Kupní smlouva




Příloha č. 4 Zadávací dokumentace


Kupní smlouva


níže uvedeného dne, měsíce a roku uzavřeli

Kupující: Nemocnice Nové Město na Moravě, příspěvková organizace


se sídlem: Xxxxxxx 000, 000 00 Xxxx Xxxxx na Moravě



IČ: 00842001



DIČ: CZ00842001

zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl Pr., vložka 1446



zastoupená: JUDr. Xxxxx Xxxxxxxxxx, ředitelkou



Bankovní spojení: Československá obchodní banka, a.s.



Číslo účtu: 333414690/0300



(dále jen "Kupující")





a

Prodávající:


se sídlem:


zapsaná v obchodním rejstříku vedeném ....


zastoupená:


IČ:


DIČ:


Bankovní spojení:


Číslo účtu:


(dále jen "Prodávající")



(Kupující a Prodávající společně též jen „Smluvní strany“ nebo jednotlivě „Smluvní strana“)


tuto kupní smlouvu (dále jen „Smlouva“)
podle ust. § 2079 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „Občanský zákoník“)


Preambule

  1. Smluvní strany uzavírají tuto Smlouvu na základě zadávacího řízení níže uvedené veřejné zakázky, za účelem vymezení práv a povinností Smluvních stran při realizaci veřejné zakázky s názvem „Kybernetická bezpečnost Nemocnice Nové Město na Moravě - 2“ vedené ve Věstníku veřejných zakázek pod ev. č. …………. a u Kupujícího pod ev.č. 03/24/VZ zadávané v nadlimitním režimu v otevřeném řízení dle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů a jeho prováděcími předpisy (dále jen „ZZVZ“).

  2. Smluvní strany prohlašují, že veškeré podmínky uvedené v Zadávací dokumentaci k předmětnému zadávacímu řízení, jakož i v nabídce Prodávajícího, jsou platné i pro plnění této Smlouvy.

  3. Prodávající prohlašuje, že je oprávněný a odborně způsobilý k plnění předmětu této Smlouvy
    a zavazuje se v maximální míře chránit zájmy Kupujícího.

  4. Smluvní strany vzájemně deklarují vůli vynaložit veškeré spravedlivě očekávatelné úsilí k dosažení účelu a předmětu této Smlouvy, k zachování dobrého jména druhé Smluvní strany jakož i k eliminaci či minimalizaci jakýchkoli škodlivých následků vzniklých při plnění povinností z této Smlouvy.

  5. Smluvní strany si sjednaly, že smluvní vztah touto Smlouvou založený bude vykládán výhradně podle obsahu Smlouvy, bez přihlédnutí k jakékoli skutečnosti, která nastala a/nebo byla sdělena, jednou Smluvní stranou druhé Smluvní straně před uzavřením Smlouvy.

  6. Předmět této Smlouvy bude spolufinancován z Evropského fondu pro regionální rozvoj - Integrovaného regionálního operačního programu (IROP) - 4. výzvy IROP - Kybernetická bezpečnost - SC 1.1 (PR) v rámci projektu Kupujícího: „„Kybernetická bezpečnost Nemocnice Nové Město na Moravě“ registrovaného pod č. CZ.06.01.01/00/22_004/0000172.

  7. Prodávající prohlašuje, že si je vědom skutečnosti, že Kupující má zájem realizovat předmět této Smlouvy v souladu se zásadami odpovědného zadávání veřejných zakázek stanovenými v § 6 odst. 4 ZZVZ. Odpovědné zadávání veřejných zakázek kromě důrazu na čistě ekonomické parametry zohledňuje také související dopady zejména v oblasti zaměstnanosti, sociálních a pracovních práv a také životního prostředí.

  8. Kupující proto klade důraz na to, aby Prodávající při své podnikatelské činnosti v maximální možné míře naplňoval požadavky z usnesení vlády České republiky ze dne 24. července 2017 č. 531, o Pravidlech uplatňování odpovědného přístupu při zadávání veřejných zakázek a nákupech státní správy a samosprávy, které zohledňuje sociální, resp. širší společenské a zejména také environmentální aspekty směřující k prospěchu pro společnost a ekonomiku a minimalizaci negativních dopadů na životní prostředí. Aspekty odpovědného zadávání veřejných zakázek jsou zohledněny dále v textu této Smlouvy.


  1. Předmět smlouvy



    1. Předmětem Smlouvy je dodávka hardware a software IT infrastruktury včetně montáže, instalace a jejich implementace Prodávajícím Kupujícímu v rozsahu a způsobem, jak je věcně a technicky specifikováno v technických specifikacích, které tvoří Přílohy č. 2 a č. 3 této Smlouvy. Součástí předmětu Smlouvy jsou i veškeré související dodávky, služby a činnosti nezbytné pro realizaci předmětu Smlouvy podle této Smlouvy a jejích příloh (dále také souhrnně „Předmět Smlouvy nebo Předmět koupě“). Spolu s převodem vlastnického práva k HW položkám Předmětu koupě a užívacího práva (vlastnictví licencí) k SW položkám Předmětu koupě se převádí i vlastnické právo k veškerému věcnému příslušenství Předmětu koupě a poskytuje licence na použití všech práv duševního vlastnictví k software, jak vyplývá z Technické specifikace uvedené v Příloze č. 2 této Smlouvy. Prodávající prohlašuje, že Předmět koupě je věcí novou, nerepasovanou a bez vad.

    2. Prodávající se zavazuje realizovat a předat Předmětem koupě, Kupujícímu řádně a v termínu dohodnutém v této Smlouvě a umožnit Kupujícímu nabýt vlastnické právo k HW položkám Předmětu koupě a nabýt užívacích práv (vlastnictví licencí) k SW položkám Předmětu koupě. Řádně a včas odevzdaný Předmět koupě se Kupující zavazuje převzít a zaplatit za něj cenu dle čl. IV. této Smlouvy, na základě dohodnutých platebních podmínek.

    3. Předmět Smlouvy je dán:

    1. touto Smlouvou a jejími přílohami,

    2. Zadávací dokumentací k výše uvedené veřejné zakázce,

    3. nabídkou Prodávajícího, podanou v rámci zadávacího řízení výše uvedené veřejné zakázky.

    1. Prodávající se zavazuje realizovat Předmět Smlouvy v rozsahu a termínech dle této Smlouvy a jejích příloh. Harmonogram realizace Předmětu Smlouvy bude obsahovat i Detailní realizační projekt, zpracovaný Prodávajícím v rozsahu a v termínu dle požadavků Kupujícího uvedených v příloze č. 2 této Smlouvy.

    2. Prodávající se zavazuje odevzdat Kupujícímu Předmět koupě ve smluveném množství, jakosti, provedení, termínu a za stanovenou kupní cenu. Předmět koupě musí splňovat požadavky dané legislativou v době dodání Předmětu koupě Kupujícímu.

    3. Součástí závazku Prodávajícího je též doprava Předmětu koupě na místo plnění, předání dokladů a manuálů potřebných k převzetí a užívání Předmětu koupě Kupujícím a Implementace včetně zaškolení administrátorů a poskytování servisní podpory po dobu stanovenou touto smlouvou. Závazné požadavky na poskytování servisní a provozní podpory jsou uvedeny v Příloze č. 2 Smlouvy.

    4. Součástí Předmětu koupě je i provedení prací výslovně neuvedených či činností, jejichž provedení je s ohledem na Předmět koupě nezbytné, potřebné, účelné či obvyklé, představuje standard či je spravedlivě ze strany Kupujícího očekávané s přihlédnutím k předpokládanému výsledku a znění Zadávací dokumentace výše uvedené veřejné zakázky.

    5. Prodávající se zavazuje vykonávat veškerou činnost s náležitou odbornou péčí se zachováním práv a oprávněných zájmů Kupujícího v každém okamžiku při výkonu této činnosti.

    6. Prodávající se zavazuje dodržovat při plnění Smlouvy pokyny Kupujícího ohledně termínů, pravidel chování a pohybu v prostorách Implementace, opatření bezpečnosti, požární ochrany a ochrany zdraví při práci.

    7. Prodávající se zavazuje splnit své závazky z této Xxxxxxx vyplývající prostřednictvím osob s potřebnou kvalifikací a odborností uvedených v nabídce Prodávajícího.

    8. Prodávající se zavazuje bez ohledu na další své povinnosti dle této Smlouvy, jejích příloh a Zadávací dokumentace veřejné zakázky dodat Předmět koupě za následujících podmínek:

    1. hardware (tj. komponenty a zařízení) Předmětu koupě ponese označení CE v souladu s právními předpisy stanovujícími podmínky užití takového označení;

    2. na hardware (tj. komponenty a zařízení) Předmětu koupě bude zajištěna ze strany výrobce hardware rozšířená záruka za jakost s garancí servisu dle podmínek stanovených v příloze č. 2 této Smlouvy, a to po dobu 60 měsíců ode dne předání Předmětu koupě;

    3. na software Předmětu koupě bude příslušným výrobcem poskytnuta rozšířená servisní podpora, včetně možnosti stahovat nové verze firmware a přístupu k technickým zdrojům, v trvání 60 měsíců ode dne předání Předmětu koupě;

    4. veškerý software Předmětu koupě a licence k užívání software budou zajištěny na dobu minimálně 60 měsíců ode dne předání Předmětu koupě, přičemž software a licence k němu musí být dodána v takovém rozsahu a nastavení, aby byla zajištěna funkčnost a rozsah funkcionalit dle Přílohy č. 2 této Smlouvy, aniž kupující musel vynaložit dodatečné náklady (např. náklady za rozšíření nebo dostupnost funkcionalit software specifikovaných v Příloze č. 1 této Smlouvy);

    5. všechny funkce Předmětu koupě deklarované výrobcem budou bez omezení dostupné po dobu nejméně 60 měsíců ode dne předání Předmětu koupě;

    6. Prodávající je povinen zajistit, aby implementaci uložiště pro nestrukturovaná data byl fyzicky přítomen a dohlížel technický specialista proškolený výrobcem software uložiště pro nestrukturovaná data, a to po celou dobu Implementace;

    7. Spolu s předáním části Předmětu koupě zahrnující úložiště pro nestrukturovaná data je Prodávající povinen Kupujícímu předložit prohlášení výrobce uložiště, že Prodávající je oficiálním autorizovaným servisním partnerem výrobce úložišť pro nestrukturovaná data v České republice.

