Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Smlouva o dodávce řešení
číslo objednatele: 6/004/2022
Český hydrometeorologický ústav
se sídlem Praha - Komořany, Na Šabatce 2050/17, PSČ: 143 00
Statutární orgán: ředitel ČHMÚ
IČO: 00020699
DIČ: CZ00020699
Číslo účtu:
(dále jen „Objednatel“ nebo „ČHMÚ“)
a
SEVITECH CZ, s.r.o.
se sídlem Na Strži 2102/61a, Praha 4, PSČ: 140 00
zastoupena jednatelem společnosti a jednatelem
společnosti
IČO: 07081561
DIČ: CZ07081561
Číslo účtu:
(dále jen „Dodavatel“)
(dále společně jen „Smluvní strany”)
uzavřely dnes tuto Smlouvu o dodávce řešení
(dále jen „Smlouva”)
Stránka 1 z 11
1. ÚVODNÍ USTANOVENÍ
1.1. Objednatel má zájem na tom, aby mu Dodavatel zajistil dodávky a služby (dále jen „řešení“),
spočívající v rozšíření softwarového nástroje ESKO GDPR o modul KBO pro řízení bezpečnosti
prostřednictvím systémových prostředků a modulů pro KB ČHMÚ v prostředí Objednatele, kdy
součástí řešení je dodávka software, produktové podpory a souvisejících služeb. Při plnění
předmětu budou dodrženy všechny související právní předpisy, zejména zákon č. 110/2019 Sb., o
zpracování osobních údajů ve znění pozdějších předpisů (dále jen „Zákon“) a nařízení č. 2016/679
Evropského parlamentu a Rady EU ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se
zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES
(obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“) a zákon č. 181/2014 Sb. o
kybernetické bezpečnosti a o změně souvisejících zákonů ve znění pozdějších předpisů (dále jen
„ZKB“) a vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních
incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a
likvidace dat v platném znění (dále jen „VKB“).
1.2. Dodavatel prohlašuje, že je odborně způsobilou osobou pro zajištění předmětného řešení.
1.3. Tato Smlouva se uzavírá na základě výsledku veřejné zakázky malého rozsahu pod systémovým
číslem veřejné zakázky: N006/21/V00030521 a pod názvem „Rozšíření softwarového nástroje
ESKO GDPR o modul KBO pro řízení bezpečnosti prostřednictvím systémových prostředků a
modulů pro KB ČHMÚ“.
2. PŘEDMĚT SMLOUVY
2.1. Dodavatel se zavazuje poskytnout Objednateli řešení spočívající v dodávkách a službách a
produktové podpoře dodávaného řešení, a to dle níže uvedené specifikace a dále dle Přílohy č. 3,
zejm.:
rozšíření softwarového nástroje ESKO GDPR o dodávku modulu KBO pro 100 uživatelů ve
složení 3 administrátorské licence a 97 přistupujících uživatelů do modulu KB softwarového
nástroje ESKO; modul KBO pokrývá oblasti kybernetické bezpečnosti dle ZKB, VKB a ISMS;
poskytovaná licence je v režimu nevýhradní a geograficky limitovaná pro území České
republiky;
o Minimální obsahová skladba modulu KBO:
příprava bezpečnostních politik;
evidence primárních a podpůrných aktiv;
ohodnocení aktiv podle zadané metodiky;
modifikovatelný seznam zranitelností a hrozeb a to podle konkrétního případu;
strojová asistence při analýze rizik, a dokumentace analýzy rizik;
příprava a evidence nápravných opatření;
příprava prohlášení o aplikovatelnosti a to podle bezpečnostní normy ISO 27001 i
podle VKB paralelně dostupné v řešení;
zpracování podkladů pro interní audit, včetně vyhodnocení realizace
nápravných opatření;
sady modifikovatelných reportů pro udržitelnost dokumentace
implementovaného opatření ISMS;
personalizace uživatelských práv;
Stránka 2 z 11
monitoring přístupů;
zálohy a obnovení databází softwarového nástroje;
číselníky;
reporty a statistiky;
softwarový nástroj koncipován na základě souladu s nařízením Vlády ČR č.
