smlouva o POSKYTOVÁNÍ SLUŽEB bezpečnostního dohledového centra
Příloha č. 1 zadávací dokumentace
Návrh smlouvy
smlouva o POSKYTOVÁNÍ SLUŽEB bezpečnostního dohledového centra
Smluvní strany:
[obchodní firma]
se sídlem [doplnit adresu]
IČ: [doplnit IČ]
DIČ: [doplnit DIČ]
společnost / fyzická osoba zapsaná v obchodním rejstříku vedeném [doplnit údaj o zápisu v příslušné evidenci]
zastoupená [doplnit údaje o jednajících osobách]
bankovní spojení: [doplnit název banky], číslo účtu: [doplnit číslo účtu]
jako objednatel na straně jedné (dále jen „Objednatel“)
a
[obchodní firma / jméno, příjmení]
se sídlem [doplnit adresu]
IČ: [doplnit IČ]
DIČ: [doplnit DIČ]
společnost / fyzická osoba zapsaná v obchodním / živnostenském rejstříku vedeném [doplnit údaj o zápisu v příslušné evidenci]
zastoupená [doplnit údaje o jednajících osobách]
bankovní spojení: [doplnit název banky], číslo účtu: [doplnit číslo účtu]
jako poskytovatel na straně druhé (dále jen „Poskytovatel“)
uzavřely dnešního dne podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, tuto
smlouvu o poskytování služeb bezpečnostního dohledového centra
1. Úvodní ustanovení
Objednatel prohlašuje, že je veřejným zadavatelem ve smyslu § 4 odst. 1 písm. e) zákona č. 134/2016 Sb., zadávání o veřejných zakázek, ve znění pozdějších předpisů (dále jen „zákon o ZVZ“). Objednatel je podle zákona o ZVZ povinen zadat veřejnou zakázku v zadávacím řízení.
Objednatel dále prohlašuje, že Jihočeské nemocnice, a.s., se sídlem České Budějovice, B. Němcové 585/54, PSČ 370 01, IČ: 260 93 804, jako centrální zadavatel podle § 9 odst. 1 písm. b) zákona o ZVZ, který provádí zadávací řízení a zadává veřejnou zakázku mimo jiné pro Objednatele, dne 17. 05. 2024 ve smyslu ust. § 56 odst. 1 zákona o ZVZ zahájil otevřené řízení odesláním oznámení o zahájení zadávacího řízení k uveřejnění způsobem podle § 212 zákona o ZVZ za účelem zadání veřejné zakázky na služby spočívající v zajištění služeb bezpečnostního dohledového centra (SOC) (dále jen „Veřejná zakázka“). Na základě výsledku zadávacího řízení uzavírá Objednatel tuto smlouvu o poskytování služeb bezpečnostního dohledového centra s Poskytovatelem.
Smluvní strany uzavírají tuto smlouvu za účelem splnění předmětu Xxxxxxx zakázky.
Smluvní strany
Poskytovatel prohlašuje, že je právnickou / fyzickou osobou řádně podnikající podle zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, a podle zákona č. 455/1991 Sb., o živnostenském podnikání, ve znění pozdějších předpisů, která je zapsaná v obchodním rejstříku [doplnit údaj o zápisu v příslušné evidenci] a v živnostenském rejstříku [doplnit údaj o zápisu v příslušné evidenci]. Poskytovatel dále prohlašuje, že splňuje veškeré podmínky a požadavky v této smlouvě stanovené, disponuje potřebnými odbornými znalostmi a kapacitami a je oprávněn tuto smlouvu uzavřít a řádně plnit povinnosti v ní obsažené.
Objednatel prohlašuje, že je obchodní společností řádně založenou a zapsanou podle českého právního řádu v obchodním rejstříku (viz údaj v záhlaví této smlouvy), která se zabývá poskytováním zdravotních služeb. Objednatel dále prohlašuje, že splňuje veškeré podmínky a požadavky v této smlouvě stanovené a je oprávněn tuto smlouvu uzavřít a řádně plnit povinnosti v ní obsažené.
Objednatel dále prohlašuje, že je povinným subjektem dle § 2 odst. 1 písm. m) zákona č. 340/2015 Sb., o registru smluv, ve znění pozdějších předpisů (dále jen „zákon o registru smluv“), a jako takový má povinnost zveřejnit tuto smlouvu v registru smluv. S ohledem na skutečnost, že právo zaslat smlouvu k uveřejnění do registru smluv náleží dle zákona o registru smluv oběma smluvním stranám, dohodly se smluvní strany za účelem vyloučení případného duplicitního zaslání smlouvy k uveřejnění do registru smluv na tom, že tuto smlouvu zašle k uveřejnění do registru smluv Objednatel. Objednatel bude ve vztahu k této smlouvě plnit též ostatní povinnosti vyplývající pro něj ze zákona o registru smluv.
Smluvní strany shodně prohlašují, že tuto smlouvu uzavírají jako podnikatelé v souvislosti s jejich podnikatelskou činností.
Předmět a účel smlouvy
Předmětem této smlouvy je povinnost Poskytovatele za odměnu poskytovat Objednateli služby bezpečnostního dohledového centra (dále též jen „SOC“), které budou spočívat především v zajištění a provedení následujících činností:
seznámení s prostředím Objednatele a informačními a komunikačními systémy a technologiemi provozovanými u Objednatele (dále též jen „IKST“), dále s procesy a dokumentací Objednatele, které se vztahují k oblasti kybernetické bezpečnosti a řízení rizik;
dodání jednotného systému monitoringu bezpečnostních událostí a incidentů pro zajištění informační a kybernetické bezpečnosti IKST se zvláštním důrazem na ochranu dat pacientů Objednatele a uvedení tohoto systému do provozu;
napojení IKST Objednatele na jednotný systém monitoringu bezpečnostních událostí a incidentů Poskytovatele pro zajištění informační a kybernetické bezpečnosti IKST;
zajištění monitoringu stavu kybernetické bezpečnosti IKST formou vzdáleného přístupu z prostředí Poskytovatele;
provádění detekce, vyhodnocování a řešení kybernetických bezpečnostních událostí a incidentů v IKST a obecně v prostředí Objednatele za pomoci specifických nástrojů a odborného bezpečnostního týmu;
plnění dalších povinností dle této smlouvy.
Poskytovatel je povinen plnit své povinnosti dle odst. 3.1. této smlouvy počínaje účinností této smlouvy v souladu s harmonogramem, který je upraven v článku 4. této smlouvy, a v rozsahu a za podmínek blíže upravených v Příloze č. 1 této smlouvy.
Účelem této smlouvy je především zajištění plnění povinností Objednatele ve vztahu k dosažení a zachování potřebné úrovně kybernetické bezpečnosti informačních a komunikačních systémů a technologií, jak jsou tyto povinnosti stanoveny anebo vyplývají z právní úpravy dané zejména zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, a vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, a v návaznosti na to dle opatření, doporučení a stanovisek Národního úřadu pro kybernetickou a informační bezpečnost. Účelem této smlouvy je na základě odborných znalostí a zkušeností Poskytovatele zajistit odpovídající úroveň kybernetické bezpečnosti a realizovat taková opatření, aby nedošlo k ohrožení či narušení kybernetické a informační bezpečnosti v prostředí Objednatele, přičemž Poskytovatelem zajišťované služby mají za cíl předcházet a čelit známým či předpokládaným hrozbám pro informační a komunikační systémy a technologie provozované Objednatelem, který bude schopen s odbornou podporou Poskytovatele efektivně zvládat případné následky těchto hrozeb. Takto definovaný účel smlouvy je také základním vodítkem a principem pro výklad všech ujednání obsažených v této smlouvě.
Termíny plnění
Poskytovatel bude plnit své povinnosti průběžně tak, aby bylo řádně a včas dosaženo účelu této smlouvy, a současně aby byly splněny termíny stanovené touto smlouvou.
Poskytovatel zahájí plnění povinností podle této smlouvy bez zbytečného odkladu po nabytí její účinnosti, nejpozději však do tří (3) pracovních dnů od účinnosti smlouvy.
