Ogólne Warunki Zakupu Grupy MM
Ogólne Warunki Zakupu Grupy MM
Obowiązujące od dnia 1 września 2023 r.
1. Zakres
1.1 Niniejsze Ogólne Warunki Zakupu będą miały zastosowanie do wszelkich umów dotyczących dostaw towarów i świadczenia innych usług o jakimkolwiek charakterze zawartych z którąkolwiek ze spółek Grupy MM jako nabywcą, chyba że strony umowy wyraźnie uzgodniły inaczej.
1.2 W dalszej części niniejszego dokumentu, odpowiednia spółka z grupy, w której imieniu i na której rzecz zostanie zaakceptowana oferta (w przypadkach, gdy oferta zostanie złożona przez dostawcę) lub zostanie złożone zamówienie (które to zamówienie będzie podlegać potwierdzeniu zamówienia przez dostawcę) będzie zwana
„MM”. Dane aktualnych spółek Grupy MM są dostępne na stronie xxx.xx.xxxxx/rechtliche-einheiten.
1.3 Niniejsze Ogólne Warunki Zakupu stanowią wyłączną podstawę prawną dla wszelkich dostaw i usług świadczonych na rzecz MM. Wyłącza się możliwość zastosowania jakichkolwiek innych warunków handlowych jakiegokolwiek dostawcy, w szczególności ogólnych warunków handlowych (np. zawartych w potwierdzeniach dostawy, fakturach lub handlowych pismach potwierdzających). Niniejsze Ogólne Warunki Zakupu mają również zastosowanie do dodatkowych świadczeń umownych, np. udzielania informacji i doradztwa oraz do wszelkich zmian umowy. W każdym przypadku nieuregulowanym w niniejszych Ogólnych Warunkach Zakupu zastosowanie mają wyłącznie obowiązujące przepisy prawa.
1.4 Jeżeli klienci MM wymagają by MM dokonywał zakupu towarów lub innych usług od konkretnego dostawcy, a dostawca został poinformowany o tych okolicznościach, wszelkie inne warunki zakupu uzgodnione pomiędzy danym klientem a dostawcą są stosowane tylko wtedy, gdy takie warunki są korzystniejsze dla MM niż odpowiednie postanowienia niniejszych Ogólnych Warunków Zakupu. Pozostałe postanowienia niniejszych Ogólnych Warunków Zakupu pozostają w mocy.
2. Strony Umowy
2.1 Umowę uważa się za zawartą pomiędzy MM a dostawcą, którego oferta została zaakceptowana przez MM w drodze przyjęcia oferty lub u którego MM złożył zamówienie i który potwierdził to zamówienie w drodze potwierdzenia zamówienia.
3. Zapytania, obowiązek ostrzegania
3.1 Wszelkie zapytania ofertowe, cenowe lub podobne ze strony MM będą niewiążące i w szczególności nie będą stanowić oferty zawarcia umowy.
3.2 Wszelkie specyfikacje i wszelkie materiały lub inne zasoby udostępnione przez MM w celu realizacji dostaw lub usług zostaną niezwłocznie sprawdzone przez dostawcę, a dostawca niezwłocznie poinformuje MM o wszelkich wadach i wątpliwościach możliwych do zidentyfikowania przez dostawcę
na podstawie obowiązkowej i zawodowej staranności, jakiej można oczekiwać od dostawcy.
4. Informacje dotyczące cen, oferty dostawcy, korespondencja
4.1 Dostawca jest związany swoją ofertą i określonymi w niej szczegółami, w szczególności w odniesieniu do ceny, dostępności i/lub terminu dostawy, przez cały okres akceptacji określony w ofercie lub, w przypadku braku terminu akceptacji, w każdym przypadku przez okres 60 dni od dnia otrzymania oferty przez MM, a dostawca nie będzie uprawniony do jednostronnej zmiany tych szczegółów.
4.2 Informacje dotyczące cen, ofert, kosztorysy i tym podobnych kwestii są dostarczane przez dostawcę bezpłatnie, niezależnie od wszelkich prac przygotowawczych, które mogą być wymagane w tym kontekście.
4.3 MM ma prawo określić szczególne wymagania dotyczące dokumentów ofertowych i kontraktowych, w szczególności w odniesieniu do formy, rodzaju, zakresu i treści, a dostawca zapewni zgodność z tymi wymaganiami.
4.4 Wszelka korespondencja handlowa prowadzona będzie wyłącznie z działem zakupów MM. Korespondencja będzie prowadzona wyłącznie w języku niemieckim, angielskim lub właściwym języku krajowym MM.
4.5 Numer referencyjny zamówienia (numer zamówienia) MM musi być podany na wszystkich dokumentach przeznaczonych dla MM, takich jak: listy przewozowe, etykiety wagonowe, paczki kolejowe, zaświadczenia o wysłaniu paczki, dokumenty wysyłkowe, dowody dostawy, specyfikacje przesyłek, faktury, powiadomienia o zmianie lub podobnych dokumentach oraz na wszelkiej korespondencji; dostawca ponosi odpowiedzialność za wszelkie szkody poniesione przez MM w wyniku nieprzestrzegania powyższego wymogu.
5. Przyjęcie oferty i kontrasygnata MM dla ofert dostawcy, zamówienie MM i potwierdzenie zamówienia przez dostawcę
5.1 Umowa wiążąca dla MM zostaje zawarta w drodze pisemnej akceptacji oferty dostawcy przez MM. Akceptację uznaje się za dokonaną po otrzymaniu przez dostawcę odpowiedniego pisemnego powiadomienia. Za pisemne powiadomienia uznaje się również powiadomienia przekazywane pocztą elektroniczną lub faksem. Wszelkie formy ustnej lub dorozumianej akceptacji zostają wyłączone w maksymalnym możliwym zakresie, chyba że taka forma akceptacji zostanie oddzielnie i wyraźnie uzgodniona.
5.2 Zamówienie złożone przez MM zostanie niezwłocznie potwierdzone przez dostawcę w formie potwierdzenia zamówienia przekazanego do MM. MM zastrzega sobie prawo do nieodpłatnego anulowania zamówienia, jeżeli MM nie otrzyma należycie wystawionego potwierdzenia zamówienia w
rozsądnym terminie, w każdym przypadku nie później niż w ciągu dwóch dni roboczych od złożenia zamówienia. Taką anulację uznaje się za dokonaną w terminie, jeżeli zostanie wysłana przed otrzymaniem potwierdzenia zamówienia.
5.3 W przypadku odstępstw od specyfikacji zamówienia podanych przez MM w zamówieniu, dostawca niezwłocznie po otrzymaniu zamówienia zobowiązany jest do zwrotu potwierdzenia zamówienia zawierającego szczegółowe informacje o odstępstwach. Zmiany i poprawki do zamówienia wymagają pisemnego potwierdzenia i kontrasygnaty MM. Za takie potwierdzenie nie uznaje się przyjęcia towaru bez zastrzeżeń.
6. Ceny, warunki płatności
6.1 Ceny nie podlegają zmianie i nie zawierają podatku VAT. Ceny obowiązują zgodnie z warunkami dostawy określonymi odpowiednio w akceptacji oferty i w zamówieniu.
6.2 Wszelkie płatności dokonywane będą zgodnie z warunkami płatności określonymi odpowiednio w akceptacji oferty i w zamówieniu. W przypadku braku takich warunków, płatności dokonuje się ze skutkiem zwalniającym ze zobowiązania w ciągu 60 dni z uwzględnieniem rabatu w wysokości 3% lub w terminie 90 dni bez odliczeń.
6.3 Termin płatności rozpoczyna się w dniu, w którym nastąpi ostatnie z następujących zdarzeń:
• otrzymanie przez MM faktury zgodnie z postanowieniami ust. 6 i 7;
• uzgodniona data dostawy;
• rzeczywista data dostawy; lub
• przejście ryzyka.
6.4 W odniesieniu do faktur częściowych MM jest uprawniony do odliczenia rabatu nawet wówczas, gdy obowiązujące wymogi (ust. 6.2) nie zostaną spełnione w odniesieniu do innych faktur częściowych dotyczących tej samej dostawy.
6.5 Wszelkie płatności na poczet lub płatności zaliczkowe dokonywane przez MM będą dokonywane wyłącznie z zastrzeżeniem dostarczenia przez dostawcę bezwarunkowej nieodwołalnej gwarancji bankowej wystawionej przez renomowaną europejską instytucję kredytową, którą można wykorzystać bez podania przyczyny.
6.6 MM ma prawo, według własnego uznania, do zapłaty przelewem bankowym, gotówką lub czekiem, w każdym przypadku w ramach dokonania płatności.
