POŽADAVKY NA SMLOUVY S DODAVATELI

Podobné dokumenty
DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. července 2017

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

( 88-91, 98, 99) Štefan Koreň odbor krizového řízení

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

P R OVÁDĚCÍ SMLOUVA ODBORNÝCH SLUŽEB ICT ( OPOS) Č Á S T B E Z PEČNOST INFORM AC Í

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Zásady zpracování a ochrany osobních údajů společností Mediclinic a.s. v oblasti poskytování pracovnělékařských, posudkových a souvisejících služeb

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í

Ochrana osobních údajů GDPR

Smluvní podmínky pro ochranu osobních údajů dodavatelem společnosti JUST CS (dále jen Smluvní podmínky nebo SP )

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Bezpečnostní politika společnosti synlab czech s.r.o.

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Všeobecné obchodní podmínky

Bezpečnostní politika informací SMK

Povinné zásady leden Kodex informační bezpečnosti pro dodavatele Nestlé

MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í. č. 532 ze dne

Státní pokladna. Centrum sdílených služeb

Kybernetická bezpečnost

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 16

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Smlouva o dílo. uzavřená podle 2586 zákona č. 89/2012 Sb., občanský zákoník, v platném znění

Politika ochrany osobních údajů

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Podmínky ochrany osobních údajů

Deloitte Advisory s.r.o. se sídlem 00, zastoupená Martinem Buranským, zmocněncem na základě plné moci, která tvoří přílohu této smlouvy

Obsah. O autorech 17 Poděkování 18 Předmluva 19. Úvod do problematiky softwarového práva 21. Definice softwaru, práva k softwaru, licence, databáze 29

SMLOUVA O DÍLO. uzavřená ve smyslu ust a násl. zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Smlouva o dílo o dodávce projektových prací a inženýrské činnosti PD Sběrný dvůr Kobylnice

Zpracovatelská smlouva dle Nařízení GDPR

Systém managementu jakosti ISO 9001

MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í

Bezpečnostní politika společnosti synlab czech s.r.o.

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Odpověď na dotazy k výběrovému řízení na veřejnou zakázku malého rozsahu na služby

SMLOUVA O ZACHOVÁNÍ MLČENLIVOSTI

Smlouva o poskytování

Legenda smluvního vzoru

1. DEFINICE ÚČEL A ROZSAH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ DOBA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRÁVA A POVINNOSTI STRAN...

Praha PROJECT INSTINCT

Informace o dokumentu: Tato směrnice stanovuje pravidla nakládání s výsledky výzkumu a vývoje a způsob jejich ochrany.

Smluvní vztahy s klienty při poskytování Software as a Service

GENERÁLNÍ ŘEDITELSTVÍ CEL

GDPR - příklad z praxe

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Bezpečnostní politika a dokumentace

Moravskoslezský kraj CZ října 117, Ostrava Ing. Tomášem Kotyzou, ředitelem

Platná od Bezpečnostní politika. Deklarace

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Metodika postupu pronájmu primárních a sekundárních kolektorů ve vlastnictví statutárního města Brna

Smlouva o dílo. uzavřená podle 2586 zákona č. 89/2012 Sb., občanský zákoník, v platném znění

Kybernetická bezpečnost resortu MV

P R OVÁDĚCÍ SMLOUVA ODBORNÝCH SLUŽEB ICT ( OPOS) Č Á S T TECHNICKÁ A T E C H N OLO GICKÁ ŘEŠENÍ

P R OVÁDĚCÍ SMLOUVA OUTSOURCING PROFESIO N Á L N Í C H ODBORNÝCH SLUŽEB ICT ( OPOS) Č Á S T Ř Í Z E NÍ SLUŽEB IT (IT SM)

Smlouva o dílo č. KT/../2010 Aktualizace územně analytických podkladů ORP Litvínov

KONTROLNÍ ŘÁD OBCE BRLOH

Smlouva o dílo. uzavřené podle 536 a násl. zák. č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů s názvem

LEGISLATIVNÍ ORGANIZAČNÍ SMĚRNICE

Smlouva o dílo č. SMLDEU-24-39/2017

PŘÍLOHA 8 BEZPEČNOST, OCHRANA MAJETKU A OSOB

Všeobecné obchodní podmínky užívání systému BiddingTools. platné od a účinné od číslo verze:

ZPRÁVA NEZÁVISLÉHO AUDITORA

SMLOUVA O PROVEDENÍ POVINNÉHO AUDITU

SMLOUVA O DÍLO. Dnešního dne uzavřeli:

