KUPNÍ SMLOUVA

zákona č. 89/2012, občanského zákoníku, proto poskytuje kupujícímu licenci (tj. oprávnění k výkonu práva duševního vlastnictví (licenci) v ujednaném rozsahu), a to formou licenčního ujednání v této kupní smlouvě. Prodávající prohlašuje, že se jedná o licenci:

a) nevýhradní licenci k veškerým známým způsobům užití takového software, a to v rozsahu minimálně nezbytném pro řádné užívání software kupujícím;

b) licenci neomezenou územním či množstevním rozsahem (není-li v této smlouvě uvedeno jinak) a rovněž tak neomezenou způsobem nebo rozsahem užití;

c) licenci udělenou na dobu určitou, tedy po dobu držení vlastnických práv,

d) licenci převoditelnou a postupitelnou, tj. která je udělena s právem postoupení licence třetí osobě

e) licenci, kterou není kupující povinen využít.

5.2. Licence je poskytnutá v maximálním rozsahu povoleném platnými právními předpisy.

5.3. Prodávající prohlašuje, že odměna za poskytnutí licence kupujícímu je již zahrnuta

v kupní ceně za poskytnuté plnění dle této kupní smlouvy.

Čl. 6 Kupní cena a platební podmínky

6.1. Kupní cena je nabídkovou cenou předloženou prodávajícím v jeho nabídce na veřejnou zakázku uvedenou v článku 2.1 této smlouvy pro kupujícího uvedeného v článku Čl. 1 této smlouvy a relevantní části přílohy č. 3 této smlouvy cenové tabulky s označením konkrétního zadavatele (nemocnice), přičemž se skládá z ceny dodávky jednotlivých zařízení a licencí.

6.2. Kupující se zavazuje zaplatit prodávajícímu za předmět spočívající v dodávce plnění uvedený v Čl. 4 této smlouvy kupní cenu ve výši

18 315 280,00 Kč bez DPH,

22 161 489,00 Kč včetně DPH,

když DPH ve výši 21 % činí 3 846 209,00 Kč.

6.3. Kupní cena je stanovena jako cena konečná a úplná, zahrnuje veškeré dodávky a služby s dodávkami související a veškeré jiné náklady nezbytné pro řádnou a úplnou realizaci předmětu plnění této smlouvy včetně všech rizik a vlivů s plněním předmětu této smlouvy souvisejících. Kompletní skladba kupní ceny a její rozklad je obsažen v příloze č. 3 této smlouvy, ve které je rovněž oddělena část plnění určená pro konkrétního zadavatele (jednu z nemocnic) zastoupeného centrálním zadavatelem ve společné veřejné zakázce, na jejímž základě byla uzavřena tato kupní smlouva.

6.4. Prodávající není oprávněn požadovat po kupujícím poskytnutí zálohy.

6.5. Prodávající na sebe bere odpovědnost za to, že sazba a výše daně z přidané hodnoty bude stanovena v souladu s platnými právními předpisy. V případě, že dojde mezi dnem podpisu kupní smlouvy a dnem uskutečnění zdanitelného plnění ke změně sazby DPH podle zákona č. 235/2004 Sb., o dani z přidané hodnoty, bude daň z přidané hodnoty připočtena ke kupní ceně ve výši dle právní úpravy platné ke dni uskutečnění zdanitelného plnění.

6.6. Kupní cenu zaplatí kupující prodávajícímu bankovním převodem na bankovní účet prodávajícího uveden v článku 1 této smlouvy na základě daňového dokladu (faktury)

vystaveného prodávajícím ke dni uskutečnění zdanitelného plnění, který je dnem podepsání předávacího protokolu na předmět plnění dle této smlouvy. Daňový doklad je považován za proplacený okamžikem odepsání příslušné částky z účtu kupujícího ve prospěch účtu prodávajícího.

6.7. Prodávající na základě svého práva vystavit daňový doklad (fakturu) vystaví samostatnou fakturu za předmět koupě dle této smlouvy.

6.8. Na daňovém dokladu (faktuře) bude uveden rozklad fakturované částky na jednotlivá zařízení, tak aby byla zřejmá cena jednotlivých zařízení, a tak aby bylo kupujícímu usnadněno zavedení do majetkové evidence. Součástí daňového dokladu rovněž musí být název projektu „Zvýšení kybernetické bezpečnosti Oblastní nemocnice Náchod a.s. v oblasti komunikačních sítí“ a číslo projektu CZ.06.01.01/00/22_003/0000020.

6.9. Splatnost daňového dokladu je 30 dnů ode dne jeho doručení kupujícímu.

6.10. Daňový doklad bude obsahovat náležitosti daňového a účetního dokladu podle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů, bude mít náležitosti obchodní listiny dle § 435 zákona č. 89/2012 Sb., občanského zákoníku. V případě, že daňový doklad takové náležitosti nebude splňovat, bude kupujícím vrácen do dne splatnosti daňového dokladu k opravení bez jeho proplacení. V takovém případě lhůta splatnosti počíná běžet znovu ode dne doručení opraveného či nového vyhotovení daňového dokladu.

6.11. Pro případ, že prodávající je, nebo se od data uzavření smlouvy do dne uskutečnění zdanitelného plnění stane na základě rozhodnutí správce daně „nespolehlivým plátcem“ ve smyslu ustanovení § 106a zákona č. 235/2004 Sb., o DPH, ve znění pozdějších předpisů, souhlasí prodávající s tím, že mu kupující uhradí cenu plnění bez DPH a DPH v příslušné výši odvede za nespolehlivého plátce přímo příslušnému správci daně. V souvislosti s tímto ujednáním nebude prodávající vymáhat od kupujícího část z ceny plnění rovnající se výši odvedeného DPH a souhlasí s tím, že tímto bude uhrazena část jeho pohledávky, kterou má vůči kupujícímu, a to ve výši rovnající se výši odvedené DPH.

Čl. 7 Předání a převzetí věci a vlastnické právo

7.1. Prodávající předá kupujícímu předmět plnění této smlouvy do 8 měsíců od nabytí účinnosti této smlouvy, a to včetně zpracování a schválení vstupní analýzy, realizace všech souvisejících služeb a provedení zkušebního provozu. Bez dodávky příslušenství a realizovaného požadovaného rozsahu služeb nebude možné ze strany kupujícího považovat předmětu plnění za realizovaný a předmět koupě nebude z jeho strany možné převzít.

7.2. Místem dodání a předání předmětu plnění této smlouvy je uvedeno v příloze č. 1 této smlouvy. Před dodávkou zařízení je prodávající povinen vyzvat kontaktní osobu kupujícího k potvrzení rozdělení jednotlivých dodávek mezi jednotlivé lokality uvedené v předmětné příloze, do kterých bude docházet k instalaci jednotlivých zařízení.

7.3. Vlastnické právo k předmětu plnění přechází na kupujícího v okamžiku jeho předání prodávajícím a převzetí kupujícím potvrzeného na předávacím protokolu.

7.4. Nebezpečí nahodilé zkázy a nahodilého zhoršení vlastností předmětu plnění včetně užitku přechází na kupujícího současně s nabytím vlastnictví.

7.5. Náklady spojené s předáním předmětu plnění, zejména dopravu, nese prodávající a náklady spojené s převzetím nese kupující.

7.6. O předání a převzetí předmětu plnění a souvisejících dokladů bude sepsán předávací protokol podepsaný zástupci obou smluvních stran. Za kupujícího je předávací protokol oprávněn podepsat a předmět plnění převzít kontaktní osoba kupujícího uvedená v článku 1. této smlouvy.

Čl. 8 Součinnost

8.1. Kupující požaduje, aby maximum prací odvedl prodávající samostatně, bez zatěžování pracovníků kupujícího. Součinnost kupujícího bude omezena na nezbytnou míru a bude se vztahovat především na schvalování výstupů prodávajícího v předem definovaných kontrolních dnech a na nezbytnou IT podporu nutnou k nasazení technologií.

8.2. Rozsah součinnosti bude odsouhlasen před zahájením implementačních a instalačních služeb, včetně termínů jejího poskytování.

8.3. V případě následného požadavku prodávajícího na součinnost nad dohodnutý rámec má kupující právo součinnost odmítnout, případně ji poskytnout v termínu a rozsahu dle svých možností, a to bez dopadu na harmonogram realizace a z něj vyplývající sankce za nedodržení termínů.

8.4. Neposkytnutí součinnosti jako důvod pro posun smluvních termínů bude akceptován pouze tam, kde byla součinnost kupujícím přislíbena při zahájení implementačních a instalačních prací.

Čl. 9 Projektový tým (seznam techniků)

9.1. Prodávající se zavazuje předmět plnění smlouvy realizovat prostřednictvím projektového týmu (seznamu techniků), kterým prokázal kvalifikaci ve veřejné zakázce, na jejímž základě je uzavírána tato smlouva. Projektový tým (seznam techniků) prodávajícího je odpovědný za plnění této smlouvy.

9.2. Prodávající se zavazuje realizovat předmět plnění této smlouvy prostřednictvím projektového týmu (seznamu techniků) v tomto složení na těchto pozicích:‌

Projektový manažer - ……………………..

Technický specialista – architekt podnikové ICT architektury – ……………..

Technický specialista – kybernetická bezpečnost – …………………..

Technický specialista – síťová infrastruktura – …………………………

Technický specialista – síťová infrastruktura – ………………

9.3. Změna konkrétní osoby na pozici člena projektového týmu prodávajícího je možná pouze za předpokladu prokázání potřebné kvalifikace novou osobou v rozsahu stanoveném pro danou pozici člena projektového týmu stanovenou ve veřejné zakázce, na jejímž základě je uzavřena tato smlouva. Taková změna musí být prodávajícím řádně iniciována písemně dokladována a prokázána kvalifikace nové osoby na pozici člena projektového týmu před jeho zapojením do realizace plnění dle této smlouvy (včetně všech souvisejících požadavků na projektový tým stanovený v zadávacích podmínkách,

na jejichž základě je uzavřena tato smlouva, jako např. max. počet pozic obsazených jednou osobou apod.).

Čl. 10 Další práva a povinnosti smluvních stran

10.1. Prodávající se zavazuje zaslat seznam sériových čísel dodaných zařízení a MAC adres síťových karet, a to v elektronické podobě na e-mail kontaktní osoby kupujícího nejpozději do 1 týdne od realizace dodávky.

10.2. Prodávající se dále zavazuje předat kupujícímu listinné potvrzení dodaných licencí, které jsou předmětem plnění této kupní smlouvy.

10.3. Prodávající se zavazuje v rámci realizace plnění dodržovat veškeré předpisy a normy v oblasti kybernetické bezpečnosti blíže uvedené v příloze č. 1 této smlouvy a její kapitole kybernetická bezpečnost.