6.7 Termin płatności uważa się za dotrzymany, jeżeli polecenie przelewu należnej kwoty zostanie złożone w trakcie cotygodniowego przetwarzania transakcji płatniczych w najwcześniejszym tygodniowym terminie płatności następującym po upływie terminu, lub jeżeli kwota pieniężna lub czek zostaną wysyłane w terminie wyznaczonym na dokonanie płatności.
6.8 W przypadku zwłoki w zapłacie stosuje się odsetki za zwłokę w wysokości 2% powyżej trzymiesięcznej stopy EURIBOR.
7. Fakturowanie
O ile nie ustalono inaczej w akceptacji oferty i w zamówieniu, faktury będą wystawiane na początku miesiąca następującego po danej dostawie. Dotyczy to również wielu dostaw (miesięcznej faktury zbiorczej). Faktury muszą być zgodne z obowiązującymi wymogami prawa podatkowego i będą przekazywane na adres rozliczeniowy określony odpowiednio w akceptacji oferty i w zamówieniu, a także muszą zawierać odniesienie do zamówienia MM, pod rygorem odmowy przyjęcia faktury i odmowy dokonania płatności. Na dokumencie dostawy i fakturach dla każdej zamówionej pozycji należy wskazać numer zamówienia MM oraz pozycję zamówienia oraz odpowiedni numer identyfikacyjny materiału (jeżeli został podany przez MM).
8. Termin dostawy
8.1 Termin dostawy lub wykonania świadczenia określony w zamówieniu lub akceptacji oferty MM jest wiążący i rozpoczyna się z chwilą otrzymania przez dostawcę zamówienia lub przyjęcia oferty. Jeżeli taki termin nie został ustalony, dostawa lub wykonanie świadczenia nastąpi niezwłocznie.
8.2 W przypadku, gdy istnieje prawdopodobieństwo wystąpienia opóźnienia MM, zostanie niezwłocznie poinformowany o przyczynie i przewidywanym czasie trwania opóźnienia.
8.3 Dostawa lub wykonanie świadczenia przed uzgodnioną datą jest dozwolone tylko po uzyskaniu wyraźnej zgody MM. MM nie poniesie szkody w wyniku takiej dostawy lub wykonania, w szczególności termin płatności (ust. 6.3) nie będzie liczony przed uzgodnioną datą dostawy.
8.4 Dostawca nie będzie uprawniony do wstrzymania lub zaprzestania realizacji świadczeń.
9. Dostawa, wysyłka, miejsce wykonania, przejście ryzyka i koszt
9.1 Realizacja dostaw lub usług oraz wysyłka towarów, w tym przeniesienie kosztów i ryzyka, odbywa się zgodnie z uzgodnionymi warunkami dostawy. O ile nie uzgodniono żadnych innych warunków dostawy, dostawy będą realizowane na warunkach DDP (duty delivery paid) zgodnie z INCOTERMS 2020 do miejsca realizacji wyznaczonego przez MM. W związku z tym, o ile nie uzgodniono żadnych innych postanowień umownych, dostawca ponosi ryzyko i koszty wysyłki.
9.2 Miejscem świadczenia jest odpowiednio adres dostawy wskazany przez MM oraz miejsce, w którym usługi mają być wykonane.
9.3 MM odmawia przyjęcia wysyłek za pobraniem (COD); każda przesyłka zwrotna odbywa się na koszt i ryzyko dostawcy, a konsekwencje niewykonania zobowiązania stają się skuteczne.
9.4 Do przesyłki z towarem należy dołączyć wszystkie niezbędne i zależne od rodzaju wysyłki, zwyczajowe dokumenty przewozowe oraz osobny list przewozowy dla każdego numeru zamówienia. Ponadto MM ma prawo określić dalsze szczegółowe wymagania co do zakresu i zawartości towarów i dokumentacji przewozowej, które muszą być zawsze przestrzegane. W maksymalnym zakresie dozwolonym przez prawo, podpisanie przez MM wszelkich listów przewozowych lub innych dokumentów przewozowych jest uwarunkowane przeprowadzeniem kontroli – która może zostać również przeprowadzona w późniejszym terminie – zawartości przesyłki towarów pod kątem wad ilościowych i jakościowych.
9.5 Jeżeli jakikolwiek konkretny rodzaj wysyłki zostanie wyraźnie uzgodniony lub jest obowiązkowy, dostawca wybierze najbezpieczniejszy rodzaj transportu wiążącego się z najmniejszym ryzykiem uszkodzenia lub utraty towaru. Jeżeli dostępne jest kilka rodzajów transportu zapewniających ten sam stopień bezpieczeństwa wysyłki, należy wybrać najszybszy rodzaj transportu.
9.6 Dostawy częściowe są dozwolone wyłącznie na podstawie odrębnej umowy. Niedopuszczalne są dostawy zawyżone lub zaniżone.
9.7 Dostawca jest odpowiedzialny i zobowiązany do zapewnienia prawidłowego i zgodnego z obowiązującymi przepisami oznakowania towaru oraz spełnienia wszystkich wymogów dotyczących transportu, opakowania i innych wymogów.
9.8 Dostawca zapewni pełne i terminowe spełnienie wszystkich obowiązków dodatkowych, np. dostarczenie wymaganych świadectw badań, opisów, instrukcji obsługi itp.
9.9 W przypadku, gdy dostawa obejmuje urządzenia techniczne i wyposażenie, pracownicy MM odpowiedzialni za ich obsługę otrzymają podstawowe przeszkolenie w zakresie obsługi i eksploatacji tych urządzeń i wyposażenia, za co nie zostanie pobrana żadna dodatkowa opłata. Dostawca zatem uwzględni stosowne koszty przy ustalaniu ceny za dostawę. Jeżeli dostarczone urządzenia i wyposażenie wymagają montażu przez osoby trzecie, do potwierdzenia zamówienia należy załączyć wszelkie wymagane schematy montażowe (z uwzględnieniem wszystkich połączeń, konstrukcji podstawy, jeżeli taka istnieje itp.).
9.10 Do dostawy dołącza się etykiety w języku krajowym MM i w języku angielskim; o ile nie uzgodniono inaczej danym przypadku, powyższe dotyczy również instrukcji obsługi i wymogów.
10. Odbiór bez zastrzeżenia prawa własności, prawo do potrącenia i prawo do zatrzymania
10.1 Dostarczone towary zostaną przekazane pracownikom firmy MM upoważnionym do odbioru towarów lub, w stosownych przypadkach, osobie trzeciej wyznaczonej przez MM w miejscu spełnienia świadczenia.
10.2 Odbiór towarów jest możliwy tylko w godzinach pracy MM (od poniedziałku do czwartku w godzinach od 06:00 do 14:00, w piątki w godzinach od 6:00 do 12:00, o ile nie wskazano inaczej w danym przypadku). Dostawca poniesie i w pełni zwolni MM z wszelkiej odpowiedzialności z tytułu wszelkich dodatkowych kosztów poniesionych w wyniku dostawy poza tymi godzinami pracy.
10.3 W momencie przekazania dostarczonych towarów lub wykonanych usług, tytuł własności przechodzi bezpośrednio na MM. Wyłącza się wszelkie zastrzeżenie tytułu własności przez dostawcę, w szczególności w związku z produktami przeznaczonymi do dalszej sprzedaży lub przetwarzania.
10.4 Ewentualne zapewnienie przez MM personelu i/lub sprzętu do rozładunku odbywa się na wyłączne ryzyko i koszt dostawcy. Powyższe obowiązuje również wtedy, gdy pracownicy są winni nieznacznego zaniedbania w związku z jakimikolwiek szkodami (np. pojazdu dostawczego lub ładunku) powstałymi podczas rozładunku.
10.5 Dostawca ma prawo do potrącenia lub prawo zatrzymania tylko w odniesieniu do roszczeń uznanych przez MM lub ostatecznie stwierdzonych przez sądy.
10.6 MM zastrzega sobie prawo do zatrzymania lub potrącenia płatności w przypadku zgłoszenia jakichkolwiek roszczeń z tytułu rękojmi lub innych roszczeń. Wyklucza się wszelkie zastrzeżenia wynikające z zarzutu niepewności (Unsicherheitseinrede) ze strony dostawcy, które uprawniałyby dostawcę do odmowy wykonania świadczenia.
11. Opakowania, odpady niebezpieczne
11.1 O ile umowa nie stanowi inaczej, towary są pakowane w sposób zwyczajowo przyjęty w handlu, w odpowiedni i wystarczający sposób, aby zapewnić odpowiednią ochronę towarów. Dostawca w każdym przypadku ponosi odpowiedzialność za szkody spowodowane wadliwymi lub nieodpowiednimi opakowaniami, niezależnie od warunków dostawy uzgodnionych w każdym indywidualnym przypadku.