    1. Prodávající prohlašuje, že je oprávněn Předmět koupě Kupujícímu prodat. Vlastnické právo k HW položkám Předmětu koupě a užívací práva (vlastnictví licencí) k SW položkám Předmětu koupě, jakož i nebezpečí škody na Předmětu koupě přechází z Prodávajícího na Kupujícího převzetím Předmětu koupě Kupujícím.

    2. Pro Smlouvou předvídané účely slouží tyto kontaktní adresy Prodávajícího a Kupujícího:

Prodávající:

Email: …………………………. tel.: +420 ………………………….





Kupující:

Email: xxxxxxxx.xxxxxxxxxx@xxx.xx, tel.: x000 000 000 000 (vedoucí úseku informatiky)

xxx.xxxxxxx@xxx.xx, tel.: x000 000 000 000 (manažer kybernetické bezpečnosti)



  1. Termín a místo plnění


    1. Prodávající se zavazuje splnit požadavky Kupujícího v Kupujícím požadovaných a Prodávajícím odsouhlasených termínech dle Přílohy č. 2 této Smlouvy.

    2. Prodávající se zavazuje dodat, provést montáž, instalovat a implementovat Předmět koupě Kupujícímu nejpozději do 15 měsíců od nabytí účinnosti Smlouvy podle ust. 11.9 této Smlouvy. Datum a čas zahájení plnění a Implementace Předmětu koupě navrhne písemně Prodávající Kupujícímu nejpozději 10 pracovních dnů předem. Tento návrh podléhá schválení ze strany Kupujícího.

    3. Předmět koupě bude dodán a předán v místě sídla Kupujícího.

    4. Předmět koupě včetně všech jeho součástí a s předáním Předmětu koupě spojených činností dle této Smlouvy bude předáván Kupujícímu postupně takto:

    1. hardware (tj. komponenty a zařízení) dle jednotlivých položek Předmětu koupě v počtech kusů dle technického popisu nabízeného řešení, a to včetně provedení montáže, instalace a ověření funkčnosti. O předání a ověření funkčnosti takto dodaných položek Předmětu koupě bude Prodávajícím a Kupujícím vyhotoven a jejich zástupci podepsán písemný dílčí předávací protokol (dále jen „dílčí protokol o předání položky hardware“);

    2. licence software a provedení Implementace položek Předmětu koupě (tj. předání software, jeho instalace a implementace) buď po jednotlivých opatřeních, nebo skupinách společně provázaných opatření dle kapitoly 5, přílohy č. 2 této Smlouvy, v rozsahu kapitoly 6, přílohy č. 2 této Smlouvy dále jen „Opatření“), pokud je toto jednotlivé Opatření, či skupina Opatření, plně funkční. O předání a ověření funkčnosti takto dodaných položek Předmětu koupě bude sepsán a Prodávajícím a Kupujícím podepsán protokol o předání software a implementace (dále jen „dílčí akceptační protokol“).

    1. Předmět koupě je řádně předán Kupujícímu, jestliže Prodávající a Kupující sepsali a podepsali v souladu s touto Smlouvou dílčí protokoly o předání všech položek hardware a dílčí akceptační protokoly o předání všech položek software a jejich implementaci v rozsahu technického popisu nabízeného řešení. Všechny tyto dílčí protokoly o předání položek hardware, všechny dílčí akceptační protokoly, všechna dokumentace skutečného provedení (dle požadavků kapitoly 5, přílohy č. 2 této Smlouvy), doklady a manuály potřebné k převzetí a užívání Předmětu koupě jsou součástí závěrečného předávacího protokolu“ (dále jen „Předávací protokol“). Náklady spojené s odevzdáním Předmětu koupě v místě plnění nese Prodávající.

Osobou oprávněnou k podpisu dílčích protokolů o předání položek hardware, dílčích akceptačních protokolů a Předávacího protokolu za Prodávajícího je: ……………

Osobou oprávněnou k podpisu dílčích protokolů o předání položek hardware, dílčích akceptačních protokolů a Předávacího protokolu za Kupujícího je: Xxx. Xxxxxxxx Xxxxxxxxxx, vedoucí úseku informatiky.

Datum převzetí dílčích částí Předmětu koupě je datem podpisu jednotlivých dílčích protokolů dle bodu 2.4 písm. a) a b) Prodávajícím a Kupujícím. Datum převzetí Předmětu koupě jako celku je datum podpisu Předávacího protokolu Prodávajícím a Kupujícím.

    1. Kupující je oprávněn odmítnout převzetí Předmětu koupě, pokud se na něm budou vyskytovat v okamžiku převzetí zjevné vady. Pro tento případ bude v Předávacím protokolu Kupujícím uvedeno, o jaké zjevné vady, které jsou překážkou převzetí Předmětu koupě Kupujícím, se jedná. Za vadu se považují i vady v Implementaci či dokladech nutných pro užívání Předmětu koupě. Věc se považuje za odevzdanou a závazek Prodávajícího odevzdat věc Kupujícímu bude splněn až okamžikem převzetí Předmětu koupě bez zjevných vad Kupujícím.

  1. Způsob plnění


    1. Správcem, zpracovatelem a vlastníkem dat použitých při plnění dle této Smlouvy nebo v souvislosti s ním, je vždy Kupující. Prodávajícímu na základě této Smlouvy nevzniká žádné právo na užití dat zpracovávaných prostřednictvím Předmětu koupě.

    2. Kupující si vyhrazuje právo na provedení kontroly plnění dle této Smlouvy.

    3. Prodávající je povinen kdykoli během průběhu plnění Smlouvy informovat Kupujícího o stavu plnění, vyžádá-li si Kupující tuto informaci. V případě, že bude Kupující mít za to, že plnění Xxxxxxx neodpovídá této Smlouvě a jejím podmínkám, je Prodávající povinen akceptovat toto sdělení Kupujícího a bezplatně upravit Předmět koupě tak, aby odpovídal Předmětu koupě dle této Smlouvy a jejím přílohám. Pro případ, že Prodávající poruší povinnost dle tohoto článku, sjednávají Smluvní strany, že se v takovém případě jedná o podstatné porušení smluvní povinnosti.

    4. Prodávající se zavazuje plnit úkony definované v sestaveném a vzájemně odsouhlaseném disaster recovery plánu, který je součástí Prodávajícím zpracované a Kupujícímu předané Bezpečnostně provozní dokumentace dle přílohy č. 7 této Smlouvy.

    5. Aspekty odpovědného zadávání

      1. Prodávající se zavazuje, že při plnění Předmětu koupě bude dbát o dodržování důstojných pracovních podmínek osob, které se na jejím plnění budou podílet. Prodávající se proto zavazuje po celou dobu trvání smluvního vztahu založeného Smlouvou zajistit dodržování veškerých právních předpisů, zejména pak pracovněprávních (odměňování, pracovní doba, doba odpočinku mezi směnami, placené přesčasy), dále předpisů týkajících se oblasti zaměstnanosti a bezpečnosti a ochrany zdraví při práci, tj. zejména zákona č. 435/2004 Sb., o zaměstnanosti, ve znění pozdějších předpisů a zákona č. 262/2006 Sb., zákoníku práce, ve znění pozdějších předpisů, a to vůči všem osobám, které se na plnění zakázky podílejí (a bez ohledu na to, zda budou činnosti prováděny Prodávajícím či jeho poddodavateli). Prodávající se také zavazuje zajistit, že všechny osoby, které se na plnění Předmětu koupě podílejí (a bez ohledu na to, zda budou činnosti prováděny Prodávajícím či jeho poddodavateli), jsou vedeny v příslušných registrech, jako například v registru pojištěnců ČSSZ, a mají příslušná povolení k pobytu v ČR. Prodávající je dále povinen zajistit, že všechny osoby, které se na plnění zakázky podílejí (a bez ohledu na to, zda budou činnosti prováděny prodávajícím či jeho poddodavateli) budou proškoleny z problematiky BOZP, a že jsou vybaveny osobními ochrannými pracovními prostředky dle účinné legislativy.

      2. Prodávající se zavazuje při své činnosti v maximální míře naplňovat požadavky, vyplývající z usnesení vlády České republiky ze dne 24. července 2017 č. 531, o Pravidlech uplatňování odpovědného přístupu při zadávání veřejných zakázek a nákupech státní správy a samosprávy, které zohledňuje sociální resp. širší společenské a zejména také environmentální aspekty směřující k prospěchu pro společnost a ekonomiku a minimalizaci negativních dopadů na životní prostředí.

      3. V rámci plnění Předmětu koupě se Prodávající zavazuje dodržovat předpisy z oblasti ochrany životního prostředí, odpadového a vodního hospodářství zejména zákon č. 17/1992 Sb., o životním prostředí ve znění pozdějších předpisů, zákon č. 541/2020 Sb., o odpadech a zákon č. 477/2001 Sb., o obalech a o změně některých zákonů, ve znění pozdějších předpisů. Při realizaci Předmětu koupě se Prodávající tedy zavazuje zejména na vlastní účet a v souladu s platnými právními předpisy provést ekologickou likvidaci všech odpadů a obalů vzniklých při činnostech Prodávajícího u Kupujícího. Náklady na tyto činnosti jsou zahrnuty v ceně za Předmět koupě uvedené v čl. IV odst. 1 této Smlouvy.

      4. Prodávající se zavazuje kdykoliv v průběhu plnění poskytnout Kupujícímu na základě jeho žádosti doklady a údaje týkající se jeho činnosti ve smyslu prokázání naplňování shora uvedených sociálních a environmentálních aspektů odpovědného zadávání, a to bez zbytečného odkladu.

    6. Kybernetická bezpečnost:

      1. Prodávající je povinen po celou dobu realizace Smlouvy dodržovat legislativu ČR i EU, která se týká bezpečnosti informací aktuálně platnou v době realizace plnění dle této Smlouvy.

      2. Prodávající se zavazuje dodržovat požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv Kupujícího uvedené v příloze č. 8 této Smlouvy. Prodávající se dále zavazuje vytvořit, a nejpozději ke dni předání a převzetí Předmětu koupě na základě podpisu Předávacího protokolu předat Bezpečnostně provozní dokumentaci v rozsahu přílohy č. 7 této Smlouvy a udržovat ji aktuální po dobu účinnosti této Smlouvy.

