PŘÍLOHA Č. 4 SMLOUVY O NÁVRHU, VÝVOJI, IMPLEMENTACI A SPRÁVĚ INFORMAČNÍHO SYSTÉMU ELEKTRONICKÉ DÁLNIČNÍ ZNÁMKY KYBERNETICKÁ BEZPEČNOST

PŘÍLOHA Č. 4

SMLOUVY O NÁVRHU, VÝVOJI, IMPLEMENTACI A SPRÁVĚ INFORMAČNÍHO SYSTÉMU
ELEKTRONICKÉ DÁLNIČNÍ ZNÁMKY

KYBERNETICKÁ BEZPEČNOST

1. ÚVODNÍ USTANOVENÍ

1.1Z důvodu nutnosti plnění povinností stanovených Objednateli jakožto povinné osobě ve smyslu Vyhlášky o kybernetické bezpečnosti je Poskytovatel povinen nad rámec povinností stanovených Smlouvou plnit níže uvedené povinnosti zejm. součinnostního a bezpečnostního charakteru dle této Přílohy č. 4 Smlouvy. Účelem této Přílohy č. 4 Smlouvy tak je dodržet povinnost Objednatele dle § 4 odst. 4 ZKB zahrnout požadavky vyplývající z bezpečnostních opatření do smluvního ujednání s Poskytovatelem.

1.2Poskytovatel je povinen plnit relevantní povinnosti v rozsahu a způsobem, aby byl naplněn účel právní úpravy v oblasti bezpečnostních opatření, kybernetických bezpečnostních incidentů, reaktivních opatření, náležitostí podání v oblasti kybernetické bezpečnosti a likvidaci dat ve vztahu k povinnostem, které tato právní úprava stanovuje Objednateli jakožto povinné osobě dle předpisů z oblasti kybernetické bezpečnosti, a to i v případě změny příslušné právní úpravy. V takovém případě je Objednatel oprávněn požadovat od Poskytovatele přiměřenou součinnost i nad rámec povinností stanovených v této Příloze č. 4 Smlouvy, avšak vždy pouze za účelem zajištění plnění povinnosti Poskytovatele z oblasti kybernetické bezpečnosti ve smyslu shora uvedeného.

2. Systém řízení bezpečnosti informací

2.1Poskytovatel je povinen se v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 3 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

2.1.1Prosadit bezpečnostní zásady a procesy, které budou pokrývat zabezpečení dat a informací, jež mohou být vytvářeny a zpracovávány na straně Poskytovatele při poskytování předmětu plnění dle Smlouvy.

2.1.2Na základě bezpečnostních potřeb a výsledků hodnocení rizik zavést příslušná bezpečnostní opatření v rozsahu poskytovaného předmětu plnění, monitorovat je, vyhodnocovat jejich účinnost.

2.1.3Vést záznamy o vytváření a zpracování dat a informací v rozsahu poskytovaného předmětu plnění, zaznamenávat veškeré podstatné okolnosti související se zajištěním bezpečnosti těchto dat a informací a na vyžádání tyto záznamy Objednateli zpřístupnit.

2.1.4Stanovit a udržovat aktuální bezpečnostní politiku, která bude pokrývat zabezpečení dat a informací, jež mohou být vytvářeny a zpracovávány na straně Poskytovatele při poskytování předmětu plnění. Bezpečnostní politika musí obsahovat hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací.

2.2Poskytovatel je dále povinen dodržovat bezpečnostní politiku Objednatele, byl-li s ní seznámen.

3. Řízení aktiv

3.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 4 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

3.1.1Stanovit a udržovat rozsah a seznam aktiv využívaných pro plnění této Smlouvy (aktivy se rozumí např. data a informace k předmětu plnění dle této Smlouvy, systémy ICT, moduly, hardware prvky - infrastruktura hlasové a datové komunikace, aplikace, databáze, servery, úložiště, koncová zařízení – pracovní stanice typu osobní počítač nebo notebook, mobilní koncová zařízení – přenosná zařízení typu telefon, tablet, notebook, netbook, PDA, apod.), a tato aktiva strukturovaně popsat a Objednateli předložit do třiceti Dnů od akceptace Analýzy a následně na vyžádání, a to po celou dobu trvání Smlouvy a do tří měsíců po jejím ukončení. Pokud se nedá stanovit, která aktiva jsou využita, je nutné rozsah a seznam aktiv stanovit a udržovat tak, aby nebylo žádné relevantní aktivum opomenuto.