Poskytovatel předloží Objednateli nejpozději do 10 (deseti) pracovních dnů od účinnosti této smlouvy návrh harmonogramu implementace služeb SOC podle této smlouvy (dále též jen „Harmonogram“) a soupis požadavků na součinnost Objednatele (dále též jen „Požadavky“). Objednatel předloží své stanovisko k návrhu Xxxxxxxxxxxx a k soupisu Požadavků Poskytovateli do 10 (deseti) pracovních dnů od jejich předložení Poskytovatelem, a to společně se svými připomínkami a návrhy na úpravy. Smluvní strany se zavazují jednat efektivně a vstřícně k požadavkům druhé strany tak, aby Harmonogram a soupis Požadavků byly schváleny nejpozději do 30 (třiceti) pracovních dnů od účinnosti této smlouvy.
Smluvní strany uskuteční společné jednání za účelem projednání Harmonogramu a Požadavků v rozsahu alespoň jeden (1) člověkoden, přičemž tohoto jednání se po předchozí dohodě zúčastní rovněž zástupci dalších nemocnic Jihočeského kraje, pro které Poskytovatel zajišťuje služby bezpečnostního dohledového centra, a to za účelem zpřesnění Harmonogramu, vymezení konečné podoby požadovaných služeb pro jednotlivé objednatele, kteří zamýšlejí provést investice do pořízení bezpečnostních technologií, a za účelem realizace napojení požadovaných služeb bezpečnostního dohledového centra (SOC) a technických otázek s tím souvisejících.
Poskytovatel je povinen poskytovat Objednateli služby SOC po celou dobu účinnosti této smlouvy, a to počínaje okamžikem Předání (viz odst. 5.8. této smlouvy) bezpečnostního dohledového centra do rutinního provozu.
Podmínkou pro řádné splnění povinností Poskytovatele podle této smlouvy je včasné splnění povinnosti Objednatele k poskytnutí součinnosti dle Požadavků ve smyslu odst. 4.3. této smlouvy. O dobu prodlení s plněním této povinnosti Objednatele se prodlužují i termíny pro poskytování služeb Poskytovatelem Objednateli.
V případech, kdy to vyžaduje charakter poskytovaných služeb či plnění ze strany Poskytovatele, sepíší smluvní strany o předání a převzetí takového plnění písemný předávací protokol.
Povinnosti Poskytovatele
Poskytovatel je povinen při plnění svých povinností dodržovat příslušná ustanovení obecně závazných právních předpisů a jiných standardů týkajících se jeho odborné a profesní činnosti, zejména pokud jde o povinnosti stanovené zákonem č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, včetně prováděcích předpisů k těmto zákonům, dále pokud jde o mezinárodně uznávané standardy kybernetické bezpečnosti a opatření, doporučení a stanoviska Národního úřadu pro kybernetickou a informační bezpečnost.
Poskytovatel se zavazuje provést potřebné přípravné práce za účelem dodávky jednotného systému monitoringu bezpečnostních událostí a incidentů pro zajištění informační a kybernetické bezpečnosti IKST a jeho uvedení do provozu, zejména analýzu stávajícího prostředí Objednatele.
Poskytovatel se při plnění smlouvy zavazuje dodržovat předpisy bezpečnosti a ochrany zdraví při práci, požární, hygienické a ostatní aplikovatelné právní předpisy či jiné normy, jakož i podmínky ostrahy objektů Objednatele. Poskytovatel se v souladu s tím zejména též zavazuje při plnění smlouvy dodržovat vnitřní předpisy Objednatele, se kterými byl Objednatelem seznámen, včetně vnitřních pravidel a předpisů Objednatele týkajících se kybernetické bezpečnosti.
Poskytovatel je povinen počínat si při plnění smlouvy tak, aby provoz Objednatele (zejména provoz v místě plnění) byl dotčen a omezen v nejmenší možné míře. Poskytovatel je povinen předcházet škodám, ke kterým by mohlo dojít při plnění smlouvy, a učinit veškerá potřebná opatření, aby nedošlo ke vzniku škod či jiné újmy nebo ztrát a aby rozsah případně způsobené škody, újmy či ztrát byl co nejnižší.
Poskytovatel je povinen poskytovat Objednateli služby bezpečnostního dohledového centra počínaje dodáním jednotného systému monitoringu bezpečnostních událostí a incidentů pro zajištění informační a kybernetické bezpečnosti IKST a jeho uvedením do provozu v rozsahu nezbytném k zahájení zkušebního provozu, to vše v rozsahu a za podmínek stanovených touto smlouvou.
Poskytovatel odpovídá Objednateli za to, že předmět smlouvy bude plně způsobilý plnit svoji funkci v rozsahu a za účelem vyplývajícím z této smlouvy, jinak v rozsahu obvyklém pro předmět smlouvy daného druhu a způsobu využití. Poskytovatel dále odpovídá Objednateli za to, že předmět smlouvy bude neomezeně použitelný k účelu, pro který si Objednatel tento předmět smlouvy objednal a má v úmyslu používat.
Poskytovatel se zavazuje bez zbytečného odkladu, nejpozději však do 5 (pěti) pracovních dní, od schválení Harmonogramu podle odst. 4.3. této smlouvy vypracovat a předat Objednateli na základě písemného předávacího protokolu návrh plánu provedení dodávky jednotného systému monitoringu bezpečnostních událostí a incidentů pro zajištění informační a kybernetické bezpečnosti IKST a jeho napojení na IKST Objednatele, ve kterém bude podrobně specifikován postup při uvádění tohoto systému do provozu v prostředí Objednatele a při napojování IKST Objednatele do tohoto systému a jeho příprava na předání do zkušebního provozu dle odst. 5.8. této smlouvy (dále jen „Plán implementace“). Plán implementace podléhá schválení oběma smluvními stranami. Objednatel v zájmu zajištění řádné a včasné přípravy Plánu implementace zajistí Poskytovateli potřebnou součinnost v souladu se schválenými Požadavky dle odst. 4.3. této smlouvy. Objednatel je oprávněn sdělit Poskytovateli své připomínky a návrhy na doplnění návrhu Plánu implementace do 5 (pěti) pracovních dní od jeho protokolárního předání Objednateli s tím, že Poskytovatel je při přípravě Plánu implementace povinen připomínky či návrhy Objednatele na doplnění zohlednit, pokud nejsou v rozporu s touto smlouvou, nebo pokud jejich zohlednění nelze na Poskytovateli rozumně požadovat. Smluvní strany jsou povinny počínat si a postupovat tak, aby ke schválení Plánu implementace došlo nejpozději do 45 (čtyřiceti pěti) pracovních dní od účinnosti této smlouvy. Případné neschválení Plánu implementace není důvodem pro ukončení či přerušení plnění této smlouvy Poskytovatelem či pro neplnění jiných smluvních povinností Poskytovatele.
Poskytovatel splní svoji povinnost k provedení dodávky jednotného systému monitoringu bezpečnostních událostí a incidentů pro zajištění informační a kybernetické bezpečnosti IKST a jeho napojení na IKST Objednatele jejím řádným dokončením bez vad a nedodělků a předáním Objednateli v termínu dle Harmonogramu tak, aby tento systém byl způsobilý rutinně plnit své funkce podle této smlouvy v prostředí Objednatele (dále též jen „Předání“). O Předání bude smluvními stranami vyhotoven písemný protokol, který bude smluvními stranami odsouhlasen a podepsán. V případě Předání s drobnými vadami a nedodělky, které nebrání rutinnímu provozu jednotného systému monitoringu bezpečnostních událostí a incidentů pro zajištění informační a kybernetické bezpečnosti IKST bude součástí tohoto protokolu soupis těchto vad a nedodělků s uvedením lhůty pro jejich odstranění, přičemž je však výhradním právem Objednatele se rozhodnout, zda k Předání dojde, ačkoliv systém bude vykazovat drobné vady a nedodělky, které nebrání rutinnímu provozu tohoto systému. Za účelem usnadnění Předání smluvní strany ujednaly, že alespoň po dobu jednoho (měsíce) před datem Předání bude zahájen zkušební provoz (dále také jen „zkušební provoz“) k ověření, zda jednotný systém monitoringu bezpečnostních událostí a incidentů pro zajištění informační a kybernetické bezpečnosti IKST plní své funkce dle smlouvy a zda došlo k bezchybnému napojení IKST Objednatele na tento systém. Vyskytnou-li se během zkušebního provozu nějaké vady nebo budou-li během zkušebního provozu zjištěny nedodělky, budou smluvní strany společně postupovat tak, aby byly takové případné vady či nedodělky odstraněny před termínem Předání. Zkušební provoz slouží k ověření funkčnosti jednotného systému monitoringu bezpečnostních událostí a incidentů pro zajištění informační a kybernetické bezpečnosti IKST a za tím účelem je Objednatel oprávněn podávat do tohoto systému během zkušebního provozu též hlášení o fiktivních událostech a incidentech za účelem ověření dostupnosti služby bezpečnostního dohledového centra a reakcí Poskytovatele. Smluvní strany mohou na základě vzájemné dohody upustit od provedení zkušebního provozu.
