Common use of Informationssicherheit Clause in Contracts

Informationssicherheit. Der Lieferant muss sicherstellen, dass alle vertraulichen Informationen angemessen geschützt werden. Der Lieferant und seine Vertreter, Beauftragten, Unterlieferanten, Auftragnehmer und Subunternehmer müssen vertrauliche Informationen mithilfe geeigneter physischer und elektronischer Sicherheitsverfahren und Schutzvorkehrungen, einschließlich der Minderung aufkommender Risiken für Informationssysteme durch Implementierung geeigneter Informations-/Cybersicherheitsprogramme, vor unbefugtem Zugriff, Vernichtung, Verlust, unbefugter Nutzung, Änderung oder Offenlegung schützen, unabhängig davon, ob solcher Zugriff, solche Vernichtung, solcher Verlust, solche Nutzung, Änderung und/oder Offenlegung versehentlich erfolgt oder unrechtmäßig ist. Der Lieferant muss unverzüglich handeln, um schädliche oder bösartige Codes zu identifizieren und angemessene Maßnahmen zur Minderung und Behebung solcher schädlichen oder bösartigen Codes zu implementieren. Der Lieferant muss der Gesellschaft vermutete oder tatsächliche Datenschutzverletzungen oder Sicherheitsvorfälle melden, sobald der Lieferant davon Kenntnis erlangt. Darüber hinaus muss der Lieferant: (i) während der Laufzeit dieses Vertrags das von den Parteien vereinbarte Informationssicherheitsniveau aufrechterhalten, einschließlich insbesondere etwaiger relevanter Zertifikate wie der „Cybersecurity Maturity Model Certification“ und hat ein solches vereinbartes Sicherheitsniveau nicht ohne die vorherige schriftliche Genehmigung der Gesellschaft zu reduzieren; und (ii) die Gesellschaft schriftlich informieren, wenn er nicht in der Lage ist, das vereinbarte Sicherheitsniveau aufrechtzuerhalten. Darüber hinaus gestattet der Lieferant der Gesellschaft, Code in Dateien der Gesellschaft (beispielsweise Zeichnungen) einzubetten, der jedes Mal, wenn eine solche Datei von einem Netzwerk und/oder Gerät geöffnet wird, das nicht der Gesellschaft gehört, ein Signal an die Gesellschaft senden kann, um es der Gesellschaft zu ermöglichen, festzustellen, wenn solche Dateien an anderen Standorten als dem Standort des Lieferanten und der Gesellschaft genutzt werden, da solche Nutzung das Ergebnis der unrechtmäßigen Nutzung dieser Dateien durch einen Dritten sein kann.

Informationssicherheit. Der Lieferant muss sicherstellen, dass alle vertraulichen Informationen angemessen geschützt werden. Der Lieferant und seine Vertreter, Beauftragten, Unterlieferanten, Auftragnehmer und Subunternehmer müssen vertrauliche Informationen mithilfe geeigneter physischer und elektronischer Sicherheitsverfahren und Schutzvorkehrungen, einschließlich der Minderung aufkommender Risiken für Informationssysteme durch Implementierung geeigneter Informations-/CybersicherheitsprogrammeInformations- /Cybersicherheitsprogramme, vor unbefugtem Zugriff, Vernichtung, Verlust, unbefugter Nutzung, Änderung oder Offenlegung schützen, unabhängig davon, ob solcher Zugriff, solche Vernichtung, solcher Verlust, solche Nutzung, Änderung und/oder Offenlegung versehentlich erfolgt oder unrechtmäßig ist. Der Lieferant muss unverzüglich handeln, um schädliche oder bösartige Codes zu identifizieren und angemessene Maßnahmen zur Minderung und Behebung solcher schädlichen oder bösartigen Codes zu implementieren. Der Lieferant muss der Gesellschaft vermutete oder tatsächliche Datenschutzverletzungen oder Sicherheitsvorfälle melden, sobald der Lieferant davon Kenntnis erlangt. Darüber hinaus muss der Lieferant: (i) während der Laufzeit dieses Vertrags das von den Parteien vereinbarte Informationssicherheitsniveau aufrechterhalten, einschließlich insbesondere etwaiger relevanter Zertifikate wie der „Cybersecurity Maturity Model Certification“ und hat ein solches vereinbartes Sicherheitsniveau nicht ohne die vorherige schriftliche Genehmigung der Gesellschaft zu reduzieren; und (ii) die Gesellschaft schriftlich informieren, wenn er nicht in der Lage ist, das vereinbarte Sicherheitsniveau aufrechtzuerhalten. Darüber hinaus gestattet der Lieferant der Gesellschaft, Code in Dateien der Gesellschaft (beispielsweise Zeichnungen) einzubetten, der jedes Mal, wenn eine solche Datei von einem Netzwerk und/oder Gerät geöffnet wird, das nicht der Gesellschaft gehört, ein Signal an die Gesellschaft senden kann, um es der Gesellschaft zu ermöglichen, festzustellen, wenn solche Dateien an anderen Standorten als dem Standort des Lieferanten und der Gesellschaft genutzt werden, da solche Nutzung das Ergebnis der unrechtmäßigen Nutzung dieser Dateien durch einen Dritten sein kann.