10.4. Prodávající je povinen zajistit i veškerá bezpečnostní opatření na ochranu osob a majetku v areálu kupujícího, jsou-li tato dotčena dodáním zboží prodávajícího.

10.5. Prodávající je povinen k náhradě újmy způsobené činností svých poddodavatelů.

10.6. Prodávající je povinen k náhradě újmy způsobné okolnostmi, které mají důvod v povaze strojů, přístrojů nebo jiných věcí, které prodávající použil.

10.7. Smluvní strany sjednávají, že prodávající není oprávněn započíst si jakoukoliv svoji peněžitou pohledávku za kupujícím, a to ani část své pohledávky, včetně pohledávek získaných postoupením, vůči jakékoliv peněžité pohledávce kupujícího za prodávajícím.

10.8. Prodávající není oprávněn postoupit jakoukoliv svoji pohledávku, a to ani část pohledávky, za kupujícím, která vznikne na základě a/nebo v souvislosti s touto smlouvou, ani k ní zřídit smluvní zástavní právo, ani postoupit svoje smluvní postavení z této smlouvy na třetí osobu.

10.9. Prodávající je povinen uchovávat veškerou dokumentaci související s realizací projektu (předmětu plnění této smlouvy) včetně účetních dokladů minimálně do konce roku 2040.

10.10. Prodávající je povinen minimálně do konce roku 2040 poskytovat požadované informace a dokumentaci související s realizací projektu (předmětu plnění této smlouvy) zaměstnancům nebo zmocněncům pověřených orgánů (CRR, MMR ČR, MF ČR, Evropské komise, Evropského účetního dvora, Nejvyššího kontrolního úřadu, příslušného orgánu finanční správy a dalších oprávněných orgánů státní správy) a je povinen vytvořit výše uvedeným osobám podmínky k provedení kontroly vztahující se k realizaci projektu (předmětu plnění této smlouvy) a poskytnout jim při provádění kontroly součinnost.

Čl. 11 Práva z vadného plnění a smluvní záruka

11.1. Kupující požaduje a prodávající se zavazuje držet záruku na předmět plnění této smlouvy v rozsahu definovaném v příloze č. 1 smlouvy – Technické specifikaci a příloze č. 3 Cenová tabulka, kdy je pro každý typ zařízení definován odlišný typ a rozsah požadované záruky. Prodávající se dále v rámci prvních dvou let běhu této záruky zavazuje zajistit provedení zpětné montáže opraveného nebo nahrazeného zařízení z důvodu jeho vady a to včetně provedení jeho konfigurace, ať už nahráním konfiguračního souboru nebo jinou vhodnou cestou.

11.2. Záruka na jednotlivá zařízení, která jsou předmětem plnění této smlouvy, počíná svůj běh dnem jejich předání kupujícímu na základě řádně oběma smluvními stranami podepsaného předávacího protokolu. V případě, že podmínky výrobce zařízení, ke kterému kupující požadoval záruku a záruční servis garantovaný výrobcem zařízení, stanoví počátek běhu záruční lhůty a záručního servisu dodáním do prostředí kupujícího, je možné akceptovat běh těchto lhůt od tohoto okamžiku. Nicméně to pouze u těch zařízení, u kterých to prodávající prokazatelně doloží.

11.3. Prodávajícím poskytnutá záruka v délce uvedené ve specifikaci jednotlivých zařízení obsažených v příloze č. 1 této smlouvy se vztahuje na funkčnost dodaného plnění, jakož i na jeho vlastnosti požadované kupujícím.

11.4. Záruka na předmět koupě se poskytuje v délce pěti (5) let. Na příslušenství a provedené implementační a konfigurační práce bude prodávajícím poskytována záruka v délce dvou (2) let. V případě vad takového příslušenství se prodávající zavazuje provést opravu nebo věc nahradit novou do 30 kalendářních dnů ode dne nahlášení vady kupujícím v sídle kupujícího. V případě vad provedených implementačních a konfiguračních prací se prodávající zavazuje provést opravu do 14 kalendářních dnů ode dne nahlášení vady kupujícím v místě plnění.

11.5. Po celou záruční dobu na samotná zařízení podle této smlouvy prodávající garantuje kupujícímu přijmout od něj nahlášení poruchy a dle parametrů záruky pro jednotlivé zařízení dle specifikace uvedené v příloze č. 1 této smlouvy garantuje realizaci opravy technikem v místě dodávky.‌

11.6. Prodávající odpovídá kupujícímu za to, že dodaný předmět smlouvy bude mít vlastnosti zabezpečující jeho řádné užívání, stanovené v minimální konfiguraci v technické specifikaci kupujícího a v konečné konfiguraci ve specifikaci obsažené v nabídce prodávajícího.

11.7. Prodávající odpovídá kupujícímu dále za to, že dodaný předmět smlouvy bude mít vlastnosti zabezpečující jeho řádné užívání a že je bez právních a faktických vad. Dále prodávající zaručuje, že na dodaném předmětu smlouvy neváznou práva třetích osob.

11.8. Prodávající se zavazuje zajistit, že veškerá komunikace na základě této kupní smlouvy bude z jeho strany vedena v českém jazyce, a to včetně uplatňování a řešení závad a reklamací jednotlivých zařízení a licencí na základě této smlouvy.‌

11.9. Vady musí kupující uplatnit u prodávajícího bez zbytečného odkladu poté, co se o nich dozví.

11.10. Uplatněním práv z odpovědnosti za vadné plnění není dotčeno právo kupujícího na náhradu škody.

Čl. 12 Smluvní pokuty

12.1. Pro případ prodlení se zaplacením kupní ceny se kupující zavazuje uhradit prodávajícímu smluvní pokutu ve výši 0,01 % z fakturované ceny za každý den prodlení.

12.2. Nesplní-li prodávající svůj závazek vycházející z každého z dílčího termínu harmonogramu plnění, který bude připraven v rámci realizace plnění dle specifikace v příloze č. 1 této smlouvy - Technické specifikace, je oprávněn objednatel požadovat po zhotoviteli zaplacení jednorázové smluvní pokuty ve výši 5.000,- Kč za nedodržení termínu plnění každého z termínů stanoveného v harmonogramu.

12.3. Nesplní-li prodávající svůj závazek v rozsahu a čase plnění sjednaném touto smlouvou jako celku předmětu koupě, je oprávněn kupující požadovat po zhotoviteli nad rámec nedodržení plnění dle termínů harmonogramu zaplacení jednorázové smluvní pokuty ve výši 50.000,- Kč za nedodržení termínu plnění a dále smluvní pokuty ve výši 0,1 % ze sjednané ceny plnění dle této smlouvy za každý započatý den prodlení, až do řádného dokončení a předání celého předmětu plnění a prodávající je povinen takto požadovanou smluvní pokutu zaplatit.

12.4. Funkčnost síťového prostředí je pro kupujícího klíčová za účelem provozu elektronické podpory poskytovaných zdravotnických služeb. Výpadek síťového prostředí v důsledku pochybení při realizaci prací na straně prodávajícího má potenciál významně poškodit kupujícího v podobě omezení provozu a schopnosti plnit své poslání a účel. S ohledem na tuto skutečnost v rámci přílohy č. 1 této smlouvy kupující stanovil následující požadavek na instalační služby: „Montáž prvků do racku, propojení, sestohování, montáž prvku musí být provedena tak, aby po jeho uvedení do provozu nebyl narušen provoz a dostupnost aplikačních služeb, které jsou poskytovány stávající technologií a její konfigurací; součinnost pro instalaci jednotlivých prvků musí být předem odsouhlasena.“ S ohledem na výše uvedené se v případě narušení provozu a nedostupnosti aplikačních služeb způsobených nesprávně provedenou montáží a konfigurací prvku ze strany prodávajícího stanoví smluvní pokuta ve výši 2.000,- Kč za každý zjištěný a nahlášený případ. V případě neuvedení prvku do řádného stavu do 24 hodin od nahlášení tato smluvní smluvní pokuta pokračuje ve stejné výši i za každý další započatý den až do vyřešení.

12.5. V případě prodlení prodávajícího s odstraněním nahlášené závady ve lhůtě uvedené v čl. 11.5 smlouvy je kupující oprávněn vyúčtovat smluvní pokutu ve výši 500,- Kč za každou, i započatou, hodinu prodlení prodávajícího s odstraněním nahlášené závady, max. však do výše 100 % pořizovací ceny daného zařízení.

12.6. V případě prodlení prodávajícího s odstraněním nahlášené závady na příslušenství se stanovuje smluvní pokuta ve výši 200,- za každý celý kalendářní týden prodlení.

12.7. V případě prodlení prodávajícího s odstraněním nahlášené závady v podobě provedených implementačních a konfiguračních prací se stanovuje smluvní pokuta ve výši 500,- za každý celý pracovní den prodlení.

12.8. Nesplní-li prodávající řádně podmínky projektového řízení dle přílohy č. 1 této smlouvy

- Technické specifikace zejména v případě zápisů ze schůzek a pracovních jednání, v případě účasti odpovědné osoby prodávajícího na kontrolních dnech a v případě pravidelného reportingu, je kupující oprávněn požadovat po prodávajícím smluvní pokutu ve výši 500,- Kč za každý případ takového pochybení a to i opakovaně.

12.9. V případě realizace předmětu plnění této smlouvy projektovým týmem prodávajícího v jiném složení, než které je uvedeno v článku 9.2 této smlouvy, je objednatel oprávněn požadovat po zhotoviteli zaplacení smluvní pokuty ve výši 20.000,- Kč za každý zjištěný případ.

12.10. V případě nedodržení komunikace v českém jazyce na základě této smlouvy podle článku 11.8 smlouvy je kupující oprávněn vyúčtovat smluvní pokutu ve výši 1.000,- Kč za každý případ.

12.11. Zaplacením smluvní pokuty nezaniká povinnost druhé strany závazek splnit a není tím dotčeno právo poškozené strany na náhradu škody, které nesplněním povinnosti vznikla.

12.12. Výši smluvních pokut shodně považují obě smluvní strany za přiměřené. Smluvní pokuta je splatná do 30-ti dnů od doručení jejího vyúčtování.

Čl. 13 Odstoupení od smlouvy

13.1. Odstoupení od smlouvy se řídí ustanoveními § 223 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, a dále § 2001 a násl. zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů.

13.2. Nebude-li uhrazena kupní cena do 60 dnů ode dne splatnosti daňového dokladu prodávajícímu v důsledku zavinění kupujícího a ani do dalších 15 dnů po opakovaném vyzvání prodávajícím k takové úhradě, sjednává si prodávající právo odstoupit od této kupní smlouvy.

