Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Hlídač Smluv
  3. Smlouva č. 32131456: Smlouva o dílo - kybernetická bezpečnost
  4. Textová podoba smlouvy

Textová podoba smlouvy Smlouva č. 32131456: Smlouva o dílo - kybernetická bezpečnost

Příloha Smlouva_25020009.docx

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud 

                        8


SMLOUVA O DÍLO 
	na veřejnou zakázku s názvem 	

Systém řízení bezpečnosti informací a báze znalostí v oblasti kybernetické bezpečnosti včetně souvisejících procesů a dokumentace – opakovaná VZ
(číslo projektu: CZ.31.1.01/MV/23_55/0000055)

	Číslo SOD Zhotovitele: 

	Číslo SOD Objednatele: 04/2025

uzavřená mezi níže uvedenými smluvními stranami dle § 2586 a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů („Smlouva“)

I. Smluvní strany


1. Objednatel: 	Fakultní Thomayerova nemocnice 
                Vídeňská 800 
                 140 59 Praha 4 – Krč, 
IČ: 00064190
DIČ: CZ00064190
Bankovní spojení: XXX
číslo účtu: XXX 
Státní příspěvková organizace zřízená Ministerstvem zdravotnictví ČR, zapsaná v obchodním rejstříku u Městského soudu v Praze, oddíl Pr, vl. 1043
Zastoupená: doc. MUDr. Zdeněk Beneš, CSc. – ředitel nemocnice

Ve věcech technických, předání a převzetí díla je za Objednatele oprávněn jednat a podepisovat: OU OU
(dále také jen „Objednatel“)

na straně jedné
    
a
	2. Zhotovitel:
	Účastníci konsorcia „Konsorcium I3 Consultants a znalec”, na základě
smlouvy uzavřené dle ustanovení § 1746 odst. 2) zákona č. 89/2012
Sb., občanský zákoník.

I3 Consultants s.r.o. jako hlavní účastník „Konsorcia I3 Consultants a znalec”
K Trninám 945/34
163 00 Praha 6 - Řepy

	IČ
	27921344

	DIČ:  
	CZ27921344

	Bankovní spojení:
	XXX

	Číslo účtu:


a
	XXX


	
	Ing. Jaroslav Balcar, DBA, MBA, LL.M. jako účastník „Konsorcia I3 Consultants a znalec“
Bulharská 996/20
Praha 10 Vršovice, PSČ 101 00

	IČ
	13877887

	DIČ:  
	CZ6310231411

	Bankovní spojení:
	XXX

	Číslo účtu:
	XXX

	

	Zastoupený ve věcech smluvních:
	Ing. Igor Prosecký, jednatel

	Telefon
	OU OU

	e-mail
	OU OU


	Zastoupený ve věcech technických
	Ing. Jaroslav Balcar, DBA, MBA, LL.M.

	Telefon
	OU OU

	e-mail
	OU OU

	             
(dále také jen „Zhotovitel“)
na straně druhé                                                                                    
         	                    
 (Objednatel a Zhotovitel společně jako „smluvní strany“, jednotlivě též jako „smluvní strana“) 	                		
II. Účel smlouvy a úvodní ustanovení

1. Tato smlouva je uzavírána za účelem vytvoření díla – zavedení systému řízení bezpečnostní dokumentace dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů.
2. Tato smlouva je uzavírána na základě zadávacího řízení veřejné zakázky pod názvem: „Systém řízení bezpečnosti informací a báze znalostí v oblasti kybernetické bezpečnosti včetně souvisejících procesů a dokumentace – opakovaná VZ“ (číslo projektu: CZ.31.1.01/MV/23_55/0000055), vyhlášené 25.10.2024, evidenční číslo VZ ve VVZ: Z2024-053387.
Zhotovitel se zavazuje splnit předmět plnění v souladu s podmínkami tohoto výběrového řízení, jím podanou nabídkou a touto smlouvou.
3. Objednatel je povinen v souladu se zákonem č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“) ve stanovené lhůtě po uzavření Smlouvy uveřejnit celé znění smlouvy, tj. včetně všech příloh. Zhotovitel prohlašuje, že je s tímto srozuměn. Současně zhotovitel bere na vědomí, že obsah smlouvy včetně dodatků může být poskytnut žadateli v režimu zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, a současně vyjadřuje souhlas se zveřejněním smlouvy včetně všech dodatků v Registru smluv.
4. Zhotovitel prohlašuje, že není nespolehlivým plátcem DPH a že v případě, že by se jím v průběhu trvání smluvního vztahu stal, tuto informaci neprodleně sdělí objednateli.
5. Zhotovitel prohlašuje, že není slabší stranou ve smyslu § 433 občanského zákoníku.
6. Zhotovitel prohlašuje, že je odborně způsobilý k zajištění předmětu této smlouvy.


III. Předmět plnění 


Předmětem této smlouvy jsou služby spojené s tvorbou bezpečnostní dokumentace a výkonem bezpečnostních rolí manažera kybernetické bezpečnosti a architekta kybernetické bezpečnosti po celou dobu trvání platnosti této smlouvy. Tyto služby mají ve FTN zajistit systém řízení bezpečnosti informací a báze znalostí v oblasti kybernetické bezpečnosti včetně souvisejících procesů a dokumentace.
Dílo dle této smlouvy bude splňovat požadavky a podmínky této smlouvy, zadávací dokumentace a nabídky zhotovitele, právních předpisů a podmínek vztahujících se k předmětu této smlouvy.

III.1. Obecné požadavky na tvorbu bezpečnostní dokumentace a související služby:

a) Vytvoření systému bezpečnostní dokumentace a návrhu koncepce kybernetické bezpečnosti pro zadavatele dle aktualizovaných doporučení NÚKIB. 
b) Předmět plnění zahrnuje revizi stávající bezpečnostní dokumentace zadavatele, aktualizace a případné doplnění ve struktuře dle přílohy číslo 5. k vyhlášce č. 82/2018 Sb., vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat. V případě přijetí nového ZoKB a VoKB bude dokumentace revidována a případně doplněna na požadavky nového ZoKB a VoKB.
c) Předmět plnění zahrnuje vytvoření obsahu e-learningového kurzu pro členy Výboru KB, pro garanty a gestory aktiv (může být jeden kurz dohromady) a pro privilegované uživatele (IT administrátory) do e-learningového systému zadavatele. Pokud bude v příloze nové VoKB seznam doporučených témat pro rozvoj bezpečnostního povědomí, tyto kurzy je musí obsahovat.
d) Pokud v novém zákonu a vyhlášce nebude taxativně vyjmenován rozsah povinné dokumentace, bude jako minimum brán rozsah podle přílohy číslo 5. k vyhlášce č. 82/2018 Sb., vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat.
e) Součástí dodávaných služeb bude projektové řízení realizace předmětu plnění této smlouvy.

Podrobné požadavky na tvorbu bezpečnostní dokumentace a související služby viz příloha č. 1 této smlouvy „Specifikace služeb a výstupů zakázky“.


