Servisní smlouva na LAN infrastrukturu
Servisní smlouva na LAN infrastrukturu
SMLUVNÍ STRANY | ||
1. | Objednatel | |
Fakultní nemocnice Bulovka IČO: | 00064211 | |
DIČ: se sídlem: zastoupený: plátce DPH: bankovní spojení (číslo účtu): | CZ00064211 Xxxxxxxx 00/0, Xxxxx 0 - Xxxxx, PSČ 180 81 Xxx. Xxxxx Xxxxxxx, ředitelem ANO 00000000/0710 | |
telefon: e-mail: ID datové schránky: | x000 00000 0000 xxxx@xxxxxxx.xx n9hiezm | |
(dále jen „Objednatel“) | ||
a | ||
2. | Poskytovatel | |
Your IT s.r.o. IČO: | 24180513 | |
DIČ: se sídlem: zastoupený: plátce DPH: | CZ24180513 Dlouhá 222, 251 01 Tehov Ing. Xxxxxxxxx Xxxxxxx, jednatelem ANO |
zapsaný v obchodním rejstříku vedeném u Městského soudu v Praze pod sp. zn. C 186165 bankovní spojení (číslo účtu): 0000000000/5500
telefon: x000 000 000 000
ID datové schránky: zz97dww (dále jen „Poskytovatel“)
(Objednatel a Poskytovatel společně dále také jako „Smluvní strany“ a jednotlivě dále také jako
„Smluvní strana“)
uzavřeli v souladu s § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „Občanský zákoník“), tuto servisní smlouvu na LAN infrastrukturu (dále jen
„Smlouva“).
Obsah
VII. FAKTURACE A PLATEBNÍ PODMÍNKY 4
IX. PRÁVA A POVINNOSTI SMLUVNÍCH STRAN 7
X. ZAJIŠTĚNÍ KYBERNETICKÉ BEZPEČNOSTI 8
XI. VLASTNICKÉ PRÁVO A UŽÍVACÍ PRÁVA 11
XIII. SANKCE A NÁHRADA ŠKODY 13
XIV. TRVÁNÍ SMLOUVY A JEJÍ UKONČENÍ 15
XVI. PROHLÁŠENÍ SMLUVNÍCH STRAN 16
II. ÚVODNÍ USTANOVENÍ
3. Smlouva je uzavřena na základě výsledků zadávacího řízení (dále jen „Řízení veřejné zakázky“) veřejné zakázky s názvem: Infrastruktura pro datová centra, část veřejné zakázky: Část 2 – LAN infrastruktura, ev. č. zakázky ve Věstníku veřejných zakázek: Z2022-043285, sp. zn. Objednatele: FNBIPDC0622 (dále jen „Veřejná zakázka“). Jednotlivá ujednání této Smlouvy tak budou vykládána v souladu se zadávacími podmínkami Veřejné zakázky, nabídkou Poskytovatele podanou na Veřejnou zakázku a Smlouvou na dodávku LAN infrastruktury rovněž uzavřenou mezi Objednatelem a Poskytovatelem v rámci Řízení veřejné zakázky na realizaci Xxxxxxx xxxxxxx (dále jen „Smlouva na dodávku“).
III. ÚČEL SMLOUVY
4. Účelem této Smlouvy je zajištění poskytování servisních služeb k technologiím dodaným na základě Smlouvy o dodávce (dále jen „dodané technologie“) Poskytovatelem pro Objednatele tak, aby byla zajištěna maximální možná funkčnost a bezproblémový provoz dodaných technologií, a to plně v souladu s požadavky, podmínkami a v rozsahu stanovenými v této Smlouvě, případně ve Smlouvě na dodávku.
5. Pro vyloučení jakýchkoliv pochybností Smluvní strany uvádějí, že v případě jakékoliv nejistoty ohledně výkladu ustanovení této Smlouvy budou tato ustanovení vykládána tak, aby v co nejširší míře zohledňovala účel této Smlouvy.
IV. PŘEDMĚT SMLOUVY
6. Poskytovatel se zavazuje poskytovat Objednateli servisní služby k dodaným technologiím a další služby a plnění dle této Smlouvy (dále jen „Služby“), a to dle požadavků, podmínek a v rozsahu stanovených touto Smlouvou a na základě pokynů Objednatele, a předávat Objednateli výsledky takto poskytnutých Služeb.
7. Objednatel se zavazuje výsledky poskytnutých Služeb přejímat a zaplatit Poskytovateli za poskytování Služeb cenu sjednanou touto Smlouvou a příslušnou DPH, je-li Poskytovatel povinen dle zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále jen
„ZoDPH“) hradit DPH.
8. Služby budou spočívat zejména v:
8.1. poskytování servisní podpory k dodaným technologiím;
8.2. poskytování technické podpory k dodaným technologiím;
8.3. průběžném vyhodnocování provozu a profylaxe dodaných technologií;
8.4. odstraňování vad dodaných technologií;
8.5. zajištění upgrade a update dodaných technologií;
8.6. zajištění monitorování vybraných parametrů;
8.7. poskytování dalších konzultací;
8.8. poskytování dalších plnění dle této Smlouvy.
Podrobná specifikace podmínek, požadavků a rozsahu poskytování Služeb je stanovena v příloze této Smlouvy (Příloha č. 1 Smlouvy).
V. MÍSTO A DOBA PLNĚNÍ
9. Místem plnění je sídlo Objednatele a dále jakékoli další pracoviště Objednatele dle jeho písemného pokynu. Pokud to povaha plnění této Smlouvy umožňuje a Objednatel vůči tomu nemá výhrady, je Poskytovatel oprávněn poskytovat Služby vzdáleným přístupem ze sídla Poskytovatele nebo jakéhokoliv dalšího pracoviště Poskytovatele.
VI. CENA SLUŽEB
11. Cena za poskytování Služeb činí 1 000 Kč bez DPH za 1 (jeden) kalendářní měsíc poskytování Služeb (dále jen „Cena“).
12. Cena je cenou maximální, nejvýše přípustnou a nepřekročitelnou s výjimkami stanovenými v této Smlouvě. Součástí Ceny jsou veškeré práce, poplatky a veškeré jiné náklady, které jsou nezbytné pro řádné a úplné poskytování Služeb nebo které mohou Poskytovateli v souvislosti s poskytováním Služeb vzniknout. Součástí Xxxx jsou i práce, které v zadávací dokumentaci Xxxxxxx zakázky nebo v této Smlouvě výslovně uvedeny nejsou, ale Poskytovatel jakožto odborník o nich měl nebo mohl vědět, že jsou k řádnému a úplnému poskytování Služeb nezbytné.
VII. FAKTURACE A PLATEBNÍ PODMÍNKY
13. Je-li Poskytovatel povinen podle ZoDPH uhradit v souvislosti s poskytováním plnění podle této Smlouvy DPH a poskytnuté Služby nepodléhají režimu přenesení daňové povinnosti dle ZoDPH, je Objednatel povinen Poskytovateli takovou DPH uhradit vedle Ceny. Poskytovatel odpovídá za to, že sazba DPH bude ve vztahu ke všem plněním poskytovaným na základě této Smlouvy stanovena v souladu s právními předpisy platnými a účinnými k okamžiku uskutečnění zdanitelného plnění.
14. Objednatel uhradí Poskytovateli Cenu na základě jednotlivých faktur (dále jen „Faktura“), vystavených podle tohoto článku této Smlouvy.
15. Cena bude zaplacena vždy po skončení kalendářního měsíce, ve kterém byly Služby poskytovány, a to na základě Faktury vystavené Poskytovatelem. V případě, že Služby nebyly poskytovány po celý kalendářní měsíc, náleží Poskytovateli pouze alikvotní část měsíční Ceny. Poskytovatel se zavazuje Fakturu vystavit nejpozději do 5 pracovních dnů od schválení příslušného Dílčího měsíčního výkazu Objednatelem dle odst. 25 Smlouvy. Přílohou Faktury musí být kopie Objednatelem schváleného Dílčího měsíčního výkazu.
16. Faktura musí splňovat náležitosti daňového dokladu podle ZoDPH, včetně případné informace, že poskytování Služeb podléhá režimu přenesení daňové povinnosti dle ZoDPH. V případě, že Poskytovatel není plátcem DPH, musí Faktura splňovat náležitosti účetního dokladu podle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů. Faktura musí vždy splňovat náležitosti stanovené § 435 Občanského zákoníku. Poskytovatel je povinen použít na Faktuře bankovní účet zveřejněný v registru plátců podle § 96 ZoDPH.
17. Splatnost Faktury činí 30 dnů ode dne doručení Faktury Objednateli.
18. Stanoví-li Faktura splatnost delší, než je jako minimální stanovena v tomto článku této Smlouvy, je Objednatel oprávněn uhradit Cenu a případnou DPH ve lhůtě splatnosti určené ve Faktuře.
19. Cena a případná DPH je uhrazena vždy dnem jejich odepsání z bankovního účtu Objednatele.
20. Objednatel si vyhrazuje právo uplatnit institut zvláštního způsobu zajištění daně z přidané hodnoty ve smyslu § 109a ZoDPH, pokud Poskytovatel bude požadovat úhradu za zdanitelné plnění na bankovní účet, který nebude nejpozději ke dni splatnosti příslušné Faktury zveřejněn správcem daně v příslušném registru plátců daně (tj. způsobem umožňujícím dálkový přístup). Obdobný postup je Objednatel oprávněn uplatnit i v případě, že v okamžiku uskutečnění zdanitelného plnění bude o Poskytovateli zveřejněna v příslušném registru plátců daně skutečnost, že je nespolehlivým plátcem nebo v případě naplnění dalších kritérií uvedených v § 109 odst. 1 a 2 ZoDPH. V případě, že nastanou okolnosti umožňující Objednateli uplatnit zvláštní způsob zajištění daně podle § 109a ZoDPH, bude Objednatel o této skutečnosti Poskytovatele informovat. Při použití zvláštního způsobu zajištění daně bude příslušná výše DPH zaplacena na účet Poskytovatele vedený u jeho místně příslušného správce daně, a to v původním termínu splatnosti. V případě, že Objednatel institut zvláštního způsobu zajištění daně z přidané hodnoty ve shodě s tímto ujednáním uplatní, a zaplatí částku odpovídající výši daně z přidané hodnoty uvedené na daňovém dokladu vystaveném Poskytovatelem na účet Poskytovatele vedený u jeho místně příslušného správce daně, bude tato úhrada považována za splnění části závazku Objednatele odpovídajícího příslušné výši DPH, kterou je povinen dle této Smlouvy uhradit vedle Xxxx.
21. Nebude-li příslušná Faktura obsahovat některou povinnou nebo dohodnutou náležitost nebo bude-li chybně stanovena Cena, DPH nebo jiná náležitost Faktury, je Objednatel oprávněn tuto Fakturu vrátit Poskytovateli k provedení opravy s vyznačením důvodu vrácení. Poskytovatel je povinen opravit Fakturu podle pokynů Objednatele a opravenou Fakturu neprodleně doručit Objednateli. Splatnost opravené Faktury nesmí být stanovena tak, aby nastala dříve než splatnost vrácené Faktury, a nesmí být kratší než 15 dnů ode dne jejího doručení Objednateli.
22. Objednatel neposkytuje Poskytovateli žádné zálohy.
VIII. POSKYTOVÁNÍ SLUŽEB
23. Poskytovatel se zavazuje poskytovat Služby dle požadavků, podmínek a v rozsahu stanovených v této Smlouvě, zejména v příloze této Smlouvy (Příloha č. 1 Smlouvy), a v kvalitě definované v jednotlivých Service Level Agreements (dále jen „SLA“), které jsou součástí přílohy této Smlouvy (Příloha č. 1 Smlouvy), anebo v kvalitě odpovídající účelu této Smlouvy a popisu jednotlivých Služeb a činností definovaných pro jednotlivé Služby v příloze této Smlouvy (Příloha č. 1 Smlouvy) v případě, že daná Služba nemá definované SLA.
24. Poskytovatel je povinen vypracovávat a Objednateli doručovat přehledné a kompletní výkazy a výsledky poskytování Služeb (dále jen „Dílčí měsíční výkaz“), ze kterých bude jednoznačně zřejmé, zda byly Sužby poskytovány v souladu s touto Smlouvou, zejména v kvalitě definované dle jednotlivých SLA.
25. Dílčí měsíční výkazy budou vypracovávány vždy pro vyhodnocovací období 1 kalendářního měsíce (dále jen „Vyhodnocovací období“) a budou Objednateli doručeny nejpozději do 5 pracovních dnů od ukončení daného Vyhodnocovacího období. Dílčí měsíční výkazy schválené
Objednatelem budou podkladem pro fakturaci Poskytovatele ve smyslu ustanovení odst. 15 Smlouvy. Objednatel do 10 pracovních dnů ode dne, kdy mu byl Dílčí měsíční výkaz doručen, Dílčí měsíční výkaz schválí, nebo jej Poskytovateli vrátí k provedení opravy nebo k vysvětlení s uvedením důvodu vrácení. Objednatel může odmítnout schválení Výkazu plnění, který neodpovídá skutečnosti. Případné výhrady Objednatele k poskytnutí Služeb dle předloženého Dílčího měsíčního výkazu budou řešeny vzájemnou dohodou Smluvních stran. Pakliže Objednatel ve stanovené lhůtě Dílčí měsíční výkaz neschválí a zároveň jej ani Poskytovateli nevrátí k provedení opravy nebo k vysvětlení, považuje se Dílčí měsíční výkaz za Objednatelem schválený.
26. Nebyly-li Služby poskytnuty řádně, bude Dílčí měsíční výkaz vyčíslovat příslušnou smluvní pokutu v souladu s čl. XIII Smlouvy.
27. Poskytovatel neodpovídá za nedodržení SLA v případě, že takové nedodržení bylo způsobeno zásahem vyšší moci.
28. Doba, po kterou existovala překážka vyšší moci dle předchozího odstavce této Smlouvy, bude zachycena v Dílčích měsíčních výkazech s jednoznačným označením.
29. Bude-li Poskytovatel v rámci poskytování Služeb jakýmkoliv způsobem zasahovat do dodaných technologií, je povinen tak činit pouze v souladu se záručními podmínkami příslušné dodané technologie. V případě, že Poskytovatel v rámci poskytování Služeb zasáhne do dodané technologie takovým způsobem, jež bude znamenat porušení záručních podmínek příslušné dodané technologie ze strany Objednatele, odpovídá za škodu, která tímto Objednateli vznikne.
30. Poskytovatel se zavazuje písemně oznámit Objednateli požadovaný termín a rozsah odstávky ovlivňující maximální možnou funkčnost a bezproblémový provoz dodaných technologií a též požadované termíny a rozsah výluky Služeb za účelem plánovaného poskytování příslušných Služeb, např. údržba dodaných technologií (dále jen „Odstávka“), alespoň 10 pracovních dnů předem. Odstávka je možná pouze se souhlasem Objednatele. Objednatel se zavazuje, že svůj souhlas nebude bezdůvodně odpírat. Pokud nebude souhlas udělen ve vztahu ke konkrétnímu termínu, není Poskytovatel oprávněn takovouto Odstávku provést a Objednatel je povinen bezodkladně navrhnout nový termín pro Odstávku.
31. Poskytovatel je povinen sledovat a chránit zájmy a dobré jméno Objednatele a postupovat v souladu s jeho pokyny, pokud tyto nejsou v rozporu s obecně závaznými právními předpisy nebo zájmy Objednatele. V případě nevhodných pokynů Objednatele je Poskytovatel povinen na nevhodnost těchto pokynů Objednatele písemně upozornit, v opačném případě nese Poskytovatel odpovědnost za vady a za škodu, které v důsledku nevhodných pokynů Objednatele Objednateli nebo Poskytovateli nebo třetím osobám vznikly.
32. Objednatel je povinen Poskytovateli bez zbytečného odkladu sdělit veškeré informace požadované Poskytovatelem, které se týkají plnění předmětu této Smlouvy, jsou potřebné pro splnění předmětu této Smlouvy a které jsou Objednateli známé a je spravedlivé je po Objednateli požadovat, a to včetně informací, které pro Objednatele nejsou příznivé. Objednatel je povinen Poskytovateli bez zbytečného odkladu předat veškeré věci a podklady požadované Poskytovatelem, které se týkají plnění předmětu této Smlouvy, jsou potřebné pro splnění předmětu této Smlouvy a které má Objednatel k dispozici a je spravedlivé je po Objednateli požadovat, a to včetně věcí a podkladů, které pro Objednatele nejsou příznivé. O převzetí originálních listin, nosičů, věcí či podkladů vydá Poskytovatel na požádání Objednatele písemné potvrzení.
33. Pokud je k plnění předmětu této Smlouvy nutná součinnost Objednatele, Poskytovatel písemně informuje Objednatele o rozsahu a formě požadované součinnosti. Objednatel je povinen Poskytovateli bez zbytečného odkladu poskytnout součinnost písemně požadovanou Poskytovatelem, která se týká plnění předmětu této Smlouvy, je potřebná pro splnění předmětu této Smlouvy a kterou je Objednatel Poskytovateli schopen poskytnout a je spravedlivé ji po Objednateli požadovat.