Poskytovatel je povinen postupovat při plnění této smlouvy řádně, poctivě a s odbornou péčí a předcházet hrozícím škodám.
Poskytovatel je povinen opatřit veškeré věci potřebné ke splnění této smlouvy, pokud tato smlouva výslovně nestanoví jinak.
Poskytovatel je povinen při plnění této smlouvy vycházet ze stavu IKST Objednatele a z jím provedené analýzy prostředí Objednatele, je povinen průběžně vyhodnocovat rizika pro kybernetickou a informační bezpečnost v prostředí Objednatele a navrhovat vhodná opatření pro předcházení a eliminaci těchto rizik včetně adekvátních opatření pro pořízení informačních a komunikačních technologií Objednatelem k naplnění tohoto účelu.
Poskytovatel si v součinnosti s Objednatelem opatřuje informace potřebné pro řádné a úplné hodnocení rizik pro kybernetickou a informační bezpečnost v prostředí Objednatele a při plnění svých povinností posuzuje významné hrozby pro kybernetickou a informační bezpečnost v prostředí Objednatele, které by mohly ohrozit či narušit provozy Objednatele a plnění jeho hlavního předmětu činnosti. Povinností Poskytovatele je postupovat v souladu s obecně uznávanými postupy a doporučeními tak, aby získal všechny informace, které jsou podle jeho nejlepšího vědomí potřebné pro zajištění ochrany prostředí Objednatele z pohledu kybernetické a informační bezpečnosti a které poskytují odpovídající záruku, že v prostředí Objednatele budou implementována taková opatření, která umožní dosáhnout co nejvyšší úrovně kybernetické a informační bezpečnosti v prostředí Objednatele při zohlednění finančních a ekonomických možností Objednatele.
Poskytovatel při plnění smlouvy postupuje tak, aby získal dostatečné a potřebné informace, které mu možní plnit jeho smluvní povinnosti, přičemž Objednatel poskytuje Poskytovateli při získávání těchto informací potřebnou součinnost a je povinen předložit mu dokumenty a sdělit informace týkající se všech skutečností relevantních pro plnění smluvních povinností. Smluvní ujednání o ochraně důvěrných informací tímto odstavcem smlouvy nejsou nijak dotčena.
Poskytovatel bude poskytovat své služby podle této smlouvy v českém jazyce včetně písemných materiálů a podkladů vyhotovených Poskytovatelem podle této smlouvy.
Poskytovatel je povinen s Objednatelem průběžně projednávat veškeré své poznatky, zjištění či závěry týkající se kybernetické bezpečnosti v prostředí Objednatele.
Činnosti Poskytovatele dle této smlouvy budou prováděny tak, aby Poskytovatel získal potřebné informace o prostředí Objednatele a mohl posoudit úroveň rizik pro kybernetickou a informační bezpečnost prostředí Objednatele a v souladu s tím mohl poskytovat služby bezpečnostního dohledového centra na co nejvyšší úrovni a maximálně efektivně.
Poskytovatel bude Objednateli poskytovat průběžné konzultace a poradenskou činnost v oblasti kybernetické a informační bezpečnosti v rozsahu vyplývajícím z této smlouvy a její Přílohy č. 1.
Poskytovatel je povinen Objednatele neprodleně informovat o zjištěných nedostatcích týkajících se plnění předmětu této smlouvy, zejména pokud jde o nedostatky při poskytování součinnosti ze strany Objednatele. Poskytovatel bude v návaznosti na svá zjištění informovat Objednatele o navrhovaných postupech ke zlepšení a zefektivnění smluvní spolupráce.
Poskytovatel je povinen mít uzavřeno pojištění odpovědnosti za újmu způsobenou v souvislosti s poskytováním služeb podle této smlouvy s pojistným plněním minimálně ve výši 30.000.000,- Kč (slovy třicet milionů korun českých) za jednu pojistnou událost. Poskytovatel prohlašuje, že má takové pojištění uzavřeno a že jej bude udržovat po celou dobu plnění této smlouvy, a zavazuje se na požádání Objednatele existenci takového pojištění prokázat.
Povinnosti Objednatele
Objednatel je povinen poskytnout Poskytovateli potřebnou součinnost, zejména mu poskytnout podklady a informace potřebné pro plnění povinností Poskytovatele podle této smlouvy. Poskytovatel je povinen o takovou nebo jinou součinnost Objednatele dle této smlouvy požádat ve lhůtách sjednaných v této smlouvě, jinak s dostatečným časovým předstihem tak, aby Objednatel mohl vyžádanou součinnost včas poskytnout. Smluvní strany se dohodly, že Požadavky vznesené Poskytovatelem na Objednatele dle odst. 4.3. této smlouvy, nesmějí být nepřiměřené a nesmějí zatížit Objednatele jakýmikoliv náklady nad rámec obvyklých mzdových nákladů spojených s činností zaměstnanců a dalších pracovníků Objednatele. Poskytovatel bere na vědomí a souhlasí, že Objednatel může podmínit poskytnutí vyžádaných podkladů či informací přijetím odpovídajících opatření a záruk na straně Poskytovatele (včetně jeho poddodavatelů, zaměstnanců a spolupracujících osob) k ochraně důvěrných či citlivých informací včetně uzavření samostatných dohod o ochraně důvěrných informací.
Objednatel je povinen zpřístupnit Poskytovateli v nezbytném rozsahu dokumentaci vztahující se k jím používaným informačním a komunikačním technologiím a systémům včetně systémové architektury a bezpečnostních politik. Ujednání obsažená v odst. 6.1. této smlouvy tím nejsou nijak dotčena.
Objednatel se zavazuje zajistit nezbytnou součinnost členů statutárního orgánu Objednatele a dalších dotčených pracovníků zejména z oddělení informačních technologií.
Objednatel se dále zavazuje poskytnout Poskytovateli na jeho vyžádání relevantní dokumentaci v elektronické podobě. Předání dokumentace se uskuteční podle konkrétně dohodnutých podmínek formou předávacího soupisu spolu s uvedením informací a podkladů, které jsou Poskytovateli předávány.
Odměna Poskytovatele
Poskytovateli náleží za poskytování služeb podle této smlouvy odměna ve výši ______________________,- Kč (slovy _____________________________ korun českých) bez DPH za měsíc. K této odměně bude připočtena daň z přidané hodnoty podle sazby platné ke dni uskutečnění zdanitelného plnění. Odměna bude uhrazena na základě řádně vystavené faktury Poskytovatele.
Odměna uvedená v odst. 7.1. této smlouvy náleží Poskytovateli za úplné a řádné (bezvadné) poskytování služeb podle této smlouvy v příslušném kalendářním měsíci. Poskytovatel je oprávněn odměnu dle odst. 7.1. této smlouvy začít účtovat od okamžiku, kdy dojde k Předání ve smyslu odst. 5.8. této smlouvy.
Poskytovateli dále náleží jednorázová odměna za zprovoznění služeb, jak jsou tyto služby popsány v tabulce A „Zprovoznění služeb“, která tvoří Přílohu č. 2 této smlouvy označenou jako „Odměna za poskytované služby“. Právo Poskytovatele na vyúčtování této jednorázové odměny za zprovoznění služeb podle tohoto odstavce smlouvy vzniká okamžikem, kdy dojde k Předání ve smyslu odst. 5.8. této smlouvy.