III.2. Požadavky na výkon bezpečnostních rolí manažera kybernetické bezpečnosti a architekta kybernetické bezpečnosti:

a) Výkon role manažera kybernetické bezpečnosti.
b) Výkon role architekta kybernetické bezpečnosti.
c) Předmět plnění zahrnuje výkon bezpečnostních rolí po celou dobu vypracovávání a implementace výstupů vyplývajících z této smlouvy, včetně příslušných odpovědností a kompetencí a včetně případného předání role po skončení platnosti této smlouvy.
d) Prezentace výstupů pro management objednatele v místě sídla objednatele.
e) Z důvodu požadavku na vzájemnou zastupitelnost rolí požadujeme, aby roli manažera kybernetické bezpečnosti a architekta kybernetické bezpečnosti vykonávaly dvě různé osoby.

Podrobné požadavky na výkon bezpečnostních rolí a související služby viz příloha č. 1 této smlouvy „Specifikace služeb a výstupů zakázky“.


III.3. Obecné požadavky na předmět plnění 

a) Zhotovitel se zavazuje pro objednatele provádět všechny činnosti osobně, nebo prostřednictvím jím pověřených zaměstnanců dodavatele nebo jeho poddodavatelů. Činnosti související s výkonem bezpečnostních rolí (manažer a architekt kybernetické bezpečnosti), činnosti v místě plnění a činnosti přímo související s tvorbou požadovaných dokumentů musí provádět osoby, kterými zhotovitel prokazoval kvalifikaci k plnění této veřejné zakázky a uvedl je jako realizační tým.
b) Pro potřeby plnění je stanoven minimální počet fyzických (osobních) jednání (analýz, projednání zjištění, revize stavu, předání a projednání výstupů) v místech realizace předmětu plnění. Smluvně daný min. počet je uveden ve Smlouvě. Při výkonu bezpečnostních rolí je osobní účast osob zhotovitele nutná.
c) Jednání, konzultace a další části realizace předmětu plnění nad rámec tohoto min. počtu mohou být realizovány vzdáleně, nicméně oprávněný zástupce objednatele má právo vyžádat účast na jednání na místě.
d) V rámci plnění zakázky zajistí zhotovitel soulad s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob (GDPR – General data protection regulation) v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů u jím dodávaného plnění a osob.
e) V rámci plnění zakázky zajistí zhotovitel soulad se Zákonem č. 181/2014 Sb., o kybernetické bezpečnosti v aktuálním znění (ZoKB) a vyhláškou Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti v aktuálním znění (VoKB) u jím dodávaného plnění a osob.
f) V rámci plnění zakázky zajistí zhotovitel soulad s prováděcím nařízením Komise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad incidentu významný (dále jen „PNK“- Prováděcí nařízení Komise).
g) V rámci plnění zakázky zajistí zhotovitel soulad se SMĚRNICÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).
h) V rámci plnění zakázky zajistí zhotovitel soulad s návrhem nového zákona o kybernetické bezpečnosti a jeho vyhlášek (zejména s návrhem Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností), který byl veřejnosti předložen k připomínkám a diskuzi ve verzi zveřejněná ve VeKLEP pro účely mezirezortního připomínkového řízení.


III.4. Etapy předmětu plnění 

Objednatel požaduje rozvržení plnění této veřejné zakázky etap viz níže.
Výkon bezpečnostních rolí manažera kybernetické bezpečnosti a architekta kybernetické bezpečnosti bude probíhat po celou dobu vypracování a implementace výstupů této smlouvy (průběžně po dobu všech etap). Podrobné požadavky na tvorbu bezpečnostní dokumentace a související služby viz příloha č. 1 této smlouvy „Specifikace předmětu plnění“.

Etapa A
· Vytvoření systému bezpečnostní dokumentace a návrhu koncepce kybernetické bezpečnosti pro zadavatele dle aktualizovaných doporučení NÚKIB. 
· Vypracování Návrhu architektury kybernetické bezpečnosti.
· Vytvoření procesně prováděcí směrnice kybernetické bezpečnosti zadavatele. 
· Revize stávající Metodiky pro hodnocení dopadů a stávající Metodiky pro identifikaci a hodnocení aktiv a hodnocen rizik. Vypracování Dopadové analýzy a Zprávy o hodnocení aktiv a rizik – identifikace a hodnocení primárních a podpůrných aktiv, identifikace jejich hrozeb a zranitelností a výpočet hodnot jednotlivých rizik.

Etapa B
· Vypracování Metodiky řízení dodavatelů, vypracování podkladů pro konkrétní určení provozovatele ISZS a významného dodavatele technologií, vypracování konkrétních vzorů dodatků ke smlouvám pro tyto kategorie dodavatelů.
· Audit stávajících smluvních vztahů (min. 3 provozovatele ISZS, 2 významné dodavatele z oblasti SW podpůrných aktiv, 2 významné dodavatele HW podpůrných aktiv a 2 významné dodavatele zdravotnické techniky (přístrojů, analyzátorů, ...) včetně návrhu smluvního řešení a návrhu bezpečnostních opatření ke snížení rizik.

Etapa C
· Vytvoření obsahu e-learningového kurzu pro členy Výboru KB, pro garanty a gestory aktiv (může být jeden kurz dohromady) a pro privilegované uživatele (IT administrátory) do e-learningového systému objednatele. Pokud bude v příloze nové VKB seznam doporučených témat pro rozvoj bezpečnostního povědomí, tyto kurzy je musí obsahovat.

Etapa D
· Vypracování Prohlášení o aplikovatelnosti – vypracovat nebo aktualizovat přehled stavu organizačních a technických bezpečnostních opatření.
· Vypracování Plánu zvládání rizik – vypracovat nebo aktualizovat plán implementace bezpečnostních opatření.
· Revize stávající bezpečnostní dokumentace zadavatele, aktualizace a případné doplnění ve struktuře dle přílohy číslo 5. odst. 1 k vyhlášce č. 82/2018 Sb., vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat. V případě přijetí nového ZoKB a VoKB bude dokumentace revidována a případně doplněna na požadavky nového ZoKB a VoKB.
· Další bezpečnostní dokumentace dle přílohy číslo 5. odst. 2 k vyhlášce č. 82/2018 Sb., vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat. Zejména:
a. Plán provádění auditu kybernetické bezpečnosti.
b. Zpráva z přezkoumání systému řízení bezpečnosti informací.
c. Plán rozvoje bezpečnostního povědomí.
d. Přehled obecně závazných právních předpisů, vnitřních předpisů, jiných předpisů a smluvních závazků.
e. Plány kontinuity činností a Plány obnovy na úroveň jednotlivých aktiv.
f. Evidence technických aktiv, která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a jejich zahrnutí do Plánu zvládání rizik a Prohlášení o aplikovatelnosti.
g. Evidence technických aktiv, účtů a autentizačních mechanismů, které nesplňují požadavek na vícefaktorovou autentizaci a jejich zahrnutí do Plánu zvládání rizik a Prohlášení o aplikovatelnosti.
h. Doporučená segmentace infrastruktury. 
i. Přehled technických aktiv v rozsahu systému řízení bezpečnosti informací, zejména síťových zařízení, aktivních prvků, koncových zařízení a serverů.
· Další dokumentace výše neuvedená, pokud by byla nutná dle návrhu Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
· Pokud v novém zákonu a vyhlášce nebude taxativně vyjmenován rozsah povinné dokumentace, bude jako minimum brán rozsah podle přílohy číslo 5. k vyhlášce č. 82/2018 Sb., vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat.


