Common use of KYBERNETICKÁ BEZPEČNOST Clause in Contracts

KYBERNETICKÁ BEZPEČNOST. Není-li v této smlouvě nebo v souladu s touto smlouvou stanoveno jinak, poskytovatel tímto bere na vědomí, že: Objednatel je správcem významných informačních systémů dle § 3 písm. e) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen „ZoKB“). Poskytovatelem zajišťovaný akreditační systém je v souladu s § 3 odst. 1 písm. f) vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, určen objednatelem, jako významný informační systém (dále jen „VIS“). Zajišťováním akreditačního systému se poskytovatel stává provozovatelem VIS, a tedy povinnou osobou dle § 3 písm. e) ZoKB a budou tak na něj a jeho případné poddodavatele kladeny požadavky z hlediska zajištění požadované úrovně kybernetické bezpečnosti, ve smyslu dostupnosti, důvěrnosti a integrity, plně v souladu se ZoKB a jeho prováděcím předpisem, tj. vyhláškou č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VoKB“). Je z pohledu objednatele významným dodavatelem ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a § 8 odst. 2 VoKB. Na základě analýzy rizik provedené objednatelem v souvislosti s varováním NÚKIB č.j. 3012/2018-NÚKIB-E/110 ze dne 17. prosince 2018, je ze strany objednatele požadováno, aby poskytovatel zajistil, a to včetně svých případných poddodavatelů, že v rámci žádné z částí dodaného řešení akreditačního systému nebudou použity technické ani programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Xxxxxx xxxxxx xxxxxxxxx a ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx. Za účelem zajištění odpovídající úrovně kybernetické bezpečnosti v oblasti řízení bezpečnosti informací, objednatel požaduje, aby poskytovatel a stejně tak i jeho případní poddodavatelé, byli držiteli certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF – International Accreditation Forum. V případě řešení akreditačního systému zajištěného s využitím cloud computingu, pak objednatel požaduje, aby byl poskytovatel resp. poddodavatel, který službu cloud computingu přímo zajišťuje držitel certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF, do jehož rozsahu certifikace náleží poskytovaná služba cloud computingu, provozovaná v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018. V případě řešení akreditačního systému zajištěného s využitím cloud computingu objednatel rovněž požaduje, aby byla veškerá jeho informační aktiva, tj. zákaznická data a s nimi přímo související provozní údaje (např. logy přístupů a změn), dlouhodobě a nepřetržitě uložena a zpracovávána výlučně na území členských států Evropské unie nebo států, které jsou smluvní stranou Dohody o Evropském hospodářském prostoru. Současně s tím objednatel požaduje, aby veškerá zákaznická data byla po celou dobu plnění výlučně pod jurisdikcí evropského práva. V případě ostatních provozních dat, tj. jiných než zákaznických dat a s nimi přímo souvisejících provozních údajů (např. údaje o stavu používaných technických prostředků), generovaných poskytovatelem cloud computingu během provozování služby, požaduje objednatel poskytnutí transparentních informací o tom, kde jsou tato provozní data geograficky uložena a zpracovávána. Bezprostředně po skončení konání předsednictví ČR v Radě EU budou poskytovatelem veškerá informační aktiva objednatele, ve smyslu zákaznických dat a s nimi přímo souvisejících provozních údajů, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu předána objednateli a poté bez zbytečného odkladu poskytovatelem bezpečně zlikvidována, a to plně v souladu s přílohou č. 4 VoKB a též v kontextu ohodnocení těchto aktiv objednatelem z hlediska úrovně jejich důvěrnosti, přičemž o bezpečné likvidaci těchto aktiv a způsobu jejího provedení bude poskytovatelem vyhotoven protokol, který bude následně předán objednateli. Smluvní strany potvrzují, že rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv akreditačního systému je určen předmětem této smlouvy. Poskytovatel je povinen v rozsahu plnění této smlouvy naplnit požadavky ve smyslu zajištění kybernetické bezpečnosti, uvedené v příloze č. 4 této smlouvy (dále jen „KB požadavky“), a to nejpozději do termínu zahájení realizace předmětu plnění této smlouvy a následně též po celou jeho dobu plnění. Poskytovatel umožní objednateli kdykoli po dobu realizace předmětu plnění této smlouvy provedení zákaznického auditu:

