Smlouva o poskytOVÁNÍ služEB uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „Smlouva“) mezi těmito smluvními stranami:

ZD Příloha č. 3 „Služba pro řízení technických zranitelností IS a služby podpory na 36 měsíců“

Smlouva o poskytOVÁNÍ služEB

uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „Smlouva“) mezi těmito smluvními stranami:

Státní zemědělský intervenční fond (SZIF)

se sídlem: Xx Xxxxxxxx 000/00, 000 00 Xxxxx 0

zastoupen: Ing. Xxxxxx Xxxxxxx MBA, generálním ředitelem

IČO: 48133981

DIČ: CZ48133981

bankovní spojení: Česká národní banka

číslo účtu: 000-3926001/0710

xxxxxx xxxxxxxx: jn2aiqd

(dále jen „Objednatel“)

a

[DOPLNÍ DODAVATEL]

se sídlem: [DOPLNÍ DODAVATEL]

zastoupen: [DOPLNÍ DODAVATEL]

IČO: [DOPLNÍ DODAVATEL]

DIČ: [DOPLNÍ DODAVATEL]

zápis v OR: vedeném [DOPLNÍ DODAVATEL] soudem v [DOPLNÍ DODAVATEL] v oddíle [DOPLNÍ DODAVATEL] vložce č. [DOPLNÍ DODAVATEL]

bankovní spojení: [DOPLNÍ DODAVATEL]

číslo účtu: [DOPLNÍ DODAVATEL]

xxxxxx xxxxxxxx: [DOPLNÍ DODAVATEL]

(dále jen „Poskytovatel“)

(Objednatel a Poskytovatel dále jednotlivě též jen „Smluvní strana“ nebo společně „Smluvní strany“)

1. Úvodní ustanovení

   1. Smluvní strany se dohodly, že se jejich závazkový vztah řídí zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „ObčZ“).

   2. Smluvní strany prohlašují, že jejich identifikační údaje uvedené v záhlaví Smlouvy jsou v souladu s právními skutečnostmi v době uzavření Smlouvy. Smluvní strany se zavazují, že změny dotčených údajů oznámí písemně bez prodlení druhé Smluvní straně. V případě změny účtu Poskytovatele je Poskytovatel povinen rovněž doložit vlastnictví k novému účtu, a to kopií příslušné smlouvy nebo potvrzením peněžního ústavu. Při změně identifikačních údajů Smluvních stran včetně změny účtu není nutné uzavírat ke Smlouvě dodatek.

   3. Smluvní strany prohlašují, že osoby podepisující Smlouvu jsou k tomuto úkonu oprávněny.

   4. Smlouva je uzavřena na základě výsledků výběrového řízení na veřejnou zakázku s názvem: „Služba pro řízení technických zranitelností IS a služby podpory na 36 měsíců“, Systémové číslo E-ZAK: xxxxxxxxxx, ev. č. VVZ: xxxxxxx (dále jen „Veřejná zakázka“). Jednotlivá ujednání Xxxxxxx budou vykládána v souladu s podmínkami Xxxxxxx zakázky a nabídkou Dodavatele podanou ve výběrovém řízení na Veřejnou zakázku. 

   5. Pro vyloučení jakýchkoliv pochybností o vztahu Smlouvy a zadávacích podmínek Veřejné zakázky, na základě které byla Smlouva uzavřena (, Smluvní strany stanovují tato výkladová pravidla:

      1. v případě jakékoliv nejistoty ohledně výkladu ustanovení Smlouvy budou tato ustanovení vykládána tak, aby v co nejširší míře zohledňovala účel Veřejné zakázky vyjádřený v zadávacích podmínkách;

      2. v případě chybějících ustanovení Smlouvy budou použita dostatečně konkrétní ustanovení zadávacích podmínek Veřejné zakázky;

      3. v případě rozporu mezi ustanoveními Smlouvy a zadávacími podmínkami Xxxxxxx zakázky budou mít přednost ustanovení Smlouvy.

   6. Poskytovatel prohlašuje, že disponuje takovým technickým vybavením, kapacitami a odbornými znalostmi, které jsou nezbytné pro realizaci předmětu Smlouvy za smluvní cenu uvedenou ve Smlouvě.

   7. Poskytovatel se zavazuje plnit předmět Smlouvy v souladu s platnými právními předpisy, jakož i v souladu se všemi normami obsahujícími technické specifikace a technická řešení, technické a technologické postupy nebo jiná určující kritéria k zajištění, že postupy a služby, případně materiály či výrobky, vyhovují předmětu Smlouvy a veškerým zadávacím podmínkám Veřejné zakázky. Poskytovatel se dále zavazuje, že:

      1. jím poskytnuté plnění dle Smlouvy bude splňovat požadavky na informační systémy dle zákona č. 365/2000 Sb., o informačních systémech veřejné správy, ve znění pozdějších předpisů, a návazných prováděcích předpisů;

      2. jím poskytnuté plnění dle Smlouvy bude splňovat podmínky a požadavky na bezpečnost informačních systémů dle normy ČSN ISO/IEC 27001 v platném znění, v souladu se závazky Objednatele vyplývajícími z nařízení Evropského parlamentu a Rady (EU) č. 2021/2116 ze dne 2. prosince 2021 a nařízení Komise v přenesené pravomoci (EU) č. 2022/127 ze dne 7. prosince 2021 a prováděcího nařízení Komise (EU) č. 2022/128 ze dne 21. prosince 2021;

      3. jím poskytnuté plnění dle Smlouvy bude splňovat podmínky a požadavky stanovené v zákoně č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, a v příslušných prováděcích předpisech;

      4. bude poskytovat plnění dle Smlouvy v souladu se Smlouvou a veškerými jejími přílohami a českými i evropskými právními předpisy platnými a účinnými v době poskytování plnění dle Xxxxxxx.

2. Předmět Smlouvy

   1. Předmětem Smlouvy je závazek Poskytovatele poskytovat Objednateli za podmínek uvedených ve Smlouvě služby automatizovaného testování a řízení technických zranitelností a penetračního testování informačního systému (dále jen „Řízení technických zranitelností IS“) Objednatele, včetně technické a uživatelské podpory procesů.

Nezbytnou součástí předmětu Smlouvy je zajištění časově omezeného přístupu Objednatele k využití služeb nástroje [DOPLNí DODAVATEL] a poskytnutí uživatelské a technické podpory po dobu trvání Smlouvy.

2. Součástí poskytovaných služeb dle předmětu Xxxxxxx jsou především tyto služby a požadavky Objednatele:

   1. služby nástroje [DOPLNí DODAVATEL] využívané v rámci procesu kybernetické bezpečnosti Řízení technických zranitelností IS;

   2. aktualizace procesu Řízení technických zranitelností IS, včetně revize (aktualizace) interní směrnice procesu;

   3. dodání SW licencí a pronájem potřebného HW po dobu trvání Smlouvy;

   4. zajištění dostupnosti, systémové (technické) podpory a metodického řízení procesu Řízení technických zranitelností IS po dobu trvání Smlouvy.

   5. zajištění uživatelské podpory a dalšího školení nových uživatelů procesů dle požadavků Objednatele v rozsahu max. 6 hod. ročně;

   6. skenování vybraných koncových zařízení s využitím základního skenování po síti, s možností využít na zařízení nainstalovaného Cloud Agenta;

   7. poskytování služeb tak, aby nebyl narušen provoz technologií ICT a byla zajištěna kontinuita výstupů současného řešení, a to zejména s ohledem na potřeby zajištění kybernetické bezpečnosti;

   8. provoz služby musí být nastaven s ohledem na minimalizaci dopadu provozu služby (skenů) na výkon testovaného zařízení.

4. Další specifikace předmětu Smlouvy obsahující závazné minimální požadavky Objednatele je uvedena v čl. 3 Smlouvy a v Příloze č. 1 Smlouvy – Předmět Smlouvy.

5. Detailní specifikace, obsah, náležitosti a vymezení konkrétního plnění předmětu Smlouvy je uvedeno v nabídce Poskytovatele doplněné v Příloze č. 1 Smlouvy – Technická specifikace.

1. Předmětem Smlouvy je dále závazek Objednatele uhradit Poskytovateli cenu plnění ve výši a způsobem sjednaným ve Smlouvě.