4. Řízení rizik

4.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 5 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

4.1.1Řídit vlastní rizika, která mohou ovlivnit poskytování předmětu plnění dle Smlouvy.

4.1.2V minimálním intervalu jednou ročně (nebo i v případě významných změn činností prováděných pro Objednatele nebo změn IS EDAZ či jiných aktiv napojených na IS EDAZ) vytvořit a bude-li to Objednatel požadovat, předložit mu zprávu o hodnocení rizik, která bude minimálně pokrývat:

1. Vyhodnocení stavu kybernetické bezpečnosti za hodnocený rok;

2. Identifikaci a hodnocení rizik s vazbou na předmět plnění;

3. Realizovaná bezpečnostní opatření;

4. Nepokrytá bezpečnostní rizika a návrh opatření;

5. Vyhodnocení bezpečnostních událostí a incidentů;

6. Aktuální stav souladu Poskytovatele s Kybernetickými požadavky včetně přehledu Kybernetických požadavků, které:

   1. nebyly aplikovány, včetně odůvodnění, a

   2. byly aplikovány, včetně způsobu plnění.

5. Organizační bezpečnost

5.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 6 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

5.1.1Jmenovat nejpozději do třiceti (30) Dnů po uzavření Smlouvy odpovědnou kontaktní osobu pro potřeby zajištění plnění Kybernetických požadavků a související komunikaci mezi Smluvními stranami („Kontaktní osoba pro kybernetickou bezpečnost“). Kontaktní osobu pro kybernetickou bezpečnost sdělí Poskytovatel písemně Objednateli v téže lhůtě.

5.1.2Využívat pro poskytování předmětu plnění dle Smlouvy pouze oprávněných osob, které byly řádně seznámeny s příslušnými ustanoveními interních předpisů Objednatele a mají ověřenou kvalifikaci, znalosti a zkušenosti k řádnému poskytování předmětu plnění dle Smlouvy a stanovit bezpečnostní role těchto oprávněných osob s jasně definovanými odpovědnostmi a pravomocemi.

6. Řízení dodavatelů

6.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 8 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

6.1.1Využívá-li při poskytování předmětu plnění dle Smlouvy Poddodavatele, zajistit v obdobném rozsahu dodržování Kybernetických požadavků rovněž ve smluvních vztazích se svými Poddodavateli.

6.1.2Dodržovat podmínky pro zapojení Dalšího zpracovatele při zpracování Osobních údajů.

7. Bezpečnost lidských zdrojů

7.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 9 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

7.1.1Zajistit, aby Kontaktní osoba pro kybernetickou bezpečnost nejpozději do šedesáti (60) Dnů od uzavření Smlouvy potvrdila písemně Objednateli, že všechny osoby podílející se na poskytování předmětu plnění dle Xxxxxxx za Poskytovatele byly prokazatelně seznámeny s těmito Kybernetickými požadavky a příslušnými ustanoveními interních předpisů Objednatele, existují-li takové.

7.1.2Dodržovat příslušná ustanovení interních předpisů Objednatele v rozsahu, v jakém byl s těmito akty seznámen. Za prokazatelné seznámení se považuje školení pracovníků Poskytovatel zajištěné Objednatelem, protokolární či elektronické předání příslušné dokumentace nebo Objednatelem zajištěný přístup na sdílené úložiště obsahující příslušné interní akty řízení.

7.1.3Při provádění dohledu nad předmětem plnění dle Smlouvy, definovat a naplnit role a odpovědnosti pro monitoring sítě a zařízení v rozsahu předmětu plnění dle Smlouvy.