P R OVÁDĚCÍ SMLOUVA ODBORNÝCH SLUŽEB ICT ( OPOS) Č Á S T I N F R AS TRUKTUR A A S E RV E R OVÁ Ř E Š E NÍ

Obchodní podmínky ke službě GovDaily Denní přehled veřejných zakázek

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

METODICKÝ POKYN M - 2/2016

Burzovní pravidla Pravidla členství

OBCHODNÍ A PLATEBNÍ PODMÍNKY

RÁMCOVÁ SMLOUVA č. 2019

NÁVRH KUPNÍ SMLOUVY. Smluvní strany. Kupující: Sídlo: Žlutava 271, Napajedla Jejímž jménem jedná: Ing. Stanislav Kolář - starosta

Smlouva na realizaci veřejné zakázky. Evaluace podpory sociálního a inkluzivního podnikání v OP LZZ

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

PROVÁDĚCÍ PŘEDPIS. Manuál kvality dodavatele. Číslo PP 01/19 Vydání 1. Náhrada předchozích prováděcích předpisů Úvodní ustanovení

Zákon o kybernetické bezpečnosti

KUPNÍ SMLOUVA DODÁVKA TECHNOLOGIÍ PRO MONITORING A TRASOVÁNÍ KANALIZAČNÍHO POTRUBÍ

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Výzva k podání nabídek na veřejnou zakázku malého rozsahu na dodávky

Smlouva č. 29 / 2014 o nájmu hrobového místa

NÁVRH SMLOUVY O DÍLO. Smlouva o dílo na zpracování Aktualizace Programu rozvoje územního obvodu Zlínského kraje do roku 2020 č.

Všem obchodním partnerům. V Praze dne Věc: informace o zpracování osobních údajů. Vážení obchodní partneři,

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

KUPNí SMLOUVA. uzavřená podle 2079 a násl. zákona č. 89/2012 Sb., Občanský zákoník v platném znění mezi smluvními stranami, kterými jsou:

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

DOHODA O MLČENLIVOSTI, OCHRANĚ INFORMACÍ A ZÁKAZU JEJICH ZNEUŽITÍ

Rámcová smlouva na poskytování právních služeb

Transkript:

POŽADAVKY NA SMLOUVY S DODAVATELI Verze 1.0, platná ke dni 05. 10. 2018 1

Úvod Tento podpůrný materiál slouží jako vodítko k vysvětlení jednotlivých požadavků vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále jen vyhláška o kybernetické bezpečnosti ) kladených na smlouvy s dodavateli. Jedná se o vysvětlení jednotlivých požadavků přílohy č. 7 této vyhlášky. Požadavky na smluvní ustanovení, které vyhláška o kybernetické bezpečnosti ve své příloze č. 7 vyjmenovává, představují povinnou součást smluv povinných subjektů podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) s významnými dodavateli. Pro obsah smluv s ostatními dodavateli má tato příloha doporučující povahu. I v případě, že je stanovena povinnost zařadit taková ustanovení do smlouvy s významným dodavatelem, lze některé požadavky označit za nerelevantní pro danou smlouvu prostřednictvím prohlášení o aplikovatelnosti. V případě dotazů se prosím obracejte na sekretariát Národního úřadu pro kybernetickou a informační bezpečnost: Národní úřad pro kybernetickou a informační bezpečnost Mučednická 1125/31 616 00 Brno Žabovřesky Tel.: +420 541 110 777 E-mail: nckb@nukib.cz Upozornění: Tento dokument slouží jako podpůrné vodítko, nenahrazuje žádný ze zákonů ani prováděcích právních předpisů. Právo změny tohoto dokumentu vyhrazeno. 2