Informationssicherheit. Der Lieferant muss sicherstellen, dass alle vertraulichen Informationen angemessen geschützt werdenAUFTRAGSVERARBEITER hat die PERSONENBEZOGENEN DATEN logisch getrennt von Daten dritter Parteien zu VERARBEITEN. Der Lieferant AUFTRAGSVERARBEITER sichert die bestehende und seine Vertreter, Beauftragten, Unterlieferanten, Auftragnehmer fortlaufende Einhaltung geeigneter und Subunternehmer müssen vertrauliche Informationen mithilfe geeigneter physischer ausreichender technischer und elektronischer Sicherheitsverfahren und Schutzvorkehrungen, einschließlich organisatorischer Sicherheitsmaßnahmen zum Schutz der Minderung aufkommender Risiken für Informationssysteme durch Implementierung geeigneter Informations-/Cybersicherheitsprogramme, PERSONENBEZOGENEN DATEN vor unbefugtem Zugriff, Vernichtung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung oder Veränderung sowie vor unbefugter Nutzung, Änderung oder Offenlegung schützen, unabhängig davon, ob solcher Zugriff, solche Vernichtung, solcher Verlust, solche Nutzung, Änderung und/unrechtmäßiger Veröffentlichung oder Offenlegung versehentlich erfolgt oder unrechtmäßig istZugriff – dies im Besonderen wo die VERARBEITUNG eine Übertragung von Daten über ein Netzwerk beinhaltet - sowie vor allen anderen Formen der unrechtmäßigen VERARBEITUNG zu. Der Lieferant muss unverzüglich handelnAUFTRAGSVERARBEITER sichert zu, die Sicherheitsanforderungen des VERANTWORTLICHEN einzuhalten. Diese Sicherheitsanforderungen sind im „A1 Information Security Standard für den sicheren Servicebetrieb“ geregelt. Sofern nicht anders vereinbart, hat der AUFTRAGSVERARBEITER jene Sicherheitsanforderungen zu erfüllen, welche in der Schutzbedarfsklasse „Erweiterter Schutz“ festgelegt sind. Diese Sicherheitsanforderungen stehen zur Ansicht, zum Ausdruck und zum Download bereit unter: xxxxx://xxx.x0.xxx/xxxxxxx --> Lieferanteninformation 🡪 Sonstiges 🡪 Sicherheitsanforderungen IT-Systeme Der VERANTWORTLICHE darf diese Sicherheitsanforderungen einseitig ändern, wenn die Änderung zu einer Reduktion der Pflichten des AUFTRAGSVERARBEITERS führt oder wenn die Änderung erforderlich ist, um schädliche rechtlich vorgesehenen Erfordernissen Rechnung zu tragen. Sollten PERSONENBEZOGENE DATEN durch Verschulden des AUFTRAGSVERARBEITERS zerstört, verloren oder bösartige Codes massiv verändert worden sein, so stehen dem VERANTWORTLICHEN neben anderen, aus dieser Vereinbarung oder sonst verfügbaren Rechtsbehelfen jedenfalls noch folgende Rechtsmittel zu: • Den AUFTRAGSVERARBEITER anzuweisen, auf Kosten des AUFTRAGSVERARBEITERS die PERSONENBEZOGENEN DATEN wiederherzustellen oder ihre Wiederherstellung zu identifizieren und angemessene Maßnahmen zur Minderung und Behebung solcher schädlichen oder bösartigen Codes veranlassen, wobei der AUFTRAGSVERARBEITER alle ihm zumutbaren Anstrengungen zu implementieren. Der Lieferant muss der Gesellschaft vermutete oder tatsächliche Datenschutzverletzungen oder Sicherheitsvorfälle melden, sobald der Lieferant davon Kenntnis erlangt. Darüber hinaus muss der Lieferant: (i) während der Laufzeit dieses Vertrags das von