1. Specifikace rozsahu užití služby nástroje [DOPLNí DODAVATEL]

Poskytnutí služby Řízení technických zranitelností IS bude realizováno prostřednictvím služby v rozsahu:

1. Vzhledem ke skenování ze 2 segmentů budou implementovány 2 segmenty testovací zařízení. Zařízení budou umístěné na Centrálním pracovišti Objednatele na adrese Xx Xxxxxxxx 000/00, Xxxxx 0 x x X0 XX Xxxxxx, na adrese X xxxxxx 0000/0, 000 00 Xxxxx 0, Xxxxxx.

2. Skenování zranitelností bude prováděno pro interní IP adres a externích IP adres dle specifikace v Příloze č. 1 této smlouvy.

3. Penetrační testování bude realizováno formou jednotlivých objednávek Odběratele s naceněním pracnosti v čld. ze strany Dodavatele v rozsahu až 210 čld. podle metodiky OWASP, včetně zátěžových testů simulujících souběžnou aktivitu min. 40 tis. uživatelů. Objednatel není povinen využít celý celkový rozsah 210 čld. po dobu trvání smlouvy.

4. Uvedený počet IP adres testovaných z Internetu nebo vnitřní sítě LAN/WAN a celkový počet zapůjčených testovacích zařízení může být, nad rámec odst. 3.2 Smlouvy, v rámci technických možností této služby změněn pouze dodatkem ke Smlouvě, schváleným a podepsaným oběma Smluvními stranami.

5. Testovací zařízení musí Objednatel za odborné pomoci Poskytovatele umístit a připojit do takových segmentů LAN/WAN, aby nastavená IP adresa měla zajištěné nefiltrované routování v rámci protokolu TCP/IP na testované interní IP adresy. Pro zajištění funkčnosti interních testovacích zařízení musí být pro přiřazené IP adresy testovacích zařízení umožněna odchozí komunikace směrem do Internetu po protokolu SSL (TCP port) na Poskytovatelem poskytnutý seznam internetových adres Poskytovatele.

6. V případě použití testovací zařízení typu Appliance musí mít rozměr standardního rackového zařízení s výškou 1RU, napájení standardním PC kabelem 220 V a možnost provozování ve standardním klimatizovaném prostředí serveroven nebo síťových rozvoden s teplotou 0 až 35 stupňů C a vlhkostí 10 až 85 %. Dostatečný prostor a provozní podmínky pro připojení testovacích zařízení zajišťuje Objednatel na své náklady.

7. Fyzický přístup k testovacím zařízením musí Objednatel zajistit pracovníkům Poskytovatele v doprovodu oprávněných osob v rámci plnění předmětu Smlouvy – a to zejména při instalaci a konfiguraci těchto zařízení a při řešení technických problémů s jejich provozem, v souladu s předmětem plnění Smlouvy.

1. Doba a místo plnění

   1. Poskytovatel se zavazuje zahájit implementaci a konfiguraci plnění předmětu Smlouvy dle čl. 2 Smlouvy do 14 kalendářních dní ode dne nabytí účinnosti Smlouvy, nejdříve však dnem 1. 4. 2024.

   2. Nestanoví-li tato Smlouva jinak, jsou místem plnění následující lokality: (i) sídlo Objednatele a (ii) sídlo Poskytovatele nebo jiné pracoviště Poskytovatele.

2. Cena a platební podmínky

   1. Cena za předmět plnění dle čl. 2 Smlouvy za celou dobu trvání Smlouvy je stanovena na základě nabídky Poskytovatele ve výši [DOPLNÍ DODAVATEL] Kč bez DPH, tj. [DOPLNÍ DODAVATEL] Kč vč. DPH ve výši 21 %. Podrobná kalkulace ceny je uvedena v Příloze č. 2 Smlouvy.

   2. Cena uvedená v odst. 5.1 Smlouvy je cenou maximální a nejvýše přípustnou. Součástí ceny uvedené v odst. 5.1 Smlouvy jsou veškeré práce, poplatky a veškeré jiné náklady nezbytné pro řádné a úplné poskytování služeb dle Smlouvy.

   3. Veškeré ceny uvedené ve Smlouvě jsou ceny v korunách českých.

   4. Veškeré ceny je možné v průběhu plnění Smlouvy změnit pouze, pokud dojde v průběhu plnění ke změnám právních předpisů upravujících výši DPH, nebo jiné daně či povinných poplatků souvisejících s předmětem plnění. Změna smluvní ceny bude odpovídat výši změny daně nebo poplatku.

   5. Výsledky poskytnutého plnění dle Smlouvy budou akceptovány Objednatelem na základě akceptační procedury.

   6. Akceptační procedura zahrnuje ověření, zda poskytnuté plnění dle Smlouvy vedlo k výsledku, ke kterému se Smluvní strany zavázaly touto Smlouvou, a to porovnáním skutečných vlastností jednotlivých dílčích výsledků plnění (výstupů) poskytnutých dle Smlouvy s jejich specifikací uvedenou ve Smlouvě.

   7. Objednatel se zavazuje vznést veškeré své výhrady nebo připomínky k první verzi výstupu předloženému dle odst. 5.6 Smlouvy do 10 pracovních dnů od jeho doručení Objednateli. Nevznese-li Objednatel ve lhůtě stanovené v předchozí větě k první verzi výstupu žádné výhrady ani připomínky, považují Smluvní strany výstup v jeho první verzi za Poskytovatelem řádně předaný a Objednatelem řádně převzatý.

   8. Vznese-li Objednatel ve lhůtě stanovené v odst. 5.7 Smlouvy výhrady nebo připomínky k první verzi výstupu, zavazuje se Poskytovatel bez zbytečného odkladu, avšak nejpozději do 5 pracovních dnů od doručení výhrad nebo připomínek k první verzi výstupu Poskytovateli, provést veškeré potřebné úpravy výstupu dle výhrad a připomínek Objednatele a takto upravený výstup předat jako jeho druhou verzi Objednateli k akceptaci.

   9. Objednatel se zavazuje vznést veškeré své výhrady nebo připomínky k druhé verzi výstupu předložené dle odst. 5.8 Smlouvy do 10 pracovních dnů od jeho doručení Objednateli. Nevznese-li Objednatel ve lhůtě stanovené v předchozí větě k druhé verzi výstupu žádné výhrady ani připomínky, považují Smluvní strany výstup ve znění jeho druhé verze za Poskytovatelem řádně předaný a Objednatelem řádně převzatý.

   10. Penetrační testování a konzultace v oblasti bezpečnosti budou realizovány na vyžádání formou jednotlivých objednávek Zadavatele. Poskytovatel objednávku Objednateli potvrdí do dvou pracovních dnů s naceněním pracnosti v čld.

   11. Smluvní strany se zavazují po řádném předání a převzetí výstupu potvrdit předání a převzetí výstupu sepsáním písemného akceptačního protokolu, který za Smluvní strany podepíší oprávněné osoby nejpozději do 1 pracovního dne od řádného předání a převzetí výstupu.

   12. Plnění Poskytovatele dle Smlouvy budou považována za poskytnutá akceptací výstupů, tj. podepsáním písemného akceptačního protokolu dle Smlouvy oběma Smluvními stranami. Tímto se předmětný závazek Poskytovatele stanovený touto Smlouvou považuje za splněný.

   13. Cena za řádně poskytnuté plnění bude Poskytovateli hrazena na základě daňového dokladu - faktury (dále jen „faktura“). Poskytovatel je oprávněn vystavit fakturu takto:

       1. Plnění poskytované na základě čl. 2 Smlouvy bude fakturováno na základě akceptačních protokolů schválených Objednatelem. Povinnou součástí faktury bude akceptační protokol a přehled celkového čerpání poskytnutých služeb odsouhlasený oprávněnou osobou Objednatele.

       2. Cena zahrnuje všechny poplatky určené Poskytovatelem a spojené se zajištěním služby nástroje [DOPLNí DODAVATEL] v rozsahu podle Smlouvy, včetně technické a uživatelské podpory, poplatků za dočasné užívaní testovacího zařízení v souladu s touto Smlouvou, jakož i všechny administrativní a jiné poplatky spojené s dodáním služby Objednateli podle Smlouvy.