      3. Prodávající je povinen zajistit plnění bezpečnostních opatření a požadavků stanovených touto Smlouvou ve stejné míře u všech případných poddodavatelů či jiných osob, které mají přístup k informačním aktivům Kupujícího prostřednictvím Prodávajícího.

      4. Prodávající je povinen zachovávat mlčenlivost o všech skutečnostech a informacích, které mu byly v souvislosti s touto Smlouvou nebo jejím plněním jakkoliv zpřístupněny, předány či sděleny, nebo o nichž se jakkoliv dozvěděl, vyjma těch, které jsou v okamžiku, kdy se s nimi Prodávající seznámil, prokazatelně veřejně přístupné nebo těch, které se bez zavinění Prodávajícího veřejně přístupnými stanou (dále jen „důvěrné informace“). Prodávající nesmí důvěrné informace použít v rozporu s jejich účelem, nesmí je použít ve prospěch svůj nebo třetích osob a nesmí je použít ani v neprospěch Kupujícího. Povinnosti dle tohoto odstavce je Prodávající povinen zachovávat i po zániku této Xxxxxxx, vyjma případů, kdy se důvěrné informace stanou prokazatelně veřejně přístupné bez zavinění Prodávajícího. Povinnosti dle tohoto odstavce se nevztahují na případy, kdy je Prodávající povinen zveřejnit důvěrnou informaci na základě povinnosti uložené Prodávajícímu právním předpisem nebo rozhodnutím orgánu veřejné moci.

      5. Průběžně během celé doby účinnosti této Smlouvy je Prodávající povinen identifikovat a řešit kybernetické bezpečnostní zranitelnosti související s Předmětem koupě.

      6. Prodávající se zavazuje neprodleně reagovat na kybernetické bezpečnostní zranitelnosti, které mu budou oznámeny ze strany Kupujícího a zajistit nezbytnou součinnost.

      7. Za nesplnění kterékoliv povinnosti obsažené v tomto odstavci 3.6, je Kupující oprávněn účtovat Prodávajícímu smluvní pokutu ve výši 10 000 Kč, a to za každé jednotlivé porušení povinností obsažených v tomto odstavci 3.6.

      8. Kupující si vyhrazuje právo na informace o:

      1. významné změně ovládání Prodávajícího podle zákona č. 90/2012 Sb., o obchodních korporacích v platném znění,

      2. změně vlastnictví zásadních aktiv Prodávajícího, které souvisí s plněním této Smlouvy,

      3. změně oprávnění nakládat s těmito aktivy,

      4. způsobu řízení rizik informační bezpečnosti na straně Prodávajícího.

      5. Prodávající je povinen informovat Kupujícího o výše popsaných změnách. Kupující je oprávněn v případě uskutečnění kterékoliv z těchto změn odstoupit od Smlouvy.

    1. Prodávající se zavazuje v rámci plnění této Smlouvy nevyužívat v rozsahu vyšším než 10% ceny poddodavatele, který je:

      1. fyzickou či právnickou osobou nebo subjektem či orgánem se sídlem v Rusku,

      2. právnickou osobou, subjektem nebo orgánem, který je z více než 50 % přímo či nepřímo vlastněn některým ze subjektů uvedených v písmeni a) tohoto odstavce, nebo

      3. fyzickou nebo právnickou osobou, subjektem nebo orgánem, který jedná jménem nebo na pokyn některého ze subjektů uvedených v písmeni a) nebo b) tohoto odstavce.

    1. Prodávající se zavazuje v rámci plnění této Smlouvy nerealizovat ani přímý ani nepřímý nákup či dovoz zboží uvedeného v Nařízení Rady (EU) č. 833/2014 ve znění poslední novely Nařízením Rady (EU) č. 2022/576.

    2. Kupující si vyhrazuje právo na provedení kontroly či auditu plnění vybraných požadavků/ustanovení u Prodávajícího. Za vybrané požadavky/ustanovení jsou považovány Kontrola/audit plnění požadavků specifikovaných v článku III odst. 3.4 této Smlouvy a v příloze č. 8 této Smlouvy. V rámci kontroly či auditu u Prodávajícího se tento zavazuje poskytnout důkaz o plnění Kupujícím vybraného požadavku, a to buď fyzicky přímo v provozovně Prodávajícího, nebo vzdáleně pomocí elektronických prostředků.

    3. Prodávající se zavazuje využít poddodavatele, jejichž prostřednictvím byla prokázána kvalifikace, na plnění předmětu této Smlouvy ve stejném rozsahu, v jakém poddodavatel za Prodávajícího prokazoval kvalifikaci.

  1. Kupní cena a platební podmínky

Sjednaná Kupní cena za Předmět koupě dle čl. 1 této Smlouvy bez servisní podpory činí ……………………..,- Kč (slovy: ……………………………………………………. korun českých) bez DPH (dále jen „Kupní cena“), přičemž:

sazba DPH činí %

výše DPH činí …,-

cena vč. DPH činí …,-

Sjednaná cena za poskytování servisní podpory Předmětu koupě na 60 měsíců činí ………….,- Kč (slovy: ………………………. korun českých) bez DPH (dále jen „Cena“), přičemž:

sazba DPH činí %

výše DPH činí …,-

cena vč. DPH činí …,-

Sjednaná cena za poskytování servisní podpory Předmětu koupě v kategorii vyžádané služby za hodinové sazby je uvedena v Příloze č. 1 této Smlouvy.



Podrobný rozpis Kupní ceny je uveden v Příloze č. 1 této Smlouvy.

    1. Kupní cena, cena za poskytování servisní podpory a hodinové sazby vyžádaných servisních služeb uvedené v odst. 4.1 představují souhrn cen všech prací a dodávek, uskutečněných Prodávajícím v rozsahu a obsahu stanoveném touto Smlouvou a jejími přílohami, zajišťující kompletní splnění veřejné zakázky v souladu se Zadávací dokumentací k veřejné zakázce. Kupní cena zahrnuje veškeré náklady Prodávajícího nezbytné k řádnému splnění jeho závazku dle této Smlouvy, tj. včetně dopravy, instalace, montáže, zaškolení, zisku, inflace a jiných nákladů, a je cenou konečnou a nepřekročitelnou. Cena za poskytování servisní podpory po dobu 60 měsíců u jednotlivých Opatření převzatých Kupujícím na základě dílčích protokolů o předání položek hardware a dílčích akceptačních protokolů bude Kupujícím hrazena měsíčně na základě Prodávajícím vystavené faktury. Servisní služby v kategorii vyžádané služby za hodinové sazby bude fakturována na základě prokázaného a vzájemně odsouhlaseného výkazu skutečně poskytnutých hodin služby, a to po odsouhlasení předmětného výkazu. Ceny za hodinové sazby jsou neměnné po celou dobu 60 měsíců u jednotlivých Opatření převzatých Kupujícím na základě dílčích protokolů o předání položek hardware a dílčích akceptačních protokolů.



    1. Celkovou a pro účely fakturace rozhodnou cenou se rozumí cena včetně DPH. Kupující je plátcem DPH.

    2. Smluvní strany se dohodly, že v případě změny zákonných sazeb DPH uvedených v Kupní ceně dle této Smlouvy nebudou uzavírat písemný dodatek na změnu Kupní ceny a DPH bude účtována podle předpisů platných v době uskutečnění zdanitelného plnění.

    3. Prodávající vystaví a předá Kupujícímu dílčí daňový doklad (dále jen „faktura“) až po řádném předání každého dílčího Opatření Předmětu koupě bez zjevných vad Kupujícímu. Předání dílčího Opatření Předmětu koupě je doloženo dílčím protokolem o předání položky hardware nebo dílčím akceptačním protokolem..

    4. Faktura musí obsahovat veškeré náležitosti daňového a účetního dokladu dle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, a zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „ZDPH“) a bude mít náležitosti obchodní listiny dle § 435 Občanského zákoníku. Každá faktura musí být označena registračním číslem projektu CZ.06.01.01/00/22_004/0000172, názvem projektu a zkratkou IROP. V případě, že faktura nebude mít odpovídající náležitosti, je Kupující oprávněn zaslat ji ve lhůtě splatnosti Prodávajícímu zpět k opravě či doplnění. Lhůta splatnosti počíná běžet znovu od opětovného doručení opravené či doplněné faktury Kupujícímu.

    5. Faktura bude splatná do 30 dnů ode dne jejího doručení Kupujícímu. Za den úhrady
      se považuje den, kdy byla fakturovaná částka odepsána z účtu Kupujícího ve prospěch účtu Prodávajícího. Úhrada bude prováděna převodem na účet Prodávajícího uvedený v záhlaví této Smlouvy.

    6. Daňový doklad bude doručen v elektronické podobě na adresu Kupujícího na adresu xxxxxxxxx@xxx.xx a v kopii na xxxxxxx@xxx.xx.

    7. Přílohou vystavené a doručené faktury uvedené v článku 4.5. a 4.2 bude Kupujícím potvrzený dílčí protokol o předání položky hardware nebo dílčí akceptační protokol příp. výkaz poskytnuté servisní podpory. Bez těchto dokumentů není Prodávající oprávněn fakturu vystavit.

    8. Úhrada za plnění z této Smlouvy bude realizována bezhotovostním převodem na účet Prodávajícího, který je správcem daně (finančním úřadem) zveřejněn způsobem umožňujícím dálkový přístup ve smyslu ustanovení § 98 zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen „zákon o DPH“).

    9. Pokud se po dobu účinnosti této Smlouvy Prodávající stane nespolehlivým plátcem ve smyslu ustanovení § 106a zákona o DPH, smluvní strany se dohodly, že Prodávající uhradí DPH za zdanitelné plnění přímo příslušnému správci daně. Prodávající takto provedená úhrada je považována za uhrazení příslušné části smluvní ceny rovnající se výši DPH fakturované Prodávajícím.

    10. Kupující neposkytuje Prodávajícímu během realizace Předmětu koupě žádné zálohové platby.


  1. Práva z vadného plnění a záruka za jakost


    1. Prodávající odpovídá za to, že Kupující či jejich oprávněné osoby bude moci užívat Předmět koupě bez vad po dobu trvání záruky za jakost.