III.5. Harmonogram předmětu plnění 

a) Zahájení plnění je nejpozději do 5 dnů od nabytí účinnosti smlouvy.
b) Maximální termín plnění etap A až D je do 31. 12. 2025 (dodání a schválení všech požadovaných výstupů).
c) Zhotovitel bude postupovat dle celkového harmonogramu realizace dodávky předmětu plnění předloženého v rámci výběrového řízení. Dodaný harmonogram je nedílnou součástí této smlouvy. Dodaný harmonogram musí odpovídat struktuře a požadavkům jednotlivých etap, včetně vypracování a předání všech požadovaných výstupů za danou etapu.
d) Jednotlivé etapy A až D na sebe nemusí v dodaném harmonogramu navazovat, mohou se prolínat a probíhat současně. Dodaný harmonogram ale musí obsahovat všechny požadované etapy a příslušné výstupy (vypracované, upravené, nebo aktualizované bezpečnostní dokumentace). Dodaný harmonogram musí také počítat s požadavkem na minimální počet fyzických (osobních) jednání (analýz, projednání zjištění, revize stavu, předání a projednání výstupů, kontrolních dnů) v místech realizace předmětu plnění viz body III.5. e) a III.6.
e) Cílem projektu CZ.31.1.01/MV/23_55/0000055 „Systém řízení bezpečnosti informací a báze znalostí v oblasti kybernetické bezpečnosti včetně souvisejících procesů a dokumentace“ je vytvořit ucelený systém řízení bezpečnosti informací a báze znalostí v oblasti kybernetické bezpečnosti, který bude jednoznačně vycházet z podmínek objednatele a bude implementován do všech relevantních procesů organizace, kterým se bude organizace řídit a systém bude organizaci v oblasti kybernetické bezpečnosti chránit. Z tohoto důvodu požaduje objednatel osobní účast realizačního týmu na realizaci zpracování výstupů předmětu plnění a dalších jednání v místě plnění zakázky (celkem pro etapy A až D) v následujícím minimálním rozsahu:
a. Pro roli manažera kybernetické bezpečnosti – minimálně 60 MD v místě plnění
b. Pro roli architekta kybernetické bezpečnosti – minimálně 60 MD v místě plnění
c. Pro ostatní členy realizačního týmu – minimálně 60 MD v místě plnění
Náklady spojené s osobní účastí realizačního týmu jsou zahrnuty v celkové ceně díla vč. DPH.
f) K předávání dílčích plnění požadovaných výstupů bude realizováno dle dodaného harmonogramu tak, aby mohlo být částečné plnění fakturováno. Dodaný harmonogram je pro zhotovitele závazný.

III.6. Způsob plnění díla a přejímací řízení 
a) Zhotovitel bude s objednatelem pravidelně konzultovat provádění díla a brát v potaz všechny průběžné připomínky objednatele, které musí být prokazatelně vypořádány.
b) Vytvořený systém řízení bezpečnosti informací a příslušná dokumentace, dle specifikace předmětu veřejné zakázky, musí být vytvořena zhotovitelem na základě podrobných znalostí prostředí objednatele v oblasti ICT infrastruktury, informačních systémů, souvisejících procesů a vazeb. Pro potřeby plnění je proto stanoven minimální počet fyzických (osobních) jednání (analýz, projednání zjištění, konzultací, revize stavu, předání a projednání výstupů, kontrolních dnů) v místě realizace předmětu plnění. Jednání budou probíhat se zaměstnanci IT zadavatele, správci, garanty aktiv, uživateli informačních systémů zadavatele – dle oblastí jednotlivých etap realizace díla, popřípadě s dalšími zaměstnanci objednatele dle potřeby. Osobních jednání v místě realizace předmětu plnění se budou za zhotovitele účastnit osoby uvedené v realizačním týmu, dle potřeby a v minimálním rozsahu uvedeném v bodě III.5. Jednání, konzultace a další části realizace předmětu plnění nad rámec tohoto min. počtu mohou být realizovány vzdáleně, nicméně oprávněný zástupce objednatele má právo vyžádat účast na jednání na místě. Do tohoto počtu budou započteny i kontrolní dny dle následujícího odstavce. Seznam fyzických jednání bude písemně zaznamenán do předávacího protokolu a bude potvrzen zástupcem objednatele. Neposkytnutí požadovaného rozsahu jednání bude považováno za podstatnou vadu díla, na základě které, bude moci objednatel odmítnout dílo nebo jeho část převzít.
c) Zhotovitel se zavazuje účastnit kontrolních dnů v počtu minimálně jednoho kontrolního dne v průběhu každého měsíce plnění díla, kde představí, vysvětlí a obhájí postup na jednotlivých částech díla. Zhotovitel se zavazuje účastnit i dalších jednání, jestliže jejich potřeba svolání vyvstane v průběhu provádění díla. Náklady spojené s účastí na kontrolních dnech jsou zahrnuty v celkové ceně díla vč. DPH.
d) Jednání na kontrolním dnu bude probíhat následovně:
· jednání bude svolávat zástupce objednatele a bude probíhat na půdě objednatele,
· moderování jednání bude v kompetenci zhotovitele,
· na jednáních budou prezentovány a vysvětleny návrhové verze předmětu plnění, vznášeny připomínky k návrhům, odsouhlaseny a schváleny konečné verze jednotlivých částí předmětu plnění,
· prezentace může být provedena formou promítnutí základních informací z aplikace Powerpoint či obdobné a bude doplněna komentářem zhotovitele. Při prezentaci budou ze strany zhotovitele přítomny osoby zodpovědné za zpracování prezentované části, aby mohly reagovat na dotazy a připomínky,
· zápis z jednání bude pořizovat zhotovitel a bude odeslán objednateli následující pracovní den po jednání k odsouhlasení,
· na jednání si zhotovitel vymezí dostatečný časový prostor (až 1 pracovní den).
e) Z jednotlivých jednání budou pořizovány zhotovitelem zápisy obsahující minimálně:
· identifikační údaje objednatele a zhotovitele,
· identifikace díla,
· jmenovitý seznam účastníků jednání,
· popis průběhu jednání,
· připomínky k plnění díla vznesených v průběhu jednání,
· způsob vypořádání připomínek, byly-li na předcházející schůzce vzneseny,
· seznam stanovených úkolů pro odpovědné pracovníky, případně návrh způsobu řešení a datum jejich splnění.
f) K předání a převzetí díla, resp. jeho dílčích částí dojde na základě přejímacího řízení mezi zhotovitelem a objednatelem, a to podepsáním předávacího protokolu s následujícím minimálním obsahem:
· údaje o zhotoviteli (poddodavateli) a objednateli, tj. obchodní firma/název, sídlo/místo podnikání, IČO, jména osob oprávněných jednat jejich jménem,
· identifikace díla, které je předáváno,
· soupis vad a nedodělků, je-li to relevantní,
· prohlášení zadavatele, zda dílo přejímá či nikoliv,
· datum, odkdy běží záruční doba, a datum jejího skončení.
g) Vlastnické právo k dílu a nebezpečí škody na věci přechází na objednatele převzetím jednotlivých etap předmětu plnění, tj. podepsáním předávacího protokolu objednatelem.
h) Nedohodnou-li se strany jinak, pořizuje předávací protokol o provedení díla zhotovitel.
i) Předávací protokol s daty zahájení a ukončení přejímacího řízení podepíší oprávnění zástupci smluvních stran.
j) Jestliže je předávací protokol podepsán smluvními stranami, považují se údaje o opatřeních a lhůtách v zápise uvedených za dohodnuté, pokud některá ze smluvních stran výslovně v zápise neuvede, že s určitými body zápisu nesouhlasí. Jestliže objednatel v zápise popsal vady, nebo uvedl, jak se vady projevují, platí, že tím současně požaduje bezúplatné odstranění takových vad.