13.3. Právo odstoupit od této kupní smlouvy má kupující tehdy, jestliže jej prodávající ujistil, že předmět plnění této smlouvy má určité vlastnosti, zejména vlastnosti kupujícím vymíněné, anebo prodávající kupujícího ujistil, že předmět plnění této smlouvy nemá žádné vady, a toto ujištění se ukáže být nepravdivým.

13.4. Další důvody pro odstoupení od smlouvy ze strany kupujícího jsou stanoveny v příloze č. 1 této smlouvy.

Čl. 14 Registr smluv – doložka

14.1. Prodávající tímto uděluje souhlas kupujícímu k uveřejnění všech podkladů, údajů a informací uvedených v této smlouvě, k jejichž uveřejnění vyplývá pro kupujícího povinnost dle právních předpisů.

14.2. Prodávající je současně srozuměn s tím, že kupující je oprávněn zveřejnit obraz smlouvy a jejich případných změn (dodatků) a dalších dokumentů od této smlouvy odvozených včetně metadata požadovaných k uveřejnění dle zákona č. 340/2015 Sb., o registru smluv.

14.3. Zveřejnění smlouvy a metadata v registru smluv zajistí kupující.

Čl. 15 Závěrečná ustanovení

15.1. Tato smlouva je vyhotovena v elektronickém originále, jenž po podpisu druhou ze smluvních stran obdrží obě smluvní strany.

15.2. Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami a

účinnosti uveřejněním v registru smluv.

15.3. Právní vztahy touto smlouvou výslovně neupravené a s ní související nebo z ní vyplývající se řídí ustanoveními zákona č. 89/2012 Sb., občanského zákoníku.

15.4. Přílohami této smlouvy jsou:

• Příloha č. 1 – Technická specifikace zadavatele (kupujícího)

• Příloha č. 2 – Technická specifikace účastníka zadávacího řízení (prodávajícího) z jeho vítězné nabídky, včetně jednotkových cen zařízení

• Příloha č. 3 – Cenová tabulka obsahující skladbu nabídkové ceny z nabídky prodávajícího

15.5. Strany této smlouvy berou na vědomí, že kupující jako správce osobních údajů je oprávněn zpracovávat zde uvedené osobní údaje v souladu s článkem 6 odst. 1 písm.

b) Obecného nařízení (toto zpracování je nezbytné pro splnění smlouvy) a písm. c) (toto zpracování je nezbytné pro splnění právní povinnosti správce zveřejnit smlouvu na profilu zadavatele dle zákona č. 137/2006 Sb., o veřejných zakázkách, v registru smluv dle zákona č. 340/2015 Sb., o registru smluv, postupy podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím nebo na své úřední desce dle zákona č. 128/2000 Sb., o obcích).

15.6. V případě, že po podpisu této smlouvy na prodávajícího anebo jeho poddodavatele budou dopadat mezinárodní sankce podle zákona upravujícího provádění mezinárodních sankcí č. 69/2006 Sb. ve smyslu zákona č. 240/2022 Sb. účinného od 1.

9. 2022, je povinen to prodávající písemně oznámit kupujícímu. V případě, že oznámení neprovede a kupující zjistí, že na prodávajícího anebo jeho poddodavatele mezinárodní sankce dopadají, vyzve prodávajícího k vysvětlení nebo nápravě formou vyjmutí osoby ze sankčního seznamu. V případě že náprava není možná, odstoupí kupující od této smlouvy, přičemž účinnost odstoupení nastává doručením odstoupení prodávajícímu.

15.7. Smluvní strany prohlašují, že si tuto smlouvu před jejím podpisem přečetly a s celým jejím obsahem souhlasí. Dále prohlašují, že tato smlouva vyjadřuje jejich pravou a svobodnou vůli. Na důkaz toho připojují vlastnoruční podpisy na smlouvě.

Za kupujícího	Za prodávajícího
V Náchodě dne 24.06.2024	V Jihlavě/Praze dne 18.04.2024
…………………………………….	…………………………………….
RNDr. Xx. Xxx Xxxx předseda správní rady	Xxx. Xxxxxxxx Xxxxxx člen představenstva …………………………………. Xxxxx Xxxxxxxx člen představenstva

Příloha č. 1 smlouvy – Technická specifikace zadavatele (kupujícího)

Obsah

1 TECHNICKÁ SPECIFIKACE ZADAVATELE (KUPUJÍCÍHO) 1

2 NÁVAZNOST NA PROJEKTY NEMOCNIC 4

3 MÍSTO PLNĚNÍ 4

4 POČET A TYP TECHNOLOGIÍ 5

5 AUTENTIZAČNÍ PLATFORMA (AAA) 5

6 PŘEPÍNAČ TYP 1 9

7 PŘEPÍNAČ TYP 2 12

8 PŘEPÍNAČ TYP 3 14

9 KONTROLÉR BEZDRÁTOVÉ SÍTĚ - DVA TYPY 17

10 BEZDRÁTOVÝ PŘÍSTUPOVÝ BOD (AP) 19

11 POŽADOVANÉ IMPLEMENTAČNÍ SLUŽBY 21

11.1 Základní instalační služby 21

11.2 S JEDNOCENÍ KONFIGURACE SÍTĚ , POLITIK A VLAN 22

11.3 Časový rámec pro realizaci instalačních služeb 23

11.4 Zkušební provoz 23

11.5 Kybernetická bezpečnost 24

11.6 Projektové řízení 25

Kupující požaduje dodávku jednotlivých komponent dle této technické dokumentace včetně příslušenství

v níže uvedené minimální specifikaci.

Musí se jednat o zařízení nová, nepoužitá, nerepasovaná a určená pro prodej v České republice, potažmo

v EU.

Součástí dodávky níže uvedených technologií budou i dále uvedené služby.

Součástí dodávky bude dále dodávka dokumentace a nezbytné zaškolení administrátorů v prostředí kupujícího k běžnému provozu a ovládání dodaných technologií včetně specifik a konfigurace provedené v prostředí kupujícího.

Nabízené zboží musí být standardní, běžně dostupné a určené k produkčnímu použití. Není dovoleno použití beta-verzí, kódu s custom úpravami či neoficiálních verzí.

Veškeré nabízené zboží musí být pokryto oficiálním supportem, přičemž požadavek na provedení bezplatného servisního zásahu musí být možné kdykoliv vznést přímo na výrobce zařízení.

Veškeré deklarované funkce a technické parametry nabízeného zboží musí být dostupné nejpozději dnem podání nabídky.

Deklarované funkce a technické parametry nabízeného zboží musí být ověřitelné prostřednictvím oficiálních datasheetů, release notes či manuálů vydaných výrobcem.

Užité pojmy níže:

• NBD – další pracovní den, tzn. například realizace opravy zařízení nejpozději další pracovní den od nahlášení

• x BD – x pracovních dnů, tzn. například realizace opravy zařízení nejpozději poslední pracovní den dané lhůty od nahlášení

• on-site – realizace například opravy zařízení v místě dodávky

Všechny aktivní prvky musí být z důvodu snadné údržby a jednotné servisní podpory od stejného výrobce. Musí být instalovány nové, nepoužité, licencované na koncového uživatele a musí na ně být poskytnuta záruka výrobce v požadované délce. Součástí této záruky výrobce musí být:

• zrychlená výměna hardwaru odeslání náhradního dílu NBD

• nárok na nový software po dobu životnosti

• přístup na support portál výrobce Dodavatel se zaváže, že dodané síťové zařízení:

• pochází z autorizovaného prodejního kanálu výrobce

• má záruku výrobce

• splňuje podmínky servisní podpory výrobce

• obsahuje software výrobce s platnou licencí

• splňuje podmínky předpisů EU ohledně paralelního importu

• je reportováno zpět výrobci jako prodáno kupujícímu.

Dodavatel poskytne písemné potvrzení od zastoupení výrobce pro Českou republiku, že zařízení je z

pohledu výrobce autorizované ve jménu kupujícího.

2 Návaznost na projekty nemocnic ‌

Předmět plnění této technické specifikace plánuje kupující kofinancovat z několika projektů IROP jednotlivých nemocnic. Výčet projektů je uveden níže a dopad na fakturaci těchto projektů je uveden v kupní smlouvě.

Seznam projektů, které zajišťují kofinancování předmětu plnění této technické specifikace:

• Zvýšení kybernetické bezpečnosti Oblastní nemocnice Náchod a.s. v oblasti komunikačních sítí

• Zvýšení kybernetické bezpečnosti Oblastní nemocnice Trutnov a.s. v oblasti komunikačních sítí

• Zvýšení kybernetické bezpečnosti Oblastní nemocnice Jičín a.s. v oblasti komunikačních sítí

• Zvýšení kybernetické bezpečnosti Městské nemocnice, a.s. v oblasti komunikačních sítí

Z tohoto důvodu je potřeba odlišovat požadavek kupujícího na transparentní oddělení jednotlivých částí plnění tak, aby byla možná jednoduchá a transparentně přezkoumatelná fakturace plnění pro jednotlivé nemocnice, ale na druhou stranu samotné nemocnice a jejich zakladatel Zdravotnický holding Královéhradeckého kraje a.s. sledují klíčový cíl provozovat unifikovanou síťovou infrastrukturu, ve které si budou moci vzájemně vypomáhat, bude možné komplex sítě centrálně a jednotně řídit a její další rozvoj bude možné koordinovat společně.

Výsledné řešení tohoto plnění dále musí umožnit užití jednotných bloků IP adres napříč nemocnicemi v rámci konkrétních VLAN a další společně nastavená síťová pravidla, a tedy i spolupráci a výměnu dat jejich prostřednictvím.

Z tohoto důvodu je důležité, aby prodávající respektoval strukturu cenové tabulky, ve které je rozděleno plnění pro jednotlivé nemocnice, a současně aby ceny souvisejících prací, dodávek a služeb v podobě příslušenství zohlednil do cen těch položek, kterých se to bezprostředně týká a které budou součástí dodávky do jednotlivých nemocnic.

3 Místo plnění ‌

Místem plnění jsou areály jednotlivých nemocnic na následujících adresách:

• Oblastní nemocnice Náchod a.s.

x Xxxxxxxxx 000, 00000 Xxxxxx

o Xxxxxxxxx 000, 00000 Xxxxxx

o Xxxxxxxxx 000, 00000 Xxxxxxx xxx Xxxxxxx

x Xxxxxxxxx 00, 00000 Xxxxxxx – Xxxx Xxxxx

o Národní 83, 55101 Jaroměř – Pražské Předměstí

o T. G. Xxxxxxxx 000, 00000 Xxxx Xxxxx xxx Xxxxxx, Xxxxx

o Pitkova 635, 517 73 Opočno

• Oblastní nemocnice Trutnov a.s.

o Maxima Xxxxxxx 00, 00000 Xxxxxxx - Kryblice

o Xxxxxxx 000, 00000 Xxxxxxx – Vnitřní Město (budova finančního úřadu)

• Oblastní nemocnice Jičín a.s.

o Xxxxxxxxx 000, Xxxxxxxx Xxxxxxxxx, 000 00 Xxxxx

o Xxxx Xxxxxx 493, 50401 Nový Bydžov

• Městská nemocnice, a.s.

o Vrchlického 1504, 544 01 Dvůr Králové nad Labem

o Xxxxxxxxxxxx 000, 00000 Xxxx Xxxxxxx xxx Xxxxxx

4 Počet a typ technologií

Počet a typ jednotlivých technologií, které jsou specifikovány níže, je definován v samostatné příloze zadávací dokumentace a kupní smlouvy v podobě cenové tabulky.

