Cybersecurity Voorwaarden

Cybersecurityinkoopvoorwaardenbijlage 2021

Cybersecurity Voorwaarden

xxx Xxxxxx B.V. en aan haar gelieerde vennootschappen

Versie 1.0

Pagina 1 van 8

Juni 2023

Algemeen

1. Definities

In deze voorwaarden bijlage wordt verstaan onder:

Aanbieding: zie de Algemene Inkoopvoorwaarden voor producten en diensten van ATTERO BV en aan haar gelieerde vennootschappen (hierna: ‘Algemene Inkoopvoorwaarden’)

Aanvraag: zie Algemene Inkoopvoorwaarden

Attero: zie Algemene Inkoopvoorwaarden

Beheerdocumentatie: papieren en digitale documenten, waaronder fysieke en

logische netwerktekeningen, configuratiedocumenten, een inventaris van alle componenten en software (inclusief versie‐ en serienummers), gebruikers‐ handleidingen en installatiehandleidingen, alsmede procedures voor het opnieuw opstarten en herstellen van de betreffende hardware en software, waarmee systeemstoringen het hoofd kunnen worden geboden.

Broncode: het geheel van programma instructies in hun oorspronkelijke programmeertaal, met inbegrip van daarbij behorende Documentatie, bedoeld vooruitvoering door een computer, in een zodanige vorm dat een programmeur, die beschikt over kennis en ervaring van de gebruikte programmeerwijze en techniek, daarmee de software kan wijzigen.

Cybersecurity: poogt uitval, verstoring, en misbruik van ICT‐ en OT‐

systemen te voorkomen en daarmee bij te dragen aan de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de Informatie Voorziening (IV) en Industriële Automatisering en Controle Systemen (IACS).

Dienst(en): installatie‐ en implementatiediensten, onderhoud en ondersteuning en andere volgens Overeenkomst te verrichten werkzaamheden.

Documentatie: iedere beschrijving van Zaken en de eigenschappen

daarvan, al dan niet specifiek bestemd voor de installatie, de implementatie, het gebruik, het beheer of het onderhoud daarvan.

Escrow: het deponeren van (een kopie van) Broncode bij een onafhankelijke derde, opdat Attero deze, bij het in vervulling gaan van een of meer in de Escrow‐ overeenkomst bepaalde voorwaarden, eigenmachtig kan (laten) gebruiken voor het herstellen van fouten en anderszins onderhouden en beheren van Maatwerksoftware.

Maatwerksoftware: software die onder Overeenkomst speciaal voor Attero

is ontwikkeld, ontworpen, vervaardigd of onder leiding en toezicht van Xxxxxx, dan wel aan de hand van diens instructies of ontwerpen, is of wordt gerealiseerd, met inbegrip van bijbehorende Documentatie.

Overeenkomst: iedere rechtsbetrekking waarop deze Cybersecurity

Voorwaarden ingevolge artikel 2 lid 1, van toepassing is.

Partijen: zie Algemene Inkoopvoorwaarden

Procesautomatisering: omvat de geautomatiseerde besturing van continue

processen en batchprocessen, met behulp van een (proces)computer. Procesautomatisering is veelal een onderdeel van een overkoepelend productie‐ of besturingssysteem en een synoniem voor Operationele Techniek (OT), waar IACS deel van uitmaken.

Wederpartij: zie Algemene Inkoopvoorwaarden

Zaken: zie Algemene Inkoopvoorwaarden

CISO: Chief Information Security Officer

2. Context

Attero valt als energie opwekkend bedrijf in de categorie 1 (kritisch) en als afvalverwerker in categorie 2 (belangrijk) van de WBNI. De verplichtingen rond beveiliging van netwerken en informatiesystemen zijn reden om voorwaarden aan leveranciers te stellen op het gebied van Cybersecurity.

