S7.ATUT ' 'M/W, :? = ■ '■ :

(ji.Il'01' mí/trnid‘ikyM rj I i i; o ■, *i k ě h a n á m 3

£01 G7 BRNO-001 -

■-'"J F.^íkiOf- ^ ;-j a

Smlouva o poskytování služeb v oblasti kybernetické bezpečnosti(dále „tato smlouva" nebo jen „smlouva")

Snil 18vílí strany

Objednatel:statutární město BrnoIng. Petrem Vokřálem, primátoremDominikánské náměstí 196/1602 00 Brno44992785CZ44992785

Zastoupené:Se sídlem:

IC:DiC:Bankovní spojení:

Číslo účtu:Ve věcech technickýchje oprávněn jednat: lng. David Menšík, pověřený zastupováním vedoucího

OMI MMB

Ve věcech smluvníchje oprávněn jednal: lng. Jaroslav Kačer, náměstek primátora města Brna pro

oblast Smart City5318172589Číslo smlouvy:

Poskytovatel:Technické sítě Brno, akciová společnostIng. Pavlem Stánkem, předsedou představenstva,Ing. Zdeňkem Formanem, místopředsedoupředstavenstvaBarvířská 822/5602 00 Brno25512285CZ25512285

Zastoupená:

Se sídleni:

IC:DIČ:Společnost zapsaná v ORvedeném Krajským soudem v Brně v oddíle B, vložka 2500

Bankovní spojení:Číslo účtu:

Ve věcech smluvních jeoprávněn jednat: Ing. Pavel Rouček, generální ředitel

Ve věcech technickýchje oprávněn jednat: Ing. Michal Jukl, ředitel ICT

Pro účely smlouvy se uvedené smluvní strany označují jako Objednatel a Poskytovatel.

- 1

Smlouva byla uzavřena s Poskytovatelem za použití § 11 zákona č. 134/2016 Sb. o zadáváníveřejných zakázek, ve znění pozdějších předpisů (dále jen ,,ZZVZ“), a to s ohledem na to, žejsou naplněny podmínky pro postup dle uvedeného ustanovení, tj. zejména Objednatel má, jakojediný akqionář, faktický rozhodující vliv na strategické cíle a významná rozhodnutíPoskytovatele při současném zachování více než 80% výkonu činností Poskytovatelev průměru za poslední 3 účetní období ve vztahu k objednateli a jiným právnickým osobám,které Objednatel rovněž ovládá jako své vnitřní organizační jednotky. Poskytovatelemv souladu s definicí předpokladů pro využití institutu „vertikální spolupráce11 dle ZZVZ,předložil Objednateli čestné prohlášení podepsané oprávněnou osobou Poskytovatele, z něhožvyplývá přetrvávající splnění všech zákonných náležitostí stanovených v § 11 Z.ZVZ.

2. Předmět smlouvy

2.1 Předmětem smlouvy je závazek Poskytovatele podle podmínek sjednaných v této smlouvě■ zajistit; službu spočívající v plnění úkolů dle zákona č. 181/2014 Sb., o kybernetické

bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), " 'pozdějších předpisů (dále jen zákon o kybernetické bezpečnosti), a vyhlášky č. 82/2018 Sb.o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivníchopatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jenvyhláška o kybernetické bezpečnosti), vyplývajících pro statutární město Brno v rozsahurole Architekta kybernetické bezpečnosti a Managera kybernetické bezpečnosti dle § 7odst. h a 2 vyhlášky o kybernetické bezpečnosti v rozsahu Statutu architekta kybernetickébezpečnosti, Statutu manažera kybernetické bezpečnosti a Systému řízení bezpečnostiinformací (dále jen SRBI) vztahujícímu se k určené Kritické informační infrastruktuře (Kil)města Brna - Metropolitní síti Brno (dále jen „služba11 nebo „služby11).

2.2 Poskytovatel výslovně prohlašuje, že jím poskytované plnění dle této smlouvy odpovídápožadavkům vyplývajících z platných právních předpisů či příslušných platných

technických norem, které se na plnění vztahují.

2.3 Služby dle čl. 2 odst. 2.1 této smlouvy budou poskytovány ve dvou etapách, s tím, žeEtapa 1 bude rozdělena do dvou částí.

Etapa I bude probíhat ode dne účinnosti smlouvy do termínu ověření funkčnostiorganizačních a technických opatření dle požadavků zákona o kybernetické bezpečnostiadie fozsabu SRBI vztahujícímu se k určené Kil města Brna - Metropolitní síti Brno.V rámci této části etapy je Poskytovatel povinen předložit návrh organizačnícha technických opatření nejpozději do 14. 7. 2018. Poté je Objednatel povinen zajistitschválení předložených návrhů organizačních a technických opatření, a to nejpozdčjido t kalendářního měsíce od předání návrhu organizačních a technických opatření ze stranyPoskytovatele, přičemž tato lhůta se prodlužuje, budou-li v rámci schvalování ve vztahuk předloženým návrhům organizačních a technických opatření vzneseny připomínky činávrhy na úpravu ze strany Objednatele. Budou-li v rámci schvalování ve vztahuk předloženým návrhům organizačních a technických opatření vzneseny připomínky činávrhy na úpravu zc strany Objednatele, je Poskytovatel povinen zajistit úpravupředložených návrhů organizačních a technických opatření ve stanovených lhůtách(minimální lhůta je 5 pracovních dní). Objednatel nemá právo požadovat takové úpravyv návrzích, které by byly v rozporu s požadavky na Poskytovatele dle bodů 2.2 a 4.2 této