34. Poskytovatel je povinen upozornit Objednatele bez zbytečného odkladu na nevhodnou povahu nebo neúplnost informací, věcí nebo podkladů, které mu Objednatel předal k plnění předmětu této Smlouvy. Jestliže nevhodné nebo neúplné informace, věci nebo podklady Objednatele překážejí v řádném plnění předmětu této Smlouvy, Poskytovatel v nezbytném rozsahu přeruší plnění předmětu této Smlouvy do doby výměny nebo doplnění informací, věcí nebo podkladů Objednatelem, nebo do doby doručení písemného sdělení Objednatele, že trvá na plnění předmětu této Smlouvy s použitím předaných informací, věcí nebo podkladů. Poskytovatel je povinen pokračovat v plnění předmětu této Smlouvy v rozsahu, ve kterém mu v tom nebrání nevhodné nebo neúplné informace, věci nebo podklady. Termíny plnění stanovené touto Smlouvou, byl-li přerušením plnění předmětu této Smlouvy přímo dotčeny, se prodlužují o dobu přerušením vyvolanou.
IX. PRÁVA A POVINNOSTI SMLUVNÍCH STRAN
35. V rámci plnění předmětu této Smlouvy má každá Smluvní strana zejména následující povinnosti:
35.1. vzájemně spolupracovat a poskytovat druhé Smluvní straně veškeré informace potřebné pro řádné plnění svých povinností vyplývajících z této Smlouvy;
35.2. neprodleně informovat druhou Smluvní stranu o vzniku nebo hrozícím vzniku překážky plnění mající významný vliv na řádné a včasné plnění dle této Smlouvy;
35.3. poskytovat druhé Smluvní straně úplné, pravdivé a včasné informace o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné plnění dle této Smlouvy;
35.4. plnit své povinnosti vyplývající z této Smlouvy tak, aby nedocházelo k prodlení s plněním povinností vázaných k jednotlivým termínům a úhradě splatných jednotlivých peněžních dluhů.
36. V rámci poskytování Služeb má Poskytovatel zejména následující povinnosti:
36.1. postupovat při plnění této Smlouvy řádně tak, aby bylo dosaženo účelu této Smlouvy;
36.2. poskytovat Služby v souladu s touto Smlouvou, řádně a včas a v souladu s příslušnými obecnými standardy v odvětví a relevantními technickými normami;
36.3. zajistit dostatečnou kapacitu svých pracovníků s odpovídající kvalifikací a zkušenostmi pro poskytování Služeb;
36.4. poskytovat Služby v souladu s platnými a účinnými obecně závaznými právními předpisy, dle současného stavu techniky, jakož i v souladu se všemi normami obsahujícími technické specifikace a technická řešení, technické a technologické postupy nebo jiná určující kritéria, tak jak vyplývají i z relevantních právních předpisů;
36.5. řídit se provozní, bezpečnostní a ostatní dokumentací a pravidly, týkajícími se provozu Objednatele;
36.6. postupovat v profesionální kvalitě a s odbornou péčí, podle nejlepších odborných znalostí a schopností a sledovat a chránit oprávněné zájmy Objednatele.
X. ZAJIŠTĚNÍ KYBERNETICKÉ BEZPEČNOSTI
37. Objednatel naplňuje požadavky vyhlášky č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby, a proto byl Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) určen v souladu s § 22a zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen
„Zákon o kybernetické bezpečnosti“), za správce a provozovatele systému základní služby. Objednatel je tak povinen zohlednit požadavky vyplývající z bezpečnostních opatření v Řízení veřejné zakázky a tyto požadavky zahrnout do této Smlouvy.
38. Objednatel je správcem a provozovatelem informačního systému základní služby, proto plnění předmětu této Smlouvy musí splňovat podmínky Zákona o kybernetické bezpečnosti a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „Vyhláška
o kybernetické bezpečnosti“).
40. Poskytovatel bere na vědomí, že plnění předmětu této Smlouvy může mít dopad na informační systémy základní služby, jejichž správcem je Objednatel. S ohledem na uvedené je Poskytovatel povinen poskytovat plnění dle této Smlouvy zejm. v souladu se Zákonem o kybernetické bezpečnosti a Vyhláškou o kybernetické bezpečnosti, resp. tak, aby se Poskytovatel vyvaroval jakékoliv činnosti, jež by mohla být označena za porušení uvedených právních předpisů Objednatelem.
41. Poskytovatel je povinen zachovat bezpečnost informací a dat obsažených v informačních systémech základní služby spravovaných Objednatelem, včetně jiných informačních systémů, které budou plněním této Smlouvy ze strany Poskytovatele dotčeny, a to zejm. z pohledu důvěrnosti, dostupnosti a integrity. Plnění dle této Smlouvy je Poskytovatel povinen poskytovat tak, aby důvěrnost, dostupnost a integrita informací a dat nebyla přerušena, ohrožena, ani omezena. Je-li k plnění dle této Smlouvy nezbytné důvěrnost, dostupnost či integritu daných informací nebo dat omezit, ohrozit nebo přerušit, může tak Poskytovatel učinit pouze po předchozím souhlasu Objednatele a jen v rozsahu Objednatelem předem odsouhlaseném.
skutečnosti a informace použít v rozporu s jejich účelem, nesmí je použít ve prospěch svůj nebo jiných osob a nesmí je použít ani v neprospěch Objednatele. Povinnosti podle tohoto odstavce je Xxxxxxxxxxxx povinen zachovávat i po zániku závazků z této Smlouvy, vyjma případů, kdy se takové skutečnosti a informace stanou prokazatelně veřejně přístupné bez zavinění Poskytovatele. Povinnosti podle tohoto odstavce se nevztahují na případy, kdy je Poskytovatel povinen zveřejnit takové skutečnosti nebo informace na základě povinnosti uložené mu právním předpisem nebo rozhodnutím orgánu veřejné moci.
45. Objednatel bude provádět audit rizik ve smyslu § 8 Vyhlášky o kybernetické bezpečnosti, jehož cílem je ověřovat vývoj přijatých opatření a požadavků Objednatele. Objednatel bude v rámci provádění auditu rizik preferovat důkazní doložení skutečností (např. e-mailem) před místním šetřením. Bližší podmínky řízení dodavatelů jsou uvedeny v Metodice řízení dodavatelů (Příloha č. 2 Smlouvy) a v Nástroji pro hodnocení dodavatele dle VKB (Příloha č. 3 Smlouvy) (dále jen
„Nástroj pro hodnocení dodavatele dle VKB“). Audit rizik bude prováděn vždy minimálně jednou ročně. Poskytovatel je povinen podrobit se, strpět a poskytovat Objednateli součinnost v rámci provádění auditu rizik.
46. Objednatel provedl úvodní audit rizik již v rámci Řízení veřejné zakázky (dále jen „Úvodní audit rizik“), přičemž výchozí celková hodnota hodnocení Poskytovatele činí 71 % (dále jen „Výchozí hodnota“).
48. Jestliže Poskytovatel dosáhne celkové hodnoty hodnocení 80 %, není již povinen přijímat opatření za účelem růstu celkové hodnoty hodnocení ve smyslu předchozího odstavce této Smlouvy, nicméně je nadále povinen podrobit se, strpět a poskytovat Objednateli součinnost v rámci provádění auditu rizik. Jestliže Poskytovatel opět poklesne na celkovou hodnotu hodnocení nižší než 80 % je opět povinen postupovat podle předchozího odstavce této Smlouvy.
které mají dopad na plnění Poskytovatele dle této Smlouvy, o čemž bude vždy vyhotoven zápis podepsaný oběma Smluvními stranami.
50. Poskytovatel je povinen v průběhu plnění této Smlouvy průběžně spolupracovat s garantem aktiva Objednatele za účelem identifikace významných změn a jejich dopadů do oblasti kybernetické bezpečnosti Objednatele v souladu s § 11 Vyhlášky o kybernetické bezpečnosti souvisejících s plněním této Smlouvy. V případě identifikace významných změn souvisejících s plněním této Smlouvy se Poskytovatel zavazuje spolupracovat s Objednatelem na identifikaci potencionálních rizik možných dopadů významných změn a v případě potřeby poskytne Objednateli informace o možných opatřeních pro snížení nepříznivých možných dopadů spojených s významnými změnami, o možnosti zajištění jejich testování a možnosti navrácení významných změn do původního stavu v případě jejich realizace, a to na základě informací, které jsou Poskytovateli známé nebo mu být známé měly.
51. Poskytovatel je povinen poskytnout plnění dle této Smlouvy řádně a v souladu s touto Smlouvou a veškerými jejími přílohami a českými i evropskými právními předpisy platnými a účinnými v době poskytování plnění dle této Smlouvy.
52.1. identifikace části plnění dle této Smlouvy, při které ke kybernetickému bezpečnostnímu incidentu došlo nebo na kterou má kybernetický bezpečnostní incident dopad, nebo identifikace části prostředí Objednatele, kde ke kybernetickému bezpečnostnímu incidentu došlo nebo na kterou má kybernetický bezpečnostní incident dopad;
52.2. datum a čas zjištění kybernetického bezpečnostního incidentu;
52.3. popis kybernetického bezpečnostního incidentu.
Poskytovatel a Objednatel se zavazují vzájemně spolupracovat na řešení dopadu kybernetického bezpečnostního incidentu a na nápravných opatřeních směřujících k minimalizaci rizik, která měla vliv na vznik kybernetického bezpečnostního incidentu.
53. Pakliže Poskytovatel pověří dílčím plněním předmětu této Smlouvy třetí osoby, odpovídá za plnění takových třetích osob jako by plnil sám a zavazuje se zajistit, aby v důsledku pověření takových třetích osob nedocházelo k porušování této Smlouvy. Toto platí ve vztahu ke všem dalším poddodavatelům takových třetích osob v rámci jejich poddodavatelského řetězce.
– zbytkové riziko“.
55. Poskytovatel se zavazuje, že jakoukoliv změnu v osobě ovládající Poskytovatele ve smyslu
§ 71 a násl. zákona č. 90/2012 Sb., o obchodních společnostech a družstvech (zákon o obchodních korporacích), ve znění pozdějších přepisů (dále jen „Zákon o obchodních korporacích“), bez zbytečného odkladu po uskutečnění takové změny písemně oznámí Objednateli.
56. Poskytovatel se zavazuje, že jakoukoliv změnu vlastnictví zásadních aktiv, popřípadě změnu oprávnění nakládat s těmito aktivy, využívaných Poskytovatelem k plnění této Smlouvy, bez zbytečného odkladu po uskutečnění takové změny písemně oznámí Objednateli.
57. Dojde-li k ukončení této Smlouvy a bylo-li již poskytování Služeb dle této Smlouvy zahájeno, je Poskytovatel povinen dle pokynů Objednatele učinit veškerá nezbytná bezpečnostní opatření ve smyslu Zákona o kybernetické bezpečnosti a Vyhlášky o kybernetické bezpečnosti, která se týkají předmětu plnění této Smlouvy, tak, aby takovým ukončením této Smlouvy nedošlo k narušení bezpečnosti informačních systémů základní služby, jejichž je Objednatel správcem, nebo jiných informačních systémů, které budou plněním této Smlouvy ze strany Poskytovatele dotčeny.
58. Poskytovatel se zavazuje poskytnout Objednateli součinnost při výběru dodavatele na poskytování plnění souvisejícího s předmětem plnění této Smlouvy, a to poskytnutím nebo zpřístupněním informací, dat či dokumentací týkajících se předmětu této Smlouvy, které jsou nezbytné k provedení výběru takového dodavatele v souladu s právními předpisy a které lze po Poskytovateli spravedlivě požadovat.
59. Poskytovatel se zavazuje poskytnout Objednateli součinnost při řízení kontinuity činností týkajících se plnění předmětu této Smlouvy.
60. Bude-li Poskytovatel na základě této Smlouvy Objednateli předávat v elektronické podobě jakékoliv informace, data, provozní údaje nebo dokumentace, je Poskytovatel povinen je Objednateli předat tak, aby byly pro Objednatele dále použitelné, a to obvykle v systematizované podobě a v otevřeném a strojově čitelném formátu, např. *.pdf nebo *.doc či *.docx.
61. Získá-li Poskytovatel v souvislosti s plněním této Smlouvy jakákoliv data, která nebudou nezbytná pro splnění předmětu této Smlouvy, neprodleně taková data v souladu s pokyny Objednatele a pravidly vyplývajícími z Vyhlášky o kybernetické bezpečnosti zlikviduje. Likvidaci ostatních získaných dat Poskytovatel provede stejným způsobem, a to neprodleně po splnění předmětu této Smlouvy, není-li v této Smlouvě stanoveno výslovně jinak. Poskytovatel je povinen si vždy před provedením likvidace dat vyžádat pokyny a souhlas Objednatele.
63. Objednatel se zavazuje poskytnout ke splnění smluvních závazků Poskytovatele účelnou součinnost, dokumentaci a informace definované v této Smlouvě nebo potřebné pro účelné plnění předmětu této Smlouvy, a dále bude Poskytovatele včas informovat o všech organizačních změnách, poznatcích z kontrolní činnosti, podnětech vlastních zaměstnanců a dalších skutečnostech významných pro plnění předmětu této Smlouvy.
XI. VLASTNICKÉ PRÁVO A UŽÍVACÍ PRÁVA
64. V případě, že součástí plnění Poskytovatele dle této Smlouvy jsou movité věci, které se mají stát vlastnictvím Objednatele, nabývá Objednatel vlastnické právo k těmto věcem dnem převzetí, popř. dnem podpisu předávacího protokolu Objednatelem, bude-li takový protokol vyhotoven.
Ke stejnému dni přechází na Objednatele také nebezpečí škody na předaných věcech. Do nabytí vlastnického práva uděluje Poskytovatel Objednateli právo tyto věci užívat v rozsahu a způsobem, který vyplývá z účelu této Smlouvy.
65. Bude-li výsledkem plnění Poskytovatele poskytnutého dle této Smlouvy pro Objednatele předmět naplňující znaky autorského díla ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů (dále jen „Autorský zákon“), (dále jen „autorské dílo“), nabývá Objednatel dnem předání autorského díla Objednateli dle této Smlouvy neomezené nevýhradní právo užívat takové autorské dílo všemi způsoby nezbytnými k naplnění účelu vyplývajícímu z této Smlouvy a v rozsahu, v jakém Objednatel uzná za nezbytné, vhodné či přiměřené (dále jen
„Licence“). Objednatel je oprávněn užívat autorské dílo v neomezeném množstevním a územním rozsahu, všemi v úvahu přicházejícími způsoby a s časovým rozsahem omezeným pouze dobou trvání majetkových autorských práv k takovému autorskému dílu.
66. Součástí Licence je rovněž neomezené právo Objednatele poskytnout třetím osobám podlicenci k užití autorského díla v rozsahu shodném s rozsahem Licence a souhlas Poskytovatele k postoupení Licence na třetí osoby. Součástí Licence je rovněž souhlas Poskytovatele a neomezené právo Objednatele autorské dílo jakýmkoliv způsobem zveřejnit a provádět jakékoliv jeho modifikace, úpravy a změny a dle svého uvážení do něj zasahovat, dělit ho, rozšiřovat ho, spojovat ho s jinými díly, zapracovávat ho do jiných děl, včetně jeho překladu, zařazovat ho do děl souborných apod., a to samostatně nebo prostřednictvím třetích osob. Licence se automaticky vztahuje i na všechny nové verze, aktualizované verze, úpravy, překlady, rozšíření, upgrady, updaty a patche autorského díla poskytnuté Poskytovatelem.
67. Udělení Licence nelze ze strany Poskytovatele vypovědět a její účinnost trvá i po skončení této Smlouvy, nedohodnou-li se Smluvní strany výslovně jinak.
68. Odměna za poskytnutí, zprostředkování nebo postoupení Licence k autorskému dílu je zahrnuta v Ceně.
69. Poskytovatel je povinen postupovat tak, aby udělení Licence k autorskému dílu dle této Smlouvy včetně oprávnění udělit podlicenci a souvisejících oprávnění zabezpečil, a to bez újmy na právech třetích osob.
70. Poskytovatel prohlašuje, že je oprávněn vykonávat svým jménem a na svůj účet majetková práva autorů k autorským dílům, která jsou výsledkem plnění Poskytovatele dle této Smlouvy, resp. že má souhlas všech relevantních třetích osob k poskytnutí Licence k autorským dílům podle tohoto článku této Smlouvy; toto prohlášení zahrnuje i taková práva, která by vytvořením autorského díla teprve vznikla.
71. Poskytovatel prohlašuje, že veškeré jím poskytnuté plnění dle této Smlouvy je prosté právních vad a zavazuje se odškodnit v plné výši Objednatele v případě, že třetí osoba úspěšně uplatní autorskoprávní nebo jiný nárok plynoucí z právní vady poskytnutého plnění. V případě, že by nárok třetí osoby vzniklý v souvislosti s poskytnutým plněním Poskytovatele dle této Smlouvy, bez ohledu na jeho oprávněnost, vedl k dočasnému či trvalému soudnímu zákazu či omezení užívání poskytnutého plnění dle této Smlouvy, zavazuje se Poskytovatel zajistit náhradní řešení a minimalizovat dopady takovéto situace, a to bez dopadu na cenu plnění sjednanou dle této Smlouvy, přičemž současně nebudou dotčeny ani nároky Objednatele na náhradu škody.