Objednatel je oprávněn jednostranně svým oznámením zaslaným Poskytovateli omezit nebo rozšířit rozsah poskytovaných služeb, jak jsou tyto služby popsány v tabulce, která tvoří Přílohu č. 2 této smlouvy označenou jako „Odměna za poskytované služby“. V případě, že Objednatel uplatní své oprávnění dle předchozí věty tohoto odstavce, bude Poskytovatel od účinnosti této změny Objednateli poskytovat takto omezené nebo rozšířené služby, přičemž od účinnosti změny se rovněž upraví odměna za poskytované služby dle cenových údajů v tabulce tvořící Přílohu č. 2 této smlouvy. Změna rozsahu poskytovaných služeb nabývá účinnosti uplynutím lhůty 6 (šesti) měsíců, přičemž tato lhůta počíná plynout prvním dnem kalendářního měsíce následujícího po doručení oznámení Objednatele o omezení nebo rozšíření služeb Poskytovateli. Jestliže je změna rozsahu poskytovaných služeb spojena dle tabulky tvořící Přílohu č. 2 této smlouvy s právem Poskytovatele na jednorázovou odměnu, která představuje kompenzaci nákladů Poskytovatele na další činnosti nezbytně vykonané v souvislosti s provedením změny v rozsahu poskytovaných služeb, pak vzniká Poskytovateli právo tuto jednorázovou změnu vyúčtovat Objednateli v okamžiku, kdy změna rozsahu služeb nabude účinnosti. Oprávnění Objednatele podle tohoto odstavce smlouvy se považuje za vyhrazenou změnu závazku ze smlouvy na veřejnou zakázku ve smyslu § 100 odst. 1 zákona o ZVZ.
V odměně Poskytovatele jsou zahrnuty veškeré náklady, které Poskytovateli při plnění jeho povinností dle této smlouvy vzniknou, včetně nákladů na pracovníky Poskytovatele, jeho poddodavatele a spolupracující osoby, cestovní výdaje, výdaje spojené s ubytováním, náklady na pojištění atd., pokud v této smlouvě není výslovně ujednáno jinak. Poskytovatel není oprávněn domáhat se po Objednateli úhrady jakýchkoliv svých nákladů nebo hotových výdajů, pokud není v této smlouvě sjednáno nebo smluvními stranami v jednotlivých případech dohodnuto jinak.
Právo Poskytovatele na vyúčtování odměny za poskytování služeb podle odst. 7.1. této smlouvy vzniká posledním dnem kalendářního měsíce, za který jsou tyto služby účtovány.
Odměna se považuje za zaplacenou v okamžiku, kdy byla příslušná částka odepsána z účtu Objednatele ve prospěch účtu Poskytovatele. Poskytovatel není oprávněn požadovat po Objednateli žádné zálohy. Odměna bude hrazena na účet Poskytovatele uvedený na příslušné faktuře.
Poskytovatel je povinen vystavit fakturu nejdříve dnem, kdy mu vzniklo právo na odměnu. Splatnost faktury je třicet (30) dnů od jejího vystavení. Poskytovatel je povinen fakturu odeslat Objednateli nejpozději následující pracovní den po jejím vystavení. Skutečné datum odeslání faktury prokazuje Poskytovatel.
Faktura Poskytovatele musí obsahovat následující údaje: označení smluvních stran a adresy jejich sídla, IČ a DIČ smluvních stran, číslo faktury, den vystavení a den splatnosti faktury, den uskutečnění zdanitelného plnění, označení peněžního ústavu a číslo účtu, na který se má platit v souladu s touto smlouvou, fakturovanou částku, a případné další náležitosti stanovené příslušnými právními předpisy.
Nebude-li faktura obsahovat stanovené náležitosti, nebo v ní nebudou správně uvedené údaje dle této smlouvy, je Objednatel oprávněn fakturu vrátit ve lhůtě deseti (10) dnů od jejího obdržení Poskytovateli. V takovém případě se přeruší běh lhůty splatnosti a nová lhůta splatnosti počne běžet doručením opravené faktury.
Poskytovatel vystaví fakturu v elektronické formě ve formátu PDF a v této formě bude faktura odeslána jako samostatná zásilka na e-mailovou adresu Objednatele ########### (bude doplněno před podpisem smlouvy). Faktura odeslaná v rozporu s tímto požadavkem nebude považována za doručenou. Takto vystavená faktura musí splňovat formální náležitosti vyplývající z příslušných právních předpisů a musí být zaslána způsobem, jak je uvedeno shora.
V případě, že Poskytovatel nebude Objednateli poskytovat služby podle této smlouvy po celé období kalendářního měsíce, odměna podle odst. 7.1. této smlouvy se přiměřeně krátí v závislosti na počtu dnů v daném kalendářním měsíci, během kterých byly tyto služby Objednateli skutečně poskytovány.
Objednatel je oprávněn zčásti nebo zcela odepřít plnění odměny, pokud Poskytovatel neposkytoval svá plnění v plném rozsahu nebo jím poskytnuté plnění není použitelné pro stanovený účel předvídaný touto smlouvou.
Odměna za poskytování služeb podle této smlouvy se stanoví jako fixní na dobu dvaceti čtyř (24) měsíců od okamžiku nabytí její účinnosti, přičemž odměna za poskytování služeb může být po skončení tohoto období navýšena pro příslušný rok v souladu s nárůstem inflace zjištěným Českým statistickým úřadem nebo jeho případným právním nástupcem za předchozí kalendářní rok, a to nejdříve za kalendářní rok, který předchází kalendářnímu roku, v němž Xxxxxxxxxxxx využije poprvé tohoto svého oprávnění.
Oprávnění Poskytovatele navýšit jakékoliv peněžité plnění podle této smlouvy v souladu s nárůstem inflace zjištěným Českým statistickým úřadem nebo jeho případným právním nástupcem se uplatňuje výlučně tak, že Poskytovatel písemně oznámí Objednateli navýšení peněžitého plnění s uvedením odkazu na příslušné ujednání ve smlouvě, které navýšení peněžitého plnění umožňuje, dále s uvedením původní výše peněžitého plnění před touto změnou, míry inflace za předchozí kalendářní rok doložené příslušným oznámením Českého statistického úřadu nebo jeho případného právního nástupce a nové výše peněžitého plnění po změně. Při nedodržení podmínek dle tohoto odst. 7.14. smlouvy nedochází k navýšení peněžitého plnění v souladu s touto smlouvou.
V případě, že by Objednatel požadoval po Poskytovateli poskytnutí dalších služeb nad rámec předmětu této smlouvy, použijí se pro určení ceny těchto služeb cenová ujednání obsažená v Příloze č. 2 této smlouvy označené jako „Odměna za poskytované služby“ (zejména ceny / odměny za jednotku, jako je manday, hodina, měsíc apod.).
Trvání a ukončení smlouvy
Xxxxxxx se stává závaznou dnem jejího podpisu oběma smluvními stranami a nabývá účinnosti dnem jejího uveřejnění v registru smluv. Smlouva se uzavírá na dobu neurčitou.
Smluvní vztah spočívající v poskytování služeb bezpečnostního dohledového centra podle této smlouvy lze vypovědět pouze předchozí písemnou výpovědí s výpovědní dobou v trvání šest (6) měsíců. Výpověď však lze podat nejdříve po uplynutí doby dvaceti čtyř (24) měsíců od okamžiku Předání.
Po uplynutí dvaceti čtyř (24) měsíců od okamžiku Předání je každá smluvní strana oprávněna smlouvu vypovědět z jakéhokoliv důvodu či bez uvedení důvodu.
Dá-li některá ze smluvních stran výpověď, ruší se smlouva uplynutím výpovědní doby, která činí šest (6) měsíců. Výpovědní doba počíná běžet od prvního (1.) dne kalendářního měsíce následujícího po měsíci, ve kterém byla výpověď doručena druhé smluvní straně, a skončí posledním dnem šestého (6.) měsíce.
Právem některé smluvní strany dát druhé smluvní straně výpověď není nijak dotčeno právo odstoupit od smlouvy.
Smluvní strany mohou odstoupit od smlouvy z důvodů upravených v příslušných právních předpisech a z důvodů uvedených v této smlouvě. Odstoupení musí být učiněno v písemné formě a musí být odesláno druhé smluvní straně.