       3. Faktury budou Poskytovatelem vystaveny vždy do 7 dní po akceptaci Akceptačního/předávacího protokolu skutečného plnění dle zadaných objednávek. Protokol musí obsahovat čerpané čld a cenu prací (bez DPH/s DPH).

       4. Faktury budou obsahovat základní náležitosti podle zákona č. 235/2004 Sb. o dani z přidané hodnoty, ve znění pozdějších předpisů, a náležitosti podle účetních a daňových předpisů ČR účinných pro dodání služeb v rámci České republiky a do ostatních členských zemí Evropské unie.

       5. Lhůta splatnosti faktury je stanovena na 21 kalendářních dní od doručení faktury Objednateli. Poskytovatel se zavazuje odeslat fakturu Objednateli nejpozději následující pracovní den po jejím vystavení. Faktura bude doručena doporučenou listovní zásilkou, datovou schránkou nebo osobně pověřenému zaměstnanci Objednatele proti písemnému potvrzení převzetí. Totožná lhůta splatnosti je stanovena i pro placení jiných plateb dle Smlouvy (smluvních pokut, úroků z prodlení, náhrady škody apod.).

       6. Nebude-li faktura obsahovat stanovené náležitosti a přílohy, nebo v ní nebudou správně uvedené údaje dle Smlouvy, je Objednatel oprávněn vrátit ji ve lhůtě její splatnosti Poskytovateli. V takovém případě se přeruší běh lhůty splatnosti a nová lhůta splatnosti počne běžet doručením opravené faktury.

       7. Platby peněžitých částek se provádí bankovním převodem na účet druhé Smluvní strany uvedený v záhlaví Smlouvy a na faktuře. Peněžitá částka se považuje za zaplacenou okamžikem jejího odepsání z účtu odesílatele ve prospěch účtu příjemce. Poskytovatel není oprávněn nárokovat bankovní poplatky nebo jiné náklady vztahující se k převodu poukazovaných částek mezi Smluvními stranami na základě Smlouvy.

       8. V případě prodlení kterékoliv Smluvní strany se zaplacením peněžité částky vzniká oprávněné straně nárok na úrok z prodlení dle občanskoprávních předpisů. Tím není omezen ani dotčen nárok na náhradu vzniklé škody.

   14. Poskytovatel prohlašuje, že Objednateli zajištěním služeb řízení technických zranitelností podle Xxxxxxx nevzniknou žádné další povinnosti platit jakékoliv poplatky, zvláště licenční, autorské, případně jiné poplatky Poskytovateli.

   15. Objednatel neposkytuje Poskytovateli na předmět plnění Smlouvy jakékoliv zálohy.

3. Povinnosti Smluvních stran

   1. Poskytovatel se zavazuje k následujícím povinnostem:

      1. Plnění předmětu Xxxxxxx bude poskytnuto tak, že Poskytovatel vytvoří (upraví) uživatelský profil pro požadovaný počet internetových a intranetových IP adres Objednatele a zašle na e-mailovou adresu kontaktní osoby Objednatele administrátorský přihlašovací účet.

      2. Poskytovatel se dále zavazuje provést činnosti dle odst 2.2 Smlouvy a upřesněné v Příloze č. 1 a 2 Smlouvy.

      3. Poskytovatel se zavazuje po dobu trvání Smlouvy poskytovat prostřednictvím služby automatické aktualizace databáze zranitelností ICT systémů, aktualizace verze webového uživatelského rozhraní služby a aktualizace firmware testovacího zařízení (pokud je použito fyzické zařízení) do 3 pracovních dnů ode dne, kdy budou výrobcem uvolněny k distribuci.

      4. Poskytovatel se zavazuje po dobu plnění Smlouvy poskytovat uživatelskou a technickou podporu formou „Help-Desku“ s provozní dobou v pracovních dnech od 9.00 do 17.00 hod, se zaručenou dobou odezvy na oznámení problému do druhého pracovního dne.

      5. Poskytovatel se v případě závady na testovacím zařízení zavazuje zajistit výměnu vadného zařízení za bezvadné do 10 pracovních dní od oznámení závady Objednatelem.

      6. Poskytovatel se zavazuje po celou dobu trvání Smlouvy dodržovat bezpečnostní, hygienické, požární, organizační a ekologické předpisy na pracovištích Objednatele, se kterými byl seznámen nebo které jsou všeobecně známé, a dále zajistit, aby i všechny osoby podílející se na plnění jeho závazků ze Smlouvy, které se budou zdržovat v prostorách nebo na pracovištích Objednatele, dodržovaly účinné právní předpisy o bezpečnosti a ochraně zdraví při práci a veškeré interní předpisy Objednatele, s nimiž Objednatel Poskytovatele předem obeznámil nebo které jsou všeobecně známé.

      7. Poskytovatel bere na vědomí, že plnění dle Xxxxxxx bude poskytovat v rámci významných informačních systémů, jejichž správcem je Objednatel. S ohledem na uvedené je Poskytovatel povinen poskytovat plnění dle Smlouvy zejm. v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, a v souladu s vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), resp. tak, aby se Poskytovatel vyvaroval jakékoliv činnosti, jež by mohla být označena za porušení uvedených právních předpisů Objednatelem.

   2. Objednatel se zavazuje k následujícím povinnostem:

      1. Objednatel se zavazuje neprovádět na zapůjčeném testovacím zařízení žádné technické zásahy, montáž či demontáž a zavazuje se používat zapůjčené testovací zařízení pouze v souladu s přibaleným uživatelským manuálem.

      2. Objednatel odpovídá za ztrátu, krádež nebo poškození poskytnutého testovacího zařízení vlivem nesprávného užívání v rozporu s návodem, nebo vlivem nedbalosti, do výše pořizovací ceny tohoto zařízení, tj. [DOPLNÍ DODAVATEL] Kč.

      3. Objednatel se zavazuje po skončení Smlouvy vrátit všechna poskytnutá testovací zařízení (na základě Smlouvy) na vlastní náklady zpět Objednateli do 20 pracovních dní ode dne ukončení platnosti Smlouvy, na adresu: – [DOPLNÍ DODAVATEL], popřípadě na jinou Poskytovatelem uvedenou adresu.

      4. Objednatel se zavazuje poskytnout ke splnění smluvních závazků Poskytovatele účelnou součinnost potřebnou pro zprovoznění služby Řízení technických zranitelností IS tak, aby použitá technologie měla možnost tuto službu vykonávat, tj. testovací zařízení musí mít zabezpečeny podmínky uvedené v odst. 3.5 Xxxxxxx, tedy mj. mít viditelnost na skenované systémy a musí mít možnost připojení se k těmto systémům pro účely testování zranitelností. V případě, že tyto předpoklady Objednatel nesplní, považuje se za dodání služby Poskytovatelem konfigurace na straně systému řízení technických zranitelností. Tento stav musí být komunikován v zápise ze schůzky, kde se konstatuje, že řešení je funkční na straně Poskytovatele a práce Poskytovatele jsou akceptovány. Poskytovatel však musí poskytnout maximální možnou součinnost Objednateli, aby specifikoval, které podmínky na straně Objednatele je nutné dokončit pro správné fungování služby řízení technických zranitelností.

      5. Objednatel se zavazuje oznamovat všechny závady a problémy s instalací a provozem služby, včetně testovacích zařízení, výhradně prostřednictvím kontaktní osoby nebo jejího zástupce, telefonicky nebo e-mailem na Help-Desk Poskytovatele, vše uvedené v čl. 7 Smlouvy.

4. Kontaktní informace

Kontaktní osoby Poskytovatele a Odběratele jsou uvedeny v Příloze č. 4 tého smlouvy.

8. Odpovědnost za škodu, odpovědnost za vady

   1. Smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod. Smluvní strany nesou odpovědnost za škodu dle platných právních předpisů a Smlouvy.

   2. Žádná ze Smluvních stran není odpovědná za škodu nebo prodlení způsobené okolnostmi vylučujícími odpovědnost ve smyslu ObčZ. Smluvní strany se zavazují upozornit druhou Smluvní stranu bez zbytečného odkladu na vzniklé okolnosti vylučující odpovědnost a bránící řádnému plnění Smlouvy. Smluvní strany se zavazují k vyvinutí maximálního úsilí k odvrácení a překonání okolností vylučujících odpovědnost.

