Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Dodatek č. 1
(dále jen „Dodatek“)
ke smlouvě č. 115/0182/2021, ze dne 12.05.2021 (dále jen „Smlouva"), uzavřený mezi:
smluvní strany: Národní rozvojová banka, a.s.
Přemyslovská 2845/43, Žižkov, 130 00 Praha 3
Obchodní jméno:
44848943
se sídlem:
C2699005898
IČO:
DIČ: zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze,
zápis v OR: pod sp. zn. B 1329
zastoupená: Tomáš Nidetzký, předseda představenstva a Pavel Marek, člen
představenstva
(pro účely tohoto Dodatku dále jen „Objednate|“)
Obchodníjméno: Orbitron, s. r. o.
Roudnice nad Labem, Dr. Slavíka 972, PSČ 41301
se sídlem:
28746406
IČO: C228746406
DIČ:
zápis v OR: zapsaná v obchodním rejstříku vedeném u Krajského soudu v Ústí nad
Labem, pod sp. zn. C 30421
zastoupená: Rostislav Opočenský, jednatel
(pro účely tohoto Dodatku dále jen „Poskytovatel“)
(Objednatel a Poskytovatel pro účely tohoto Dodatku společně dále také jako „Strany")
Dodatek se s účinností ke dni jeho uveřejnění v registru smluv stává nedílnou
součástí Smlouvy.
1. Preambule
1.1 S ohledem na skutečnost, že Evropský parlament a Rada Evropské unie přijaly
Nařízení (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti
finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) čí 648/2012, (EU)
č.600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (dale jen „nařízení DORA“), které
X
XX
stanovuje rámec pro zajištění bezpečnosti a odolnosti informačních
služeb používaných finančními institucemi v Evropské unii;
mimo jiné
systémů a
1.2 s přihlédnutím k povinnostem vyplývajícím z čl. 30 nařízení DORA, zejména
povinnosti finančních institucí a jejich poskytovatelů lKT služeb (tj. služeb v oblasti
informačních a komunikačních technologií) upravit smluvní vztahy tak, aby
zohledňovaly požadavky na digitální provozní odolnost a zajištění kontinuity služeb;
1.3 s vědomím, že nařízení DORA klade důraz na řádná smluvní ujednání zahrnující
požadavky na řízení rizik spojených s lKT, jakož i na zavedení příslušných kontrol
a monitorování poskytovaných služeb;
1.4 vzhledem k tomu, že Strany uznaly nutnost přizpůsobit svá smluvní ujednání, aby
zajistily shodu s nařízením DORA, a tímto zajistily kontinuální provoz a bezpečnost
poskytovaných služeb;
se Strany proto dohodly na následujícím Dodatku ke Smlouvě:
2. Úvodní ustanovení
2.1
2.2 Poskytovatel bere na vědomí, že poskytování služeb podle Smlouvy pro Objednatele
2.3 může být považováno za poskytování služeb lKT z řad třetích stran podle nařízení
2.4 DORA.
2.5
Pro tento případ se Poskytovatel zavazuje akceptovat pravidla stanovená v nařízení
2.6 DORA. která jsou v kontextu čl. 30 nařízení DORA detailněji rozpracována v tomto
3. Dodatku.
3.1
Strany se dohodly. že vzhledem k tomu, že tento Dodatek mění a doplňuje Smlouvu,
veškeré nové povinnosti a ustanovení obsažené v tomto Dodatku budou vloženy jako
nové Články za poslední Článek původní Smlouvy.
Články tohoto Dodatku nahrazují a mají přednost před jakýmikoli částmi Smlouvy.
které jsou s tímto Dodatkem v rozporu nebo se s ním neslučují. Všechny ostatní částí
Smlouvy, které nejsou tímto Dodatkem dotčeny. zůstávají nadále v platností
a účinnosti.
Pokud se ukáže, že některý z požadavků ve Smlouvě či v tomto Dodatku je v rozporu
s požadavky nařízení DORA (zejména čl. 30 nařízení DORA), použije se požadavek
Dodatku v rozsahu, který neodporuje požadavkům nařízení DORA;
Smlouvy či
požadavek Dodatku má v takovém případě přednost před požadavkem Smlouvy.
V rozsahu. v jakém si požadavky rozporují, se použije primárně požadavek nařízení
DORA.
Pokud Smlouva či tento Dodatek neupravují výslovně některé požadavky nařízení
DORA (zejména podle čl. 30 nařízení DORA), Poskytovatel se zavazuje požadavky
nařízení DORA na základě přímé použitelnosti akceptovat a plnit vůči Objednateli
bez výhrad, přičemž o této skutečnosti ho bez zbytečného odkladu výslovně
informuje.