KYBERNETICKÁ BEZPEČNOST. Není-li v této smlouvě nebo Poskytovatel se při plnění zavazuje dodržovat zásady bezpečnosti informací v souladu s touto smlouvou stanoveno jinakse zákonem o kybernetické bezpečnosti, poskytovatel tímto bere na vědomí, že: Objednatel je správcem významných informačních systémů dle § 3 písma vyhláškou o kybernetické bezpečnosti. e) zákona č. 181/2014 Sb., Bezpečností informací se v souladu se zákonem o kybernetické bezpečnosti rozumí zajištění důvěrnosti, integrity a dostupnosti informací, které budou uchovávány, vytvářeny nebo zpracovávány v rámci plnění poskytovatele dle této rámcové smlouvy, resp. prováděcích smluv, nebo v systémech, které mají vazbu na plnění poskytovatele dle této smlouvy a v souvislosti s kterými objednateli vznikají právní povinnosti na základě zákona o změně souvisejících zákonů kybernetické bezpečnosti (§ 3 tohoto zákona). Poskytovatel se zavazuje poskytnout objednateli veškerou součinnost nezbytnou k tomu, aby objednatel řádně naplňoval právní povinnosti stanovené zákonem o kybernetické bezpečnosti, vyhláškou o kybernetické bezpečnosti, vyhláškou o VIS. Zejména se poskytovatel zavazuje poskytnout objednateli součinnost směřující k zavedení a provádění bezpečnostních opatření podle uvedených právních předpisů. Poskytovatel se zavazuje, že roli specialisty na kybernetickou bezpečnost pro účely této smlouvy bude vykonávat: ………….., tel.: +420 ……….. ….., e-mail: ………..@........... Tuto osobu uvedl poskytovatel ve své nabídce a zároveň tato osoba v rámci zadávacích podmínek veřejné zakázky získala v testu z kybernetické bezpečnosti alespoň minimální počet bodů pro prokázání způsobilosti k plnění předmětu této smlouvy. Jakákoliv dodatečná změna musí být předem písemně schválena ze strany objednatele s tím, že osoba, která by měla osobu na pozici specialisty na kybernetickou bezpečnost nahradit, musí splňovat kvalifikaci požadovanou ze strany objednatele pro tuto roli v rámci zadávacích podmínek veřejné zakázky a zároveň tato osoba získá v testu z kybernetické bezpečnosti alespoň minimální počet bodů pro prokázání způsobilosti k plnění předmětu této smlouvy. Poskytovatel prohlašuje, že ke dni podpisu této rámcové smlouvy on ani osoba, která bude vykonávat roli specialisty na kybernetickou bezpečnost, nejsou ke stávajícím významným dodavatelům objednatele v oblasti ICT (kteří ať již přímo nebo nepřímo jsou dodavateli dle přílohy č. 2 rámcové smlouvy): (i) v pracovněprávním nebo jiném obdobném poměru nebo (ii) jinak majetkově nebo personálně propojeni (dále jen „ZoKBstávající dodavatelé“). Poskytovatelem zajišťovaný akreditační systém Seznam stávajících dodavatelů je v souladu s § 3 odst. 1 písm. f) vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, určen objednatelem, jako významný informační systém (dále jen „VIS“). Zajišťováním akreditačního systému se poskytovatel stává provozovatelem VIS, a tedy povinnou osobou dle § 3 písm. e) ZoKB a budou tak na něj a jeho případné poddodavatele kladeny požadavky z hlediska zajištění požadované úrovně kybernetické bezpečnosti, ve smyslu dostupnosti, důvěrnosti a integrity, plně v souladu se ZoKB a jeho prováděcím předpisem, tj. vyhláškou č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VoKB“). Je z pohledu objednatele významným dodavatelem ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a § 8 odst. 2 VoKB. Na základě analýzy rizik provedené objednatelem v souvislosti s varováním NÚKIB č.j. 3012/2018-NÚKIB-E/110 ze dne 17. prosince 2018, je ze strany objednatele požadováno, aby poskytovatel zajistil, a to včetně svých případných poddodavatelů, že v rámci žádné z částí dodaného řešení akreditačního systému nebudou použity technické ani programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Xxxxxx xxxxxx xxxxxxxxx a ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx. Za účelem zajištění odpovídající úrovně kybernetické bezpečnosti v oblasti řízení bezpečnosti informací, objednatel požaduje, aby poskytovatel a stejně tak i jeho případní poddodavatelé, byli držiteli certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF – International Accreditation Forum. V případě řešení akreditačního systému zajištěného s využitím cloud computingu, pak objednatel požaduje, aby byl poskytovatel resp. poddodavatel, který službu cloud computingu přímo zajišťuje držitel certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF, do jehož rozsahu certifikace náleží poskytovaná služba cloud computingu, provozovaná v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018. V případě řešení akreditačního systému zajištěného s využitím cloud computingu objednatel rovněž požaduje, aby byla veškerá jeho informační aktiva, tj. zákaznická data a s nimi přímo související provozní údaje (např. logy přístupů a změn), dlouhodobě a nepřetržitě uložena a zpracovávána výlučně na území členských států Evropské unie nebo států, které jsou smluvní stranou Dohody o Evropském hospodářském prostoru. Současně s tím objednatel požaduje, aby veškerá zákaznická data byla po celou dobu plnění výlučně pod jurisdikcí evropského práva. V případě ostatních provozních dat, tj. jiných než zákaznických dat a s nimi přímo souvisejících provozních údajů (např. údaje o stavu používaných technických prostředků), generovaných poskytovatelem cloud computingu během provozování služby, požaduje objednatel poskytnutí transparentních informací o tom, kde jsou tato provozní data geograficky uložena a zpracovávána. Bezprostředně po skončení konání předsednictví ČR v Radě EU budou poskytovatelem veškerá informační aktiva objednatele, ve smyslu zákaznických dat a s nimi přímo souvisejících provozních údajů, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu předána objednateli a poté bez zbytečného odkladu poskytovatelem bezpečně zlikvidována, a to plně v souladu s přílohou č. 4 VoKB a též v kontextu ohodnocení těchto aktiv objednatelem z hlediska úrovně jejich důvěrnosti, přičemž o bezpečné likvidaci těchto aktiv a způsobu jejího provedení bude poskytovatelem vyhotoven protokol, který bude následně předán objednateli. Smluvní strany potvrzují, že rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv akreditačního systému je určen předmětem této 2 rámcové smlouvy. Poskytovatel je povinen se zavazuje dodržovat svá prohlášení uvedená v rozsahu plnění tomto odstavci také po dobu účinnosti této smlouvy naplnit požadavky ve smyslu zajištění kybernetické bezpečnostirámcové smlouvy, uvedené resp. prováděcích smluv. Poskytovatel se z důvodu zachování jeho nestrannosti zavazuje, že se po dobu účinnosti této rámcové smlouvy, resp. prováděcích smluv nezúčastní nadlimitní veřejné zakázky Objednatele v oblasti ICT. Poskytovatel prohlašuje, že ovládá všechny činnosti a má znalosti minimálně dle Hlavní náplně role uvedení v příloze č. 4 této smlouvy (dále jen „KB požadavky“), a to nejpozději do termínu zahájení realizace předmětu plnění 1 této smlouvy a následně též po celou jeho dobu plnění. Poskytovatel umožní objednateli kdykoli po dobu realizace předmětu plnění této smlouvy provedení zákaznického auditu:dle rozsahu požadavků na kvalifikaci dodavatele dle zadávací dokumentace.

KYBERNETICKÁ BEZPEČNOST. Není-li v této smlouvě nebo v souladu s touto smlouvou stanoveno jinak, poskytovatel tímto bere na vědomí, že: Objednatel je správcem významných informačních systémů dle § 3 písm. e) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen „ZoKB“). Poskytovatelem zajišťovaný akreditační systém je v souladu s § 3 odst. 1 písm. f) vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, určen objednatelem, jako významný informační systém (dále jen „VIS“). Zajišťováním akreditačního systému se poskytovatel stává provozovatelem VIS, a tedy povinnou osobou dle § 3 písm. e) ZoKB a budou tak na něj a jeho případné poddodavatele kladeny požadavky z hlediska zajištění požadované úrovně kybernetické bezpečnosti, ve smyslu dostupnosti, důvěrnosti a integrity, plně v souladu se ZoKB a jeho prováděcím předpisem, tj. vyhláškou č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VoKB“). Je z pohledu objednatele významným dodavatelem ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a § 8 odst. 2 VoKB. Na základě analýzy rizik provedené objednatelem v souvislosti s varováním NÚKIB č.j. 3012/2018-NÚKIB-E/110 ze dne 17. prosince 2018, je ze strany objednatele požadováno, aby poskytovatel zajistil, a to včetně svých případných poddodavatelů, že v rámci žádné z částí dodaného řešení akreditačního systému nebudou použity technické ani programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Xxxxxx xxxxxx xxxxxxxxx a ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx. Za účelem zajištění odpovídající úrovně kybernetické bezpečnosti v oblasti řízení bezpečnosti informací, objednatel požaduje, aby poskytovatel a stejně tak i jeho případní poddodavatelé, byli držiteli certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF – International Accreditation Forum. V případě řešení akreditačního systému zajištěného s využitím cloud computingu, pak objednatel požaduje, aby byl poskytovatel resp. poddodavatel, který službu cloud computingu přímo zajišťuje držitel certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF, do jehož rozsahu certifikace náleží poskytovaná služba cloud computingu, provozovaná v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018. V případě řešení akreditačního systému zajištěného s využitím cloud computingu objednatel rovněž požaduje, aby byla veškerá jeho informační aktiva, tj. zákaznická data a s nimi přímo související provozní údaje (např. logy přístupů a změn), dlouhodobě a nepřetržitě uložena a zpracovávána výlučně na území členských států Evropské unie nebo států, které jsou smluvní stranou Dohody o Evropském hospodářském prostoru. Současně s tím objednatel požaduje, aby veškerá zákaznická data byla po celou dobu plnění výlučně pod jurisdikcí evropského práva. V případě ostatních provozních dat, tj. jiných než zákaznických dat a s nimi přímo souvisejících provozních údajů (např. údaje o stavu používaných technických prostředků), generovaných poskytovatelem cloud computingu během provozování služby, požaduje objednatel poskytnutí transparentních informací o tom, kde jsou tato provozní data geograficky uložena a zpracovávána. Bezprostředně po skončení konání předsednictví ČR v Radě EU budou poskytovatelem veškerá informační aktiva objednatele, ve smyslu zákaznických dat a s nimi přímo souvisejících provozních údajů, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu předána objednateli a poté bez zbytečného odkladu poskytovatelem bezpečně zlikvidována, a to plně v souladu s přílohou č. 4 VoKB a též v kontextu ohodnocení těchto aktiv objednatelem z hlediska úrovně jejich důvěrnosti, přičemž o bezpečné likvidaci těchto aktiv a způsobu jejího provedení bude poskytovatelem vyhotoven protokol, který bude následně předán objednateli. Smluvní strany potvrzují, že rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv akreditačního systému je určen předmětem této smlouvy. Poskytovatel je povinen v rozsahu plnění této smlouvy naplnit požadavky ve smyslu zajištění kybernetické bezpečnosti, uvedené v příloze č. 4 4, této smlouvy (dále jen „KB požadavky“), a to nejpozději do termínu zahájení realizace předmětu plnění této smlouvy a následně též po celou jeho dobu plnění. Poskytovatel umožní objednateli kdykoli po dobu realizace předmětu plnění této smlouvy provedení zákaznického auditu:

KYBERNETICKÁ BEZPEČNOST. Není-li v této smlouvě Smlouvě nebo v souladu s touto smlouvou Smlouvou stanoveno jinak, poskytovatel Poskytovatel tímto bere na vědomí, že: že Objednatel je správcem významných informačních systémů kritické informační infrastruktury dle § 3 písm. ec) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále jen „ZoKB“). Poskytovatelem zajišťovaný akreditační systém je v souladu s § 3 odst. 1 písm. fzákon o kybernetické bezpečnosti) vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, určen objednatelem, jako významný informační systém (dále jen „VISZKB“), správce komunikačního systému kritické informační infrastruktury dle § 3 písm. Zajišťováním akreditačního systému se poskytovatel stává provozovatelem VIS, d) ZKB a tedy povinnou osobou správcem významných informačních systémů dle § 3 písm. e) ZoKB ZKB. Poskytovatel dále tímto bere na vědomí, že poskytnutí služeb specifikovaných v článku 3.1 této Smlouvy bude prováděno na aktivech systémů kritické informační infrastruktury a budou tak na něj a jeho případné poddodavatele kladeny požadavky z hlediska zajištění