11.2 Koszt pakowania zgodnie z postanowieniami umownymi ponosi dostawca. Jeżeli w konkretnym przypadku zostanie uzgodnione, że MM ponosi koszty pakowania, dostawca naliczy wyłącznie cenę równą kosztom własnym i wskaże je oddzielnie na fakturze. Nie dopuszcza się na pobierania kaucji za opakowania zwrotne.
11.3 W przypadku istnienia obowiązkowego systemu zwolnień lub składek w związku z utylizacją i odzyskiem odpadów, dostawca zobowiązuje się zadbać o takie zwolnienie lub płatność składek w odniesieniu do materiałów opakowaniowych i opakowań pomocniczych (np. kartony, palety, podkładki, etykiety itp.) używanych przez dostawcę i dostarczonych do MM, w związku z dostawą lub świadczeniem, oraz do uwzględnienia wszelkich istotnych kosztów w cenie uzgodnionej za dostawę lub wykonanie. Na żądanie, jeżeli będzie to możliwe, dostawca dostarczy MM dowód uzyskania zwolnienia lub zapłaty składek lub zamieści odpowiednią wzmiankę w dokumentach dostawy.
11.4 Materiały opakowaniowe, pojemniki transportowe i podobne przedmioty, jak również wszystkie przedmioty będące przedmiotem dostawy lub świadczenia i/lub ich pozostałości, które po ich wykorzystaniu zgodnie z przeznaczeniem należy zaklasyfikować jako odpady niebezpieczne (tj. materiały odpadowe, w przypadku których prawo wymaga, aby ze względu na ich niebezpieczny charakter zostały usunięte zgodnie z określonymi wymogami dotyczącymi usuwania odpadów; materiały te obejmują w szczególności „odpady niebezpieczne” w rozumieniu dyrektywy Rady 2008/98/WE w sprawie odpadów niebezpiecznych) i zostaną one usunięte przez dostawcę na jego ryzyko i koszt lub zostaną zwrócone dostawcy bezpłatnie w celu ich utylizacji. W przypadku, gdy dostawca nie wypełni któregokolwiek z tych obowiązków, MM będzie uprawniony do zlecenia takiego usunięcia osobom trzecim na ryzyko i koszt dostawcy.
12. Naruszenie, odstąpienie, kara umowna
12.1 W przypadku niedotrzymania terminu dostawy lub wykonania świadczenia MM, niezależnie od jakichkolwiek dalszych roszczeń, ma prawo odstąpienia od umowy po wyznaczeniu rozsądnego terminu dodatkowego. W razie wątpliwości lub w przypadku braku porozumienia okres 14 dni uznaje się za rozsądny. MM ma również prawo, zamiast odstąpienia od umowy, zażądać jej wykonania. Powyższe prawa przysługują MM również w przypadku braku winy ze strony dostawcy.
12.2 W przypadku niedotrzymania terminu MM będzie ponadto uprawniony (i) oprócz odstąpienia od umowy (oraz w związku z tym oprócz żądania wykonania umowy) żądania zapłaty kary umownej, niezależnie od winy, w wysokości 10% całkowitej wartości umowy, lub (ii) żądania, oprócz późniejszego wykonania umowy, zapłaty kary umownej (również niezależnie od winy) w wysokości 1% łącznej wartości umowy za każdy pełny tydzień opóźnienia, do maksymalnej wysokości 10%. Powyższe nie ma wpływu na prawo MM do podnoszenia roszczeń z tytułu szkody przekraczających wysokość kary umownej.
13. Siła wyższa
13.1 Jeżeli jednak niewykonanie zobowiązania przez dostawcę jest wynikiem działania siły wyższej, okres dostawy zostanie przedłużony o czas trwania przeszkody, pod warunkiem że dostawca niezwłocznie powiadomi o tych okolicznościach MM. Za przypadek siły wyższej uważa się wyłącznie następujące zdarzenia: wojnę, wojnę domową, ograniczenia eksportu i/lub ograniczenia handlowe wynikające z sytuacji politycznej oraz wszelkie spory pracownicze lub akcje przemysłowe, np. strajki, lokauty, przerwy w działalności lub ograniczenia, które nie są przypisane dostawcy i nie są ograniczone do jego przedsiębiorstwa.
13.2 W przypadku, gdy działanie siły wyższej uniemożliwiające wykonanie świadczenia zgodnie z ust. 13.1 trwa dłużej niż cztery tygodnie, MM ma prawo odstąpienia od umowy ze skutkiem natychmiastowym. MM ma prawo do odstąpienia od umowy ze skutkiem natychmiastowym również przed upływem tego terminu, jeżeli zgodność z ustalonym terminem dostawy jest niezbędna dla zapewnienia kontynuacji obecnej produkcji MM.
14. Gwarancja
14.1 Dostawca wyraźnie gwarantuje, że dostawa towarów lub wykonanie usług będzie zgodne z ustaloną w umowie jakością i ilością oraz że będzie odpowiadać wszelkim wyraźnie wymaganym właściwościom, charakterystyce i specyfikacjom. Dostarczone towary lub wykonane usługi będą odpowiednie do ich zastosowania przez MM zgodnie przeznaczeniem określonym w umowie. W przypadku dostaw materiałów tekturowych i/lub materiałów papierowych/drukarskich dostawca gwarantuje w szczególności możliwość obróbki dostarczonych materiałów tekturowych i/lub materiałów papierowych/drukarskich na maszynachużywanych przez MM. W przypadku braku wyraźnego porozumienia umownego określającego konkretną jakość towarów lub usług, dostawca zapewnia najwyższą jakość dostępną na rynku. Towar lub usługi w każdym przypadku odpowiadają właściwościom, charakterystyce i specyfikacjom, jakich można zwyczajowo oczekiwać od porównywalnych towarów lub usług i nadają się do zastosowania zwyczajowo dla nich przewidzianego. Ponadto towar lub usługi będą zgodne z uznanymi standardami naukowymi, stanem techniki, obowiązującymi wymogami w zakresie ochrony pracowników, inżynierii bezpieczeństwa, transportu towarów niebezpiecznych, postępowania z odpadami niebezpiecznymi oraz obowiązującymi wymaganiami w zakresie składowania i eksploatacji.
14.2 Niezgodność towaru lub usług z gwarancjami udzielanymi przez dostawcę zgodnie z ust. 14.1 będzie stanowić wadę.
14.3 MM sprawdzi towar lub usługi pod kątem wad w rozsądnym terminie po ich przekazaniu. Jeżeli kontrola próbek losowych wskazuje, że część towarów lub usług jest wadliwa, można odmówić przyjęcia całej dostawy lub całego świadczenia. Wyraźnie postanawia się, że MM nie ma obowiązku zgłaszania wad w celu ochrony roszczeń opartych na wadach. Powyższe dotyczy zarówno roszczeń wynikających z niniejszego ust. 14, jak i roszczeń o odszkodowanie lub innych roszczeń opartych na wadach w dostawie towarów lub świadczeniu usług.
14.4 Dostawca ponosi odpowiedzialność za to, że towar lub usługi mają być wolne od wad niezależnie od winy i przez cały okres gwarancji. Dostawca ponosi zatem odpowiedzialność niezależnie od tego, czy wada już istnieje w momencie przekazania towaru lub wykonania usługi, czy też pojawi się w późniejszym czasie w okresie gwarancyjnym.
14.5 Termin zgłaszania roszczeń na podstawie niniejszego ust. 14 wynosi 24 miesiące i rozpoczyna się odpowiednio od dnia przekazania towarów lub wykonania usług oraz ich odbioru ich przez MM. W przypadku, gdy dostawca podejmie próbę usunięcia wady, wspomniany okres zostanie wznowiony.
14.6 W przypadku wadliwości towarów lub usług MM ma prawo według własnego uznania żądać od dostawcy usunięcia wady (bezpłatnie w miejscu użytkowania) lub wymiany i nowej dostawy towaru lub wykonania usług wolnych od wad.
14.7 W przypadku, gdy ani usunięcie wady, ani wymiana nie są możliwe lub dostawca odmawia usunięcia wady lub wymiany, lub nie dokona ich w rozsądnym terminie, lub takie usunięcie wady lub wymiana powoduje znaczne niedogodności dla MM, lub jest
nie do przyjęcia dla MM z ważnych powodów leżących po stronie dostawcy, MM ma prawo do obniżki ceny. Jeżeli wada jest inna niż nieznaczna usterka, MM ma prawo, alternatywnie, odstąpić od umowy bez wyznaczania dodatkowego terminu. Jeżeli kontrola dostarczonego towaru lub wykonanych usług ujawni wadę, którą można przypisać dostawcy, dostawca w każdym przypadku będzie zobowiązany do pokrycia kosztu przeprowadzenia kontroli. Dotyczy to również wszelkich kosztów montażu i/lub demontażu poniesionych wskutek wystąpienia wady.