vc zuem

všem

-2-

příslušnýchc nej lepších

po úpravě

smlouvy, ij., že Poskytovatel jedná v rámci platných právních předpisu čiplatných technických norem, které se na plnění vztahují a s odbornou péčí, podznalostí a schopností, sleduje a chrání oprávněné zájmy Objednatele. Následnípředložených návrhů organizačních a technických opatření Poskytovatelem dojdek akceptaci Akceptačního protokolu o předání a převzetí návrhu organizačnícha technických opatření. Tím bude ukončena první část Etapy i.Po akceptaci první časti stanoví Objednatel rozsah organizačních a technických opatření,které zavede a stanoví lhůty kjejich zavedení. Poskytovatel bude poskyUnat veškerousoučinnost při realizaci stanovených organizačních a technických opatření. Aj zavedenístanovených organizačních a technických opatření jc Objednatel povine i si zajistitprovedeni auditu na ověření funkčnosti provedených organizačních a technický opatření.V případe, že z auditu vyjde neshoda, která by byla založena na návrzích od Pt skylovatcle,pak může Objednáte! použít sankce dle článku 9. této smlouvy. Následně po schváleníZprávy o auditu kybernetické bezpečnosti dojde k podpisu Akceptačního protokolua ověření funkčnosti organizačních a technických opatření a dnem pot píšu tohotoprotokolu bude ukončena druhá část Etapy J a tím i celá Etapa l.

Etapa II bude zahájena následující kalendářní den.

iti v období2.4 Rozsah poskytovaných služeb role Architekta kybernetické bezpečno

Etapy !, je stanoven na:

10 človčkodnů měsíčně v průběhu pracovních dnů (8 hodin pníce),

v Etapě lije rozsah stanoven na:

21 človčkodnů pohotovosti měsíčně v průběhu pracovních dnů (8 hodin [ ohotovost).

2.5 Rozsah poskytovaných služeb role Manager kybernetické bezpečnosti v období Etapy 1

je stanoven na:

24 hodin v průběhu pracovních dnu (8 hodin práce, 16 hodin pohotovosi).

V Etapě lije rozsah stanoven na:

24 hodin v průběhu pracovních dnů (2 hodiny práce, 22 hodin pohotovost)

24 hodin v průběhu víkendů (24 hodin pohotovost).

2.6 Dále může Poskytovatel v rámci Etapy II poskytovat Objednateli úkony nad rámec služebstanovených v Cl. 2 odst. 2.4 a 2.5 této smlouvy. Tyto úkony musí být Objednatelempřevzaty, budou-li akceptovány v souladu sc vzorem uvedeným v Příloie ě. 1 Vzor

Akceptačního protokolu o předání a převzetí plnění.

2.7 Objednatel se zavazuje za poskytováni služby Architekta kybernetické bezpečnostia Managera kybernetické bezpečnosti dle podmínek této smlouvy platit Poskytovateli

ve výši dle ČI. 3. teto smlouvy.cenu

I-3

Cena a další náklsulv za předmět plnění3.

3.1 Die dohody smluvních stran se Objednatel zavazuje zaplatit Poskytovateli za plněnípovinností role Architekta kybernetické bezpečnosti vyplývajících z čl. 2 odst. 2.1 resp.2.4 této smlouvy po dobu trvání Etapy 1 paušální platbu ve výši

150.000,- Kč měsíčně bez DPH

(stopadesattisíckoru nčeských).

a po dobu trvání Etapy !I cenu ve výši

28.000,- Kč měsíčně bez DPH.

(dvaceínsmtisíckorunčeských).

3.2 Dle dohody smluvních stran se Objednatel zavazuje zaplatit Poskytovateli za plněnípovinností role Managera kybernetické bezpečnosti vyplývajících zel. 2 odst. 2.1 resp.2.5 této smlouvy po dobu trvání Etapy I paušální platbu ve výši

400.00(1,- Kč měsíčně bez DPH

(Číyčistatisíckoru n českých).

a po dobu trvání Etapy H cenu ve výši

220.000,- Kč měsíčně bez DPH.

(dvěstědvacettisíckorunčcských).

3.3 Úkony nad rámec paušální platby dle čl. 3 odst. 3.1 a 3.2 této smlouvy za plnění předmětutéto smlouvy v průběhu Etapy II budou vykazovány v človčkohodinách (dále jen ,,MH“),přičemž cena za 1 MH Činí za roli Architekta kybernetické bezpečnosti

1.900,- KČ bez DPH (jcdcntisícdevětsctkorunčeských),

roli Managera kybernetické bezpečnosti2.000,- Kč bez DPH (dvatisícekorunčcských).

3.4 Paušální platby a ceny stanovené v tomto článku jsou ceny nejvýše přípustné za plněnípředmětu této smlouvy a nemohou být Poskytovatelem jednostranně navyšovány.