IV. Termín a místo plnění

1. Zhotovitel zahájí plnění do 5 dnů od nabytí účinnosti této Smlouvy. Zhotovitel se zavazuje postupovat v souladu s termíny uvedenými v harmonogramu realizace dodávky, přeloženém v rámci výběrového řízení. Dodaný harmonogram je nedílnou součástí této smlouvy.
2. Místem plnění je sídlo zadavatele.


V. Cena díla

1. Cena za předmět plnění je sjednána smluvními stranami na základě výsledku výběrového řízení takto: 

	Dílo
	cena bez DPH (Kč)
	DPH 21 % (Kč)
	cena celkem vč. DPH (Kč)

	Etapa A
	370 000
	77 700
	447 700

	Etapa B
	230 000
	48 300
	278 300

	Etapa C
	150 000
	31 500
	181 500

	Etapa D
	380 000
	79 800
	459 800

	Celková cena
	1 130 000
	237 300
	1 367 300

2. Je-li v souvislosti s poskytnutím jakéhokoliv SW nutné uhradit licenční či obdobné poplatky, budou tyto zahrnuty v ceně dle odst. 1 tohoto článku smlouvy. 
3. Případný export dat ze SW dodávaného v rámci této smlouvy i jeho příprava budou zdarma. Data budou exportována po dohodě smluvních stran ve vzájemně dohodnutém formátu a struktuře.
4. Celková cena je sjednána jako cena nejvýše přípustná a platí po celou dobu účinnosti této Smlouvy. Součástí sjednané ceny jsou veškeré práce, poplatky a jiné náklady nezbytné pro řádné, včasné a úplné splnění předmětu této smlouvy včetně veškerých nákladů spojených s účastí zhotovitele na všech případných jednáních (i osobních v místě plnění) týkajících se plnění této smlouvy a nákladů na odměnu za poskytnutí práv vyplývajících z práv duševního vlastnictví a práv autorských. Cena dále obsahuje i případné zvýšené náklady spojené s vývojem cen vstupních nákladů, a to až do doby ukončení plnění dle této smlouvy. 
5. Zhotovitel nemá právo domáhat se zvýšení sjednané ceny z důvodů chyb a nedostatků ve své nabídce.
6. Záloha na cenu díla se nesjednává.
7. Smluvní strany se dohodly, že dojde-li v průběhu plnění předmětu této smlouvy ke změně zákonné sazby DPH stanovené pro příslušné plnění vyplývající z této smlouvy, je zhotovitel od okamžiku nabytí účinnosti změny zákonné sazby DPH povinen účtovat platnou sazbu DPH. O této skutečnosti není nutné uzavírat dodatek k této smlouvě.

VI. Platební podmínky

1. Cena dle čl. V. odst. 1 této Smlouvy bude uhrazena na základě faktur vystavených zhotovitelem. Faktury je zhotovitel oprávněn vystavit po protokolárním předání každé etapy/části plnění.
2. Platby fakturovaných částek budou probíhat bezhotovostně na bankovní účet zhotovitele uvedený v záhlaví této smlouvy s lhůtou splatnosti 30 dní po obdržení jednotlivých faktur objednatelem.
3. Faktury budou splňovat náležitosti stanovené zákonem č. 235/2004 Sb., o dani z přidané hodnoty ve znění pozdějších přepisů (dále jen „ZDPH“) a § 435 občanského zákoníku, dále budou obsahovat číslo projektu: CZ.31.1.01/MV/23_55/0000055), předmět plnění, identifikaci (číslo) příslušného předávacího protokolu.
4. Pokud faktura nebude obsahovat náležitosti dle tohoto článku Smlouvy, je objednatel oprávněn fakturu vrátit k opravě nebo doplnění. V tomto případě se přeruší běh lhůty splatnosti a nová lhůta počíná běžet doručením opravené nebo nově vystavené faktury.
5. Objednatel je oprávněn započíst vyúčtované smluvní pokuty na pohledávky zhotovitele.
6. Za doručení faktury se považuje den, kdy faktura bude doručena objednateli na adresu: faktury@ftn.cz 
7. Dnem zaplacení peněžního závazku je den odepsání dlužné částky z účtu objednatele.
8. Příjemce zdanitelného plnění (objednatel) si vyhrazuje právo uplatnit institut zvláštního způsobu zajištění daně z přidané hodnoty ve smyslu § 109a ZDPH, pokud poskytovatel zdanitelného plnění (zhotovitel) bude požadovat úhradu za zdanitelné plnění na bankovní účet, který nebude nejpozději ke dni splatnosti příslušné faktury zveřejněn správcem daně v příslušném registru plátců daně (tj. způsobem umožňujícím dálkový přístup). Obdobný postup je příjemce zdanitelného plnění oprávněn uplatnit i v případě, že v okamžiku uskutečnění zdanitelného plnění bude o poskytovateli zdanitelného plnění zveřejněna v příslušném registru plátců daně skutečnost, že je nespolehlivým plátcem. V případě, že nastanou okolnosti umožňující příjemci zdanitelného plnění uplatnit zvláštní způsob zajištění daně podle § 109a ZDPH bude příjemce zdanitelného plnění o této skutečnosti poskytovatele zdanitelného plnění informovat. Při použití zvláštního způsobu zajištění daně bude příslušná výše DPH zaplacena na účet poskytovatele zdanitelného plnění vedený u jeho místně příslušného správce daně, a to v původním termínu splatnosti. V případě, že příjemce zdanitelného plnění institut zvláštního způsobu zajištění daně z přidané hodnoty ve shodě s tímto ujednáním uplatní, a zaplatí částku odpovídající výši daně z přidané hodnoty uvedené na daňovém dokladu vystaveném poskytovatelem zdanitelného plnění na účet poskytovatele zdanitelného plnění vedený u jeho místně příslušného správce daně, bude tato úhrada považována za splnění části závazku příjemce odpovídajícího příslušné výši DPH sjednané jako součást sjednané ceny za zdanitelné plnění.
9. Objednatel si vyhrazuje právo neuhradit zhotoviteli cenu díla, či její část v případě, že zhotovitel nebude disponovat bankovním účtem zveřejněným v registru plátců. Tímto postupem se objednatel nedostává do prodlení a zhotovitel není oprávněn domáhat se na objednateli úroků z prodlení.