432/2010Sb., tedy jak z pohledu ZKB/VKB, tak i z pohledu ISO norem;
kompletní řízení procesů, vedení evidencí a tiskové výstupy pro CSIRT a NÚKIB;
zprávy z informačního servisu z NÚKIB a CSIRT;
obsah namapované kolekce bezpečnostních opatření (technická i
organizační)k definovaným hrozbám a zranitelnostem jednotlivých aktiv a to v souladu
s VKB, ZKB, ISMS (ISO normou 27001, 27002, 27003, 27004, 27005, 27007);
relace aktiv (vztahy mezi aktivy);
analýza rizik (“AR”);
automatizované řízení rizik s návrhem technických a organizačních opatření:
o identifikace hrozeb k aktivům
o komplexní proces řízení rizik vč. monitorování rizik;
management bezpečnostních incidentů;
vzory školení kybernetické bezpečnosti a e-learning;
RASCI matice;
management auditů, auditní cíle řízení a opatření dle VKB, ZKB vč. procentuálního
vyhodnocení implementace opatření;
obsah exportů ze systému – výběr některých z exportů:
o záznam základních informací
o záznam personální bezpečnosti
o záznam třetích stran
o záznam řízení aktiv
o analýza rizik (AR)
seznam aktiv AR
seznam hrozeb AR
seznam zranitelností AR
seznam opatření AR
o hlášení na kontrolní/dozorový orgán
o souhrnná evidence záznamu k incidentu
o kontroly
o aktuální zobrazení tabulky RASCI
o aktuální zobrazení tabulky Cíle řízení a opatření;
management kontrol dodržování bezpečnostních politik (výstupy pro dozorové
orgány);
dodávka dvouleté produktové podpory pro dodávaný softwarový nástroj vč. přístupu do
uživatelského HelpDesk/ServiceDesk uchazeče;
instalace řešení v infrastruktuře ČHMÚ;
nastavení řešení v podmínkách ČHMÚ;
datová migrace – naplnění dat v rozsahu dokumentace ISMS a VKB;
testování řešení v podmínkách ČHMÚ;
vytvoření speciálních manuálů/dokumentační části na míru ČHMÚ;
Stránka 3 z 11
vytvoření speciálního školení pro uživatele a administrátory (garanty aktiv) ČHMÚ.
2.2. Za účelem naplnění předmětu Smlouvy ve vymezeném řešení uvedeném v odst. 2.1. se
Dodavatel zavazuje poskytnout výše uvedené řešení, spočívající v dodávce software, služeb a
produktové podpory software.
3. OPRÁVNĚNÉ OSOBY
3.1. Zástupci Objednatele, kteří jsou oprávněni jednat, případné zadat úkoly Dodavateli, v rámci této
Smlouvy a upravovat ji formou smluvních dodatků (dále jen „Oprávnění zástupci“), jsou:
3.1.1. , E: │ M:
3.2. Ostatní zástupci Objednatele mohou úkoly zadat pouze s výslovným souhlasem alespoň jednoho
z Oprávněných zástupců.
3.3. Oprávněné osoby za Dodavatele ve vymezeném rozsahu jsou:
3.3.1. │ E: │ M:
3.3.2. │ E: │ M:
4. ODMĚNA DODAVATELE ZA POSKYTNUTÍ ŘEŠENÍ A TERMÍN PLNĚNÍ
4.1. Objednatele se zavazuje zaplatit Dodavateli za zajištění služeb a dodávku software, odměnu.
4.2. Celková odměna za předmět plnění je stanovena na částku 735 000,- Kč (slovy:
sedmsettřicetpěttisíc korun českých bez daně z přidané hodnoty, daň z přidané hodnoty činí 154
350,- Kč (slovy:jednostopadesátčtyřitisíctřistapadesát korun českých), celkem tedy nepřekročitelná
částka, odměna ve výši 889 350,- Kč (slovy: osmsetosmdesátdevěttisíctřistapadesát korun
českých) včetně daně z přidané hodnoty.
4.3. Odměna bude Dodavateli uhrazena Objednatelem na základě potvrzeného, předávacího protokolu
o předaném řešení. Dodavatel, na základě Objednatelem potvrzeného předávacího protokolu o
předaném řešení, vystaví daňový doklad, fakturu. Splatnost faktur činí 30 dní ode dne jejího
vystavení a elektronického zaslání na e-mailovou adresu: v kopii též na
adresu:
4.4. Objednatel je oprávněn před uplynutím lhůty splatnosti vrátit bez zaplacení fakturu, která
neobsahuje některou náležitost stanovenou zákonem o dani z přidané hodnoty (účetnictví), nebo
má jiné vady obsahu (je neúplná) a ve vrácené faktuře musí vyznačit důvod vrácení. Dodavatel je
povinen podle povahy nesprávnosti fakturu opravit nebo nově vyhotovit. Oprávněným vrácením
faktury přestává běžet původní lhůta splatnosti. Celá lhůta běží znovu ode dne doručení opravené
nebo nově vyhotovené a již správné a úplné faktury.