    2. Prodávající poskytuje Kupujícím záruku za jakost Předmětu koupě spočívající v tom, že jím dodaný Předmět koupě bude mít po celou záruční dobu vlastnosti deklarované výrobcem a sjednané touto Smlouvou a jejími přílohami (včetně splnění a zajištění podmínek dodání Předmětu koupě dle čl. I. odst. 1.11 této Smlouvy), odpovídající příslušným obecně závazným právním předpisům, technickým předpisům a normám, platným v době realizace plnění dle této Smlouvy, bude prostý jakýchkoliv faktických či právních vad. Prodávající dále odpovídá za to, že Předmět koupě bude způsobilý pro sjednaný účel, nebyl-li účel sjednán, pak pro účel obvyklý a pro účel, k němuž je výrobcem určen. Prodávající se zaručuje, že si Předmět koupě po celou záruční dobu při obvyklém použití uchová své funkce a výkonnost.

    3. Prodávající poskytuje Kupujícímu záruku za jakost Předmětu koupě v délce trvání 60 měsíců.

    4. Záruka za jakost počíná plynout, není-li dále sjednáno jinak, ode dne řádného předání dílčích Opatření Předmětu koupě na základě jednotlivých dílčích protokolů o předání položek hardware a dílčích akceptačních protokolů.

    5. Bude-li Předmět koupě v době předání vykazovat vady, je Kupující oprávněn Předmět koupě nepřevzít. Uvedené se vztahuje na předání hardware (tj. komponenty a zařízení) Předmětu koupě včetně provedení montáže, instalace a ověření funkčnosti (tj. dle dílčího protokolu o předání položky hardware) a na předání software a implementace Předmětu koupě (tj. dle dílčího akceptačního protokolu)

    6. Předmět koupě má zejména vady, jestliže neodpovídá požadovaným vlastnostem pro sjednaný účel a jeho použití, popřípadě nemá vlastnosti výslovně stanovené touto Smlouvou, zejm. jak je uvedeno v odst. 5.2. této Smlouvy, a/nebo obecně závaznými předpisy a/nebo stanovené závaznými nebo doporučujícími technickými normami, podle nichž má být Předmět koupě proveden, a/nebo nemá vlastnosti deklarované výrobcem.

    7. Při zjištění, že Předmět koupě vykazuje vady, má Kupující právo dle svého rozhodnutí uplatňovat tato práva z vad Předmětu koupě:

      1. požadovat opravu vady v místě dodání Předmětu koupě, a to nejpozději do pěti pracovních dnů od nahlášení;

      2. požadovat odstranění vady poskytnutím nového plnění v místě dodání Předmětu koupě, a to nejpozději do pěti pracovních dnů od nahlášení;

      3. odstoupit od této Smlouvy.

    1. Kupující je oprávněn oznámit Prodávajícímu záruční vadu i vadu, která existovala v době předání Předmětu koupě, a uplatnit práva z takové vady, kdykoliv v průběhu záruční doby, bez ohledu na to, kdy Kupující tuto vadu zjistil nebo kdy vada měla či mohla být Kupujícím zjištěna při vynaložení odborné péče. V případě, že Kupující oznámil Prodávajícímu vadu v průběhu záruční doby, je tato vada oznámena včas, přičemž aplikace dispozitivních norem stanovených právními předpisy, které se odchylují od shora uvedených podmínek, se vylučuje. Kupující oznámí vadu Prodávajícímu prostřednictvím služby HelpDesk postupem dle Přílohy č. 2 Smlouvy.

    2. Kupující je oprávněn zvolit způsob řešení odstranění vad Předmětu koupě libovolně dle vlastního uvážení. Kupující je oprávněn svoji volbu práv z vad předmětu koupě libovolně měnit až do doby zahájení prací Prodávajícího na jejich odstranění.

    3. V případě odstranění vady opravou věci se Prodávající zavazuje provádět tuto opravu věci u Kupujícího, bude-li to možné. Náklady spojené s dopravou, montáží a demontáží vadné věci nese Prodávající v plné výši.

    4. Při dodání nové věci vrátí Kupující Prodávajícímu na jeho náklady věc původně dodanou. Na nově dodanou věc poskytuje Prodávající záruku v délce 24 měsíců ode dne převzetí nové věci Kupujícím, není-li v Příloze č. 2 této Smlouvy uvedeno jinak.

    5. Prodávající je povinen zahájit odstraňování uplatněných vad vždy, tedy i v případě, že je sporné, zda Prodávající za vady odpovídá. Otázka případných nároků prodávajícího z odstranění vad bude řešena až po úplném odstranění uplatněných vad.

    6. Doba od oznámení vady do jejího odstranění se do trvání záruční doby nezapočítává.

    7. Jestliže Prodávající neodstraní vady ve stanovené lhůtě nebo oznámí-li před jejím uplynutím, že vady neodstraní, je Kupující oprávněn bez újmy ostatních práv Kupujícího ze záruky, nechat je odstranit třetí osobou na účet Prodávajícího. V takovém případě je Prodávající povinen zaplatit Kupujícímu skutečné náklady vynaložené na odstranění vad a současně platí, že takový postup Kupujícího nemá vliv na trvání záruky z této Smlouvy.

    8. Odstranění vady nemá vliv na nárok Kupujícího na smluvní pokutu a náhradu škody.

    9. Prodávající s přihlédnutím k ustanovení této Smlouvy o autorských právech prohlašuje, že veškeré jeho plnění dodané podle této Smlouvy bude prosté všech právních vad a zavazuje se odškodnit v plné výši Kupujícího v případě, že třetí osoba úspěšně a oprávněně uplatní autorskoprávní nebo jiný nárok plynoucí z právní vady poskytnutého plnění.



  1. Mlčenlivost


    1. V průběhu plnění Předmětu Smlouvy může Prodávající přijít do styku s důvěrnými informacemi týkající se Kupujícího, jeho zaměstnanců či pacientů:

  • mající povahu osobních údajů identifikovatelných fyzických osob, obchodních údajů, či údajů o jiných právních a faktických vztazích Kupujícího,

  • které Prodávající obdržel či obdrží v souvislosti s touto Smlouvou nebo plněním dle této Smlouvy, a to ať již písemně, ústně, v elektronické či jiné formě, a to na jakémkoli nosiči, na němž takováto informace může být nahrána nebo uložena.

    1. Za důvěrné informace se nepovažují informace, které jsou či se stanou veřejně přístupnými a mohou být kýmkoli získány bez nutnosti vyvinout větší úsilí za předpokladu, že nejsou získány jako důsledek protiprávního jednání.

    2. V případě pochybností sdělí Kupující na žádost Prodávajícího, zda informaci považuje za důvěrnou. Nepožádal-li Prodávající o toto sdělení, má se v případě pochybností za to, že informace je důvěrná.

    3. Prodávající zajistí zachování mlčenlivosti o veškerých důvěrných informacích a zajistí přenesení povinnosti mlčenlivosti v plném rozsahu této Smlouvy na své zaměstnance i jakékoli další osoby v právním či faktickém vztahu k Prodávajícímu, které se budou na realizaci předmětu Smlouvy podílet. To platí i pro ostatní povinnosti uložené touto Smlouvou. Zaměstnanci Prodávajícího, kterým bude umožněn přístup ke zpracovávaným osobním údajům, budou Prodávajícím doložitelně poučeni o povinnosti zachovávat mlčenlivost

    4. Prodávající se dále zavazuje dodržovat pravidla a zásady zpracování a ochrany osobních údajů identifikovatelných fyzických osob podle zákona č. 110/2019 Sb., o zpracování osobních údajů a Obecného nařízení Evropského parlamentu a rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zákona č. 372/2011 Sb., zákon o zdravotních službách, zákona č. 373/2011 Sb., o specifických zdravotních službách a vyhlášky č. 98/2012 Sb., o zdravotnické dokumentaci.

    5. V případě, že je Předmětem koupě počítačové vybavení uchovávající jakékoliv osobní údaje a údaje zvláštní kategorie, je Prodávající povinen Kupujícího na tuto skutečnost upozornit a zajistit zabezpečení proti neoprávněnému přístupu vhodnými prostředky (PIN, přihlašovací údaje apod.). Tyto údaje současně předá Kupujícímu při převzetí Předmětu koupě.

    6. Kupující prohlašuje, že v souvislosti se zajištěním servisní podpory, poskytované Prodávajícím, v záruční době nepožaduje zpracování dat (osobních údajů). V případě, že by v rámci zajištění servisní podpory muselo být zpracování dat (osobních údajů) provedeno, je Prodávající povinen na tuto skutečnost Kupujícího upozornit a uzavřít bez zbytečného odkladu zpracovatelskou smlouvu. V případě potřeby vzdáleného přístupu k informačním a komunikačním systémům a informacím Kupujícího, je Prodávající povinen dodržovat Pravidla pro zřízení a používání vzdáleného přístupu do počítačové sítě Nemocnice Nové Město na Moravě, příspěvková organizace (viz Příloha č. 7 této Smlouvy).

    7. Ustanovení tohoto článku se vztahují jak na období platnosti této Smlouvy, tak na období po jejím ukončení.

    8. V případě, že Prodávající poruší ustanovení tohoto článku, je Kupující oprávněn požadovat po Prodávajícím smluvní pokutu ve výši 10.000,-- Kč (slovy: Desettisíc korun českých) za každé jednotlivé porušení tohoto článku ze strany Prodávajícího. Prodávající je povinen k úhradě takovéto pokuty. Smluvní pokuta je splatná do 14 dnů od doručení oznámení o uplatnění smluvní pokuty.

    9. Zároveň se Prodávající zavazuje k úhradě škody (např. správní či jiné sankce, náhrady škody za neoprávněné nakládání s osobními údaji), která vznikla Kupujícímu v důsledku porušení povinností Prodávajícího stanovených právními předpisy či touto Smlouvou či v důsledku neposkytnutí příslušné součinnosti.

  1. Sankční ustanovení


    1. Při nedodržení termínu splatnosti dle článku IV. odst. 4.7. může být Kupujícímu ze strany Prodávajícího účtován úrok z prodlení v zákonné výši z fakturované částky za každý den prodlení.