7.1.4Zajistit, aby osoby podílející se na poskytování plnění Objednateli v prostředí nebo s prostředky Objednatele, a to i tehdy, pokud jsou prostředky Objednatele používány mimo jeho prostředí:

1. Pro uložení a sdíleni dat a informací Objednatele využívali pouze k tomu schválené prostředky (aktiva);

2. Neukládali ani nesdíleli data i informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující dobré jméno Objednatele;

3. Nestahovali, nesdíleli, neukládali, nearchivovali ani neinstalovali datové a spustitelné soubory v rozporu s licenčními podmínkami nebo předpisy upravující ochranu duševního vlastnictví;

4. Nenavštěvovali internetové stránky s eticky nevhodným obsahem;

5. Nerealizovali pokusy o neautorizovaný přístup ke zdrojům Objednatele ani ke zdrojům jiných subjektů;

6. Nerealizovali pokusy o neoprávněnou modifikaci ani jiné neoprávněné zásahy do prostředků Objednatele, a to ani v případě, kdy jim byl prostředek Objednatele svěřen do správy;

7. Nepodíleli se s prostředky Objednatele na šíření spamu ani škodlivého softwaru.

7.2Poskytovatel si je vědom, že součástí podmínek pro získání přístupu ke zdrojům a aktivům Objednatele je na straně Objednatele zpracování osobních údajů pověřených osob Poskytovatele, které se podílejí na poskytování plnění dle Smlouvy. Pokud nebude Objednateli umožněno osobní údaje pověřených osob Poskytovatele zpracovat, nebude těmto pracovníkům umožněn žádný přístup ke zdrojům Objednatele.

7.3Poskytovatel je dále povinen:

7.3.1Prohlubovat znalostí osob podílejících se na poskytování plnění Objednateli v oblasti bezpečnosti informací.

7.3.2Stanovit práva a povinnosti osob podílejících se na poskytování plnění Objednateli v oblasti bezpečnosti informací.

8. Řízení provozu a komunikací

8.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 10 Vyhlášky kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

8.1.1Zajistit bezpečný provoz informačního systému a infrastruktury využívané pro poskytování předmětu plnění dle Smlouvy.

8.1.2Na vyžádání ve lhůtě, která nebude kratší než šest (6) Pracovních dnů, ledaže bude příslušným orgánem veřejné moci požadováno jinak, poskytnout Objednateli přehled, report, či jinou adekvátní informaci o bezpečnostních opatřeních zavedených na svém informačním systému a infrastruktuře.

8.1.3Zajistit, že pro poskytování předmětu plnění dle Smlouvy budou využívány pouze aplikace a technologie, které jsou v souladu s platnou českou a evropskou legislativou, především s ohledem na licenční podmínky a předpisy upravující ochranu duševního vlastnictví.

8.2Poskytovatel je dále povinen provést a zabezpečit dodržování následujících opatření:

8.2.1Implementaci procesů pro řízení ICT (tj. řízení incidentů, řízení změn, řízení životního cyklu systémů apod.).

8.2.2Zavedení postupů pro ochranu proti škodlivému kódu, řízení technických zranitelností v informačním systému, který je využíván k poskytování předmětu plnění dle Smlouvy.

8.2.3Zavedení pravidel a postupů pro ochranu informací a dat.

8.2.4Stanovení pracovních postupů pro instalaci, spouštění, ukončování provozu technických aktiv, pracovní postupy pro řešení mimořádných stavů.

8.2.5Řízení přístupu k datům a systémům, které spadají do rozsahu poskytování předmětu plnění dle Smlouvy.

9. Řízení změn

9.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 11 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

9.1.1Přiměřeně reagovat na změny v oblasti kybernetické bezpečnosti na straně Objednatele a upravit na své straně technická a organizační opatření tak, aby odpovídala novému stavu po provedení změny.

9.1.2Aktivně spolupracovat při testování významné změny v oblasti kybernetické bezpečnosti na straně Objednatele.

10. Řízení přístupu

10.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 12 Vyhlášky kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

10.1.1Přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k aktivům Objednatele.

10.1.2Zajistit, aby udělený přístup nebyl sdílen více osobami za stranu Poskytovatele. V takovém případě musí Poskytovatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit Objednateli kdykoli v průběhu trvání účinnosti této Smlouvy a tři měsíce po jejím ukončení ve lhůtě, která nebude kratší než šest (6) Pracovních dnů, ledaže bude příslušným orgánem veřejné moci požadováno jinak.

10.1.3Stanovit v požadavku na přístup rozsah dat/informací, služby, účelu, pro které je přístup k systému ICT Objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 Den).

10.1.4Zajistit, aby osoby podílející se na poskytování předmětu plnění dle Smlouvy a mající přístup k informačním aktivům Objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám.

10.1.5Průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně Poskytovatele, které přistupují do prostředí Objednatele.