4.5. K odměně bude účtována daň z přidané hodnoty ve výši stanovené platnými právními předpisy.
Stránka 4 z 11
5. PRÁVA A POVINNOSTI DODAVATELE
5.1. Dodavatel při zajištění řešení upozorní Objednatele na zřejmou nevhodnost jeho příkazu, který by
mohl mít za následek vznik škody. V případě, že Objednatel i přes upozornění Dodavatele na
splnění příkazu trvá, neodpovídá Dodavatel za škodu takto vzniklou.
5.2. Dodavatel má právo odmítnout poskytnutí takového řešení, které by způsobem poskytování nebo
svými důsledky vedly k porušení právních předpisů, případně by vybočovaly z mezí dobrých
mravů.
5.3. Dodavatel je povinen písemně informovat Objednatele o veškerých změnách, které mohou mít vliv
na plnění předmětu plnění Smlouvy. Veškeré změny je nutno oznámit písemně a zaslat na sídlo
společnosti Objednatele nebo elektronicky na e-mailovou adresu v kopii na adresy dle čl. 3, odst.
3.1. Změny oznámené jiným způsobem nejsou možné.
5.4. Po ukončení Smlouvy z jakéhokoliv důvodu se Dodavatel zavazuje bez zbytečného odkladu vrátit
Objednateli nebo prokazatelně zničit veškeré dokumenty obsahující důvěrné informace včetně
všech jejich kopií, a to včetně veškerých poznámek, na které se povinnost mlčenlivosti vztahuje
s výjimkou dokladů, které umožňují Dodavateli hájit jeho práva v případném soudním řízení ze
sporů vyplývajících ze Smlouvy, které je Dodavatel oprávněn uchovat nejdéle po dobu 4 let od
ukončení Smlouvy.
5.5. V případě porušení některého z výše uvedených závazků mlčenlivosti je Objednatel či Dodavatel
odpovědný za případné škody vzniklé druhé smluvní straně.
5.6. Dodavatel je povinen poskytnout součinnost jako osoba povinná spolupůsobit při výkonu finanční
kontroly (viz § 2 písm. e) zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně
některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů k poskytnutí
součinnosti Objednateli i kontrolním orgánům při provádění finanční kontroly dle citovaného
zákona.
6. PRÁVA A POVINNOSTI OBJEDNATELE
6.1. Objednatel je povinen předat Dodavateli, či zpřístupnit mu dle jeho požadavků a na požádání
Dodavatele veškeré doklady, písemnosti a informace, jež mají, měly, budou mít, mohly mít, nebo
mohou mít nějaký vztah k předmětu této Smlouvy. V případě, že v podkladech budou zjištěny
nesrovnalosti či budou neúplné, je Objednatel povinen neprodleně tyto nedostatky odstranit,
nebude-li dohodnuto jinak.
6.2. Objednatel je povinen poskytnout Dodavateli veškerou možnou součinnost, zejména poskytnout
úplné, přehledné, jednoznačné, pravdivé a včasné informace. Takovéto informace, které mají nebo
mohou mít význam pro plnění dle této Smlouvy, Objednatel poskytne i bez vyžádání Dodavatelem;
to platí zejména o nově nastalých nebo nově zjištěných skutečnostech, které je Objednatel povinen
sdělit Dodavateli bez zbytečného prodlení.
6.3. Smluvní strany sjednaly, že v případě prodlení Objednatele s úhradou daňového dokladu dle odst.
4.3 je Dodavatel oprávněn účtovat Objednateli smluvní pokutu ve výši 0,05 % z ceny plnění
uvedené na daňovém dokladu za každý započatý den prodlení.
6.4. Objednatel je oprávněn odstoupit od smlouvy, jestliže zjistí, že Dodavatel:
Stránka 5 z 11
nabízel, dával, přijímal nebo zprostředkovával nějaké hodnoty s cílem ovlivnit chování nebo
jednání kohokoliv, ať již státního úředníka nebo někoho jiného, přímo nebo nepřímo, v
zadávacím řízení nebo při provádění smlouvy; nebo
zkresloval skutečnosti za účelem ovlivnění zadávacího řízení nebo provádění smlouvy ke
škodě objednatele, včetně užití podvodných praktik k potlačení a snížení výhod volné a
otevřené soutěže.
7. TRVÁNÍ SMLOUVY, MÍSTO PLNĚNÍ
7.1. Tato smlouva se uzavírá na dobu určitou, tj. 90 dní, s termínem zahájení – ihned, od účinnosti
smlouvy.
7.2. Smluvní strany mohou smlouvu ukončit pouze vzájemnou dohodou, nebo odstoupením na základě
zákona pouze tehdy, pokud přistoupením k ukončení smluvního vztahu bude opodstatněné
z důvodů vzniku nepředvídatelných následků a rizik pro Objednatele.
7.3. Místo plnění: Český hydrometeorologický ústav, Na Šabatce 2050/17, 143 06 Praha – Komořany.
8. ZÁVĚREČNÁ USTANOVENÍ
8.1. Tato smlouva je uzavřena na základě zákona č. 89/2012 Sb., občanský zákoník a jakékoliv možné
doplnění a veškeré změny v obsahu smlouvy je možné provádět pouze na základě písemného
dodatku k této smlouvě.
8.2. Smlouva nabývá platnosti dnem podpisu smluvních stran a účinnosti uveřejněním v registru smluv
na základě zákona č. 340/2015 Sb., zákon o zvláštních podmínkách účinnosti některých smluv a o
registru smluv (zákon o registru smluv) způsobem dle ustanovení § 5 zákona o registru smluv.
8.3. Smluvní strany berou na vědomí, že ČHMÚ jako osoba povinná ze zákona č. 340/2015 Sb., o
registru smluv (dále jen „RS“) a příslušnou smlouvu a relevantní údaje o ní budou zveřejněné v
souladu s ustanovením § 5 i s tím, že na určité její části může být provedena anonymizace.
8.4. Smluvní strany se zavazují považovat informace o veškerých skutečnostech, o kterých se dověděly
na základě plnění předmětu Smlouvy nebo v souvislosti se Smlouvou či jejím porušením, za
informace důvěrné a zavazují se zachovat mlčenlivost o takových skutečnostech, a to až do doby,
kdy se tyto informace stanou obecně známými za předpokladu, že se tak nestane porušením
povinnosti mlčenlivosti, a to po celou dobu účinnosti Smlouvy a ještě další 3 roky po jejím
ukončení. Strana porušující povinnost mlčenlivosti nahradí veškerou újmu z toho vzniklou. Smluvní
strany se zavazují, že při plnění předmětu Smlouvy zajistí, aby nedošlo k porušení bankovního ani
obchodního tajemství a aby byla dodržována ustanovení zákona č. 110/2019 Sb., o zpracování
osobních údajů, v platném znění, i předpisů vydaných k jeho provedení.
8.5. Smluvní strany sjednávají nemožnost postoupit tuto Smlouvu způsobem dle § 1895 a násl.
Zákona, nemožnost Objednatele postoupit své pohledávky dle této Smlouvy vůči Dodavateli třetí
osobě, a nemožnost Smluvních stran jednostranně započítat své pohledávky dle této Smlouvy vůči
pohledávkám druhé strany. Smluvní strany mají nárok na náhradu škody i tehdy, je-li kryta úroky
z prodlení či smluvní pokutou, není-li v této Smlouvě a v textu jejích příloh výslovně stanoveno
jinak.
8.6. ČHMÚ osobní údaje subjektů údajů zpracovává v souladu se zákonem č. 110/2019 Sb., o
zpracování osobních údajů, v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679
ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o
volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních
údajů).
Stránka 6 z 11
8.7. Tato Smlouva je vyhotovena ve dvou stejnopisech s právní silou originálu, z nichž každá smluvní
strana obdrží po jednom.
8.8. Smluvní strany prohlašují, že při jednání o této Smlouvě měly rovné postavení a žádná z nich
nejednala tak, jako by byla slabší smluvní stranou či spotřebitelem. Smluvní strany se navzájem
ujišťují, že ujednání v této Smlouvě považují za učiněná v oboustranné dobré víře a v souladu s
dobrými mravy.
