případě řešení akreditačního systému zajištěného s využitím cloud computingu objednatel rovněž požaduje, aby byla veškerá jeho informační aktiva, tj. zákaznická data a s nimi přímo související provozní údaje (např. logy přístupů a změn), dlouhodobě a nepřetržitě uložena a zpracovávána výlučně na území členských států Evropské unie nebo států, které jsou smluvní stranou Dohody o Evropském hospodářském prostoru. Současně s tím objednatel požaduje, aby veškerá zákaznická data byla po celou dobu plnění výlučně pod jurisdikcí evropského práva. V případě ostatních provozních dat, tj. jiných než zákaznických dat a s nimi přímo souvisejících provozních údajů (např. údaje o stavu používaných technických prostředků), generovaných poskytovatelem cloud computingu během provozování služby, požaduje objednatel poskytnutí transparentních informací o tom, kde jsou tato provozní data geograficky uložena a zpracovávána. Bezprostředně po skončení konání předsednictví ČR v Radě EU budou poskytovatelem veškerá informační aktiva objednatele, ve smyslu zákaznických dat a s nimi přímo souvisejících provozních údajů, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu předána objednateli a poté bez zbytečného odkladu poskytovatelem bezpečně zlikvidována, a to plně v souladu s přílohou č. 4 VoKB a též v kontextu ohodnocení těchto aktiv objednatelem z hlediska úrovně jejich důvěrnosti, přičemž o bezpečné likvidaci těchto aktiv a způsobu jejího provedení bude poskytovatelem vyhotoven protokol, který bude následně předán objednateli. Smluvní strany potvrzují, že rozsah zapojení Poskytovatele poskytovatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních akreditačního systému je určen předmětem této Smlouvysmlouvy. Poskytovatel je povinen v rozsahu plnění této Smlouvy smlouvy naplnit všechny bezpečnostní požadavky ve smyslu zajištění kybernetické bezpečnosti, uvedené v příloze č. 10 4 této Smlouvy smlouvy (dále jen „Kybernetické KB požadavky“), a to nejpozději do termínu uzavření první Prováděcí zahájení realizace předmětu plnění této smlouvy dle odst. 8.7 této Smlouvya následně též po celou jeho dobu plnění. Poskytovatel umožní Objednateli v roční periodě objednateli kdykoli po dobu platnosti realizace předmětu plnění této Smlouvy a 1 rok po ukončení platnosti této Smlouvy smlouvy provedení zákaznického auditu (kontroly): jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele a jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. 3 Přílohy č. 10 této Smlouvy. Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. Poskytovatel se nad rámec ustanovení odst. 3.6 této Smlouvy zavazuje poskytnout Objednateli součinnost minimálně v rozsahu 10 ČD při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků. Dále se Poskytovatel zavazuje nedostatky zjištěné: na základě provedení hodnocení rizik dle čl. 3 v Příloze č. 10 této Smlouvy nebo v rámci zákaznického auditu dle odst. 20.4 této Smlouvy odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší 90 kalendářních dnů. Odstavce 20.4 až 20.7 této Smlouvy se neaplikují, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB. Poskytovatel se nad rámec čl. 12 této Smlouvy také zavazuje: poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků; na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění dle této Smlouvy či Prováděcí smlouvy detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků; neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání této Smlouvy; bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní; bezodkladně informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit realizaci plnění dle této Smlouvy či dle Prováděcích smluv; a při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům a jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo jinými obecně závaznými právními předpisy.auditu:

KYBERNETICKÁ BEZPEČNOST. Není-li v této Smlouvě nebo v souladu s touto Smlouvou stanoveno jinak, Poskytovatel tímto bere na vědomí, že Objednatel je může být během trvání této Smlouvy správcem informačních systémů kritické informační infrastruktury dle § 3 písm. c) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) ), ve znění pozdějších předpisů (dále jen „ZKB“), správce komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů dle § 3 písm. e) ZKB. Poskytovatel dále tímto bere na vědomí, že poskytnutí služeb Plnění specifikovaných v článku 3.1 čl. 3 této Smlouvy bude může být prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systému. Objednatel chápe Poskytovatele je povinen informovat Poskytovatele, pokud jej vyhodnotí a eviduje jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „VKB“); V případě, že se Objednatel stane správcem ve smyslu odst. 19.1.1 Smlouvy až během trvání Smlouvy, zavazuje se Poskytovatele o uvedeném bez zbytečného odkladu informovat, pokud jej bude považovat za významného dodavatele. Smluvní strany potvrzují, že rozsah zapojení Poskytovatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systému je určen předmětem této Smlouvy. Poskytovatel je povinen v rozsahu plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v příloze Příloze č. 10 6 této Smlouvy (dále jen „Kybernetické požadavky“), a to do termínu uzavření první Prováděcí smlouvy dle odst. 8.7 této Smlouvy. Poskytovatel umožní Objednateli v roční periodě po dobu platnosti trvání této Smlouvy a 1 jeden (1) rok po ukončení platnosti trvání této Smlouvy provedení zákaznického auditu (kontroly): jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele Poskytovatele; a jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. 3 Přílohy č. 10 6 této Smlouvy. Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. Poskytovatel se nad rámec ustanovení odst. 3.6 této Smlouvy zavazuje poskytnout Objednateli součinnost minimálně v rozsahu 10 3 (tří) ČD při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků. Dále se Poskytovatel zavazuje nedostatky zjištěnézjištěné nedostatky: na základě provedení hodnocení rizik dle čl. 3 v Příloze č. 10 6 této Smlouvy Smlouvy; nebo v rámci zákaznického auditu dle odst. 20.4 19.7 této Smlouvy Smlouvy; odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Strany Smluvní strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší 90 devadesát (90) kalendářních dnů. Odstavce 20.4 19.4 až 20.7 19.7 této Smlouvy se neaplikují, pokud je Poskytovatel pro poskytování předmětu plnění Plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB, přičemž se Objednatel zavazuje jej informovat, pokud jej bude považovat za provozovatele ve smyslu § 3 písm. c) až f) ZKB. Poskytovatel se nad rámec čl. 12 dále dle této Smlouvy také zavazuje: poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků; na základě výzvy Objednatele bez zbytečného odkladu předat bezpečným způsobem a ve strojově čitelné podobě ve formátu uvedeném ve výzvě Objednatele jakákoli data předaná mu Objednatelem nebo získaná či vytvořená jiným způsobem při plnění Smlouvy v dispoziční sféře Poskytovatele; odstranit veškerá data dle předchozího odstavce při ukončení účinnosti Smlouvy nebo na základě písemné žádosti Objednatele, a to nejpozději do čtrnácti (14) dní a za dozoru zástupce Objednatele, přičemž v případě, že Poskytovatel bude mít na svých nosičích data vysoké či kritické úrovně důležitosti určené v souladu s přílohou č. 1 VKB, má povinnost tyto nosiče fyzicky protokolárně zlikvidovat, případně je předat k likvidaci Objednateli; na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění poskytování Plnění dle této Smlouvy či Prováděcí smlouvy detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků; neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání této Smlouvy; informovat Objednatele o významné změně ovládání Poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), či ekvivalentní postavení dle VKB; bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní; bezodkladně informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit realizaci plnění poskytování Plnění dle této Smlouvy či dle Prováděcích smluvSmlouvy; a při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům a jejichž následkem může vzniknout újma nebo nesoulad se zákony ZKB a VKB nebo jinými obecně závaznými právními předpisy.