    2. Za každý, i započatý, den prodlení s předáním Předmětu koupě dle čl. II. odst. 2.2 v rozsahu čl. I a čl. II, je Prodávající povinen zaplatit smluvní pokutu ve výši 0,05 % z Kupní ceny Předmětu koupě bez servisní podpory dle čl. IV. odst. 4.1.

    3. Prodávající uhradí Kupujícímu smluvní pokutu ve výši 1 000,- Kč za každý kalendářní den prodlení a jednotlivý případ vady až do dne odstranění vad, maximálně ve výši 50% z ceny Předmětu koupě. V případě vad, které znemožňují užívání Předmětu koupě, vzniká Kupujícímu právo na smluvní pokutu až do výše 80% z ceny Předmětu koupě.

    4. V případě prodlení Prodávajícího se zahájením řešení servisního požadavku Kupujícího předaného v rámci služby HelpDesk v reakční době dle Přílohy č. 2 Smlouvy se Prodávající zavazuje uhradit Kupujícímu smluvní pokutu ve výši

a) Pro incidenty se závažností chyb A, 500 korun českých bez DPH za každou hodinu porušení SLA,

b) Pro incidenty se závažností chyb B, 6000 korun českých bez DPH za každý den porušení SLA,

c) Pro incidenty se závažností chyb C, se sankce neaplikují.

Sankcí se rozumí smluvní pokuta za nedodržení SLA, která se počítá za každý incident zvlášť. Doba řešení se nepočítá pro situace, kdy Prodávající čeká na součinnost Kupujícího. Tímto Smluvní strany Smlouvy pro vztah touto Smlouvu založený výslovně sjednávají odchylnou úpravu od ustavení § 2050 OZ tak, že ujednání o smluvní pokutě se nedotýká nároku na náhradu škody v plné výši. Jakékoliv pohledávky vůči Prodávajícímu vzniklé v důsledku neodstraňování oznámených vad ve stanovených termínech je Kupující oprávněn jednostranně započíst na splatné či nesplatné pohledávky Prodávajícího.

    1. Odstoupením od Xxxxxxx dle příslušných ustanovení této Smlouvy nejsou dotčena ustanovení týkající se smluvních pokut a ustanovení týkající se takových práv a povinností, z jejichž povahy vyplývá, že mají trvat i po odstoupení.

    2. V případě ukončení Smlouvy před sjednanou dobou plnění, zejména z důvodu odstoupení
      od Smlouvy, sjednávají Smluvní strany přechodné období v délce trvání 6 měsíců, po které bude Prodávající nadále povinen plnit dle této Smlouvy tak, aby byl umožněn Kupujícímu řádný
      a plnohodnotný přechod na nové řešení, nedohodnou-li se Smluvní strany v konkrétním případě jinak. V rámci přechodného obdobní dle předchozí věty je Prodávající povinen Kupujícímu do jednoho týdne od začátku běhu přechodného období, předložit harmonogram přechodu jednotlivých činností a výkonu pro zachování kontinuity provozu řešení včetně plánu případné migrace a předání dat.



  1. Ostatní ujednání


    1. V případě, že pro splnění povinnosti Prodávajícího bude nezbytná součinnost Kupujícího, zavazuje se Kupující vyžádanou součinnost poskytnout. Prodávající je povinen Kupujícímu specifikovat tuto součinnost předem.

    2. Kupující se zavazuje spolupracovat s Prodávajícím v rozsahu nutném k dosažení předmětu Smlouvy.

    3. Prodávající je povinen spolupůsobit při výkonu finanční kontroly dle § 2 zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě, v platném znění.

    4. Kupující poskytne Prodávajícímu aktuální údaje, které má k dispozici v rozsahu a formátu potřebném k plnění Předmětu koupě. Prodávající takto získané údaje použije pouze pro plnění Smlouvy a neposkytne je třetí straně bez předchozího souhlasu Kupujícího.

    5. Prostředky k placení Kupní ceny podle této Smlouvy získává Kupující, kromě vlastních zdrojů, ze zdrojů Evropské unie (dále v tomto článku jen „třetí osoba“). Vyplácení těchto prostředků za účelem placení Kupní ceny Prodávajícímu podléhá přezkumu plnění této Smlouvy třetí osobou. Vůči této třetí osobě obě Smluvní strany této Smlouvy prohlašují, že se nedovolávají ochrany obchodního tajemství. Jakékoliv neplnění závazků Prodávajícím může mít za následek znemožnění financování Předmětu koupě z prostředků shora uvedených.

    6. Předmět koupě bude výlučným majetkem Kupujícího a ten je oprávněn jej postoupit či převést vlastnické a užívací právo k němu třetím osobám. Prodávající prohlašuje, že Kupujícímu postoupí veškerá práva (zejména užívací apod.), když cena za tato práva je již zahrnuta v kupní ceně.

    7. Prodávající se zavazuje Kupujícího odškodnit a zprostit odpovědnosti za jakékoli ztráty, závazky z titulu odpovědnosti, náklady, nároky, škody, výdaje nebo požadavky (nebo úkony s nimi související), které Kupující utrpí nebo které mu vzniknou či které budou proti němu uplatněny a které jsou vzhledem k účelu Smlouvy a záměru Kupujícího účelně vynaložené, pokud takové ztráty, závazky z titulu odpovědnosti, náklady, nároky, škody, výdaje (včetně nákladů právního zastoupení) nebo požadavky vzniknou přímo nebo nepřímo z titulu nebo v souvislosti s:

    1. jakýmkoli nesprávným, nepravdivým nebo zavádějícím prohlášením či ujištěním Prodávajícího uvedeným v této Smlouvě nebo

    2. porušením jakéhokoli ujednání nebo závazku Prodávajícího stanoveného v této Smlouvě;

Prodávající nahradí Kupujícímu veškeré náklady, poplatky, platby a výdaje, které jsou vzhledem k účelu Smlouvy a záměru Kupujícího účelně vynaložené a které Kupující uhradí nebo které mu vzniknou v souvislosti s vedením jakéhokoli řízení nebo popírání jakéhokoli nároku nebo obhajobou či v souvislosti s vymáháním tohoto závazku Prodávajícího.

    1. Prodávající je povinen archivovat veškeré dokumenty, které souvisí s touto veřejnou zakázkou včetně účetních dokladů minimálně do konce roku 2035. Pokud je v českých právních předpisech stanovena lhůta delší, musí ji Prodávající použít.

    2. Prodávající je povinen minimálně do konce roku 2035 poskytovat požadované informace a dokumentaci související s realizací projektu zaměstnancům nebo zmocněncům pověřených orgánů (CRR, MMR ČR, MF ČR, Evropské komise, Evropského účetního dvora, Nejvyššího kontrolního úřadu, příslušného orgánu finanční správy a dalších oprávněných orgánů státní správy) a je povinen vytvořit výše uvedeným osobám podmínky k provedení kontroly vztahující se k realizaci projektu (Předmětu koupě) a poskytnout jim při provádění kontroly součinnost. Prodávající je dále povinen poskytnout Kupujícímu veškeré doklady související s realizací veřejné zakázky a plněním monitorovacích ukazatelů, které si vyžádají kontrolní orgány IROP.

    3. Veškeré povinnosti Prodávajícího jdou k jeho tíži.

    4. Smluvní strany mohou smlouvu ukončit:

    1. dohodou;

    2. výpovědí ze zákonných důvodů,

    3. odstoupením ze zákonných důvodů či důvodů uvedených v této Smlouvě.

Dohoda o zrušení práv a závazků musí být písemná, jinak je neplatná.

    1. Kupující je oprávněn od Smlouvy odstoupit v případě, že Předmět koupě na základě této Smlouvy bude vykazovat vady ve formě špatné kvality či nedodržení rozsahu Předmětu koupě, ačkoliv na výskyt vad s uvedením jejich specifikace byl Prodávající nejméně jednou písemně upozorněn a neprovedl příslušnou nápravu.

    2. Prodávající je oprávněn od Smlouvy odstoupit v případě prodlení Kupujícího s placením faktur delším než 30 dní ode dne doručení.

    3. Pokud se Prodávající stane subjektem ve smyslu ustanovení článku 5k Nařízení Rady (EU) č. 833/2014 v aktuálním znění, Kupující je oprávněn od Xxxxxxx odstoupit v okamžiku, kdy mu bude tato skutečnost známa. Odstoupení nabývá účinnosti dnem doručení Prodávajícímu.

    4. Kupující si vyhrazuje právo na jednostranné odstoupení od Xxxxxxx bez jakýchkoliv sankcí, pokud:

      1. dojde k významné změně ovládání Prodávajícího podle zákona č. 90/201 Sb., o obchodních korporacích,

      2. dojde ke změně vlastnictví zásadních aktiv Prodávajícího, které souvisejí s plněním této Smlouvy,

      3. nebo dojde ke změně oprávnění Prodávajícího nakládat s těmito aktivy.

    1. Odstoupením od této Xxxxxxx nezanikají povinnosti nahradit vzniklou škodu a hradit smluvní pokuty sjednané pro případ porušení této Smlouvy a dále ty povinnosti smluvních stran, které vznikly před odstoupením od této Smlouvy, pokud z jejich povahy nevyplývá něco jiného.

    2. Pokud se Prodávající dostane do úpadku, je Kupující oprávněn tuto Smlouvu vypovědět ve výpovědní lhůtě 14 ode dne doručení výpovědi, pokud ve výpovědi nestanoví lhůtu delší s ohledem na svoje potřeby.

    3. Prodávající nesmí zastavit plnění vyplývající z této Smlouvy nebo její části, tj. ručit Smlouvou nebo právy z této Smlouvy, ani jinak omezit či modifikovat práva a povinnosti Kupujícího vyplývající z této Smlouvy. V případě, že takto Prodávající učiní a třetí strana tato práva uplatní, zaniká tato Smlouva bez dalšího.

    4. Kupující si vyhrazuje změnu závazku podle §100 odst. 1 ZZVZ týkající se rozsahu a ceny dodávaného plnění dojde-li v době plnění ke změně legislativních požadavků ve vztahu k předmětu plnění.


  1. Prohlášení Prodávajícího


    1. Prodávající prohlašuje, že je oprávněn udělit Kupujícímu případná oprávnění k výkonu práva Předmět koupě užít v souladu s podmínkami této Smlouvy.