XII. POJIŠTĚNÍ
74. Poskytovatel i Objednatel se zavazují uplatnit pojistnou událost u pojišťovny bez zbytečného odkladu.
XIII. SANKCE A NÁHRADA ŠKODY
75. Smluvní strany se dohodly, že:
75.1. v případě nedodržení doby reakce v režimu 24x7 dle SLA uvedených v příloze této Smlouvy (Příloha č. 1 Smlouvy) se Poskytovatel zavazuje uhradit Objednateli smluvní pokutu ve výši 1 000,- Kč za každou započatou minutu prodlení s dobou reakce v případě vady A nebo za každou započatou hodinu prodlení s dobou reakce v případě vady B nebo C, a to při každém porušení povinnosti;
75.2. v případě nedodržení doby vyřešení v režimu 24x7 dle SLA uvedených v příloze této Smlouvy (Příloha č. 1 Smlouvy) se Poskytovatel zavazuje uhradit Objednateli smluvní pokutu ve výši 1 000,- Kč za každou započatou hodinu prodlení s dobou vyřešení, a to při každém porušení povinnosti.
76. Poruší-li Poskytovatel jakoukoliv povinnost podle odst. 39 až 42 nebo 44 nebo 49 až 52 nebo 54 až 62 Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 5 000,- Kč za každé jednotlivé porušení.
77. Poruší-li Poskytovatel jakoukoliv povinnost podle odst. 43 Xxxxxxx, je povinen uhradit Objednateli smluvní pokutu ve výši 100 000,- Kč za každé jednotlivé porušení.
78. Poruší-li Poskytovatel jakoukoliv povinnost podle odst. 47 Xxxxxxx, je povinen uhradit Objednateli smluvní pokutu ve výši 50 000,- Kč za každé jednotlivé porušení.
79. Poruší-li Poskytovatel jakoukoliv povinnost podle odst. 72 nebo 73 Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 5 000,- Kč za každý započatý den prodlení se splněním povinnosti.
80. Poruší-li Poskytovatel jakoukoliv povinnost podle odst. 122 až 124 nebo 131 až 135 nebo 137 až 143 Smlouvy, je povinen uhradit Objednateli smluvní pokutu ve výši 5 000,- Kč za každé jednotlivé porušení.
81. Poruší-li Objednatel povinnost uhradit Fakturu ve sjednané době, je povinen uhradit Poskytovateli zákonný úrok z prodlení ve výši dle právních předpisů.
82. Zaplacení smluvní pokuty nezbavuje Smluvní strany povinnosti splnit dluh smluvní pokutou utvrzený.
83. Oprávněná Smluvní strana je oprávněna požadovat uhrazení smluvní pokuty na základě písemné výzvy k zaplacení smluvní pokuty doručené povinné Smluvní straně.
84. Splatnost smluvních pokut dle této Smlouvy bude 15 dnů od doručení písemné výzvy k zaplacení smluvní pokuty povinné Smluvní straně.
85. Poskytovatel je povinen chránit výsledky činnosti Poskytovatele, majetek Objednatele dotčený poskytováním Služeb a je odpovědný za škody, které vzniknou z jeho činnosti v souvislosti s poskytováním Služeb. Způsobí-li Poskytovatel při poskytování Služeb na výsledku činnosti Poskytovatele, na majetku Objednatele dotčeném poskytováním Služeb nebo majetku třetí osoby škodu, bude odpovědný za uvedení v předešlý stav na vlastní náklady, a není-li to dobře možné nebo žádá-li to poškozený, pak za náhradu takové škody.
86. Žádná ze Smluvních stran neodpovídá za škodu, která vznikla v důsledku věcně nesprávného nebo jinak chybného zadání, které obdržela od druhé Smluvní strany. V případě, že Objednatel poskytl Poskytovateli chybné zadání a Poskytovatel s ohledem na svou povinnost poskytnout Služby s odbornou péčí mohl nebo měl chybnost takového zadání zjistit, smí se ustanovení předchozí věty dovolávat pouze v případě, že na chybné zadání Objednatele písemně upozornil a Objednatel trval na původním zadání.
87. Žádná ze Smluvních stran nemá povinnost nahradit škodu způsobenou porušením svých povinností vyplývajících z této Smlouvy, bránila-li jí v jejich splnění některá z překážek vylučujících povinnost k náhradě škody ve smyslu § 2913 odst. 2 Občanského zákoníku. Smluvní strana, u níž nastala okolnost vylučující povinnost k náhradě škody, je povinna o této skutečnosti neprodleně písemně informovat druhou Smluvní stranu. Smluvní strany se zavazují k vyvinutí maximálního úsilí k odvrácení a překonání těchto okolností vylučujících odpovědnost.
88. Poskytovatel prohlašuje, že veškeré výstupy Služeb poskytnutých podle této Smlouvy budou prosté právních vad a zavazuje se nahradit v plné výši Objednateli škodu v případě, že třetí osoba úspěšně uplatní autorskoprávní nebo jiný nárok plynoucí z právní vady poskytnutých výstupů Služeb. V případě, že by nárok třetí osoby vzniklý v souvislosti se Službami, bez ohledu na jeho oprávněnost, vedl k dočasnému či trvalému soudnímu zákazu či omezení užívání výstupu Služeb či jeho části, zavazuje se Poskytovatel zajistit náhradní řešení a minimalizovat dopady takovéto situace, a to bez dopadu na cenu Služeb sjednanou podle této Smlouvy, přičemž současně nebudou dotčeny ani nároky Objednatele na náhradu škody.
89. Objednatel je oprávněn požadovat náhradu škody a nemajetkové újmy způsobené porušením povinnosti Poskytovatele, na kterou se vztahuje smluvní pokuta, v plné výši.
90. Smluvní strany mají povinnost k náhradě škody v rámci platných a účinných právních předpisů a této Smlouvy. Smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.
91. Žádná ze Smluvních stran není odpovědná za prodlení způsobené prodlením s plněním povinností druhou Smluvní stranou.
92. Nahrazuje se skutečná škoda a ušlý zisk. Náhrada škody se řídí obecnými ustanoveními Občanského zákoníku upravujícími náhradu škody.
93. Uplatněním nebo zaplacením smluvní pokuty či slev z ceny není dotčeno ani omezeno právo poškozené Smluvní strany na náhradu škody.
XIV. TRVÁNÍ SMLOUVY A JEJÍ UKONČENÍ
94. Smlouva se uzavírá na dobu určitou, a to na dobu 60 měsíců ode dne zahájení poskytování Služeb dle odst. 10 Smlouvy.
95. Smlouva může být před uplynutím doby, na kterou byla sjednána, ukončena:
95.1. odstoupením za podmínek stanovených touto Smlouvou; nebo
95.2. výpovědí za podmínek stanovených touto Smlouvou; nebo
95.3. dohodou Smluvních stran.
96. Poskytovatel je oprávněn od této Smlouvy odstoupit pouze v případě jejího podstatného porušení Objednatelem, které nebude napraveno ani do 60 dnů ode dne doručení písemné výzvy k nápravě Objednateli ze strany Poskytovatele.
97. Objednatel je oprávněn od této Smlouvy odstoupit z důvodů stanovených právními předpisy nebo sjednaných touto Smlouvou. Objednatel je oprávněn odstoupit od této Smlouvy zejména:
97.1. nedodržení sledovaných parametrů SLA majících za následek vznik povinnosti Poskytovatele zaplatit Objednateli smluvní pokutu ve výši minimálně 50 000,- Kč ve dvou po sobě jdoucích kalendářních měsících;
97.2. že celková výše smluvních pokut, na jejichž zaplacení vznikne Objednateli dle této Smlouvy nárok, přesáhne 300 000,- Kč;
97.3. ukáže-li se jako nepravdivé jakékoliv prohlášení Poskytovatele uvedené v této Smlouvě;
97.4. ocitne-li se Poskytovatel ve stavu úpadku nebo hrozícího úpadku;
97.5. jestliže Poskytovatel bezdůvodně přeruší poskytování některé ze Služeb;
97.6. jestliže Poskytovatel poruší některou svoji povinnost uvedenou v odst. 72, 73 nebo 131 až 135 nebo 137 až 143 Smlouvy;
97.7. poruší-li Poskytovatel jakoukoliv povinnost dle této Smlouvy podstatným způsobem;
97.8. bude-li Poskytovatel pravomocně odsouzen za trestný čin uvedený v příloze č. 3 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen
„Zákon o zadávání veřejných zakázek“);
97.9. bude-li Poskytovateli uložen zákaz plnění veřejných zakázek;
97.10. v případě významné změny ovládání Poskytovatele dle Zákona o obchodních korporacích nebo významné změny kontroly nad Poskytovatelem nebo změny vlastnictví zásadních aktiv, využívaných Poskytovatelem k plnění této Smlouvy, popřípadě změny oprávnění nakládat s těmito aktivy nebo změny kontroly nad nimi.
98. Smluvní strany jsou oprávněny tuto Smlouvu bez uvedení důvodů vypovědět, a to nejdříve po 18 měsících ode dne zahájení poskytování Služeb dle této Smlouvy. V případě Objednatele činí výpovědní doba 6 měsíců a počíná běžet prvního dne měsíce následujícího po doručení výpovědi Poskytovateli. V případě Poskytovatele činí výpovědní doba 12 měsíců a počíná běžet prvního dne měsíce následujícího po doručení výpovědi Objednateli.
XV. EXIT
99. Poskytovatel se zavazuje dle pokynů Objednatele poskytnout veškerou potřebnou součinnost, dokumentaci a informace, účastnit se jednání s Objednatelem a popřípadě se třetími osobami
za účelem plynulého a řádného převedení všech činností spojených s poskytováním Služeb, dojde-li k ukončení této Smlouvy (dále jen „Exit“).
100. Za tímto účelem se Poskytovatel zavazuje ve lhůtách dle odst. 101 Smlouvy vypracovat na základě pokynu Objednatele dokumentaci vymezující způsob provedení Exitu, harmonogram činností a jednotlivých kroků provedení Exitu (dále jen „Exitový plán“), a poskytnout plnění nezbytná k realizaci tohoto Exitového plánu za přiměřeného použití vhodných ustanovení této Smlouvy.
102. V případě jakéhokoliv ukončení této Smlouvy je Poskytovatel na základě Exitového plánu povinen poskytnout Objednateli nebo Objednatelem určené třetí osobě maximální nezbytnou součinnost za účelem plynulého a řádného převedení činností dle této Smlouvy či jejich části na Objednatelem určenou třetí osobu, s výjimkou případu, že by novým Poskytovatelem plnění byl stávající Poskytovatel dle této Smlouvy, tak, aby Objednateli nevznikla újma (škoda) související s přechodem poskytování plnění dle této Smlouvy na nového Poskytovatele Služeb. Poskytovatel se zavazuje tuto součinnost poskytovat s odbornou péčí, zodpovědně v rozsahu, který po něm lze spravedlivě požadovat, a to do doby úplného převzetí takových činností Objednatelem určenou třetí osobou. Součinnost bude spočívat především ve vykonání plánu předání (dle Exitového plánu činnostmi vedoucími k řádnému vykonání Exitového plánu).
103. Smluvní strany se dohodly, že cena za vypracování Exitového plánu a poskytnutí plnění nezbytného k jeho realizaci vedoucího k úspěšnému Exitu či poskytování další součinnosti dle tohoto článku této Smlouvy je součástí Ceny.
104. Smluvní strany se dohodly, že v případě sporu o jakékoli otázce, která se týká Exit plánu dle tohoto článku této Smlouvy, může být jejich dohodou určen soudní znalec pro posouzení sporné otázky a Smluvní strany se budou takovým posouzením soudního znalce řídit.
XVI. PROHLÁŠENÍ SMLUVNÍCH STRAN
105. Poskytovatel prohlašuje, že je způsobilý k řádnému splnění předmětu této Smlouvy a že disponuje takovými kapacitami a odbornými znalostmi, které jsou třeba k řádnému splnění všech jeho povinností z této Smlouvy. Pokud splnění některé povinnosti z této Smlouvy Poskytovatel zajistí prostřednictvím třetí osoby, odpovídá za její splnění, jako by ji plnil sám.
106. Poskytovatel prohlašuje, že není v úpadku ani ve stavu hrozícího úpadku, a že mu není známo, že by vůči němu bylo zahájeno insolvenční řízení. Poskytovatel dále prohlašuje, že vůči němu není v právní moci žádné soudní rozhodnutí, případně rozhodnutí správního, daňového či jiného orgánu na plnění, které by mohlo být důvodem zahájení exekučního řízení na majetek Poskytovatele a že mu není známo, že by vůči němu takové řízení bylo zahájeno.
107. Vzhledem k veřejnoprávnímu charakteru Objednatele Poskytovatel výslovně prohlašuje, že je s touto skutečností obeznámen a souhlasí se zveřejněním této Smlouvy v rozsahu a za podmínek vyplývajících z příslušných právních předpisů.
108. Poskytovatel si je vědom, že je ve smyslu § 2 písm. e) zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů, povinen spolupůsobit při výkonu finanční kontroly.
109. Smluvní strany prohlašují, že identifikační údaje uvedené v čl. I této Smlouvy odpovídají aktuálnímu stavu a že osobami jednajícími při uzavření této Smlouvy jsou osoby oprávněné k jednání za Smluvní strany bez jakéhokoliv omezení vnitřními předpisy Smluvních stran.
110. Jakékoliv změny údajů uvedených záhlaví této Smlouvy, jež nastanou v době po uzavření této Smlouvy, jsou Smluvní strany povinny bez zbytečného odkladu písemně sdělit druhé Smluvní straně.
111. V případě, že se kterékoliv prohlášení některé ze Smluvních stran uvedené v této Smlouvě ukáže býti nepravdivým, odpovídá tato Smluvní strana za škodu a nemajetkovou újmu, které nepravdivostí prohlášení nebo v souvislosti s ní druhé Smluvní straně vznikly.
XVII. OSTATNÍ UJEDNÁNÍ
112. Tvoří-li Poskytovatele více osob, platí následující:
112.1. všechny osoby tvořící Poskytovatele jsou z této Smlouvy zavázány společně a nerozdílně,
112.2. jednání kterékoli z osob tvořících Poskytovatele je přičítáno Poskytovateli bez ohledu na vnitřní vztahy mezi jednotlivými osobami tvořícími Poskytovatele,
112.3. za Poskytovatele může jednat kterákoli z osob tvořících Poskytovatele.
113. Poskytovatel je povinen neprodleně písemně informovat Objednatele o skutečnostech majících i potenciálně vliv na plnění jeho povinností vyplývajících z této Smlouvy, a není-li to možné, nejpozději následující den poté, kdy příslušná skutečnost nastane nebo Poskytovatel zjistí, že by nastat mohla. Současně je Poskytovatel povinen učinit veškeré nezbytné kroky vedoucí k eliminaci případné škody hrozící Objednateli, a to zejména obstarat neprodleně náhradní plnění, přičemž je povinen nést případný rozdíl ceny.
114. Poskytovatel bere na vědomí, že Objednatel je povinným subjektem podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů.
115. Smlouva je platná dnem připojení platného uznávaného elektronického podpisu dle zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, oběma Smluvními stranami do této Smlouvy a jejích jednotlivých příloh, nejsou-li součástí jediného elektronického dokumentu (tj. do všech samostatných souborů tvořících v souhrnu tuto Smlouvu).
116. Tato Smlouva nabývá účinnosti dnem uveřejnění v registru smluv dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů (dále jen „Zákon o registru smluv“). Poskytovatel souhlasí se zveřejněním této Smlouvy v souladu s povinnostmi Objednatele za podmínek vyplývajících z příslušných právních předpisů, zejména souhlasí se zveřejněním této Smlouvy, včetně všech jejích změn a dodatků, výše skutečně uhrazené ceny na základě této Smlouvy a dalších údajů na profilu zadavatele Objednatele podle Zákona o zadávání veřejných
zakázek a v registru smluv podle Xxxxxx o registru smluv. Smluvní strany se dohodly, že zákonnou povinnost dle § 5 odst. 2 Zákona o registru smluv splní Objednatel. Poskytovatel prohlašuje, že tato Smlouva ani žádná její část nejsou obchodním tajemstvím Poskytovatele ve smyslu § 504 Občanského zákoníku.
117. Poskytovatel je povinen chránit osobní údaje a při jejich ochraně postupovat v souladu s příslušnými právními předpisy, zejména se zákonem č. 110/2019 Sb., o zpracování osobních údajů, v platném znění. Poskytovatel je povinen dodržovat podle Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27.04.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), povinnost zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.
118. Poskytovatel není oprávněn postoupit žádnou svou pohledávku za Objednatelem vyplývající z této Smlouvy nebo vzniklou v souvislosti s touto Smlouvou bez předchozího písemného souhlasu Objednatele s postoupením.
119. Poskytovatel není oprávněn provést jednostranné započtení žádné své pohledávky za Objednatelem vyplývající z této Smlouvy nebo vzniklé v souvislosti s touto Smlouvou na jakoukoliv pohledávku Objednatele za Poskytovatelem bez předchozího písemného souhlasu Objednatele se započtením.