3.5 Sazba a výše daně z přidané hodnoty (DPH) bude účtována dle zákona č. 235/2004 Sb..o dani z přidané hodnoty, ve znění pozdějších předpisů.

a za

Povinnosti Poskytovatele4.

4.1 ibiškylírvatc! je povinen zahájit poskytování služeb nejpozději jeden pracovní týdennásledující po nabytí účinnosti této smlouvy, nestanoví-íi Objednatel jinak.

4.2 Poskytovatel se zavazuje postupovat při plnění předmětu smlouvy s odbornou péčí, podlenej lepších znalostí a schopností, sledovat a chránit oprávněné zájmy Objednatelea postupovat v souladu s pokyny Objednatele a jeho interními předpisy souvisejícími

-4-

s předmětem plnění smlouvy, které Objednatel Poskytovateli poskytne, nebo sj pokyny osoboprávněných jednat za Objednatele ve věcech technických a smluvnijch, případněObjednatelem písemně pověřených osob. Poskytovatel se zavazuje postupovat dle aktuálníverze Statutu architekta kybernetické bezpečnost, Statutu manažera kybernetickébezpečnosti a SRBI nejpozději 10 pracovní den po doručení aktuální verzje dokumentuna emailovou adresu Poskytovatel může nejpozději do 10 pracovníchdnů vznést námitky vůči aktuální zaslané verzi dokumentů Statutu architekta kybernetickébezpečnost, Statutu manažera kybernetické bezpečnosti a SRBI, přičemž jnení povinenpostupoval dle zaslaných dokumentů do doby vypořádání námitek.

4.3 Poskytovatel se zavazuje informovat Objednatele o všech skutečnostech (na jících vlivna plnění dle této smlouvy.

4.4 Poskytovatel se zavazuje zachovávat vůči třetím osobám mlčenlivost o všech Skutečnostechsouvisejících s předmětem této smlouvy, se kterými se dostane do kontaktu při plnění dletéto smlouvy, včetně všech osobních údajů. Veškeré ústní a písemné inlbnjnace předanéObjednatelem Poskytovateli se považují za důvěrné. Tato povinnost mlčenlivosti trvái po ukončení smlouvy.

4,5 Poskytovatel se zavazuje poskytovat služby Architekta kybernetické bezpečnosti podleěl. 2., odst. 2.4 v době od ří:00 do 16:00 hodin v pracovních dnech a služby Managerakybernetické bezpečnosti podle ěl. 2 odst. 2.5 v pracovních dnech a o víktjndech v doběod 0:00 do 24:00 hodin.

Povinnosti Objednatele5.

5.1 Objednatel se zavazuje poskytnout Poskytovateli veškeré informace, které bijdou nezbytnépro plnění předmětu této smlouvy, zejména zasílat neprodleně aktuální jverze Statutuarchitekta kybernetické bezpečnosti, Statutu manažera kybernetické bezpečnosti a SRB!na emailovou adresu

5.2 K provedení předmětu plnění poskytne Objednatel Poskytovateli veškerou jejnu dostupnoudokumentaci. Objednatel se dále zavazuje umožnit Poskytovateli příštíp v nezbytněnutném rozsahu do objektů ve vlastnictví Objednatele a k technickým prostředkůmv rozsahu SRBI vztahujícímu se k určené Kritické informační infrastruktuře (Kil) městaBrna - Metropolitní síti Brno, bude-li tento přístup nezbytný pro plnění předmětu tétosmlouvy. Tento přístup bude umožněn v době určené Objednatelem, ale Objednatel berena vědomí, že v případě neposkytnutí přístupu může nastal situace, kdy| Poskytovatelnebude moci plnit své závazky vyplývající z této smlouvy a v tomto jařípádě nemáObjednatel právo na uplatnění sankcí dle čl. 9 této smlouvy a ani případnýchl náhrad škod.

5.3 Objednatel se zavazuje, že bude informovat ostatní provozovatele Kil o skutečnosti, žePoskytovatel vykonává roli Architekta kybernetické bezpečnosti ft Managerakybernetické bezpečnosti dle § 7 vyhlášky o kybernetické bezpečnosti prej rozsah SRBIvztahujícímu se k určené Kritické informační infrastruktuře (Kli) města Brna j- Metropolitnísíti Brno a jc tedy oprávněn činit veškeré kroky vyplývající ze zákona 4 kybernetickébezpečnosti, vyhlášky o kybernetické bezpečnosti a této smlouvy, a to i ve vztahuk ostatním provozovatelům.

-5

6. Platební podmínky

6.1 Objcdjnatcí se zavazuje zaplatit Poskytovateli sjednanou cenu dle čl. 3. léto smlouvyza řádně a včas provedený předmět plnění na základě Poskytovatelem vystavených faktur.

6.2 Poskytovatel je oprávněn vystavit fakturu jako daňový doklad na paušální částky uvedenév čl. 31 léto smlouvy k 15. dni fakturovaného měsíce (DUZP).

6.3 Faklutu za úkony nad rámec paušální platby jc Poskytovatel oprávněn vystavit pouzepo akéeptaci úkonů Objednatelem (Příloha č. 1).