Popis služeb a podmínky pro subdodavatele
Poskytovatel dodává (poskytuje) Objednateli následující služby a funkce lKT:
2|9
X
3.1.1 dodávka serveru Orbitron postaveného na HW základě HPE siLO
a doplněný o procesor Orbitron;
3.1.2 zajištění migrace stávajících dat Objednatele na nový HW;
3.1.3 odstraňování HW nebo SW závad Servisovaných zařízení Servisním
lhůtách dle Smlouvy;
zásahem, způsobem a ve
3.1.4 zajišťování údržby (aktualizace, záplatování) operačního sytému, software
lcinga a souvisejícího software tvoříciho řešení Orbitron Enterprise;
3.1.5 aktualizace a doplňování konfigurace dohledového systému tak, aby
reagoval na vývoj a změny Datové sítě Objednatele a dalších dohledových
prvků Objednatele;
3.1.6 Servisní činnost na Servisované zařízení a Softwarovou podporu.
3.2 Poskytovatel nezajišťuje shora uvedené služby a funkce IKT prostřednictvím
subdodavatelů.
Umístění služeb a zpracování dat
Poskytovatel se zavazuje poskytovat Objednateli nasmlouvané funkce a služby lKT
a zpracovávat data na následujících místech:
4.1.1 Místa poskytování služby: Česká republika
4.1.2 Místa uchovávání dat: Česká republika
4.1.3 Místa zpracování dat: Česká republika
4.2 Poskytovatel se zavazuje hlásit Objednateli sdostatečným předstihem změny
týkající se zpracování dat (zejména přechod na cloudové řešení, změna providera
cloudových služeb, změna místa zpracování či uchovávání jakýchkoliv dat) a dále
změny, které mohou vyvolat snížení bezpečnosti či stability poskytované služby,
ato např. snížení kvality IT zabezpečení, změna operačního systému, změna
vnastavení přístupových oprávnění, významné snížení výkonnosti HW, změny
v pohotovostních plánech (např. geografická změna back-up řešení), ztráta původně
deklarované certifikace.
4.3 Poskytovatel zajistí, že nová mista budou splňovat stejné nebo vyšší standardy
bezpečnosti a ochrany dat jako stávající místa.
4.4 Objednateí je oprávněn, pokud by na základě posouzení rizik zjistil, že změna místa
poskytování služeb, zpracovávání nebo uchovávání dat představuje riziko, které
překračuje toleranci rizika Objednatele, požadovat, aby ke změně místa nedošlo,
nebo aby bylo zvoleno jiné misto.
4.5 Poskytovatel se zavazuje, že jakákoliv změna míst poskytování služeb nebo
zpracování dat nebude mít negativní dopad na kvalitu, bezpečnost a kontinuitu
poskytovaných služeb.
4.6 Poskytovatel zajistí, že veškeré změny budou provedeny způsobem, který
minimalizuje riziko výpadku služeb a ochrání důvěrnost, dostupnost a integritu dat
Objednatele.
XXX
Ochrana dat a zabezpečení informací
Poskytovatel se zavazuje zajistit pro Objednatele nepřetržitou dostupnost
zpracovávaných údajů (vč. osobních údajů), a to prostřednictvím zabezpečených
protokolů, a přijmout veškerá nezbytná opatření, aby minimalizoval riziko výpadků
a zajistil, že údaje budou vždy dostupné pro autorizované uživatele.
5.2 Vedle toho Poskytovatel zajistí, že:
5.2.1 veškeré údaje zpracovávané pro Objednatele budou hodnověrné a správné.
Poskytovatel bude pravidelně provádět kontroly a validace údajů, aby
zajistil jejich přesnost a aktuálnost;
5.2.2 zpracovávané údaje nesmí být neoprávněné měněny, poškozeny nebo
zničeny. Poskytovatel přijme technická a organizační opatření k ochraně
integrity údajů, včetně pravidelného zálohování azabezpečení proti
neoprávněnému přístupu;
5.2.3 bude zachována důvěrnost všech údajů zpracovávaných pro Objednatele
a že údaje budou přístupné pouze oprávněným osobám a budou chráněny
před neoprávněným přístupem, zveřejněním nebo použitím; a
5.2.4 přijme a bude udržovat vhodná technická a organizační opatření k zajištění
dostupnosti, hodnověrnosti, integrity a důvěrnosti údajů. Tato opatření
budou zahrnovat, ale neomezovat se na, šifrování, autentizaci uživatelů,
kontrolu přístupu a pravidelné bezpečnostní audity.
Přístup k datům a jejich obnova v krizových situacích
Poskytovatel se zavazuje v případě platební neschopnosti (nikoliv pouze
insolvence), řešení krize, přerušení činností Poskytovatelé nebo ukončení Smlouvy
z jakéhokoliv důvodu, že zpracovávané údaje bude možné obnovit, vrátit
a zpřístupnit ve strukturovaném, strojově čitelném formátu dle pokynů Objednatele,
který bude odpovídat aktuálním standardům a potřebám Objednatele. Zpracovávané
údaje musí být vždy kompletní, obsahovat celou databázi, včetně vazeb a zachování
pravosti a správnosti dat, to vše tak, aby importem předaného souboru došlo ke
kompletnímu obnovení databáze způsobilém nasazeni v ostrém provozu
v příslušném prostředí. Poskytovatel je povinen předat Objednateli export takových
data databází nejpozději do 14 dnů ode dne doručení výzvy k jejich předání.
6.2 V případě přerušení činností Poskytovatelé nebo ukončení Smlouvy je Poskytovatel
povinen:
6.2.1 po dobu 90 kalendářních dnů po ukončení Smlouvy nadále zajišťovat přístup
Objednatele ke zpracovávaným údajům a jejich obnovu;
6.2.2 neprodleně informovat Objednatele o plánovaných opatřeních a časovém
rámci pro zajištění přístupu a vrácení zpracovávaných údajů;
6.2.3 poskytnout Objednateli přístup ke zpracovávaným údajům a zajistit jejich
obnovu v dohodnutém termínu; a
6.2.4 poskytnout Objednateli nebo jím určené třetí osobě přiměřenou pomoc
asoučinnost při vyhledávání obsahu zprodukčního prostředí, včetně
pomoci s pochopenim struktury aformátu exportního souboru databáze
XXX
XX
a zpracovávaných údajů, včetně vazeb, a zprovozněním funkční databáze
v ostrém provozu po obnově nebo předání poskytování služeb.
Úroveň služeb a pravidla pro aktualizace (SLA)
Poskytovatel se zavazuje poskytovat služby v souladu s SLA a je povinen pravidelně
aktualizovat a revidovat SLA tak, aby byly vždy v souladu s aktuálními požadavky
Objednatele. Poskytovatel se zavazuje informovat Objednatele o všech potřebných
změnách SLA.
7.2 Veškeré změny SLA musí být písemné komunikovány Objednateli azahrnovat
detailní popis:
7.2.1 navrhované změny,
7.2.2 důvodu pro její zavedení,
7.2.3
očekávaný dopad na poskytované služby (kvalita, vazba na další SLA
a relevantní aktiva Objednatele), a
7.2.4 očekávaný dopad do ceny služeb.
7.3 Jakékoli změny SLA musí být následně schváleny oběma smluvními stranami
v souladu se Smlouvou. Neobsahuje-li Smlouva ustanovení pro schvalování
takových změn (změnové řízení), je změna SLA možná pouze dodatkem k Smlouvě.
Objednatel má právo odmítnout navrhované změny, zejména pokud se domnívá, že
by mohly negativně ovlivnit kvalitu nebo dostupnost poskytovaných služeb a/nebo
bezpečnost informací, resp. jeho aktiv.
Podpora při IKT incidentech
V případě jakéhokoli bezpečnostního incidentu, který by mohl ovlivnit dostupnost,
hodnověrnost, integritu nebo důvěrnost údajů, a o kterém se Poskytovatel dozvěděl,
Poskytovatel neprodleně, nejpozději do 6 hodin od zjištění bezpečnostního
incidentu, informuje Objednatele a neprodleně přijme veškerá nezbytná nápravná
opatření. Informace o incidentu musí obsahovat nejméně takové informace, aby
Objednatel byl schopen vyhodnotit dopady, rizika a přijmout nápravná opatření
a nahlásit incident orgánu dohledu, pokud je k tomu povinen.
8.2 Objednatel bude Poskytovateli vrámci prevence incidentů poskytovat informace
týkající se:
8.2.1 povahy, běžných příčin a řešení historických bezpečnostních incidentů
a dalších okolností, u nichž lze důvodně očekávat, že budou mít závažný
dopad na služby, které Objednatel používá v rámci poskytovaných služeb;
8.2.2 vyhodnocení nových hrozeb Poskytovatele; a
8.2.3 významných změn v plánech Poskytovatele pro obnovení činnosti
a pohotovostních plánech nebo jiných okolností, které by mohly mít závažný
dopad na používání služeb Objednatelem.
8.3 Poskytovatel se zavazuje poskytnout Objednateli okamžitou a nezbytnou pomoc
v případě, že dojde k incidentu v oblasti IKT, bez ohledu na to, jestli souvisí se
službou IKT poskytovanou Objednateli Poskytovatelem nebo ne. Poskytovatel
spolupracuje s Objednatelem při řešení incidentů a poskytne veškerou nezbytnou
podporu k minimalizaci dopadů a zajištění obnovy dat.
8.4 Strany se dohodly, že pomoc a spolupráce při incidentech bude poskytována:
8.5 8.4.1 proaktivně a bez jakýchkoliv dodatečných nákladů pro Objednatele (jako
8.6 součást ceny služeb dle Smlouvy), pokud jde o incident:
9.1 a) způsobený Poskytovatelem nebo jeho subdodavatelem (úmyslně
9.2
iz nedbalosti), nebo
b) na aktivech Poskytovatelé nebo jeho subdodavatele, pokud má vliv na
nebo se týká poskytovaných služeb dle Smlouvy a/nebo aktiv užitých
k poskytování těchto služeb s vlivem na poskytované služby,
způsobené kýmkoliv, vyjma Objednatele,
8.4.2 na žádost Objednatele a za náklady specifikované v Smlouvě či Dodatku,
pokud jde o ostatní incidenty.
Poskytovaná pomoc zahrnuje, ale není omezena na, technickou podporu, analýzu
a řešení incidentů, obnovení služeb a dat a poskytování informací nezbytných pro
řešení incidentu.
Poskytovatel se dále zavazuje:
8.6.1 spolupracovat s Objednatelem a dalšími relevantními stranami na rychlém
a efektivním řešení incidentu;
8.6.2 zahájit reakci na incident a poskytování součinnosti a spolupráce okamžité
po jeho zjištění (případně po obdržení žádosti dle odst. 8.4.2 tohoto
8.6.3 Dodatku) a bude pokračovat, dokud nebude incident plně vyřešen a služby
8.6.4
obnoveny;
věst podrobnou dokumentaci o všech ohlašovaných incidentech v oblasti
IKT, včetně příčin, dopadů, přijatých opatření a výsledků řešení;
poskytnout na vyžádání Objednatele pravidelné zprávy o stavu řešení
incidentu a závěrečnou zprávu po jeho vyřešení.
Spolupráce s příslušnými orgány dohledu a s orgány příslušnými k řešení krize
finančního subjektu
Poskytovatel se zavazuje plně spolupracovat spříslušnými orgány dohledu
asorgány příslušnými křešení krize finančního subjektu, včetně osob jimi
jmenovaných (dále jen "Příslušné orgány"). VČeské republice se jedná zejm.
o NÚKIB, či ČNB.
Spolupráce Poskytovatelé s Příslušnými orgány zahrnuje zejména:
9.2.1 Poskytování všech nezbytných informaci, dokumentů azáznamů
požadovaných Příslušnými orgány.
9.2.2 Umožnění přístupu Příslušných orgánů kaktivům Poskytovatelé ajeho
subdodavatelů (systémům, datům ajiným prostředkům), které jsou nutné
pro účely výkonu činností Příslušných orgánů vsouladu správními
předpisy.
6|9
9.2.3 Podporu Příslušných orgánů při provádění jakýchkoli nezbytných opatření
(u dohledu pravomocných), která jsou
v souvislosti s řešením krize
finančního subjektu považována za potřebná.
9.3 Poskytovatel je povinen neprodleně (nejpozději do 3 kalendářních dní) informovat
Objednatele ojakýchkoli událostech nebo změnách, které by mohly mít vliv na
schopnost Poskytovatele plnit své povinnosti vůči Příslušným orgánům podle tohoto
Dodatku.
9.4 Poskytovatel je povinen zajistit, aby veškeré informace poskytované Příslušným
orgánům byly chráněny vsouladu spříslušnými právními předpisy aaby byla
zajištěna jejich důvěrnost, integrita a bezpečnost.
9.5 V případě. že Poskytovatel nesplní svě povinnosti stanovené tímto článkem,
je Objednatel oprávněn uplatnit vůči Poskytovateli sankce v souladu s ustanoveními
tohoto Dodatku a příslušnými právními předpisy a Příslušný orgán je oprávněn
uplatnit sankce v souladu s příslušnými právními předpisy.