120. Objednatel je oprávněn provést jednostranné započtení jakékoliv své splatné i nesplatné pohledávky za Poskytovatelem vyplývající z této Smlouvy nebo vzniklé v souvislosti s touto Smlouvou (zejména smluvní pokutu) na jakoukoliv splatnou i nesplatnou pohledávku Poskytovatele za Objednatelem.
121. Zánikem nebo ukončením této Smlouvy nejsou dotčena práva a povinnosti vyplývající z ustanovení této Smlouvy, která dle projevené vůle Smluvních stran nebo vzhledem ke své povaze mají trvat i po ukončení této Smlouvy, a to zejména práva a povinnosti související s odpovědností za škodu, náhradou škody, smluvními pokutami, fakturací cen, úroky z prodlení, s licencí, odpovědností za vady, ochranou osobních údajů a mlčenlivostí.
123. Poskytovatel se zavazuje k dodržování veškerých povinností zaměstnavatele vztahujících se k jeho zaměstnancům a příslušným institucím a vyplývajících ze zákona č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších předpisů, zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, ve znění pozdějších předpisů, a zákona č. 187/2006 Sb., o nemocenském pojištění, ve znění pozdějších předpisů.
125. Smluvní strany se zavazují, že budou v maximální možné míře zajišťovat digitalizaci jakýchkoliv úkonů, služeb a agend souvisejících s poskytovanými Službami. Smluvní strany v maximální možné míře upřednostní elektronickou komunikaci, a to i ve vztahu k fakturaci a platbám.
XVIII. OPRÁVNĚNÉ OSOBY
126. Každá ze Smluvních stran jmenuje oprávněné osoby, které budou zastupovat příslušnou Smluvní stranu ve smluvních a obchodních, věcných a technických záležitostech souvisejících s plněním této Smlouvy.
127. Oprávněné osoby aktuální ke dni uzavření této Smlouvy jsou uvedeny v příloze této Smlouvy (Příloha č. 6 Smlouvy).
128. Oprávněné osoby budou oprávněny činit v příslušných záležitostech rozhodnutí závazná pro Smluvní strany ve vztahu k této Smlouvě. Oprávněné osoby, nejsou-li statutárními orgány, však nejsou oprávněny provádět změny či ukončení této Smlouvy, nebude-li jim k tomu udělena zvláštní plná moc.
129. Každá ze Smluvních stran má právo změnit jí jmenované oprávněné osoby a o každé změně oprávněných osob druhou Smluvní stranu písemně vyrozumět. Změna oprávněných osob je vůči druhé Smluvní straně účinná okamžikem, kdy o ní byla písemně vyrozuměna.
130. Existencí oprávněné osoby není dotčeno právo Smluvní strany komunikovat a kontaktovat pracovníky druhé Smluvní strany dle komunikační matice, která bude Smluvními stranami stanovena při zahájení plnění této Smlouvy.
XIX. REALIZAČNÍ TÝM
131. Poskytovatel je povinen poskytovat Služby podle této Smlouvy prostřednictvím osob uvedených v příloze této Smlouvy (Příloha č. 4 Smlouvy), jimiž v rámci Řízení veřejné zakázky prokazoval splnění kvalifikace, nebo osobami písemně odsouhlasenými Objednatelem (dále jen jednotlivě
„Člen realizačního týmu“ nebo společně „Členové realizačního týmu“).
132. Poskytovatel je povinen zajistit, aby se všichni Členové realizačního týmu, jimiž v rámci Řízení veřejné zakázky prokazoval splnění kvalifikace, aktivně podíleli na poskytování příslušné části Služeb podle této Smlouvy a nabídky podané v rámci Řízení veřejné zakázky.
133. Objednatel je oprávněn požadovat a Poskytovatel je povinen zabezpečit změnu Člena realizačního týmu, pokud je jeho činnost nedostatečná nebo neuspokojivá, zejména v případech, kdy:
133.1. kvalita plnění předmětu této Smlouvy prováděná Xxxxxx realizačního týmu neodpovídá požadavkům této Smlouvy;
133.2. nejsou Členem realizačního týmu vykonávány pokyny Objednatele udělené podle této Smlouvy;
133.3. bude dán jiný závažný důvod pro změnu Člena realizačního týmu.
134. Poskytovatel je povinen navrhnout nového Člena realizačního týmu do 10 dnů od doručení žádosti Objednatele. Pokud se jedná o Člena realizačního týmu, jehož prostřednictvím
135.1. takový nový Člen realizačního týmu nebude mít stejnou či vyšší úroveň kvalifikace, než jaká byla pro příslušného Člena realizačního stanovena v Řízení veřejné zakázky, nebo
135.2. po Objednateli nelze spravedlivě požadovat, aby s takovou změnou souhlasil.
136. Není-li Poskytovatel schopen zabezpečit změnu Člena realizačního týmu, jsou Smluvní strany oprávněny od této Smlouvy odstoupit.
XX. PODDODAVATELÉ
137. Poskytovatel je oprávněn pověřit plněním svých povinností vyplývajících z této Smlouvy pouze jiné osoby uvedené v příloze této Smlouvy (Příloha č. 5 Smlouvy), nebo osoby písemně odsouhlasené Objednatelem (uvedené osoby jednotlivě dále jen „Poddodavatel“ nebo společně
„Poddodavatelé“).
138. Poskytovatel se zavazuje, že Poddodavatelé, kterými prokazoval splnění kvalifikace v Řízení veřejné zakázky, se budou podílet na plnění povinností Poskytovatele vyplývajících z této Smlouvy v rozsahu podle nabídky Poskytovatele podané do Řízení veřejné zakázky.
139. Pakliže Poskytovatel pověří dílčím plněním předmětu této Smlouvy Poddodavatele, odpovídá za plnění takového Poddodavatele jako by plnil sám.
140. Poskytovatel prohlašuje a zavazuje se, že jako ručitel uspokojí za jakéhokoliv Poddodavatele jeho povinnost nahradit újmu způsobenou Poddodavatelem Objednateli při plnění nebo v souvislosti s plněním povinností z této Smlouvy, jestliže Poddodavatel povinnost k náhradě újmy nesplní. Objednatel Poskytovatele jako ručitele podle předchozí věty přijímá.
141. Objednatel je oprávněn požadovat a Poskytovatel je povinen zabezpečit změnu Poddodavatele nebo část Služeb prováděnou Poddodavatelem provést sám, splňuje-li všechny pro plnění příslušné části Služeb Objednatelem stanovené předpoklady a kvalifikaci, a to v případech, kdy:
141.1. bude Poddodavatel vůči Objednateli v prodlení se splněním povinnosti z jiného závazku nebo
141.2. bude Poddodavatel pravomocně odsouzen za trestný čin uvedený v příloze č. 3 Zákona o zadávání veřejných zakázek nebo
141.3. se Poddodavatel ocitne ve stavu úpadku nebo hrozícího úpadku nebo
141.4. bude Poddodavateli uložen zákaz plnění veřejných zakázek nebo
141.5. bude dán jiný závažný důvod pro změnu Poddodavatele (např. důvod obdobný důvodu pro odstoupení Objednatele od této Smlouvy).
142. Poskytovatel je povinen navrhnout nového Poddodavatele do 10 dnů od doručení žádosti Objednatele. Nový Poddodavatel může být připuštěn k plnění Služeb výlučně na základě písemného souhlasu Objednatele.
143.1. prostřednictvím původního Poddodavatele Poskytovatel v Řízení veřejné zakázky prokazoval splnění kvalifikace a nový Poddodavatel nebude mít stejnou či vyšší kvalifikaci, než jaká byla stanovena v Řízení veřejné zakázky nebo
143.2. po Objednateli nelze spravedlivě požadovat, aby s takovou změnou souhlasil.
144. Není-li Poskytovatel schopen zabezpečit změnu Poddodavatele nebo část Služeb prováděnou Poddodavatelem provést sám, jsou Smluvní strany oprávněny od této Smlouvy odstoupit.
XXI. ZÁVĚREČNÁ USTANOVENÍ
145. Přílohy této Smlouvy jsou její nedílnou součástí.
146. Veškerá práva a povinnosti Smluvních stran vyplývající z této Xxxxxxx se řídí českým právním řádem. Smluvní strany se dohodly, že ustanovení právních předpisů, která nemají donucující účinky, mají přednost před obchodními zvyklostmi a zavedenou praxí Smluvních stran, pokud tato Smlouva nestanoví jinak.
147. Pokud by se v důsledku změny právních předpisů nebo jiných důvodů stala některá ujednání této Smlouvy neplatnými nebo neúčinnými, Smluvní strany prohlašují, že tato Smlouva je ve zbývajících ustanoveních platná a účinná, neodporuje-li to jejímu účelu nebo nejedná-li se o ustanovení, která oddělit nelze. Smluvní strany se zavazují bez zbytečného odkladu od okamžiku, kdy se dozví o neplatnosti nebo neúčinnosti některého ustanovení této Smlouvy, nahradit takové ustanovení jiným platným a účinným ustanovením, jehož obsah a účel bude v nejvyšší možné míře odpovídat obsahu a účelu původního ustanovení této Smlouvy.
148. Všechny spory vznikající z této Smlouvy a v souvislosti s ní budou řešeny především dohodou Smluvních stran, přičemž nedojde-li k dohodě o řešení sporů, budou tyto podle vůle Smluvních stran rozhodovány soudy České republiky, jakožto soudy výlučně příslušnými.
149. Smlouvu lze měnit pouze písemnými, vzestupně číslovanými dodatky, pokud tato Smlouva nestanoví jinak. Jakékoli změny této Smlouvy učiněné jinou než písemnou formou jsou vyloučeny.
150. Smlouva se vyhotovuje v elektronické podobě, přičemž obě Smluvní strany obdrží její elektronický originál.
151. Smlouva nabývá platnosti dnem jejího uzavření a účinnosti uveřejněním v registru smluv dle Zákona o registru smluv.
PŘÍLOHY:
Xxxxxxx x. 0 Xxxxxxx xxxxxx
Příloha č. 2 Metodika řízení dodavatelů
Příloha č. 3 Nástroj pro hodnocení dodavatele dle VKB
Příloha č. 4 Členové realizačního týmu
Příloha č. 5 Poddodavatelé
Příloha č. 6 Seznam oprávněných osob
V Praze dne 25.04.2023 dle el. podpisu V Tehově dne 19.04.2023 dle el. podpisu
Objednatel Poskytovatel
Fakultní nemocnice Bulovka Your IT s.r.o.
Xxx. Xxx Xxxxxx, ředitel Xxx. Xxxxxxx Xxxxxx, jednatel
Stránka 22 z 27
Xxxxxxx x. 0 Xxxxxxx Xxxxxxx xxxxxx
Servisní podpora
Servisní podpora (dále jen „Servisní podpora“) bude Poskytovatelem poskytována v níže uvedeném rozsahu.
Technická podpora
Poskytovatel je povinen zajistit Objednateli možnost využívat technické podpory, a to prostřednictvím těchto nástrojů:
Nástroj | Dostupný na | |
a) | Online helpdeskový systém | xxx xxx xxx |
b) | Telefonická hotline | xxx xxx xxx |
c) | xxx xxx xxx |
Poskytovatel je v rámci technické podpory povinen pro Objednatele za dále v této příloze uvedených podmínek zejména:
o přijímat oznámení o vadách dodaných technologií a oznamovat průběh jejich řešení,
o přijímat požadavky na školení, konzultace, rozvoj a další služby k dodaným technologiím,
o poskytovat Objednateli uživatelskou podporu související s provozem dodaných technologií, tj. zodpovídat dotazy administrátorů apod.
Poskytovatel je povinen zajistit dostupnost těchto nástrojů nepřetržitě (tj. 24 hodin denně, 7 dní v týdnu, 365 (366) dní v roce). Podpora je poskytována v českém jazyce.
Průběžné vyhodnocování provozu a profylaxe dodaných technologií
Poskytovatel je za účelem předcházení vad dodaných technologií a za účelem zajištění bezpečnosti a optimálního provozu dodaných technologií povinen provádět průběžné vyhodnocování provozu dodaných technologií a dále je povinen provádět jejich profylaxe.
Poskytovatel je povinen profylaxi dodaných technologií provádět minimálně 2x ročně během prvního roku provozu a následně minimálně 1x ročně po dobu platnosti Smlouvy, tak aby byly zajištěna vysoká dostupnost dodané infrastruktury a aby byly minimalizovány neplánované výpadky dodané infrastruktury.
Předmětem profylaxe dodaných technologií jsou zejména:
o kontrola provozních logů,
o kontrola chybových čítačů a registrů,
o kontrola provozovaných verzí firmware,
o analýza nových verzí firmware a jejich kompatibility vzhledem k ostatním částem infrastruktury,
o aktualizace firmware,
o aktualizace hypervisorů u virtualizačních serverů,
o kontrola doporučení a „best practices“ výrobce,
o kontrola vydaných upozornění a „advisories“ výrobce,
o analýza rizik a návrhy neustálého zlepšování,
o kontrola využití zaplnění diskové kapacity,
o provozní porada s přiděleným týmem specialistů,
o analýza příčin problémů – v případě výpadku je požadován detailní popis procesu analýzy jednoznačných příčin (root cause analysis),
o vypracování a průběžná aktualizace plánu podpory, který bude obsahovat detaily plánovaných i dodaných činností.
Poskytovatel je na základě vyhodnocování provozu dodané infrastruktury a provádění profylaxí dodané infrastruktury povinen navrhnout a poskytnout součinnost při činnostech potřebných k optimalizaci provozu dodané infrastruktury a k předcházení poruch a dále vypracovávat a Objednateli předkládat návrhy na zlepšení konfigurace dodaných technologií a na zlepšení využívání dodaných technologií ze strany Objednatele (např. návrhy na proškolení administrátorů, na organizační opatření Objednatele, na posílení, doplnění či přesun hardwarového vybavení, na preventivní opatření pro zajištění kybernetické bezpečnosti.).
Poskytovatel je o provedené profylaxi povinen vyhotovit zápis a předat jej do 5 pracovních dní ode dne provedení profylaxe kontaktní osobě Objednatele.
V případě, že z výsledků profylaxe vyplyne potřeba provedení úprav nebo změn konfigurace dodaných technologií, předloží Poskytovatel návrh takového řešení včetně odhadovaného časového rozsahu pracnosti v hodinách Objednateli.
Odstraňování vad dodané infrastruktury
Poskytovatel je za účelem zajištění odstraňování vad dodané infrastruktury povinen zajistit nepřetržitý příjem oznámení o vadách s využitím Online helpdeskového systému.
V oznámení vady musí být vada popsána a musí být vymezena její závažnost. Objednatel je zároveň za účelem další domluvy a urychlení odstranění vady oprávněn Poskytovatele kontaktovat prostřednictvím Telefonické hotline.
Definice pojmů
Nad rámec pojmů s velkými počátečními písmeny definovanými ve Xxxxxxx s významem, který je jim připisován se použijí i pojmy s následujícím významem:
Doba reakce – jde o časovou lhůtu, ve které je Poskytovatel povinen odpovědět na jakoukoliv vadu dodaných technologií, která byla Objednatelem předána prostřednictvím příslušných nástrojů.
Doba vyřešení – u vad dodaných technologií jde o časovou lhůtu, ve které je Poskytovatel povinen jakoukoliv vadu zcela odstranit.
Vady jsou dle závažnosti členěny do tří kategorií:
Kategorie vady | Definice závažnosti Závad a Chyb | |
A | Havárie | Některé nebo všechny části dodaných technologií selhaly a jsou zcela nefunkční nebo je jejich funkčnost omezena tak, že je kritickým či zásadním způsobem ovlivněna činnost/funkčnost. Výrazná degradace funkčnosti dodané infrastruktury nebo její úplný výpadek. Jakákoliv závada kterékoliv komponenty dodaného diskového pole. Jakákoliv závada dodaného SAN přepínače. |
B | Incident | Stav, ve kterém dodané technologie nebo jejich část není plně funkční či nefunguje ve standardním režimu. Stav, kdy neprobíhají nebo probíhají s chybou plánované zálohy. |
C | Omezení | Dodané technologie nejsou ve stavu Havárie či Incidentu. Dodané technologie jsou plně operativní, přičemž jejich nefunkční část nemá podstatný vliv na činnost/funkčnost dodaných technologií nebo ji lze dočasně nahradit. |
V případě sporu o zařazení vady v rámci kategorie je směrodatné zařazení ze strany Objednatele.
Provozní doba – doba, kdy je služba či její část poskytována – od-do, které dny v týdnu:
• 24x7 – nepřetržitě
Provozní parametry servisní podpory Systému:
Parametr | Hodnota |
Provozní doba Telefonické hotline | Minimálně 8 hodin v pracovní dny, dle standardní pracovní doby Poskytovatele (musí být v časovém rozmezí 7:00 – 18:00 SEČ) |
Provozní doba Online helpdeskového systému | 24x7 |
Doba reakce na A v režimu 24x7 | 15 minut |
Doba vyřešení A v režimu 24x7 | 8 hodin |
Doba reakce na B v režimu 24x7 | 1 hodina |
Doba vyřešení B v režimu 24x7 | do konce následujícího pracovního dne |
Doba reakce na C v režimu 24x7 | 1 hodina |
Doba vyřešení C v režimu 24x7 | 240 hodin |
Poskytovatel je povinen bez zbytečného prodlení informovat Objednatele prokazatelným způsobem o zahájení prací na odstranění vady. Oznámením Poskytovatele o způsobu řešení se rozumí zápis konkrétní informace do Online helpdeskového systému.