Cílem této tabulky je předcházet duplicitám v počtu uváděných typů kusů technologií, které navíc ještě musejí být rozděleny mezi jednotlivé projekty nemocnic.

V této technické specifikace je proto klíčovým požadavkem funkcionalita, související služby a případné příslušenství jednotlivých kusů plnění, když počet a jejich umístění co do konkrétní nemocnice a jejího areálu je uveden v cenové tabulce.

Instalační a další související práce spojené s dodávkou a nasazením jednotlivých technologií prodávající zohlední v ceně jednotlivých zařízení.

Příslušenství - Příslušenství pro jednotlivé technologie v počtu a typu transceiverů a dále kabelů pro propojení technologií v rámci jednotlivých racků a technologických místností je co do počtu a typu specifikováno rovněž v cenové tabulce.

5 Autentizační platforma (AAA)‌

Požadujeme centralizovaný systém pro ověřování uživatelů, klasifikaci zařízení, řízení přístupu k síti a guest přístup, definující pravidla přístupu k síti v závislosti na kontextu připojení (uživatel, typ zařízení, stav zařízení, místo připojení apod.). Ve spolupráci s aktivními prvky (LAN přepínači, bezdrátovými AP nebo VPN branami) poskytne tato autentizační platforma (AAA) ochranu před neoprávněným přístupem k pevné LAN síti, bezdrátové wifi síti (metodou 802.1x) a pro VPN přístup.

AAA bude řídit bezpečný přístup uživatelů a zařízení ke sdíleným síťovým zdrojům a bude mít vazbu na stávající řešení perimetru sítě na platformě FortiGate. Systém bude na základě sdílených informací umožňovat pozorovat infikovaná koncová zařízení, omezit jim přístup, nebo napomoci v remediačním procesu.

Systém musí být plně kompatibilní s dodávanými přepínači a bezdrátovými přístupovými body.

V ON Náchod je již provozován Policy Manager Aruba ClearPass pro 1500 současně autentizovaných zařízení (802.1x). Tento systém bude licenčně rozšířen tak, aby pokrýval celou nemocnici tzn. na 5000 současně autentizovaných zařízení. Součástí dodávky bude i upgrade systému ClearPass na aktuální verzi. Zadavatel však připouští nahrazení stávajícího systému Aruba ClearPass v ON Náchod tak, aby nově dodávaný systém plně nahradil stávající a plně pokrýval 5000 současně autentizovaných zařízení.

Současně je v ON Náchod provozována bezdrátová WiFi síť řízená dvojicí kontrolérů Aruba 7210 v HA zapojení. Tato síť bude rozšířena o kompatibilní bezdrátové přístupové body. Součástí dodávky bude upgrade SW Aruba Mobility Controller na aktuální verzi.

Zadavatel připouští nahrazení stávajícího řešení bezdrátové sítě založené na HA dvojici HW kontrolérů Aruba 7210. Současně s náhradou kontrolérů musí dodavatel nahradit 200 ks stávajících bezdrátových přístupových bodů včetně příslušných licencí.

V nemocnicích Jičín, Trutnov a Dvůr Králové jsou vybudována datová centra s využitím HA zapojení přepínačů Aruba 8325 a Aruba 6300. Datové centrum v Náchodě je napojeno přes prvky Aruba 8325 TOR v budovách A a K na CORE prvky Aruba 8320. Dále je v nových budovách J a K provozováno 87 ks access přepínačů HPE Aruba série 2930.

Požadavek na funkcionalitu	Minimální požadavky
Celková kapacita řešení současně autentizovaných (pomocí 802.1x) zařízení v ON Trutnov	3500
Celková kapacita řešení současně autentizovaných (pomocí 802.1x) zařízení v ON Jičín	3000
Celková kapacita řešení současně autentizovaných (pomocí 802.1x) zařízení v N Dvůr Králové n. L.	500
Požadavek na funkcionalitu – společné parametry	Minimální požadavky
Autentizační platforma (AAA) pro řízení přístupu uživatelů a zařízení xx XXX a WiFi.	ANO
Virtuální appliance pro on-premise prostředí VMware	ANO
Virtuální appliance bez nutnosti dodatečných licencí např. pro OS nebo databáze.	ANO
Podpora řešení vysoké dostupnosti tak, aby v případě výpadku primárního AAA serveru převzal jeho roli sekundární server	ANO
Možnost vytváření clusteru více virtuálních appliance.	ANO
Cluster musí poskytovat vysokou dostupnost pro všechny funkcionality řešení a zároveň možnost navýšení počtu podporovaných uživatelů přidáním další instance.	ANO
Požadované metody autentizace uživatelů a zařízení	PEAP-MSCHAPv2, EAP- TLS, EAP-TTLS, MAC autentizace
Podpora RADIUS pro autentizaci, autorizaci, zaznamenávání a proxy funkci pro externí RADIUS	ANO
Podpora RadSec (RADIUS over TLS)	ANO

Podpora RADIUS CoA dle RFC3576	ANO
Podpora autorizace zařízení a uživatelů na základě kontextových informací jako čas, místo připojení, osobní profil či skupina v MS Active Directory	ANO
Možnost autorizace uživatelů na základě jejich vlastních accounting informací z předchozích připojení – např. za účelem omezení celkového času online či objemu přenesených dat za delší časové období	ANO
Možnost TACACS+ autentizace správců síťových zařízení	ANO
Řízení konfiguračních nebo přehledových příkazů na prvcích infrastruktury podle role administrátora	ANO
Možnost definice sad příkazů a jejich přiřazení podle role administrátora	ANO
Možnost integrace vícefaktorové autentizace pro řízení přístupu k prvkům sítě	ANO
Okamžité informace o prováděných příkazech na síťových zařízeních	ANO
Další požadované autentizační a autorizační zdroje a metody	LDAP, MS AD, Token, MAC, generická SQL databáze, Kerberos, HTTPS web autentizace, SSO (minimálně SAML 2+ IdP a SP, OAuth, Shibboleth a Okta)
Ověření uživatelů heslem nebo certifikátem	ANO
Interní databáze pro uživatele i koncová zařízení	ANO
Řízení přístupu k síti pomocí filtrů nebo přiřazením do VLAN sítě podle: - uživatele (role, skupiny), - stavu a typu koncového zařízení (viz výše), - místa připojení, - historie připojení	ANO
Omezení přístupu k síti pomocí filtrů aplikovaných na vstupu do sítě	ANO
Zaznamenávání aktivity uživatelů a zařízení připojených k síti	ANO
Snadné vytváření časově omezených oprávnění pro přístup k síti nebo do internetu pro hosty, externí spolupracovníky apod.	ANO
Samoobslužný portál pro uživatele	ANO
Registrace zařízení pomocí MAC adresy pro non-IT uživatele – omezená funkce administračního rozhraní, se zařazením zařízení do skupiny s definovanou politikou přístupu.	ANO

Podpora REST API pro většinu základních úkonů AAA platformy	ANO
Zpracovávání syslog hlášení z externích zdrojů, vyhledávání klíčových událostí a automatizovaná reakce na ně. Minimálně v rozsahu přijmutí bezpečnostního hlášení z firewallu a izolace konkrétního klienta na základě tohoto hlášení.	ANO
Sběr dodatečných informací o připojených zařízeních (“profiling”) jako jsou DHCP volby klienta, HTTP uživatelský agent či předvolba MAC adresy. Tyto informace musí být možné využít pro doplňkové ověření přístupu zařízení do sítě.	ANO
Řízení přístupu k síti pomocí filtrů nebo přiřazením do VLAN sítě podle: - uživatele (role, skupiny), - stavu a typu koncového zařízení (viz výše), - místa připojení, - historie připojení	ANO
Omezení přístupu k síti pomocí filtrů aplikovaných na vstupu do sítě	ANO
LAN a WLAN Guest portál. Portál musí podporovat možnost přihlašování přes účty minimálně těchto sociálních sítí – Linkedln, Facebook, Twitter. Portál musí umožňovat bohatou grafickou úpravu včetně možnosti přidávání videí a dalšího dynamického obsahu. Možnost samoobslužné registrace hosta do sítě pomocí SMS, email ověřením nebo na elektronickou notifikaci a schválení pověřených pracovníků.	ANO
Centralizovaná správa s grafickým rozhraním	ANO
Definice rolí administrátorů a úrovní přístupu k ověřovacímu systému	ANO
Zjednodušení správy vytvářením skupin uživatelů, koncových a síťových zařízení	ANO
Zaznamenávání událostí na externí syslog server	ANO
Podpora SNMPv3	ANO
NTP pro synchronizaci času	ANO
Certifikace Common Criteria a FIPS 140-2	ANO
Automatické zakázání non-FIPS autentizačních protokolů (např. PAP/ASCII, CHAP, and MS-CHAPv1) při aktivaci FIPS módu	ANO
Systém musí podporovat funkce na poptávaném bezdrátovém řešení a přepínačích	ANO
Jakékoliv funkční rozšíření systému musí být vždy v rámci stejné virtuální appliance jako je AAA systém.	ANO
Technická podpora na 5 let garantovaná přímo výrobcem technologie v režimu NBD. Možnost otevírat servisní požadavky přímo u výrobce.	ANO