10.2Poskytovatel bere na vědomí, že přístup k systému ICT je možné povolit pouze fyzické identitě zaměstnance Poskytovatele/Poddodavatele, a to na základě požadavku Poskytovatele na přístup.

10.3Poskytovatel bere na vědomí, že přidělení oprávnění přístupu musí být řízeno principem nezbytného minima a není nárokové.

10.4Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele může být příslušný účet zablokován a řešen jako bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům Objednatele).

10.5Poskytovatel je dále povinen omezit přidělování administrátorských oprávnění.

11. Akvizice, vývoj a údržba

11.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 13 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

11.1.1Zajistit bezpečnou implementaci, inovaci, aktualizaci a testování technologií, které jsou předmětem plnění dle Smlouvy.

11.1.2Předat Objednateli dokumentaci předmětu plnění dle Smlouvy nad rámec rozsahu stanoveného ve Smlouvě minimálně v následujícím rozsahu:

1. dokumentaci všech bezpečnostních nastavení, funkcí a mechanismů;

2. dokumentaci obsahující popis autorizačního konceptu a oprávnění;

3. dokumentaci obsahující instalační a konfigurační postupy.

Výše uvedenou dokumentaci, není-li již zahrnuta v Dokumentaci, Poskytovatel předá Objednateli v přiměřené lhůtě dle dohody Smluvních stran.

11.2V případě, že předmět plnění dle Smlouvy zahrnuje vývoj Softwaru, je Poskytovatel povinen:

11.2.1Dodržovat a implementovat nejlepší praktiky pro bezpečný vývoj Softwaru.

11.2.2Na vyžádání alespoň šest Pracovních dnů předem, nepožaduje-li příslušný orgán veřejné moci jinak, umožnit Objednateli provedení auditu prováděného nebo provedeného plnění a na vyžádání předložit Objednateli vyvíjený Zdrojový kód na provedení codereview, a to zejména za účelem ověření skutečnosti, zda Poskytovatel postupuje či postupoval při poskytování plnění v souladu se Smlouvou a Kybernetickými požadavky. S ohledem na faktické a časové podmínky Smlouvy se Smluvní strany dohodly, že Objednatel bude oprávněn využít tohoto práva nejdříve od zahájení testovacího provozu dle Harmonogramu.

11.2.3Poskytovat Objednateli v termínech stanovených Objednatelem, resp. bez zbytečného odkladu požadovanou součinnost na provedení bezpečnostního testování v průběhu vývoje Softwaru (nejdříve od zahájení testovacího provozu dle Harmonogramu) či kdykoli po jeho předání.

11.2.4Zajistit, že plnění dle Smlouvy bude obsahovat jen ty součásti, které jsou objektivně potřebné pro řádné provozování softwaru a/nebo které jsou specifikovány výslovně ve Smlouvě (zejména, že Software nebude obsahovat žádné nepotřebné komponenty, žádné programové vzorky apod.).

11.2.5Pokud je součástí plnění dle Smlouvy i instalace operačního systému, případně softwaru třetích stran, zajistit v průběhu jeho instalace, že budou použity předepsané verze těchto produktů kompatibilní a funkční v Testovacím prostředí či Produkčním prostředí.

11.2.6Zajistit bezpečnost Testovacího prostředí u Poskytovatele a ochranu poskytnutých testovacích dat Objednatelem.

11.2.7Zajistit, že do Produkčního prostředí bude dodán jen předmětem Smlouvy specifikovaný kompilovaný, respektive spustitelný Zdrojový kód a další nezbytná data pro provozování předmětu plnění dle Smlouvy.

11.2.8Zajistit, že v rámci poskytovaného plnění bude dodávaný Software

1. v souladu s bezpečnostními politikami a standardy Objednatele; a

2. otestován na soulad s bezpečnostními politikami Objednatele (platí pro Poskytovatele, pokud byl s takovými bezpečnostními politikami seznámen).

11.2.9Instalovat Software pouze na základě Objednatelem předem schválených migračních postupů.

11.2.10Předat Zdrojový kód Objednateli bezpečnou formou zajištující jeho integritu.

11.2.11Zajistit řízení verzí Zdrojového kódu.

11.2.12Zajistit zálohování Zdrojového kódu a jeho uložení mimo Produkční prostředí.

11.2.13Zajistit, aby distribuce Zdrojových kódů obsahovala soubor z vývojového prostředí na řízenou kompilaci těchto Zdrojových kódů.