14.8 Jeżeli dostawca opóźnia się z usunięciem wady, MM ma również prawo do wykonania zastępczego na koszt i ryzyko dostawcy bez uprzedniego powiadomienia. MM zostanie w pełni zwolniony z odpowiedzialności za koszt takiego zastępczego wykonania również wtedy, gdy przekracza ono koszt, który zostałby poniesiony, gdyby wadę usunął dostawca.
14.9 W odniesieniu do wad w tytule prawnym oraz w ramach prawa do usunięcia wad dostawca zgadza się, że jeżeli jakiekolwiek towary dostarczone lub usługi wykonane przez dostawcę lub jakakolwiek ich część będą przedmiotem roszczenia strony trzeciej o naruszenie praw, dostawca albo zapewni, że MM uzyska prawo do dalszego korzystania z odpowiednich towarów lub usług, albo wymieni lub zmodyfikuje takie towary lub usługi w sposób zapewniający, że prawa osób trzecich nie będą już naruszane.
14.10 MM będzie ponadto uprawniony, bez ograniczeń, dla wszelkich roszczeń (w szczególności roszczeń gwarancyjnych i roszczeń odszkodowawczych) z tytułu wad materiałowych i wad w zakresie przewidzianym przez prawo.
14.11 Dostawca zobowiązany jest do szczegółowego informowania MM o wszelkich wymaganiach dotyczących obsługi lub przechowywania dostarczonych towarów lub wykonanych usług, chyba że odpowiednie szczegóły są oczywiste lub są już znane z wcześniejszych relacji handlowych.
15. Odszkodowania, odpowiedzialność za produkt, ubezpieczenie od odpowiedzialności
15.1 Oprócz roszczeń wynikających z gwarancji umownych na podstawie ust. 14 i z tytułu rękojmi, prawo firmy MM do dochodzenia roszczeń odszkodowawczych z tytułu wad dostawy lub wykonania świadczenia jest wyraźnie zastrzeżone.
15.2 W tym zakresie dostawca ponosi pełną odpowiedzialność za wszelkie szkody poniesione przez MM (tj. w szczególności za utracone zyski, utracone dochody, koszty wycofania produktu, utratę reputacji i inne szkody wtórne spowodowane wadą i/lub szkodą majątkową) nawet w przypadku nieznacznego zaniedbania.
15.3 Dostawca ponosi odpowiedzialność za wszystkich agentów zatrudnionych przez niego przy realizacji umowy (np. podwykonawców lub poddostawców) oraz za wszelkie winy, które można przypisać takim agentom w takim samym stopniu, jak w przypadku własnego postępowania i winy dostawcy.
15.4 MM ponosi ciężar dowodu jedynie co do zaistnienia szkody i związku przyczynowego. Ciężar dowodu co do braku winy po stronie dostawcy spoczywa na dostawcy.
15.5 W odniesieniu do dostarczonych towarów i usług, dostawca zabezpieczy MM przed wszelkimi roszczeniami z tytułu odpowiedzialności za produkt zgłoszonymi przez strony trzecie, a w szczególności zabezpieczy MM przed wszelkimi kosztami poniesionymi w związku z obroną przed roszczeniami z tytułu odpowiedzialności za produkt, przy dokonywaniu lub prowadzeniu współpracy w zakresie wycofania produktu lub wypłacaniu odszkodowania osobom trzecim. W tym zakresie dostawca jest zobowiązany w pełni zabezpieczyć MM przed roszczeniami o odszkodowanie niezwłocznie na pierwsze żądanie MM. Tam, gdzie to możliwe i uzasadnione, MM będzie informować dostawcę o zakresie i treści każdego wycofania produktu i da dostawcy możliwość skomentowania tej kwestii.
15.6 W przypadku dostaw materiałów tekturowych i/lub materiałów papierowych/drukarskich, jeżeli dostarczone materiały tekturowe i/lub materiały papierowe/drukarskie nie wykazują wymaganej przydatności do ich wykorzystania na maszynach używanych przez MM lub przez klientów MM, a w rezultacie maszyny używane do produkcji nie osiągają pełnej wydajności, dostawca zobowiązuje się ponadto w pełni zabezpieczyć MM przed wszelkimi szkodami, jakie mogą powstać w wyniku nieodpowiedniej przydatności dostarczonych materiałów tekturowych i/lub materiałów papierowych/drukarskich. Opisana powyżej odpowiedzialność odszkodowawcza ma zastosowanie również w przypadku, gdy dostarczone materiały tekturowe i/lub materiały papierowe/drukarskie spełniają uzgodnione specyfikacje oraz ma zastosowanie również w odniesieniu do poszczególnych partii dostaw, a także dotyczy bez ograniczeń strat w produkcji, dodatkowych wydatków i dodatkowych kosztów, jak również roszczeń gwarancyjnych i roszczeń odszkodowawczych zgłaszanych przez klientów. Ponadto, wspomniana odpowiedzialność odszkodowawcza ma zastosowanie bez względu na przeprowadzenie jakichkolwiek testów dotyczących przydatności dostarczonych materiałów tekturowych i/lub materiałów papierowych/drukarskich przed lub w trakcie rozpoczęcia dostaw.
15.7 W odniesieniu do dostarczonego towaru i wykonanych usług dostawca jest zobowiązany, na żądanie MM, do podania nazwy producenta, importera lub poddostawcy oraz do wspierania MM w obronie przed roszczeniami z tytułu odpowiedzialności za produkt zgłaszanymi przez osoby trzecie, w szczególności poprzez udostępnienie zapisów i dokumentacji dotyczącej produkcji i projektów oraz innych dowodów.
15.8 Wszelkie roszczenia odszkodowawcze MM w stosunku do dostawcy ulegają przedawnieniu zgodnie z odpowiednimi przepisami prawa, jednakże w żadnym wypadku przed upływem
(i) 36 miesięcy od przekazania towarów lub usług lub (ii) 12 miesięcy od powzięcia wiadomości o szkodzie i stronie odpowiedzialnej, w zależności od tego, które z tych zdarzeń nastąpi później.
15.9 Dostawca zobowiązuje się utrzymywać ubezpieczenie od odpowiedzialności cywilnej, w tym od odpowiedzialności za produkt, o minimalnym pokryciu w wysokości 10 mln EUR przez
cały okres trwania odpowiednich relacji biznesowych, tj. do upływu terminu określonego w ust. 15.8.
16. Utrzymywanie zapasów części zamiennych
16.1 Dostawca zapewnia, że, w odniesieniu do dostarczonego towaru i wykonanych usług, utrzymywane są zapasy części zamiennych przez minimalny okres co najmniej dziesięciu lat od daty przekazania towaru lub wykonania usług. W tym okresie i z zastrzeżeniem innych praw MM, dostawca udostępnia części zamienne po rozsądnych i zwyczajowych cenach.
17. Rozporządzenie REACH
17.1 Dostawca ponosi odpowiedzialność za dostarczone towary lub usługi przez niego wykonane zgodnie z przepisami rozporządzenia (WE) nr 1907/2006 w sprawie rejestracji, oceny, udzielania zezwoleń i stosowanych ograniczeń w zakresie chemikaliów (dalej „Rozporządzenie REACH”).
17.2 W zakresie wymaganym zgodnie z przepisami rozporządzenia REACH dostawca ponosi w szczególności odpowiedzialność za to, aby substancje zawarte w dostarczanych przez niego produktach zostały wstępnie zarejestrowane lub, po upływie okresów przejściowych, zarejestrowane oraz za odpowiednie karty charakterystyki zgodnie z przepisami rozporządzenia REACH, ze wskazaniem konkretnego zastosowania i/lub informacji wymaganych zgodnie z art. 32 Rozporządzenia REACH, które mają zostać udostępnione MM. W przypadku, gdy dostawca dostarcza artykuł w rozumieniu art. 3 Rozporządzenia REACH, dostawca ponosi w szczególności odpowiedzialność za przestrzeganie obowiązku dostarczenia określonych informacji zgodnie z art. 33 rozporządzenia REACH.
17.3 Przestrzeganie przepisów rozporządzenia REACH nie zwalnia dostawcy z ogólnego obowiązku profesjonalnego i niezwłocznego informowania MM o wszelkich zmianach dotyczących dostarczonego towaru lub wykonanych usług.