6 Přepínač typ 1 ‌

Požadavek na funkcionalitu	Minimální požadavky
Typ přepínače	L3 switch
Montáž do racku, velikost max. 1U	ANO
Podpora virtualizace – možnost sloučit alespoň dva fyzické přepínače do jednoho logického celku – virtuálního switche	ANO
Podpora upgrade software za provozu (ISSU nebo ekvivalentní)	ANO
OoB management formou portu RJ45 s podporou ethernetu	ANO
Interní hot-swap AC napájecí zdroj	2x
Redundantní hot-swap ventilátory	ANO
Směr proudění vzduchu zařízením: zepředu-dozadu	ANO
Minimální počet 1/10/25Gbps portů s volitelným fyzickým rozhraním	32
Minimální počet 40/100Gbps portů s volitelným fyzickým rozhraním	4
Wirespeed (neblokující) na všech portech	ANO
Minimální propustnost přepínače	2,4 Tbps
Minimální paketový výkon přepínače	1 Bpps
Min. počet IPv4 unicast směrovacích záznamů	212 000
Min. počet IPv6 unicast směrovacích záznamů	212 000
Minimální počet záznamů v tabulce MAC adres	82 000
IEEE 802.3-2005	ANO
Podpora seskupení portů Muli-chassis LAG (IEEE 802.3ad) mezi různými prvky	ANO
IEEE 802.3ad přes více šasi (funkční ekvivalent Multichassis Etherchannel)	ANO
Podpora jumbo rámců včetně velikosti 9198 Byte	ANO
IEEE 802.1D	ANO
Minimální počet aktivních VLAN podle IEEE 802.1Q	4 000
Tunelování 802.1Q v 802.1Q	ANO
IEEE 802.1X – Port Based Network Access Control	ANO
Konfigurovatelná kombinace pořadí postupného ověřování zařízení na portu (IEEE 802.1x, MAC adresou)	ANO
802.1x autentizace přepínače vůči nadřazenému přepínači	ANO
Podpora linkové agregace IEEE 802.1AX	ANO
Podpora RADIUS CoA	ANO
Podpora Radius over TLS (RadSec)	ANO

IEEE 802.1s – Multiple Spanning Trees	ANO
IEEE 802.1w – Rapid Tree Spanning Protocol	ANO
IEEE 802.1p	ANO
Protokol pro definici a správu VLAN sítí: MVRP nebo VTP	ANO
Detekce protilehlého zařízení: CDP nebo LLDP	ANO
Detekce jednosměrnosti optické linky: UDLD nebo DLDP	ANO
STP root guard a STP loop guard nebo ekvivalentní	ANO
Možnost autorecovery po chybovém stavu (root guard, loop guard)	ANO
Multicast/broadcast storm control – hardwarové omezení poměru unicast/multicast rámců na portu	ANO
Router Redundancy protokol pro IPv4 a IPv6 (např. VRRP nebo HSRP)	ANO
DHCP server a relay pro IPv4 a IPv6 včetně podpory VRF	ANO
IP alias (více IP sítí na jednom rozhraní)	ANO
IPv6 ACL a IPv6 QoS	ANO
IPv6 services (DNS, Telnet, SSH, Syslog, ICMP, DHCP)	ANO
IPv6 Multicast (MLDv1 & v2)	ANO
IPv6 MLDv2 snooping	ANO
HTTP, SNMP přes IPv6	ANO
RADIUS, TACACS+ pomocí IPv4 a IPv6	ANO
Dynamické směrování: RIPv2, OSPFv2,BGPv4, OSPFv3 a MP BGP	ANO
Podpora service insertion včetně technologie VXLAN	ANO
Dynamické směrovací protokoly podporují autentizaci	ANO
Policy-based routing podle ACL	ANO
Podpora minimálně 256 logických virtuálních směrovacích instancí (VRF)	ANO
Protokoly a služby ve VRF (RADIUS, TACACS+, VRRP nebo HSRP, SNMP, Syslog, NTP, PING)	ANO
Multicast: PIM-DM, PIM-SM, IPv6 PIM-SM, PIM-SSM, IPv6 PIM-SSM, MSDP	ANO
IGMPv2, IGMPv3	ANO
IGMPv3 snooping	ANO
ACL na rozhraní IN/OUT (včetně virtuálních – VLAN, 802.3ad)	ANO
ACL pro IP	ANO
ACL pro ethernetové rámce	ANO
Možnost definovat povolené MAC adresy na portu	ANO
Možnost definovat maximální počet MAC adres na portu	ANO

Zabezpečení a analýza DHCP protokolu (např. DHCP snoopingu nebo funkčně ekvivalentní)	ANO
Podpora ochrany podvrženého mapování IP/MAC adresy (např. IP Source Guard/IPSG nebo funkčně ekvivalentní)	ANO
Ochrana centrálního procesoru (control plane) před útoky typu DoS	ANO
CLI rozhraní	ANO
Python scripting – lokální interpret jazyka v přepínači	ANO
Linux shell	ANO
Konfigurace zařízení v člověku čitelné textové formě	ANO
SSHv2	ANO
Možnost omezení přístupu k managementu (SSH, SNMP) pomocí ACL	ANO
SNMPv2 a SNMPv3	ANO
Podpora synchronizace času protokolem NTPv3 (klient i server)	ANO
Monitorování aplikačních toků prostřednictvím technologie NetFlow nebo IPFIX	ANO
Interní uložiště dat pro sběr provozních dat a pokročilou diagnostiku zařízení: min. 30 GB	ANO
AAA ověřování uživatelů (autentizace, autorizace, accounting) - TACACS+, RADIUS – minimálně 3 servery	ANO
Zrcadlení portů (např. SPAN nebo ekvivalentní)	ANO
Vzdálený port mirroring (ERSPAN)	ANO
Syslog – minimálně 3 servery	ANO
Syslog SNMP trap	ANO
Uživatelsky modifikovatelné automatické reakce/obsluhy událostí při provozu přepínače (např. pomocí EEM skriptů nebo ekvivalentní)	ANO
Nástroje měření odezev sítě (např. IP SLA nebo ekvivalentní)	ANO
Možnost automatické nebo manuální zálohy konfigurace z externího zdroje	ANO
NTP klient i server	ANO
DHCP server	ANO
Ochrana proti nahrání modifikovaného SW do zařízení prostřednictvím image signing a funkce secure boot, která ověřuje autentičnost a integritu OS zařízení prostřednictvím TPM čipu	ANO
Doživotní záruka výrobce, tzn. min. 5 let od ukončení prodeje, včetně vestavěných zdrojů a ventilátorů a nároku na běžně dostupné nové verze SW.	ANO

7 Přepínač typ 2 ‌

Požadavek na funkcionalitu	Minimální požadavky
Typ přepínače	L2/L3 switch
Montáž do racku, velikost max. 1U	ANO
OoB management formou portu RJ45 s podporou ethernetu	ANO
Interní AC zdroj	ANO
Minimální počet 10/100/1000Mbps metalických portů	48
Minimální počet 10Gbps SFP+ portů s volitelným fyzickým rozhraním	4
Minimální propustnost přepínače	176 Gbps
Minimální paketový výkon přepínače	130 Mpps
Minimální kapacita sběrnice stohu	8MB
Podpora PoE+ dle standardu	802.3at
Dostupný výkon pro PoE+ napájení	370W
Schopnost poskytovat PoE napájení připojeným zařízením i během restartu přepínače	ANO
Podporovaný počet přepínačů ve stohu	8
Minimální kapacita sběrnice stohu	80 Gbps
Redundance řídícího prvku v rámci stohu	ANO
Jednotná konfigurace stohu (IP adresa, správa, konfigurační soubor)	ANO
Seskupení portů IEEE 802.3ad mezi různými prvky stohu (Multichassis LAG)	ANO
Stoh funguje jako jedno L3 zařízení (router, gateway, peer) včetně podpory dynamických směrovacích protokolů jako je OSPF	ANO
Minimální počet záznamů v tabulce MAC adres	32 000
Min. počet IPv4 unicast směrovacích záznamů	2 000
Min. počet konfigurovatelných security ACL	5 000
Počet LACP skupin/linek ve skupině	32/8
Podpora VLAN podle IEEE 802.1Q, počet aktivních VLAN	2 000
Private VLAN	ANO
Tunelování 802.1Q v 802.1Q	ANO
IEEE 802.1x	ANO
Konfigurovatelná kombinace pořadí postupného ověřování zařízení na portu (IEEE 802.1x, MAC adresou)	ANO
Integrace IEEE 802.1x s IP telefonním prostředím (802.1x Multi-domain authentication)	ANO
802.1x autentizace přepínače vůči nadřazenému přepínači	ANO

Podpora RADIUS CoA	ANO
Podpora Radius over TLS (RadSec)	ANO
Podpora instance spanning-tree protokolu per VLAN – alespoň 128 instancí	ANO
IEEE 802.1w – Rapid Spanning Tree Protocol	ANO
Protokol MVRP nebo VTP pro definici a správu VLAN sítí	ANO
Podpora "jumbo rámců" včetně velikosti 9198 Byte	ANO
Detekce protilehlého zařízení (např. CDP nebo LLDP)	ANO
Směrování protokolů IPv4 a IPv6 v hardware	ANO
Podpora L3 routed port	ANO
OSPFv2 a OSPFv3	ANO
Podpora service insertion včetně technologie VXLAN	ANO
Multicast: PIM-DM, PIM-SM, IPv6 PIM-SM, PIM-SSM, IPv6 PIM-SSM	ANO
Podpora logických virtuálních směrovacích instancí (VRF) v rámci téhož L3 přepínače	ANO
First Hop Redundancy Protokol (např. VRRP nebo HSRP)	ANO
IGMPv2, IGMPv3	ANO
IGMP snooping a MLD snooping	ANO
DHCP server a relay pro IPv4 a IPv6	ANO
Minimální počet HW QoS front	8
First Hop Redundancy Protokol pro IPv6 (HSRP nebo VRRP)	ANO
IPv6 services (Telnet, SSH, Syslog, DHCP)	ANO
IPv6 QoS	ANO
IPv6 First Hop Security (RA guard, DHCPv6 snooping, IPv6 source guard)	ANO
IPv6 Port ACL, VLAN ACL	ANO
Možnost definovat povolené MAC adresy na portu	ANO
Konfigurovatelná ochrana control plane (CoPP) před DoS útoky na CPU	ANO
Bezpečnostní funkce umožňující ochranu proti podvržení zdrojové MAC a IP adresy	ANO
Bezpečnostní funkce umožňující ochranu proti připojení neautorizovaného DHCP serveru	ANO
Bezpečnostní funkce umožňující inspekci provozu protokolu ARP	ANO
Podpora TPM nebo HW trusted modulu	ANO
Automatická aplikace specifické konfigurace pro dané zařízení po detekci jeho připojení na portu	ANO
Monitorování aplikačních toků prostřednictvím technologie NetFlow nebo sFlow	ANO
Podpora NTPv3	ANO

Konfigurace zařízení v člověku čitelné textové formě	ANO
SSHv2 a HTTPS pro IPv4 a IPv6	ANO
Podpora SNMPv2c a SNMPv3	ANO
Možnost omezení přístupu k managementu (SSH, SNMP) pomocí ACL	ANO
TACACS+ nebo RADIUS klient pro AAA (autentizace, autorizace, accounting)	ANO
Port mirroring, alespoň 4 různé obousměrné session	SPAN, ERSPAN
API rozhraní pro konfiguraci pomocí NETCONF nebo RESTCONF za použití YANG/JSON data modelů.	ANO
Python scripting – lokální interpret jazyka v přepínači	ANO
Podpora UDP, TCP a TLS SYSLOG pro IPv4 a IPv6 s možností logováni do více syslog serverů	ANO
Ochrana proti nahrání modifikovaného SW do zařízení prostřednictvím image signing a funkce secure boot, která ověřuje autentičnost a integritu OS zařízení prostřednictvím TPM čipu	ANO
Doživotní záruka výrobce, tzn. min. 5 let od ukončení prodeje, včetně vestavěných zdrojů a ventilátorů a nároku na běžně dostupné nové verze SW.	ANO