6.4 Povinnou přílohou každé faktury za úkony nad rámec paušální platby bude soupisposkytnutých služeb (dále jen „soupis41) včetně výstupů za fakturované období. Výstupybudoů předány Poskytovatelem Objednateli v českém jazyce, v elektronické podoběv běŽJíič používaných formátech (doc, pdf, BMP, JPG, GIF) dle povahy výstupu.

6.5 Doba Isplatnosti faktury je dohodnuta na 30 dnů od data jejího doručení Objednateli.

6.6 V případě, žc faktura nebude obsahovat náležitosti uvedené v této smlouvě, jc Objednateloprávpčný vrátit fakturu zpět Poskytovateli k doplnění, nejpozději do 5 pracovních dnůod jej ho doručení Objednateli. V tomto případe se přeruší plynutí lhůty splatnosti a tatolhůla splatnosti se prodlužuje o dobu nutnou k opravě faktury Poskytovatelem. Nová lhůtasplatnosti začíná běžet dnem prokazatelného doručení bezvadné faktury Objednateli.

Práva duševního vlastnictví7.

7.1 Poskytovatel se zavazuje, že při poskytování služeb neporuší práva třetích osob, která těmtoosobám mohou plynout z práv k duševnímu vlastnictví, zejména z autorských práv a právprůmyslového vlastnictví. Poskytovatel se zavazuje, že Objednateli uhradí veškeré náklady,výdaje, škody a majetkovou i nemajetkovou újmu, které Objednateli vzniknou v důsledkuuplatnění práv třetích osob vůči Objednateli v souvislosti s porušením povinnostiPoskytovatele dle předchozí věty.

7.2 Bude-!!i výsledkem nebo součástí poskytování služeb i dílo, které je předmětem autorskýchpráv, |práv souvisejících s právem autorským ČÍ práv pořizovateie k jím pořízené databázi,poskytuje Poskytovatel jako autor ode dne předání díla na neomezenou dobu Objednatelipro úderní České republiky nevýhradní licenci k užití díla způsoby užití a v rozsahu, kteréjsou nezbytné pro dosažení primárního účelu této smlouvy, přičemž výše odměnyza poskytnutí licence jc již zahrnuta v ceně předmětu plnění. Objednatel nemůže výšei:vedenou licenci poskytnout jako pod licenci nebo zcela postoupit třetím osobám.Objednatel není povinen licenci využít.

8. Okolnosti vylučující odpovědnost (vyšší moc)

8.1 Smluvní strany budou zproštěny své odpovědností za řádné splnění svých smluvníchzávazků částečně nebo úplně, jestliže nesplnění povinnosti bylo způsobeno okolnostmi

*6

vylučující odpovědnost mající povahu vyšší moct. Účinky vylučující odpovědnost jsouomezeny na dobu, pokud trvá překážka, s níž jsou tyto účinky spojeny.

8,2 Za vyšší moc se pokládají lakové nevyhnutelné události (překážky), které žádpá strana tétosmlouvy nemohla předvídat v době uzavření smlouvy, které smluvní straijě brání plnitsmluvní závazky z této smlouvy. Za okolnost vyšší moci se považují v(tiky, invaze,občanské války, povstání a občanské nepokoje, embargo, zásah státu nebo ýlády, živelnéudálosti, generální stávky. Za okolností vyšší moci se nepovažuje zejm. stávka či prodlenísubdodavatele, není-li rovněž způsobeno okolnostmi vyšší moci.

8.3 Pro oznamovací povinnost ohledně vzniku a trvání překážky platí ust. § 2902 zákonaě. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů, přičeni|ž Objednatelmusí být včas vyrozuměn o existenci okolnosti vylučující odpovědnost písenjtnou ťormou.Stejným způsobem bude oznámeno Objednateli ukončení trvání okolností) vylučujícíchodpovčdnost. Poskytovatel dovolávající se okolností vylučujících odpovědnost (zásahuvyšší moci) musí Objednateli na vyžádání předložil důkazy o okolnostech), na které seodvolává. i

8.4 V případe trvání okolností vyšší moct po dobu delší než 3 měsíce, se strany sejdou, aby sedohodly na dalších krocích a našly vzájemně přijatelná řešení. Ncdospčje-ji se k žádnédohodě do uplynutí čtyř (4) měsíců od vzniku okolností vyšší moci, má káždá smluvnístrana právo od teto smlouvy odstoupit.

9. Smluvní sankce

9.1 Objednatel má nárok na zaplacení smluvní pokuty ve výší 10.000,- Kč (sloVy: deset tisíckorun českých) za každý jednotlivý případ, pokud se ukáže, žc při poskytování plnění dletéto smlouvy Poskytovatel postupuje v rozporu s obecně závaznými právnínjii předpisy čiplatnými příslušnými technickými normami, jejichž závaznost smluvní (strany toutosmlouvou sjednávají.

