KYBERNETICKÁ BEZPEČNOST Vzorová ustanovení
KYBERNETICKÁ BEZPEČNOST. Poskytovatel se při plnění zavazuje dodržovat zásady bezpečnosti informací v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „Zákon o kybernetické bezpečnosti“), a vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „Vyhláška o kybernetické bezpečnosti“). Bezpečností informací se v souladu se zákonem o kybernetické bezpečnosti rozumí zajištění důvěrnosti, integrity a dostupnosti informací, které budou uchovávány, vytvářeny nebo zpracovávány v rámci plnění Poskytovatele dle této Smlouvy nebo v systémech, které mají vazbu na plnění Poskytovatele dle této Smlouvy a v souvislosti s kterými Objednateli vznikají právní povinnosti na základě zákona o kybernetické bezpečnosti (§ 3 tohoto zákona). Poskytovatel se zavazuje poskytnout Objednateli veškerou součinnost nezbytnou k tomu, aby Objednatel řádně naplňoval právní povinnosti stanovené zákonem o kybernetické bezpečnosti, vyhláškou o kybernetické bezpečnosti, vyhláškou č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, ve znění pozdějších předpisů. Zejména se Poskytovatel zavazuje poskytnout Objednateli součinnost směřující k zavedení a provádění bezpečnostních opatření podle uvedených právních předpisů. Jestliže vznikne v souvislosti se zavedením a prováděním bezpečnostních opatření podle právních předpisů uvedených v předchozím odstavci nebo v souvislosti se změnou/nabytím účinnosti předpisů v oblasti ochrany osobních údajů potřeba uzavřít dodatek k této Smlouvě nebo zvláštní smlouvu, zavazuje se Poskytovatel poskytnout veškerou součinnost nezbytnou k formulaci obsahu takového dodatku, resp. smlouvy, a k uzavření takového dodatku, resp. smlouvy. Rozsah a povaha součinnosti Poskytovatele sjednané v odst. 15.2 Smlouvy budou vždy určeny zejména podle rozsahu a povahy vlivu plnění Poskytovatele na bezpečnost informací Objednatele a rovněž podle rozsahu a vazeb plnění Poskytovatele na systémy, v souvislosti s kterými Objednateli vznikají právní povinnosti na základě Zákona o kybernetické bezpečnosti (§ 3 tohoto zákona) a jeho prováděcích předpisů.
KYBERNETICKÁ BEZPEČNOST. 20.1.1. Smlouva stanoví, zda je ▇▇▇▇▇▇▇▇▇ povinen dodržovat ustanovení týkající se kybernetické bezpečnosti dle tohoto článku. Tento článek se uplatní především v případě, kdy je Předmětem Smlouvy Informační či komunikační systém, nebo pokud má Plnění dopad na Informační či komunikační systém.
20.1.2. Dodavatel se při plnění Smlouvy zavazuje dodržovat zásady bezpečnosti informací, bezpečnostní opatření dle Vyhlášky o kybernetické bezpečnosti a Interních předpisů, rozhodnutí, opatření obecné povahy, či jiný správní akt NÚKIB či jiného správního orgánu anebo závazné podmínky pro Objednatele orgánem veřejné moci ukládající Objednateli další povinnosti ve smyslu ZKB a Vyhlášky o kybernetické bezpečnosti, včetně upozorňování a zajištění hlášení kybernetických bezpečnostních událostí a incidentů Objednateli.
20.1.3. Dodavatel je povinen řídit rizika spojená s Plněním dle Smlouvy minimálně dle ISO 27001 a případně dle Interních předpisů, pokud obsahují závazná pravidla pro řízení rizik.
20.1.4. Dodavatel je povinen zaslat Objednateli všechna hlášení o událostech, která mají charakter kybernetické bezpečnostní události nebo incidentu vždy nejpozději do tří (3) hodin po jejich výskytu a sdělit Objednateli opatření, která již provedl ve vztahu k této události anebo incidentu, aby Objednatel mohl splnit svou ohlašovací povinnost dle ZKB, případně zvolí jinou formu dohodnutou mezi Objednatelem a Dodavatelem určenou ke včasnému hlášení kybernetické bezpečnostní události nebo a již učiněných opatření. Dodavatel je povinen ohlásit každou jednotlivou kybernetickou bezpečnostní událost jedním z následujících způsobů:
(a) e-mailem na adresu kontaktní osoby pro oblast kybernetické bezpečnosti uvedené ve Smlouvě nebo
KYBERNETICKÁ BEZPEČNOST. 9.1 Poskytovatel se zavazuje dodržovat relevantní ustanovení zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících předpisů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů a vyhlášky č. 82/2018 Sb., bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti). Poskytovatel je povinen dodržovat bezpečnostní opatření ve formě organizačních a technických opatření, která jsou vydávána příslušnými orgány Objednatele.
9.2 Poskytovatel je na vyžádání Objednatele povinen umožnit Objednateli auditovat a provádět analýzu rizik vnitřních procesů Poskytovatele souvisejících s plněním této Smlouvy Poskytovatel je povinen při těchto auditech a analýzách spolupracovat a poskytovat součinnost v míře umožňující provedení řádného auditu a analýzy rizik.