8 Přepínač typ 3 ‌

Požadavek na funkcionalitu	Minimální požadavky
Typ přepínače	L3 switch
Montáž do racku, velikost max. 1U	ANO
Podpora virtualizace – možnost sloučit alespoň dva fyzické přepínače do jednoho logického celku – virtuálního switche	ANO
Minimální počet 10Gbps SFP+ portů s volitelným fyzickým rozhraním	24
Minimální počet 40/100Gbps nebo 25/50Gbps portů s volitelným fyzickým rozhraním	4
Interní hot-swap AC napájecí zdroj	2x
Vyměnitelné ventilátory – hot swap	ANO
Minimální propustnost přepínače	880 Gbps
Minimální paketový výkon přepínače	650 Mpps
Min. počet IPv4 unicast směrovacích záznamů	60 000
Min. počet IPv6 unicast směrovacích záznamů	60 000
Minimální počet záznamů v tabulce MAC adres	32 000
Seskupení portů IEEE 802.3ad mezi různými prvky stohu (Multichassis LAG)	ANO
IEEE 802.3ad přes více šasi (funkční ekvivalent Multichassis Etherchannel)	ANO

Podpora "jumbo rámců" včetně velikosti 9198 Byte	ANO
IEEE 802.1D	ANO
Minimální počet aktivních VLAN podle IEEE 802.1Q	4 000
Tunelování 802.1Q v 802.1Q	ANO
IEEE 802.1x	ANO
Konfigurovatelná kombinace pořadí postupného ověřování zařízení na portu (IEEE 802.1x, MAC adresou)	ANO
802.1x autentizace přepínače vůči nadřazenému přepínači	ANO
Podpora RADIUS CoA	ANO
Podpora Radius over TLS (RadSec)	ANO
IEEE 802.1s – Multiple Spanning Trees	ANO
IEEE 802.1w – Rapid Spanning Tree Protocol	ANO
IEEE 802.1p	ANO
Protokol MVRP nebo VTP pro definici a správu VLAN sítí	ANO
Detekce protilehlého zařízení (např. CDP nebo LLDP)	ANO
Detekce jednosměrnosti optické linky: UDLD nebo DLDP	ANO
STP root guard a STP loop guard nebo ekvivalentní	ANO
Možnost autorecovery po chybovém stavu (root guard, loop guard)	ANO
Multicast/broadcast storm control – hardwarové omezení poměru unicast/multicast rámců na portu	ANO
Router Redundancy protokol pro IPv4 a IPv6 (např. VRRP nebo HSRP)	ANO
DHCP server a relay pro IPv4 a IPv6 včetně podpory VRF	ANO
IP alias (více IP sítí na jednom rozhraní)	ANO
IPv6 ACL a IPv6 QoS	ANO
IPv6 services (DNS, Telnet, SSH, Syslog, ICMP, DHCP)	ANO
IPv6 Multicast (MLDv1 & v2)	ANO
IPv6 MLDv2 snooping	ANO
HTTP, SNMP přes IPv6	ANO
RADIUS, TACACS+ pomocí IPv4 a IPv6	ANO
Dynamické směrování: RIPv2, OSPFv2, BGPv4, OSPFv3 a MP BGP	ANO
Podpora service insertion včetně technologie VXLAN	ANO
Policy-based routing podle ACL	ANO
Podpora minimálně 256 logických virtuálních směrovacích instancí (VRF)	ANO

Protokoly a služby ve VRF (RADIUS, TACACS+, VRRP nebo HSRP, SNMP, Syslog, NTP, PING)	ANO
Multicast: PIM-DM, PIM-SM, IPv6 PIM-SM, PIM-SSM, IPv6 PIM-SSM, MSDP	ANO
IGMPv2, IGMPv3	ANO
IGMPv3 snooping	ANO
ACL na rozhraní IN/OUT (včetně virtuálních – VLAN, 802.3ad)	ANO
ACL pro IP	ANO
ACL pro ethernetové rámce	ANO
Možnost definovat povolené MAC adresy na portu	ANO
Možnost definovat maximální počet MAC adres na portu	ANO
Zabezpečení a analýza DHCP protokolu (např. DHCP snoopingu nebo funkčně ekvivalentní)	ANO
Podpora ochrany podvrženého mapování IP/MAC adresy (např. IP Source Guard/IPSG nebo funkčně ekvivalentní)	ANO
Ochrana centrálního procesoru (control plane) před útoky typu DoS	ANO
CLI rozhraní	ANO
Python scripting – lokální interpret jazyka v přepínači	ANO
Linux shell	ANO
Konfigurace zařízení v člověku čitelné textové formě	ANO
SSHv2	ANO
Možnost omezení přístupu k managementu (SSH, SNMP) pomocí ACL	ANO
SNMPv2 a SNMPv3	ANO
Podpora synchronizace času protokolem NTPv3 (klient i server)	ANO
Monitorování aplikačních toků prostřednictvím technologie NetFlow nebo IPFIX	ANO
Interní uložiště dat: min. 30 GB	ANO
AAA ověřování uživatelů (autentizace, autorizace, accounting) - TACACS+, RADIUS	ANO
Zrcadlení portů (např. SPAN nebo ekvivalentní)	ANO
Vzdálený port mirroring (ERSPAN)	ANO
Syslog – minimálně 3 servery	ANO
Uživatelsky modifikovatelné automatické reakce/obsluhy událostí při provozu přepínače (např. pomocí EEM skriptů nebo ekvivalentní)	ANO
Nástroje měření odezev sítě (např. IP SLA nebo ekvivalentní)	ANO
Možnost automatické nebo manuální zálohy konfigurace z externího zdroje	ANO
DHCP server	ANO

Ochrana proti nahrání modifikovaného SW do zařízení prostřednictvím image signing a funkce secure boot, která ověřuje autentičnost a integritu OS zařízení prostřednictvím TPM čipu

ANO

Doživotní záruka výrobce, tzn. min. 5 let od ukončení prodeje, včetně vestavěných zdrojů a

ventilátorů a nároku na běžně dostupné nové verze SW.

ANO

9 Kontrolér bezdrátové sítě - dva typy ‌

Požadavek na funkcionalitu - typ 1	Minimální požadavky
On-premise appliance, nepřipouští se cloud řešení	ANO
Specializovaná hardware appliance – nepřipouští se virtualizovaný kontrolér	ANO
Hardware i software podporovaný jedním výrobcem	ANO
Minimální propustnost dodaného zařízení pro data	20 Gbps
Minimální počet 10Gb SFP+ portů s volitelným fyzickým rozhraním	4x
Počet podporovaných AP bez nutnosti přidávání hardware	500
Možnost licenčního rozšíření až na 2000 AP v rámci jedné appliance kontroléru	2 000
Počet současně připojených wifi klientů	16 000
Možnost licenčního rozšíření až na 32 000 současně připojených klientů	32 000
Požadavek na funkcionalitu – typ 2	Minimální požadavky
On-premise appliance, nepřipouští se cloud řešení	ANO
Specializovaná hardware nebo virtuální appliance – v případě virtuální appliance je součástí dodávky 1U rack server s výkonnostními parametry doporučenými výrobcem	ANO
Podporované hypervisory: VMware ESX, Hyper-V, KVM	ANO
Hardware i software podporovaný jedním výrobcem	ANO
Minimální propustnost dodaného zařízení pro data	6 Gbps
Minimální počet 10Gb SFP+ portů s volitelným fyzickým rozhraním	2x
Minimální počet 1Gb RJ45 portů	2x
Počet podporovaných AP bez nutnosti přidávání hardware	250
Možnost licenčního rozšíření až na 500 AP v rámci jedné appliance kontroléru	ANO
Počet současně připojených wifi klientů	4000
Možnost licenčního rozšíření až na 6000 současně připojených klientů	ANO
Požadavek na funkcionalitu – společné parametry	Minimální požadavky
Podpora redundance na úrovni kontrolérů a jejich portů	ANO
Lokální síť – možnost tunelování uživatelských dat z AP až na kontrolér, možnost šifrování těchto uživatelských dat bez výrazného vlivu na propustnost	ANO

Mesh síť – podpora mesh sítí, současné připojení normálních a mesh AP k jednomu kontroléru	ANO
Vzdálené lokality – možnost lokálního bridgování uživatelských dat per SSID přímo na příslušném AP	ANO
Šifrovaná řídící komunikace AP-kontrolér	ANO
Podpora 802.11i, respektive jeho implementace WPA2 včetně enterprise variant autentizace/šifrování	ANO
Podpora WPA3 – WPA3 Enterprise, WPA3 SAE, WPA3 OWE	ANO
PSK autentizace vč. možnosti různých PSK klíčů pro různé klienty v rámci jednoho SSID	ANO
Podpora standardu „802.11w“ pro ochranu řídících rámců na AP a klientovi	ANO
Podpora standardu „802.11u“ pro výběr SSID a autentizaci klienta	ANO
Integrované řešení návštěvnického přístupu s možností webové autentizace (včetně nativních IPv6 klientů), bezpečné oddělení od zaměstnaneckého provozu	ANO
Podpora řešení návštěvnického přístupu pro klienty bezdrátové i drátové sítě	ANO
Možnost omezit počet klientů per SSID	ANO
Lokální profilování zařízení – per uživatel a per zařízení	ANO
Integrovaný IDS systém pro detekci cizích AP (Rogue AP) a klientů v AdHoc režimu, možnost vynuceného odpojení klientů od cizích AP	ANO
Podpora Flexible NetFlow a exportu záznamů (dle RFC 3954) nebo IPFIX o datových tocích uživatelů (vč. zdrojové a cílové IP adresy, portů, WLAN ID, počtu paketů a objemu přenesených dat) směrem k externímu kolektoru	ANO
Podpora standardu „802.11r“ pro rychlý roaming klientů mezi AP	ANO
Podpora standardu „802.11k“ pro optimalizaci roamingu	ANO
Podpora standardu „802.11v“ pro optimalizaci připojení klienta	ANO
Podpora 802.11e/WMM	ANO
Diferenciace úrovní QoS pro různé služby a skupiny uživatelů (zaměstnance a návštěvníky), možnost obousměrného omezení propustnosti per klient.	ANO
Mechanismy řízení přístupu (Call Admission Control) pro hlasový i video provoz. Konfigurovatelné parametry max. zátěže a šířky pásma.	ANO
Podpora Video-streamingu se spolehlivým multicastem	ANO
Optimalizace multicast provozu v bezdrátové síti (IGMP snooping)	ANO
Aplikační inspekce přenášeného provozu (DPI na 7. vrstvě ISO/OSI na základě aplikačních signatur) umožňující rozpoznání jednotlivých aplikací, grafické zobrazení statistik a možnost řízení QoS per rozpoznaná aplikace	ANO
Automatizovaná centrální správa frekvenčního pásma	ANO