   3. Poskytovatel je odpovědný za to, že poskytnuté plnění bude v souladu se zadávacími podmínkami veřejné zakázky a touto Smlouvou.

   4. Pokud Objednatel zjistí vady poskytovaného plnění dle Smlouvy, je povinen oznámit bezprostředně takové vady Poskytovateli způsobem stanoveným ve Smlouvě a Poskytovatel takové vady odstraní v souladu se Smlouvou.

   5. Poskytovatel je povinen plnit Služby v nejvyšší dostupné kvalitě a odpovídá za to, že případné zjištěné vady plnění poskytnutého dle Smlouvy řádně odstraní, případně nahradí plněním bezvadným, a to v souladu se Smlouvou do 10 pracovních dní od zjištění nebo nahlášení vady Objednatelem.

   6. Poskytovatel se zavazuje, že bude mít po celou dobu trvání Xxxxxxx sjednáno pojištění, které se vztahuje na plnění předmětu Smlouvy a jejímž předmětem je pojištění odpovědnosti za škodu způsobenou Poskytovatelem třetí osobě s limitem pojistného plnění na jednu škodnou událost minimálně 10.000.000 Kč s výší spoluúčasti maximálně 10 %. Poskytovatel je povinen bez zbytečného odkladu předložit kopii pojistné smlouvy nebo jiný doklad prokazující existenci pojištění (např. pojistka) na vyžádání Objednateli.

9. Vlastnické právo a právo užití

   1. Poskytovatel prohlašuje, že jím poskytované plnění dle Smlouvy není zatíženo právy třetích osob.

   2. Bude-li součástí výstupu (služeb) nebo výsledkem činnosti Poskytovatele prováděné dle Xxxxxxx předmět požívající ochrany autorského díla podle zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů (dále jen „autorské dílo“), nabývá Objednatel dnem poskytnutí autorského díla Objednateli k užívání nevýhradní právo užít takovéto autorské dílo všemi způsoby nezbytnými k naplnění účelu vyplývajícímu ze Xxxxxxx, a to po celou dobu trvání autorského práva k autorskému dílu, resp. po dobu autorskoprávní ochrany, bez omezení rozsahu množstevního, technologického, teritoriálního (dále jen „Licence“). Součástí Licence je rovněž neomezené právo Objednatele poskytnout třetím osobám podlicenci k užití autorského díla v rozsahu shodném s rozsahem Licence, souhlas Poskytovatele k postoupení Licence na třetí osoby a souhlas Poskytovatele udělený Objednateli k provedení jakýchkoliv změn nebo modifikací autorského díla, a to i prostřednictvím třetích osob. Licence se automaticky vztahuje i na všechny nové verze, aktualizované verze, i na úpravy a překlady autorského díla dodané Poskytovatelem. Poskytovatel prohlašuje, že je oprávněn vykonávat svým jménem a na svůj účet majetková práva autorů k autorskému dílu a že má souhlas autorů k uzavření těchto licenčních ujednání a že toto prohlášení zahrnuje i taková práva autorů, která by vytvořením autorského díla teprve vznikla.

   3. Smluvní strany výslovně prohlašují, že pokud při poskytování plnění dle Smlouvy vznikne činností Poskytovatele a Objednatele dílo spoluautorů a nedohodnou-li se Smluvní strany výslovně jinak, bude se mít za to, že je Objednatel oprávněn vykonávat majetková autorská práva k dílu spoluautorů tak, jako by byl jejich výlučným vykonavatelem a že Poskytovatel udělil Objednateli souhlas k jakékoliv změně nebo jinému zásahu do díla spoluautorů. Cena Služeb (odměna Poskytovatele) je stanovena se zohledněním tohoto ustanovení a Poskytovateli nevzniknou v případě vytvoření díla spoluautorů žádné nové nároky na odměnu.

   4. Bude-li autorské dílo vytvořeno činností Poskytovatele, Smluvní strany činí nesporným, že jakékoliv takovéto autorské dílo vzniklo z podnětu a pod vedením Objednatele.

   5. Práva získaná v rámci plnění Smlouvy přechází i na případného právního nástupce Objednatele. Případná změna v osobě Poskytovatele (např. právní nástupnictví) nebude mít vliv na oprávnění udělená v rámci Smlouvy Poskytovatelem Objednateli.

10. Záruka za jakost

Poskytovatel poskytuje k výstupům poskytovaného plnění, které podléhá akceptaci dle Smlouvy, záruku za jakost v trvání 6 měsíců ode dne akceptace výstupů plnění. V rámci záruky za jakost dle tohoto článku odpovídá Poskytovatel za to, že výstupy poskytovaného plnění budou plně funkční a způsobilé pro použití ke smluvenému účelu, budou odpovídat sjednané funkční a technické specifikaci a parametrům uvedeným ve Smlouvě a budou bez jakýchkoliv vad. Záruka se vztahuje na všechny části výstupů poskytovaného plnění, včetně jeho součástí a příslušenství, stejně jako na produkty třetích stran, které tvoří součást výstupů. Neoznámení vady bez zbytečného odkladu nemá vliv na uplatnitelnost nároku Objednatele z odpovědnosti Poskytovatele za tyto vady, pokud vady byly oznámeny alespoň před koncem záruční doby.

11. Ochrana důvěrných informací

Ochrana důvěrných informací je upravena samostatnou „Dohodou o ochraně důvěrných informací“, která je nedílnou součástí Smlouvy jako její Příloha č. 3.

12. Oznámení a komunikace

    1. Veškerá oznámení, tj. jakákoliv komunikace na základě Smlouvy, bude probíhat v souladu s tímto článkem Xxxxxxx. Jakékoli oznámení, žádost či jiné sdělení, jež má být učiněno či dáno Smluvní straně dle Smlouvy, bude učiněno či dáno písemně. Kromě jiných způsobů komunikace dohodnutých mezi Smluvními stranami se za účinná považují osobní doručování, doručování doporučenou poštou, kurýrní službou či datovou schránkou, a to na adresy Smluvních stran uvedené v záhlaví Smlouvy, nebo na takové adresy, které si Smluvní strany vzájemně písemně oznámí.

    2. Oznámení správně adresovaná se považují za doručená:

       1. dnem, o němž tak stanoví zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů (dále jen „ZDS“), je-li oznámení zasíláno prostřednictvím datové zprávy do datové schránky ve smyslu ZDS; nebo

       2. dnem fyzického předání oznámení, je-li oznámení zasíláno prostřednictvím kurýra nebo doručováno osobně; nebo

       3. dnem doručení potvrzeným na doručence, je-li oznámení zasíláno doporučenou poštou; nebo

       4. dnem, kdy bude, v případě, že doručení výše uvedeným způsobem nebude z jakéhokoli důvodu možné, oznámení zasláno doporučenou poštou na adresu Smluvní strany, avšak k jeho převzetí z jakéhokoli důvodu nedojde, a to ani ve lhůtě 3 (tří) pracovních dnů od jeho uložení na příslušné pobočce pošty.

    3. Informace a materiály, které obsahují osobní údaje či důvěrné informace, budou doručovány buď osobně, nebo zasílány elektronicky, a budou zabezpečeny proti zneužití. Způsob zabezpečení elektronické komunikace bude určen před zahájením realizace plnění Smlouvy.

    4. Jakákoliv komunikace, která má být činěna podle Dohody, bude považována za doručenou v případě komunikace prostřednictvím e-mailu po obdržení e-mailu, kterým jeho původní adresát potvrdí doručení, osobního doručení jeho doručením adresátovi s tím, že bude-li se v jakémkoliv z těchto případů jednat o doručení mimo obvyklou pracovní dobu, bude se mít za to, že k doručení došlo na začátku následujícího pracovního dne, a komunikace formou dopisu doručením tohoto dopisu.

    5. Nebude-li Smluvními stranami písemně dohodnuto jinak, bude písemná komunikace doručována podle Dohody v českém jazyce.

    6. Ukládá-li smlouva předat některý dokument v písemné podobě, bude vždy předán v listinné podobě, a v elektronické (digitální) formě, v editovatelném formátu (MS Office) nebo ve formátu PDF (Portable document format).

    7. Výměna / sdílení větších objemů dat bude zajištěna cestou sdíleného datového úložiště Odběratele, případně přes OneDrive/Teams Zhotovitele nebo Dodavatele.