V případě potřeby bude u vady typu Havárie dedikovaný eskalační manažer, který bude k dispozici pro koordinaci prací souvisejících s řešením vady a bude koordinovat práce vyšších úrovní podpory.
Lhůta pro odstranění vady se prodlužuje o dobu poskytování nutné součinnosti ze strany Objednatele (např. zajištění přístupu do datového centra).
V případě, že v průběhu odstraňování vady dojde ke změně kategorie vady směrem k nižší závažnosti (potvrzené Objednatelem), prodlužuje se lhůta pro odstranění vady na délku vztahující se k vadě této kategorie (i nová lhůta se však počítá od nahlášení vady). Toto prodloužení nemá vliv na již vzniklé prodlení a související povinnost uhradit smluvní pokutu.
Po odstranění vady Objednatel potvrdí odstranění vady v Online helpdeskovém systému. Tímto se vada považuje za odstraněnou.
Smluvní strany se dohodly, že v případě, že to povaha vady umožní, budou vady odstraňovány za využití vzdáleného přístupu.
Součástí opravy dodané infrastruktury je i obnova konfigurace do stavu před vadou. Virtualizační servery musí být nakonfigurovány a připojeny do centrální správy virtualizace vCenter. Zálohovací řešení musí být připraveno akceptovat plnění již nastavených plánů záloh.
Poskytovatel je povinen zajistit, aby Online helpdeskový systém automaticky u každé z nahlášených vad zobrazoval mj. okamžik nahlášení vady, zahájení odstraňování vady a odstranění vady a dále aby Objednateli umožňoval export přehledu nahlášených vad s informacemi o kategorii vady, okamžiku nahlášení, okamžiku zahájení odstraňování vady a odstranění vady ve formátu txt / csv.
Upgrade a update dodaných technologií
Poskytovatel je povinen poskytovat Objednateli upgrade a update software komponent dodaných technologií, tedy především nové nebo aktualizované verze software, firmware, ovladačů, hypervizorů a patche opravující chyby a zlepšení. Upgrade a update je poskytován včetně vlastní instalace a implementace u Objednatele.
Poskytovatel je povinen provádět upgrade a update tak, aby byla zajištěna dostupnost virtualizační infrastruktury Objednatele a zároveň aby vždy všechny části virtualizační infrastruktury Objednatele byly s novou verzí kompatibilní. Poskytovatel tak není povinen zajistit vždy nejnovější verzi, avšak vždy se musí jednat o výrobcem podporovanou verzi.
Před provedením jednotlivých upgradů či updatů ze strany Poskytovatele musí vždy proběhnout odsouhlasení ze strany Objednatele (kontaktní osoby), a to minimálně v rozsahu prováděného upgradu či updatu, způsobu provedení, dopadu na dostupnost virtualizační infrastruktury zadavatele a času provádění.
Poskytovatel v souvislosti s poskytováním této služby odpovídá také za zachování funkčních vazeb virtualizační infrastruktury Objednatele v souvislosti s poskytnutím této služby. V případě nedodržení, odpojení, narušení nebo jiné vady takových vazeb v souvislosti s poskytováním této služby se tyto vady považují za vady vysoké závažnosti – Havárie.
Monitorované parametry
V rámci proaktivní podpory Poskytovatel zajistí HW monitoring kritické části dodané infrastruktury (minimálně disková pole, SAN switche, LAN switche, virtualizační servery) v režimu 24x7. Monitoring musí být schopen automaticky zaslat informaci o HW problému. V případě HW problému Poskytovatel zajistí založení servisního požadavku, který začne sám řešit.
V rámci monitoringu bude Poskytovatel měřit měsíční nedostupnost SAN infrastruktury, jedná-li se
o dodanou infrastrukturu, která nastane při události "lost access to volume" zaznamenané v logu vCenter serveru nebo v hostd.log na jednotlivém virtualizačním serveru, pokud se jedná o dodaný server, a pokud událost nastala neplánovaně a bez zavinění Objednatele.
Dále bude Poskytovatel vyhodnocovat následující chyby, pokud nastanou neplánovaně a bez zavinění Objednatele:
• chyby dodaných virtualizačních serverů při kterých nastala VMware VMkernel událost ze které nebylo možno nebo nesmělo být pokračováno (purpurová VMkernel diagnostická chyba),
• chyby dodaných virtualizačních serverů při kterých není VMware VMkernel responsivní.
Akceptovatelná maximální doba události nedostupnosti SAN infrastruktury je 40 sekund a zároveň maximální akceptovatelné opakovaní události v období pěti let je třikrát. Jednotlivé události nedostupnosti kratší než 40 sekund se nesčítají.
Akceptovatelný maximální počet chyb jednoho virtualizačního serveru v průběhu pěti let je 3.
Při každém výskytu nedostupnosti SAN infrastruktury nebo chyby virtualizačního serveru se provedou kroky k zjištění příčiny nedostupnosti nebo chyby a navrhnou se opatření pro minimalizaci možného opakovaní.
V případě, že dojde k překročení maximálního akceptovatelného opakování nedostupnosti SAN infrastruktury nebo počtu chyb virtualizačního serveru, může Objednatel zajistit opravu na náklady Poskytovatele.
Další služby
Poskytovatel se zavazuje zajistit Objednateli po celou dobu poskytování předmětu plnění konzultace nebo technické činnosti nad rámec výše uvedených činností. Tyto konzultace budou čerpány po dohodě obou stran. Maximální čerpání služby konzultací a podpory je 3 hodiny měsíčně, nevyčerpané hodiny se převádějí do dalšího období.
Poskytovatel zajistí Objednateli přidělení týmu specialistů tvořený členy realizačního týmu dle Smlouvy, a to ve složení:
• Manažer podpory zodpovědný za řízení a koordinaci dodávek a poskytování služeb.
• HW/SW specialisté pro dodanou infrastrukturu, kteří budou zodpovědní za dodávku činností souvisejících s dodaným HW/SW, např. pravidelné kontroly verzí a patchů FW, jejich povyšování, kontroly monitoringu HW či konzultace související s provozovaným HW/SW.
Příloha č. 2 Smlouvy Metodika řízení dodavatelů
Strana č./Celkem stran: 1/24
Verze: 02
01_MP_FNB_003
Metodika řízení dodavatelů
Datum platnosti:
Datum účinnosti:
Zrušovací ustanovení:
Zpracovatel: | Garant: | Schválil: | |
Organizační složka: | Odbor bezpečnosti a sekretariátu ředitele | Odbor bezpečnosti a sekretariátu ředitele | Úsek ředitele |
Funkce: | Manažer kybernetické bezpečnosti | Vedoucí Odboru bezpečnosti a sekretariátu ředitele | Ředitel Fakultní nemocnice Bulovka |
Jméno: | Xxx. Xxxxxx Xxxxxxxxxxxx | Xxx. Xxxx Xxxxxxx | Xxx. Xxx Xxxxxx |
Datum: |
Podpis: otisk razítka útvaru |
Před použitím dokumentu si ověřte, zda se jedná o platné znění. Platné znění je k dispozici na nemocničním Intranetu.
Tento dokument je výhradním duševním vlastnictvím Fakultní nemocnice Bulovka. Postupovat ho třetím osobám lze pouze se souhlasem ředitele Fakultní nemocnice Bulovka.
Obsah
1. List provedených revizí a změn 3
2. Účel a oblast platnosti dokumentu 4
5. Kategorie dodavatelů a jejich řízení 7
6. Požadavky na dodavatele v rámci veřejné zakázky 8
7. Pravidla pro hodnocení rizik souvisejících s dodavateli v rámci hodnocení rizik VZ 11
8. Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti 12
9. Pravidla pro provádění kontroly dodavatelů 13
10. Pravidla pro hodnocení dodavatelů 14
11. Vzor smlouvy o zachování mlčenlivosti 15
12. Opatření k zajištění bezpečnosti informací s významnými dodavateli 18
13. Minimální bezpečnostní požadavky 19
14. Stanovení rizikového profilu dodavatele 21
17. Vznikající dokumenty a údaje 24
1.
List provedených revizí a změn
Změna č. | Umístění změny | Popis provedené změny | Datum účinnosti | Odpovědná osoba |
1 | Celý dokument | Revize a aktualizace názvu nemocnice na FNB a Fakultní nemocnice Bulovka | 5.5.2021 | Xxx. Xxxxxx Xxxxxxxxxxxx |
2 | Celý dokument | Aktualizace hlavičky dokumentu | 5.5.2021 | Xxx. Xxxxxx Xxxxxxxxxxxx |
3 | Celý dokument | Úprava názvu dokumentu z 01_MP_NNB_003 Metodika řízení dodavatelů na 01_MP_FNB_003 Metodika řízení dodavatelů | 5.5.2021 | Xxx. Xxxxxx Xxxxxxxxxxxx |
4 | 2. Pojmy a zkratky | Výrazné rozšíření o další Pojmy a zkratky | 5.5.2021 | Xxx. Xxxxxx Xxxxxxxxxxxx |
5 | 3. odpovědno sti a pravomoci | Doplněna věta: Za řádné informování dodavatele odpovídá garant příslušného aktiva (informačního nebo komunikačního systému) ve spolupráci s Architektem kybernetické bezpečnosti. | 5.5.2021 | Xxx. Xxxxxx Xxxxxxxxxxxx |
6 | 4. Kategorie dodavatelů a jejich řízení | Od 4. je vše přepsáno dle požadavků NÚKIB za konzultace s BDO | 5.5.2021 | Xxx. Xxxxxx Xxxxxxxxxxxx |
7 | Celý dokument | Přepracování textace celého dokumentu dle doporučení auditu NÚKIB | 5.5.2021 | Xxx. Xxxxxx Xxxxxxxxxxxx |
01_MP_FNB_003
Metodika řízení dodavatelů
Strana č./Celkem stran: 4/24
Verze: 02
2.
Účel a oblast platnosti dokumentu
Dokument si klade za cíl stanovit pravidla pro:
a) dodavatele IKT, která zohledňují požadavky systému řízení bezpečnosti informací FNB, vyplývající ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen ZKB) a jeho prováděcí vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti (dále jen VKB).
b) vedení evidence významných dodavatelů IKT FNB,
c) informování významných dodavatelů IKT FNB o jejich evidenci podle ustanovení § 8, odst. 1, písm. b) VKB,
d) seznámení dodavatelů IKT FNB s pravidly podle písmene a) a způsobu plnění těchto pravidel,
e) hodnocení rizik souvisejících s plněním předmětu výběrového řízení,
f) řízení rizik spojených s dodavateli,
g) zajištění, aby smlouvy uzavírané s významnými dodavateli IKT FNB obsahovaly relevantní ustanovení v souvislosti s řízením rizik spojených s významnými dodavateli IKT FNB,
h) pravidelné přezkoumání plnění smluv s významnými dodavateli IKT FNB z hlediska systému řízení bezpečnosti informací.
Tento dokument je určen pro vedoucí pracovníky FNB zodpovědné za systém řízení bezpečnosti informací, zadávání veřejných zakázek a právní služby FNB, dále pak pro Manažera KB, Architekta KB, Garanty aktiv a další pracovníky podílející se na zajišťování SŘBI. Zároveň slouží jako podklad pro kontrolu plnění povinností v oblasti řízení dodavatelů a zajišťování bezpečnosti v oblasti odběratelsko- dodavatelských vztahů IKT FNB.
3.
Pojmy a zkratky
Pojmy:
Upřesnění | |
Administrátor | Fyzická osoba pověřená garantem aktiv zajišťující správu, provoz, použití, údržbu a bezpečnost technického aktiva, viz § 2 písm. a) VKB |
Aktivum | Primární aktivum a podpůrné aktivum, viz § 2 písm. f) a g) VKB |
Architekt kybernetické bezpečnosti | Osoba zajišťující návrh a implementaci bezpečnostních opatření, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním bezpečnostní architektury po dobu nejméně tří let, viz § 7 odst. 2 VKB |
Auditor kybernetické bezpečnosti | Osoba provádějící audit kybernetické bezpečnosti, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti po dobu nejméně tří let, viz § 7 odst. 4 VKB |
Bezpečnost informací | Zajištění důvěrnosti, integrity a dostupnosti informací, viz § 2 písm. c) ZKB |
Upřesnění | |
Bezpečnostní opatření | Souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací v kybernetickém prostoru, viz § 4 ZKB |
Bezpečnostní politika | Soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv, viz § 2 písm. c) VKB |
Dostupnost | Vlastnost přístupnosti a použitelnosti na žádost oprávněné entity |
Důvěrnost | Vlastnost, že informace není dostupná nebo není odhalena neoprávněným jednotlivcům, entitám nebo procesům |
Garant aktiv | Fyzická osoba pověřená zajištěním rozvoje, použití a bezpečnosti aktiv, viz § 7 odst. 3 VKB |
Hodnocení rizik | Proces, při němž je určována významnost rizik a jejich přijatelná úroveň, viz VKB §2d |
Hrozba | Potencionální příčina kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, jejímž výsledkem může být poškození aktiva, viz § 2 písm. e) VKB |
Integrita | Vlastnost přesnosti a úplnosti |
Kybernetická bezpečnostní událost | Událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací, viz §7 odst. 1 ZKB |
Kybernetický bezpečnostní incident | Narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události, viz § 7 odst. 2 ZKB |
Manažer kybernetické bezpečnosti | Osoba, odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let, viz § 7 odst. 1 VKB |
Podpůrná aktiva | Podpůrným aktivem je technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, viz § 2 písm. f) VKB |
Primární aktiva | Informace nebo služba, kterou zpracovává nebo poskytuje informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém, viz § 2 písm. g) VKB |
Riziko | Možnost, že určitá hrozba využije zranitelnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a způsobí poškození aktiva, viz § 2 písm. h) VKB |
Řízení incidentů bezpečnosti informací | Xxxxxxx pro detekování, hlášení, posuzování incidentů bezpečnosti informací, odezvu na incidenty bezpečnosti informací, řešení incidentů bezpečnosti informací a poučení se z bezpečnostních incidentů |
Řízení rizik | Činnost zahrnující hodnocení rizik, výběr a zavedení opatření ke zvládání rizik, sdílení informací o riziku a sledování a přezkoumání rizik |
Řízení služeb | Množina schopností a procesů pro vedení a řízení činností a zdrojů poskytovatele služeb pro návrh, přechod, dodávku a zlepšování služeb, aby |
Upřesnění | |
byly naplněny požadavky služeb | |
Řízení zranitelností | Cyklická praxe pro identifikaci, třídění, opakované zprostředkování a zmírňování zranitelností. Obecně se tato praxe vztahuje na zranitelnosti programového vybavení v počítačových systémech, může však být často rozšířena na organizační chování a strategické rozhodovací procesy |
Systém řízení bezpečnosti informací | Část systému řízení FNB založená na přístupu k rizikům informačního systému významného informačního systému, která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací, viz § 2 písm. j) VKB |
Technické aktivum | Technické vybavení, komunikační prostředky a programové vybavení informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a objekty, ve kterých jsou tyto systémy umístěny, viz § 2 písm. k) VKB |
Uživatel | Fyzická nebo právnická osoba anebo orgán veřejné moci, která využívá primární aktiva, viz § 2 písm. l) VKB |
Výbor pro řízení kybernetické bezpečnosti | Organizovaná skupina tvořená osobami, které jsou pověřeny celkovým řízením a rozvojem významného informačního systému, anebo se významně podílejí na řízení a koordinaci činností spojených s kybernetickou bezpečností těchto systémů, viz § 6 odst. 7 VKB |
Významný dodavatel | Osoba vstupující do právního vztahu s FNB, která je významná z hlediska bezpečnosti VIS. |
Významný informační systém | systém Informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci, viz § 2 písm. d) ZKB |
Zranitelnost | Slabé místo aktiva nebo bezpečnostního opatření, které může být zneužito jednou nebo více hrozbami, viz § 2 písm. p) VKB |
Zkratky:
HW | Hardware |
IKT | Informační a komunikační technologie |
IS | Informační systém |
KB | Kybernetická bezpečnost |
FNB | Fakultní nemocnice Bulovka |
MKB | Manažer kybernetické bezpečnosti |
NÚKIB | Národní úřad pro kybernetickou a informační bezpečnost |
SW | Software |
SŘBI | Systém řízení bezpečnosti informací (někdy též ISMS – Information Security Management System) |
VKB | Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických |
bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) | |
VZ | Veřejná zakázka |
ZKB | Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů |
ZZVZ | Zákon č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů |
4.
Odpovědnosti a pravomoci
Za realizaci hodnocení rizik souvisejících s plněním předmětu zadávacího řízení odpovídá Architekt kybernetické bezpečnosti.
Za stanovení pravidel, požadavků a povinností dodavatele podle dokumentu Bezpečnostní doporučení NÚKIB pro administrátory v aktuálním znění, k nahlédnutí zde ZDE odpovídá Architekt kybernetické bezpečnosti.
Za řádné informování dodavatele odpovídá MKB ve spolupráci s Architektem kybernetické bezpečnosti.