Monitoring rádiového spektra vč. 20/40/80 MHz kanálů, možnost okamžité automatické centralizovaně řízené reakce (změna kanálu nebo jeho šířky, změna vysílacího výkonu), grafické vyobrazení informací o kvalitě signálu	ANO
Automatické zvýšení vysílacího výkonu okolních AP při výpadku AP („self healing“)	ANO
Možnost detekce rušivých signálů (interference) a identifikace zdrojů interference na základě signatur	ANO
Mesh síť – automatický výběr vhodného kanálu pro backhaul, automatické sestavení optimálního mesh stromu, monitorování všech kanálů na pozadí s rychlou konvergencí v případě výpadku primárního nadřazeného AP	ANO
Troubleshooting radiového signálu a automatické řešení problému rušivého signálu	ANO
Možnost definovat různé konfigurační profily a ty následně přiřadit vybraným AP (např. dle umístění AP, bezpečnostních pravidel atd.).	ANO
Možnost vytvořit různé rádiové profily (nastavení kanálů, rychlostí) a ty následně přiřadit vybraným AP.	ANO
Podpora IPv6 – management kontroléru (vč. Syslog, radius)	ANO
Podpora IPv6 – komunikace AP-kontrolér	ANO
Podpora IPv6 – Guest Access i pro nativní klienty vč. webové autentizace pro IPv6 klienty	ANO
Podpora IPv6 – IPv6 multicast, MLD snooping	ANO
Podpora IPv6 – bezpečnost (RA Guard, ACL)	ANO
Podpora IPv6 – ND cache na kontroléru, optimalizace přenosu ND zpráv	ANO
Centrální administrace správců s granularitou přístupových práv	ANO
Podpora správy přes serial CLI nebo přes IP pomocí SSH/telnet a https web GUI, SNMP	ANO
Podpora API rozhraní pro plnou konfiguraci kontroléru pomocí NETCONF nebo RESTCONF za použití YANG/JSON data modelů. Podpora exportu provozních dat z kontroléru.	ANO
Možnosti využití API pro automatizovanou správu	ANO
Podpora lokalizačních dat připojených klientů pomocí RTLS	ANO
SNMPv2c, SNMPv3	ANO
Plná kompatibilita s nabízenými přístupovými body	ANO
Záruka a podpora výrobce včetně nároku na verze SW na 5 let	ANO

10 Bezdrátový přístupový bod (AP)‌

Požadavek na funkcionalitu	Minimální požadavky
Třída zařízení: indoor přístupový bod (AP)	ANO
Integrované antény pro obě pásma 2.4 a 5Ghz	ANO
Uzavřená konstrukce bez ventilátorů	ANO

Podpora bezdrátových standardů	802.11a/b/g/n, 802.11ac wave2, 802.11ax
Plnohodnotná certifikace Wi-Fi Aliance	IEEE 802.11a/b/g/n/ac
Plnohodnotná certifikace Wi-Fi Aliance	WPA3-CNSA, WPA3-SAE, WPA3-OWE
Pracovní režim AP řízené kontrolérem (lightweight)	ANO
Minimální počet portů ethernet LAN	1x 100/1000/2500Mbit/s RJ45
Podpora muligigabit ethernet 2.5 Gbps IEEE 802.3bz	ANO
Možnost 802.3af/at PoE napájení z přepínače nebo injectoru – plná funkce při použití 802.3at, v případě 802.3af běží přístupový bod minimálně v režimu 1x1 MIMO pro obě rádiová pásma bez sníženého vysílacího výkonu	ANO
Radiová část: dual band, současná podpora pásem 2,4GHz a 5GHz	ANO
MIMO a počet nezávislých streamů na 2,4GHz rádio:	2x2:2
MIMO a počet nezávislých streamů na 5GHz rádio:	4x4:4
Podpora šířky kanálu 160 MHz	ANO
Automatické ladění kanálu a síly signálu v koordinaci s ostatními AP	ANO
Podpora mechanismu pro optimalizaci fáze vysílaného bezdrátového signálu směrem k 802.11 n/ac/ax klientům (Tx Beam Forming)	ANO
Podpora mechanismu pro přepojení klientů z 2,4GHz do 5GHz pásma	ANO
AP obsahuje X.509 certifikát s lokální platností pro nasazeni PKI	ANO
Podpora autentizace AP do LAN sítě pomocí 802.1x, AP obsahují 802.1x supplikant	ANO
Podpora detekce a monitorování problémů WLAN odchytáváním provozu na AP a jeho zasíláním do Ethernetového analyzátoru (např. Wireshark)	ANO
Podpora přímého přístupu na příkazovou řádku AP přes serial konzoli a přes IPv4 pomocí Telnet nebo SSH	ANO
AP obsahuje Integrované Bluetooth 5.0 Low Energy (BLE) rádio a integrované Zigbee 802.15.4 rádio	ANO
USB port 2.0 - možnost napájení pro vložené zařízení alespoň 4W	ANO
Minimální počet inzerovaných SSID (BSSID) na radio	8
SNMPv2/v3	ANO
Současná funkčnost AP pro přenos dat, analýzu spektra a detekci bezpečnostních incidentů	ANO
HW i SW podpora FTM – 802.11mc	ANO
Rozsah provozních teplot 0° až +50°C bez nutnosti redukce výkonu nebo omezení funkcí	ANO
Důvěryhodný HW/SW – AP používá bezpečný zavaděč OS, ověřování podpisu OS, kontrolu autentičnosti HW a mechanizmy pro ochranu SW a HW proti útokům	ANO

Součástí AP je příslušenství pro montáž na zeď nebo strop

ANO

AP je fyzicky zabezpečitelné/uzamknutelné k okolním pevným částem pomocí Kensington lock

ANO

Doživotní záruka výrobce, tzn. min. 5 let od ukončení prodeje.

ANO

11 Požadované implementační služby ‌

11.1 Základní instalační služby ‌

V rámci dodávky předmětu plnění kupující požaduje následující systémové práce:

• Instalace a konfigurace SW appliance

• Konfigurace autentizačních politik 802.1x a MAC auth

• Vazba autentizačních platforem na Active Directory

• Integrace se stávajícími firewally nemocnic FortiGate, jedná se o stávající technologii

provozovanou nemocnicemi

• Profilování zařízení

• Demontáž stávajících switchů v pozicích při osazování prvků nových

• Montáž prvků do racku, propojení, sestohování, montáž prvku musí být provedena tak, aby po jeho uvedení do provozu nebyl narušen provoz a dostupnost aplikačních služeb, které jsou poskytovány stávající technologií a její konfigurací; součinnost pro instalaci jednotlivých prvků musí být předem odsouhlasena

• Montáž bezdrátových přístupových bodů, kdy připravenost na úrovni UTP kabelu v místě umístění bezdrátového přístupového bodu zajistí kupující

• Aktualizace firmware, nastavení lokálních účtů apod.

• Základní konfigurace zařízení na úrovni min. IP adresy, NTP, SNMP, logování

• L3 konfigurace, migrace stávajících politik, ACL

• L2 konfigurace, přiřazení VLAN, STP, LACP

• Konfigurace SSID, bezpečnostní politiky, mapování VLAN, autentizace

• Konfigurace QoS

• Integrace do stávajících dohledových systémů (min. HP iMC a Zabbix)

• Otestování, testy redundance

• Zaškolení administrátorů

Realizací předmětu plnění dle této specifikace kupující sleduje potřebu implementace opatření v oblasti kybernetické bezpečnosti z projektu IROP, z nějž plánuje toto plnění kofinancovat. Z tohoto důvodu

v rámci plnění musí být výslovně zajištěno následující

• kontrola uživatelů a jejich zařízení přistupujících k síťovým zdrojům

• „viditelnost“ koncových zařízení v síti

• zamezení napadení sítě zevnitř neznámým útočníkem

• implementaci protokolu 802.1X (LocalDB, MS AD)

• MAC autentizaci a profilaci zařízení (LAN, WLAN)

• bezpečný přístup pro hosty

• automatizace nasazení bezpečnostních politik znamená snížení operativy

• reportování anomálií a pokusů o vniknutí do sítě

• integrace s řešením NGFW znamená zamezení šíření napadení systému, či jejímu omezení

• notifikace uživatele o případném bezpečnostním incidentu

11.2 Sjednocení konfigurace sítě, politik a VLAN ‌

V rámci realizace plnění kupující požaduje zpracování analýzy VLAN a síťových politik v nemocnici, jejich zdokumentování a sestavení nového návrhu, který bude nasazen společně s novými prvky v rámci plnění této technické specifikace.

Analýza VLAN a síťových politik bude provedena nejen na úrovni nemocnice, ale bude zohledňovat požadavky na strukturu a způsob fungování síťového prostředí Zdravotnického holdingu Královéhradeckého kraje a.s., který je zakladatelem nemocnice. To znamená, že prodávající provede analýzu ve všech nemocnicích, do kterých v rámci plnění této technické specifikace na základě samostatných smluv bude dodávat technologie, tuto analýzu písemně sestaví, určí v ní průsečíky a dobrou praxi v jednotlivých nemocnicích a provede vyhodnocení stávajícího stavu.

Na základě takového vyhodnocení, provede prodávající návrh sjednocení VLAN a síťových politik napříč nemocnicemi Zdravotnického holdingu Královéhradeckého kraje a.s., a takový návrh v podobě rozdělení na jednotlivé nemocnice a dopady do jejich konfigurací a síťových služeb předloží k projednání kupujícímu.

Při návrhu musí maximálně prodávající respektovat potřeby nemocnice a dále zohlednit skutečnosti, na kterých se takové potřeby zakládají, tedy zejména návaznost provozovaných informačních systémů a technologií na stávající konfiguraci a s tím související potřeby nemocnic, provést případný přechod na nové konfigurace postupně, či navrhnout i přechodná a náhradní řešení.

Součástí návrhu musí být i následující:

• požadavky na rekonfiguraci stávajících prvků nemocnice mimo plnění této technické specifikace

• přesný instalační plán, včetně závazného harmonogramu realizace plnění

Xxxxxx - Xxxxxxxxxx analýzy a návrhu VLAN a síťových politik provede prodávající nejpozději do 4 týdnů od nabytí účinnosti této smlouvy.

Kupující prodávajícímu sdělí své připomínky k výstupu analýzy do 2 týdnů.