11.2.14Nevyvíjet, nekompilovat a nešířit v prostředí Objednatele programový kód, který má za cíl nelegální ovládnutí, narušení dostupnosti, důvěrnosti nebo integrity nebo neautorizované či nelegální získání dat a informací.

12. Zvládání kybernetických bezpečnostních událostí a incidentů

12.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 14 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

12.1.1Stanovit a popsat na své straně činnosti, role a jejich odpovědnosti a pravomoci vedoucí k rychlému a účinnému zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů.

12.1.2Bez zbytečného odkladu hlásit Objednateli všechny kybernetické bezpečnostní události a kybernetické bezpečnostní incidenty s potenciálním negativním dopadem na Objednatele, a to stanoveným komunikačním kanálem nebo prostřednictvím Kontaktní osoby pro kybernetickou bezpečnost.

12.1.3Vyhodnocovat informace o kybernetických bezpečnostních incidentech a uchovávat je pro budoucí použití s ohledem na požadavky použitelné platné a účinné legislativy.

12.1.4V případě vzniku kybernetické bezpečnostní události a následného zvládání a vyhodnocování kybernetického bezpečnostního incidentu a/nebo v případě podezření na kybernetický bezpečnostní incident poskytnout Objednateli aktivní součinnost a relevantní informace o podezřelém zařízení či osobě na straně Poskytovatele.

12.1.5Bez zbytečného odkladu a po dohodě s Objednatelem realizovat opatření požadovaná Objednatelem v dohodnutých termínech ke snížení dopadu kybernetického bezpečnostního incidentu nebo zamezení pokračování kybernetického bezpečnostního incidentu.

12.1.6Spolupracovat při analýze příčin kybernetického bezpečnostního incidentu a navrhnout opatření s cílem zamezit jeho opakování v případě, že Poskytovatel kybernetický bezpečnostní incident zapříčinil nebo se na jeho vzniku podílel.

12.2Poskytovatel bere na vědomí, že postup zvládání kybernetického bezpečnostního incidentu či jiný důsledek porušení Kybernetických požadavků, jehož příčina je na straně Poskytovatele, nebude posuzován jako okolnost vylučující odpovědnost Poskytovatele za prodlení s řádným a včasným plněním předmětu Smlouvy a nebude důvodem k jakékoli náhradě případné újmy Poskytovateli či jiné osobě ze strany Objednatele. Ostatní ustanovení ohledně odpovědnosti Poskytovatele za prodlení obsažená ve Smlouvě nejsou tímto ustanovením dotčena.

13. Řízení kontinuity činností

13.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 15 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

13.1.1Zajistit adekvátní kontinuitu svých aktiv, které jsou potřebné k poskytování předmětu plnění dle Smlouvy.

13.1.2Pravidelně kontrolovat a testovat, že je schopen kontinuitu aktiv zajistit dle sjednané SLA.

14. Kontrola a audit

14.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 8 a § 16 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx poskytnout adekvátní součinnost při výkonu kontroly Objednatele ze strany Národního úřadu pro kybernetickou a informační bezpečnost dle § 23 ZKB.

14.2Poskytovatel umožní Objednateli alespoň jednou ročně po dobu účinnosti Smlouvy a pak jeden (1) rok po ukončení Smlouvy provedení auditu kybernetické bezpečnosti u Poskytovatele a jeho Poddodavatelů:

14.2.1jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele a

14.2.2jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle bodu 4 této Přílohy č. 4 Xxxxxxx.

14.3Objednatel je oprávněn při auditu kybernetické bezpečnosti využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by audit kybernetické bezpečnosti prováděl sám, včetně odpovědnosti za způsobenou újmu.

14.4Poskytovatel umožní Objednateli audit kybernetické bezpečnosti provedený prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují.

14.5Poskytovatel je povinen odstranit nedostatky zjištěné:

14.5.1na základě provedení hodnocení rizik dle bodu 4 v této Příloze č. 4 Xxxxxxx; nebo

14.5.2v rámci auditu kybernetické bezpečnosti dle bodu 14.2 této Přílohy č. 4 Xxxxxxx;

odstranit ve lhůtě určené v písemném oznámení Objednatele, která nebude kratší než dvacet (20) Pracovních dnů. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Smluvní strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší devadesát (90) Dnů.