Přezkoumání plnění smluv s dodavateli je předmětem auditu kybernetické bezpečnosti v souladu s plánem auditů. Audit plnění smluv s významnými dodavateli proběhne nejméně jednou za dva roky, audit plnění smluv s ostatními dodavateli nejméně jednou po dobu platnosti smlouvy, je-li tato smlouva uzavřena alespoň na dobu 24 měsíců.
5.
Kategorie dodavatelů a jejich řízení
Pro řízení bezpečnosti informací ve FNB jsou rozlišovány tyto typy dodavatelů:
Dodavatel – subjekt, podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému;
Významný dodavatel – provozovatel informačního nebo komunikačního systému (dále jen
„provozovatel“) a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému.
Systém řízení dodavatelů se skládá z následujících oblastí, které vymezují pravidla pro:
• stanovení požadavků na dodavatele v rámci veřejné zakázky,
• stanovení pravidel pro hodnocení rizik souvisejících s dodavateli v rámci hodnocení rizik VZ,
• náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti,
• pravidla pro provádění kontroly dodavatelů,
pravidla pro hodnocení dodavatelů, která jsou dále popsána v kapitolách 6 až 9.
01_MP_FNB_003
Metodika řízení dodavatelů
Strana č./Celkem stran: 8/24
Verze: 02
Požadavky na dodavatele v rámci veřejné zakázky
6.
Základní pravidla pro zadávání veřejných zakázek a povinnosti dodavatelů při zadávání veřejných zakázek upravuje především ZZVZ. V rámci stanovení požadavků na dodavatele a realizaci dodávek, které mají vliv na oblasti SŘBI, je nutné uplatnit také veškerá (pro danou VZ) relevantní pravidla a požadavky dle aktuálního znění ZKB a VKB, požadavků na provoz VIS a související bezpečnostní dokumentací FNB.
Garant aktiva určeného jako VIS odpovídá za vypracování zadávací dokumentace pro výběr vhodného dodavatele a zapracování všech bezpečnostních požadavků relevantních pro danou VZ do smlouvy s dodavatelem už od jejího návrhu.
Významným dodavatelem se stává vždy:
• provozovatel VIS,
• osoba vstupující do právního vztahu s FNB, která je významná z hlediska bezpečnosti VIS.
Garant aktiva o určení nového významného dodavatele informuje MKB, který vede evidenci významných dodavatelů v operativní dokumentaci SŘBI, viz Kapitola 14 Evidence dodavatelů a zajišťuje jejich prokazatelné informování formou splňující následující náležitosti:
• identifikace správce nebo provozovatele,
• identifikace informačního a komunikačního systému,
• identifikace významného dodavatele,
• vyrozumění o tom, že dodavatel je pro správce významným dodavatelem, popřípadě, že významný dodavatel je současně provozovatelem,
• obsah pravidel SŘBI a dotčeného VIS souvisejících s předmětem VZ dodávané daným
dodavatelem.
V rámci přípravy, zadání, výběru a realizace VZ musí být v zadávací dokumentaci stanovena pravidla pro dodavatele, která zohledňují požadavky SŘBI, zajištěno seznámení dodavatele s těmito pravidly a vyžadováno jejich plnění. Požadavky pro dodavatele, týkající se bezpečnosti, musí být v zadávací dokumentaci VZ uvedeny jako kvalifikační kritéria podstatná pro realizaci VZ, a jasně musí být stanoveno, že jejich nesplnění diskvalifikuje dodavatele z dalšího setrvání v zadávacím řízení. V rámci všech VZ spojených s VIS, musí být vždy řízena rizika spojená s dodavateli.
V případě významných dodavatelů se dále:
• provádí hodnocení rizik souvisejících s plněním předmětu VZ provedeným před uzavřením smlouvy s vybraným významným dodavatelem dle interní dokumentace a s využitím 01_F_FNB_053 Nástroj pro hodnocení dodavatele,
• v rámci uzavíraných smluvních vztahů stanovují způsoby úrovně realizace bezpečnostních opatření a je určen obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření,
• v souvislosti s řízením rizik spojených s významnými dodavateli zajišťuje, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní oblasti uvedené ve VKB Příloha 7,
• zajišťuje pravidelné hodnocení rizik a pravidelná kontrola zavedených bezpečnostních opatření
u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany,
• pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska SŘBI,
• v reakci na rizika a na zjištěné nedostatky zajistí jejich řešení.
Garant aktiva určeného jako VIS je povinen:
• v rámci přípravy VZ a výběru dodavatele:
- stanovit předmět a rozsah VZ,
- zajistit stanovení minimálních bezpečnostních požadavků na dodavatele, viz Kapitola
12. Minimální bezpečnostní požadavky dle předmětu a rozsahu VZ,
- stanovit minimální kvalifikační předpoklady dle požadavků ZKB,
- na základě předmětu a rozsahu VZ určit, zda se v dané VZ jedná o významného
dodavatele,
- ve spojitosti s podstatnými dodávkami provést hodnocení rizik dle interní dokumentace a 01_F_FNB_053 Nástroj pro hodnocení dodavatele,
- zohlednit relevantní požadavky vyplývající z bezpečnostních opatření aplikovaných ve
FNB při výběru dodavatelů VIS,
- mezi kvalifikační předpoklady případně zařadit i trestní bezúhonnost relevantních pracovníků uchazeče (a jeho případných poddodavatelů), kteří se mají dle nabídky na realizaci VZ podílet,
- konzultovat zadání VZ a z pohledu SŘBI s MKB, případně architektem kybernetické bezpečnosti,
- v souvislosti s řízením rizik spojených s významnými dodavateli zajistit, aby smlouvy uzavírané s významnými dodavateli vzhledem k předmětu a rozsahu VZ obsahovaly veškeré relevantní oblasti uvedené v dokumentu, viz Kapitola 11 Opatření k zajištění bezpečnosti informací s významnými dodavateli,
- smluvně zavázat dodavatele mlčenlivostí (NDA), pokud je předpoklad, že bude mít přístup k informacím klasifikovaným dle bezpečnostní klasifikace stupni: Interní, Diskrétní a Přísně diskrétní,
- zajistit smluvní ujednání o předávání a ochraně osobních údajů v případě předpokladu, že dodavatel bude mít přístup k osobním údajům (zaměstnanců FNB či pacientům a dalším osobám) zpracovávaným ve FNB,
- smluvně zavázat dodavatele zajištěním poučení o bezpečnosti informací všech svých pracovníků včetně všech pracovníků případných subdodavatelů, před přidělením jednoznačného identifikátoru uživatele pro přístup k VIS,
- smluvně zajistit přenesení všech povinností dodavatele na jeho případné subdodavatele v celém řetězci,
- smluvně zajistit kvalitu předmětu plnění smlouvy a bezvadnost díla z pohledu požadavků informační a kybernetické bezpečnosti,
- v rámci smluvního vztahu zajistit ujednání o úrovni služeb (SLA), která stanoví způsoby a úrovně realizace bezpečnostních opatření a určí vztah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření,
- informovat MKB o zavedení nového významného dodavatele do evidence a zajistit prokazatelné informování významného dodavatele, viz Kapitola 14. Evidence dodavatelů,
- ošetřit rizika související s realizací a následným provozem realizované VZ.
• V průběhu realizace VZ:
- seznamovat dodavatele se změnami bezpečnostních pravidel pro dodavatele (vydání nové bezpečnostní politiky nebo úpravy stávajících dokumentů apod.) relevantními z pohledu realizované VZ,
- provádět pravidelné hodnocení rizika, pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany, v reakci na rizika a zjištěné nedostatky zajistí jejich řešení,
- zajišťovat provedení pravidelného hodnocení rizik a pravidelné kontroly zavedených bezpečnostních opatření u poskytovaných služeb,
- zajišťovat odstranění nedostatků zjištěných v rámci pravidelných kontrol nebo zajistí jejich odstranění dodavatelem,
- zajistit provedení bezpečnostních akceptačních testů, zahrnujících kontrolu splnění bezpečnostních požadavků,
- v případě významných změn VIS a v případě významných změn IS či u nově dodávaných IS ovlivňujících činnost či zajištění bezpečnosti VIS, zajistit provedení penetračních testů za účelem ověření funkčnosti bezpečnostních opatření a prověření celkové bezpečnosti IS před nasazením do provozu.
MKB:
• vede evidenci významných dodavatelů,
• prokazatelně písemně informuje významné dodavatele o jejich evidenci.
MKB a architekt KB:
• připravuje konkretizované bezpečnostní požadavky na organizační a technická opatření KB pro zadání VZ,
• provádí analýzu návrhu řešení VZ od dodavatele, posuzuje navrhovaná bezpečnostní opatření
vzhledem ke koncepci SŘBI a IS,
• v případě nedostatečnosti navrhovaných bezpečnostních opatření ve spolupráci s dodavatelem
navrhuje dodatečná bezpečnostní opatření k realizaci,
• kontroluje realizovaná bezpečnostní opatření a zajišťuje provedení bezpečnostních akceptačních testů.
Předmět dodávky (IS, jeho část či změna), který nesplňuje bezpečnostní pravidla uvedená v interních předpisech FNB, nesmí být nasazen do ostrého provozu.
Přístup externích subjektů k chráněným informacím musí být vždy řízen. Externí subjekty smějí mít přístup pouze k informačním systémům nezbytným pro zajištění dohodnuté činnosti s jasnou definicí typů přístupu (fyzický, logický přístup apod.), seznamem přidělených práv a oprávněných osob.
Přístup externích subjektů k prostředkům pro zpracování informací a k informacím musí být průběžně monitorován, kontrolován a vyhodnocován.
Stav bezpečnostních opatření vyplývajících z analýzy rizik a deklarace dodavatele musí být nejméně jednou ročně přezkoumán.
Zohlednění požadavků vyplývajících z bezpečnostních opatření při výběru dodavatelů zakázek určených nebo se dotýkajících VIS v míře nezbytné včetně splnění povinností a pravidel stanovených v tomto dokumentu nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěže.
01_MP_FNB_003
Metodika řízení dodavatelů
Strana č./Celkem stran: 11/24
Verze: 02
7. Pravidla pro hodnocení rizik souvisejících s dodavateli v rámci hodnocení rizik VZ
Hodnocení rizik souvisejících s dodavateli se provádí na základě hodnocení rizik souvisejících s plněním předmětu VZ, které minimálně zahrnuje:
• referenční VZ,
• negativní zkušenosti s plněním obdobných VZ,
• dispozice odborného týmu s dostatečnými kapacitami potřebnými k realizaci VZ (certifikáty, zkoušky, zástupnost odborníků, dostatečný počet odborníků),
• pojištění dodavatele v odpovídajícím rozsahu VZ (v úrovni plně pokrývá, částečně pokrývá, přesahuje hodnotu zakázky).
Za realizaci hodnocení rizik souvisejících s plněním předmětu zadávacích řízení podle ZZVZ nebo postupem podle § 31 ZZVZ odpovídá Architekt kybernetické bezpečnosti.
Součástí hodnocení rizik dodavatelů je zejména posouzení:
• stability a spolehlivosti dodavatele (krach dodavatele, změna vlastníka dodavatele, konflikt
zájmů, plnění povinnosti uveřejnění finančních výsledků vyplývající ze zákonů),
• závislosti dodavatele na partnerech nebo zaměstnancích,
• existenční závislost dodavatele na dalším dodavateli,
• rizika vzniku závislosti na dodavateli (vendorlock):
- navrhované smlouvy z pohledu její vypověditelnosti (nevypověditelná či obtížně vypověditelná smlouva),
- navrhované exit strategie dodavatelem,
- deklarované kvality a dostupnosti informací potřebných k případné změně dodavatele (povinnost sdílení a aktuálnost provozně/projektově klíčových informací),
- vlastnictví zpracovávaných a vznikajících dat,
• významnost potenciálu odběratele pro dodavatele,
• identifikace rizik spojených s předmětem dodávky:
- posouzení zranitelností nově dodávaných technologií,
- vyhodnocení dostatečnosti navrhovaných bezpečnostních opatření k pokrytí identifikovaných rizik,
- vlastnictví zdrojových kódů v případě vývoje softwaru (duševní vlastnictví),
• identifikace slabých míst a rizik plynoucí z řetězení dodavatelů časové vymezení
předpokládaného dodavatelského vztahu.
Na základě informací je možné stanovit rizikový profil dodavatele, viz Kapitola 13. Stanovení rizikového
profilu dodavatele.
Výstupem hodnocení rizik dodavatele je rozhodnutí o způsobu zvládání a stanovení opatření ke snížení rizik souvisejících s dodavateli.
Rizika identifikovaná v rámci úvodního hodnocení rizik souvisejících s plněním předmětu zadávacích řízení podle ZZVZ nebo postupem podle § 31 ZZVZ jsou zavedena do celkového systému řízení rizik
kybernetické bezpečnosti a jsou dále periodicky sledována a hodnocena a jsou přijímána odpovídající opatření pro jejich eliminaci a/nebo zmírnění následků.
8. Náležitosti smlouvy o úrovni služeb, způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti
Garant aktiva určeného jako VIS odpovídá za vypracování zadávací dokumentace pro výběr vhodného dodavatele a zapracování všech bezpečnostních požadavků relevantních pro danou VZ do smlouvy s dodavatelem už od jejího návrhu. Na přesné specifikaci organizačních a technických opatření pro konkrétní dodávku s garantem aktiva spolupracuje MKB a architekt KB.
Ve smlouvách s dodavatelem je garant aktiva určeného jako VIS povinen vhodně ošetřit zejména:
• náležitosti o úrovni služeb,
• způsoby a úroveň realizace bezpečnostních opatření,
• určení vzájemné smluvní odpovědnosti,
• mlčenlivost dodavatele.
Za úplnost všech relevantních náležitostí smlouvy z pohledu zajištění bezpečnosti aktiv odpovídá
garant aktiva.
Přístup třetích stran k informacím a k zařízením pro zpracování informací není umožněn do té doby, než jsou definována bezpečnostní opatření a uzavřena dohoda, ve které se vymezí podmínky propojení nebo přístupu třetí strany.
Smluvní požadavky musí minimálně obsahovat následující pravidla a postupy pro zajištění ochrany informací:
• smluvní závazek dodavatele k zajištění poučení o bezpečnosti informací,
• jednoznačné odpovědnosti za dodržování bezpečnostních opatření a úrovně bezpečnostních služeb,
• postupy sloužící k ochraně aktiv, včetně informací a programového vybavení zahrnující:
- ujednání zajišťující vrácení či nevratné zničení informací po ukončení smluvního vztahu
nebo v jeho průběhu,
- postupy sloužící ke zjištění, zda nedošlo ke kompromitaci informací, například ke ztrátě
nebo modifikaci dat,
- závazek dodavatele (a třetí strany) neporušovat integritu a dostupnost aktiv,
- omezení platná pro kopírování a šíření informací,
• opatření k zajištění dostupnosti dodávaných služeb,
• konkrétní smluvní závazky dodavatelů za zajištění bezpečnosti aktiv,
• popis používání každé služby, která je externímu subjektu zpřístupněna,
• ujednání o zřízení přístupu, které musí minimálně zahrnovat:
- kontaktní osobu ze strany dodavatele, která je oprávněna žádat přidělování a odebírání přístupů pracovníků dodavatele,
- identifikaci skupin uživatelů (uživatel, administrátor, tester, ...),
- požadavek na vedení přehledu jednotlivců, kteří jsou vzhledem ke svým předdefinovaným právům a privilegiím oprávněni zpracovávat informace a využívat služeb informačních systémů FNB,
- o povinnost proškolení uživatelů a správců v metodách, postupech pro zajištění bezpečnosti ve FNB před přidělením jednoznačného přístupového oprávnění,
• právo monitorovat nebo auditovat smluvní povinnosti s vymezením práva následně zakázat
aktivity uživatele,
• jasně specifikovaný proces řízení změn,
• povinnost dodavatele k přenesení všech relevantních povinností uvedených ve smlouvě na své případné subdodavatele,
• ochranu duševního vlastnictví a autorského práva,
• dohodu o mlčenlivosti v případě zpřístupnění jiných než veřejných informací FNB,
• právo vykonat audit KB potvrzující soulad s legislativou či požadavky uvedenými ve smlouvě či právo provést tyto audity externím subjektem, a to bez navýšení ceny zakázky,
• povinnost dodavatele zajistit součinnost při hodnocení rizik a realizaci auditů,
• způsob detekce, hlášení a řešení provozních a bezpečnostních incidentů, mimořádných a kritických událostí,
• popis eskalace problémů, provozních a bezpečnostních incidentů,
• povinnost dodavatele vypracovat návrh pravidel pro řešení havarijních situací a zvládání bezpečnostních incidentů,
• odpovědnost za instalaci a údržbu technického a programového vybavení,
• opatření k zajištění ochrany před působením škodlivého kódu,
• postupy a pravidla pro detekci a řízení zranitelností IS,
• v případě dodávky vývoje či úpravy SW povinnost dodavatele uplatnit bezpečnostní zásady tvorby zdrojového kódu dle nejlepší známé praxe,
• smlouva o úrovni služeb (SLA), způsobů a úrovní realizace bezpečnostních opatření,
• smlouva o vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření,
• požadavek na trestní bezúhonnost pracovníků podílejících se na realizaci zakázky,
• po celou dobu trvání smluvního vztahu školení uživatelů a správců v metodách, postupech a v bezpečnosti,
• smluvní závazek dodavatele o mlčenlivosti (NDA), pokud je předpoklad, že pracovníci dodavatele budou mít přístup k neveřejným informacím FNB,
• smluvní ujednání o předávání a ochraně osobních údajů v případě, že dodavatel bude mít přístup k osobním údajům zpracovávaným ve FNB nebo tyto informace budezpracovávat,
• sankce za nedodržení smluvních ujednání a porušení bezpečnosti aktiv.
