Pogoji kibernetske varnosti Healthcare

Pogoji kibernetske varnosti Healthcare

Velja od 1. februarja 2019

1 Obseg in definicije

1.1 Obseg pogojev

Pogoji veljajo med stranko in pogodbenim subjektom Siemens Healthineers (v nadaljevanju: Siemens Healthineers). Kjer je potrebno, ti pogoji dopolnjujejo Splošne pogoje dobave in dostave in v primeru kolizije prevladajo.

1.2 Opredelitev pojmov

»Proizvod(i)« pomeni proizvode in rešitve, sestavljene iz strojne in/ali programske opreme, ki se prodaja, licencira ali jo stranki sicer zagotavlja Siemens Healthineers ne glede na to, ali jo je proizvedel Siemens Healthineers ali tretja oseba. Pri tem velja, da razpoložljivost proizvodov ne obsega spodbujanja posameznih poslov med stranko in tretjo osebo, npr. posredovanja aplikacij tretje osebe v digitalnih ekosistemih ali na drugih platformah Siemens Healthineers.

»SRS« pomeni »pametne storitve na daljavo« (Smart Remote Services), tj. spletno povezavo med Siemens Healthineers in ustreznim spletnim mestom stranke za distribucijo programskih posodobitev in popravkov na daljavo.

»IT-varnost« pomeni zaščito neprekinjenega delovanja proizvodov pred motnjami zaradi zlorabljenih ranljivosti ter zaščito dostopnosti, zaupnosti in neokrnjenosti podatkov in informacij.

»Kibernetska grožnja« pomeni vse okoliščine ali dogodke z morebitnimi škodljivimi posledicami za proizvod zaradi nepooblaščenega dostopa, uničenja, razkritja, spreminjanja informacij in/ali ohromitve storitve.

»Ranljivost« pomeni šibko točko proizvoda, ki se lahko izkoristi za kibernetsko grožnjo.

»Nepomembno« pomeni kategorizacijo ranljivosti, katere zlorabe ob upoštevanju lastnosti posameznih proizvodov in/ali z njimi povezanih operacijskih sistemov ni utemeljeno pričakovati in/ali ne bi povzročila predvidljivega zmanjšanja varnega delovanja proizvoda.

»Programski popravek« pomeni posodobitev programske opreme s popravkom ranljivosti.

»EoS« pomeni »konec podpore« (End of Support), tj. datum, ki ga Siemens Healthineers sporoči stranki, po katerem nadomestni deli in druge storitve, povezane z proizvodom, niso več na voljo, oziroma tako sporočen datum, po

katerem se podpora za komponente programske opreme za proizvod konča.

1.3 Predmet

Pogoji so namenjeni zagotovitvi enakopravnosti med dolžnostmi sodelovanja stranke in dolžnostmi podjetja Siemens Healthineers glede ustreznega obvladovanja kibernetskih groženj.

2 Ponudba storitev Siemens Healthineers do konca podpore (EoS)

2.1 Če z veljavno zakonodajo ni določeno drugače, veljajo naslednje določbe:

2.1.1 Če je zagotavljanje programskih popravkov pisno dogovorjeno, Siemens Healthineers le-te zagotovi, kot je določeno v nadaljevanju, za dogovorjeno časovno obdobje oziroma do konca podpore (EoS) ali do deset let po dobavi proizvoda, kar nastopi prej, pod naslednjimi pogoji:

(i) Siemens Healthineers izve za ranljivost, ki je ne uvršča med nepomembne ranljivosti;

(ii) različica strankinega proizvoda je v trenutku, določenem v poglavju 3.4 v nadaljevanju, najnovejša ali vsaj predzadnja;

(iii) v primeru programske opreme tretje osebe mora tretja oseba, ki programsko opremo zagotavlja, izdati ustrezen programski popravek podjetju Siemens Healthineers. Siemens Healthineers ni dolžan zagotoviti, da tretja oseba, ki zagotavlja programsko opremo, izda ali tudi v prihodnje izdaja programske popravke.