den Parteien vereinbarte Informationssicherheitsniveau aufrechterhalten, einschließlich insbesondere etwaiger relevanter Zertifikate wie der „Cybersecurity Maturity Model Certification“ und hat ein solches vereinbartes Sicherheitsniveau nicht ohne die vorherige schriftliche Genehmigung der Gesellschaft zu reduzieren; und (ii) die Gesellschaft schriftlich informieren, wenn er nicht in der Lage ist, das vereinbarte Sicherheitsniveau aufrechtzuerhalten. Darüber hinaus gestattet der Lieferant der Gesellschaft, Code in Dateien der Gesellschaft (beispielsweise Zeichnungen) einzubetten, der jedes Mal, wenn eine solche Datei von einem Netzwerk und/oder Gerät geöffnet wird, das nicht der Gesellschaft gehört, ein Signal an die Gesellschaft senden kannunternehmen hat, um es der Gesellschaft die Wiederherstellung unverzüglich zu ermöglichenbewerkstelligen; oder • Selbst die PERSONENBEZOGENEN DATEN wiederherzustellen oder ihre Wiederherstellung zu veranlassen und den AUFTRAGSVERARBEITER anzuweisen, festzustellen, wenn solche Dateien an anderen Standorten als dem Standort des Lieferanten und der Gesellschaft genutzt werden, da solche Nutzung das Ergebnis der unrechtmäßigen Nutzung dieser Dateien durch einen Dritten sein kanndie hierfür vernünftigerweise anfallenden Kosten zu ersetzen.

Informationssicherheit. Die Parteien verpflichten sich, angemessene und geeignete technische und organisatorische Maßnahmen (z.B. Umsetzung einer dem aktuellen Stand der Technik entsprechenden Passwortrichtlinie, regelmäßige Scans auf etwaige Schwachstellen und Schadsoftware, regelmäßige Installation von aktuellen Si- cherheitspatches) zum Schutz ihrer Informationstechnologie (IT), wie etwa Hardware, Software, IT-Systeme, Netzwerke, internetfähige Anwendungen, von ihnen verwendete Cloud Applikationen, gemeinsame IT-Schnittstellen, so- wie aller darauf enthaltenen Informationen und Daten vor IT-Sicherheitsvorfäl- len zu schützen. Ein „IT-Sicherheitsvorfall“ ist jedweder Verlust oder unbefugte Löschung, Zerstörung, Änderung, Offenlegung, der unbefugte Zugriff auf oder die unbefugte Kontrolle von IT-Infrastruktur, sowie jede sonstige unautorisierte unmittelbare oder mittelbare Einwirkung auf die Infrastruktur einer Partei. Der Lieferant muss sicherstellenAuftraggeber ist bei der Lieferung von Software durch den Auftragnehmer allein verantwortlich für die Konzeption, Implementierung und Aufrechterhal- tung eines dem aktuellen Stand der Technik entsprechenden Sicherheitskon- zeptes, welches seine Informationstechnologie schützt. Ein solches Konzept beinhaltet u.a. die Installation von Updates, sobald diese dem Auftraggeber zur Verfügung stehen gemäß den Installationsanweisungen des Auftragnehmers und unter Verwendung der neuesten Produktversionen, die Befolgung von Si- cherheitshinweisen, die Installation von Patches und die Durchführung von da- mit zusammenhängenden Maßnahmen, Erlangt eine Partei Kenntnis von einem möglichen IT-Sicherheitsvorfall und kann nicht ausgeschlossen werden, dass alle vertraulichen Informationen angemessen geschützt werdendadurch die Sicherheit der IT-Infra- struktur der anderen Partei