Objednatel je oprávněn odstoupit od smlouvy v případě, že se Poskytovatel ocitne v situaci, ohrožující řádné plnění povinností ze smlouvy, tedy zejména v případě zrušení Poskytovatele bez právního nástupce, úpadku Poskytovatele, zahájení insolvenčního řízení se Poskytovatelem, ztráty nebo pozastavení oprávnění k výkonu činnosti, která je předmětem této smlouvy. Objednatel je rovněž oprávněn odstoupit od smlouvy v případě, že průběžné plnění povinností Poskytovatele bude vyvolávat důvodné pochybnosti Objednatele o řádném a včasném splnění povinností Poskytovatele, a Poskytovatel v poskytnuté lhůtě v délce nejméně deseti (10) dnů nezjedná nápravu svých případných nedostatků v postupu plnění své povinnosti a nepředloží Objednateli dostatečná ujištění o své schopnosti dostát svým povinnostem. Objednatel je rovněž oprávněn odstoupit od smlouvy v případě prodlení Poskytovatele se splněním své povinnosti ve lhůtě sjednané v této smlouvě po dobu nejméně deseti (10) dnů.
Odstoupení od smlouvy nabývá účinnosti dnem doručení oznámení o odstoupení druhé smluvní straně a práva a povinnosti zanikají ke dni účinnosti oznámení o odstoupení. Jestliže se oznámení o odstoupení nepodaří doručit druhé smluvní straně, nabývá odstoupení od smlouvy účinnosti sedmý (7.) den po jeho odeslání druhé smluvní straně.
Odpovědnost za újmu a sankce
Smluvní strany si vzájemně odpovídají za újmu (včetně újmy nemajetkové), kterou způsobí druhé smluvní straně porušením právní povinnosti. Odpovědnost smluvních stran za újmu způsobenou v souvislosti s touto smlouvou se řídí příslušnými právními předpisy České republiky.
Každá ze smluvních stran je povinna předcházet vzniku újmy, učinit vhodná a přiměřená opatření k odvrácení hrozící újmy a v případě vzniku újmy učinit veškerá rozumně požadovatelná opatření k tomu, aby rozsah škody byl co nejnižší, a současně nahradit újmu (včetně újmy nemajetkové), která druhé smluvní straně vznikla.
Poskytovatel je povinen zaplatit Objednateli smluvní pokutu ve výši 50.000,- Kč (slovy padesát tisíc korun českých) za každý započatý kalendářní den prodlení se splněním své povinnosti ve lhůtě sjednané v této smlouvě.
Poskytovatel je povinen zaplatit Objednateli smluvní pokutu ve výši 1.000.000,- Kč (slovy jeden milion korun českých) za každý případ porušení povinnosti podle článku 12 této smlouvy.
Poskytovatel se zavazuje plnit povinnosti, jejichž splnění je utvrzeno smluvní pokutou, i po zaplacení smluvní pokuty. Poskytovatel se zavazuje plnit smluvní pokutu bez ohledu na své zavinění a bez ohledu na okolnosti vylučující odpovědnost.
Ujednání o smluvní pokutě nebo zaplacení smluvní pokuty nezbavuje Poskytovatele povinnosti k náhradě újmy (včetně újmy nemajetkové) způsobené Objednateli porušením povinnosti utvrzené smluvní pokutou. Objednatel je oprávněn požadovat vedle smluvní pokuty i náhradu způsobené újmy (včetně újmy nemajetkové). Poskytovatel je povinen nahradit Objednateli způsobenou újmu v plné výši, a to i pokud převyšuje smluvní pokutu. Za újmu se považují také veškeré sankční platby, které bude Objednatel povinen uhradit orgánům veřejné moci v souvislosti s porušením povinnosti Objednatele, pokud porušení takové povinnosti Objednatele bude zapříčiněno porušením povinnosti Poskytovatele dle této smlouvy.
Smluvní pokuta je splatná nejpozději do sedmi (7) dnů poté, co Poskytovatel poruší smluvní povinnost, jejíž splnění je utvrzeno smluvní pokutou. Bez ohledu na ujednání předchozí věty je smluvní pokuta vždy splatná nejpozději do sedmi (7) dnů poté, co Objednatel požádá Poskytovatele o zaplacení smluvní pokuty.
Smluvní strany se zavazují zaplatit druhé smluvní straně úrok z prodlení ve výši 0,05 % z dlužné částky za každý započatý den prodlení se splněním své peněžité povinnosti dle této smlouvy.
Za porušení právní povinnosti ve smyslu této smlouvy se rovněž považuje, jestliže se některé prohlášení Poskytovatele, učiněné v této smlouvě, ukáže být nepravdivým, nepřesným či zavádějícím (dále též jen „Porušení prohlášení“). Poskytovatel se zavazuje nahradit Objednateli újmu (včetně újmy nemajetkové), která mu vznikne v příčinné souvislosti s Porušením prohlášení, neboť Porušení prohlášení se považuje za porušení povinnosti Poskytovatele jednat poctivě, čestně, svědomitě, s péčí řádného hospodáře a v souladu se zásadami poctivého obchodního styku a dále za porušení povinnosti Poskytovatele předcházet hrozícím újmám.
Komunikace a jednání smluvních stran
Má-li být dle této smlouvy doručeno oznámení, žádost či jiné sdělení druhé smluvní straně v písemné formě, zašle odesílající strana tuto zásilku doporučenou poštou, datovou schránkou, e-mailem nebo ji předá osobně oprávněnému zástupci druhé smluvní strany proti potvrzení o převzetí.
V případě, že adresát zásilky odmítne tuto bezdůvodně převzít, má se za to, že zásilka byla doručena dnem, kdy byla bezdůvodně odmítnuta. V případě, že zásilka bude uložena pro adresáta u osoby pověřené jejím doručením, má se za to, že zásilka byla doručena třetí (3.) den po jejím uložení. Tímto ustanovením není nijak dotčen odst. 8.8. této smlouvy.
Smluvní strany uvedly za účelem doručování ve smyslu odst. 10.1. této smlouvy následující kontaktní údaje:
Objednatel: [doplnit název Objednatele]
[doplnit ulici]
[doplnit PSČ a město]
[doplnit stát]
Fax: + ### / ##########
E-mail: ##########
Poskytovatel: [doplnit název Poskytovatele]
[doplnit ulici]
[doplnit PSČ a město]
[doplnit stát]
Fax: + ### / ##########
E-mail: ##########
V ostatních případech neupravených v odst. 10.1. této smlouvy či uvedených v jiných ustanoveních této smlouvy může komunikace mezi smluvními stranami (resp. jejich oprávněnými zástupci) probíhat též ústní formou (zejména též prostřednictvím telefonů) či elektronickou formou (e-mailová komunikace).
Za jednání smluvních stran dle této smlouvy se vedle jednání statutárních orgánů smluvních stran rozumí ve smyslu ustanovení § 430 občanského zákoníku též jednání oprávněných zástupců pověřených smluvní stranou, aby za ni jednala v záležitostech týkajících se této smlouvy a jejího plnění.
Smluvní strany tímto jmenují a pověřují osoby oprávněné vzájemně jednat v záležitostech týkajících se plnění této smlouvy:
10.6.1. za Objednatele bude jednat ve věci plnění této smlouvy jako zástupce: [doplnit údaje o zástupci Objednatele].
10.6.2. za Poskytovatele bude jednat ve věci plnění této smlouvy jako zástupce: [doplnit údaje o zástupci Poskytovatele].
Smluvní strany se dohodly, že veškerá oznámení, žádosti či sdělení dle této smlouvy budou činěna v českém jazyce. V českém jazyce bude probíhat též jiná komunikace mezi smluvními stranami vedená v souvislosti s touto smlouvou.
Smluvní strany se zavazují, že oznámí neprodleně druhé smluvní straně změnu jakéhokoliv z výše uvedených kontaktních údajů či změnu pověřených osob ve smyslu odst. 10.6. této smlouvy. Tyto změny nepodléhají schválení druhou smluvní stranou a nepovažují se za změnu této smlouvy ve smyslu odst. 13.4. této smlouvy.