13. Smluvní pokuty

    1. V případě, že je Poskytovatel v prodlení s plněním povinnosti dle odst. 4.1 Xxxxxxx (tj. nedodržení termínu zahájení poskytování služeb) delším než 3 pracovní dny, je Poskytovatel povinen Objednateli zaplatit jednorázovou smluvní pokutu ve výši 50.000 Kč a dále smluvní pokutu ve výši 0,05 % z ceny za předmět plnění dle odst. 5.1 Smlouvy, a to za každý pracovní den prodlení s plněním této smluvní povinnosti.

    2. V případě, že je Poskytovatel v prodlení s plněním povinnosti automatické aktualizace databáze zranitelností ICT systémů dle odst. 6.1.3 Xxxxxxx, je Poskytovatel povinen Objednateli zaplatit jednorázovou smluvní pokutu ve výši 20.000 Kč a dále smluvní pokutu ve výši 0,05 % z ceny za předmět plnění dle odst. 5.1 Smlouvy, a to za každý pracovní den prodlení s plněním této smluvní povinnosti.

    3. V případě, že Poskytovatel poruší povinnost poskytování uživatelské podpory formou „Help-Desku“ v rozsahu uvedeném v odst. 6.1.4 Xxxxxxx, je Poskytovatel povinen Objednateli zaplatit smluvní pokutu ve výši 0,01 % z ceny za předmět plnění dle odst. 5.1 Xxxxxxx, a to za každou uplynulou hodinu prodlení s plněním této smluvní povinnosti.

    4. V případě, že je Poskytovatel v prodlení s plněním povinnosti dle odst. 6.1.5 Xxxxxxx, je Poskytovatel povinen Objednateli zaplatit smluvní pokutu ve výši 0,05 % z ceny za předmět plnění dle odst. 5.1 Smlouvy, a to za každý pracovní den prodlení s plněním této smluvní povinnosti.

    5. V případě, že Poskytovatel poruší povinnost dle odst. 6.1.6 Xxxxxxx, je Poskytovatel povinen Objednateli zaplatit smluvní pokutu ve výši 10.000 Kč, a to za každý takový případ porušení této smluvní povinnosti.

    6. V případě, že Poskytovatel poruší povinnost dle odst. 8.6 této Smlouvy, je Poskytovatel povinen Objednateli zaplatit za každý takový případ smluvní pokutu ve výši 1.000.000 Kč.

    7. V případě prokázaného porušení povinností k ochraně důvěrných informací dle čl. 11 Xxxxxxx, je Poskytovatel povinen Objednateli zaplatit smluvní pokutu ve výši dle podmínek definovaných samostatnou Dohodou o ochraně důvěrných informací, která tvoří Přílohu č. 3 Smlouvy.

    8. V případě porušení povinnosti vrácení testovacího zařízení podle odst. 6.2.3 Smlouvy Poskytovateli je Objednatel povinen zaplatit Poskytovateli smluvní pokutu ve výši 1.000 Kč za každý den prodlení, maximálně však do výše ceny testovacího zařízení uvedenou v čl. 6.2.2

    9. Smluvní pokuty jsou v souladu s odst. 5.13.5 Smlouvy splatné do 21 dní ode dne doručení písemné výzvy oprávněné Smluvní strany k jejich úhradě povinnou Smluvní stranou, není-li ve výzvě uvedena lhůta delší.

    10. Smluvní pokutu je Objednatel oprávněn započíst formou jednostranného zápočtu proti jakékoliv pohledávce Poskytovatele za Objednatelem z titulu úhrady ceny služeb Smlouvy, kterou Poskytovatel uplatnil nebo uplatní vystavením faktury.

    11. Zaplacením smluvní pokuty není dotčen nárok Objednatele na náhradu škody.

14. Doba trvání a zánik Smlouvy

    1. Tato Smlouva je uzavřena na dobu určitou, a to 36 měsíců od nabytí účinnosti, nejdřívě však od 1.4.2024.

    2. Tato Xxxxxxx nabývá platnosti dnem jejího podpisu oběma Smluvními stranami a účinnosti dnem uveřejnění v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů.

    3. Smlouva zaniká mimo další možnosti definované zákonem rovněž následujícími způsoby:

       1. Dohodou Smluvních stran.

       2. Výpovědí Objednatele doručenou Poskytovateli nejpozději k 31. 10. daného kalendářního roku, přičemž výpověď bude účinná k 31. 12. daného kalendářního roku.

       3. Jednostranným odstoupením Objednatele od Xxxxxxx pro její podstatné porušení Poskytovatelem, přičemž podstatným porušením Smlouvy se rozumí zejména porušení povinností dle odst. 4.1 Xxxxxxx, kdy Poskytovatel nedodrží stanovené termíny plnění.

    4. Za podstatné porušení Smlouvy, zakládající možnost jednostranného odstoupení od Smlouvy Objednatele, se rovněž považuje situace, kdy ani po jednání v rámci akceptační procedury dle čl. 5 Smlouvy nedošlo k řádné akceptaci plnění pro závažné a odůvodněné výhrady ze strany Objednatele (Objednatel tak neobdržel předmět plnění v akceptovatelné podobě nejdéle do 14 dnů po požadovaném termínu).

    5. Objednatel je rovněž oprávněn odstoupit od Xxxxxxx, pokud je na majetek Poskytovatele vedeno insolvenční řízení nebo byl insolvenční návrh zamítnut pro nedostatek majetku Poskytovatele dle zákona č. 182/2006 Sb., o úpadku a způsobech jeho řešení, ve znění pozdějších předpisů, nebo pokud Poskytovatel vstoupí do likvidace.

15. Závěrečná ustanovení

    1. Tato Smlouva představuje úplnou dohodu Smluvních stran o předmětu Xxxxxxx. Jakékoliv změny Smlouvy musí být sjednány v souladu se zákonem č. 134/2016 Sb., o zadávání veřejných zakázek a písemně ve formě dodatku k této Smlouvě podepsaného osobami oprávněnými zavazovat Smluvní strany, nestanoví-li tato Smlouva jinak. V závislosti na těchto písemných ujednáních může být upraven požadovaný rozsah plnění, termíny plnění, cena, platební podmínky, součinnost Objednatele atd.

    2. Poskytovatel se zavazuje bez předchozího výslovného písemného souhlasu Objednatele nepostoupit ani nepřevést jakákoliv práva či povinnosti vyplývající ze Smlouvy na třetí osobu či osoby.

    3. Je-li nebo stane-li se jakékoli ustanovení Smlouvy neplatným, nezákonným nebo nevynutitelným, netýká se tato neplatnost a nevynutitelnost zbývajících ustanovení Smlouvy. Smluvní strany se tímto zavazují nahradit jakékoli takové neplatné, nezákonné nebo nevynutitelné ustanovení ustanovením, které je platné, zákonné a vynutitelné a má stejný nebo alespoň podobný obchodní a právní význam.

    4. Jednacím jazykem mezi Objednatelem a Poskytovatelem bude pro veškerá plnění a komunikaci vyplývající ze Smlouvy výhradně jazyk český.

    5. Práva a povinnosti vzniklé na základě Smlouvy nebo v souvislosti s ní se řídí českým právním řádem, zejména pak ObčZ, zák. č. 90/2012 Sb., o obchodních společnostech a družstvech, ve znění pozdějších předpisů, a autorským zákonem. Veškeré případné spory ze Smlouvy budou v prvé řadě řešeny smírem. Pokud smíru nebude dosaženo během 30 dnů, všechny spory ze Smlouvy a v souvislosti s ní budou řešeny věcně a místně příslušným soudem v České republice. Smluvní strany se dohodly, že místně příslušným soudem pro řešení případných sporů bude soud příslušný dle místa sídla Objednatele.

    6. Tato Smlouva je vyhotovena v elektronické podobě, přičemž každá ze Smluvních stran obdrží její elektronický originál.

    7. Nedílnou součástí Smlouvy jsou následující přílohy:

• Příloha č. 1: Podrobné technické požadavky na řešení

• Příloha č. 2: Podrobná kalkulace ceny

• Příloha č. 3: Dohoda o ochraně důvěrných informací (NDA)

• Příloha č. 4: Kontaktní osoby

8. Smluvní strany shodně prohlašují, že si tuto Xxxxxxx před jejím podpisem přečetly a že byla uzavřena podle jejich pravé a svobodné vůle, určitě, vážně a srozumitelně, a že se dohodly o celém jejím obsahu, což stvrzují svými podpisy.