3. Toepasselijkheid

1. De Cybersecurity Voorwaarden zijn van toepassing op elke Aanvraag, Aanbieding en Overeenkomst die Attero respectievelijk aan Wederpartij verstuurt, van Wederpartij ontvangt of met Wederpartij sluit of uitvoert en waarin op enigerleiwijze sprake is van werkzaamheden die in het domein van kantoorautomatisering of de procesautomatisering plaats vindt.

2. Deze Cybersecurity Voorwaarden vult de Algemene Inkoopvoorwaarden aan en wijzigt of vervangt geen enkel artikel daarvan. In geval van strijdigheid gelden derhalve de bepalingen van de Algemene Inkoopvoorwaarden.

3. Afwijken van de Cybersecurity Voorwaarden is enkel toegestaan, indien Xxxxxx daar schriftelijk mee akkoord is gegaan.

4. Cybersecurity (inkoop)voorwaarden van Wederpartij, onder welke benaming dan ook, zijn nimmer van toepassing op een Aanvraag van, Aanbieding aan of Overeenkomst met Xxxxxx.

4. Wet‐ en regelgeving

1. Op de Cybersecurity Voorwaarden is het Nederlands recht van toepassing. Indien enige bepaling daarvan in strijd mocht zijn met dwingend recht, dan is die bepaling onverbindend. Alle overige bepalingen blijven echter onverminderd van kracht.

2. Wederpartij werkt onverwijld en volledig mee aan het voldoen aan verplichtingen die voortvloeien uit de Wet beveiliging netwerk‐ en informatiesystemen (Wbni) en het daaraan verwante Besluit beveiliging netwerk‐ en informatiesystemen (Bbni).

3. Wederpartij verwerkt (persoons)gegevens volgens de toepasselijke wet‐ en regelgeving, waaronder de Algemene verordening gegevensbescherming (AVG) en dedaaraan verwante Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

4. Wederpartij stelt Xxxxxx in staat om te voldoen aan wettelijke verplichtingen, bijvoorbeeld door volledige medewerking te verlenen aan het afsluiten van een verwerkersovereenkomst, op basis van een sjabloon van Xxxxxx, of aan het uitvoerenvan een Data Protection Impact Assessment (DPIA), indien Attero dat nodig acht.

5. Training, certificeringen en opleidingsvereisten

1. Wederpartij dient ISO 27001 of IEC 62443 gecertificeerd te zijn en het certificaat te tonen, indien Xxxxxx dat verzoekt. Indien Wederpartij niet ISO 27001 of IEC 62443 gecertificeerd is, dan dient zij in overleg met Attero de organisatorische en technische beheersmaatregelen uit de EN‐ISO/IEC 27002:2017 /IEC 62443 te definiëren en te implementeren.

6. Screening

1. Indien Attero dit wenst dienen medewerkers van Wederpartij, indien zij Diensten verlenen aan Xxxxxx, te beschikken over een Verklaring Omtrent het Gedrag Natuurlijke Personen (VOG NP). Er dient ten minste gescreend te zijn op de volgende functieaspecten: 11, 12, 13, 36, 38, 41, 61, 62 en 71.

2. Indien Xxxxxx dit wenst tonen medewerkers van Wederpartij hun VOG NP op eerste verzoek van Xxxxxx. Indien zij die niet kunnen tonen, wordt hun de toegang tot Attero direct ontzegd. Verplichtingen en afspraken die voortvloeien uit Overeenkomst (bijvoorbeeld opleverdata) worden desondanks door Wederpartij onverminderd en onverwijld nagekomen.

7. Beleid, processen en procedures

1. Indien Wederpartij aan Diensten gelieerde accounts beheert en een medewerker van de Wederpartij uit dienst treedt, trekt Wederpartij de betreffende rechten zo spoedig mogelijk in en stelt Xxxxxx daarvan schriftelijk op de hoogte. Indien Attero het account van de betreffende medewerker beheert, dan stelt Wederpartij Xxxxxx eveneens zo spoedig mogelijk schriftelijk op de hoogte van diens uitdiensttreding, zodat Xxxxxx de betreffende accountrechten kan intrekken.