V rámci specifikace smluvních požadavků jsou dále dle předmětu VZ vybrány relevantní minimální bezpečnostní požadavky uvedené v Kapitole 12. Minimální bezpečnostní požadavky tohoto dokumentu.
V případě, že smluvní strany spolupracují se třetími stranami – externími organizacemi, je požadováno jejich zahrnutí do smluvních ujednání (subdodavatelé dodavatelů, spolupracovníci externích pracovníků).
Pravidla pro provádění kontroly dodavatelů
9.
Kontroly zavedení bezpečnostních opatření je nutné realizovat pro všechny dodávky, podílející se na provozu, rozvoji, správě nebo bezpečnosti VIS.
Za provedení kontrol zavedení bezpečnostních opatření odpovídá garant aktiva.
Kontroly mají za účel zjistit kvalitu plnění předmětu smlouvy a bezvadnost díla z pohledu požadavků informační a kybernetické bezpečnosti.
Pro účely kontrol a jejich četnosti se v prostředí FNB rozlišují jednorázové dodávky a dodávky služeb.
9.1. JEDNORÁZOVÉ DODÁVKY
Kontroly zavedení bezpečnostních opatření jsou u jednorázových dodávek vždy vykonávány v rámci bezpečnostních akceptačních testů, které obvykle obsahují:
• kontrolu naplnění a funkčnost všech bezpečnostních požadavků (definovaných na začátku dodávky nebo upřesněných a doplněných v jejím průběhu),
• provedení penetračních testů v případně významných změn VIS a v případě významných změn IS či u nově dodávaných IS ovlivňujících činnost či zajištění bezpečnosti VIS.
Pokud je dodávka rozdělena na dílčí etapy, a pokud je to z podstaty dodávky vhodné, mohou být bezpečnostní akceptační testy doplněny o dílčí bezpečnostní akceptační testy nebo o průběžné kontroly zavedených bezpečnostních opatření v již dokončených celcích dodávky.
Přesná specifikace bezpečnostních akceptačních testů, jejich průběh, i veškeré kontroly zavedení bezpečnostních opatření v rámci jednorázových dodávek jsou vykonávány dle bezpečnostních požadavků definovaných MKB, či architektem KB před podpisem smlouvy anebo upřesněných v průběhu dodávky.
9.2. DODÁVKY SLUŽEB
Pro dodávky služeb podílející se na provozu, rozvoji, správě nebo bezpečnosti VIS, jsou nad rámec bezpečnostních akceptačních testů realizovány pravidelné kontroly, v jejichž rámci se provádí:
• kontrola funkčnosti a dodržování stanovených organizačních a technických bezpečnostních opatření u poskytovaných služeb,
• kontrola dodržování úrovně SLA stanovených smlouvou u dodávaných služeb podílející se na provozu, rozvoji, správě nebo bezpečnosti IS formou sledování plnění porušení SLA v rámci incidentů apod.,
• kontrola provádění pravidelného hodnocení rizik a vyhodnocení dostatečnosti zavedených bezpečnostních opatření poskytovatele a jím poskytovaných služeb. Hodnocení je prováděno prostřednictvím formuláře 01_F_FNB_053 Nástroj pro hodnocení dodavatele.
Pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných služeb dodavatelem obvykle provádí auditor bezpečnosti FNB. Výsledky jsou předávány Manažerovi kybernetické bezpečnosti.
Pravidla pro hodnocení dodavatelů
10.
Hodnocení dodavatelů se provádí u významných dodavatelů služeb podílejících se na provozu, rozvoji, správě nebo bezpečnosti VIS.
Účelem hodnocení dodavatelů je posouzení jejich vhodnosti jako dodavatele pro další období, ve kterém je zamýšleno odebírání dané služby.
V rámci hodnocení dodavatelů se výhradně posuzuje plnění předmětu VZ a kvalifikačních kritérií, které minimálně zahrnuje:
• splnění kvalifikačních kritérií pro výběr dodavatele,
• sumární vyhodnocení dodržování úrovně poskytovaných služeb (SLA) za dané období,
• výsledky kontrol na dodržování bezpečnostních zásad a stanovených bezpečnostních opatření,
• vyhodnocení bezpečnostních incidentů způsobených pracovníky dodavatele, či zanedbáním
povinnosti dodavatele.
Hodnocení dodavatelů se provádí v souladu se smluvním cyklem vždy v dostatečném předstihu před uzavřením nové či prodloužením stávající smlouvy o poskytování služeb nejméně však jednou ročně.
K hodnocení dodavatelů z hlediska kybernetické bezpečnosti je použit 01_F_FNB_053 Nástroj pro hodnocení dodavatele.
Výstupy z hodnocení dodavatelů jsou předkládány Výboru pro řízení kybernetické bezpečnosti jako část zhodnocení stavu SŘBI.
V případě vyhodnocení úrovně dodavatele z hlediska bezpečnosti je pod hranicí stanovenou ve smlouvě, viz hodnotící škála v kapitole 13, jsou dodavateli uložena nápravná opatření a přiměřené lhůty pro jejich realizaci. Pokud dodavatel ve stanovených lhůtách tato opatření nezrealizuje, může být po dobu přesahující takové lhůty do termínů skutečné realizace penalizován v souladu s příslušnými smluvními ujednáními.
Vzor smlouvy o zachování mlčenlivosti
11.
11.1.1 DEFINICE
V této Dohodě, pokud z jejího kontextu nevyplývá jinak, mají níže uvedené pojmy následující význam:
11.1.2 „Veřejná zakázka“ znamená veřejnou zakázku s názvem … jejímž zadavatelem je Xxxxxxxxx.
11.1.3 „Důvěrné informace“ znamená veškeré dokumenty a informace související s Xxxxxxxx zakázkou, které poskytne Zadavatel (a to prostřednictvím jeho zaměstnanců, zástupců, poradců nebo jakékoli jiné Zadavatelem pověřené osoby) Xxxxxxxxxx (a to i jakýmkoli jeho zaměstnancům, zástupcům, poradcům nebo jiné Dodavatelem pověřené osobě) nebo je Dodavatel vlastní činností od Zadavatele získá a které jsou či budou součástí zadávací dokumentace Veřejné zakázky nebo budou souviset se zadávacím řízením na Veřejnou zakázku nebo budou součástí smluvní dokumentace ohledně plnění Veřejné zakázky, ať už k takovému poskytnutí nebo získání dokumentů a informací dojde písemně, obrazově či strojově čitelnou formou anebo ústně v rámci jakéhokoli jednání mezi stranami Dohody, a to bez ohledu na to, zda tyto informace či skutečnosti byly výslovně Zadavatelem označeny za důvěrné. Důvěrné informace nezahrnují:
a) informace, které jsou v okamžiku jejich poskytnutí Dodavateli veřejně dostupné, nebo
b) informace, které se stanou veřejně dostupnými poté, co budou poskytnuty Dodavateli jinak než jako výsledek porušení právní povinnosti Dodavatelem z této Dohody, nebo
c) údaje, které měl Xxxxxxxxx zjevně k dispozici dříve, než mu byly poskytnuty ze strany Zadavatele, nebo
d) údaje, které byly výslovně a písemně označeny ze strany Zadavatele jako údaje, které nemají důvěrnou povahu;
11.1.4 „Poddodavatel“ znamená jakoukoliv osobu anebo subjekt, který je v postavení anebo který bude v postavení poddodavatele Dodavatele v rámci nebo v souvislosti s plněním Veřejné zakázky.
11.1.5 PRÁVA A POVINNOSTI STRAN DOHODY
11.1.6 Důvěrné informace jsou a zůstanou předmětem práv, resp. ve vlastnictví Xxxxxxxxxx, který má zájem na jejich utajení. Poskytnutí Důvěrných informací Dodavateli nezakládá a nebude zakládat jakákoliv práva Dodavateli nebo jeho zaměstnanců, zástupců, poradců či jiných Dodavatelem pověřených osob (včetně jakýchkoliv práv duševního vlastnictví) k Důvěrným informacím s výjimkou omezeného práva nakládat s Důvěrnými informacemi podle této Dohody.
11.1.7 Dodavatel se zavazuje, že:
11.1.7.1 bude zachovávat mlčenlivost o všech Důvěrných informacích;
11.1.7.2 bude využívat Důvěrné informace pouze pro účely anebo v souvislosti s účastí Dodavatele v zadávacím řízení na Veřejnou zakázku a/nebo v souvislosti s plněním Veřejné zakázky, a nikoliv pro jiné účely;
11.1.7.3 bude zacházet s Důvěrnými informacemi s odbornou péčí a tak, aby byla zachována jejich důvěrná povaha, a příslušně zabezpečí jejich utajení;
11.1.7.4 bez předchozího písemného souhlasu Zadavatele neposkytne Důvěrné informace jakékoliv jiné osobě s výjimkou svých zaměstnanců, poradců anebo Poddodavatelů, kteří v souladu s jejich povinnostmi potřebují znát a využívat Důvěrné informace pro účely účasti Dodavatele v zadávacím řízení na Veřejnou zakázku a/nebo v souvislosti s plněním Veřejné zakázky;
11.1.7.5 bude informovat všechny své zaměstnance, zástupce, poradce a Poddodavatele, kteří by mohli obdržet Důvěrné informace pro účely uvedené v odstavci 16 této Dohody, o důvěrné povaze Důvěrných informací a zajistí, že xxxx zaměstnanci, zástupci, poradci a Poddodavatelé budou dodržovat podmínky této Dohody a že budou zavázáni zachovávat mlčenlivost ve
vztahu k Důvěrným informacím alespoň v rozsahu ochrany Důvěrných informací podle této Dohody. Dodavatel odpovídá za jakákoliv porušení závazku zachovávat mlčenlivost ve vztahu k Xxxxxxxx informacím jeho zaměstnanci, poradci a Poddodavateli;
11.1.7.6 povinnost mlčenlivosti trvá i po skončení zadávacího řízení na Veřejnou zakázku, resp. ukončení účasti Dodavatele v zadávacím řízení na Veřejnou zakázku, a to bez ohledu na způsob ukončení zadávacího řízení na Veřejnou zakázku nebo účasti Dodavatele v něm a bez ohledu na to, zda byla s Dodavatelem uzavřena smlouva (smlouvy) na plnění Veřejné zakázky, a dále po dobu a po skončení poskytování dodávek a služeb Dodavatelem pro Zadavatele dle smluv na Veřejnou zakázku.
11.1.8 Dodavatel se zavazuje, že po ukončení zadávacího řízení na Veřejnou zakázku, resp. ukončení účasti Dodavatele v zadávacím řízení na Veřejnou zakázku, nebo po skončení plnění Veřejné zakázky v případě Dodavatele, se kterým budou uzavřeny smlouvy na realizaci Veřejné zakázky (podle toho, který z uvedených okamžiků nastane později) okamžitě učiní následující opatření:
11.1.8.1 zničí anebo vymaže veškeré originály, kopie a/nebo záznamy jakéhokoliv dokumentu, disku nebo jiného nosiče dat anebo jakéhokoliv jiného materiálu obdrženého nebo zpřístupněného ze strany Zadavatele, jeho zaměstnanců, zástupců, poradců či jiných Zadavatelem pověřených osob nebo jiným způsobem, který obsahuje Důvěrné informace nebo ze kterého je možné vyvodit Důvěrné informace nebo který byl vytvořen na základě Důvěrných informací;
11.1.8.2 vymaže veškeré Důvěrné informace z jakéhokoliv počítače, textového procesoru anebo jakéhokoliv zařízení, ve kterém by mohly být Důvěrné informace nahrány či uloženy v jakékoliv formě; a
11.1.8.3 do 14 (čtrnácti) dní po obdržení žádosti ze strany Zadavatele poskytne Zadavateli písemné potvrzení učiněné osobou oprávněnou jednat jménem či za Dodavatele, že veškeré Důvěrné informace byly zničeny v souladu s touto Dohodou, nebylo-li stranami Dohody výslovně dohodnuto jinak.
11.1.9 Dodavatel se zavazuje zajistit, že jeho zaměstnanci, zástupci, poradci a Poddodavatelé splní obdobně závazky uvedené v článcích 16 a 17 této Dohody.
11.1.10 Dodavatel je povinen neprodleně informovat Zadavatele o každé mimořádné události, která může mít vliv na plnění Veřejné zakázky nebo bezpečnost Důvěrných informací (zejména na jejich důvěrnost, dostupnost a integritu) ze strany Dodavatele a poskytnout Zadavateli všechny dostupné informace pro objasnění možných příčin jejich vzniku, předpokládaného trvání a rozsahu.
11.1.11 VZÁJEMNÁ KOMUNIKACE
11.1.12 Není-li touto Dohodou stanoveno jinak, jakákoliv komunikace, která má být činěna podle této Dohody, musí být učiněna v písemné formě a může být doručena osobně nebo dopisem prostřednictvím pošty, doručovatelské služby, emailem, datovou schránkou nebo faxem na adresu, faxové číslo adresáta s označením osoby nebo emailovou adresu osoby, do jejíchž rukou je určena.
11.1.13 Jakákoliv komunikace, která má být činěna podle této Dohody, bude považována za doručenou, v případě (i) komunikace prostřednictvím faxu po obdržení příslušného potvrzení o bezchybném přenosu dat, (ii) komunikace prostřednictvím e-mailu po obdržení e-mailu, kterým jeho původní adresát potvrdí doručení, (iii) osobního doručení jeho doručením adresátovi s tím, že bude-li se v jakémkoliv z těchto případů jednat o doručení
mimo obvyklou pracovní dobu, bude se mít za to, že k doručení došlo na začátku následujícího pracovního dne, a (iv) komunikace formou dopisu doručením tohoto dopisu, a (v) při komunikaci datovou schránkou se okamžik doručení řídí příslušnými právními předpisy.
11.1.14 Nebude-li stranami Dohody písemně dohodnuto jinak, bude písemná komunikace doručována podle této Dohody v českém jazyce.
11.1.15 SMLUVNÍ POKUTA
11.1.16 V případě, kdy Dodavatel jakkoli poruší závazek podle článků 16 až 17 této Dohody, je Zadavatel oprávněn požadovat po Dodavateli zaplacení smluvní pokuty ve výši ……,- Kč (slovy: jeden milion korun českých) (dále jen „Smluvní pokuta“) za každé jednotlivé porušení této Dohody. Zaplacením smluvní pokuty Dodavatelem není dotčeno právo Zadavatele na náhradu škody.
11.1.17 ZÁVĚREČNÁ USTANOVENÍ
11.1.18 Xxxx Xxxxxx se řídí a bude vykládána v souladu s právními předpisy České republiky.
11.1.19 Tato Dohoda je uzavřena na dobu neurčitou a nabude platnosti a účinnosti dnem jejího podpisu oběma stranami Dohody.
11.1.20 Bude-li jedno nebo více ustanovení této Dohody neplatné, neúčinné, zdánlivé nebo nevymahatelné, nebude taková skutečnost mít za následek neplatnost, neúčinnost, zdánlivost, ani nevymahatelnost celé této Dohody. V takovém případě strany Dohody nahradí takovéto neplatné, neúčinné, zdánlivé nebo nevymahatelné ustanovení ustanovením, které bude svým obsahem a účelem co nejlépe naplňovat obsah a účel takového neplatného, neúčinného, zdánlivého nebo nevymahatelného ustanovení.
11.1.21 Xxxx Xxxxxx je sepsána ve 2 (dvou) stejnopisech s platností originálu. Každá strana
Dohody obdrží 1 (jeden) stejnopis této Dohody.
11.1.22 Strany Dohody shodně prohlašují, že si tuto Dohodu před jejím podpisem přečetly a že byla uzavřena po vzájemném projednání podle jejich pravé a svobodné vůle, určitě, vážně a srozumitelně, a že se dohodly o celém jejím obsahu, což stvrzují svými podpisy.