9.2 Objednatel má nárok na zaplacení smluvní pokuty vc výši 50.000,- Kč (slovy) padesát tisíckorun českých) za každou neshodu zjištěnou při auditu kybernetické bezpečnosti, kterávznikla z návrhů předaných Poskytovatelem,

9.3 Objednatel má nárok na zaplacení smluvní pokuty ve výši 200.000,- Kč (sloyy: dvěstčtisíckorun českých) za nereagování Poskytovatele na bezpečností ineiderjl nej pozdějido 24 hodin od jeho identifikace. Za reagování na bezpečnostní incident se poýažujc i výzvaPoskytovatele na Objednatele na úpravu jeho vnitřních procesů a tcchnickýclj nastavení.

9.4 Pokud by nastala situace, že by dodavatel služeb Objednatele uplatňoval snjluvní sankcez důvodů realizace bezpečnostních opatření, budou uplatňovány přímo vůči! Objednateli,nikoli vůči Poskytovateli.

9.5 Zaplacením smluvní pokuty není dotčeno právo Objednatele odstoupit od smlouvy.

9.6 V případě prodlení Objednatele se zaplacením peněžitého závazku, je Objcdhateí povinen

-7-

zaplati zapo

il Poskytovateli úrok z prodlení v zákonné výši počítaný z dlužné částky za každýčatý den prodlení.

9.7 ZaplainárokZaplatsmíou

:ením smluvní pokuty není, jakkoliv dotčen nárok Objednatele na náhradu škody;11a náhradu škody je Objednatel oprávněn uplatnit vedle smluvní pokuty v plné výši.;ením smluvní pokuty není dotčeno splnění povinnosti Poskytovatele, která je dle tétovy prostřednictvím smluvní pokuty zajištěna.

Ukončení smluvního vztahu10.

ato smlouva se uzavírá na dobu neurčitou.10.1

'Pato smlouva může být ukončena písemnou dohodou smluvních stran.10.2

Objednatel je oprávněn od této smlouvy písemně odstoupit, pokud Poskytovatel plněnídle tějto smlouvy neposkytuje odborně, zejm. v rozporu s pokyny Objednatele, platnými

právn|mi předpisy a platnými příslušnými technickými normami, anebo v dalších případechoznačených v teto smlouvě.

I

Kterákoli zc smluvních stran jc oprávněna ukončit tuto smlouvu písemnou výpovědíbez uvedení důvodu. Výpovědní lhůta činí 6 měsíců. Výpovědní lhůta počíná vždy běžetprvním dnem měsíce následujícího po doručení výpovědi druhé smluvní straně.

10.3

10.4

Objednatel je oprávněn vypovědět tuto smlouvu nejdříve po 12 měsících trvání10.5sniloi vy.

Odstoupení od smlouvy nebo výpověď smlouvy musí být provedena písemně, jinak jeneplál ná. Odstoupení od smlouvy nebo výpověď smlouvy musí být doručena druhé smluvnístraně. Smluvní strany dohodly, že v případě pochybností jc odstoupení od smlouvy nebovýpověď smlouvy druhé straně doručena po uplynutí tří dnů od odeslání výpovědi.

10.6

10.7 Jkončením smlouvy nejsou dotčeny nároky Objednatele na uplatnění smluvníchpokřik náhrady škody a ostatních práv a povinností založených touto smlouvou.

íl. Ostatní smluvní ujednání

lato smlouva je vyhotovena ve čtyřech stejnopisech, z nichž každá smluvní stranaí dvě vyhotovení.

11.1obdrž

11.2 lato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranaminosti uveřejněním prostřednictvím registru smluv ve smyslu zák. Č. 340/2015 Sb.,štníeh podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru(zákon o registru smluv) ve znění pozdějších předpisů (dále jen ,,ZoRS“). Podlebude tato smlouva Objednatelem zveřejněna v registru smluv.

a účino zvlásmluvZoRS

- 8

I

Smlouva představuje úplnou dohodu smluvních stran o předmětu smlouvy a všechnáležitostech, které smluvní strany měly a chtěly ve smlouvě ujednat, a kjeré považujíza důležité pro závaznost smlouvy. Smlouvu lze měnit ěi doplňovat pouzé písemnýmidodatky odsouhlasenými a podepsanými oprávněnými zástupci smluvních střílnami.

11.3

Smluvní strany se podpisem smlouvy dohodly, že vyluěují aplikaci ustanovení § 557zákona č. 89/2012 Sb., občanský zákoník, ve zněni pozdějších předpisů (dále jen 07,).

11.4

■ Pro vyloučení pochybností Poskytovatel výslovně potvrzuje, že je pjodnikatelem,uzavírá smlouvu při svém podnikání, a na smlouvu se tudíž neuplatní ustanovení § 1793

11.5

07.

Poskytovatel na sebe v souladu s ustanovením § 1765 odst. 2 07, přebjrá nebezpečízměny okolností. Tímto však nejsou nikterak dotčena práva smluvních stfan upravenáve smlouvě.

11.6

Problémy, které se ukáží jako důsledek zásahů, které provede! Objednatela Poskytovatel s nimi nebyl seznámen, popř. je nedoporučil, nejsou touto srn ouvou kryty,jejich případné odstranění ze strany Poskytovatele bude předmětem změňového řízenía náklady vynaložené na klasifikaci, případně návrh řešení a vlastní těšení budouObjednateli účtovány zvlášť.