beeinträchtigt wird oder werden könnte, so hat die betroffene Partei den IT-Sicherheitsvorfall unverzüglich, spätestens binnen 48 Stunden, der anderen Partei anzuzeigen. Der Lieferant Die Anzeige hat die mögliche Ursa- che und seine Vertreterdie Art und Weise des IT-Sicherheitsvorfalls zu beschreiben, Beauftragtensowie angemessene Angaben zu den vernünftigerweise zu erwartenden Auswirkun- gen auf die IT-Infrastruktur der anderen Partei zu enthalten, Unterlieferanten, Auftragnehmer und Subunternehmer müssen vertrauliche Informationen mithilfe geeigneter physischer und elektronischer Sicherheitsverfahren und Schutzvorkehrungen, einschließlich der Minderung aufkommender Risiken für Informationssysteme durch Implementierung geeigneter Informations-/Cybersicherheitsprogramme, vor unbefugtem Zugriff, Vernichtung, Verlust, unbefugter Nutzung, Änderung oder Offenlegung schützen, unabhängig davon, ob solcher Zugriff, solche Vernichtung, solcher Verlust, solche Nutzung, Änderung und/oder Offenlegung versehentlich erfolgt oder unrechtmäßig soweit zu diesem Zeitpunkt bereits eine vernünftige Beurteilung des Sachverhaltes möglich ist. Der Lieferant muss unverzüglich handelnEine spätere Beurteilung oder Änderungen einer bestehenden Beurteilung ist der anderen Partei wiederum entsprechend anzuzeigen. Diese Anzeige unter- liegt der Vertraulichkeitsregelung gemäß Punkt 15. Die von einem IT-Sicherheitsvorfall betroffene Partei ist jedenfalls verpflichtet, angemessene und in Relation zur Schwere des IT-Sicherheitsvorfalles verhält- nismäßige Maßnahmen zu treffen, um schädliche oder bösartige Codes die Auswirkungen auf die IT- Infrastruktur der anderen Partei abzuwenden bzw. – sofern dies nicht möglich ist – zu identifizieren und angemessene Maßnahmen zur Minderung und Behebung solcher schädlichen oder bösartigen Codes zu implementieren. Der Lieferant muss der Gesellschaft vermutete oder tatsächliche Datenschutzverletzungen oder Sicherheitsvorfälle melden, sobald der Lieferant davon Kenntnis erlangt. Darüber hinaus muss der Lieferant: (i) während der Laufzeit dieses Vertrags das von den Parteien vereinbarte Informationssicherheitsniveau aufrechterhalten, einschließlich insbesondere etwaiger relevanter Zertifikate wie der „Cybersecurity Maturity Model Certification“ und hat ein solches vereinbartes Sicherheitsniveau nicht ohne die vorherige schriftliche Genehmigung der Gesellschaft zu reduzieren; und (ii) die Gesellschaft schriftlich informieren, wenn er nicht in der Lage ist, das vereinbarte Sicherheitsniveau aufrechtzuerhalten. Darüber hinaus gestattet der Lieferant der Gesellschaft, Code in Dateien der Gesellschaft (beispielsweise Zeichnungen) einzubetten, der jedes Mal, wenn eine solche Datei von einem Netzwerk und/oder Gerät geöffnet wird, das nicht der Gesellschaft gehört, ein Signal an die Gesellschaft senden kann, um es der Gesellschaft zu ermöglichen, festzustellen, wenn solche Dateien an anderen Standorten als dem Standort des Lieferanten und der Gesellschaft genutzt werden, da solche Nutzung das Ergebnis der unrechtmäßigen Nutzung dieser Dateien durch einen Dritten sein kannbegrenzen.