18. Ochrona przeciwpożarowa, ochrona środowiska, bezpieczeństwo pracy
18.1 W przypadku, gdy w ramach stosunku umownego dostawca wykonuje prace lub realizuje dostawy na terenie firmy MM, dostawca jest zobowiązany ściśle przestrzegać wszystkich przepisów wewnętrznych obowiązujących w zakładzie (w szczególności w zakresie wymogów bezpieczeństwa, ochrony środowiska, ochrony przeciwpożarowej i higieny) oraz do zapewnienia ścisłego przestrzegania tych przepisów przez jego personel/pracowników i podwykonawców.
18.2 Dostawca uzyska dostęp do tych zasad z danego zakładu z odpowiednim wyprzedzeniem i poinstruuje i odpowiednio przeszkoli swoich pracowników.
18.3 Dostawca ponosi odpowiedzialność za zawinione naruszenie tych przepisów wewnętrznych popełnione przez któregokolwiek z jego pracowników/członków personelu i podwykonawców. Dostawca przyjmuje do wiadomości, że
aktualna wersja obowiązujących przepisów wewnętrznych jest dostępna do wglądu we wszystkich siedzibach przedsiębiorstwa.
19. Wymagania bezpieczeństwa MM
19.1 Dostawca gwarantuje zgodność z Wymogami Bezpieczeństwa MM określonymi w Załączniku 1, jeśli Dostawca
(i) uzyskuje dostęp do obiektów, sieci i/lub systemów informatycznych MM; lub (ii) uzyskuje dostęp, przetwarza lub przechowuje informacje/dane MM; lub (iii) świadczy usługi w zakresie infrastruktury IT i/lub znormalizowanego oprogramowania lub opracowuje oprogramowanie.
20. Prawa własności intelektualnej, oprogramowanie, rysunki, narzędzia i modele
20.1 Dostawca gwarantuje, że nabył wszystkie prawa osób trzecich wymagane w związku z dostawą towarów i wykonaniem usług oraz że taka dostawa i wykonanie nie narusza żadnych praw osób trzecich. Dostawca w pełni zabezpieczy MM przed wszelkimi sporami dotyczącymi własności intelektualnej w związku z prawami osób trzecich, w szczególności sporami dotyczącymi patentów, praw autorskich, znaków towarowych i praw do wzorów przemysłowych oraz gwarantuje, że dostarczane towary i usługi mogą być wykorzystywane bez ograniczeń.
20.2 Jeżeli dostawca dostarcza produkty w postaci oprogramowania, które nie zostały opracowane specjalnie dla MM, dostawca przyznaje MM zbywalne niewyłączne prawo do korzystania z tych produktów, które będzie nieograniczone czasowo i terytorialnie.
20.3 W odniesieniu do towarów i usług opracowanych specjalnie na rzecz MM, w tym w szczególności układów, rysunków, projektów, dokumentacji, danych i produktów w postaci oprogramowania, dostawca przyznaje MM wyłączne zbywalne prawo do korzystania, prawo do adaptacji, prawo dystrybucji i prawo do przetwarzania dla wszystkich obecnych i przyszłych rodzajów użytkowania, które będą również nieograniczone w czasie.
20.4 Wszelkie rysunki, xxxxxx, narzędzia, pomoce, próbki, modele itp. udostępnione przez MM do celów wykonania umowy pozostają własnością MM. Nie będą one udostępniane osobom trzecim ani wykorzystywane do celów innych niż wykonywanie umowy (takich jak np. wykonywanie umów z osobami trzecimi) i w szczególności nie mogą być wykorzystywane do celów reklamowych. W momencie dostawy lub wykonania, lub odwołania przyjęcia zamówienia, lub odstąpienia od umowy, zostaną one niezwłocznie zwrócone do MM na żądanie.
21. Poufność.
21.1 Dostawca zobowiązuje się traktować jako tajemnicę przedsiębiorstwa i zachować w tajemnicy wszelkie informacje handlowe lub techniczne, które nie są publicznie dostępne, a które stały się znane dostawcy w wyniku nawiązania stosunków handlowych.
21.2 Dostawca zapewni, że tylko ci z jego pracowników będą mieli dostęp do takich tajemnic handlowych, którzy absolutnie potrzebują tych informacji w celu realizacji umowy.
21.3 Dostawca zapewni, że wszystkie osoby upoważnione do przetwarzania tajemnic handlowych i należące do jego otoczenia zobowiązały się do zachowania poufności lub podlegają odpowiedniemu obowiązkowi prawnemu.
21.4 Dostawca nie jest uprawniony do powoływania się na relacje biznesowe z MM w celach reklamowych bez uprzedniej pisemnej zgody.
22. Przejęcie umowy, cesja
22.1 Bez pisemnej zgody MM nie zezwala się na przeniesienie obowiązków umownych w całości lub w części na osobę trzecią w celu ich wykonania.
22.2 Nie zezwala się na dokonanie cesji, oddanie w zastaw ani na innego rodzaju przeniesienie wierzytelności bez uprzedniej pisemnej zgody MM.
23. Miejsce wykonania, jurysdykcja, prawo właściwe
23.1 Wszelkie spory wynikające z umowy podlegają prawu materialnemu obowiązującemu w miejscu siedziby MM, przy czym wyklucza się możliwość stosowania norm kolizyjnych oraz Konwencji Narodów Zjednoczonych o umowach międzynarodowej sprzedaży towarów (CISG).
23.2 Wszelkie spory wynikające z niniejszej umowy lub w związku z nią podlegają wyłącznej jurysdykcji sądu właściwego w miejscu siedziby MM. MM ma jednak prawo wnieść powództwo wynikające z umowy przed sądem właściwym w miejscu siedziby dostawcy.
24. Pisemna forma, rozdzielność postanowień, zrzeczenie się
24.1 Wszelkie oświadczenia w imieniu MM będą prawnie wiążące tylko wtedy, gdy zostaną wydane przez wymaganą liczbę należycie umocowanych przedstawicieli, tj. dyrektorów zarządzających, upoważnionych sygnatariuszy lub pełnomocników.
24.2 Wszelkie umowy pomiędzy MM a dostawcą muszą być sporządzone na piśmie. Umowy ustne nie są wiążące. Wymóg ten uznaje się również za spełniony w przypadku przekazywania informacji za pomocą faksu lub poczty elektronicznej.
24.3 Gdyby jakiekolwiek poszczególne postanowienia umowy lub niniejszych Ogólnych Warunków Zakupu stały się nieważne w całości lub w części, pozostałe postanowienia pozostają w mocy. W przypadku takiej częściowej nieważności umawiające się
strony zobowiązują się do zastąpienia nieważnego postanowienia ważnym postanowieniem, które jak najwierniej odzwierciedla intencję tych nieważnych postanowień.
24.4
24.5 Każde niewywiązanie się przez MM z wykonania lub egzekwowania któregokolwiek z uprawnień wynikających z niniejszej Umowy nie będzie uważane za zrzeczenie się tego prawa; w związku z tym wyraźnie zastrzega się prawo do wykonania lub egzekwowania tego uprawnienia w późniejszym terminie.
25. Kodeks postępowania
25.1 Dostawca zobowiązuje się do przestrzegania Kodeksu postępowania MM, który jest dostępny pod adresem xxxxx://xxx.XX.xxx/xxxxxxxxx/xxxx_xxxxxx/Xxxxx_Xxxxxxx_ MMAG/downloads/Code_of_Conduct_e.pdf.
25.2 Zabrania się przekazywania jakiegokolwiek rodzaju prezentów lub gratyfikacji pracownikom MM.
26. Ochrona danych i ich bezpieczeństwo
26.1 Dostawca wykona umowę zgodnie ze wszystkimi obowiązującymi wymogami w zakresie ochrony danych. Dostawca zapewni ponadto, że jego pracownicy i ewentualni podwykonawcy zobowiążą się do przestrzegania odpowiednich wymogów w zakresie ochrony danych. MM nie ponosi odpowiedzialności za nieprzestrzeganie przez dostawcę odpowiednich wymogów w zakresie ochrony danych.
26.2 Dostawca zapewnia i ponosi odpowiedzialność, za to że dane osobowe, dla których dostawca jest uznawany za administratora zgodnie z art. 4(7) Rozporządzenia o Ochronie Danych Osobowych (RODO) mogą być zgodnie z prawem przekazywane MM oraz że nie ma powodu, aby sądzić, że takie przetwarzanie przez MM w przewidywalnym zakresie i w przewidywalnych celach jest zabronione. Dostawca zapewni, że osoby, których dane dotyczą, zostaną poinformowane o działaniach związanych z przetwarzaniem tych danych przez MM w zakresie wymaganym przez prawo.