11.7

Problémy, které se ukážou jako důsledek zásahů, které provede Poskytovatela Objednavatel s nimi nebyl seznámen, popř. je nedoporučil, je nutné neprod enč odstranitěi uvést do původního stavu na náklady Poskytovatele.

11.8

Poskytovatel se zavazuje bez předchozího výslovného písemného souhlasuObjednatele nepostoupit ani nepřevést jakákoliv práva či povinnosti vyplývající z tétosmlouvy, ani smlouvu jako celek, na třetí osobu ěi osoby.

11.9

Práva a povinnosti z této smlouvy vyplývající přechází i na případné právní nástupceobou smluvních stran.

11.10

Poskytovatel je oprávněn vstupovat po předchozí dohodě s Objednatelcjm do objektůObjednatele v souvislosti s plněním smlouvy.

11.11

Záležitosti ve smlouvě výslovně neupravené se řídí příslušnými ustanoveními OZa příslušnými právními předpisy souvisejícími. Veškeré případné spory ze sqilouvy budouv prvé řadě řešeny smírem (tento postup se nevztahuje na vymáhání finančních pohledávekvzniklých z porušení povinnosti zaplatit pohledávku). Pokud smíru nebude dosaženo během30 (slovy: třiceti) dnů, všechny spory ze smlouvy a v souvislosti s ní budou řešeny věcněa místně příslušným soudem v České republice.

11.12

Objednatel i Poskytovatel se zavazují vzájemně informovat o všech Organizačníchzměnách (název, sídlo, fČ, DIČ, tel., fax., apod.).

11.13

Kontaktní osoby Objednatele a Poskytovatele a způsob komunikace jsou uvedenyv Příloze č. 2 této smlouvy. Změny kontaktních osob lze provést písemnýiji oznámením

1 1.14

9-

druhé Straně bez nutnosti změny Přílohy č. 2 smlouvy. Toto oznámení sc pak stává součástí

smlouiy. Podrobné kontakty budou druhé straně sděleny písemně do 5 kalendářních dnůpo účiihnosti smlouvy.

11.15 Plodrobný popis rozsahu součinnosti Objednatele a Poskytovatele a určení kompetencíje uveden v příloze ě. 3 smlouvy.

11.16 Poskytovatel i Objednatel jsou povinni zachovat mlčenlivost o všech skutečnostech,údajích a informacích, týkajících se druhé smluvní strany, které mají povahu jejichobchodního tajemství v rozsahu a za podmínek §504 OZ, a o kterých se dozví v souvislostis plnčijnm smlouvy. Poskytovatel i Objednatel sc zavazují, žc tyto skutečnosti nesdělí anijiným | způsobem neposkytnou žádné třetí osobě a zajistí jejich přiměřenou ochranua utajení.

Poskytovatel je dle zákona č. 101/2000Sb., o ochraně osobních údajů a o změněněkterých zákonů, ve znění pozdějších předpisů a dle Nařízení Evropského parlamentu

. a Rady (EU) 2016/6)79 povinen zachovával mlčenlivost o všech osobních údajích a o všechbezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajův informačním systému Objednatele. Povinnost mlčenlivosti trvá i po ukončení účinnostismlouýy. Poskytovatel odpovídá Objednateli v plné míře za škodu, kterou mu způsobíporušením tohoto ustanovení.

11.17

Statutární město Brno jc při nakládání s veřejnými prostředky povinno dodržovatustanojvení zákona Č. 106/1999 Sb., o svobodném přístupu k informacím, ve zněnípozdějších předpisů.

11.18

11.19 Ijícdílnou součástí této smlouvy jsou následující přílohy:Příloha č. 1: Vzor Akccptačního protokolu o předání a převzetí plněníPříloha č. 2: Seznam kontaktních osobPříloha č. 3: Stanovení součinnosti a kompetencí

11.20 Smluvní strany prohlašují, žc jc jim znám celý obsah smlouvy a žc tuto smlouvuuzavřely na základě své svobodné a vážné vůle. Na důkaz této skutečnosti připojují svojepodpisy.

Doložka:

Tato smlouva byla schválena Radou města Brna na schůzi R7/168 dne 9. 5. 2018.

. 0 6 -08- 2018 0 4 -08- 2018V Brně drje V Brně dne:

Za Objedrjalele: Za Poskytovatele:

zíj statu1 Ing. Petr Vokřálprimátor města Brna

za Technick polečnostIng. Pavel Staněk

předseda představenstva

- 10-

Ing. Zdeněk Formanmístopředseda představenstva

- 11

Příloha č. 1Vzor Akceptačního protokolu o předání a převzetí plnění

číslo (dále jen akceptační protokol):

Název projektu:Číslo smlouvy MMB:

Klapa / fáze / období: Zpracovatel projektu:

Název zprávy / plností:

Architekt / Manager kybernetické bezpečností

Název etapy/fázejméno, příjmení a funkce zpracovateleodkazy na smlouvu (katalog služeb), forma akceptace, ceny bez DPI! ' '

celkempopis služby (odkaz na smlouvu)

výsledekakceptace(A/N/V)*

čísloslužby

početh od in/človčko hodin

sazbaKč/člověko hodinu

zaslužbu

Kč

Celkem KčV A " akceptováno. N ■ neakceptováno. !■' ■ akceptovánu s výhradou

Předání plnění dne: datum předáni Za poskytovatele__ Podpis

Jméno a pnju\tmi odpovědné osoby Poskytovatele

Za objednatele Pod pis

Jméno i i přijít tmi otl/irividné osoby Objednatele

Komentář (popis zjištěných nedostatků)n-i/milnú vyhrotiv rt 2/:.Jiné nedostatky v plnini poskytovatele, připadni návrhy na jejich odstraněni vidné Senními, případné vyčísleni sankci. Jc-li sezýam akceptaůnich výhrad v samostatném souboru, uvede se zde tento soubor jako příloho akceptačního protokolu.