2.1.2 V primeru programske opreme tretjih oseb Siemens Healthineers skladno s poglavjem

2.1.1 zagotavlja programske popravke v razumnem roku, ki mu omogoča potrebno testiranje in preverjanje, potem ko mu dajalci licenc omogočijo dostop do programskih popravkov. Glede na resnost ranljivosti se lahko Siemens Healthineers odloči programski popravek zagotoviti hkrati in v sklopu rednih posodobitev.

2.1.3 Če proizvod omogoča SRS in stranka omogoči distribucijo programskih popravkov na daljavo prek SRS ali če so programski popravki na voljo za prenos prek omrežja LifeNet1 in ima stranka račun LifeNet, potem je namestitev brezplačna. Če mora programski popravek namestiti podjetje Siemens Healthineers na lokaciji sistema, lahko podjetje Siemens Healthineers stranki zaračuna stroške, ki nastanejo s takšno namestitvijo.

2.2 Po pogodbi o vzdrževanju

2.2.1 Za proizvode, za katere velja pogodba o vzdrževanju, veljajo ustrezna poglavja od 2.1.1 do 2.1.2.

2.2.2 V primeru kolizije prevladajo pogoji pogodbe o vzdrževanju, vendar nameščanje programskih popravkov s strani podjetja Siemens Healthineers ni vključeno v pogodbo, če ni izrecno pisno navedeno.

3 Strankina dolžnost sodelovanja

3.1 Zaradi zaščite proizvodov pred kibernetskimi grožnjami mora stranka obvezno vzpostaviti – in redno vzdrževati – celosten in najsodobnejši varnostni koncept za zaščito svoje informacijske infrastrukture, vključno z rednim iskanjem ranljivosti, pri čemer velja naslednje:

(i) skeniranje ali testiranje se ne izvaja med klinično uporabo;

(ii) konfiguracije sistema in/ali nastavitev informacijske varnosti proizvoda ni dovoljeno spreminjati;

(iii) če stranka med prevzemom proizvoda ugotovi njegove ranljivosti, se uskladi s podjetjem Siemens Healthineers glede njihove resnosti, pri čemer se upoštevajo lastnosti posameznih proizvodov in predvideno okolje njihovega delovanja. Stranka ne zavrne sprejema proizvoda, če Siemens Healthineers tovrstno ranljivost uvršča med nepomembne ranljivosti.

3.2 Stranka je dolžna preprečiti nepooblaščen dostop do proizvodov, med drugim s spreminjanjem gesel in z drugih zaščitnih nastavitev s privzetih na individualno nastavljene. Proizvodi se lahko priključijo na poslovno omrežje v podjetju ali na svetovni splet, če in kolikor tovrstno priključitev odobri Siemens Healthineers v navodilih za uporabo ter samo ob sprejetih ustreznih varnostnih ukrepih (npr. požarni zidovi, avtentikacija omrežnih odjemalcev in/ali omrežna segmentacija).

3.3 Podatkovni nosilci USB in druge odstranljive podatkovne naprave se lahko priključijo na proizvode, samo in kolikor to odobri Siemens Healthineers v navodilih za uporabo in samo, če je tveganje okužbe proizvoda z zlonamerno programsko opremo omejeno z uporabo iskalnikov zlonamerne programske opreme ali z drugimi ustreznimi sredstvi.

3.4 Proizvodi se vseskozi razvijajo z namenom nadaljnje izboljšave informacijske varnosti. Siemens Healthineers močno priporoča namestitev posodobitev proizvodov takoj, ko so na voljo, in uporabo najnovejših različic proizvoda. Slednje lahko obsega nakup nadgradenj strojne in programske opreme s strani stranke. Če stranka uporablja različice proizvoda, za katere ni več podpore, in ne namesti najnovejših posodobitev/nadgradenj, je izpostavljena kibernetskim grožnjam.

3.5 Stranka nemudoma obvesti podjetje Siemens Healthineers v primeru suma ali dejanskih incidentov kibernetske varnosti oziroma ranljivosti proizvoda. Razkritje tovrstnih informacij tretjim osebam je dovoljeno ob predhodnem soglasju podjetja Siemens Healthineers.

3.6 Če stranka proizvod proda, podjetju Siemens Healthineers pisno sporoči ime in naslov novega lastnika ter na slednjega prenese enako dolžnost obveščanja v primeru nadaljnje preprodaje.