9. Smluvní strany se zavazují pro případ, že v rámci plnění Smlouvy budou zpracovávat osobní údaje, v plném rozsahu zachovávat povinnost zpracovávat osobní údaje v souladu s příslušnými platnými právními předpisy České republiky a Evropské unie, zejména s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a se zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů, a to i po ukončení plnění Smlouvy. Smluvní strany se v případě, že při plnění Smlouvy bude docházet ke zpracování osobních údajů ve smyslu příslušných ustanovení příslušných právních předpisů, zavazují uzavřít dodatek ke Smlouvě spočívající v dohodě o zpracování osobních údajů podle příslušných právních předpisů. Poskytovatel se rovněž zavazuje pro případ, že se v rámci plnění Xxxxxxx dostane do kontaktu s údaji Objednatele vyplývajícími z jeho provozní činnosti, tyto údaje v žádném případě nezneužít, nezměnit, ani jinak nepoškodit, ztratit či znehodnotit. Poskytovatel se rovněž zavazuje provádět svoje činnosti tak, aby nebyl v nadbytečném rozsahu omezen provoz pracovišť Objednatele. Smluvní strany se v této souvislosti zavazují poučit veškeré osoby, které se na jejich straně budou podílet na plnění Smlouvy, o výše uvedených povinnostech ochrany osobních údajů, a dále se zavazují vhodným způsobem zajistit dodržování těchto povinností všemi osobami podílejícími se na plnění Smlouvy.

10. S ohledem na dodržování těchto povinností, jakož i za účelem splnění povinností při kontrole dle zvláštních předpisů, si jsou Smluvní strany povinny poskytnout veškerou nutnou součinnost. Výše uvedený výčet povinností v odst. 15.9 je výčtem demonstrativním. Smluvní strany berou na vědomí, že ucelená politika zásad Objednatele je zveřejněna na stránkách xxx.xxxx.xx.

11. Poskytovatel prohlašuje, že tato Xxxxxxx neobsahuje informace, které nelze poskytovat podle právních předpisů upravujících svobodný přístup k informacím. Poskytovatel bere na vědomí, že Objednatel coby povinná osoba ve smyslu zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů, je povinen tuto Smlouvu zveřejnit v registru smluv. Objednatel se zavazuje, že zašle tuto Xxxxxxx správci registru smluv k uveřejnění prostřednictvím registru smluv bez zbytečného odkladu, nejpozději však do 20 dnů od podpisu Xxxxxxx. Tato skutečnost nebrání Poskytovateli, aby i z jeho strany došlo ke zveřejnění Xxxxxxx. Obě Smluvní strany jsou povinny nejpozději do 25 dnů ode dne podpisu Smlouvy provést kontrolu, zda je Smlouva zveřejněna v registru smluv. V případě, že Poskytovatel zjistí, že tato Xxxxxxx zveřejněna v registru není, je povinen neprodleně písemně informovat kontaktní osobu Objednatele anebo Smlouvu sám zveřejnit.

V Praze dne: V  dne:

.................................................... ..................................................

Xxx. Xxxx Xxxxxx MBA [DOPLNÍ DODAVATEL]

generální ředitel [DOPLNÍ DODAVATEL]

za Objednatele za Poskytovatele

Příloha č. 1

ke Smlouvě o poskytování služeb uzavřené na základě veřejné zakázky s názvem „Služba řízení technických zranitelností IS a služby podpory na 36 měsíců “

Podrobné technické požadavky na řešení

Podrobné technické požadavky na řešení Skeneru technických zranitelností ŘTZ
	Funkční požadavky nabízeného řešení		Závaznost
	Vlastnosti systému
Základní funkce	Automatické testování zranitelností zařízení a aplikací, které jsou součástí síťové a komunikační infrastruktury.		Povinné
	Všechna data a výsledky skenování jsou uloženy v rámci zákazníkovi lokální instance (on premise) v místě provozu HW appliance.		Povinné
	Podrobná definice auditu do úrovně rychlosti komunikace vůči zařízení, použitých modulů a technik, včetně definice časového rozsahu daného testu.		Povinné
	Všechny aktivity lze nastavit pomocí plánování a workflow managementu, kde uživatel může sestavit přesný postup v rámci testu.		Povinné
	Volba intenzity skenování T1-T5, pps (packet per second), typu discovery (ARP ping, ICMP ping, UDP ping, TCP ping, časového rozsahu testu, nahodilosti dotazu v testu, počtu vláken vůči jedné IP, volba použitých modulů, včetně možností prolamování hesel (bruteforce) vůči jednotlivým službám.		Povinné
	Možnost přednastavit přihlašovací údaje pro různé typy služeb HTTP (JWT, basic, NTLM, token, cookies) SSL Cert, SSH, SMB, SNMP, RDP atd.		Povinné
	Definice automatického skenování pomocí workflow.		Povinné
API a integrace	Součástí je dokumentované API pro přístup k datům a k zápisu dat do jednotlivých modulů a součástí řešení:		Povinné
	- Integrace se SIEM: QRadar, FortiSIEM, Fidelis, Log360,		Povinné
	- Integrace s IDS (systémy detekce průniku): Fidelis, Suricata, Snort, Log360,		Povinné
	- Integrace s MS Active Directory, LDAP.		Povinné
	Všechny funkce přístupné přes CLI.		Povinné
	Součástí je dokumentované API pro přístup k datům a zápisu dat do jednotlivých modulů a součástí řešení.		Povinné
Nastavení správy, filtrování a auditu	Centrální správa uživatelů, senzorů, agentů a jednotlivých instancí.		Povinné
	Kompletní zprávu zranitelností, IP, auditu, strojů, aplikací v rámci assets, včetně filtrování a řazení dle jednotlivých atributů.		Povinné
	Filtrace dat dle OWASP top ten, OWASP, vlastních metodik nebo skupin. Definice vlastních tags a assets groups.		Povinné
	Audit lze zadat na základě filtrace assets / assets group.		Povinné
	Možnosti provádění discovery sítí bez vulnerability testů nebo dalších auditů.		Povinné
	Kategorizace zdrojů, IP, systémů, aplikací v rámci assets (správa zdrojů).		Povinné
Konfigurace a možnosti skenování	Možné konfigurace testování:		Povinné
	Definice vlastních šablon nebo kopírování předchozího nastavení testu		Povinné
	Možnost sestavení vlastního testu		Povinné
	Možnost plánovat jednotlivé testy pomocí workflow nebo plánovače úloh		Povinné
	Provádění testu ve shodě s definovaným compliance		Povinné
	Filtrování zranitelností pomocí:		Povinné
	IP adresy nebo jeho sítí, DNS názvu nebo jeho části, NetBIOS názvu nebo jeho části		Povinné
	Operačního systému stroje nebo jeho části, verze OS, kategorie OS		Povinné
	Závažnosti zranitelnosti, včetně definice remote/local a exploitovatelnosti dané zranitelnosti, včetně dostupnosti funkčního exploitu na danou zranitelnost.		Povinné
	CVE zranitelnosti, CWS kategorie zranitelnosti, CVSS skóre verze 2.0, 3.0,		Povinné
	Kompatibilita s Qualys score		Povinné
	Datum zveřejnění nebo aktualizace		Povinné
	Datum první nebo poslední identifikace zranitelnosti v síti		Povinné
	Popis zranitelnosti včetně doporučeného řešení		Povinné
	Kompletní sestavy přehledů:		Povinné
	Všechny detekované zranitelnosti		Povinné
	Všechny zranitelnosti detekované na základě určitého testu		Povinné
	Podle IP, služeb, DNS názvu a NETBIOS názvu		Povinné
	Portů		Povinné
	Definice zranitelnosti podle bezpečností politiky nebo compliance		Povinné
	Možnost redefinice úrovně zranitelnosti, ignorování případně potlačení zranitelnosti.		Povinné
Reportování	Vytváření reportů
	Reporty ve formátu HTML, PDF, XML, CSV, JSON, XLS, reporting systém umožňuje definovat vlastní výstupní formát dat.		Povinné
	Předdefinované šablony, včetně skriptovacího a template jazyka.		Povinné
	Možnost vlastní tvorby reportu, včetně výstupního formátu, součástí je dokumentace.		Povinné
	Možnost v rámci auditu definovat cíle, aplikace, služby a zranitelnosti, které budou zahrnuty v rámci auditu. U zranitelnosti je možné provést rescoring (změna úrovně zranitelnosti) chyb na základě požadavku uživatele.		Povinné
	Plné uživatelské nastavení reportu součástí reportovacího modulu.		Povinné
	Při tvorbě auditu je možné nastavit notifikační e‑mail o dokončení testu a zároveň zaslat na požadovaný e‑mail hotový report.		Povinné
	Plánování jednotlivých reportů a aktivit pomocí plánovače událostí a definice vlastního workflow pro automatizaci operací.		Povinné
	Komunikace technologií M2M mezi senzory, funkce master mode s funkcí samostatných senzorů.		Povinné
Zabezpečení skeneru a přihlašování	Zabezpečení nabízeného řešení
	Webové rozhraní pro administraci řešení přístupné přes HTTPS, autorizace uživatele s podporou OTP/2FA autorizace.	Povinné
	API přístupné přes HTTPS, s autorizací přes JWT/Baerer token.	Povinné
	Administrace uživatele včetně jejich práv k auditu, reportu, assets a jednotlivým modulům.	Povinné
	Limitace přístupu uživatele k aplikaci na základě IP ACL, limitace uživatele vůči IP, se kterými smí pracovat.	Povinné