1 Výklad požadavků vyhlášky o kybernetické bezpečnosti na smlouvy s významným dodavatelem Požadavek přílohy č. 7 vyhlášky o kybernetické bezpečnosti Ustanovení o bezpečnosti informací (z pohledu důvěrnosti, dostupnosti a integrity) Ustanovení o oprávnění užívat data Ustanovení o autorství programového kódu, popřípadě o programových licencích Výklad požadavku Jedná se o ustanovení smlouvy, které reflektuje, zejména, s jakými informacemi dodavatel nakládá a jakým způsobem tak má činit z pohledu důvěrnosti, dostupnosti a integrity (např. pro provozní údaje tzv. logy je klíčová integrita; pro osobní údaje či obchodní tajemství je klíčová zejména důvěrnost apod.). Minimální úrovní splnění tohoto požadavku je ustanovení o uložení těchto dat v souladu s účelem smlouvy a o technických a organizačních opatřeních s tím spojených. Toto ujednání může být obsaženo v samostatné smlouvě tzv. non-disclosure agreement (NDA). Jde o ustanovení smlouvy o právech k datům. Zejména je potřeba stanovit, komu data náleží, kdo k nim má primárně užívací právo. Dále by pak takové ustanovení mělo obsahovat, jakým způsobem má dodavatel s daty nakládat, jak k nim řídit přístup apod. Je vhodné upravit, jak bude s daty a provozními údaji naloženo po ukončení spolupráce, zejména zda a v jaké podobě dojde k předání dat povinnému subjektu nebo zda budou zlikvidována, což připadá v úvahu zejména právě u provozních údajů. Jedná se o ustanovení smlouvy upravující zejména, kdo je autorem programového kódu, jakou licencí je kód poskytnut (výhradní/nevýhradní), jaké jsou podmínky užívání programového kódu dle této licence (jak může subjekt s kódem nakládat, např. zda má právo provádět v kódu změny či jej poskytnout třetí osobě, jak bude s programovým kódem naloženo po ukončení spolupráce apod.). Dále se jedná i o ustanovení upravující úpravu a nakládání s dokumentací ke zdrojovému kódu. 3

Ustanovení o kontrole a auditu dodavatele (pravidla zákaznického auditu) Ustanovení upravující řetězení dodavatelů, přičemž musí být zajištěno, že poddodavatelé se zaváží dodržovat v plném rozsahu ujednání mezi povinnou osobou a dodavatelem a nebudou v rozporu s požadavky povinné osoby na dodavatele Ustanovení o povinnosti dodavatele dodržovat bezpečnostní politiky povinné osoby nebo ustanovení o odsouhlasení bezpečnostních politik dodavatele povinnou osobou Ustanovení o řízení změn Jedná se o ustanovení smlouvy stanovující pravidla pro provádění zákaznického auditu. Zejména jde o samotnou možnost provést zákaznický audit. Dále by obsahem tohoto ustanovení mělo být jak často, jakým způsobem a za jakých podmínek (přítomnost některých osob, ohlášení auditu apod.) lze audit provést. Dále pak rozsah auditu, kam budou mít auditoři přístup apod. Audit může být proveden také třetí stranou a tento audit může být doložen např. auditní zprávou či jiným dokumentem. Jedná se o ustanovení smlouvy zabezpečující promítnutí požadavků na dodavatele i směrem k subdodavatelům. Jde zejména o ujednání, že subdodavatel je povinen dodržovat stejná smluvní ujednání, jaká má sjednána povinný subjekt s dodavatelem. Jedná se o ustanovení smlouvy, které zabezpečuje dodržování bezpečnostních politik povinného subjektu ze strany dodavatele. Toto ustanovení může být (a obvykle tomu tak bude) obsaženo ve všeobecných obchodních podmínkách či jsou tyto politiky přikládány ke smlouvě ve formě jejích příloh. Jde o ustanovení smlouvy, které reflektuje způsob, jakým dochází k řízení změn, a to ve dvou rovinách: a) Jakým způsobem probíhá vzájemné schvalování změn obsahu smlouvy. b) Tzv. change management tedy stanovení přezkumu možných dopadů změn (např. prostřednictvím analýzy rizik), akceptačního procesu (jakým způsobem je změna přijata), testování před nasazením do provozu, promítnutí do bezpečnostních politik, dokumentování změny, možnost navrácení do původního stavu apod. Blíže se této problematice věnuje také 11 vyhlášky o kybernetické bezpečnosti. 4