Sliriiutí řešení (splnění kritértí) - závěr akceptace (hodícíse zakroužkujte) A _ Při akceptaci nebyly zjištěny nedostatky

y Př< akceptaci byly zjištěny nedostatky, jejichž seznali) je uveden dále / je uveden v příloze c. i. Tylo nedostalky _____ nebrání akceptaci._____________N Při akceptaci hyly zjištěny nedostatky, jejichž seznam je uveden dále / je uveden v příloze i. 1. Tylo nedostatky

hráni1 akceptaci. ____/) akceptovaný, N - neakceptována. V ■ akceptováno s výhradou

Převzetí plhění dne: datum převzeií Za objednatele převzal (akceptoval)Jménu a přiffíÁdni oc/povét/né f>\ohv Objednatele

Podpis

- 12-

Příloha č 2.

Seznam kontaktních osob

Kontaktní osoby role Architekt kybernetické bezpečnosti

Poskytovatel:Ing. Zdeněk Forman, Manažer kybernetické bezpečnosti TSBIng. Robert Sehindler, MSc, Architekt kybernetické bezpečnosti TSB

Objednatel:Ing. Jaroslav Kačer, předseda Výboru pro řízení kybernetické bezpečnostiing. David Menšík, pověřený zastupováním vedoucího OM1 MMB.

Kontaktní osoby role Manager kybernetické bezpečnosti

Poskytovatel:ing. Zdenčk Forman, Manažer kybernetické bezpečnosti TSBing. Robert Sehindler, MSc, Architekt kybernetické bezpečnosti TSB

Objednatel:ing. Jaroslav Kačer, předseda Výboru pro řízení kybernetické bezpečnostiIng. David Menšík, pověřený zastupováním vedoucího OMI MMB,

V

Řízení komunikace

Komunikace stran bude probíhat tak, že všechny zprávy zasílané e-mailem musí být pro účelyarchivace a kontroly, a platné zasílány rovněž na adresu komunikačníhosystému Poskytovatele

- 13

Příloha Č 3.

Stanovení součinnosti a kompetencí

Ohjcd n :i telPos kýlová tel

/;ijistí prcdáju veškerých podkladů potřebných pro plnění předmětu smlouvy.

/:ijisti poskytováni veškerých jemu dostupných informací, jakož, i informací, jež, je s to, z titulu svého postavení licho statutu, obstaral

než Poskytovatel a které jsou pro poskytování služby potřebným podkladem. V tomto kontextu jde především o veškeré informace o vlastním stavu předmětné problematiky na straně Objednatele, včetně, avšak bez omezení, na již zpracované nebo dříve zpracované části d;mých problematik (nebo analyticky řešené).

Aktivně spolupracuje při realizaci dohodnutých úkolů.

Zajisti pro Poskytovatele přístup do všech prostor v režimu 7x24, které jsou podpůrnými aktivy nebo se v nich podpůrná aktiva nachází ve schváleném rozsahu SRBI

Zajisti pro Poskytovatele jednací místnosti pro realizaci schůzek a školení.

Bude při uskutečňování služeb plnit své závazky v dohodnutém rozsahu a v dohodnutých lhůtách.

.Sllíl/C

Technické ti organizační podmínky pro zajištění poskytování Služeb:

Zajistí vzdálený přístupu k dohodnutým bezpečnostním technologií::-, (systémům) a podpůrným aktivům ve schváleném rozsahu SRBI pro Poskytovatelem určené osohy (dále jen urěeité osoby). Pokud po určitou dolin nebude lunkéní vzdálený přístup, nebude ta část služby, na vzdáleném přístupu závisející, po tuto dobu poskytována. Zajisli přístup k těmto bezpečnost nim technologiím (systémům) a podpůrným aktivům včetně dohodnutých úrovní oprávnění pro určené osoby. Pokud provozní možnosti neumožní Poskytovateli přístup k bezpečnostním technologiím (systémům) a podpůrným aktivům, nelze po dobu /omezení přístupu tu část služby na přístupu k bezpečnostním technologiím (systémům) a podpůrným aktivům závisející poskytovat.

Zajistí ustavení jediného kontaktního a předávacího místa pro předávání

informaci (lickelovací systém - JT helpdesk).

im

bezpeénosluích

■o

‘•PJ

N

I os kytu o nezbytnou součinnost pro změny nastavení a konfigurací těchto bezpečnostních technologii (systémů) a podpůrných aktiv. Zajistí předání příslušných a nastavení celého SŘU1.

a směrnic ovlivňujících provoznorem

Zajisti přípravu dat a systémů deruto váných ve specifikacích pro bezpečnostní testování.