8.9. Smluvní strany výslovně prohlašují, že ustanovení této Smlouvy jsou oddělitelná a neplatnost,
neúčinnost a/nebo nevymahatelnost jakéhokoliv jejího ustanovení neznamená automatickou
neplatnost, neúčinnost a/nebo nevymahatelnost ostatních ustanovení. Veškeré spory a/nebo
nároky vzniklé mezi Smluvními stranami v souvislosti s touto Smlouvou budou řešeny především v
dobré víře smírnou cestou. Pokud nebude dosaženo smíru, budou tyto spory a/nebo nároky řešeny
před příslušnými soudy České republiky.
8.10. Nedílnou součástí smlouvy je:
Příloha č. 1 - Doložka ve smyslu ustanovení § 4 odst. 2 zákona č. 181/2014 sb., O
kybernetické bezpečnosti, ve znění pozdějších předpisů
Příloha č. 2 - Mlčenlivost, ochrana informací a zákaz jejich zneužití
Příloha č. 3 – Podrobná specifikace předmětu plnění
8.11. Smluvní strany prohlašují, že si tuto Smlouvu před jejím podpisem přečetly, že byla uzavřena po
vzájemném projednání a na základě jejich pravé a svobodné vůle, že jim nejsou známé okolnosti,
které by bránily uzavření této smlouvy. Na důkaz srozumění s výše uvedeným zástupci Smluvních
stran tuto Smlouvu podepsali následovně:
Český hydrometeorologický ústav SEVITECH CZ s.r.o.
V Praze, dne _______________ V Praze, dne _______________
...................................................................... ...............
ředitel
jednatel společnosti
.............................................................................
jednatel společnosti
Stránka 7 z 11
Příloha č. 1
DOLOŽKA VE SMYSLU USTANOVENÍ § 4 ODST. 2 ZÁKONA Č. 181/2014 SB., O KYBERNETICKÉ
BEZPEČNOSTI, VE ZNĚNÍ POZDĚJŠÍCH PŘEDPISŮ
1. Smluvní strany berou na vědomí, že informační systém informací ČHMÚ, jako Objednatele,
podléhá zákonu č. 181/2014 Sb., o kybernetické bezpečnosti, v platném znění a s ním související
vyhlášky, zejm. vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických
bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické
bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), pokud nebylo postupováno
před její účinností podle ustanovení § 35 vyhlášky č. 316/2014 Sb., dále
2. Dodavatel je povinen při užívání a čerpáních jakýchkoliv informací, dat, podkladů, zejm. o cílech
a smluvním vztahu k veřejné zakázce a jejího plnění, o informačních systémech, personálním
zabezpečení, vnitřní struktuře organizace a o skutečnostech, které se vztahují k bezpečnostním a
technickým opatřením, kdy se stává příjemcem a uživatelem těchto informací, jako chráněných
informací, ve smyslu ustanovení § 1730 zákona č. 89/2012 Sb., občanský zákoník, dodržovat
zákonné předpisy pro oblast kybernetické bezpečnosti, interní předpisy ČHMÚ a počínat si při
svém jednání tak, aby nedocházelo k porušování bezpečnostních opatření, nebyla snižována a
poškozována bezpečnostní image ČHMÚ a důvěryhodnost těchto zdrojů a nedošlo k
neoprávněnému zásahu do sítí a informačních systémů ČHMÚ s následkem jejich poškození,
dále
3. Dodavatel bere na vědomí, že chráněné informace jsou součástí obchodního tajemství ve smyslu
ustanovení § 504 zákona č. 89/2012 Sb., občanský zákoník, zejm. listinné a elektronické
podklady, finanční přehledy a cenové mapy, zdroje a s poskytnutými zdroji je povinen nakládat
tak, jako by byly označovány za důvěrné, dále není oprávněn je užívat i zprostředkovaně ke
komerčním účelům, modifikovat a zcizovat. S užitím chráněných informací nepřechází ani na třetí
osoby vlastnictví k autorským a průmyslovým právům, pokud není stanovené jinak, dále
4. Dodavatel bere na vědomí, že zákonem určený Úřad, je oprávněn vykonávat kontrolu a dohled
nad dodržováním ustanovení v oblasti kybernetické bezpečnosti a smluvní strany jsou povinny
být součinné v případě provádění státního dohledu a při provádění auditů procesů, dále
5. v případě porušení zákona v oblasti kybernetické bezpečnosti jednáním ze strany Dodavatele, je
Objednatel oprávněn požadovat finanční náhradu škody ve výši správního deliktu za každé
porušení dle zákona o kybernetické bezpečnosti, který bude pravomocně udělen Úřadem a byl
způsobem zaviněně Dodavatelem a to i v případě, že třetí osoby jednají v jeho zastoupení.
Stránka 8 z 11
Příloha č. 2
MLČENLIVOST, OCHRANA INFORMACÍ A ZÁKAZ JEJICH ZNEUŽITÍ
1. Žádná se smluvních stran nezpřístupní ani nepoužije žádnou informaci, se kterou se seznámí
v souvislosti se spoluprací s druhou Smluvní stranou nebo získanou od druhé smluvní strany
(dále jen ,,Důvěrná informace“). Důvěrnými informacemi jsou zejména informace obchodní
povahy, databáze zákazníků, cenová politika, způsob fungování společnosti, apod.
2. Povinnost mlčenlivosti platí s výjimkou případů, kdy druhá Smluvní strana udělila předchozí
písemný souhlas s takovým zpřístupněním nebo použitím Důvěrné informace, právní předpis
nebo veřejnoprávní orgán stanoví povinnost zpřístupnit nebo použít důvěrnou informaci,
zpřístupnění nebo použití důvěrné informace je nezbytné pro realizaci plnění smlouvy dané
Smluvní strany v souvislosti se spoluprací s druhou Smluvní stranou.
3. Mezi důvěrné informace nepatří informace, které jsou v době jejich zpřístupnění nebo použití
běžně dostupné veřejnosti.
4. Smluvní strany mají povinnosti všechny osoby, které Smluvní strany užívají při spolupráci
s druhou Smluvní stranou informovat o povinnosti mlčenlivosti.
5. Veškeré důvěrné informace mající charakter Obchodního tajemství ve smyslu zákona č. 89/2012
Sb., občanský zákoník ve znění pozdějších předpisů, které Smluvní strana poskytla druhé
Smluvní straně, se Smluvní strany zavazuje přiměřeným způsobem chránit proti zneužití.
6. Smluvní strany se zavazují po skončení vzájemné spolupráce vrátit druhé smluvní straně
všechny písemné materiály, materiály v elektronické podobě obsahující Důvěrné informace i
jejich kopie smazat ze všech datových uložišť, které nejsou potřebné k archivaci nebo nejsou
dále užívány Objednatelem.
7. V případě, že dojde k prozrazení nebo ke ztrátě Důvěrných informací zavazuje se daná Smluvní
strana o této skutečnosti neprodleně informovat druhou Smluvní stranu a přijmout veškerá
opatření nezbytná k zabránění vzniku škody nebo omezení rozsahu škody již vzniklé a dále
k dalšímu šíření Důvěrné informace. Při prozrazení nebo ztrátě Důvěrných informaci se také
postupuje podle zákona č. 110/2019 Sb., o zpracování osobních údajů a nařízením evropského
parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti
se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES
(nyní též („GDPR“).
8. Za účelem ochrany Důvěrných informací je daná Smluvní strana povinna použít při přenosu
Důvěrných informací přes prostředky komunikace na dálku (elektronická pošta, úložiště v síti
Internet, apod.) šifrování nebo jinou vhodnou ochranu přenosu.
9. Každá smluvní strana je povinna zabezpečit počítačové systémy (včetně uložišť) tak, aby
zabránila kybernetickým útokům, napadení počítačovým virem apod.
Stránka 9 z 11
Příloha č. 3
PODROBNÁ SPECIFIKACE PŘEDMĚTU PLNĚNÍ
Rozšíření softwarového nástroje ESKO GDPR o modul KBO pro řízení bezpečnosti prostřednictvím
systémových prostředků a modulů pro kybernetickou bezpečnost instituce Český hydrometeorologický
ústav (dále jen „ČHMÚ“).
Na základě proběhlého auditu kybernetické bezpečnosti dozorovým orgánem ze září/října 2020, jehož
výsledky a nálezy obsahovaly mj. opatření pro zajištění udržitelnosti dokumentace v souladu s níže
uvedenými zákony a vyhláškami, zadavatel požaduje rozšíření již provozovaného softwarového nástroje
ESKO s modulem GDPR o modul KBO. Zájmem ČHMÚ je vedení dokumentace udržitelnosti souladu s
níže uvedenými legislativními požadavky a výsledky shora uvedeného auditu v elektronické formě
systémovými prostředky.