Ustanovení o souladu smluv s obecně závaznými právními předpisy Ustanovení o povinnosti dodavatele informovat povinnou osobu o kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy Ustanovení o povinnosti dodavatele informovat povinnou osobu o způsobu řízení rizik na straně dodavatele a o zbytkových rizicích souvisejících s plněním smlouvy Ustanovení o povinnosti dodavatele informovat povinnou osobu o významné změně ovládání tohoto dodavatele podle zákona o obchodních korporacích nebo změně vlastnictví zásadních aktiv, popřípadě změně oprávnění nakládat s těmito aktivy, využívaných tímto dodavatelem k plnění podle smlouvy se správcem Ustanovení o právu jednostranně odstoupit od smlouvy v případě významné změny kontroly nad dodavatelem nebo změny kontroly nad zásadními aktivy využívanými dodavatelem k plnění podle smlouvy Jedná se o ustanovení smlouvy obsahující ujednání, že smlouva je v souladu s aktuálními právními předpisy a směřuje k tomu, že smlouva musí plnit aktuální legislativní požadavky a v případě významných legislativních změn musí být upraven způsob, jakým bude těmto požadavkům přizpůsobena. Jde o ustanovení smlouvy upravující, že v případě bezpečnostního incidentu souvisejícího s plněním smlouvy u dodavatele se o něm povinný subjekt doví. Zejména je třeba stanovit povinnost dodavatele informovat povinný subjekt o výskytu incidentu (např. jakým způsobem a v jaké lhůtě povinný subjekt dodavatel informuje). Jedná se o ustanovení smlouvy, které zavazuje dodavatele, aby povinnému subjektu podal informaci o tom, jakým způsobem řídí rizika a o tom, jaká jsou zbytková rizika související s plněním smlouvy. (např. riziko = špatná konfigurace, opatření = před ostrým provozem otestování, zbytkové riziko = jaké riziko zbyde po nasazení opatření). Je třeba počítat s tím, že i po nasazení bezpečnostního opatření riziko není nulové a vždy tu zbytkové riziko bude. Jde o ustanovení smlouvy o tom, že je třeba povinný subjekt informovat o významné změně ovládání dodavatele. Ovládáním se zde rozumí vliv, ovládání či řízení dle 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, či ekvivalentní postavení. Jedná se o ustanovení smlouvy navazující na povinnost zmíněnou výše, které zabezpečuje, aby se povinný subjekt o změně kontroly nad dodavatelem dověděl a mohl následně reagovat. Obsahem tohoto ujednání je pak možnost odstoupit od smlouvy v případě, že dojde k významné změně kontroly nad dodavatelem, přičemž kontrolou se zde rozumí vliv, ovládání či řízení dle 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích, či ekvivalentní postavení. 5

Specifikace podmínek z pohledu bezpečnosti při ukončení smlouvy (například přechodné období při ukončení spolupráce, kdy je třeba ještě udržovat službu před nasazením nového řešení, migrace dat a podobně) Specifikace podmínek pro řízení kontinuity činností v souvislosti s dodavateli (například zahrnutí dodavatelů do havarijních plánů, úkoly dodavatelů při aktivaci řízení kontinuity činností) Specifikace podmínek pro formát předání dat, provozních údajů a informací po vyžádání správcem Pravidla pro likvidaci dat Ustanovení o sankcích za porušení povinností Jde o ustanovení smlouvy, kterým je stanoven postup při ukončení spolupráce s dodavatelem. Jde zejména o stanovení délky přechodného období při ukončení spolupráce (dostatečně dlouhé období, po které má dodavatel povinnost provozovat systém i po ukončení spolupráce), pravidel migrace dat (v jakém formátu a do kdy data a provozní údaje předat povinnému subjektu či novému dodavateli nebo provést jejich likvidaci atd.), poskytování součinnosti budoucímu dodavateli (její rozsah a podmínky), poskytování know-how nasazených řešení budoucímu dodavateli apod. Je třeba myslet i na předání dokumentace spojené s provozem systému. Jedná se o ustanovení smlouvy upravující zapojení dodavatele do řízení kontinuity činností a specifikace povinností, které má v takovém případě nad rámec běžných povinností. Jedná se také o úpravu změny režimu jeho fungování vůči objednateli, například o zahrnutí (a jeho způsob) dodavatele do plánů kontinuity či do havarijních plánů povinné osoby. Jde o ustanovení smlouvy, kterým je ujednán formát předávaných dat a provozních údajů tak, aby byly pro povinný subjekt použitelná. Data v nesystematizované podobě či strojově nečitelném formátu jsou často pro povinný subjekt či nového dodavatele neupotřebitelná. Jedná se o ustanovení smlouvy reflektující postup a způsob likvidace dat a provozních údajů. Způsob likvidace dat by měl být stanoven v návaznosti na jejich citlivost a důležitost, někdy postačí pouhé smazání, někdy naopak bude potřeba protokolárně zničit i hmotný nosič, na kterém jsou data zachycena. Jde o ustanovení smlouvy, která stanovují sankce za porušení smluvních povinností. Sankce by měly být úměrné k ceně poskytované služby i dopadu případného porušení, aby jejich význam nebyl marginální. 6

Verze dokumentu Datum Verze Změněno (jméno) Změna 5. 10. 2018 1.0 Odb. RAP Vytvoření dokumentu 7

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář