SMLOUVA O ZAJIŠTĚNÍ KYBERNETICKÉ A INFORMAČNÍ BEZPEČNOSTI
SMLOUVA O ZAJIŠTĚNÍ KYBERNETICKÉ A INFORMAČNÍ BEZPEČNOSTI
Smluvní strany:
Krajská nemocnice Liberec, a.s.
se sídlem: Xxxxxx 0000/00, 000 00 Xxxxxxx X – Xxxxx Xxxxx
IČ: 27283933
DIČ: CZ27283933
zapsána v obchodním rejstříku vedeném Krajským soudem v Ústí nad Labem, sp. zn. B1651
zastupuje: XXXx. Xxxxxxx Xxxxx, XxX., předseda představenstva, nebo
xxx. XXXx. Xxxxx Xxxxxxxx, Ph.D. FESC, místopředseda představenstva
(dále také jen „KNL“)
a
**
se sídlem: **
IČ: **
DIČ: **
zapsána v obchodním rejstříku vedeném **, sp. zn. **
zastupuje: **
(dále také jen „Dodavatel“)
(společně dále také jen „smluvní strany“)
uzavřely níže uvedeného dne, měsíce a roku tuto smlouvu o zajištění kybernetické a informační bezpečnosti (dále také jen „smlouva“):
Úvodní ustanovení o kybernetické bezpečnosti
KNL je provozovatelem základní služby ve smyslu § 2 písm. k) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) (dále jen „ZKB“) podle § 2 písm. i) ZKB a § 22a ZKB.
KNL je povinna ve smyslu § 8 Vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále jen „VKB“) řídit dodavatele a rizika spojená s dodavateli s ohledem na kybernetickou a informační bezpečnost základní služby KNL a KNL.
Dodavatel je dodavatelem přístrojového vybavení (např. **, a mnoha dalších přístrojů) a/nebo programového vybavení – software (např. **) a/nebo IT technologií – hardware (např. **) dodávaného do KNL, na základě jednotlivých kupních smluv, smluv o výpůjčce a/nebo jiných smluv, uzavřených mezi KNL a Dodavatelem (dále také jen „primární smlouvy“). V případě, že nastane rozpor mezi primárními smlouvami a touto smlouvou, má přednost tato smlouva.
Předmětem této smlouvy je závazek Dodavatele plnit požadavky stanovené v této smlouvě a závazek KNL plnění požadavků Dodavatelem vyžadovat a kontrolovat.
Smluvní strany se zavazují dodržovat veškeré právní předpisy upravující kybernetickou a informačních bezpečnost, doporučení, pokyny, opatření a jiná právní jednání příslušných orgánů veřejné moci, a to vždy v aktuálním znění a podobě, jak je KNL implementovala v rámci vnitřních předpisů (viz. Čl. II. 2).
KNL je oprávněna za účelem odvrácení rizika hrozící újmy na právech a oprávněných zájmech pacientů či zaměstnanců KNL nebo za účelem odvrácení rizika ohrožení informační či kybernetické bezpečnosti KNL akutně zasáhnout do nebo v plnění primárních smluv či této smlouvy Dodavatelem. KNL se zavazuje o akutním zásahu do nebo v plnění primárních smluv či této smlouvy Dodavatelem podle předchozí věty Dodavatele informovat.
Základní práva a povinnosti smluvních stran
Dodavatel se zavazuje při plnění primárních smluv a této smlouvy přistupovat ke komunikačním a informačním systémům KNL a případně pohybovat se v nich pouze způsobem a v rozsahu KNL dovoleným a pouze způsobem a v rozsahu, které jsou potřebné a účelné pro plnění primárních smluv a této smlouvy. Za každé dílčí porušení závazku Dodavatele uvedeného v předchozí větě se Dodavatel zavazuje uhradit KNL smluvní pokutu ve výši odpovídající ročnímu plnění podle primárních smluv, a pokud je taková primární smlouva bezúplatná (např. o výpůjčce), pak smluvní pokutu ve výši 100.000,- Kč. Právo KNL na náhradu škody zvlášť a v plné výši tím není dotčeno.
KNL má stanovenou bezpečnostní politiku a vede bezpečnostní dokumentaci ve smyslu § 30 odst. 1 VKB jako souhrn vnitřních předpisů KNL (dále jen „bezpečnostní politiky“). KNL se zavazuje Xxxxxxxxxx poskytnout ty bezpečnostní politiky, které jsou relevantní pro nastavení informační a kybernetické bezpečnosti při plnění této a primárních smluv (dále také jen „relevantní bezpečnostní politiky“). Všeobecné znění relevantních bezpečnostních politik je dostupné v dokumentu „Politika bezpečného chování dodavatele IT technologie“ vystaveném na webových stránkách KNL. V odůvodněných případech KNL může poskytnout další výňatky z bezpečnostních politik relevantních pro konkrétního dodavatele. Dodavatel se zavazuje dodržovat relevantní bezpečnostní politiky. Stanoví-li tato smlouva něco jiného, než je obsaženo v relevantních bezpečnostních politikách, má přednost ujednání ve smlouvě.
KNL je oprávněna pravidelně vyhodnocovat účinnost a případnost opatření přijatých v bezpečnostních politikách a v návaznosti na tato vyhodnocení měnit bezpečnostní politiky. Dotkne-li se změna bezpečnostních politik relevantních bezpečnostních politik uvedených v předchozím odstavci, zavazuje se KNL o těchto změnách Dodavatele bez zbytečného odkladu vyrozumět. Dodavatel se zavazuje dodržovat relevantní bezpečnostní politiky vždy v aktuálním znění.
Smluvní strany shodně prohlašují, že bezpečnost informací je pro obě smluvní strany zásadní. Dodavatel se zavazuje informovat KNL bez zbytečného odkladu o výskytu veškerých kybernetických bezpečnostních incidentů (ve smyslu § 7 odst. 2 ZKB) u Dodavatele.
Dodavatel se zavazuje zajistit důvěrnost informačních aktiv, s nimiž nakládá nebo přichází do styku. Dodavatel se zavazuje o veškerých jemu předaných, zpřístupněných, zpracovávaných či jinak dostupných či známých informačních aktivech zachovávat mlčenlivost a nesdělit je ani neumožnit k nim přístup třetím osobám, nebo je nevyužít ve svůj prospěch nebo ve prospěch třetích osob, není-li v této smlouvě stanoveno jinak.
Povinnost mlčenlivosti podle předchozího odstavce se vztahuje rovněž, bez ohledu na formu a způsob jejich sdělení či zachycení a až do doby jejich zveřejnění, na jakékoli a všechny skutečnosti, včetně obchodního tajemství, které se Dodavatel v průběhu vzájemné spolupráce dozví, a/nebo které mu KNL v průběhu vzájemné spolupráce zpřístupní, jakož i sama existence těchto skutečností a vzájemné spolupráce smluvních stran.
Smluvní strany vymezují jako důvěrné informace informační aktiva, se kterými přijde Dodavatel do styku na základě plnění primárních smluv a dále jakékoli neveřejné informace zpřístupněné smluvními stranami v písemné nebo ústní formě, na ochraně kterých může mít smluvní strana zájem, zejména se tak za důvěrné informace považují: (i) obchodní tajemství, postupy, definice, specifikace, programy, programové balíky, technické a jiné know-how, provozní metody a postupy, obchodní strategie, obchodní a marketingové plány, návrhy, dohody, smlouvy, finanční, obchodní a další provozní údaje smluvních stran; (ii) informace o pacientech KNL, zaměstnancích a dodavatelích KNL, údaje podléhající ochraně podle zvláštních právních předpisů, údaje na něž se vztahuje zákonem uznaná nebo uložená povinnost mlčenlivosti; (iii) případně jiné informace, které jako důvěrné smluvní strana označí. Důvěrné informace jsou dále společně označeny též jako „chráněné informace“.
Smluvní strany se zavazují, že důvěrné informace nebudou dále rozšiřovat nebo reprodukovat a nezpřístupní je třetí straně. Současně se zavazují, že zabezpečí, aby převzaté dokumenty obsahující důvěrné informace byly řádně evidovány a chráněny. Smluvní strany se dále zavazují, že důvěrné informace nepoužijí v rozporu s jejich účelem ani účelem jejich poskytnutí pro své potřeby nebo ve prospěch třetích osob. Smluvní strany přijmou účinná opatření pro zamezení úniku důvěrných informací.