2. Het aan‐ en afkoppelen van allerhande apparatuur door Wederpartij, waaronder draagbare media aan (deel)systemen van Xxxxxx, geschiedt enkel in overleg met en na schriftelijke goedkeuring van Xxxxxx.

3. Het onderhouden of wijzigen van (te leveren) (deel)systemen van Attero dient enkel uitgevoerd te worden met systemen die door Wederpartij voorzien zijn van zowel de laatste security updates en –patches, als actuele viruscontroleapparatuur.

4. Wederpartij dient voor een te leveren of te onderhouden (deel)systeem een patchbeleid op te stellen, waaruit blijkt hoe het betreffende (deel)systeem dient te worden gepatcht, waarbij de impact op het livesysteem minimaal wordt gehouden.

5. Wederpartij stemt, voorafgaand aan het verlenen van Diensten, haar ontwerp en wijzigingsproces en ‐procedure schriftelijk af op die van Xxxxxx. Enkel door Xxxxxx gevalideerde ontwerpen mogen worden uitgevoerd in de kantoor en/of procesautomatisering domeinen van Xxxxxx. Toestemming van Xxxxxx laat onverlet dat Xxxxxx zich jegens de Wederpartij kan beroepen op een dienstverlening van de Wederpartij die niet voldoet aan de daaraan te stellen eisen.

6. Wederpartij werkt onverwijld en volledig mee aan het inrichten van een backup proces en ‐ procedure, waarin het periodiek maken en testen van back‐ups van (deel)systemen, evenals het leveren van bijdragen aan het herstellen van de betreffende (deel)systemen is uitgewerkt.

8. Incidenten

1. Partijen leggen, in een bijlage bij Overeenkomst, een incidentrespons proces en ‐ procedure vast, evenals escalatie procedures.

2. In het in lid 1 genoemde incidentresponsproces wordt ten minste opgenomen dat Wederpartij binnen 24 uur bij de CISO (Chief Information Security Officer) van Attero telefonisch en schriftelijk meldingmaakt van incidenten, waaronder malware (bijvoorbeeld ransomware en cryptoware), een data lek of afwijkend systeemgedrag tijdens het leveren van Diensten aan Attero.

3. Het in lid 1 genoemde proces wordt jaarlijks door Partijen geëvalueerd, evenals beide procedures, en (indien nodig) bijgewerkt, minimaal zolang de Overeenkomst loopt.

4. Wederpartij registreert interne beveiligingsincidenten en rapporteert daar elk kwartaal schriftelijk over aan Xxxxxx. De rapportage vermeldt ten minste het aantal incidenten waar Wederpartij door is getroffen, de wijze waarop ze zijn opgelost en de impact die ze hebben (gehad) op het verlenen van Diensten en het leveren van Zaken aan Xxxxxx.

5. Indien Xxxxxx besluit tot het (laten) uitvoeren van een onderzoek, als gevolg van een incident, dan werkt Wederpartij volledig mee aan dat onderzoek.

9. Logging en monitoring

1. Attero logt handelingen van medewerkers van Wederpartij op haar netwerk en (deel)systemen, zodat na incidenten een (forensische) reconstructie kan worden gemaakt. Bij gebreke van medewerkers van Wederpartij is Attero gerechtigd de Overeenkomst onmiddellijk te beëindigen, zonder dat Wederpartij recht heeft op enigerlei vorm van (schade)vergoeding.

2. Xxxxxx heeft, aanvullend op lid 1 van dit artikel, recht op het claimen van nakoming van (delen van) de Overeenkomst, waarbij zij tevens recht heeft op aanvullende schadevergoeding wegens vertragings‐ en gevolgschade. Indien voornoemde nakoming niet mogelijk is, dan heeft Xxxxxx het recht op zowel een vervangende alseen aanvullende schadevergoeding.