KYBERNETICKÁ BEZPEČNOST. 16.1 Není-li v této Smlouvě nebo v souladu s touto Smlouvou stanoveno jinak, Poskytovatel tímto bere na vědomí, že:
16.1.1 Objednatel je správcem informačních systémů kritické informační infrastruktury dle § 3 písm. c) ZKB, správcem komunikačního systému kritické informační infrastruktury dle § 3 písm. d) ZKB a správcem významných informačních systémů dle § 3 písm. e) ZKB. Poskytovatel dále tímto bere na vědomí, že provádění Dodávky dle této Smlouvy bude prováděno v souvislosti se systémem kritické informační infrastruktury a aktivy významných informačních systémů.
16.1.2 Objednatel chápe Poskytovatele jako významného dodavatele a provozovatele systému kritické informační infrastruktury.
16.2 Strany potvrzují, že rozsah zapojení Poskytovatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systémů je určen předmětem této Smlouvy.
16.3 Poskytovatel je povinen v rozsahu plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v Příloze č. 8 („Kybernetické požadavky“), a to do termínu uzavření této Smlouvy. Poskytoval je povinen tyto požadavky udržovat naplněné po celou dobu trvání této Smlouvy. Kybernetické požadavky mohou být ze strany Objednatele upraveny nebo doplněny, zejména s ohledem na výsledek hodnocení rizik a/nebo relevantní akty NÚKIB.
16.4 Poskytovatel se zavazuje poskytnout Objednateli součinnost v rámci plnění této Smlouvy a pro tuto činnost zabezpečit účast kvalifikovaných pracovníků Poskytovatele.
16.5 Dále se Poskytovatel zavazuje nedostatky zjištěné:
16.5.1 na základě provedení hodnocení rizik; nebo
16.5.2 v rámci zákaznického auditu;
16.5.3 odstranit ve lhůtě určené v písemném oznámení Objednatele. Nestanoví-li Objednatel lhůtu v písemném oznámení, zavazují se Strany dohodnout na lhůtě pro odstranění nedostatku, která nepřevýší padesát (50) kalendářních dnů. Neodstranění nedostatků ve stanovené lhůtě je považováno za nenaplnění Kybernetických požadavků a tím porušení Článku 16.
16.6 Poskytovatel bere na vědomí, že veškeré aktivity Poskytovatele a jeho plnění realizované v prostředí Objednatele mohou být monitorovány a vyhodnocovány v rozsahu předmětu plnění a v souladu s interními předpisy Objednatele, se kterými byl Poskytovatel seznámen.
16.7 Povinnosti Poskytovatele vyplývající z tohoto Článku 16 platí adekvátně k podílu na plnění této Smlouvy i pro Poddodavatele.
KYBERNETICKÁ BEZPEČNOST. Oblastní nemocnice Náchod a.s. (ONN) je dle Zákona č.181/2014 Sb. o kybernetické bezpečnosti (ZKB) provozovatelem základní služby: Poskytování zdravotních služeb. Dodávaný systém musí splňovat požadavky ZKB a navazujících předpisů, zejména vyhlášky č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech.
KYBERNETICKÁ BEZPEČNOST. 1. Poskytovatel bere na vědomí, že objednatel je podle Zákona č.69/2018 Z.z. o kybernetické bezpečnosti a o změně a doplnění některých zákonů (dále jen Zákon), zařazený do registru provozovatelů základních služeb vedeného Národním bezpečnostním úřadem, přičemž z této povinnosti mohou vyplynout poskytovateli povinnosti při zabezpečení plnění bezpečnostních opatření a notifikačních poviností podle Zákona jako i vyhlášky Národního bezpečnostního úřadu č.362/2018 Z.z., kterou se stanovuje obsah bezpečnostních opatření, obsah a struktura bezpečnostní dokumentace a rozsah všeobecných bezpečnostních opatření v platném znění (dále jen Vyhláška).
2. Poskytovatel bere na vědomí, že je povinen chránit všechny informace, které mu byly poskytnuty objednatelem, dodržovat mlčenlivost a touto dohodou zavázat všechny osoby, které jsou u něho anebo prostřednictvím něho oprávněné na přístup k informacím objednatele při plnění Smlouvy, pokud nejsou vázané povinností mlčenlivosti dle samostatného předpisu.
3. Objednatel je oprávněn požadovat od poskytovatele informace nevyhnutné na splnění kterékoliv povinnosti objednatele, vyplývající ze Zákona v rozsahu smlouvy. Poskytovatel je povinný bez zbytečného odkladu poskytnout objednateli všechny informace, které má k dispozici. Informace podle tohto bodu poskytuje poskytovatel bezodkladně po doručení žádosti objednatele o poskytnutí informací.
4. Poskytovatel je povinný bezodkladně informovat objednatele o každém kybernetickém bezpečnostním incidentu bez ohledu na jeho závažnost. Informováním o kybernetickém bezpečnostním incidentu se rozumí poskytnutí všech informací o kybernetickém bezpečnostním incidentu, o kterých má poskytovatel vědomost.