Smluvní strany se dohodly na vytvoření pracovního týmu (dále též jen „Projektový tým“), který bude vzájemně úzce spolupracovat při plnění technických, provozních či organizačních úkolů dle této smlouvy a účastnit se pravidelných koordinačních schůzek. Ze strany Objednatele budou tvořit Projektový tým pověřená osoba dle odst. 10.6.1. této smlouvy, zaměstnanci oddělení IT a další pověřené osoby podílející se na plnění úkolů Objednatele v oblasti kybernetické bezpečnosti, přičemž osobou pověřenou v rámci Projektového týmu ke koordinaci jednotlivých úkolů a komunikaci se Poskytovatelem je pověřená osoba dle odst. 10.6.1. této smlouvy. Ze strany Poskytovatele tvoří Projektový tým pověřená osoba dle odst. 10.6.2. této smlouvy a dále _______________ [doplní účastník], přičemž osobou pověřenou v rámci Projektového týmu ke koordinaci jednotlivých úkolů a komunikaci s Objednatelem je pověřená osoba dle odst. 10.6.2. této smlouvy. Každá smluvní strana je oprávněna označit další osoby, které budou členy Projektového týmu, a osoby pověřené plněním jejích jednotlivých technických, provozních či organizačních úkolů. Jakoukoliv změnu ve složení těchto osob je každá smluvní strana povinna předem písemně oznámit druhé smluvní straně, aniž by se to považovalo za změnu této smlouvy.
Projektový tým především řeší a projednává běžné technické, provozní a organizační úkoly, otázky a problémy, ke kterým obvykle dochází při správě, provozu a podpoře informačních a komunikačních systémů a souvisejících informačních a komunikačních technologií (včetně výpočetní techniky) a které mají dopady do oblasti kybernetické bezpečnosti. Projektový tým se poprvé sejde do pěti (5) pracovních dnů od účinnosti této smlouvy a dále se bude scházet průběžně zpravidla alespoň jednou měsíčně s tím, že za konání jednání Projektového týmu, rozesílání pozvánek na jednání Projektového týmu (včetně programu daného jednání) a sepisování zápisů z jednání Projektového týmu odpovídá Poskytovatel. Poskytovatel je povinen doručit členům Projektového týmu za Objednatele pozvánku na jednání Projektového týmu alespoň tři (3) pracovní dny předem a je povinen zaslat jim zápis z jednání Projektového týmu nejpozději do tří (3) pracovních dnů po skončení jednání Projektového týmu. Projektový tým Objednatele je povinen se k zápisu z jednání Projektového týmu vyjádřit do tří (3) pracovních dnů po jeho doručení, pokud si v této době nevyhradí delší lhůtu pro vyjádření k zápisu z jednání Projektového týmu. Jednání Projektového týmu se nekoná, pokud se z vážných důvodů omluví z účasti na jednání Projektového týmu vedoucí tohoto týmu za některou ze smluvních stran a není možné jeho nepřítomnost odpovídajícím způsobem nahradit účastí zastupujícího člena Projektového týmu za danou smluvní stranu.
Právní nástupnictví
Smluvní strany se dohodly a souhlasí, že práva a povinnosti Objednatele upravená touto smlouvou přecházejí na jeho právní nástupce, pokud dříve nezanikla.
Poskytovatel se zavazuje, že nebude klást překážky převodu či přechodu práv a povinností Objednatele upravených touto smlouvou na právního nástupce Objednatele, jakož i na osobu či osoby, které budou součástí téhož koncernu jako Objednatel, a že za tím účelem poskytne Objednateli potřebnou součinnost.
Ochrana informací
Smluvní strany se zavazují zachovávat mlčenlivost o všech skutečnostech a informacích, o kterých se dozvěděly v souvislosti s touto smlouvou. Povinnost mlčenlivosti se nevztahuje na ty skutečnosti, které jsou nebo se stanou obecně známými, aniž by se tak stalo v důsledku porušení této smlouvy. Smluvní strany prohlašují, že mají zájem zejména na ochraně informací o [doplnit případné údaje podléhající ochraně jako součást obchodního tajemství, jinak zůstane nevyplněno] obsažených v této smlouvě, jejích dodatcích či jiných souvisejících ujednáních, neboť představují součást obchodního tajemství Poskytovatele ve smyslu § 504 občanského zákoníku. Za všech okolností jsou smluvní strany povinny zachovávat výrobní a obchodní tajemství druhé smluvní strany jakož i mlčenlivost o veškerých skutečnostech, které by mohly negativně ovlivnit konkurenceschopnost druhé smluvní strany nebo bezpečnost IKST.
Objednatel má zvláštní zájem na ochraně důvěrnosti informací, které mají dopad na kybernetickou a informační bezpečnost v prostředí Objednatele, včetně informací o informačních a komunikačních systémech a technologiích Objednatele, způsobech jejich ochrany a zabezpečení, o obsahu bezpečnostních politik a dalších interních dokumentů Objednatele upravujících oblast informačních a komunikačních systémů a technologií, a dále má zvláštní zájem na ochraně důvěrnosti informací, které takto budou Objednatelem výslovně označeny.
Smluvní strana, která získala skutečnost či informaci chráněnou dle tohoto článku smlouvy od druhé smluvní strany, se zavazuje zajistit, aby tuto skutečnost či informaci uchoval v tajnosti a nezneužil ji žádný z jejích pracovníků, orgánů nebo členů jejích orgánů bez ohledu na jeho zařazení, který se dostane nebo by se mohl dostat do styku s touto skutečností či informací.
Omezení stanovená v odst. 12.1. a odst. 12.2. této smlouvy se nevztahují na poskytování informací spolupracujícím osobám a/nebo konzultantům obou smluvních stran v potřebném rozsahu, pokud tyto spolupracující osoby a/nebo konzultanti budou zavázáni k ochraně informací nejméně ve stejném rozsahu jako smluvní strany.
Smluvní strany jsou však oprávněny podávat potřebná vysvětlení a údaje příslušným oprávněným státním a veřejným úřadům a institucím v České republice a/nebo oprávněným veřejným úřadům a institucím Evropské unie, jakož i plnit oznamovací povinnosti a uveřejňovat údaje, dokumenty a informace, pokud jsou k tomu povinny dle příslušných obecně závazných právních předpisů.
Získá-li některá smluvní strana od druhé smluvní strany dokumenty, které obsahují skutečnosti či informace chráněné dle tohoto článku smlouvy, bez ohledu na jejich formu, která může být listinná či elektronická, je tato smluvní strana povinna zajistit bezpečné uložení těchto dokumentů tak, aby nemohlo dojít k prozrazení či zneužití chráněných skutečností či informací. Smluvní strany jsou povinny si bez zbytečného odkladu po ukončení této smlouvy vrátit veškeré dokumenty, které obsahují skutečnosti či informace chráněné dle tohoto článku smlouvy, a to bez ohledu na jejich formu, která může být listinná či elektronická.
Smluvní strany se zavazují dodržovat povinnosti uvedené v tomto článku smlouvy po celou dobu trvání smlouvy i po dobu od ukončení této smlouvy.
Poskytovatel se výslovně zavazuje zachovávat mlčenlivost o všech osobních údajích a/nebo jiných údajích chráněných zvláštními právními předpisy, se kterými se případně dostane do styku při plnění této smlouvy. Poskytovatel se zavazuje po ukončení této smlouvy odstranit veškeré údaje a data uložená ve své výpočetní technice a/nebo na paměťových mediích nebo uložená v listinné podobě tak, aby tyto údaje a data nebylo možno žádným způsobem zneužít, obnovit a/nebo s nimi dále jakkoli nakládat. V případě zpracování osobních údajů Poskytovatelem v souvislosti s plněním této smlouvy je Poskytovatel povinen postupovat v souladu s nařízením (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Nařízení GDPR“), a na žádost Objednatele s ním neprodleně uzavřít smlouvu o zpracování osobních údajů.
Při nakládání s osobními údaji a/nebo jinými údaji chráněnými zvláštními právními předpisy, se kterými se případně Poskytovatel dostane do styku při plnění této smlouvy, je vždy rozhodujícím hlediskem ochrana práv a zájmů Objednatele.