3.7 Če Siemens Healthineers programske popravke zagotovi prek SRS ali s prenosom iz omrežja LifeNet, mora stranka vedno namestiti programske popravke v roku, določenem s posameznimi navodili za namestitev, ki jih izda Siemens Healthineers. Sicer stranka dovoli namestitev programskih popravkov skladno z drugim stavkom poglavja 2.1.3 ne glede na to, ali je programski popravek na voljo na podlagi pogodbe, zakona ali prostovoljno.

3.8 Za dostop do omrežja LifeNet in programskih popravkov, ki so na voljo za prenos, se mora stranka registrirati in ohranjati registracijo v omrežju LifeNet v obdobju uporabe proizvoda.

4 Odgovornost

4.1 Če ni drugače pisno dogovorjeno, so s tem izključene vse pravice stranke zahtevati odškodnino za škodo, ki nastane zaradi kibernetskih groženj ali v povezavi z njimi, med drugim izguba podatkov, nedelovanje opreme, motnje poslovanja, izguba dobička, stroški ponastavitve proizvoda in/ali rekonstrukcije podatkov, ne glede na pravno osnovo, vendar zlasti kot posledica nalog po pogodbi ali kot posledica morebitnih kaznivih dejanj. Siemens Healthineers zlasti ne prevzema materialne odgovornosti za škodo, ki nastane zaradi:

(i) strankinega nenapovedanega testiranja informacijske varnosti;

(ii) nepooblaščenega spreminjanja konfiguracije sistema ali nastavitev informacijske varnosti proizvoda;

(iii) nameščanja programskih popravkov, ki jih podjetje Siemens Healthineers ni odobrilo; ali

(iv) strankine zakasnitve samodejne namestitve programskih popravkov, ki jih Siemens Healthineers da na voljo prek SRS ali kot prenos z omrežja LifeNet.

4.2 To ne velja, če se odgovornost ugotovi na podlagi naslednjega:

(i) naklep;

(ii) malomarnost s strani lastnikov, pravnih zastopnikov ali poslovodstva;

(iii) goljufija;

(iv) nespoštovanje danega jamstva;

(v) smrt ali telesne poškodbe oziroma škoda zdravju zaradi malomarnosti;

s strani podjetja Siemens Healthineers ali

(vi) skladno z veljavnim zakonom o odgovornosti proizvajalca.

4.3 Vendar so odškodninski zahtevki za škodo, ki izhaja iz kršitev bistvenih pogodbenih pogojev, omejeni na predvidljivo škodo, ki je bistvena za pogodbo, razen v zgoraj navedenih primerih.

4.4 Zgornje določbe ne pomenijo sprememb glede dokaznega bremena v škodo stranke.

5 Izključno pravno sredstvo

5.1 Zgoraj navedene dolžnosti podjetja Siemens Healthineers, kot so določene v poglavjih 2 in 4, so izključno pravno sredstvo namesto vseh ostalih pravic in pravnih sredstev, ki jih ima stranka v zvezi s kibernetskimi grožnjami in škodo, nastalo zaradi njih, po pogodbi, zakonu ali drugače.

5.2 Vendar je podjetje Siemens Healthineers na zahtevo pripravljeno zagotoviti pomoč pri ponastavitvi proizvoda proti plačilu stroškov in razumnega dobička.

6 Posodabljanje Pogojev uporabe in varnostnega koncepta informacijske tehnologije

6.1 Siemens Healthineers si pridržuje pravico do spremembe teh pogojev kibernetske varnosti zaradi tehničnega napredka, sprememb zakonodaje, razvoja ponudbe Siemens Healthineers in drugih nepredvidenih okoliščin.

6.2 Tovrstne spremembe ne smejo nerazumno diskriminirati stranke.

6.3 Siemens Healthineers o spremembah stranko obvesti pisno v razumnem predhodnem roku vsaj 28 koledarskih dni, pri čemer navede, da se spremembe štejejo za sprejete, če jim stranka v omenjenem roku ne ugovarja. Ob poteku roka začnejo spremembe veljati, če jim stranka pred potekom roka ni ugovarjala.