požadované úrovně kybernetické bezpečnosti, ve smyslu dostupnosti, důvěrnosti a integrity, plně v souladu se ZoKB a jeho prováděcím předpisem, tjaktivech významných informačních systému. vyhláškou č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VoKB“). Je z pohledu objednatele významným dodavatelem Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a § 8 odst. 2 VoKB. Na základě analýzy rizik provedené objednatelem v souvislosti s varováním NÚKIB č.j. 3012/2018-NÚKIB-E/110 ze dne 17. prosince 2018, je ze strany objednatele požadováno, aby poskytovatel zajistil, a to včetně svých případných poddodavatelů, že v rámci žádné z částí dodaného řešení akreditačního systému nebudou použity technické ani programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Xxxxxx xxxxxx xxxxxxxxx a ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx. Za účelem zajištění odpovídající úrovně kybernetické bezpečnosti v oblasti řízení bezpečnosti informací, objednatel požaduje, aby poskytovatel a stejně tak i jeho případní poddodavatelé, byli držiteli certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF – International Accreditation Forum. V případě řešení akreditačního systému zajištěného s využitím cloud computingu, pak objednatel požaduje, aby byl poskytovatel resp. poddodavatel, který službu cloud computingu přímo zajišťuje držitel certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF, do jehož rozsahu certifikace náleží poskytovaná služba cloud computingu, provozovaná v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018. V případě řešení akreditačního systému zajištěného s využitím cloud computingu objednatel rovněž požaduje, aby byla veškerá jeho informační aktiva, tj. zákaznická data a s nimi přímo související provozní údaje (např. logy přístupů a změn), dlouhodobě a nepřetržitě uložena a zpracovávána výlučně na území členských států Evropské unie nebo států, které jsou smluvní stranou Dohody o Evropském hospodářském prostoru. Současně s tím objednatel požaduje, aby veškerá zákaznická data byla po celou dobu plnění výlučně pod jurisdikcí evropského práva. V případě ostatních provozních dat, tj. jiných než zákaznických dat a s nimi přímo souvisejících provozních údajů (např. údaje o stavu používaných technických prostředků), generovaných poskytovatelem cloud computingu během provozování služby, požaduje objednatel poskytnutí transparentních informací o tom, kde jsou tato provozní data geograficky uložena a zpracovávána. Bezprostředně po skončení konání předsednictví ČR v Radě EU budou poskytovatelem veškerá informační aktiva objednatele, ve smyslu zákaznických dat a s nimi přímo souvisejících provozních údajů, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu předána objednateli a poté bez zbytečného odkladu poskytovatelem bezpečně zlikvidována, a to plně v souladu s přílohou č. 4 VoKB a též v kontextu ohodnocení těchto aktiv objednatelem z hlediska úrovně jejich důvěrnosti, přičemž o bezpečné likvidaci těchto aktiv a způsobu jejího provedení bude poskytovatelem vyhotoven protokol, který bude následně předán objednateliVKB. Smluvní strany potvrzují, že rozsah zapojení poskytovatele Poskytovatele na zajištění bezpečnosti aktiv akreditačního informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systému je určen předmětem této smlouvySmlouvy. Poskytovatel je povinen v rozsahu plnění této smlouvy Smlouvy naplnit všechny bezpečnostní požadavky ve smyslu zajištění kybernetické bezpečnosti, uvedené v příloze č. 4 10 této smlouvy Smlouvy (dále jen „KB Kybernetické požadavky“), a to nejpozději do termínu zahájení realizace předmětu plnění uzavření první Prováděcí smlouvy dle odst. 8.7 této smlouvy a následně též po celou jeho dobu plněníSmlouvy. Poskytovatel umožní objednateli kdykoli Objednateli v roční periodě po dobu realizace platnosti této Smlouvy a 1 rok po ukončení platnosti této Smlouvy provedení zákaznického auditu (kontroly): jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele a jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. 3 Přílohy č. 10 této Smlouvy. Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. Poskytovatel se nad rámec ustanovení odst. 3.6 této Smlouvy zavazuje poskytnout Objednateli součinnost minimálně v rozsahu 10 ČD při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků. Dále se Poskytovatel zavazuje nedostatky zjištěné: na základě provedení hodnocení rizik dle čl. 3 v Příloze č. 10 této Smlouvy nebo v rámci zákaznického auditu dle odst. 20.4 této Smlouvy odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší 90 kalendářních dnů. Odstavce 20.4 až 20.7 této Smlouvy se neaplikují, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB. Poskytovatel se nad rámec čl. 12 této Smlouvy také zavazuje: poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků; na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění dle této Smlouvy či Prováděcí smlouvy provedení zákaznického auditu:detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků; neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání této Smlouvy; bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní; bezodkladně informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit realizaci plnění dle této Smlouvy či dle Prováděcích smluv; a při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům a jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo jinými obecně závaznými právními předpisy.