HW a SW, licencování a ostatní požadavky	Hardware včetně všech licencí SW pro provoz 36 měsíců
	On premise řešení (řešení a data uložena u odběratele služby).	Povinné
	Rozsah licence pro skenování 5000 zařízení/IP adres, licence se aplikuje na všechny aktivity po tzv. Discovery služeb.	Povinné
	Kapacita testování: 5.000 IP za 24 hodin.	Povinné
	HW appliance připravena pro instalaci do 19-palcové skříně. HW pro sondu tvoří 1U, HW pro jádro 2U-4U podle velikosti instance.	Povinné
	Porty: 4x1Gbps LAN/Ethernet Cat5e	Povinné
	Porty: 2xSFP 10Gbe SFP+	Povinné
	Napájení: redundantní zdroj 2x500 W HW Sonda, redundantní zdroj 2x800 W HW jádro.	Povinné
	Součástí jsou teleskopické ližiny pro montáž do 19-palcové skříně, včetně cable managementu.	Povinné
	Instance 5.000 IP umožňuje až 6 senzorů v libovolných lokalitách.	Povinné
	Součástí ceny je zaškolení obsluhy rozsahu 2x 4 hodiny pro 10 osob, lze rozložit na menší bloky.	Povinné
	Odpovědnost za vady, termíny provedení zásahů a reakční doba je součástí SLA - NBD přihlášení do 16 hod.	Povinné
	Revize interní dokumentace k systému ŘTZ v rozsahu 5 čld (člověko‑dny).	Povinné
	Podpora pro řešení incidentů 7x24.	Povinné
	Zpravodajství o hrozbách – poskytnou reportů zranitelností povědomí o aktuálním prostředí hrozeb vůči infrastruktuře ICT organizace z interních a externích zdrojů, návrh opatření k jejich zmírnění.	Povinné

Významový slovník:

Zkratka	Popis / význam
OWASP	Open Web Application Security Project
M2M	Machine to Machine – přímá komunikace mezi zařízeními komunikačním kanálem
CVE zranitelnosti	common vulnerabilities and exposures - běžné zranitelnosti a chyby v zabezpečení
CWS kategorie zranitelnosti	Common Weakness Scoring – systém pro prioritizaci SW slabostí v konzistentním, flexibilním a otevřeném formátu
CVSS skóre	Common Vulnerability Scoring System - systém hodnocení závažnosti bezpečnostních zranitelností počítačových systémů
IDS	Intrusion Detection Systems – systém detekce narušení / systém pro detekci průniku
IAS	Identity and Access Services - systém pro správu identit a přístupu k informacím
NAC	Network Access Control – bezpečnostní technologie, spravující přístup k síti a jejímu zabezpečení proti neoprávněnému přístupu
CP	Centrální pracoviště
DC	Datové centrum
KBÚ/KBI	Kybernetická bezpečnostní událost / Kybernetický bezpečnostní incident
IS	Informační systém

Příloha č. 2

ke Smlouvě o poskytování služeb uzavřené na základě veřejné zakázky s názvem „Služba řízení technických zranitelností IS a služby podpory na 36 měsíců “

Příloha č. 3

ke Smlouvě o poskytování služeb na veřejnou zakázku s názvem

„Služba řízení technických zranitelností IS a služby podpory na 36 měsíců “

Dohoda o ochraně důvěrných informací

Tato Dohoda o ochraně důvěrných informací (dále jen „Dohoda“) je uzavřena v souladu s ustanovením § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, v platném znění

mezi

Státním zemědělským intervenčním fondem (SZIF)

se sídlem Xxxxx 0, Xx Xxxxxxxx 00, PSČ 110 00

IČO: 48133981

DÁLE JEN „Objednatel“

NA STRANĚ JEDNÉ

A

[DOPLNÍ DODAVATEL]

se sídlem [DOPLNÍ DODAVATEL]

IČO: [DOPLNÍ DODAVATEL]

zapsanou v obchodním rejstříku vedeném [DOPLNÍ DODAVATEL] soudem v [DOPLNÍ DODAVATEL] v oddílu [DOPLNÍ DODAVATEL] vložce č. [DOPLNÍ DODAVATEL],

DÁLE JEN „Poskytovatel“

NA STRANĚ DRUHÉ

OBJEDNATEl a POSKYTOVATEL dále společně jen „Smluvní strany“

nebo samostatně „Smluvní strana“

Vzhledem k tomu, že:

1. V souvislosti s plněním Smlouvy budou ze strany Objednatele předány Poskytovateli informace a dokumenty, které mohou obsahovat důvěrné informace týkající se Objednatele a jeho činnosti, u nichž je zájem na zachování jejich důvěrnosti a zajištění ochrany před třetími stranami, Smluvní strany mezi sebou uzavírají tutu Dohodu.

2. Účelem Dohody je definovat v souvislosti s plněním Smlouvy postupy a základní principy zajištění bezpečnosti a ochrany informací s cílem umožnit naplňování dlouhodobých a strategických plánů Objednatele, dosáhnout právní shody s národní a nadnárodní legislativou relevantní pro činnost Objednatele a zajistit dostupnost, integritu a důvěrnost především informačních aktiv Objednatele.

SE SMLUVNÍ STRANY TÍMTO DOHODLY na následujícím:

1. Definice

V této Dohodě, pokud z jejího kontextu nevyplývá jinak, mají níže uvedené pojmy následující význam:

1. „Důvěrné informace“ znamená veškeré dokumenty, informace (včetně datových informací) související s realizací poskytnutí služby, které poskytne Objednatel (a to prostřednictvím jeho zaměstnanců, zástupců, poradců nebo jakékoli jiné Objednatelem pověřené osoby) Poskytovateli (a to i jakýmkoli jeho zaměstnancům, zástupcům, poradcům nebo jiné Poskytovatelem pověřené osobě) nebo je Poskytovatel vlastní činností od Objednatele získá a které jsou či budou součástí nebo budou jinak souviset s plněním práv a povinností Poskytovatele při realizaci poskytnutí služby, ať už k takovému poskytnutí nebo získání dokumentů a informací dojde písemně, obrazově či strojově čitelnou formou anebo ústně v rámci jakéhokoli jednání mezi Smluvními stranami, a to bez ohledu na to, zda tyto informace či skutečnosti byly výslovně Objednatelem označeny za důvěrné. Důvěrné informace nezahrnují:

1. informace, které jsou v okamžiku jejich poskytnutí Poskytovateli veřejně dostupné, nebo

2. informace, které se stanou veřejně dostupnými poté, co budou poskytnuty Poskytovateli jinak než jako výsledek porušení právní povinnosti Poskytovatele z Dohody, nebo

3. údaje, které měl Poskytovatel zjevně k dispozici dříve, než mu byly poskytnuty ze strany Objednatele, nebo

4. údaje, které byly výslovně a písemně označeny ze strany Objednatele jako údaje, které nemají důvěrnou povahu.