    2. Prodávající prohlašuje, že případná autorská práva, která touto Smlouvou uděluje, mu patří nebo je v rámci předání Předmětu koupě bez jakéhokoliv omezení zajistí, přičemž neomezeně ručí za škodu, která by Kupujícím vznikla v případě nepravdivosti tohoto prohlášení.


  1. Informační doložka


    1. Smluvní strany výslovně berou na vědomí a souhlasí s uveřejněním Smlouvy v souladu se ZZVZ či zákonem č. 340/2015 Sb., o registru smluv ve znění pozdějších předpisů a výslovně konstatují, že ve Smlouvě nejsou informace, které nemohou být poskytnuty podle zákona č. 340/2015 Sb., o registru smluv ve znění pozdějších předpisů a zákona č. 106/1999 Sb., o svobodném přístupu k informacím ve znění pozdějších předpisů (např. obchodní tajemství). Povinnost zveřejnění Smlouvy v souladu s ZZVZ či zákonem o registru smluv nese Kupující.

    2. Smluvní strany výslovně označují veškeré údaje této Smlouvy, jakož i informace poskytnuté vzájemně v průběhu trvání za důvěrné.

    3. Je ujednáno, že Prodávající se zavazuje udržet v tajnosti a neprozradit nebo jinak zpřístupnit jakékoliv informace, které mají vztah k obchodům a obchodním transakcím, které budou uzavírány Smluvními stranami.

    4. Povinnost dle tohoto článku se netýká informací určených písemnou dohodou Smluvních stran ke zveřejnění, či na informace, jež je Kupující povinen poskytovat či zveřejňovat dle platných právních předpisů, zejména dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím ve znění pozdějších předpisů, zákona č. 340/2015 Sb., o registru smluv ve znění pozdějších předpisů a ZZVZ.

    5. V případě, že Prodávající poruší povinnost uvedenou v tomto článku, je povinen nahradit Kupujícímu vedle škody i nemajetkovou újmu a Kupující je zároveň oprávněn odstoupit od této Smlouvy.

  1. Závěrečná ustanovení


    1. Tuto Smlouvu lze měnit pouze oboustranně odsouhlasenými, písemnými a průběžně číslovanými dodatky, podepsanými oprávněnými zástupci obou Smluvních stran.

    2. Smluvní strany se dohodly, že právní vztahy založené touto Smlouvou se budou řídit příslušnými ustanoveními zákona č. 89/2012 Sb., občanského zákoníku.

    3. Případné spory vzniklé z této Smlouvy budou řešeny podle platné právní úpravy věcně a místně příslušnými soudy České republiky.

    4. Smluvní strany se zavazují, že budou jednat vždy ve prospěch této Smlouvy, a to jak vůči sobě navzájem, tak i třetím osobám. Smluvní strany se rovněž zavazují zdržet takového jednání, které by mohl být druhou stranou vykládáno jako jednání směřující proti smyslu a účelu této Smlouvy.

    5. Pokud kterékoli ustanovení této Smlouvy nebo jeho část bude neplatné či nevynutitelné, nebo se stane neplatným či nevynutitelným, nebo bude shledáno neplatným či nevynutitelným soudem či jiným příslušným orgánem, pak tato neplatnost či nevynutitelnost nebude mít vliv na platnost či vynutitelnost ostatních ustanovení Smlouvy nebo jejich částí. Smluvní strany se zavazují takové ustanovení nahradit novým platným, které se bude co nejvíce blížit původnímu a bude v souladu s původní vůlí stran a účelem Smlouvy.

    6. Smluvní strany se dohodly, že v případě zániku právního vztahu založeného touto Smlouvou zůstávají v platnosti a účinnosti i nadále ustanovení, z jejichž povahy vyplývá, že mají zůstat nedotčena zánikem právního vztahu založeného touto Smlouvou.

    7. Všechny ujednání a podmínky v této Smlouvě se budou vztahovat na a budou závazné pro právní nástupce a postupníky příslušných Smluvních stran a budou je zavazovat, jako by byli v této Xxxxxxx jmenováni a vyjádřeni; a kdekoliv je v této Smlouvě zmínka o některé ze Smluvních stran, platí, že zahrnuje a vztahuje se na nástupce a postupníky takové Smluvní strany, stejně jako by byla v takovém případě uvedena.

    8. V souladu s ust. § 630 odst. 1 OZ si smluvní strany sjednávají promlčecí dobu ve vztahu k veškerým právům přímo či odvozeně souvisejícím s touto smlouvou v délce pěti (5) let ode dne, kdy počala promlčecí doba plynout.

    9. Tato Xxxxxxx nabývá platnosti v den jejího podpisu oběma Smluvními stranami a účinnosti dnem uveřejnění v informačním systému veřejné správy - Registru smluv.

    10. Tato Smlouva je vyhotovená v elektronické nebo listinné podobě. Smlouva vyhotovená v elektronické podobě je opatřená kvalifikovanými elektronickými podpisy zástupců smluvních stran. Smlouva v listinné podobě je vyhotovená ve dvou provedeních, z nichž každé má platnost originálu, přičemž obě smluvní strany obdrží jedno vyhotovení.

    11. Obě Smluvní strany potvrzují autentičnost této Xxxxxxx a prohlašují, že si Xxxxxxx přečetly, s jejím obsahem souhlasí, že Xxxxxxx byla sepsána na základě pravdivých údajů, z jejich pravé a svobodné vůle a nejsou jim známy žádné skutečnosti bránící uzavření Xxxxxxx a plnění povinností z ní vyplývajících, což stvrzují svým podpisem, resp. podpisem svého oprávněného zástupce.



    1. Nedílnou součástí Smlouvy jsou její níže uvedené přílohy:




Příloha č. 1: Kalkulace ceny za předmět Smlouvy

Příloha č. 2: Technická specifikace předmětu plnění k Zadávací dokumentaci ve veřejné zakázce Kybernetická bezpečnost nemocnice Nové Město na Moravě

Příloha č. 3: Technický popis nabízeného řešení

Příloha č. 4: Seznam osob realizačního týmu

Příloha č. 5: Seznam poddodavatelů

Příloha č. 6: Pravidla pro zřízení a používání vzdáleného přístupu do počítačové sítě Nemocnice Nové Město na Moravě, příspěvková organizace

Příloha č. 7: Bezpečnostně provozní dokumentace – podmínky a požadavky

Příloha č. 8: Požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv Kupujícího





V Novém Městě na Moravě dne V   dne



Za Kupujícího


Za Prodávajícího





XXXx. Xxxx Xxxxxxxxx, ředitelka

Nemocnice Nové Město na Moravě, příspěvková organizace








Příloha č. 1 Kupní smlouvy


Kalkulace ceny za předmět Smlouvy (vyplněná příloha 3c Zadávací dokumentace: Kalkulace nabídkové ceny pro Projekt Kybernetická bezpečnost Nemocnice Nové Město na Moravě)


____________________________________________________________________________

Příloha č. 2 Kupní smlouvy


Technická specifikace předmětu plnění k Zadávací dokumentaci ve veřejné zakázce Kybernetická bezpečnost nemocnice Nové Město na Moravě

(vyplněná příloha č. 3b Zadávací dokumentace dle pokynů uvedených v příloze č. 3b v článku 4)




Příloha č. 3 Kupní smlouvy


Technický popis nabízeného řešení

(vytvoří dodavatel v souladu s požadavky a podmínkami uvedenými v Zadávací dokumentaci v čl. 4 a také v čl. 4 v Příloze č. 3.b Zadávací dokumentace)



Příloha č. 4 Kupní smlouvy


Seznam osob realizačního týmu

(vytvoří dodavatel v souladu s požadavky zadavatele na realizační tým, uvedenými v odst. 6.3.2 Zadávací dokumentace /dodavatel může použít vzorovou přílohu č. 2.a Zadávací dokumentace/)


­­­­­­­­­­­

Příloha č. 5 Kupní smlouvy


Seznam poddodavatelů

(vyplněná příloha č. 6 Zadávací dokumentace)

















Příloha č. 6 kupní smlouvy


Pravidla pro zřízení a používání vzdáleného přístupu do počítačové sítě Nemocnice Nové Město na Moravě, příspěvková organizace


  1. Kupující umožní vzdálený přístup/připojení do své počítačové sítě nebo její části prodávajícímu tak, aby mohl prodávající vykonávat veškeré smluvní či kupujícím prokazatelně vyžádané/objednané služby (dále jen „služba“).


  1. Kupující zřídí vzdálený přístup pro prodávajícího na dobu a v rozsahu nezbytně nutnou k plnění závazků vyplývajících z této smlouvy.


  1. Technické podmínky vzdáleného připojení jsou dohodnuty takto:

a) připojení přes SSH protokol VNC dle individuálně dohodnutých parametrů a hesel

b) připojení přes RDP (Microsoft remote desktop klient) dle individuálně dohodnutých parametrů a hesel

c) VPN přístup dle individuálně dohodnutých parametrů a hesel

d) jiný typ přístupu či autentizace dle individuálně dohodnutých parametrů při podpisu smlouvy.


Předání parametrů přístupu a přístupových hesel zajistí v předem dohodnutém termínu zaměstnanec úseku informatiky kupujícího.

  1. Prodávající se zavazuje zajistit, že osoby, jim pověřené k vykonávání služeb prostřednictvím vzdáleného přístupu nezneužijí vzdálený přístup do sítě k aktivitám, které nejsou v souladu se smluvním rozsahem poskytovaných služeb, a ani neumožní tyto aktivity třetí osobě.


  1. Prodávající je povinen vždy předem zajistit, že nedojde k nepředpokládanému narušení chodu počítačové sítě (informačního systému), ani jiných služeb a systémů v síti kupujícího, jakožto i řádného chodu serverů, počítačů a dalších HW komponent sítě. V případě porušení této povinnosti je kupující oprávněn požadovat náhradu způsobené škody.


  1. Kupující si vyhrazuje právo službu vzdáleného přístupu dočasně pozastavit či omezit bez udání důvodu. V tomto případě bude o rozhodnutí kupujícího prodávající neprodleně informován telefonicky a následně obdrží písemné oznámení.


  1. V případě, že kupující zjistí použití vzdáleného přístupu v rozporu s těmito pravidly, je kupující oprávněn vzdálený přístup prodávajícímu zcela zrušit. O tomto rozhodnutí kupujícího bude prodávající neprodleně informován telefonicky a následně obdrží písemné oznámení.