VII. Součinnost objednatele

1. Objednatel se zavazuje poskytovat zhotoviteli součinnost potřebnou pro plnění předmětu smlouvy, zejména mu včas a řádně předat dostupné podklady, zúčastňovat se jednání a poskytovat mu všechny jemu známé informace v souvislosti s plněním předmětu smlouvy.
2. Pokud při plnění smlouvy vyjdou najevo nebo vzniknou nové skutečnosti, které zhotovitel při uzavření smlouvy neznal a nemohl znát, a které podstatně ztíží nebo znemožní plnění smlouvy za sjednaných podmínek, budou toto smluvní strany řešit dodatkem ke smlouvě. 
3. Objednatel se zavazuje včas hradit zhotoviteli jeho oprávněné a řádně doložené finanční nároky vzniklé v důsledku plnění smlouvy za podmínek v ní uvedených.

VIII. Povinnosti zhotovitele

1. Zhotovitel se zavazuje při plnění svých smluvních závazků postupovat s odbornou péčí, dodržovat obecně závazné právní předpisy a technické normy a postupovat v souladu s touto smlouvou a pokyny objednatele. Na případnou nevhodnost pokynů se zavazuje zhotovitel objednatele upozornit.
2. Svou činnost, v rámci plnění předmětu této smlouvy, bude zhotovitel uskutečňovat v souladu se zájmy objednatele a bude se řídit jeho výchozími podklady a pokyny, zápisy a dohodami. Zhotovitel se zdrží jakéhokoliv jednání, které by mohlo ohrozit zájmy objednatele vycházející z plnění této smlouvy.
3. Zhotovitel se zavazuje informovat objednatele o stavu rozpracovanosti díla a o průběhu činností sjednaných ve smlouvě a bez zbytečného odkladu mu oznamovat všechny okolnosti, které zjistil a které mohou mít vliv na změnu pokynů, podmínek a požadavků objednatele a na předmět plnění smlouvy.
4. Pokud zhotovitel při plnění smlouvy použije výsledek činnosti chráněný právem průmyslového či jiného duševního vlastnictví, a uplatní-li oprávněná osoba z tohoto titulu své nároky vůči objednateli, zhotovitel provede na své náklady vypořádání majetkových důsledků.
5. Objednatel si vyhrazuje právo požadovat v odůvodněných případech po zhotoviteli vyloučení takového subdodavatele, který nemá řádné podnikatelské oprávnění, nebo který svým plněním zjevně nedosahuje běžně uznávaných kvalitativních standardů, a ten je povinen tomuto požadavku vyhovět.
6. Objednatel si vyhrazuje právo požadovat v odůvodněných případech po zhotoviteli vyloučení a náhradu kteréhokoli pracovníka zhotovitele jiným pracovníkem a zhotovitel je povinen tento požadavek splnit. 
7. K plnění je zhotovitel oprávněn na klíčových místech využít pouze ty pracovníky uvedené v příloze č. 3 této smlouvy. Jejich případná změna podléhá výslovnému souhlasu objednatele. Nová osoba realizačního týmu musí splňovat kvalifikaci jako původní člen realizačního týmu.
8. V souladu s § 2633 občanského zákoníku se zhotovitel zavazuje neposkytovat předmět plnění jiným osobám než objednateli. 
9. Na provedení předmětu plnění je čerpána dotace. Zhotovitel se zavazuje, že předmět plnění bude realizován v souladu a podle podmínek a pravidel stanovených v příslušných instrukcích, metodických pokynech a oznámeních, sdělených mu objednatelem. 


IX. Odpovědnost za vady, záruční doba

1. Zhotovitel poskytuje záruku za jakost díla v délce 24 měsíců plynoucí od data převzetí celého díla (po dokončení všech etap A až D). 
2. Bude-li mít dílo vady, objednatel bez zbytečného odkladu uplatní nároky z vadného plnění v souladu s občanským zákoníkem.
3. Smluvní strany se výslovně dohodly na vyloučení § 2605 odst. 2 občanského zákoníku, kdy i za předpokladu, že dílo bude převzato a následně bude objevena zjevná vada, objednatel může uplatnit nároky a práva vyplývající z odpovědnosti za vady.
4. Zhotovitel je povinen odstranit vady v termínu stanoveném objednatelem. Není-li takový termín stanoven, nejpozději do 7 dnů.

X. Práva duševního vlastnictví

1. Zhotovitel tímto poskytuje objednateli bezúplatnou výhradní licenci k užití díla (vcelku i po částech), která je neomezená, zejména v následujícím rozsahu:
a) k užití díla samostatně, ve spojení s jinými autorskými díly, značkami, logy, texty a jakýmikoli obdobnými prvky, včetně oprávnění dílo upravit, zpracovat, změnit, zařadit do jakéhokoli jiného díla apod.,
b) k užití díla v původní podobě nebo v podobě dle písm. a) tohoto odstavce a článku smlouvy jakýmkoli způsobem užití (např. rozmnožování, rozšiřování, půjčování, pronájem, vystavování, sdělování veřejnosti a jiné), bez omezení technologie, bez omezení počtu či množství užití, bez omezení účelu,
c) k užití díla v původní podobě nebo v podobě dle písm. a) tohoto odstavce a článku smlouvy bez omezení teritoria na celém světě,
d) k užití díla v původní podobě nebo v podobě dle písm. a) tohoto odstavce a článku smlouvy bez omezení času po celou dobu trvání majetkových autorských práv k dílu.
2. Objednatel není povinen licenci použít.
3. Objednatel je oprávněn dílo, jeho část či jeho název upravit, či jinak změnit.
4. Zhotovitel uděluje objednateli svolení ke zveřejnění díla a souhlasí s tím, aby dílo, resp. jeho část byla zveřejněna či užita bez uvedení jeho autorství.
5. Zhotovitel prohlašuje, že při realizaci díla nebudou porušena práva duševního vlastnictví třetích stran.