12. Opatření
k
zajištění
bezpečnosti
informací
s
významnými dodavateli
Smlouva uzavíraná s významným dodavatelem musí obsahovat:
• ustanovení o bezpečnosti informací (z pohledu důvěrnosti, dostupnosti a integrity),
• ustanovení o oprávnění užívat data odběratele,
• ustanovení o autorství programového kódu, popřípadě o programových licencích,
• ustanovení upravující řetězení dodavatelů, přičemž musí být zajištěno, že subdodavatelé se zaváží dodržovat v plném rozsahu ujednání s dodavatelem a nebudou v rozporu s požadavky na dodavatele,
• ustanovení o povinnosti dodavatele dodržovat bezpečnostní politiky nebo ustanovení o odsouhlasení bezpečnostních politik,
• ustanovení o kontrole a auditu dodavatele (pravidla zákaznického auditu),
• ustanovení o řízení změn,
• ustanovení o souladu smluv s obecně závaznými právními předpisy,
• ustanovení o povinnosti dodavatele informovat o:
− kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy,
− způsobu řízení rizik na straně dodavatele a o zbytkových rizicích souvisejících s plněním
smlouvy,
− významné změně ovládání tohoto dodavatele podle zákona č. 90/2012 Sb. (zákon o obchodních korporacích) nebo změně vlastnictví zásadních aktiv, popřípadě změně oprávnění nakládat s těmito aktivy, využívaných tímto dodavatelem k plnění podle smlouvy se správcem,
• specifikaci podmínek z pohledu bezpečnosti při ukončení smlouvy (například přechodné období při ukončení spolupráce, kdy je třeba ještě udržovat službu před nasazením nového řešení, migrace dat a podobně),
• specifikaci podmínek pro řízení kontinuity činností v souvislosti s dodavateli (například zahrnutí dodavatelů do havarijních plánů, úkoly dodavatelů při aktivaci řízení kontinuity činností),
• specifikaci podmínek pro formát předání dat, provozních údajů a informací po vyžádání správcem
• pravidla pro likvidaci dat,
• ustanovení o právu jednostranně odstoupit od smlouvy v případě významné změny kontroly nad dodavatelem nebo změny kontroly nad zásadními aktivy využívanými dodavatelem k plnění podle smlouvy,
• ustanovení o sankcích za porušení povinností.
Minimální bezpečnostní požadavky
13.
Dodavatel se podpisem smlouvy zavazuje plnit požadavky pro nakládání s informačními aktivy. Veškeré povinnosti vztažené v této kapitole na zaměstnance Dodavatele se vztahují i na všechny další subjekty, prostřednictvím kterých Xxxxxxxxx realizuje činnosti zpracování informačních aktiv.
Nakládání s informačními aktivy Dodavatelem v informačních systémech Dodavatele v prostorech Dodavatele
Oprávnění pro přístupy do informačních systémů Dodavatele s informačními aktivy Zadavatele: Dodavatel je povinen zajistit, aby do informačních systémů Dodavatele s informačními aktivy Zadavatele měli přístup pouze zaměstnanci Dodavatele, kteří k tomu mají oprávnění.
Identifikace:
Dodavatel je povinen každému zaměstnanci Dodavatele, který má přístup do informačních systémů s informačními aktivy Zadavatele, vydat osobní a jedinečný identifikační kód pro tyto účely uživatelské ID. Uživatelské ID nesmí být nikdy ani v budoucnu postoupeno jiné osobě.
Ověřování:
a) Xxxxxxxxx je povinen zajistit, aby zaměstnancům Dodavatele bylo povoleno zpracovávat informace a informační aktiva Zadavatele, pouze pokud jim jsou přiděleny ověřovací údaje, např. k úspěšnému provedení ověřovacího postupu týkajícího se buď specifické operace zpracování, nebo sady operací zpracování,
b) Dodavatel je povinen deaktivovat ověřovací údaje, pokud je zaměstnanci Dodavatele odebráno oprávnění přístupu do informačních systémů Dodavatele nebo ke zpracování informací a informačních aktiv Zadavatele.
Kontrola přístupu:
Zaměstnanci Dodavatele mohou mít oprávněný přístup pouze k těm údajům a zdrojům, které jsou nezbytné pro plnění jejich povinností.
Správa nosičů:
Dodavatel je povinen zajistit, aby informační systémy Dodavatele a hmotné nosiče, na kterých jsou uloženy informace a informační aktiva Zadavatele, byly uschovány v bezpečném prostředí znemožňující vyzrazení, modifikaci, zničení či jiné ovlivnění informací a informačními aktivy Zadavatele.
Distribuce nosičů:
Dodavatel je povinen zajistit, aby nosiče obsahující informace a informační aktiva Zadavatel byly k dispozici pouze pověřeným zaměstnancům.
Elektronické komunikační sítě:
Dodavatel je povinen zajistit, aby informace a informační aktiva Zadavatel byly distribuovány prostřednictvím veřejných elektronických komunikačních sítí pouze tehdy, pokud jsou zakódovány nebo jinak zašifrovány nebo je použit jiný mechanismus zajišťující, aby údaje nebyly srozumitelné nebo aby s nimi nemohly manipulovat třetí osoby.
Seznam s přístupy:
a) Xxxxxxxxx je povinen zaznamenávat záznamy zaměstnanců o přístup do informačních systémů Dodavatele, ve kterých jsou zpracovány informace nebo informační aktiva Zadavatele, a to tak, aby přístup byl bezpečně dohledatelný a identifikovatelný,
b) Minimální doba pro uchování zaznamenaných údajů je 6 měsíců.
Záznam fyzického přístupu a fyzická bezpečnost:
Dodavatel je povinen zajistit, aby přístup do prostor, kde jsou umístěny informační systémy a nosiče Dodavatele s uloženými informacemi a informačními aktivy Zadavatele, měli pouze zaměstnanci, kteří mají přidělena řádná oprávnění a kteří mají oprávněný důvod ke vstupu.
Záznam incidentů:
Dodavatel je povinen zajistit postup nahlašování bezpečnostních incidentů, reagování na ně a jejich vyřizování,
Dodavatel je povinen v rámci procesu pro šetření bezpečnostních incidentů zajistit, že Zadavatel bude bezodkladně informován o jakémkoli bezpečnostním incidentu, který má či může mít vliv na informace a informační aktivy Zadavatele.
Úkoly a povinnosti pracovníků Dodavatele:
Dodavatel je povinen přijmout nezbytná opatření, aby zaměstnanci byli dobře obeznámeni s těmito minimálními bezpečnostními požadavky a s následky jakéhokoliv jejich porušení, Dodavatel je povinen zajistit, aby jeho zaměstnanci byli vázáni povinností mlčenlivosti o informacích, Osobních údajích Zadavatele a bezpečnostních opatřeních, jejichž zveřejnění by
ohrozilo zabezpečení informací a informačních aktiv Zadavatele, přičemž tato povinnost trvá i po skončení zaměstnání nebo příslušných prací. Ukončení smlouvy: Dodavatel je povinen zajistit, aby při ukončení Smlouvy byly informace a informační aktiva Zadavatele předány
Zadavateli a následně smazány z nosičů, informačních systémů a dalších zařízení Dodavatele (včetně bezpečnostních záloh).
Ochrana zájmů Správce a související opatření
Zaměstnanci Dodavatele jsou povinni zejména:
odpovídajícím způsobem chránit informace a informační aktiva Zadavatele, a to zcela bez ohledu na jejich formu uložení (flash disky, mobilní telefony, papírové dokumenty, notebooky, disky, vyměnitelná média apod.),
obrátit se na Zadavatele s žádostí o pomoc, pokud by hrozilo, že jakýmkoli způsobem bude ohroženo plnění povinností dle této kapitoly.
Zaměstnanci Dodavatele se musí zdržet zejména:
předávání informačních aktiv a dalších chráněných informací jakýmkoli neoprávněným osobám, předávání informačních aktiv prostřednictvím veřejně dostupných cloudových služeb (jako je např. Dropbox, Google disk apod.).
Dodavatel je povinen zajistit neprodlenou anonymizaci informací a informačních aktiv Zadavatele, pokud tato data využívá pro svou potřebu, např. statistické účely, evidenční podklady vyúčtování apod.
14.
Stanovení rizikového profilu dodavatele
Hodnocení dodavatelů z hlediska kybernetické bezpečnosti je použit formulář 01_F_FNB_053 Nástroj pro hodnocení dodavatele, který po vyplnění požadovaných údajů udává celkovou hodnotu rizika dodavatele, která je interpretována
Hodnota rizika | Popis rizika | Popis zjištění |
2,1 – 3,0 | zanedbatelné riziko | Nebyly zjištěny žádné nedostatky, které by měly dopad na rozsah poskytovaných služeb |
1,6 – 2,0 | střední riziko | Byly zjištěny drobné nedostatky, které mohou být akceptovány. |
1 – 1,5 | vysoké riziko | Byly zjištěny zásadní nedostatky, které je nutné naléhavě řešit a v přiměřené době odstranit. |
15.
Evidence dodavatelů
Evidence dodavatelů obsahuje tyto identifikační údaje:
Významný dodavatel | Náplň činnosti | Garan t FNB | GarantI KT | Podepsan é NDA | VPN | Lokace VPN připoje ní | Kontaktní osoba | Kontaktní osoba VPN | Poznámky |
01_MP_FNB_003
Metodika řízení dodavatelů
Strana č./Celkem stran: 23/24
Verze: 02
16.
RACI matice
Činnost | Role | ||||||||||
povinná osoba dle § 3 ZKB a její statutární orgány | bezpečnostní role dle § 6-7 VKB | výkonné role | Uživatel | ||||||||
Správce ISZS | Statutární orgán | Výbor pro řízení KB | MKB | Architekt KB | Auditor KB | Garant aktiv | Garant primárních aktiv | Garant podpůrných aktiv | Administrátor | ||
Řízení bezpečnosti dodavatelů | |||||||||||
Stanovení bezpečnostních pravidel pro dodavatele IKT | √ | A | I | C, I | R | I | I | I | I | ||
Vedení evidence významných dodavatelů | √ | A | I | C, I | R | I | I | I | I | ||
Informování významných dodavatelů o jejich evidenci | √ | A | I | C, I | C, I | I | R | I | I | ||
Seznámení dodavatelů IKT s pravidly řízení bezpečnosti | √ | A | I | C, I | R | I | I | I | I | ||
Hodnocení rizik souvisejících s plněním předmětu výběrového řízení | √ | A | I | C, I | R | I | I | I | I | ||
Řízení rizik spojených s dodavateli | √ | A | I | C, I | R | I | I | I | I | ||
Smluvní zajištění řízení bezpečnosti dodavatelů IKT | √ | A | I | C, I | C, I | I | R | I | I | ||
Přezkoumání plnění smluv s významnými dodavateli IKT | √ | A | I | C, I | I | R | I | I | I | ||
01_MP_FNB_003
Metodika řízení dodavatelů
Strana č./Celkem stran: 24/24
Verze: 02
R – Responsible – kdo je odpovědný za vykonání svěřeného úkolu
A – Accountable (někdy též Approver) – kdo je odpovědný za celý úkol, je odpovědný za to, co je vykonáno
C – Consulted – kdo může poskytnout cenou radu či konzultaci k úkolu
I – Informed – kdo má být informován o průběhu úkolu či rozhodnutích v úkolu
17.
Vznikající dokumenty a údaje
název | uchovává | doba uchování |
18.
Související dokumenty
Legislativa:
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů
Zákon č. 110/2019 Sb., o zpracování osobních údajů
Zákon č. 121/2000 Sb., zákon o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů aj.
Zákon 90/2012 Sb., zákon o obchodních korporacích, ve znění pozdějších předpisů Zákon č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů
Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
Vnitřní předpisy:
01_SM_FNB_019 Systém řízení bezpečnosti informací 01_SM_FNB_022 Řízení dodavatelů
01_MP_FNB_004 Metodika pro výkon auditu kybernetické bezpečnosti
Formuláře:
01_F_FNB_053 Nástroj pro hodnocení dodavatele (vzhledem k rozsahu dokumentu je k dispozici pouze v elektronické podobě)
Ostatní:
Bezpečnostní doporučení NÚKIB pro administrátory v aktuálním znění, k nahlédnutí zde ZDE.
Příloha č. 3 Smlouvy
Nástroj pro hodnocení dodavatele dle VKB
3 2 2 4 4 2 1 1 3 1 2 2 1 2 2 2 2 2 1 2
Dodavatel
S L E D O V A N É A S P E K T Y D O D A V A T E L Ů
60%
Dodavatel zde uvede svůj náze | v | x | x | x | x | x | x | x | x | 37% | Rizikový dodavatel | Varování NÚKIB | |||||||||||||
Buňka: B2 Komentář: Autor
Organizace zná celý dodavatelský řetězec a případně pravidla pro výběr poddodavatelů. Ve smlouvě existuje ustanovení o povinnosti dodavatele informovat Organizaci o všech poddodavatelích, případně je ve smlouvě ustanovení o schvalování poddodavatelů.
Buňka: C2 Komentář: Autor
Organizaci jsou známa opatření, které dodavatel přijal pro oblast kybernetické bezpečnosti. Organizace je s opatřeními pravidelně seznamována.
Buňka: D2 Komentář: Autor
Smlouva s dodavatelem umožňuje Organizaci kontrolu přijatých opatření pro oblast kybernetické bezpečnosti, případně právo auditu stavu kybernetické bezpečnosti u dodavatele.
Buňka: E2 Komentář: Autor
Dodavatele se nedotýká varování NÚKIB o používání softwaru i zařízení čínských společností Huawei Technologies Co., Ltd. a ZTE Corporation. Používání těchto prostředků podle úřadu představuje bezpečnostní hrozbu.
Buňka: F2 Komentář: Autor
Dodavatele se nedotýká varování NÚKIB v souvislosti s ekonomickými sankcemi spojenými s Ruskou federací.
Buňka: G2 Komentář: Autor
Dodavatel má zaveden proces informování o kybernetických incidentech ve svém prostředí pro své klienty.
Buňka: H2 Komentář: Autor
Dodavatel pravidelně zvyšuje povědomí a školí zaměstnance pro oblast kybernetické ochrany a zpracování citlivých dat, například osobních údajů.
Buňka: I2 Komentář: Autor
Dodavatel je členem organizací, asociací a jiných neziskových spolků zabývajících se kybernetickou bezpečností.
Buňka: J2 Komentář: Autor
Dodavatel na svých systémech pravidelně provádí penetrační testy a je schopen výsledky prokázat.
Buňka: K2 Komentář: Autor
Dodavatel disponuje systémovou ochranou pro oblast kybernetické bezpečnosti. Například má systémy zapojeny v SIEM/SOC.
Buňka: L2 Komentář: Autor
Dodavatel disponuje certifikovaným systémem řízení bezpečnosti informací
Buňka: M2 Komentář: Autor
Dodavatel disponuje oprávněním užívat data odběratele.
Buňka: N2 Komentář: Autor
Dodavatel disponuje ve svém systému řízení bezpečnosti informací ustanovením o řízení změn.
Buňka: O2 Komentář: Autor
Dodavatel disponuje dokumentací prokazující řízení rizik (např. analýza rizik) pro oblast kybernetické bezpečnosti.
Buňka: P2 Komentář: Autor
Smlouva s dodavatelem obsahuje ustanovení například o likvidaci nebo předání dat apod.
Buňka: Q2 Komentář: Autor
Smlouva s dodavatelem obsahuje ustanovení pro případ havárie nebo katastrofy. Například v případě nutnosti jmenování člena týmu obnovy po havárii, stanovení RTO a RPO apod.
Buňka: R2 Komentář: Autor
Smlouva s dodavatelem obsahuje ustanovení o předávání dat, rolích nebo způsobu předání.
Buňka: S2 Komentář: Autor
Smlouva obsahuje ustanovení o tom, jak jsou data likvidována a jejich likvidace prokazována.
Buňka: T2
Komentář: Autor
Smlouva obsahuje možnost jednostranného odstoupení Organizace od smlouvy.
Buňka: U2 Komentář: Autor
Smlouva s dodavatelem obsahuje ustanovení o sankcích v případě neplnění povinností a závazků ze strany dodavatele.
Členové realizačního týmu
ČLENOVÉ REALIZAČNÍHO TÝMU | |
Manažer podpory | xxx xxx xxx |
Specialista na prostředí sítí typu LAN č. 1 | xxx xxx xxx |
Specialista na prostředí sítí typu LAN č. 2 | xxx xxx xxx |
Poddodavatelé
PODDODAVATEL | |
Název: | Rexonix s.r.o. |
Sídlo: | Pod višňovkou 0000/00, Xxx, 000 00 Xxxxx 0 |
IČO: | 04493982 |
Seznam oprávněných osob
Oprávněné osoby za stranu Objednatele:
Pro záležitosti smluvní a obchodní:
Xxxxx, příjmení: xxx xxx xxx
Funkce: Projektový manažer
Telefon: xxx xxx xxx
E-mail: xxx xxx xxx
Pro záležitosti věcné:
Xxxxx, příjmení: xxx xxx xxx
Funkce: Projektový manažer
Telefon: xxx xxx xxx
E-mail: xxx xxx xxx
Pro záležitosti technické:
Xxxxx, příjmení: xxx xxx xxx
Funkce: Architekt kybernetické bezpečnosti
Telefon: xxx xxx xxx
E-mail: xxx xxx xxx
Oprávněné osoby za stranu Poskytovatele:
Pro záležitosti smluvní a obchodní:
Xxxxx, příjmení: xxx xxx xxx
Funkce: Jednatel
Telefon: xxx xxx xxx
E-mail: xxx xxx xxx
Pro záležitosti věcné:
Xxxxx, příjmení: xxx xxx xxx
Funkce: Account Manager
Telefon: xxx xxx xxx
E-mail: xxx xxx xxx
Pro záležitosti technické:
Xxxxx, příjmení: xxx xxx xxx
Funkce: Solution Architect
Telefon: xxx xxx xxx
E-mail: xxx xxx xxx