  1. Kontaktní osoby pro účely poskytování služby a předávání informací dle bodů této přílohy


Za kupujícího

Jméno

Pozice

Telefon

Email

Xxxxx Xxxx

technik

723190755

xx@xxx.xx

Xxxxxxxx Xxxxxxxxxx

technik

603827200

xx@xxx.xx

Xxxxx Xxxxx

technik

723190755

xx@xxx.xx

Za prodávajícího

Jméno

Pozice

Telefon

Email

…………………..

………….

………

………….

…………………..

………….

………

………….

…………………..

………….

………

………….

Příloha č. 7 kupní smlouvy


1.1 Bezpečnostně provozní dokumentace – podmínky a požadavky

K dodanému informačnímu aktivu by měla být prodávajícím dodána i provozní dokumentace v oblastech, které jsou relevantní pro dané informační aktivum.

Níže je uveden popis provozní dokumentace a jsou popsány oblasti, které by provozní dokumentace měla pokrývat.

Cílem zpracování této dokumentace je popsat a zdokumentovat provozní postupy pro zajištění správného, bezchybného a bezpečného provozování vybavení pro zpracování informací (informačních aktiv, informačních systémů).


1.2 Bezpečnostní specifikace systému

Cíl dokumentu: popsat a zdokumentovat veškeré bezpečnostní mechanizmy a opatření za účelem identifikace toho, jaká data jsou jakým způsobem chráněna.

Forma dokumentu: textový popis, buď dle metodiky ITSEM (Information Technology Security Evaluation Manual podle ITSEC) nebo v rozsahu minimálně dle následujících bodů.

Minimální rozsah:

Soupis a popis všech funkcí prosazujících bezpečnost pro:

zajištění integrity dat při jejich přenosu a uložení,

zajištění důvěrnosti dat při jejich přenosu a uložení,

zajištění autentizace a session managementu,

zajištění ošetření, filtrování a prověřování veškerých vstupních dat,

zajištění auditní stopy a logování,

externí rozhraní – jak uživatelská, tak pro komunikaci s externími systémy.

- Popis těchto oblastí:

použité kryptografické funkce a algoritmy – popis přesné specifikace a použitých parametrů (typ funkce, délka klíče, mód šifrování, počet iterací, apod.),

poloformální popis všech nestandardních algoritmů, funkcí a protokolů v oblasti bezpečnosti (např. vlastní šifrovací algoritmus, vlastní komunikační protokol, apod.),

autentizační a autorizační model a mechanizmus (např. fáze autentizace, způsoby ověření, heslové politiky, protokoly, session management, ...),

řízení uživatelských a privilegovaných rolí a oprávnění (včetně Access Control, Least Priviledge principy, Multi-factor autentizace, Segregation of Duties principy, Accountability principy)

To vše z pohledu:

Interních uživatelů

Externích uživatelů,

detailní popis úrovně všech přístupových oprávnění/aplikačních rolí,

vývoj systému – použité bezpečnostní metodiky, praxe, frameworky, standardy a politiky při návrhu, plánování a vývoji,

způsob bezpečnostního testování,

monitoring řešení a zaznamenávání logů a auditní stopy (viz. část provozně bezpečnostní dokumentace Monitoring),

způsob zajištění dostupnosti, důvěrnosti a integrity dat ve stavech jejich uložení/uchování, zpracování a přenosu,

soulad s právními normami pro ochranu osobních údajů,

bezpečnostní architektura infrastruktury,

bezpečnostní architektura klienta/koncového zařízení,

disaster recovery plán a strategie zálohování,

u webových aplikací popis způsobu ošetření aplikace dle OWASP Testing guide v aktuální verzi.


1.3 Instalace systému

Cíl dokumentu: popsat a zdokumentovat postupy, kroky a činnosti vedoucí k instalaci informačního systému/aktiva nebo k přípravě prostředí pro instalaci.

Forma dokumentu: textová, může být doplněno o návodné obrázky.

Systémové požadavky (architektura procesoru, verze operačního systému, miminální požadavky na HW, apod.)

Instalační média (CD, síť, soubor, …) a cesta k nim

Konkrétní kroky vedoucí k instalaci systému, způsob instalace serverové části, způsob instalace klientské části, apod.


1.4 Základní konfigurace

Cíl dokumentu: popsat a zdokumentovat postupy, které vedou k nastavení systému do takového stavu, aby bylo možné systém po instalaci provozovat na základní úrovni.

Forma dokumentu: textový popis (může být i např. formou okomentovaného config souboru)

Základní konfigurace sítě (nastavení ip adresa, maska, GW, ...)

Nastavení připojení/komunikace na další systémy (např. DB, web server, SMTP, DNS, NTP, ...), nastavení portů na kterých služba naslouchá, kam data odesílá, …

Nastavení proxy pro komunikaci, seznam URL (nebo domén), kam systém potřebuje komunikovat (směrem do Internetu), ...

Spuštění potřebných modulů, agentů, komponent, procesů, registrování knihoven, úprava registrů OS Windows, …

Nastavení automatických úloh, nastavení systémových účtů, …

Detailní popis úrovně přístupových oprávnění/aplikačních rolí


1.5 Způsob zpracování informací

Cíl dokumentu: popsat, jakým způsobem jsou zpracovávány informace v rámci informačního systému + případně v rámci ostatních systémů, na které je daný IS navázán.

Forma dokumentu: textový popisu nebo i schéma

Vytváření dat (datové vstupy)

manuálně|strojově|automaticky|uživatelsky

kdy jsou data vytvářena? (např. nějaká událost, naplánovaná událost, apod.)

Přenosy dat

Odkud kam (např. agent>master, do jiných systémů, mezi moduly, apod.)?

Jakým protokolem?

Uložení dat

Databáze (typ?)

File (typ?)

Výstupy systému (dat)

User Interface (webový formulář, GUI aplikace, konzole, …)

E-mail|sms|voice call

Soubor (formáty)?

Tisk

Datová pumpa

Do jiných systémů (DB server, file server, ...)


1.6 Záloha, obnova, restart

Cíl dokumentu: popsat a zdokumentovat strategii zálohování systému, jakým způsobem, kdy, kam a jak často jsou zálohována data v rámci daného informačního systému a jakým způsobem se provádí obnova systému po havárii nebo ze zálohy, postupy a konkrétní kroky, které povedou k bezpečnému restartu systému.

Forma: může být i formou zálohovacího plánu (backup schedule) a disaster recovery plánu, textový popis, návodné obrázky, okomentované příkazy, apod.

Zálohování

  • Strategie zálohování systému navržená dodavatelem

  • Způsob zálohování – plná, přírůstková, rozdílová záloha

  • Kdy a jak často je záloha prováděna

  • Jak dlouhou dobu jsou zálohy uloženy a kde

  • Jak často se provádí testování záloh

Obnova

  • Posloupnost kroků (co a jak udělat), které je třeba provést pro obnovu systému nebo jeho části či dat ze zálohy do jeho plně funkčního stavu

  • Zpracovaný disaster recovery plán, tedy posloupnost kroků (co a jak udělat), které je třeba provést pro obnovu systému po jeho selhání do jeho plně funkčního stavu

  • Včetně potřebných zdrojů, jako je např. SW, HW, přístupové údaje, data, parametry disaster recovery prostředí, apod.

Restart

  • Posloupnost kroků (co a jak udělat), které je třeba provést pro bezpečné restartování systému tak, aby naběhl do původního stavu

  • Např. informování uživatelů, ověření odhlášení všech uživatelů, provedení zálohy systému, restart systému (pořadí konkrétních procesů, služeb, apod.), způsob základní kontroly funkčnosti, výčet služeb, které je potřeba spustit/zkontrolovat, apod.


1.7 Postupy řešení problémů

Cíl dokumentu: popsat, jakým způsobem se řeší případ nějakého problému, typicky nefunkčnost systému, nefunkčnost části systému, chybové stavy, základní troubleshooting, apod.

Základ dokumentace: kontakty (e-mailové adresy, telefonní čísla, url helpdesku)

V jakém případě, koho a prostřednictvím čeho (e-mailu, helpdesku, sms, telefonu) kontaktovat a jakým způsobem

Základní troubleshooting často řešených problémů

Základní chybové stavy (často řešené) – jejich popis a základní způsob odstranění


1.8 Vazby na jiné systémy, rozhraní, datové vztahy a struktury

Cíl dokumentu: popsat, jakým způsobem je daný systém navázán na jaké systémy, popsat všechna rozhraní a popsat datové vztahy a struktury.

Forma: textový popis doplněný o schéma

Výčet systémů, na jaké je daný systém navázán (DB, aplikační servery, fileservery, UI, pracovní stanice, zdroje informací /vstupy/, výstupy, datové pumpy, jiné IS, apod.)

Komunikační protokoly (příp. rozhraní) připojení na jiné systémy

Porty, ip adresy, identifikátory NIC, API

Schéma datových toků

Schéma datových toků osobních údajů, osobních údajů zvláštních kategorií a jiných citlivých informací

Forma a struktura dat, způsob přenášení dat (použité protokoly), toky dat z a do kterých systémů, způsob jejich uložení, apod.

Naplánované úlohy přenosu dat (např. datové pumpy), apod.

Forma a struktura dat, obecný popis dat


1.9 Monitoring

Cíl dokumentu: popsat a zdokumentovat mechanizmus monitorování a zaznamenávání bezpečnostních a provozních logů a auditních událostí.

Popis logů informačního aktiva

Výčet a popis všech událostí, které jsou zaznamenávány (př. přihlášení/odhlášení uživatele, provozní/chybové stavy, přidělení/odebrání oprávnění, …)

Včetně jejich jednotlivých identifikátorů

Včetně popisu jednotlivých polí/atributů události

Způsob uložení zalogovaných událostí

Jak jsou události uloženy

Kde

soubor (včetně cesty k souboru)

databáze, včetně:

DB serveru a názvu tabulky, případně tabulek

SQL dotazu pro sestavení view v případě, že událost je uložena do více tabulek

vzdálený server (IP adresa, protokol)

Jak dlouho jsou uloženy

Jak lze konfigurovat

Protokol logování (např. syslog, windows event log, W3C, apod.)