XI. Ochrana důvěrných informací (NDA)

1. Veškeré informace týkající se předmětu plnění dle této smlouvy, s nimiž bude zhotovitel přicházet v průběhu realizace díla do styku, jakož i výchozí podklady a materiály předané objednatelem zhotoviteli a výstupy a dokumenty, které zhotovitel získá v rámci své činnosti, jsou důvěrné. Tyto informace nesmějí být sděleny nikomu kromě objednatele a třetích osob určených dohodou smluvních stran nebo třetím osobám v nezbytném rozsahu za účelem plnění povinností zhotovitele vyplývajících z této smlouvy a nesmějí být použity k jiným účelům než k plnění předmětu smlouvy.
2. Výjimku z ochrany důvěrných informací tvoří ty informace, podklady a znalosti, které jsou všeobecně známé a dostupné. Dále pak informace obsažené v podkladech objednatele nebo dokladech a stanoviscích získaných činností zhotovitele.
3. Tímto ujednáním není dotčena právní úprava uvedená v zákoně č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, v zákoně č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, ani v zákoně č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů.
4. Zhotovitel garantuje uložení a případné zpracování dat dle nařízení Evropského parlamentu a Rady (EU) 2016/679 a zákona č.110/2019 Sb., o zpracování osobních údajů. Dále je povinen zajistit, aby data neopustila sídlo zadavatele. Daty jsou míněny osobní údaje pacientů zadavatele a dalších osob (zaměstnanců zadavatele nebo dodavatelů zadavatele), daty jsou dále míněny i veškeré informace, které se účastník v průběhu plnění předmětu veřejné zakázky dozví o činnosti, struktuře a IT prostředí zadavatele. Tato garance musí být v rámci podané nabídky uvedena formou čestného prohlášení

XII. Sankční ujednání

1. Pokud je zhotovitel v prodlení s termínem plnění díla, popř. dílčím termínem plnění uvedeným v příloze č. 2 této smlouvy zavazuje se zaplatit objednateli smluvní pokutu ve výši 3.000,- Kč za každý i započatý den prodlení.  
2. Pokud zhotovitel neodstraní vady díla ve stanoveném termínu, zaplatí objednateli smluvní pokutu ve výši 5.000,- Kč za každý den prodlení.
3. V případě, že zhotovitel nedodrží svoji povinnost oznámit změnu ve složení klíčových pracovníků, resp. nevyžádá si souhlas objednatele s jejich změnou, je zhotovitel povinen zaplatit smluvní pokutu ve výši 100.000,- Kč za každý jednotlivý případ takového porušení.
4. Poruší-li zhotovitel jakoukoliv povinnost vyplývající z čl. XII. této smlouvy, zavazuje se uhradit objednateli smluvní pokutu ve výši až 500.000,- Kč za každý případ.
5. Neplnění dalších smluvních nebo zákonných povinností zhotovitele uvedených v této smlouvě a jejích přílohách, pro které není stanovena zvláštní sankce, je sankcionováno smluvní pokutou ve výši 1.000,- Kč za každý zjištěný případ.
6. Smluvní pokuty jsou splatné do 30 dnů od doručení výzvu k jejich úhradě. Úhrada smluvní pokuty bude provedena bezhotovostní platbou na účet zhotovitele uvedený v záhlaví této smlouvy, a to pouze v případě, že zhotovitel nepřistoupí k započtení smluvní pokuty oproti pohledávce dle čl. IV., bodu 5. této smlouvy (což je povinen uvést ve výzvě k uhrazení smluvní pokuty).  
7. Zaplacením smluvní pokuty není dotčeno právo objednatele požadovat splnění povinnosti, která je sankcionována, a není tím dotčeno právo objednatele na náhradu škody vedle smluvní pokuty či nad její výši (smluvní strany tímto vylučují § 2050 občanského zákoníku).
8. V případě, že objednatel bude v prodlení s úhradou ceny díla (podle čl. V. bodu 1. této smlouvy), může zhotovitel požadovat úrok z prodlení ve dle platného Nařízení vlády. 


XIII. Ukončení smlouvy
 
1. Objednatel je oprávněn odstoupit od smlouvy ze zákonem stanovených důvodů nebo z důvodu podstatného porušení smlouvy.
2. Za podstatné porušení smlouvy se považuje:
a) z dosavadního průběhu plnění smlouvy je nepochybné, že zhotovitel nesplní předmět plnění dle této smlouvy řádně či včas,
b) prodlení zhotovitele s dokončením díla delší jak 30 dnů (byť i dílčího termínu dle přílohy č. 2 této smlouvy), pokud nebylo zapříčiněno ze strany objednatele,
c) nedodržení povinností dle čl. XII. této smlouvy (ochrana důvěrných informací).
3. Zhotovitel je oprávněn odstoupit od této smlouvy ze zákonem stanovených důvodů.
4. Odstoupí-li některá ze stran od této smlouvy, zavazují se smluvní strany vzájemné vypořádat své nároky nejpozději do 2 měsíců od odstoupení.  
5. Smluvní vztah lze ukončit i dohodou.

XIV. Závěrečná ustanovení

1. Právní vztahy touto smlouvou neupravené se řídí platnými právními předpisy, zejména občanským zákoníkem.
2. Zhotovitel není oprávněn postoupit pohledávku za objednatelem bez jeho souhlasu.
3. Zhotovitel potvrzuje, že se v plném rozsahu seznámil s rozsahem a povahou předmětu plnění, že jsou mu známy veškeré technické, kvalitativní a jiné nezbytné podmínky k bezchybné realizaci předmětu plnění a že disponuje takovými kapacitami a odbornými znalostmi, které jsou k provedení předmětu plnění potřebné.
4. Změny a doplňky této smlouvy mohou být provedeny na základě dohody smluvních stran, ledaže je touto smlouvou stanoveno jinak. Dohoda musí mít písemnou formu dodatků, podepsaných oprávněnými zástupci obou smluvních stran. Veškeré dodatky a přílohy vzniklé po dobu plnění smlouvy se stávají její nedílnou součástí.
5. Účastníci této smlouvy výslovně prohlašují, že jsou obsahem této smlouvy právně vázáni a nepodniknou žádné úkony, které by mohly zmařit její účinky. Současně prohlašují, že pro případ objektivních překážek k dosažení účelu této smlouvy si poskytnou vzájemnou součinnost a budou jednat tak, aby i za změněných podmínek mohlo být tohoto účelu dosaženo. Vědomé uvedení nepravdivých skutečností v této smlouvě zakládá druhé straně právo odstoupit od smlouvy a požadovat náhradu škody, včetně ušlého zisku.
6. Tato je uzavíraná elektronicky.
7. Tato smlouva nabývá platnosti dnem podpisu oprávněných zástupců obou smluvních stran a účinnosti dnem jejího zveřejnění v Registru smluv podle zákona č. 340/2015 Sb., o Registru smluv.
8. Nedílnou součást této smlouvy tvoří následující přílohy:
· příloha č. 1 – Specifikace služeb a výstupů zakázky (Odpovídá zhotovitelem vyplněné příloze č.2 ZD),
· příloha č. 2 – Harmonogram plnění (harmonogram dodaný zhotovitelem v rámci výběrového řízení),
· příloha č. 3 – Kontaktní údaje na členy realizačního týmu

	Podpisy smluvních stran

	V Praze, dne: 13.2.2025
	V Praze, dne 6.2.2025


	Objednatel
	Zhotovitel

	Jméno příjmení
Funkce

	Ing. Igor Prosecký
Jednatel I3 Consultants s.r.o.