26.3 W przypadku, gdy dostawca będzie przetwarzać dane osobowe MM w jej imieniu, strony zawrą umowę powierzenia przetwarzania danych.
26.4 Dostawca przestrzega wszystkich zasad ochrony danych i gwarantuje poufność, integralność, bezpieczeństwo i dokładność wszystkich danych osobowych otrzymanych od MM i przetwarzanych przez dostawcę w związku z realizacją umowy.
ZAŁĄCZNIK 1
Wymagania MM w zakresie bezpieczeństwa wobec dostawców Grupy MM
Bezpieczeństwo dostaw i bezpieczne usługi to kluczowe elementy strategii korporacyjnej Grupy MM (MM Karton Aktiengesellschaft i jej podmiotów powiązanych; te podmioty powiązane – zwane dalej „MM” lub „my” – są dostępne pod adresem xxx.xx.xxxxx/en/legal- entities/). Zależy nam na ochronie danych, systemów i aplikacji za pomocą środków bezpieczeństwa zgodnych z wiodącymi standardami branżowymi, zgodnie z oczekiwaniami wobec jednej z wiodących austriackich grup w sektorach produkcyjnych. Zarządzanie relacja mi z dostawcami w odniesieniu do bezpieczeństwa jest ważną częścią naszego wewnętrznego zarządzania ryzykiem oraz powszechną praktyką zgodnie ze znormalizowanymi normami międzynarodowymi (np. seria ISO 27000, ramy cyberbezpieczeństwa NIST).
Oferent, Podmiot przetwarzający, Wykonawca lub Kontrahent MM (zwany dalej „Dostawcą”) oświadcza i gwarantuje, że wypełnił wszystkie niezbędne obowiązki w zakresie należytej staranności, zapoznał się z niniejszymi Wymogami bezpieczeństwa i przyjmuje je do wiadomości oraz zgadza się ich przestrzegać, podczas:
- uzyskiwania dostępu do obiektów, sieci i/lub systemów informatycznych MM; lub
- uzyskiwania dostępu, przetwarzania lub przechowywania informacji/danych MM; lub
- dostarczania usług infrastruktury IT i/lub znormalizowanego oprogramowania lub tworzenia oprogramowania.
Wszelkie odniesienia do „Klienta” w niniejszym dokumencie stanowią odniesienie nie tylko do danych MM (lub systemów, usług itp.), ale również do danych Klientów i Partnerów MM. Dodatkowe wymagania dotyczące bezpieczeństwa mogą być określone w poszczególnych umowach (np.: Umowa o gwarantowanym poziomie świadczenia usług, katalog wymagań). Niniejsze wymogi bezpieczeństwa uzupełniają postanowienia dotyczące poufności i bezpieczeństwa zawarte w Ogólnych Warunkach Zakupu Grupy MM. Indywidualne umowy pomiędzy Dostawcą a Klientem, które zastępują lub uzupełniają niniejszą Umowę w całości lub w części, będą miały pierwszeństwo względem niniejszej Umowy. Ogólne warunki itp. dostawcy nie będą jednak miały pierwszeństwa względem niniejszej Umowy.
1 Zarządzanie
1.1 Wytyczne
Dostawca stosuje system zarządzania bezpieczeństwem informacji, który podlega procesowi ciągłego doskonalenia w oparciu o uznane standardy.
Zasady, procedury, role, obowiązki i odpowiedzialność w zakresie bezpieczeństwa informacji są określone zgodnie z wymaganiami biznesowymi dostawcy, odpowiednimi przepisami prawa, regulacjami i powszechnymi standardami bezpieczeństwa. Zasady bezpieczeństwa informacji są zatwierdzane przez kierownictwo, publikowane i przekazywane pracownikom i odpowiednim podmiotom zewnętrznym.
Dostawca zgadza się regularnie weryfikować swoją zgodność z ustanowionymi politykami i standardami bezpieczeństwa informacji oraz wszystkimi innymi wymogami dotyczącymi bezpieczeństwa informacji.
1.2 Zarządzanie ryzykiem
Dostawca wdrożył program zarządzania ryzykiem w zakresie bezpieczeństwa informacji. Dostawca zapewnia, że dokonuje oceny ryzyka, które ma bezpośredni lub pośredni wpływ na usługi i/lub dane Klienta, oraz że stosuje i dokumentuje środki ograniczające ryzyko. Ry zyko mające bezpośredni lub pośredni wpływ na Klienta musi być zgłoszone na jego żądanie.
1.3 Klasyfikacja informacji
Ponieważ nie wszystkie informacje mają taki sam poziom wrażliwości, muszą być klasyfikowane według stopnia poufności. Klasy poufności można postrzegać jako miarę wpływu, jaki może mieć niewłaściwe wykorzystanie informacji. Jeśli Klient przekaże Dostawcy informacje, należy je sklasyfikować w następujący sposób. Klasyfikacja obejmuje 4 klasy (publiczne, wewnętrzne, poufne i ściśle poufne), które regulują sposób postępowania z informacjami.
- publiczne: Informacje, które są publicznie dostępne i których publikacja nie ma negatywnego wpływu na działania, aktywa lub wizerunek Klienta.
- wewnętrzne: Informacje wykorzystywane w ramach Klienta przez personel wewnętrzny lub upoważniony, których przekazanie na zewnątrz mogłoby mieć niewielki szkodliwy wpływ na działania, aktywa lub wizerunek Klienta.
- poufne: informacje, które są znane tylko ograniczonej liczbie osób, a w przypadku ich ujawnienia mogłyby mieć szkodliwy wpływ na działania handlowe, aktywa lub wizerunek Klienta; wrażliwe dane osobowe traktowane jako informacje poufne
- ściśle poufne: Kluczowe dla działalności Informacje, które mogą poważnie zaszkodzić działaniom, aktywom lub wizerunkowi Klienta, jeśli zostaną ujawnione w niewłaściwy sposób; między innymi, prototypy, receptury, procesy produkcyjne są traktowane jako ściśle poufne.
1.4 Umowy kontraktowe
Dostawca zgadza się uwzględnić odpowiedzialność za bezpieczeństwo informacji w umowach kontraktowych ze swoimi pracownikami i Wykonawcami.
1.5 Wywiad środowiskowy
Wywiad środowiskowy na temat kandydatów do zatrudnienia odbywa się zgodnie z obowiązującymi przepisami prawa i regulacjami Za kres takich kontroli kandydata musi być proporcjonalny do ryzyka związanego z rolą kandydata. Przykład: W Austrii zaświadczenie o niekaralności lub podobne mechanizmy weryfikacji w innych krajach (wyciąg z rejestru karnego).
1.6 Program podnoszenia świadomości
Wszyscy pracownicy Xxxxxxxx oraz, w stosownych przypadkach, Wykonawcy, podlegają działaniom podnoszącym świadomość i szkoleniom stosownym do pełnionej przez nich roli. Ponadto pracownicy będą informowani o aktualizacjach polityk i procedur Dostawcy. Wszyscy pracownicy muszą posiadać umiejętności niezbędne do pełnienia powierzonych im ról i obowiązków.
2 Zarządzanie zmianami
2.1 Cykl życia zasobów
Dostawca zapewnia, że bezpieczeństwo informacji stanowi integralną część systemów informatycznych przez cały cykl ich życia ( od nabycia do wycofania z eksploatacji i utylizacji sprzętu i systemów). Dostawca zapewnia, że dostarczone k omponenty i ich systemy operacyjne, oprogramowanie pośredniczące (np. Java) i aplikacje są obsługiwane i otrzymują najnowsze aktualizacje zabezpieczeń. Dostawca zapewnia regularne aktualizacje zabezpieczeń dokonywane w odpowiednim czasie przez cały okres obowiązywania umowy.
Po zakończeniu stosunku umownego Dostawca zapewnia zwrot Klientowi dostarczonych mu komponentów (np. urządzeń, mediów).
2.2 Zarządzanie zmianami w oprogramowaniu
Dostawca wdrożył formalne zasady dotyczące zarządzania zmianami i bezpiecznego cyklu rozwoju oprogramowania, które określają również kontrole związane z bezpieczeństwem. Częścią tych procesów muszą być przeglądy cyberbezpieczeństwa nowych projektów systemów lub zmian w systemach, a także testy bezpieczeństwa poprzedzające ich wdrażanie. Przed wprowadzeniem do produkcji wymagane jest odpowiednie żądanie, autoryzacja, testy i zatwierdzenie zmian.
2.3 Bezpieczny cykl rozwoju oprogramowania
Dostawca uwzględnia aspekty bezpieczeństwa informacji w dokumentacji swojego produktu. Dokumentacja musi zawierać instrukcje dotyczące konfiguracji usługi i/lub środowiska w celu zagwarantowania bezpieczeństwa działania. Opracowane oprogramowanie musi być testowane w kontrolowanym środowisku w celu wykrycia wad przed jego udostępnieniem Klientowi.