Popis provozního monitoringu (např. SNMP, síťový monitoring, aplikační monitoring)

Popsat, jakým způsobem je realizován provozní monitoring za účelem identifikace a detekce požadovaných či nestandardních provozních stavů


1.10 Základní uživatelská příručka

Cíl dokumentu: vytvořit základní návod pro ovládání uživatelského rozhraní systému pro běžného uživatele. Zjednodušit běžnému uživateli základní orientaci v uživatelském rozhraní systému.

Forma dokumentu: textový popis, textový popis doplněný o obrázky

Popis provedení základních/běžných/rutinních funkcí, kroků a postupů, které uživatel může provádět


1.11 Základní administrátorská příručka

Cíl dokumentu: vytvořit základní návod pro ovládání administračního rozhraní systému pro administrátora. Zjednodušit privilegovanému uživateli základní orientaci v administračním rozhraní systému.

Forma dokumentu: textový popis, textový popis doplněný o obrázky

Popis provedení standardních (základních/běžných/rutinních) operací, které vedou k běžné administraci systému

Popis provedení nestandardních (málo běžných) operací, pokud je třeba


1.12 Popis klíčových komponent

Cíl dokumentu: popsat a zdokumentovat účel, význam, úlohu a způsob použití klíčových komponent systému

Forma dokumentu: textový popis (může být doplněno i o schéma)

Základní fungování, účel, úloha jednotlivých klíčových komponent + jakou platformou (softwarem) jsou jednotlivé komponenty zajištěny

o Např. master (server), agent (klient), různé typy použitých serverů, moduly, zdroje informací, příjemci informací (systémy), apod.





















Příloha č. 8 kupní smlouvy

Požadavky a opatření pro zajištění bezpečnosti informací a informačních aktiv kupujícího:

  • Bezpečnost přístupových oprávnění

    • Poskytovatel je povinen chránit veškeré přístupové údaje k informačním aktivům kupujícího včetně přístupů k informačním aktivům prodávajícího, které umožňují přístup k informačním aktivům kupujícího či umožnují jejich správu.

    • Prodávající je povinen dodržovat tuto bezpečnostní politiku hesel pro výše uvedené přístupové údaje:

      • min. délka hesla 17 znaků

      • složitost hesla musí splňovat minimálně 3 ze 4 kategorií

        • malá písmena

        • velká písmena

        • číslice

        • speciální znaky

      • hesla musí být uchovávána v tajnosti, nesmí být ukládána v nezašifrované podobě (dle bodu kryptografie)

      • hesla nesmí obsahovat žádné informace z přihlašovacího jména (login)

      • platnost hesla musí být maximálně 1,5 roku.

    • Prodávající je povinen používat personifikované účty, které jsou nepřenosné na jiné osoby, než kterým byly údaje přiděleny.

    • Přístupová oprávnění lze využívat pouze pro ten účel, pro který byla zřízena.

    • Pokud by Prodávající zřizoval přístupová oprávnění třetí straně, je Prodávající povinen o této skutečnosti informovat Kupujícího. Kupující má v tomto případě právo zřízení přístupu zamítnout.

  • Řízení změn

    • Prodávající se zavazuje zaznamenávat všechny změny, které v informačním aktivu provedl.

    • Prodávající se zavazuje vynucovat zaznamenávání změn i u případných subposkytovatelů.

    • Záznam změny musí obsahovat minimálně tyto informace:

      • Datum a čas změny

      • Xxxxx osoby, která změnu provedla

      • Název, popis a účel změny

    • Kupující si vyhrazuje právo na pravidelné informace o záznamech všech změn provedených Prodávajícím i případnými subdodavateli/subposkytovateli.

    • Prodávající se zavazuje všechny jím provedené změny i změny případných subdodavatelů poskytnout Kupujícímu formou pravidelného měsíčního reportu ve formátu pdf, opatřeného elektronickým podpisem, zaslaného na email: xxxxxxxxx@xxx.xx případně DS: …………….

    • Řízení rizik

    • Kupující si vyhrazuje právo na informace o tom, jakým způsobem Prodávající řídí rizika v souvislosti s plněním této Smlouvy, tedy o tom, jakou metodiku pro řízení rizik používá, jakým způsobem jsou rizika hodnocena a klasifikována, jakým způsobem jsou rizika ošetřována a kdo je za řízení rizik za Prodávajícího zodpovědný.

    • Prodávající se zavazuje řídit rizika informační bezpečnosti minimálně v následujícím rozsahu:

      • Identifikace a ohodnocení aktiv souvisejících s plněním této Smlouvy,

      • Identifikace, analýza a ohodnocení rizik souvisejících s plněním této Smlouvy,

      • Zvládání a monitoring rizik souvisejících s plněním této Smlouvy.

  • Řízení kybernetických bezpečnostních incidentů:

    • Prodávající je povinen Kupujícímu hlásit veškeré kybernetické bezpečnostní incidenty, které by mohli mít nějakou souvislost s:

      • informačními aktivy Kupujícího,

      • přístupovými údaji k informačním aktivům Kupujícího,

      • informacím Kupujícího

    • Prodávající je dále povinen poskytnout adekvátní součinnost při řešení kybernetických bezpečnostních incidentů a při forenzní analýze incidentů souvisejících s informačními aktivy Kupujícího.

  • Kryptografie:

  1. Obecně

Pro šifrování, elektronické podepisování a provádění otisků dat (hashování) nesmí být použity proprietární/uzavřené algoritmy, ale ty, které jsou považovány za standardy, jejich funkcionalita je všeobecně známá

  1. Hashovací funkce

  2. Ukládání otisků hesel

  • pro ukládání hesel uživatelů mohou být použity pouze tyto tzv. pomalé hashovací funkce:

    • Argon2 s parametry alespoň t=1, m=221, p=4 a funkcí Argon2id

    • scrypt s parametry alespoň N=32768 (215), r=8, a p=1

    • PBKDF2 s počtem iterací alespoň 100 000 a schválenou hašovací funkcí SHA-2 (viz níže)

  • při hashování hesla musí být použit pseudonáhodně vygenerovaný kryptografický salt

  • pro ukládání hesel nesmí být použity tzv. rychlé hashovací funkce typu MD-X, SHA-X, apod.

  1. Elektronické podepisování e-mailů a dokumentů

  • SHA-2 (SHA-256, SHA-384, SHA-512, SHA-512/256) a SHA-3 (SHA3-256, SHA3-384, SHA3-512, SHAKE128, SHAKE256)

  • délka otisku 384 bitů a vyšší

  1. Ověřování integrity souborů

  • SHA-2 (SHA-256, SHA-384, SHA-512, SHA-512/256) a SHA-3 (SHA3-256, SHA3-384, SHA3-512, SHAKE128, SHAKE256)

  • délka otisku 384 bitů a vyšší

  1. Asymetrická kryptografie

  2. SSL/TLS

  • verze protokolu minimálně TLSv1.2 a vyšší

  • konfigurace

    • cipher suite musí být vybrána na základě serverem preferovaného pořadí

    • vyšší priority musí mít cipher suites, které obsahují varianty asymetrických algoritmů s eliptickými křivkami, např.:

      • ECDHE musí mít vyšší prioritu než DHE

      • ECDSA musí mít vyšší prioritu než DSA

    • všechny EXPORT cipher suites musí být zakázány

    • algoritmy a funkce pro výměnu klíčů

      • algoritmus pro výměnu klíčů musí podporovat Perfect forward secrecy

        • tzn., že šifrovací klíč je vyměněn mezi klientem a serverem tak, aby jej nebylo možné získat se znalostí privátního klíče serveru, např. musí být použit Diffie-Hellman (DH nebo ECDH) algoritmus

        • a navíc se musí jednat o tzv. ephemeral Diffie-Hellman (DHE, ECDHE), tzn. že pro každou session je generován nový set Diffie-Hellman klíčů

      • délky klíčů:

        • pro Diffie-Hellman (DH) - 3072 bitů

        • pro Elliptic Curve Diffie-Hellman (ECDH) – 256 bitů a více

      • nesmí být použita anonymní výměna klíčů

    • algoritmy a funkce pro autentizaci

      • minimální délky klíčů:

        • RSA - 3072 bitů

        • DSA – 3072 bitů

        • ECDSA - 256 bitů

    • algoritmy a funkce pro symetrické šifrování

      • nesmí být použita hodnota NULL v cipher suites

      • nesmí být použity tyto šifry:

        • DES, 3DES, RC4

      • minimální délka šifrovacího klíče - 128 bitů

      • cipher suites s šiframi s větší délkou klíče musí mít větší prioritu v seznamu ciphersuites než s menší délkou klíče

    • MAC (Message Authentication Code)

      • použití SHA funkce s minimální délkou hashe 256 bitů

      • vyšší délky otisků musí mít vyšší prioritu v cipher suites

  1. TLS cipher suites

  • Doporučené cipher suites (v doporučeném pořadí), které naplňují výše zmíněné požadavky

  • TLS1.3:

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_AES_128_GCM_SHA256

TLS_AES_128_CCM_SHA256



  • TLS1.2:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256



  1. Šifrování, podepisování a autentizace

  • týká se různých technologií PKI, PGP, S/MIME, SSH, apod.

  • minimální délka klíče

    • algoritmus DSA – 2048 bitů (postupně přecházet na 3072 bitů, tam kde to půjde)

    • algoritmus RSA - 2048 bitů (postupně přecházet na 3072 bitů, tam kde to půjde)

    • algoritmus ECDSA - 256 bitů

  • Ověřování (např. SSH klíče)

    • délka klíče minimálně 2048 bitů u RSA a DSA algoritmů (postupně přecházet na 3072 bitů, tam kde to půjde)

    • délka klíče minimálně 256 bitů u algoritmů používajících eliptické křivky

  1. Symetrická kryptografie

  • nesmí být použity tyto šifry:

    • DES, 3DES, RC4, Blowfish, Kasumi

  • minimální délka šifrovacího klíče - 128 bitů

    • pro šifru Chacha20 minimálně 256 bitů a se zatížením klíče menším než 256 GB

  • nesmí být použity tyto módy pro ochranu integrity:

    • HMAC-SHA1, CBC-MAC-X9.19



Kybernetická bezpečnost Nemocnice Nové Město na Moravě“ reg. č. CZ.06.01.01/00/22_004/0000172


strana 31 (celkem 31)

Document Metadata

Filed: October 4th, 2024