Povinnost plnit ustanovení této smlouvy se nevztahuje na chráněné informace, které:
mohou být zveřejněny bez porušení této smlouvy;
byly písemným souhlasem druhé smluvní strany uvolněny od těchto omezení;
jsou veřejně dostupné nebo byly zveřejněny jinak, než porušením povinnosti jedné ze smluvních stran;
příjemce je znal zcela prokazatelně dříve, než je sdělí smluvní strana;
jsou vyžádány soudem, státním zastupitelstvím nebo jiným věcně příslušným orgánem veřejné moci za podmínek stanovených zákonem.
Poskytnutí informací spadajících do oblasti důvěrných informací nezakládá žádné právo na licenci, ochrannou známku, patent, právo užití nebo šíření autorského díla, ani jakékoliv jiné právo duševního nebo průmyslového vlastnictví.
Dodavatel se zavazuje ukládat důvěrné informace a chránit je před zneužitím, poškozením, znehodnocením, ztrátou, záměnou a nakládat s důvěrnými informacemi pouze způsobem stanoveným primárními smlouvami a touto smlouvou.
Smluvní strany sjednávají, že primární užívací právo k datům obsaženým v informačním nebo komunikačním systému náleží KNL.
Dodavatel se zavazuje zajistit integritu informačních aktiv, s nimiž nakládá nebo přichází do styku.
Dodavatel se zavazuje pořizovat a evidovat záznamy o technických událostech (logy). Dodavatel se zavazuje pořizovat a evidovat logy o relevantních informacích (v pochybnostech tyto označí KNL). Dodavatel se zavazuje uchovávat logy po dobu šesti měsíců, pokud KNL neurčí jinak. Dodavatel se zavazuje evidenci logů podle tohoto odstavce předložit k náhledu KNL, kdykoliv o to KNL požádá.
Dodavatel se zavazuje provádět testy zranitelnosti a penetrační testování technologií propojených s KNL ve stejném rozsahu, jaký stanoví ZKB, VKB a podpůrné materiály a rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost, vždy v aktuálním znění, pro povinné subjekty a informovat o výsledcích KNL.
Vzdálený přístup
Je-li pro plnění primárních smluv nezbytně nutné, aby měl Dodavatel zajištěn vzdálený přístup do informačního nebo komunikačního systému KNL, zavazuje se Dodavatel nastavit systém přístupu do informačního nebo komunikačního systému KNL tak, aby bylo možné jednoznačně určit, kdo do informačního nebo komunikačního systému KNL přistoupil, kdo provedl úpravu či byl jakkoliv v informačním nebo komunikačním systému KNL aktivní. Veškeré aktivity uvedené v předchozí větě je Dodavatel povinen logovat ve smyslu čl. II odst. 15 této smlouvy výše.
Za účelem zajištění dostupnosti a funkčnosti informačního nebo komunikačního systému KNL nebo možnosti plnění primárních smluv nebo této smlouvy je Dodavatel oprávněn do informačního nebo komunikačního systému přistupovat prostřednictvím svých zaměstnanců či osob v obdobném postavení, a to v souladu s požadavky na řízené přístupy do informačního nebo komunikačního systému KNL odvislé od zhodnocení rizik pro informační aktiva, která se v informačním nebo komunikačním systému KNL nachází. Dodavatel se zavazuje zajistit, aby každá osoba oprávněná k přístupu do informačního nebo komunikačního systému KNL měla nastavené přístupové údaje s oprávněním provádět úpravy a zápisy dat v informačním nebo komunikačním systému dle svého zařazení se zohledněním potenciálních rizik z toho vyplývajících. KNL pro plnění tohoto odstavce realizuje proces řízeného zakládání (ve smyslu posloupnosti: žádost – schválení – realizace – reporting – zrušení).