Prodávající se zavazuje všechny připomínky kupujícího zohlednit a finalizovat návrh sjednocení VLAN a síťových politik do jednoho týdne.

Zahájení implementačních a instalačních prací bude předcházet odsouhlasení výstupů analýzy a návrhu realizačních prací ze strany kupujícího (nemocnice). Bez výslovného souhlasu kupujícího nebude možné

zahájit uvedené práce a jejich zahájení v rozporu s tímto ustanovením ze strany prodávajícího bude považováno za podstatné porušení smlouvy.

Výsledný dokument analýzy VLAN a síťových politik, včetně návrhu a instalačního plánu (harmonogramu) bude po zapracování připomínek kupujícího ze strany prodávajícího protokolárně předán kupujícímu a bude závazný.

Po realizaci instalační služeb prodávající aktualizuje dokument návrhu sjednocení VLAN a síťových politik podle skutečného provedení a dále jej doplní o architektonickou vizualizaci výsledné sítě, včetně popisu jednotlivých prvků, jejich určení a adres a výsledný dokument předá kupujícímu.

11.3 Časový rámec pro realizaci instalačních služeb ‌

S ohledem na skutečnost, že nemocnice nemohou přerušit svůj provoz, a dále na skutečnost, že v prostředí nemocnic je potřeba zachovávat zvýšenou míru čistoty a klidu, mohou fyzické instalační práce probíhat v pracovních dnech pouze v časech 15:00 až 05:00 hodin a o víkendech v časech 12:00 až 05:00 hodin, nebude- li v konkrétních případech dohodnuto jinak.

Konfigurační služby a služby realizované formou vzdáleného přístupu mohou být realizovány i mimo výše uvedenou dobu, za předpokladu, že budou založeny na schváleném harmonogramu.

Přípravné práce, které nebudou zasahovat do aktivního propojení sítě bude možné ze strany prodávajícího realizovat i mimo tyto časy na základě dohody s kupujícím.

S ohledem na povahu organizace kupujícího musí prodávající při realizaci konfiguračních pracích vzít v úvahu potřebu řádného provozu informačních systémů závislých na síťových službách, které budou v rámci realizace tohoto plnění rekonfigurovány a v návrhu harmonogramu a při realizaci prací toto musí prodávající zohlednit.

Tedy zejména svojí činností nepůsobil překážky v dostupnosti služeb prostřednictvím sítě i v jiných časech, než kdy budou dle harmonogramu odsouhlaseny práce na síťové infrastruktuře, které mohou vést k nedostupnosti prostřednictvím sítě poskytovaných služeb, které jsou součástí poskytování zdravotních služeb.

11.4 Zkušební provoz ‌

V rámci realizovaného plnění je požadován zkušební provoz nově nasazených technologií jako celku.

Zkušební provoz je součástí plnění dle této technické specifikace a je i součástí plnění tak, že je potřeba jej zohlednit do harmonogramu prací ze strany prodávajícího.

Požadovaná délka zkušebního provozu jsou dva kalendářní měsíce.

Předmětem zkušebního provozu je ověření provedených dodávek a služeb, tedy zejména funkčnosti dodaných zařízení a správnosti provedené konfigurace.

Zahájení zkušebního provozu proto musí předcházet nasazení všech technologií a provedení všech souvisejících dodávek a služeb (zejména konfigurací).

Zahájení zkušebního provozu podléhá předložení potvrzení o instalaci a konfiguraci technologií ze strany prodávajícího a potvrzení možnosti zahájení zkušebního provozu ze strany kupujícího.

Délka zkušebního provozu je nastavena v takové délce, aby umožnila kupujícímu ověřit správnost provedené konfigurace a dále schopnosti dodaných zařízení plnit požadavky na ně stanovené. Délka zkušebního provozu byla stanovena tak, aby kupujícímu umožnila ověřit většinu procesů a situací v rámci uvažovaného užití předmětu plnění. Jedná se zejména o nepravidelné činnosti v prostředí nemocnice a dále o pravidelné činnosti nicméně s časovým horizontem, které mají zvýšené nároky na síťové prostředí a jeho konfiguraci, tedy předmět plnění dle této technické specifikace. Jedná se o komplexní zálohovací procesy, interní migrace dat a další typické činnosti v zařízení typu nemocnice a jejího IT prostředí.

11.5 Kybernetická bezpečnost ‌

Předmět plnění dle této technické specifikace vstupuje do informačního prostředí jednotlivých nemocnic, které podléhá na rozličné úrovni dopadům následujících právních předpisů:

• zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)

• vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

• Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2)

Prodávající musí jednat řádně a v kontextu výše uvedených právních předpisů v oblasti kybernetické bezpečnosti a v případě potřeby si v rámci realizace plnění vyžádat od kupujícího doplňující informace tak, aby byl připraven reflektovat své jednání a proces realizace plnění v souladu s výše uvedenými předpisy a jejich případnou formou implementace v jednotlivých nemocnicích.

Mezi nemocnicemi je provozovatelem informačního systému základní služby Oblastní nemocnice Náchod a.s.

V rámci realizovaného plnění a dopadu výše uvedené legislativy bude prodávající zařazen mezi tzv. významné dodavatele.

Pro všechny nemocnice je však ze strany prodávajícího nezbytné dodržet výše uvedenou národní legislativu a dále v kontextu realizovaného plnění zohlednit směrnici NIS 2, jako závazný právní předpis EU určený k implementaci jednotlivými státy EU v rozsahu, který umožňuje přímou interpretaci a vztahuje se k realizovanému plnění.

Kupní smlouva Bezpečnost přístupu k síti

11.6 Projektové řízení ‌

S ohledem na rozsah projektu a dopad jeho zavedení do produkčního provozu na výkon činnosti kupujícího je v rámci dodávky předmětu plnění kupujícím požadováno aplikování základních principů projektového řízení ze strany prodávajícího.

Jedná se zejména řízení projektových prací v souladu s uzavřenou smlouvu s ohledem na věcné plnění dané smlouvou – rozsah, posloupnost a hloubku projektových prací, (tj. harmonogramu) – řízení postupu prací s ohledem na závazný harmonogram projektu – dodržování termínů harmonogramu, podchycení případných kolizí, zpoždění nebo vznikajících rizik a jejich reportování směrem ke kupujícímu, aktivní řešení výše uvedených nestandardních situací

Zápisy - Zpracování pravdivých, úplných a věcně jasných a vypovídajících zápisů z konzultačních schůzek a pracovních jednání (s cílem zaznamenání klíčových rozhodnutí, ujednání, navržených nebo dohodnutých termínů a způsobů řešení dílčích částí projektu atd.)

Kontrolní dny - Prezenční účast odpovědné osoby prodávajícího na kontrolních dnech v pravidelných min. měsíčních intervalech v sídle kupujícího, případně se souhlasem obou smluvních stran formou videokonference nebo telekonference. Termíny kontrolních dnů budou součástí harmonogramu.

U kontrolních dnů kupující požaduje, aby byly organizovány společně pro všechny nemocnice Zdravotnického holdingu Královéhradeckého kraje, a.s., ve kterých dochází k realizaci plnění prodávajícím dle této technické specifikace.

Reporting - Reporting plnění na úrovni pravidelných dvoutýdenních písemných zpráv směrem k odpovědné osobě kupujícího (seznam prací, které byly vykonány pro danou část projektu, stav těchto prací (ukončeno, odloženo, v realizaci); popis vzniklých problémů a způsob jejich řešení. Kupující si vyhrazuje právo vyžádat reporting projektu i mimo dvoutýdenní interval, na takovou žádost bude prodávající povinen reagovat vždy nejpozději písemnou zprávou do 4 pracovních dnů.

Řízení rizik plnění, hodnocení pravděpodobnosti jejich výskytu a míry dopadu, návrh řešení k jejich

eliminaci.

Řízení změn na plnění, v případě požadavků na změnu v plnění provedení konzultací k ověření nutnosti změny plnění; zjištění dopadu požadovaných změn směrem ke koncepci celkového řešení, harmonogramu, dotačnímu titulu, vytížení lidských zdrojů atd. V případě odsouhlasení změn spolupráce při implementaci změn do plnění, komunikace s dalšími zapojenými osobami a specialisty za dotčené technologie a informační systémy.

Příloha č. 3 - Cenová tabulka

Oblastní nemocnice Náchod a.s.
Položka	Počet	Jednotková cena [Kč bez DPH]	Celková cena za uvedený Počet [Kč bez DPH]	Cena za prodlouženou záruku a záruční servis k zařízení dle specifikace [Kč bez DPH]	Tech. podpora po dobu 5 let (maintenance, bezpečnostní update, patche, subskribce, nároky na aktualizační balíčky dat atd.) [Kč bez DPH]
Autentizační platforma (AAA) rozšíření licencí z 1500 na 5000 (první rok technické podpory v ceně zařízení/licence)	1	1 130 880 Kč	1 130 880 Kč	x	198 620 Kč
Přepínač typ 1	6	415 700 Kč	2 494 200 Kč	90 000 Kč	x
Přepínač typ 2	77	105 600 Kč	8 131 200 Kč	66 990 Kč	x
40G QSFP+ LC LR4 SM Transceiver včetně optického propojovacího kabelu 2m LC/SC	12	9 460 Kč	113 520 Kč	2 300 Kč	x
40G QSFP+ to QSFP+ 1m DAC Kabel	4	3 220 Kč	12 880 Kč	760 Kč	x
10G SFP+ LC LR 10km SMF Transceiver včetně optického propojovacího kabelu 2m LC/SC	64	620 Kč	39 680 Kč	950 Kč	x
10G SFP+ LC SR MMF Transceiver včetně optického propojovacího kabelu 2m LC/SC	2	370 Kč	740 Kč	30 Kč
10G SFP+ to SFP+ 1m DAC Kabel	66	1 800 Kč	118 800 Kč	2 380 Kč	x
10G SFP+ to SFP+ 3m DAC Kabel	17	2 790 Kč	47 430 Kč	950 Kč	x
Bezdrátový přístupový bod včetně příslušenství	160	16 730 Kč	2 676 800 Kč	140 800 Kč	x
Kontrolér bezdrátové sítě typ 2 (RK) (první rok technické podpory v ceně zařízení/licence)	2	292 300 Kč	584 600 Kč	150 000 Kč	138 920 Kč
Bezdrátový přístupový bod včetně příslušenství (RK)	85	16 730 Kč	1 422 050 Kč	74 800 Kč	x
Implementační práce	1	675 000 Kč	675 000 Kč	x	x

Cena celkem v Kč bez DPH	18 315 280 Kč
Cena celkem v Kč včetně DPH	22 161 489 Kč

Document Metadata

Table of Contents

KUPNÍ SMLOUVA

Document Metadata