5. Poskytovatel je povinen bezodkladně informovat objednatele o všech skutečnostech majících vliv na zabezpečení kybernetické bezpečnosti, o kterých se dozvěděl pokud bezprostředně souvisí s předmětem díla. Tímto ustanovením není dotčena povinnost objednatele sledovat a získávat informace o skutečnostech majících vliv na zabezpečení kybernetické bezpečnosti vlastní činností nebo z jiných zdrojů.
6. Poskytovatel a zhotovitel jsou povinní vzájemně se informovat o všech skutečnostech, které mohou mít jakýkoliv vliv na smlouvu, zejména na její plnění kteroukoliv smluvní stranou.
KYBERNETICKÁ BEZPEČNOST. Poskytovatel bere na vědomí, že objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB uvedených v preambuli této smlouvy. Poskytovatel dále bere na vědomí, že poskytování služeb uvedených v čl. I bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů. Poskytovatel je při plnění této smlouvy v postavení významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB a bere na vědomí, že po dobu účinnosti této smlouvy bude veden v evidenci významných dodavatelů objednatele ve smyslu § 8 odst. 1 písm. b) a c) VKB. Rozsah zapojení poskytovatele na zajištění bezpečnosti aktiv informačních systémů kritické informační infrastruktury a aktiv významných informačních systémů používaných v prostředí objednatele je určen předmětem této smlouvy. Poskytovatel je při poskytování plnění oprávněn užívat data předaná mu objednatelem za účelem plnění předmětu smlouvy či data za tímto účelem získaná pouze v rozsahu nezbytném ke splnění smlouvy a pouze v souladu s touto smlouvou a příslušnými právními předpisy, tj. zejména ZKB a VKB. Poskytovatel se zavazuje zajistit, aby jeho pracovníci či poddodavatelé poskytovatele a jejich pracovníci v plném rozsahu dodržovali obecná pravidla pro dodavatele v oblasti bezpečnosti IT uvedená v příloze č. 2 této smlouvy (dále jen „pravidla bezpečnosti“). Poskytovatel se dále zavazuje zajistit, aby jeho poddodavatelé v plném rozsahu dodržovali zejména ustanovení čl. VIII této smlouvy. Poskytovatel se zavazuje při výkonu své činnosti včas a prokazatelně upozornit objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahujících se k pravidlům bezpečnosti, jejichž následkem může vzniknout újma nebo nesoulad s právními předpisy, a zajistit ve spolupráci s objednatelem náhradní způsob naplnění pravidel bezpečnosti, pokud stávající řešení přestalo být funkční a efektivní. Poskytovatel je srozuměn s tím, že objednatel provádí v pravidelných intervalech hodnocení rizik v souvislosti s informačními systémy dle odst. 1 tohoto článku, kterých se týká poskytování plnění dle této smlouvy. Poskytovatel se zavazuje informovat objednatele o tom, jakým způsobem řídí bezpečnostní rizika spojená s plněním předmětu této smlouvy a dále jaká jsou zbytková rizika související s plněním této smlouvy. Dojde-li u poskytovatele k výskytu bezpečnostních incid...
KYBERNETICKÁ BEZPEČNOST. 20.1. Tento článek se uplatní v případě, kdy tak výslovně stanoví Smlouva, pokud je Předmětem Smlouvy Informační či komunikační systém, pokud má Plnění dopad na Informační či komunikační systém, nebo pokud je Smlouva uzavřena s Významným dodavatelem či Provozovatelem. Zda je Dodavatel Významným dodavatelem či Provozovatelem, stanoví Smlouva. Na jiné Smlouvy a vztahy se neuplatní, ledaže se Dodavatel stane významným dodavatelem či Provozovatelem v průběhu plnění Smlouvy. V takovém případě se na něj čl.
KYBERNETICKÁ BEZPEČNOST. Není-li v této Smlouvě nebo v souladu s touto Smlouvou stanoveno jinak, Poskytovatel tímto bere na vědomí, že: Objednatel je správcem významných informačních systémů dle § 3 písm. e) ZKB. Poskytovatel dále tímto bere na vědomí, že poskytování Služeb dle této Smlouvy bude prováděno na aktivech významných informačních systému. Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB. Strany potvrzují, že rozsah zapojení Poskytovatele na zajištění bezpečnosti aktiv významných informačních systémů je určen předmětem této Smlouvy. Poskytovatel je povinen v rozsahu plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v Příloze č. 8 („Kybernetické požadavky“), a to do termínu uzavření této Smlouvy. Poskytovatel je povinen tyto požadavky udržovat naplněné po celou dobu trvání této Smlouvy. Poskytovatel umožní Objednateli alespoň jednou (1) ročně po dobu účinnosti této Smlouvy a jeden (1) rok po ukončení Smlouvy provedení zákaznického auditu (kontroly) v prostředí Poskytovatele: jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele; a jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle bodu
KYBERNETICKÁ BEZPEČNOST. 11.1. Poskytovatel je povinen dodržovat ustanovení týkající se kybernetické bezpečnosti ve smyslu článku 20. Přílohy č. 4 Zvláštní obchodní podmínky.