Za účelem naplnění požadavků na řízené přístupy ve smyslu předchozího odstavce se Dodavatel zavazuje předat KNL seznam osob – zaměstnanců či jiných osob v obdobném postavení Dodavatele s uvedením identifikace této osoby, které jsou oprávněné k přístupu do informačního nebo komunikačního systému KNL. Seznam oprávněných osob ve smyslu předchozí věty se Dodavatel zavazuje, v případě změny, bez zbytečného odkladu aktualizovat. KNL umožní Dodavateli vzdálený přístup do informačního nebo komunikačního systému KNL, je-li to nezbytné, pouze prostřednictvím VPN připojení na jméno osoby Dodavatelem uvedené v aktuálním seznamu oprávněných osob ve smyslu předchozích vět.
NEBO PREFROVANÁ VARIANTA
KNL umožní Dodavateli vzdálený přístup do informačního nebo komunikačního systému KNL, je-li to nezbytné, pouze prostřednictvím VPN připojení zřízeného pouze pro Dodavatele. Technická specifikace přístupu Dodavatele je definována v příloze č. ** této smlouvy.
NEBO
KNL umožní Dodavateli vzdálený přístup do informačního nebo komunikačního systému KNL, je-li to nezbytné, pouze prostřednictvím VPN připojení zřízeného Dodavatelem do VLAN KNL k tomu KNL zřízené. V případě pochybností KNL Dodavateli pokyny pro vzdálený přístup Dodavatele upřesní.
Fyzický přístup k informačním a komunikačním technologiím a počítačovému hardwaru KNL (dále jen „technické prostředky KNL“)
Fyzický přístup k technickým prostředkům KNL je umožněn pouze na základě souhlasu KNL. KNL umožní přístup k technickým prostředkům KNL pouze zaměstnanci Dodavatele či osobě v obdobném postavení, která předloží průkaz totožnosti a písemné pověření Dodavatele.
Fyzický přístup k technickým prostředkům KNL je umožněn pouze v přítomnosti zaměstnance KNL.
Souhlasu KNL podléhá každý jednotlivý úkon zaměstnance pověřeného Dodatelem či osoby v obdobném postavení ve smyslu odst. 1 tohoto článku včetně:
- pořizování kopií informačních aktiv, jejich změny či výmazu;
- připojování jiných zařízení a technických prostředků na sítě KNL;
- spouštění aplikací;
- instalace nových aplikací, je-li nutná k realizaci plnění;
- provádění činností, které přímo nesouvisí s plněním podle primárních smluv.
Audit
KNL je oprávněna kontrolovat plnění požadavků a podmínek stanovených ZKB, VKB a touto smlouvou Dodavatelem (dále jen „zákaznický audit“). KNL nepřistoupí k realizaci zákaznického auditu pro případ, že se Dodavatel prokáže auditní zprávou svědčící o plnění požadavků a podmínek stanovených ZKB, VKB a touto smlouvou a KNL bude tuto auditní zprávu považovat za dostatečnou.
KNL je oprávněna provádět zákaznický audit v termínech a za podmínek předem dohodnutých smluvními stranami. Dodavatel se zavazuje umožnit zákaznický audit a zdržet se kladení jakýchkoliv překážet zákaznickému auditu. KNL je oprávněna k přístupu do veškerých prostor Dodavatele, v nichž jsou realizovány činnosti, které mají vliv na plnění této smlouvy a ke všem prostředkům, kterými nebo pomocí kterých je plněna tato smlouva.
Dojde-li KNL k závěru, že Dodavatel porušuje povinnosti stanovené touto smlouvu, ZKB či VKB, upozorní na tuto skutečnost Dodavatele a vyzve jej k okamžitému zjednání nápravy.
KNL je oprávněna k provádění zákaznického auditu zmocnit třetí osobu. Třetí osoba zmocněná podle předchozí věty má při realizaci zákaznického auditu stejná oprávnění jako KNL.
Dodavatel se zavazuje poskytnout veškerou součinnost potřebnou pro realizaci auditu ve smyslu tohoto článku.
Poddodavatelé
Smluvní strany sjednávají oprávnění Dodavatele zapojit do plnění podle této smlouvy poddodavatele. Každé jednotlivé, byť jen dílčí zapojení konkrétního poddodavatele do plnění podle této smlouvy podléhá předchozímu souhlasu KNL, a to s výjimkou osob v obdobném postavení jako mají zaměstnanci Dodavatele (tzv. spolupracující osoby, které jsou osobami samostatně vykonávajícími činnost na základě živnostenského oprávnění či externí agenturní pracovníci).