Příloha č. 1
Specifikace služeb a výstupů zakázky
Obecné požadavky na vypracování bezpečnostní dokumentace a související služby
	Zadavatelem požadované výstupy
	Plnění parametrů dodavatelem (ANO/NE)

	Vypracování Návrhu architektury kybernetické bezpečnosti – koncept architektury kybernetické bezpečnosti
	ANO

	Revize stávající Metodiky pro hodnocení dopadů a stávající Metodiky pro identifikaci a hodnocení aktiv a hodnocen rizik. Vypracování Dopadové analýzy a Zprávy o hodnocení aktiv a rizik – identifikace a hodnocení primárních a podpůrných aktiv, identifikace jejich hrozeb a zranitelností a výpočet hodnot jednotlivých rizik
	ANO

	Vypracování Metodiky řízení dodavatelů, vypracování podkladů pro konkrétní určení provozovatele ISZS a významného dodavatele technologií, vypracování konkrétních vzorů dodatků ke smlouvám pro tyto kategorie dodavatelů
	ANO

	Audit stávajících smluvních vztahů (min. 3 provozovatele ISZS, 2 významné dodavatele z oblasti SW podpůrných aktiv, 2 významné dodavatele HW podpůrných aktiv a 2 významné dodavatele zdravotnické techniky (přístrojů, analyzátorů, ...) včetně návrhu smluvního řešení a návrhu bezpečnostních opatření ke snížení rizik.
	ANO

	Vypracování Prohlášení o aplikovatelnosti – vypracovat nebo aktualizovat přehled stavu organizačních a technických bezpečnostních opatření.
	ANO

	Vypracování Plánu zvládání rizik – vypracovat nebo aktualizovat plán implementace bezpečnostních opatření.
	ANO

	Průběžná revize bezpečnostních politik včetně vypracování chybějících.
	ANO

Další požadovaná bezpečnostní dokumentace dle návrhu Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, která nebyla výše uvedena
	Zadavatelem požadované výstupy
	Plnění parametrů dodavatelem (ANO/NE)

	Plán provádění auditu kybernetické bezpečnosti
	ANO

	Zpráva z přezkoumání systému řízení bezpečnosti informací
	ANO

	Plán rozvoje bezpečnostního povědomí
	ANO

	Přehled obecně závazných právních předpisů, vnitřních předpisů, jiných předpisů a smluvních závazků
	ANO

	Plány kontinuity činností a Plány obnovy na úroveň jednotlivých aktiv
	ANO

	Evidence technických aktiv, která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a jejich zahrnutí do Plánu zvládání rizik a Prohlášení o aplikovatelnosti
	ANO

	Evidence technických aktiv, účtů a autentizačních mechanismů, které nesplňují požadavek na vícefaktorovou autentizaci a jejich zahrnutí do Plánu zvládání rizik a Prohlášení o aplikovatelnosti
	ANO

	Doporučená segmentace infrastruktury
	ANO

	Přehled technických aktiv v rozsahu systému řízení bezpečnosti informací, zejména síťových zařízení, aktivních prvků, koncových zařízení a serverů
	ANO


Požadavky na výkon požadovaných bezpečnostních rolí manažera kybernetické bezpečnosti a architekta kybernetické bezpečnosti
Součástí výkonu rolí manažera kybernetické bezpečnosti a architekta kybernetické bezpečnosti je i vzájemná zastupitelnost a osobní přítomnost na jednáních výboru a dalších konzultacích v místě zadavatele.
Součástí výkonu obou rolí je i tvorba, nebo součinnost při tvorbě konkrétních výstupů (příslušné relevantní bezpečnostní dokumentace) vyplývající z jednotlivých požadavků na výkon příslušné role – viz každý řádek následujících tabulek.

Manažer kybernetické bezpečnosti
	Zadavatelem požadované činnosti pro výkon role
	Plnění parametrů dodavatelem (ANO/NE)

	Účast na jednáních Výboru pro řízení kybernetické bezpečnosti organizace, poradách atd.
	ANO

	Řízení GAP analýzy pro nový ZKB a implementaci nového ZKB
	ANO

	Řízení samo identifikace regulovaných služeb a registrace u NÚKIB
	ANO

	Řízení tvorby Návrhu architektury kybernetické bezpečnosti.
	ANO

	Řízení aktualizací analýzy rizik (RA) a dopadové analýzy (BIA)
	ANO

	Řízení aktualizací PoA a PZR
	ANO

	Řízení aktualizací bezpečnostních politik a bezpečnostní dokumentace v souvislosti s novou legislativou a její optimalizace
	ANO

	Řízení při tvorbě systému zvyšování bezpečnostního povědomí včetně vrcholového vedení
	ANO

	Řízení při tvorbě provozní dokumentace (provozních postupů)
	ANO

	Řízení při tvorbě nápravných opatření v oblasti technických bezpečnostních opatření k nálezům z interních, externích auditu KB
	ANO

	Řízení při doplnění obsahu smluv s dodavateli o oblast kybernetické bezpečnosti
	ANO

	Řízení při přípravě podkladů pro průzkum trhu, zadávací řízení, přípravy poptávek a realizaci výběrových řízení
	ANO

	Součinnost při přípravě a průběhu interních, externích a zákaznických auditu KB
	ANO

	Řízení při přípravě, průběhu a vyhodnocování testování havarijních plánů a plánů obnovy
	ANO

	Řízení při přípravě, průběhu a vyhodnocování penetračního testování a testování zranitelností
	ANO

	Minimálně jednou ročně provede a dokumentuje vyhodnocení účinnosti zavedených bezpečnostních opatření
	ANO

	Řízení při přípravě, průběhu, vyhodnocování a dokumentaci významných změn
	ANO

	Vedení záznamů a kontrolní činnost související s plněním výkonu bezpečnostní role
	ANO

Architekt kybernetické bezpečnosti
	Zadavatelem požadované činnosti pro výkon role
	Plnění parametrů dodavatelem (ANO/NE)

	Účast na jednáních Výboru pro řízení kybernetické bezpečnosti organizace, poradách atd
	ANO

	Součinnost při GAP analýze pro nový ZKB a implementaci nového ZKB
	ANO

	Součinnost při samo identifikaci regulovaných služeb a registraci u NÚKIB
	ANO

	Součinnost při tvorbě Návrhu architektury kybernetické bezpečnosti.
	ANO

	Součinnost při aktualizacích analýzy rizik (RA) a dopadové analýzy (BIA)
	ANO

	Součinnost při aktualizacích PoA a PZR
	ANO

	Součinnost při aktualizacích bezpečnostních politik a bezpečnostní dokumentace v souvislosti s novou legislativou a její optimalizace
	ANO

	Součinnost při tvorbě systému zvyšování bezpečnostního povědomí včetně vrcholového vedení
	ANO

	Součinnost při tvorbě provozní dokumentace (provozních postupů)
	ANO

	Návrh nápravných opatření v oblasti technických bezpečnostních opatření k nálezům z interních, externích auditu KB
	ANO

	Součinnost při doplnění obsahu smluv s dodavateli o oblast kybernetické bezpečnosti
	ANO

	Součinnost při přípravě podkladů pro průzkum trhu, zadávací řízení, přípravy poptávek a realizaci výběrových řízení
	ANO

	Součinnost při přípravě a průběhu interních, externích a zákaznických auditu KB
	ANO

	Řízení při přípravě, průběhu a vyhodnocování testování havarijních plánů a plánů obnovy
	ANO