Dostawca zapewnia, że cykl życia rozwoju oprogramowania zawiera odpowiednie środki bezpieczeństwa (Bezpieczny cykl rozwoju oprogramowania). Środki te obejmują między innymi
- stosowanie uznanych na całym świecie metod bezpiecznego tworzenia oprogramowania (w tym procesów zwinnych, takich jak Scrum, Kanban itp.) jako integralnych elementów procesu bezpiecznego tworzenia oprogramowania;
- wytyczne dotyczące bezpiecznego kodowania oparte na międzynarodowych standardach;
- zapewnienie integralności kodu źródłowego;
- regularne przeglądy bezpiecznego kodu (statyczne i dynamiczne testy bezpieczeństwa aplikacji);
- skanowanie pod kątem luk w zabezpieczeniach, które obejmuje kod stron trzecich i używane komponenty open source (np. biblioteki);
- testy bezpieczeństwa i testy penetracyjne przeprowadzane przez niezależną stronę trzecią;
- odpowiednie szkolenia dla wewnętrznych i zewnętrznych twórców oprogramowania.
- Wykryte i znane luki w zabezpieczeniach są eliminowane przed wydaniem do produkcji.
3 Outsourcing (zlecenie wykonania podmiotowi zewnętrznemu)
3.1 Podoutsourcing
Dostawca posiada jasne umowy kontraktowe ze wszystkimi podwykonawcami usług w celu ustalenia ich odpowiedzialności za bezpieczeństwo danych Klienta, które przetwarzają/przechowują/przekazują w imieniu Xxxxxxx. Dostawca zapewnia, że środki bezpieczeństwa wdrażane przez podwykonawców są zgodne z poziomem określonym w niniejszej umowie i w umowie głównej lub go przewyższają. Dostawca, w ramach procesu zarządzania dostawcami, weryfikuje skuteczność tych środków.
4 Bezpieczne działanie systemu
4.1 Zarządzanie tożsamością i dostępem
Dostawca wdraża mechanizmy kontroli dostępu w celu weryfikacji tożsamości i ograniczenia dostępu do autoryzowanych użytkownik ów. Prawa dostępu opierają się na zasadzie minimalnego dostępu i konieczności dostępu wynikającego z pełnionej funkcji. Ponadto przestrzegana jest zasada „podziału obowiązków”.
Dostawca wdrożył najlepsze mechanizmy uwierzytelniania w celu ochrony dostępu do systemu, x.xx:
- politykę haseł (minimum 14 znaków, skomplikowanie, nieużywanie jednego hasła wiele razy);
- unikalną identyfikację użytkownika (unikanie użytkowników ogólnych i wspólnych);
- bezpieczne przechowywanie/zarządzanie/przekazywanie danych logowania.
Dostawca zapewnia ochronę kont, do których można uzyskać dostęp przez Internet, za pomocą silnych mechanizmów uwierzytelniania, co najmniej uwierzytelniania wieloskładnikowego.
Dostawca wdrożył ścisłą kontrolę kont uprzywilejowanych (np. kont dla administratorów systemu) poprzez rygorystyczne wymagania dotyczące uwierzytelniania (np. uwierzytelnianie wieloskładnikowe), ograniczenie do minimum i ścisłe monitorowanie użytkowania.
Dostawca regularnie (co najmniej raz w roku) dokonuje przeglądu praw dostępu pracowników i w razie potrzeby modyfikuje je (tj. ogranicza/odbiera). Dostawca informuje Klienta o zakończeniu/wygaśnięciu zatrudnienia pracowników posiadających prawa dostępu. Wszystkie środki dostępu (np. klucze, karty dostępu, tokeny zdalnego dostępu) należy niezwłocznie zwrócić Klientowi.
4.2 Zarządzanie poprawkami
Dostawca przeprowadza regularne analizy systemów (systemów operacyjnych, aplikacji, komponentów sieciowych) pod kątem znanych luk w zabezpieczeniach. Poprawki są stosowane w spójny i znormalizowany sposób, z zachowaniem priorytetu zgodnie z poziomem ich istotności. Jeśli źródło luk w zabezpieczeniach nie może zostać usunięte w stosownym czasie, należy podjąć alternatywne środki ograniczające ryzyko do czasu jego usunięcia. Dostawca wdrożył proces zmian awaryjnych.
4.3 Bezpieczeństwo sieci
Dostawca wdrożył i stosuje elementy infrastruktury bezpieczeństwa sieci, takie jak zapory ogniowe, systemy wykrywania/ zapobiegania włamaniom (IDS/IPS) lub inne mechanizmy kontroli bezpieczeństwa, które umożliwiają usuwanie zabezpieczeń, ciągłe monitorowanie i ograniczanie ruchu sieciowego w celu ograniczenia skutków ataku. W przypadku systemów stwarzających wyższe ryzyko (np. systemy dostępu z sieci zewnętrznych) należy wprowadzić bardziej rygorystyczne środki.
Dostawca zapewnia wdrażanie formalnej polityki zdalnego dostępu.
Zdalny dostęp Dostawcy do sieci i systemów Klienta podlega warunkom i specyfikacjom bezpieczeństwa przekazanym w tym celu przez Klienta i jest uzależniony od zawarcia odrębnej umowy zdalnego dostępu.
Dostawca gwarantuje zgodne ze standardami branżowymi segregowanie i segmentowanie środowisk, jeżeli:
- środowiska są współdzielone z innymi Klientami; i/lub
- Dostawca tworzy środowiska testowe, jakościowe i produkcyjne.
4.4 Szyfrowanie
Dostawca zapewnia odpowiednią ochronę poufności danych. Dostawca musi również wziąć pod uwagę szczególne środki dotyczące danych w tranzycie oraz w pamięci lotnej i nieulotnej, takie jak wykorzystanie technologii szyfrowania w połączeniu z odpowiednią architekturą zarządzania kluczami. Szyfrowanie jest zgodne z wiodącymi standardami i wytycznymi lub ich odpowiednikami (np. Amerykański Narodowy Instytut Standardów i Technologii – NIST).
Dostawca chroni urządzenia mobilne i zewnętrzne media elektroniczne (np. pamięci USB, przenośne dyski twarde, taśmy) przed nieautoryzowanym dostępem za pomocą odpowiednich fizycznych i logicznych środków bezpieczeństwa. Należy zapewnić szyfrowanie danych przechowywanych na takich urządzeniach.
4.5 Ochrona przed złośliwym oprogramowaniem
Dostawca stosuje odpowiednie i stale aktualizowane narzędzia blokujące w celu ochrony serwerów i urządzeń końcowych przed złośliwym oprogramowaniem. Oprogramowanie musi być w stanie wykryć, czy oprogramowanie antywirusowe/chroniące przed złośliwym oprogramowaniem na urządzeniach zostało wyłączone lub nie jest regularnie aktualizowane.
4.6 Przegląd i monitorowanie bezpieczeństwa
Dostawca wdrożył odpowiednie środki bezpieczeństwa (w szczególności w odniesieniu do zagrożeń cybernetycznych) dla danych, aplikacji i systemów. Dostawca wdrożył odpowiednie środki bezpieczeństwa (w szczególności w odniesieniu do zagrożeń cybernetycznych) dla danych, aplikacji i systemów. Dostawca regularnie dokonuje oceny skuteczności środków bezpieczeństwa w odniesieniu do znanych cyberza grożeń i oszustw, a także odpowiednich modeli (np. w oparciu o aktualne katalogi zagrożeń publikowane przez Amerykański Narodowy Instytut Standardów i Technologii [NIST] i Federalny Urząd ds. Bezpieczeństwa Informacji [BSI]).
Dostawca planuje i przeprowadza oceny luk w zabezpieczeniach i testy penetracyjne w regularnych odstępach czasu względem wszystkich systemów wykorzystywanych do świadczenia usług na rzecz Klienta. W przypadku tych systemów testy penetracyjne muszą być przeprowadzane:
- co najmniej raz w roku;
- za każdym razem, gdy ma miejsce wydanie nowej wersji/aktualizacja aplikacji/oprogramowania/usług informatycznych;
- wyłącznie przez wystarczająco kompetentnych, wykwalifikowanych i doświadczonych testerów, którzy nie byli zaangażowani w opracowywanie środków bezpieczeństwa.