Závěrečná ustanovení
Smluvní strany prohlašují, že si tuto smlouvu přečetly, že s jejím obsahem souhlasí a že vyjadřuje jejich pravou, svobodnou a vážnou vůli. Smluvní strany dále prohlašují, že tuto smlouvu neuzavřely v tísni ani za nápadně nevýhodných podmínek. Na důkaz toho připojují jejich oprávnění zástupci své elektronické podpisy.
Pokud v této smlouvě není stanoveno jinak, řídí se právní vztahy z ní vzniklé právním řádem České republiky, zejména zákonem č. 89/2012 Sb., občanským zákoníkem, ve znění pozdějších předpisů.
Tato smlouva představuje úplnou dohodu smluvních stran o předmětu této smlouvy a nahrazuje veškerá předešlá ujednání smluvních stran ústní i písemná týkající se předmětu této smlouvy.
Tato smlouva může být měněna pouze písemnými, číslovanými dodatky, uzavřenými na základě dohody obou smluvních stran.
Neplatnost, neúčinnost či nevymahatelnost jednotlivého ustanovení této smlouvy, nezpůsobuje neplatnost, neúčinnost či nevymahatelnost smlouvy jako celku. Smluvní strany se zavazují takové ustanovení nahradit bez zbytečného odkladu jiným ustanovením, které bude platné, účinné a vymahatelné a které svým obsahem bude nejvíce odpovídat smyslu a účelu původního ustanovení a této smlouvy. Toto ustanovení smlouvy se přiměřeně použije i při eventuálním doplnění chybějících částí smlouvy.
Smluvní strany se zavazují řešit případné spory vzniklé z této smlouvy smírem v souladu s účelem této smlouvy. Dožádaná smluvní strana je povinna se zúčastnit jednání o vyřešení sporu do jednoho (1) týdne od požádání druhou smluvní stranou. Nepodaří-li se vyřešit případný spor smírnou cestou, bude spor mezi smluvními stranami projednán a rozhodnut před věcně příslušným soudem určeným podle sídla Objednatele.
Nedílnou součástí této smlouvy jsou její Příloha č. 1 – Podrobná specifikace služeb bezpečnostního dohledového centra a Příloha č. 2 – Odměna za poskytované služby [tuto přílohu bude tvořit vyplněná Příloha č. 3 zadávací dokumentace – Krycí list dle nabídky vybraného dodavatele]. Smluvní strany prohlašují, že se s touto přílohou řádně seznámily a že porozuměly jejímu obsahu.
Tato smlouva byla sepsána elektronicky v jednom (1) vyhotovení v českém jazyce, které je opatřeno elektronickými podpisy oprávněných zástupců obou smluvních stran. Každá ze smluvních stran obdrží jedno (1) elektronické vyhotovení této smlouvy opatřené elektronickými podpisy oprávněných zástupců obou smluvních stran.
-------- konec smlouvy o poskytování služeb bezpečnostního dohledového centra ---------
Poskytovatel:
V ____________ dne ________
|
Objednatel:
V ____________ dne __________
|
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
Příloha č. 1
Podrobná specifikace služeb bezpečnostního dohledového centra
dle odstavce 3.2. smlouvy o poskytování služeb bezpečnostního dohledového centra
ze dne ______ 2024
Základní požadavky na služby
Požadované činnosti/služby |
Služby SOC musí být zajišťovány na území České republiky |
Služby SOC budou dostupné v českém jazyce |
Poskytovatel poskytne Objednateli bezpečné úložiště pro sdílení dokumentů k poskytované službě |
Bezpečnostní dohled – zajištění správy a provozu nástroje SIEM |
Síťový dohled – Poskytnutí centralizované správy, ukládání a vyhodnocování komunikačních spojení a výkonnostních parametrů datové sítě |
Návrhy systematických opatření – Příprava opatření v rámci technické a organizační úrovně pro posouzení Objednatelem |
Incident management (bezpečnostní incidenty) – Zajištění operátorské činnosti, incident response a incident handling |
Analýza bezpečnostních incidentů – Poskytovatel služby zajistí odbornou činnost v rámci detekce a lokalizace příčin incidentů analytikem |
Řešení bezpečnostních incidentů – Poskytovatel zajistí odbornou činnost pro rozlišení na interní a externí příčiny incidentů a k nim příslušných opatření |
Reporting událostí a bezpečnostních incidentů – Poskytovatel zajistí schopnost doložit úroveň bezpečnosti vůči interním kontrolním procesům nebo externím kontrolním autoritám |
Požadavky ZoKB – personální zajištění služby pracovníky Poskytovatele s odbornou způsobilostí vyhovující požadavkům kybernetické bezpečnosti v souladu s požadavky zákona o kybernetické bezpečnosti č. 181/2014 Sb. v rámci kompletního průběhu služby vč. jejich procesů |
Xxxxxx se ZoKB – všechny parametry služeb musí na úrovní technologií i procesů plnit požadavky na zajištění dostatečné úrovně informační bezpečnosti, zejména dostupnost, důvěrnost, autentizaci, autorizaci a integritu |
Business Continuity – všechny služby včetně jejich komponent musí být odolné proti výpadkům a poruchám. Komponenty musí být také schopny dlouhodobého provozu bez úbytku výkonu. |
Adaptace sdílených procesů – Poskytovatel zajistí úpravu procesů na jeho straně a návrh jejich integrace s relevantními procesy na straně Objednatele |
Poskytovatel před podpisem smlouvy umožní Objednateli navštívit bezpečnostní dohledové centrum pro možnost ověření plnění jeho požadavků. |
Požadovaná podpora SOC
Požadované činnosti/služby |
Tiketovací systém – Poskytovatel zajistí službu kompletní správy požadavků, včetně historie požadavků a jejich řešení v online režimu |
Proaktivní komunikace, zakládání tiketů a jejich řešení včetně komunikace s třetími stranami jako např. NÚKIB, NBU, CSIRT atd. |
Přístup Objednatele k podpoře Incident response (helpdesk, telefon, email) na členy CSIRT týmu Poskytovatele |
Přístup Objednatele k podpoře provozu systémů (helpdesk) |
Přístup administrátorů Objednatele ke sledovaným parametrům služby ve formě grafického rozhraní (dashboard) minimálně v režimu čtení |
Notifikace odpovědných osob Objednatele o vzniku bezpečnostního incidentu v reálném čase za pomocí základních komunikačních nástrojů (telefon, SMS) |
Reporting – Poskytovatel 1x měsíčně poskytne Objednateli report, který bude obsahovat:
|
Služba zajistí srovnání neobvyklých počtů událostí oproti jinému období z minulosti. |
Služba zajistí jednotnou evidenci kategorií aktiv. Poskytovatel bude podle těchto kategorií vytvářet další pravidla nebo reporty v prostředí Objednatele. |
Poskytovatel zajistí zprovoznění nástrojů SIEM a sběru a vyhodnocení síťového provozu jako základních zdrojů dat a bude s nimi komunikovat průmyslově standardními protokoly |
Služba umožní detekci užití privilegovaných přístupů pro konkrétní uživatele v systémech Objednatele |
Údržba – V režimu údržby ohlášené Objednatelem musí být služba schopna běhu, kdy nebudou v rámci údržby zdrojů/aktiv vyhlašovány alerty |
Monitoring a detekce:
|
|
Požadavky na zajištění služeb bezpečnostního dohledového centra (SOC)
Poskytovatel provede návrh cílového řešení systému jednotného dohledu a postup implementace včetně harmonogramu implementačních aktivit.
Níže jsou uvedeny požadavky Objednatele na konkrétní služby bezpečnostního dohledového centra, které budou zajišťovány pro Objednatele. Sloupec parametr služby definuje hrubý odhad součtu požadovaných parametrů pro danou službu pro všechny nemocnice (je-li to pro danou službu relevantní), případně bude upřesněno individuálně na vstupním workshopu mezi Poskytovatelem a Objednatelem.