	Řízení při přípravě, průběhu a vyhodnocování penetračního testování a testování zranitelností
	ANO

	Minimálně jednou ročně provede a dokumentuje vyhodnocení účinnosti zavedených bezpečnostních opatření
	ANO

	Součinnost při přípravě, průběhu, vyhodnocování a dokumentaci významných změn
	ANO

	Vedení záznamů a kontrolní činnost související s plněním výkonu bezpečnostní role
	ANO

Požadavky na osobní účast realizačního týmu
	Zadavatelem požadovaný minimální rozsah pro osobní účast realizačního týmu na realizaci předmětu plnění
	Plnění parametrů dodavatelem (ANO/NE)

	Pro roli manažera kybernetické bezpečnosti – minimálně 60 MD v místě plnění
	ANO

	Pro roli architekta kybernetické bezpečnosti – minimálně 60 MD v místě plnění
	ANO

	Pro ostatní členy realizačního týmu – minimálně 60 MD v místě plnění
	ANO


Příloha č. 2
Harmonogram plnění
NÁZEV VEŘEJNÉ ZAKÁZKY:
Systém řízení bezpečnosti informací a báze znalostí v oblasti kybernetické bezpečnosti včetně souvisejících procesů a dokumentace – opakovaná VZ
(číslo projektu: CZ.31.1.01/MV/23_55/0000055)
Harmonogram
V následující tabulce je uveden závazný harmonogram plnění. Doby plnění je uvedena v týdnech od podpisu smlouvy. Etapa E následuje od 1. 1. 2026 po dobu 24 měsíců (po dokončení předchozích etap).
	
	Začátek etapy
	Konec etapy

	Etapa A
	Do 5 dnů od nabytí účinnosti smlouvy (čas „Č“)
	Č + 18 týdnů

	· Vytvoření systému bezpečnostní dokumentace a návrhu koncepce kybernetické bezpečnosti pro zadavatele dle aktualizovaných doporučení NÚKIB. 
· Vypracování Návrhu architektury kybernetické bezpečnosti.
· Vytvoření procesně prováděcí směrnice kybernetické bezpečnosti zadavatele.
· Revize stávající Metodiky pro hodnocení dopadů a stávající Metodiky pro identifikaci a hodnocení aktiv a hodnocen rizik. Vypracování Dopadové analýzy a Zprávy o hodnocení aktiv a rizik – identifikace a hodnocení primárních a podpůrných aktiv, identifikace jejich hrozeb a zranitelností a výpočet hodnot jednotlivých rizik.
	
	

	
	
	

	Etapa B
	Č + 14 týdnů
	Č + 31 týdnů

	· Vytvoření systému bezpečnostní dokumentace a návrhu koncepce kybernetické bezpečnosti pro zadavatele dle aktualizovaných doporučení NÚKIB. 
· Vypracování Návrhu architektury kybernetické bezpečnosti.
· Vytvoření procesně prováděcí směrnice kybernetické bezpečnosti zadavatele. 
· Revize stávající Metodiky pro hodnocení dopadů a stávající Metodiky pro identifikaci a hodnocení aktiv a hodnocen rizik. Vypracování Dopadové analýzy a Zprávy o hodnocení aktiv a rizik – identifikace a hodnocení primárních a podpůrných aktiv, identifikace jejich hrozeb a zranitelností a výpočet hodnot jednotlivých rizik.
	
	

	
	
	

	Etapa C
	Č + 23 týdnů
	Č +40 týdnů

	· Vytvoření obsahu e-learningového kurzu pro členy Výboru KB, pro garanty a gestory aktiv (může být jeden kurz dohromady) a pro privilegované uživatele (IT administrátory) do e-learningového systému zadavatele. Pokud bude v příloze nové VKB seznam doporučených témat pro rozvoj bezpečnostního povědomí, tyto kurzy je musí obsahovat.
	
	

	
	
	

	Etapa D
	Č +23 týdnů
	Č + 53
týdnů (schválení nejpozději do 31.12.2025)


	· Vypracování Prohlášení o aplikovatelnosti – vypracovat nebo aktualizovat přehled stavu organizačních a technických bezpečnostních opatření.
· Vypracování Plánu zvládání rizik – vypracovat nebo aktualizovat plán implementace bezpečnostních opatření.
· Revize stávající bezpečnostní dokumentace zadavatele, aktualizace a případné doplnění ve struktuře dle přílohy číslo 5. odst. 1 k vyhlášce č. 82/2018 Sb., vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat. V případě přijetí nového ZoKB a VoKB bude dokumentace revidována a případně doplněna na požadavky nového ZoKB a VoKB.
· Další bezpečnostní dokumentace dle přílohy číslo 5. odst. 2 k vyhlášce č. 82/2018 Sb., vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat. Zejména:
j. Plán provádění auditu kybernetické bezpečnosti.
k. Zpráva z přezkoumání systému řízení bezpečnosti informací.
l. Plán rozvoje bezpečnostního povědomí.
m. Přehled obecně závazných právních předpisů, vnitřních předpisů, jiných předpisů a smluvních závazků.
n. Plány kontinuity činností a Plány obnovy na úroveň jednotlivých aktiv.
o. Evidence technických aktiv, která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a jejich zahrnutí do Plánu zvládání rizik a Prohlášení o aplikovatelnosti.
p. Evidence technických aktiv, účtů a autentizačních mechanismů, které nesplňují požadavek na vícefaktorovou autentizaci a jejich zahrnutí do Plánu zvládání rizik a Prohlášení o aplikovatelnosti.
q. Doporučená segmentace infrastruktury. 
r. Přehled technických aktiv v rozsahu systému řízení bezpečnosti informací, zejména síťových zařízení, aktivních prvků, koncových zařízení a serverů.
· Další dokumentace výše neuvedená, pokud by byla nutná dle návrhu Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
· Pokud v novém zákonu a vyhlášce nebude taxativně vyjmenován rozsah povinné dokumentace, bude jako minimum brán rozsah podle přílohy číslo 5. k vyhlášce č. 82/2018 Sb., vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat.
	
	

	
	
	

	Etapa E
	—
	—

Příloha č. 3
Kontaktní údaje na členy realizačního týmu


	Role
	Jméno a příjmení
	Telefon
	E-mail

	Bezpečnostní expert – vedoucí projektu
	OU OU
	OU OU
	OU OU

	Bezpečnostní expert – specialista KB
	OU OU
	OU OU
	OU OU

	Manažer kybernetické bezpečnosti
	OU OU
	OU OU
	OU OU

	Architekt kybernetické bezpečnosti
	OU OU
	OU OU
	OU OU

OU OU = osobní údaj


7/10

image1.jpeg

image2.png

image3.png
O nás Podporují nás Proč hlídáme Náš kodex Kontakt
Team Podpořte nás! API a Open data pro vývojáře Podmínky užívání a ochrana soukromí Pro média, loga
 Nahlásit chybu/ Běží nám servery? 
K-index: Hlídáme stát s odvahou!/EN
Sledujte nás
WEBSERVER2 CORE8 1.2.0.1 2026-02-24 20:04