Bude při uskutečňování projektu plnit své závazky v dohodnutém rozsahu a v dohodnutých lhůtách a poskytne včas zejména veškeré nezbytné informace a všechna nutná rozhodnutí učiní bez zbytečného prodlení. Pokud nebude Objednatel schopen plnit tyto závazky, pak to neprodlené oznámí Poskytovateli věelnč termínu, kdy opět bude mít možnost součinnost poskytovat. Doba, po kterou Objednatel nemůže poskytovat součinnost, se nezapočítává do doby řešení událostí.

Zajistí, aby veškeré události zachycené jeho doh ledovým i systémy, týkající se schváleného rozsahu SRBI, byly dány okamžité Poskytovateli k dispozici, a to využitim notifikačních mechanismů Objednatele do dohlcdovélio centra Poskytovatele.

Pokud při přeliírání prováděných analýz něho dalších zjištěných bezpečnost nich skutečností vyplyne, že je dohled aplikací nedostatečný, navrhne Poskytovatel úpravy monitorovacích postupů a Objednatel poskytne součinnost při jejich implementaci a uvedení do provozu.

- 14-

Objeti na tel£ Poskytovatelo

O

Určí osobu v roli garanta s oprávněním zajistil součinnost pro Poskytovatele.

Určí a bude itásjedně pravidelně aktualizoval osol)výstupu jících za: Poskytovatelev bezpečnostních rolích.Určí a bude následní pravidelní aktualizoval výstupu jících za Poskytovatele pro přístup k podpůrným aktivům, i n formaci ni, přístupům do prostor Objednatele, připadni dalších činnostech uczhylhých pro pinči ií smluvních závazků

seznam

Vytvoří a následné bude pravidelně aktualizovat seznam osob v rolíeb garantů, správců a administrátorů s uvedením kouLaklniho telefonu a emailu podpůrných akliv zahrnutých ve schváleném rozsahu SK!JI.

osobseznaní

Vytvoří a následní bude pravidelní aktualizovat seznam osob držících pohotovost v režimu 7x24 u podpůrných aktiv vc schváleném rozsahu Sklil ucho přímo ovlivňující tyto aktiva pro řešení kybernetických bezpečnostní cit události a incidentů

Ohjed na tel Poskytova tel

[Sude hlásil bezpečnostní události nebo podezření na ni výhradní schváleným procesem hlášeni.

liudc prováděl zpracování hlášených bezpečnostních události a informoval o výsledcích kontaktní osohy Objednatele.

Bude prováděl dohled nad procesy řešení KBU / KUJI a navrhovat způsobu řešení neodkladných situaci.

Oc

3O

Zajisti součinnost při analýzách bezpečnostních událostí.4>UO

O.13ude s Poskytovatelem předem konzulloval všechny systémové zásahy do podpůrných akliv ve schváleném rozsahu SRIM.

Objednatel Poskytovatel4=C_fdi

o'C3 Poskytne informace o událosteeh s přímým nebo nepřímým dopadem

na aktiva ve schváleném rozsahu SRBI {např, odstávky, změny koníigurace, výpadek proudu, sítčatd.).

informuje Objednatele o vzniku kybernetické bezpečno slití události (KBU) nebo incidentu (KBI). Provádí klasifikaci KBU/KBí a případné KBI hlásí na GovCerl.

Informuje Objednatele o nutnosti odstávektechnologiích (Systémů) nebo podpůrných akliv jz bezpečnostních důvodů.Informuje Objednatele o realizaci bezpečnostního opálřcni.

3

_c£CJ

‘3T

Na vyžádání zx strany Poskylovatele se účastni jednáni, která mají vliv na služby poskytované Poskytovatelem defilované v léto smlouvě.

O1*i

bezpečnosti líchO

Oea>oE Juldrmujc vlastní uživatele o bezpečnostních událostech a opatřeních.k_

•se

-15-

Návrh systém li řízení bezpečí i os li informací (SRBI) R A C

Implementace schváleného SRBI A R C

Návrh hezpočnoslních opatření R A C

Implementace schválených bezpečnostních opatření A R C

Vyhodnocování bezpečnostních opatření R A C

Vyhodnocování bezpečnostních událostí v rozsahu SRBI R A C

Provedení a aktualizaci Analýzy rizik včetně návrhu a aktualizace bezpečnostních opatření R A C

Vypořádání rizik z Analýzy Rizik A R C

Návrh pročešu řešení KBIJ / KB] a jejich optimalizace R A C

Dohled nad procesy řešení KBU / KBI a určení způsobu řešení neodkladných situací. R A t:

Rozhodování o realizaci bezpečnoslního opatření R A C

R - Responsihle / Zodpovědný -- Objednatel / Poskytovatel podle uvedeného je vrcholově zodpovědný za danou službu.A - Assists / Spolupracuje - Objednatel / Poskytovatel podle uvedeného má povinnost spolupracoval a poskytovat součinnost.C - Consultcd / Konzultuje -Zodpovědný Objednatel / Poskytovatel konzultuje způsob řešení s daným Objednatelem / Poskytovatelem / dalším dodavatelem a zohledňuje obdržené informace.

- 16-