10. Hardware‐ en softwareleveringen

1. Zaken die door Wederpartij worden opgeleverd aan Attero, waaronder hardware en software, voldoen volledig en aantoonbaar aan de technische Cybersecurity Voorwaarden van Xxxxxx.

2. Alle broncode (Software en maatwerksoftware) wordt aan Attero overhandigd tijdens de uitvoering van het opleverprotocol.

3. Indien Attero daartoe de wens te kennen geeft, zal Wederpartij te allen tijde van Maatwerksoftware, specifiek ten behoeve van Xxxxxx een exemplaar van Broncode in Escrow deponeren bij een door Attero schriftelijk goed te keuren professionele broncodebewaarnemer. Daarbij dient een vorm van actieve Escrow te worden geregeld die redelijkerwijs veiligstelt dat de drager van gedeponeerde Broncode daadwerkelijk alle Broncode bevat, die nodig is om inzicht te verkrijgen in de architectuur, ontwerpkeuzes, gekozen algoritmes en ander voorbereidend materiaal,die hebben geleid tot gedeponeerde Broncode.

4. In geval van deponering in Escrow zal Wederpartij uiterlijk op de datum van levering een schriftelijke bevestiging van die bewaarnemer aan Attero overhandigen, waaruit blijkt dat Broncode Cum Annexis (C.A.) van de Maatwerksoftware bij die bewaarnemer is gedeponeerd. Wederpartij verplicht zich, indien Broncode C.A. op enig moment wordt gewijzigd, ook de gewijzigde versie(s) bij die bewaarnemer te deponeren.

5. Xxxxxx is gerechtigd van die bewaarnemer afgifte om niet van alle versies van de bij de bewaarnemer verblijvende Broncode C.A. te verlangen, indien en zodra zij schriftelijk aan de bewaarnemer verklaart dat Overeenkomst door haar is ontbonden wegens omstandigheden die gelegen zijn in de risicosfeer van Wederpartij, of dat deze door Wederpartij is beëindigd dan wel binnen één maand zal worden beëindigd, dan wel niet wordt verlengd. Wederpartij verleent Xxxxxx nu voor alsdan een recht om de Broncode C.A. te (doen) gebruiken etcetera als omschreven in Overeenkomst. Xxxxxx kan voorts verlangen dat door de bewaarnemer een verklaring wordt afgegeven dat Broncode juist en volledig bij hem is gedeponeerd.

6. Indien Escrow geen onderdeel uitmaakt van Overeenkomst heeft Xxxxxx ook na het sluiten van Overeenkomst het recht te verlangen dat een dergelijke regeling alsnog wordt aangegaan.

7. Wederpartij verstrekt alle Beheerdocumentatie, behorend bij hardware en software die wordt geleverd, aan Attero.

8. Indien het onderhouden van hardware en software van Xxxxxx deel uitmaakt van Overeenkomst, draagt Wederpartij zorg voor het accuraat houden van alle bijbehorende Beheerdocumentatie.

11. Audits

1. Xxxxxx is te allen tijde gerechtigd om cybersecurity gerelateerde audits uit te (laten)voeren.

2. Wederpartij dient onverwijld en volledig mee te werken aan de in lid 1 van dit artikelgenoemde audits.

3. Bij gebreke van medewerking door Wederpartij aan deze audits is Attero gerechtigd Overeenkomst, na schriftelijke sommatie onmiddellijk te beëindigen, zonder dat Wederpartij recht heeft op enigerlei vorm van (schade)vergoeding.

4. Xxxxxx heeft, aanvullend op lid 3 van dit artikel, recht op het claimen van nakomingvan (delen van) Overeenkomst, waarbij zij tevens recht heeft op aanvullende schadevergoeding wegens vertragings‐ en gevolgschade. Indien voornoemde nakoming niet mogelijk is, dan heeft Xxxxxx het recht op zowel een vervangende alseen aanvullende schadevergoeding.