Hlavní služby:
Oblast |
Služba |
Poznámka |
Log Management |
Sběr a ukládání logů |
|
Agregace, normalizace (parsing), kategorizace, enrichments |
|
|
Retence logů |
Min. 18 měsíců |
|
Sběr a archivace logů v raw formátu |
|
|
Certifikované úložiště |
|
|
Pravidelná hlášení o provozu technologií |
Report 1x měsíčně |
|
Provozní monitoring |
Report |
|
Exit služby bezpečnostního sběru a předání logů |
|
|
SIEM |
Analytická činnost |
|
Koordinace řešení bezpečnostního incidentu |
|
|
Návrh technických opatření na základě identifikovaných kybernetických incidentů |
|
|
Sledování trendů v oblasti kybernetické bezpečnosti |
|
|
Reporting |
1x měsíčně |
|
AddHoc Reporting |
|
|
Auditní záznam bezpečnostních událostí |
|
|
Trendy |
|
|
Threat inteligence |
|
|
Real time monitoring |
|
|
Nonreal time monitoring |
|
|
Incident Management |
|
|
Detekce anomálií |
|
|
Detekce Ransomware |
|
|
Detekce Spam, Mallware |
|
|
IP reputace |
|
|
Úprava a nasazování korelačních pravidel |
|
|
Vyhodnocování bezpečnostních událostí |
|
|
Exit služby bezpečnostního dohledu |
|
Vedlejší dílčí služby
Oblast |
Služba |
Poznámka |
Tým L1 - služba |
Prvotní filtr při řešení události |
24x7 |
Sledování dashboardů a info kanálů |
24x7 |
|
Zakládání ticketů pro bezpečnostní události |
24x7 |
|
Příprava podkladů pro analýzu bezpečnostních událostí |
|
|
Identifikace false-positive |
|
|
Režim aktivního monitoringu |
24x7 |
|
Tým L2 - služba |
Bezpečnostní dohled/monitoring v rámci NDR/EDR/XDR platforem |
24x7 |
Prošetřování incidentů |
24x7 |
|
Threat hunting |
24x7 |
|
Návrh a implementace protiopatření, nových use cases |
|
|
Návrh, úprava a nasazení korelačních pravidel |
|
|
Reporting (pravidelný, jednorázový) |
1x / měsíc |
|
Komunikace se zákazníkem |
|
|
Expertní podpora |
Bezpečnostní architektura |
1MD / měsíc |
Bezpečnostní konzultace |
||
Architektura technického řešení - nástrojů |
||
Tvorba a úprava korelačních pravidel |
||
Design, návrh a testování automatizovaných procesů response |
||
Integrace a nasazení dalších bezpečnostních nástrojů |
||
EDR |
Endpoint detection and response |
|
Threat inteligence |
|
|
Real+time monitoring |
|
|
Incident Management |
|
|
Detekce anomálií |
|
|
Detekce Ransomware |
|
|
Prevenční možnosti |
|
|
Automatický update signatur a bezpečnostních hrozeb |
|
|
podpory vyšetřování a systémového managementu |
|
|
IOC a YARA indikátory pro operační systémy Windows, Linux a MacOS |
|
|
NDR |
Network detection and response |
|
EPP |
Endpoint protection |
|
Detekce Spam, Mallware |
|
|
IDS/IPS (Vyhl. č. 181/2018 Sb., § 18) |
Monitoring síťového provozu, reakce a zabránění na základě hrozeb |
|
Firewall |
Perimetrická ochrana |
|
Offensive security center - Kybernetické testování |
Kontrola přítomnosti přihlašovacích účtů zákazníka v databázích úniků |
|
Testování účinnosti hesel |
|
|
Zranitelnostní skenování infrastruktury, vybraných IS a aplikací zákazníka |
1x / rok |
|
Penetrační testování infrastruktury, vybraných IS a aplikací zákazníka |
1x / rok |
|
Testování IS, infrastruktury a aplikací před nasazením do provozu |
1 MD / rok |
|
Offensive security center - Sociální inženýrství |
Phishingové kampaně |
2x / rok |
Vishing a smshing |
2x / rok |
|
Využívání sociálních sítí a alternativních webů pro získání informací, přístupů a dat |
2x / rok |
|
Využívání ostatních technik sociálního inženýrství pro získání informací, přístupů a dat |
2x / rok |
|
DDoS |
Denial-of-service (služby serverů) |
Počet chráněných adres 85 za všechny jihočeské nemocnice |
Digital Forensics |
Zajištění vyšetření a důkazního materiálu v součinnosti s Objednatelem |
|
SLA a postupy výkonu služeb
Požadované činnosti/služby |
Poskytovatel provozuje vlastní bezpečnostní dohledovou službu v režimu 24x7x365 na úrovni systémů, s minimální dostupností operátorů SOC v režimu 24x7x365. Minimální dostupnost Analytiků/expertů (pro služby Tým L1 služba, Tým L2 služba) bezpečnosti v pracovní dny od 9:00 do 22:00 hod. a pohotovostí v pracovní dny od 22:00 do 9:00 hod. včetně sobot, nedělí a svátků. |
Kontaktní údaje Poskytovatele pro účely hlášení událostí Objednatelem:
Helpdesk: [doplní účastník] Telefon: [doplní účastník] Email: [doplní účastník]
Kontaktní údaje Objednatele pro účely hlášení Poskytovatele:
Helpdesk: [doplní účastník] Telefon: [doplní Objednatel před podpisem] Email: [doplní Objednatel před podpisem smlouvy]
|
Pro detekované anomálie v bezpečnostních systémech prochází Poskytovatel služby následným postupem k určení kategorií kybernetických bezpečnostních událostí a incidentů (dle VoKB) podle následků a negativních projevů pro doporučení opatření či součinnosti v následné reakci: |
Fáze Detekce
|
Fáze Přiřazení
|
Fáze Analýza
Podle příčiny:
Podle dopadu:
|
Kategorie III – velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu, včetně minimalizace vzniklých i potenciálních škod (v rámci tohoto incidentu je okamžitě kontaktován ICT zástupce Objednatele prostřednictvím kontaktních údajů uvedených výše). |
Kategorie II – závažný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického incidentu včetně minimalizace vzniklých škod (v rámci tohoto incidentu je bezodkladně kontaktován ICT zástupce Objednatele prostřednictvím kontaktních údajů uvedených výše, nejpozději však do 30 minut). |
Kategorie I – méně závažný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod (v rámci tohoto incidentu je nejpozději následující pracovní den kontaktován ICT zástupce Objednatele prostřednictvím helpdesku uvedeného výše). Jedná se o bezpečnostní incidenty, které nespadají do kategorií III a II. |
Znalostní podpora a provedení nezbytných úkonů při ukončení smlouvy a předání služeb na jiného Poskytovatele
Podpora a provedení nezbytných úkonů při ukončení smlouvy a předání služeb na jiného Poskytovatele bude navržena stávajícím Poskytovatelem a schválena Objednatelem.
Další obecné požadavky
výstupy naplní požadavky vyhlášky č. 82/2018 Sb. o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „VoKB“), a budou obsahovat všechny náležitosti dle § 5 Řízení rizik VoKB
požadujeme konzultanty se zaměřením na znalost problematiky organizace a řízení (včetně legislativy) na úrovni konkrétních procesů nezbytných pro zajištění informační a kybernetické bezpečnosti, a expertní znalost bezpečnostní architektury na úrovni konkrétního nastavení jednotlivých IT nástrojů nezbytných pro zajištění informační a kybernetické bezpečnosti
Seznámení s prostředím Objednatele
předmětem seznámení budou informační a komunikačními systémy a technologie, dále s procesy a dokumentace Objednatele, které se vztahují k oblasti kybernetické bezpečnosti a řízení rizik
předmětem seznámení budou dále též legislativní, organizační, procesní, architektonická opatření až na úroveň konkrétních užívaných technologií a s nimi spjatých pracovních postupů
[bude dále doplněno dle nabídky vybraného dodavatele v souladu s podmínkami zadávací dokumentace]
Poskytovatel:
V ____________ dne ________
|
Objednatel:
V ____________ dne __________
|
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
Příloha č. 2
Odměna za poskytované služby
dle odstavce 7.3. smlouvy o poskytování služeb bezpečnostního dohledového centra
ze dne ______ 2024
[bude doplněno dle Přílohy č. 3 zadávací dokumentace – Krycí list vybraného dodavatele]
Poskytovatel:
V ____________ dne ________
|
Objednatel:
V ____________ dne __________
|
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
............................................. [jméno, příjmení] [funkce] [obchodní firma] |
Strana 26 (celkem 26)