10. Práva a podmínky pro ukončení Smlouvy
10.1
Objednatel může s výpovědní dobou v délce 20 kalendářních dní vypovédét jakoukoli
nebo všechny Poskytovatelem na základě Smlouvy poskytované služby,
a to zejména v následujících případech:
10.1.1 výslovně tak určí a pravomocně rozhodne Příslušný orgán;
10.1.2 Poskytovatel poruší povinnosti vyplývající z nařízení DORA;
10.1.3 jsou identifikovány objektivní překážky, které mohou významné změnit
výkonnost outsourcované funkce;
10.1.4 výsledkem posouzení rizik Objednatele je skutečnost, že nová ujednání
nebo podstatně změny nesou úroveň rizika. která přesahuje jeho
toleranci
k riziku;
10.1.5 existují nedostatky týkající se správy a zabezpečení údajů nebo informací
Objednatele ze strany Poskytovatelé; a
10.1.6 došlo k podstatným změnám, které negativně ovlivňují poskytování služeb
Poskytovatele.
11. Účast na školeních a bezpečnostních programech
11.1
Poskytovatel se zavazuje pravidelně se účastnit programů zvyšování povědomí
11.2 o bezpečnosti v oblasti lKT a školeních o digitální provozní odolnosti, které
vypracuje Objednatel (dále jen „Vzdělávání“). Vzdělávání bude zahrnovat všechny
zaměstnance a pracovníky Poskytovatelé avedoucí pracovníky podílející se na
poskytování služeb, a pokud to bude předepsáno isubdodavatele. přičemž úroveň
školení bude přizpůsobena jejich funkcím a odpovědnostem.
Požádá-li oto Objednatel, má Poskytovatel povinnosti poskytnout Objednateli
součinnost vč. informací a know-how při přípravě Vzdělávání, a to včetně podílení
se na tvorbě obsahu Vzdělávání tak, aby odpovídalo úrovni složitosti ůměrné výkonu
funkcí poskytovatelů služeb IKT. Strany budou při odhadu nákladů na takovou
součinnost postupovat obdobně, jako u řešení incidentů na žádost Objednatele.
XXX
XXX X
Přesný čas a misto určí Objednatel nejpozději 7 kalendářních dní před konáním
Vzdělávání.
12. Závěrečná ustanovení
12.1
12.2 Tento Dodatek je zpracován v listinném vyhotovení ve dvou stejnopisech, z nichž
12.3 každá Strana obdrží jedno vyhotovení.
12.4 Ostatní ustanovení Smlouvy, která nejsou dotčena tímto Dodatkem, zůstávají beze
změn.
Tento Dodatek podléhá povinnosti uveřejnit jej v registru smluv podle zákona č.
340/2015 Sb., o registru smluv, ve znění pozdějších předpisů (dále jen „ZRS").
Dodatek nabývá platností dnem podpisu oběma Stranami a účinnosti dnem jeho
uveřejnění v registru smluv podle ZRS, Strany se dohodly, že uveřejnění Dodatku
v registru smluv zajistí Objednatel. Strany potvrzují, že si před uzavřením Dodatku
vzájemně odsouhlasily ustanovení, která obsahují obchodní tajemství a budou
předmětem anonymizace v souladu se ZRS.
S ohledem na skutečnost, že požadavky plynou z přímo použitelného nařízení DORA
Strany sjednávaji, že v souvislosti s těmito požadavky nevzniká stranám nárok na
dodatečnou odměnu, nedohodnou-li se Strany písemně jinak. Vtakovém případě
plnění požadavků dle tohoto Dodatku je tak již součástí odměny (ceny) dle Smlouvy.
podpisy Stran jsou uvedeny na další straně (níže)
X
Strany prohlašují, že si tento Dodatek přečetly, že s jeho obsahem souhlasí a na důkaz toho
k němu připojuji
svoje podpisy.
Podepsáno v 745%' dne 01% 1,47- Podepsáno v Roudnici nad Labem dne 19.
listopadu 2024
Národní rozvojová banka, a.s. Orbitron, s. r. o
Marek, člen Zastoupené:
Zastoupené: Pavel Rostislav Opočenský, jednatel
představenstva
Podepsánov ”(435 dn/e .1.4. !elf
X X
Národní rozvojová banka, a.s.
Zastoupené: Tomáš Nidetzký, předseda
představenstva
XXX