Dodavatel se zavazuje zajistit, aby poddodavatel plnil stejné povinnosti ve stejném rozsahu jako stanoví ZKB, VKB nebo tato smlouva pro Dodavatele.
Za plnění povinností stanovených ZKB, VKB nebo touto smlouvou poddodavatelem odpovídá Dodavatel.
Ukončení smlouvy (exit strategie)
Dojde-li z jakéhokoliv důvodu k ukončení této smlouvy nebo některé z primárních smluv, sjednávají smluvní strany přechodné období v délce trvání **, v rámci, kterého je Dodavatel povinen i nadále přístrojové a/nebo programové vybavení podle ukončené primární smlouvy poskytovat, nestanoví-li KNL jinak.
Smluvní strany sjednávají, že během doby uvedené v předchozím odstavci je Xxxxxxxxx povinen zlikvidovat veškeré informace, se kterými nakládá či nakládal nebo které jsou v jeho sféře vlivu či ovládání v souvislosti s plněním primárních smluv anebo této smlouvy.
Pokud o to KNL výslovně požádá, je Dodavatel povinen předat informace uvedené v odstavci 2 tohoto článku budoucímu Dodavateli v zájmu zajištění kontinuity nastavených procesů souvisejících s realizací plnění podle primárních smluv.
Závěrečná ustanovení
Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami.
Tato smlouva nabývá účinnosti dnem jejího uveřejnění v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv, ve znění pozdějších předpisů.
Jakékoliv změny smlouvy musí být sepsány formou písemných dodatků ke smlouvě a musí být podepsány smluvními stranami, osobami oprávněnými k takovému jednání.
Vztahy mezi smluvními stranami výslovně neupravené touto Smlouvou se řídí režimem zákona č. 89/2012 Sb., občanský zákoník, a zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským, ZKB a VKB. Smluvní strany se zavazují bez zbytečného odkladu reagovat na změny právních předpisů upravujících spolupráci smluvních stran založenou touto smlouvou.
Veškeré spory ze smlouvy se smluvní strany zavazují řešit smírem a teprve pokud se spor nepodaří smírem vyřešit, bude spor rozhodovat podle zákona č. 99/1963 Sb., občanský soudní řád, věcně a místně příslušný soud.
Pokud bude jakékoliv ujednání smlouvy shledáno jako neplatné či neúčinné, nedotýká se neplatnost a neúčinnost ostatních ujednání smlouvy. Smluvní strany se pro tento případ zavazují neplatná či neúčinná ujednání nahradit dohodou platnými a účinnými ustanoveními, která nejlépe odpovídají smyslu a mají nejblíže k neplatnému či neúčinnému ujednání, aniž by požadovaly výhody nebo plnění, která původně nebyla sjednána.
Žádná smluvní strana není oprávněna postoupit právo nebo závazek nebo zatížit pohledávku vyplývající ze smlouvy nebo žádnou jejich část bez předchozího písemného souhlasu druhé smluvní strany.
Tato smlouva byla vyhotovena ve dvou stejnopisech, z nichž po jednom stejnopisu obdrží po jejím podpisu každá smluvní strana.
Smluvní strany tímto prohlašují a stvrzují podpisy osob oprávněných k jednání smluvních stran, že si smlouvu řádně přečetly, je jim znám význam jednotlivých ujednání smlouvy a jejích příloh, že smlouvu uzavírají na základě své pravé a svobodné vůle a dále prohlašují, že jim k datu podpisu smlouvy nejsou známy žádné skutečnosti ani okolnosti, které by jim mohly bránit v plnění závazků dle smlouvy, tuto smlouvu učinit neplatnou nebo neúčinnou, nebo zmařit její účel a cíl tak, jak jej ve smlouvě společně deklarovaly.
V Liberci dne _________________
____________________________ KNL XXXx. Xxxxxxx Xxxxx, XxX., předseda představenstva, nebo xxx. XXXx. Xxxxx Xxxxxxxx, Ph.D. FESC, místopředseda představenstva |
V ** dne _________________
____________________________ Dodavatel **
|
9