KYBERNETICKÁ BEZPEČNOST. Není-li v této smlouvě Smlouvě nebo v souladu s touto smlouvou Smlouvou stanoveno jinak, poskytovatel Poskytovatel tímto bere na vědomí, že: že Objednatel je může být během trvání této Smlouvy správcem významných informačních systémů kritické informační infrastruktury dle § 3 písm. ec) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZoKBZKB“). Poskytovatelem zajišťovaný akreditační systém je v souladu s , správce komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů dle § 3 písm. e) ZKB. Poskytovatel dále tímto bere na vědomí, že poskytnutí Plnění specifikovaných v čl. 3 této Smlouvy může být prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systému. Objednatel je povinen informovat Poskytovatele, pokud jej vyhodnotí a eviduje jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, určen objednatelem, jako významný informační systém (dále jen „VIS“). Zajišťováním akreditačního systému se poskytovatel stává provozovatelem VIS, a tedy povinnou osobou dle § 3 písm. e) ZoKB a budou tak na něj a jeho případné poddodavatele kladeny požadavky z hlediska zajištění požadované úrovně kybernetické bezpečnosti, ve smyslu dostupnosti, důvěrnosti a integrity, plně v souladu se ZoKB a jeho prováděcím předpisem, tj. vyhláškou č. 82/2018 Sb. ., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „VoKBVKB“). Je z pohledu objednatele významným dodavatelem ; V případě, že se Objednatel stane správcem ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a § 8 odst. 2 VoKB. Na základě analýzy rizik provedené objednatelem v souvislosti s varováním NÚKIB č.j. 3012/2018-NÚKIB-E/110 ze dne 17. prosince 201819.1.1 Smlouvy až během trvání Smlouvy, je ze strany objednatele požadováno, aby poskytovatel zajistil, a to včetně svých případných poddodavatelů, že v rámci žádné z částí dodaného řešení akreditačního systému nebudou použity technické ani programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Xxxxxx xxxxxx xxxxxxxxx a ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx. Za účelem zajištění odpovídající úrovně kybernetické bezpečnosti v oblasti řízení bezpečnosti informací, objednatel požaduje, aby poskytovatel a stejně tak i jeho případní poddodavatelé, byli držiteli certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF – International Accreditation Forum. V případě řešení akreditačního systému zajištěného s využitím cloud computingu, pak objednatel požaduje, aby byl poskytovatel resp. poddodavatel, který službu cloud computingu přímo zajišťuje držitel certifikátu dle normy ČSN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů IAF, do jehož rozsahu certifikace náleží poskytovaná služba cloud computingu, provozovaná v souladu s postupy normy ČSN ISO/IEC 27017 nebo ISO/IEC 27017 a ČSN ISO/IEC 27018 nebo ISO/IEC 27018. V případě řešení akreditačního systému zajištěného s využitím cloud computingu objednatel rovněž požaduje, aby byla veškerá jeho informační aktiva, tj. zákaznická data a s nimi přímo související provozní údaje (např. logy přístupů a změn), dlouhodobě a nepřetržitě uložena a zpracovávána výlučně na území členských států Evropské unie nebo států, které jsou smluvní stranou Dohody zavazuje se Poskytovatele o Evropském hospodářském prostoru. Současně s tím objednatel požaduje, aby veškerá zákaznická data byla po celou dobu plnění výlučně pod jurisdikcí evropského práva. V případě ostatních provozních dat, tj. jiných než zákaznických dat a s nimi přímo souvisejících provozních údajů (např. údaje o stavu používaných technických prostředků), generovaných poskytovatelem cloud computingu během provozování služby, požaduje objednatel poskytnutí transparentních informací o tom, kde jsou tato provozní data geograficky uložena a zpracovávána. Bezprostředně po skončení konání předsednictví ČR v Radě EU budou poskytovatelem veškerá informační aktiva objednatele, ve smyslu zákaznických dat a s nimi přímo souvisejících provozních údajů, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu předána objednateli a poté