14.6Poskytovatel je dále povinen:

14.6.1Poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků.

14.6.2Na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění dle Smlouvy detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků.

14.6.3Neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání této Smlouvy.

14.6.4Bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní.

14.6.5Při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům, jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo jinými obecně závaznými právními předpisy.

15. Technická opatření

15.1Poskytovatel se bude v rozsahu předmětu plnění dle Smlouvy aktivně podílet na splnění povinností uvedených v § 17 až § 27 Vyhlášky o kybernetické bezpečnosti, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění dle Xxxxxxx na své straně:

15.1.1Dodržovat interní předpisy Objednatele, zejména pak v oblasti fyzické ochrany bezpečnostních zón, kde jsou umístěny aktiva systémů ICT, anebo datové nosiče.

15.1.2V rozsahu předmětu plnění dle Smlouvy zajistit fyzické zabezpečení, zejména označení, uchování a likvidaci, instalačních, záložních nebo archivních médií a dokumentace v souladu s klasifikací aktiv Objednatele, pokud s ní byl Poskytovatel seznámen.

15.1.3Realizovat opatření pro odstranění nebo blokování síťového spojení/síťových spojení, které/která neodpovídají požadavkům na ochranu integrity a bezpečnosti komunikační sítě.

15.1.4Realizovat přístup z mobilního zařízení do prostředí Objednatele pouze prostřednictvím zabezpečeného připojení virtuální privátní sítě (VPN).

15.1.5Připojovat do prostředí Objednatele pouze ta síťová zařízení (switch, přístupový bod wifi, router, hub apod.), která prošla schvalovacím procesem a jejich připojení bylo schváleno oprávněnou osobu ve věcech technických na straně Objednatele.

15.1.6Bez zbytečného odkladu deaktivovat všechna nevyužívaná zakončení sítě anebo nepoužívané porty aktivního síťového prvku, který je v rozsahu předmětu plnění dle Smlouvy a je ve správě Poskytovatele.

15.1.7Na aktiva Objednatele bez jeho písemného souhlasu neinstalovat a nepoužívat v prostředí Objednatele tyto typy nástrojů, pokud nejsou součástí předmětu plnění dle Smlouvy:

1. Keylogger – software nebo hardware, který neautorizovaně zaznamenává stisky kláves s cílem narušit důvěrnost zadávaných dat a informací.

2. Sniffer – software nebo hardware umožňující odposlouchávání síťového provozu.

3. Analyzátor zranitelností (scanner zranitelností) – softwarový nebo hardwarový nástroj umožňující vyhledávání zranitelností systémů ICT, detekování dostupných síťových služeb a portů, běžících procesů, běžících aplikací a jejich verzí apod.

4. Backdoor – skrytý softwarový nebo hardwarový nástroj, který umožňuje obejití schválených autentizačních procedur, instalovaný s cílem budoucího snadnějšího a neautorizovaného přístupu do systému ICT.

5. Malware a jiný škodlivý software, který narušuje, obchází či jinak omezuje bezpečnostní opatření v prostředí Objednatele.

15.1.8Připojovat do prostředí Objednatele pouze zařízení ICT, která jsou chráněna proti malware a jinému škodlivému softwaru a která jsou v souladu s interními předpisy Objednatele.

15.1.9Průběžně zaznamenávat a uchovávat data o provozu zařízení ICT (provozní a lokalizační údaje) v rozsahu předmětu plnění a v souladu s požadavky platné české a evropské legislativy.

15.1.10Na vyžádání poskytnout Objednateli report obsahující výsledky monitorování veškerých uživatelských a administrátorských aktivit a jiných událostí v rozsahu předmětu plnění dle Smlouvy, a to po celou dobu trvání Smlouvy a pak po dobu dvou (2) let po jejím ukončení.

15.1.11Zajistit sběr informací o provozních a bezpečnostních činnostech v rozsahu předmětu plnění dle Smlouvy a ochranu získaných informací před jejich neoprávněným čtením nebo změnou.

15.1.12Pro on-line transakce realizované prostřednictvím webových technologií implementovat TLS/SSL certifikáty s cílem zajistit jejich důvěrnost, integritu a identitu komunikujících protistran.

15.1.13Veškeré neveřejné informace poskytnuté Objednatelem chránit vhodným šifrováním a proti neautorizovanému přístupu.