Řešení, které se bude skládat z dodávky modulu KBO pro 100 uživatelů, ve složení 3 administrátorů a
97 přistupujících uživatelů, dvouleté produktové podpory modulu a souvisejících služeb, bude naplňovat
základní požadavek ČHMÚ udržitelnosti a provozuschopnosti technických a organizačních opatření
přijatých v souladu s požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně
souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen
„ZKB“) a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních
incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci
dat (vyhláška o kybernetické bezpečnosti),v platném znění (dále jen „VKB“). Dodávané řešení pokryje
oblast digitalizace implementovaného opatření implementace Informačního systému řízení bezpečnosti
(„ISMS“) dle bezpečnostní normy ISO 27001.
Řešení bude minimálně obsahovat:
dodávku modulu výše uvedeného softwarového nástroje vč. pokrytí oblasti kybernetické
bezpečnosti dle ZKB, VKB a ISMS:
o softwarový modul pro 100 uživatelů ve výše uvedené skladbě a ve specifikaci
užití nevýhradní a geograficky limitované pro Českou republiku;
dodávku dvouleté produktové podpory pro dodávaný softwarový nástroj vč. přístupu do
uživatelského HelpDesk/ServiceDesk uchazeče;
instalaci řešení v infrastruktuře ČHMÚ;
nastavení řešení v podmínkách ČHMÚ;
datovou migraci – naplnění dat v rozsahu dokumentace ISMS a VKB;
testování řešení v podmínkách ČHMÚ;
vytvoření speciálních manuálů/dokumentační části na míru ČHMÚ;
vytvoření speciálního školení pro uživatele a administrátory (garanty aktiv) ČHMÚ.
Dále řešení zajistí dokumentační podporu pro věcné okruhy:
přípravu bezpečnostních politik;
evidenci primárních a podpůrných aktiv;
ohodnocení aktiv podle zadané metodiky;
modifikovatelný seznam zranitelností a hrozeb a to podle konkrétního případu;
strojovou asistenci při analýze rizik, a dokumentace analýzy rizik;
přípravu a evidenci nápravných opatření;
přípravu prohlášení o aplikovatelnosti a to podle bezpečnostní normy ISO 27001 i podle
Stránka 10 z 11
VKB paralelně dostupné v řešení;
zpracování podkladů pro interní audit, včetně vyhodnocení realizace nápravných
opatření;
sady modifikovatelných reportů pro udržitelnost dokumentace implementovaného
opatření ISMS.
Dále minimální základní funkcionalita softwarového nástroje vč. pokrytí oblasti kybernetické
bezpečnosti musí zahrnovat:
personalizaci uživatelských práv;
monitoring přístupů;
zálohy a obnovení databází softwarového nástroje;
číselníky;
reporty a statistiky;
softwarový nástroj koncipován na základě souladu s nařízením Vlády ČR č. 432/2010Sb.,
tedy jak z pohledu ZKB/VKB, tak i z pohledu ISO norem;
kompletní řízení procesů, vedení evidencí a tiskové výstupy pro CSIRT a NÚKIB;
zprávy z informačního servisu z NÚKIB a CSIRT;
obsah namapované kolekce bezpečnostních opatření (technická i organizační) k
definovaným hrozbám a zranitelnostem jednotlivých aktiv a to v souladu s VKB, ZKB, ISMS
(ISO normou 27001, 27002, 27003, 27004, 27005, 27007);
relaci aktiv (vztahy mezi aktivy);
analýzu rizik (“AR”);
automatizované řízení rizik s návrhem technických a organizačních opatření
o identifikace hrozeb k aktivům
o komplexní proces řízení rizik vč. monitorování rizik;
management bezpečnostních incidentů
vzory školení kybernetické bezpečnosti a e-learning;
RASCI matice
management auditů, auditní cíle řízení a opatření dle VKB, ZKB vč. procentuálního
vyhodnocení implementace opatření;
v oblasti exportů ze systému – výběr některých z exportů:
o záznam základních informací
o záznam personální bezpečnosti
o záznam třetích stran
o záznam řízení aktiv
o analýza rizik (AR)
seznam aktiv AR
seznam hrozeb AR
seznam zranitelností AR
seznam opatření AR
o hlášení na kontrolní/dozorový orgán
o souhrnná evidence záznamu k incidentu
o kontroly
o aktuální zobrazení tabulky RASCI
o aktuální zobrazení tabulky Cíle řízení a opatření
management kontrol dodržování bezpečnostních politik (výstupy pro dozorové orgány).
Stránka 11 z 11