Wszelkie wykryte luki w zabezpieczeniach i uzyskane wyniki muszą być zarządzane w odpowiedni sposób: analiza, klasyfikacja i środki zaradcze. Działania naprawcze muszą zostać wdrożone zgodnie z poziomem ich niezbędności bezpośrednio po wykryciu zagrożenia. Na żądanie Dostawca dostarcza podsumowanie oceny luk w zabezpieczeniach i/lub raporty z wyników testów penetracyjnych.
Dostawca zapewnia, że problemy z bezpieczeństwem zgłoszone przez Klienta zostaną rozwiązane w rozsądnym terminie.
Klient zastrzega sobie prawo do żądania pisemnego dowodu zastosowania środków bezpieczeństwa zgodnie z ust. 11 (1) (2) w związku z Załącznikiem 1 do NISV. Akceptowane będą dowody oparte na następujących standardach:
- ÖISHB: Współpraca z podmiotami zewnętrznymi, ocena certyfikatów, relacje z dostawcami
- ISO/IEC 27001: Bezpieczeństwo informacji w relacjach z dostawcami
- IEC 62443 2-1: Bezpieczeństwo łańcucha dostaw
- CIS CSC v8.0: Zarządzanie dostawcami usług
- Ocena ryzyka cybernetycznego KSÖ: Wymagania dla oceny A lub B
Klient zastrzega sobie prawo do przeprowadzania ocen i przeglądów bezpieczeństwa w celu weryfikacji zgodności z wymaganiami określonymi w niniejszym dokumencie. Klient zgadza się powiadomić Dostawcę z wyprzedzeniem i zapewnia, że audyt zostanie przeprowadzony w regularnych godzinach pracy przy minimalnym wpływie na działalność Dostawcy. Na żądanie Xxxxxxxx potwierdzi na piśmie zgodność z wymogami określonymi w niniejszym dokumencie i odpowie na piśmie na wszelkie pytania Klienta dotyczące procedur bezpieczeństwa.
4.7 Utwardzanie systemów
Dostawca konfiguruje i wdraża swoje zasoby IT (np. bazy danych, aplikacje, systemy operacyjne, urządzenia sieciowe) przy użyciu bezpiecznego punktu wyjściowego (utwardzanie). Bezpieczny punkt wyjściowy musi być zgodny z najlepszymi praktykami (np. standardami CIS) lub równoważnymi. Konfiguracje zasobów IT muszą być regularnie sprawdzane i aktualizowane.
5 Działanie
5.1 Zarządzanie danymi
Dostawca zapewnia podjęcie środków zapobiegających utracie i wyciekowi danych.
Dostawca nie może powielać danych produkcyjnych Klienta ani wykorzystywać ich w środowiskach nieprodukcyjnych. Jakiekolwiek wykorzystanie danych Klienta w środowiskach nieprodukcyjnych jest uzależnione od wyraźnej i udokumentowanej zgody Klienta.
Dostawca zapewnia, że po zakończeniu stosunku umownego, na żądanie, informacje (fizyczne, cyfrowe) zostaną bezpiecznie usunięte lub że zostaną zwrócone nośniki informacji.
5.2 Kopie zapasowe i odzyskiwanie danych
Dostawca gwarantuje, że istnieją koncepcje tworzenia kopii zapasowych i przechowywania danych dla poszczególnych platform/komponentów, za które jest odpowiedzialny. Przeprowadzane są kontrole okresów przechowywania oraz testy tworzenia kopii zapasowych i odzyskiwania danych. Koncepcje tworzenia kopii zapasowych i procedury odzyskiwania danych mają charakter zapewniający ustalone poziomy dostępności.
5.3 Logowanie i monitorowanie
Xxxxxxxx podjął odpowiednie środki w celu zapewnienia transparentności i możliwości śledzenia wszystkich wykonywanych działań. Rejestry muszą być wystarczająco szczegółowe, aby pomóc w identyfikacji źródła problemu (związanego z bezpieczeństwem) i umożliwić odtworzenie sekwencji zdarzeń. Jeśli Klient ma uzasadnione powody, należy udostępnić mu rejestry. Rejestry muszą zawierać próby dostępu, informacje o zdarzeniach związanych z bezpieczeństwem systemu i sieci, alerty, awarie i błędy. Należy zagwarantować integralność plików rejestru. Dostęp do plików rejestru musi być ograniczony.
5.4 Zarządzanie incydentami i raportowanie
Dostawca musi mieć wdrożone udokumentowane procedury dotyczące incydentów związanych z bezpieczeństwem informacji umożliwiające skuteczne i uporządkowane zarządzanie takimi incydentami. Procedury muszą obejmować zgłaszanie, analizę, monitorowanie, rozwiązywanie i dokumentowanie incydentów związanych z bezpieczeństwem, a także procesy reagowania i odzyskiwania danych po wystąpieniu incydentu związanego z bezpieczeństwem.
Dostawca zobowiązuje się powiadomić Klienta niezwłocznie po uzyskaniu informacji o jakimkolwiek incydencie bezpośrednio lub pośrednio związanym z usługami i danymi Klienta za pośrednictwem poczty elektronicznej, wysyłając wiadomość na adres supplier - xxxxxxxx@xx.xxxxx, oraz przekazać wszelkie znane mu informacje, aby pomóc Klientowi w wypełnieniu jego zobowiązań. Dostawca przekaże takie informacje stopniowo, w miarę ich pozyskiwania. Po weryfikacji incydentu związanego z bezpieczeństwem usług lub danych Klienta, Dostawca:
i. zobowiązuje się dodatkowo powiadomić jednostki biznesowe Klienta na piśmie;
ii. zobowiązuje się, że zawiadomienie będzie zawierać co najmniej następujące informacje; jeśli początkowo nie wszystkie informacje są dostępne, Dostawca powinien podać szczegóły – w przypadku spraw o kluczowym znaczeniu z punktu widzenia czasu lub bezpośredniego zagrożenia tak szybko, jak to możliwe – poprzez wysyłanie serii zawiadomień:
- Dane kontaktowe osoby odpowiedzialnej za incydent po stronie Dostawcy – Co się wydarzyło?
- Jak doszło do incydentu?
- Dlaczego doszło do incydentu?
- Elementy/systemy/aktywa, na które miał wpływ incydent
- Usługi/dane Klienta, na które miał wpływ incydent
- Data i godzina wystąpienia incydentu
- Data i godzina wykrycia incydentu
- Wpływ na działalność / wpływ na usługi/dane Klienta
- Sposób rozwiązania incydentu
- Środki podjęte w celu rozwiązania incydentu
- Środki planowane w celu rozwiązania incydentu
iii. dokłada wszelkich starań, aby wykrywać takie incydenty i im zapobiegać;
iv. na bieżąco informuje Klienta o środkach podjętych/planowanych do podjęcia przez Xxxxxxxx;
v. uzyskuje uprzednią pisemną zgodę Klienta zgodnie z obowiązującym prawem w związku z wszelkimi powiadomieniami lub informacjami publicznymi dotyczącymi takiego naruszenia; oraz
vi. koordynuje wszelkie dalsze działania z Klientem.
vii. Wymóg raportowania dotyczy również podwykonawców.
6 Bezpieczeństwo fizyczne
6.1 Dostęp fizyczny
Pomieszczenia Dostawcy zostały podzielone na różne strefy ochrony odpowiadające środkom bezpieczeństwa i prawom dostępu spełniającym odpowiednie wymogi bezpieczeństwa.
Fizyczny dostęp do systemów IT, takich jak serwery, jest dodatkowo ograniczony specjalnymi strefami ochronnymi, do k tórych dostęp ma wyłącznie upoważniony personel.
7 Zarządzanie ciągłością działania
7.1 BCM
Dostawca wdrożył aktualne i na bieżąco utrzymywane plany odzyskiwania danych po awarii i plany ciągłości działania. Plany odz yskiwania danych po awarii i plany ciągłości działania muszą być opracowane w taki sposób, aby w jak największym stopniu zapobiegać wszelkim negatywnym skutkom nieplanowanych przerw i umożliwiać Dostawcy, również w przypadku przerw, kontynuowanie działalności i świadczenie usług zgodnie z umową z Klientem. Na żądanie Xxxxxxxx dostarcza Klientowi pisemne podsumowanie swoich planów odzyskiwania danych po awarii i planów ciągłości działania.
Co najmniej raz w roku Dostawca przeprowadza odpowiednie testy własnych planów ciągłości działania i odzyskiwania danych po awarii. Wyniki testów istotnych z punktu widzenia świadczenia usług są udostępniane Klientowi na żądanie, nie później niż po przeprowadzeniu takich testów.
Dostawca zapewnił, że zakres planów ciągłości działania i odzyskiwania danych po awarii obejmuje wszystkie lokalizacje, pracowników i systemy informatyczne wykorzystywane do świadczenia usług na rzecz Klienta.