uvedeném bez zbytečného odkladu poskytovatelem bezpečně zlikvidovánainformovat, a to plně v souladu s přílohou č. 4 VoKB a též v kontextu ohodnocení těchto aktiv objednatelem z hlediska úrovně jejich důvěrnosti, přičemž o bezpečné likvidaci těchto aktiv a způsobu jejího provedení pokud jej bude poskytovatelem vyhotoven protokol, který bude následně předán objednatelipovažovat za významného dodavatele. Smluvní strany potvrzují, že rozsah zapojení poskytovatele Poskytovatele na zajištění bezpečnosti aktiv akreditačního informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systému je určen předmětem této smlouvySmlouvy. Poskytovatel je povinen v rozsahu plnění této smlouvy Smlouvy naplnit všechny bezpečnostní požadavky ve smyslu zajištění kybernetické bezpečnosti, uvedené v příloze Příloze č. 4 6 této smlouvy Smlouvy (dále jen „KB Kybernetické požadavky“). Poskytovatel umožní Objednateli v roční periodě po dobu trvání této Smlouvy a jeden (1) rok po ukončení trvání této Smlouvy provedení zákaznického auditu (kontroly): jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele; a jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. 3 Přílohy č. 6 této Smlouvy. Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu. Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují. Poskytovatel se zavazuje poskytnout Objednateli součinnost minimálně v rozsahu 3 (tří) ČD při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků. Dále se Poskytovatel zavazuje zjištěné nedostatky: na základě provedení hodnocení rizik dle čl. 3 v Příloze č. 6 této Smlouvy; nebo v rámci zákaznického auditu dle odst. 19.7 této Smlouvy; odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Smluvní strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší devadesát (90) kalendářních dnů. Odstavce 19.4 až 19.7 této Smlouvy se neaplikují, pokud je Poskytovatel pro poskytování předmětu Plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB, přičemž se Objednatel zavazuje jej informovat, pokud jej bude považovat za provozovatele ve smyslu § 3 písm. c) až f) ZKB. Poskytovatel se dále dle této Smlouvy zavazuje: poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků; na základě výzvy Objednatele bez zbytečného odkladu předat bezpečným způsobem a ve strojově čitelné podobě ve formátu uvedeném ve výzvě Objednatele jakákoli data předaná mu Objednatelem nebo získaná či vytvořená jiným způsobem při plnění Smlouvy v dispoziční sféře Poskytovatele; odstranit veškerá data dle předchozího odstavce při ukončení účinnosti Smlouvy nebo na základě písemné žádosti Objednatele, a to nejpozději do termínu zahájení realizace předmětu plnění čtrnácti (14) dní a za dozoru zástupce Objednatele, přičemž v případě, že Poskytovatel bude mít na svých nosičích data vysoké či kritické úrovně důležitosti určené v souladu s přílohou č. 1 VKB, má povinnost tyto nosiče fyzicky protokolárně zlikvidovat, případně je předat k likvidaci Objednateli; na požádání s Objednatelem konzultovat kdykoli v průběhu poskytování Plnění dle této smlouvy Smlouvy detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a následně též po celou pro takovéto konzultace zajistit účast kvalifikovaných pracovníků; neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání této Smlouvy; informovat Objednatele o významné změně ovládání Poskytovatele. Ovládáním se rozumí vliv, ovládání či řízení dle § 71 a násl. zákona č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), či ekvivalentní postavení dle VKB; bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní; bezodkladně informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit poskytování Plnění dle této Smlouvy; a při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho dobu plnění. Poskytovatel umožní objednateli kdykoli po dobu realizace předmětu plnění této smlouvy provedení zákaznického auditu:příkazů či doporučení vztahující se ke Kybernetickým požadavkům a jejichž následkem může vzniknout újma nebo nesoulad se ZKB a VKB nebo jinými obecně závaznými právními předpisy.