1. „Poddodavatel“ znamená jakoukoliv osobu anebo subjekt, který je v postavení anebo který bude v postavení poddodavatele Poskytovatele v rámci nebo v souvislosti s realizací poskytování služeb dle Smlouvy.

1. práva a povinnosti smluvních stran

   1. Důvěrné informace jsou a zůstanou předmětem práv, resp. ve vlastnictví Objednatele, který má zájem na jejich utajení. Poskytnutí Důvěrných informací Poskytovateli nezakládá a nebude zakládat jakákoliv práva Objednatele nebo jeho zaměstnanců, zástupců, poradců či jiných Poskytovatelem pověřených osob (včetně jakýchkoliv práv duševního vlastnictví) k Důvěrným informacím, s výjimkou omezeného práva nakládat s Důvěrnými informacemi podle Dohody.

   2. Poskytovatel se zavazuje, že:

      1. bude zachovávat mlčenlivost o všech Důvěrných informacích;

      2. bude využívat Důvěrné informace pouze pro účely anebo v souvislosti s jednáním o vzájemné spolupráci Smluvních stran a/nebo v souvislosti s realizací poskytnutí služby a nikoliv pro jiné účely;

      3. bude zacházet s Důvěrnými informacemi s odbornou péčí a tak, aby byla zachována jejich důvěrná povaha, a příslušně zabezpečí jejich utajení;

      4. neposkytne bez předchozího písemného souhlasu Objednatele Důvěrné informace jakékoliv jiné osobě s výjimkou svých zaměstnanců, poradců anebo Poddodavatelů, kteří v souladu s jejich povinnostmi potřebují znát a využívat Důvěrné informace pro účely jednání o vzájemné spolupráci a/nebo realizaci poskytování služeb dle Smlouvy;

      5. bude informovat všechny své zaměstnance, zástupce, poradce a Poddodavatele, kteří by mohli obdržet Důvěrné informace pro účely uvedené v odstavci 4, o důvěrné povaze Důvěrných informací a zajistí, že xxxx zaměstnanci, zástupci, poradci a Poddodavatelé budou dodržovat podmínky Dohody a že budou zavázáni zachovávat mlčenlivost ve vztahu k Důvěrným informacím alespoň v rozsahu ochrany Důvěrných informací podle Dohody. Poskytovatel odpovídá za jakákoliv porušení závazku zachovávat mlčenlivost ve vztahu k Důvěrným informacím jeho zaměstnanci, poradci a Poddodavateli;

      6. bude dodržovat povinnost mlčenlivosti i po skončení poskytování služeb dle Xxxxxxx pro Objednatele.

   3. Poskytovatel se zavazuje, že po ukončení poskytování služeb dle Xxxxxxx okamžitě učiní následující opatření:

      1. zničí anebo vymaže veškeré originály, kopie a/nebo záznamy jakéhokoliv dokumentu, disku nebo jiného nosiče dat anebo jakéhokoliv jiného materiálu obdrženého nebo zpřístupněného ze strany Objednatele, jeho zaměstnanců, zástupců, poradců či jiných Objednatelem pověřených osob nebo jiným způsobem, který obsahuje Důvěrné informace nebo ze kterého je možné vyvodit Důvěrné informace nebo který byl vytvořen na základě Důvěrných informací;

      2. vymaže veškeré Důvěrné informace z jakéhokoliv počítače, textového procesoru anebo jakéhokoliv zařízení, ve kterém by mohly být Důvěrné informace nahrány či uloženy v jakékoliv formě;

      3. poskytne do 14 dní po obdržení žádosti ze strany Objednatele písemné potvrzení učiněné osobou oprávněnou jednat za Poskytovatele, že veškeré Důvěrné informace byly zničeny v souladu s touto Dohodou, nebylo-li Smluvními stranami výslovně dohodnuto jinak.

   4. Poskytovatel se zavazuje zajistit, že jeho zaměstnanci, zástupci, poradci a Poddodavatelé splní obdobně závazky uvedené v odst. 2.2 a 2.3 Dohody.

   5. Poskytovatel je povinen neprodleně informovat Objednatele o každé mimořádné události, která může mít vliv na realizaci poskytnutí služby nebo na bezpečnost Důvěrných informací (zejména na jejich důvěrnost, dostupnost a integritu) ze strany Poskytovatele a poskytnout Objednateli všechny dostupné informace pro objasnění možných příčin jejich vzniku, předpokládaného trvání a rozsahu.

2. Smluvní pokuta

   1. V případě, kdy Poskytovatel jakkoli poruší závazek podle odst. 2.2 až 2.4 Dohody, Poskytovatel zaplatí Objednateli smluvní pokutu ve výši 1.000.000 Kč (dále jen „Smluvní pokuta“), za každé takové jednotlivé porušení Dohody. Zaplacením smluvní pokuty Poskytovatelem není dotčeno právo Objednatele na náhradu škody. Smluvní strany výslovně potvrzují, že výše Smluvními stranami sjednané smluvní pokuty odpovídá závažnosti porušení stanovených závazků a není nepřiměřeně vysoká.

3. Závěrečná ustanovení

   1. Tato Xxxxxx se řídí a bude vykládána v souladu s právními předpisy České republiky.

   2. Tato Dohoda je uzavřena na dobu neurčitou a nabude platnosti a účinnosti dnem podpisu Smlouvy oběma Smluvními stranami.

   3. Bude-li jedno nebo více ustanovení Dohody neplatné, neúčinné nebo nevymahatelné, nebude taková skutečnost mít za následek neplatnost, neúčinnost ani nevymahatelnost celé Dohody. V takovém případě Smluvní strany nahradí takovéto neplatné, neúčinné nebo nevymahatelné ustanovení ustanovením, které bude svým obsahem a účelem co nejlépe naplňovat obsah a účel takového neplatného, neúčinného a/nebo nevymahatelného ustanovení.

Příloha č. 4

ke Smlouvě o poskytování služeb na veřejnou zakázku s názvem

„Služba řízení technických zranitelností IS a služby podpory na 36 měsíců “

Kontaktní informace

12. Kontaktní osoba Objednatele pro smluvní záležitosti týkající se plnění Smlouvy a komunikaci s Help-Deskem Poskytovatele:

jméno: xxxxxx

funkce: vedoucí Oddělení informační a kybernetické bezpečnosti

telefon: +420 xxxxxxxxxxxx

e-mail: xxxxxxxx@xxxx.xx

13. Kontaktní osoba Objednatele pro technické záležitosti týkající se plnění Smlouvy a komunikaci s Help-Deskem Poskytovatele:

jméno: xxxxxx

funkce: vedoucí Oddělení infrastruktury a administrace

telefon: +420 xxxxxxxxxxxx

e-mail: xxxxxxxx@xxxx.xx

Další kontaktní osobou Objednatele pro komunikaci týkající se plnění Smlouvy je vždy přímý nadřízený (tj. ředitel Odboru provozu ICT), v jehož působnosti se řízení zranitelností Objednatele nachází. Pro tento účel je nutné oznámit na Help-desk změnu nebo přidání oprávněné osoby.

14. Kontaktní osoba Poskytovatele pro smluvní záležitosti týkající se plnění Smlouvy a komunikaci s Help-Deskem Poskytovatele:

jméno: [DOPLNÍ DODAVATEL]

funkce: [DOPLNÍ DODAVATEL]

telefon: [DOPLNÍ DODAVATEL]

e-mail: [DOPLNÍ DODAVATEL]

15. Kontaktní osoba Poskytovatele pro technické záležitosti týkající se plnění Smlouvy a komunikaci s Help-Deskem Poskytovatele:

jméno: [DOPLNÍ DODAVATEL]

funkce: [DOPLNÍ DODAVATEL]

telefon: [DOPLNÍ DODAVATEL]

e-mail: [DOPLNÍ DODAVATEL]

16. Adresa a kontaktní místo pro Help-Desk: tel.: [DOPLNÍ DODAVATEL], e-mail: [DOPLNÍ DODAVATEL].

17. Klientské identifikační číslo pro komunikaci s Help-Deskem Poskytovatele, které je Objednatel povinen při komunikaci s Help-Deskem využívat: [DOPLNÍ DODAVATEL]