15.2Poskytovatel bere na vědomí, že v případě, kdy technické spojení ze strany Poskytovatele narušuje chod služeb Objednatele, může být toto spojení ihned ukončeno bez předchozího upozornění, pokud tato smlouva nestanoví jinak.

15.3Poskytovatel bere na vědomí, že veškeré aktivity Poskytovatele a jeho plnění realizované v prostředí Objednatele jsou monitorovány a vyhodnocovány v rozsahu předměty plnění a v souladu s interními dokumenty Objednatele, se kterými byl Poskytovatel seznámen.

16. Další povinnosti Smluvních stran v oblasti kybernetické bezpečnosti

16.1S ohledem na to, že Poskytovatel je významným dodavatelem a provozovatelem ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 Vyhlášky o kybernetické bezpečnosti, je Objednatel povinen do smluvního ujednání s Poskytovatelem začlenit úpravu relevantních oblastí dle přílohy č. 7 k Vyhlášce o kybernetické bezpečnosti.

16.2Smluvní strany uvádějí, že:

1. ustanovení o bezpečnosti informací (z pohledu důvěrnosti, dostupnosti a integrity) upravuje zejména čl. 12 Smlouvy,

2. ustanovení o oprávnění užívat data upravuje zejména čl. 10 Smlouvy,

3. ustanovení o autorství programového kódu, popřípadě o programových licencích upravuje zejména čl. 10 Smlouvy,

4. ustanovení o kontrole a auditu dodavatele (pravidla zákaznického auditu) upravuje zejména bod 14 této Přílohy č. 4 Smlouvy,

5. ustanovení upravující řetězení dodavatelů, přičemž musí být zajištěno, že Poddodavatelé se zaváží dodržovat v plném rozsahu ujednání mezi Objednatelem a Poskytovatelem a nebudou v rozporu s požadavky Objednatele na dodavatele, upravuje bod 6 této Přílohy č. 4 Smlouvy.

6. ustanovení o povinnosti Poskytovatele dodržovat bezpečnostní politiky Objednatele nebo ustanovení o odsouhlasení bezpečnostních politik dodavatele povinnou osobou upravuje bod 2.2 této Přílohy č. 4 Smlouvy,

7. ustanovení o řízení změn upravuje zejména čl. 7 Smlouvy,

8. ustanovení o souladu Smlouvy s obecně závaznými právními předpisy upravuje zejména odst. 3.6 Xxxxxxx, čl. 13 Smlouvy a čl. 14 Xxxxxxx,

9. ustanovení o povinnosti Poskytovatele informovat Objednatele o

1. kybernetických bezpečnostních incidentech souvisejících s plněním Smlouvy upravuje zejména bod 12 této Přílohy č. 4 Smlouvy,

2. způsobu řízení rizik na straně Poskytovatele a o zbytkových rizicích souvisejících s plněním Smlouvy upravuje zejména bod 4 této Přílohy č. 4 Smlouvy,

3. Změně kontroly Poskytovatele upravuje zejména odst. 8.16 Xxxxxxx,

10. specifikace podmínek z pohledu bezpečnosti při ukončení Smlouvy (například přechodné období při ukončení spolupráce, kdy je třeba ještě udržovat službu před nasazením nového řešení, migrace dat a podobně) upravuje zejména čl. 18 Smlouvy,

11. specifikace podmínek pro řízení kontinuity činností v souvislosti s Poskytovatelem a Poddodavateli (například jejich zahrnutí do havarijních plánů, jejich úkoly při aktivaci řízení kontinuity činností) upravuje zejména odst. 18.8 a násl. Xxxxxxx,

12. specifikace podmínek pro formát předání dat, provozních údajů a informací po vyžádání Objednatelem upravuje zejména čl. 11 Smlouvy a odst. 18.16 Xxxxxxx,

13. pravidla pro likvidaci dat upravuje zejména Příloha č. 3 Smlouvy a odst. 18.15 Xxxxxxx,

14. ustanovení o právu jednostranně odstoupit (resp. vypovědět bez výpovědní doby) od Smlouvy v případě Změny kontroly Poskytovatele upravuje zejména odst. 18.5 Xxxxxxx, x

15. ustanovení o sankcích za porušení povinností upravuje zejména čl. 16 Smlouvy.