SMLOUVA o ZAJIŠTĚNÍ KYBERNETICKÉ A INFORMAČNÍ BEZPEČNOSTI

Smluvní strany:

Krajská nemocnice Liberec, a.s.

se sídlem: Husova 1430/34, 460 01 Liberec | — Staré Město

|č: 27283933

DIČ: CZ27283933

zapsána v obchodním rejstříku vedeném Krajským soudem v Ústí nad Labem, sp. zn. 31651
zastupuje:

místopředseda představenstva

(dále také jen „KNL")

bioMérieux CZ s.r.o.

se sídlem: Hvězdova 1716/2b, 140 78, Praha 4

|č: 27391981

DIČ: CZ27391981

zapsaný v obchodním rejstříku vedeném Krajským soudem v Praze, oddíl C, vložka: 110836
zastupuje: „jednající na základě plné moci

(dále také jen „Dodavatel")

(společně dále také jen „smluvní strany")

uzavřely níže uvedeného dne, měsíce a roku tuto smlouvu o zajištění kybernetické a informační
bezpečnosti (dále také jen „smlouva"):

Úvodní ustanovení o kybernetické bezpečnosti

KNL je provozovatelem základní služby ve smyslu 5 2 písm. k) zákona č. 181/2014 Sb.,
o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
(dálejen „ZKB") podle 5 2 písm. i) ZKB a 5 223 ZKB.

KNL je povinna ve smyslu 5 8 Vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních,
kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání
v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále
jen „VKB") řídit dodavatele a rizika spojená sdodavateli sohledem na kybernetickou
a informační bezpečnost základní služby KNL a KNL.

Dodavatel je dodavatelem přístrojového vybavení (např. přístroj Biofire) a/nebo
programového vybavení — software a/nebo IT technologií — hardware dodávaného do KNL, na
základě jednotlivých kupních smluv, smluv o výpůjčce a/nebo jiných smluv, uzavřených mezi
KNL a Dodavatelem (dále také jen „primární smlouvy"). V případě, že nastane rozpor mezi
primárními smlouvami a touto smlouvou, má přednost tato smlouva.

Předmětem této smlouvy je závazek Dodavatele plnit požadavky stanovené vtéto smlouvě
a závazek KNL plnění požadavků Dodavatelem vyžadovat a kontrolovat.

Smluvní strany se zavazují dodržovat veškeré právní předpisy upravující kybernetickou
a informačních bezpečnost, doporučení, pokyny, opatření a jiná právní jednání příslušných
orgánů veřejné moci, a to vždy v aktuálním znění a podobě, jakje KNL implementovala v rámci
vnitřních předpisů (viz. Čl. ||. 2).

KNLje oprávněna za účelem odvrácení rizika hrozící újmy na právech a oprávněných zájmech
pacientů či zaměstnanců KNL nebo za účelem odvrácení rizika ohrožení informační či
kybernetické bezpečnosti KNL akutně zasáhnout do nebo v plnění primárních smluv či této
smlouvy Dodavatelem. KNL se zavazuje o akutním zásahu do nebo v plnění primárních smluv
či této smlouvy Dodavatelem podle předchozí věty Dodavatele informovat.

Základní práva a povinnosti smluvních stran

Dodavatel se zavazuje při plnění primárních smluv a této smlouvy přistupovat ke
komunikačním a informačním systémům KNL a případně pohybovat se v nich pouze způsobem
a v rozsahu KNL dovoleným a pouze způsobem a v rozsahu, které jsou potřebné a účelné pro
plnění primárních smluv a této smlouvy. Za každé dílčí porušení závazku Dodavatele
uvedeného vpředchozí větě se Dodavatel zavazuje uhradit KNL smluvní pokutu ve výši
odpovídající ročnímu plnění podle primárních smluv, a pokud je taková primární smlouva
bezúplatná (např. o výpůjčce), pak smluvní pokutu ve výši100.000,- Kč. Právo KNL na náhradu
škody zvlášť a v plné výši tím není dotčeno.

KNL má stanovenou bezpečnostní politiku a vede bezpečnostní dokumentaci ve smyslu 5 30
odst. 1 VKB jako souhrn vnitřních předpisů KNL (dále jen „bezpečnostní politiky"). KNL se
zavazuje Dodavateli poskytnout ty bezpečnostní politiky, které jsou relevantní pro nastavení
informační a kybernetické bezpečnosti při plnění této a primárních smluv (dále také jen
„relevantní bezpečnostní politiky"). Všeobecné znění relevantních bezpečnostních politik je
dostupné v dokumentu „Politika bezpečného chování dodavatele IT technologie" vystaveném
na webových stránkách KNL. V odůvodněných případech KNL může poskytnout další výňatky z
bezpečnostních politik relevantních pro konkrétního dodavatele. Dodavatel se zavazuje
dodržovat relevantní bezpečnostní politiky. Stanoví-li tato smlouva něco jiného, než je
obsaženo v relevantních bezpečnostních politikách, má přednost ujednání ve smlouvě.

KNL je oprávněna pravidelně vyhodnocovat účinnost a případnost opatření přijatých
v bezpečnostních politikách a v návaznosti na tato vyhodnocení měnit bezpečnostní politiky.
Dotkne-li se změna bezpečnostních politik relevantních bezpečnostních politik uvedených
v předchozím odstavci, zavazuje se KNLo těchto změnách Dodavatele bez zbytečného odkladu
vyrozumět. Dodavatel se zavazuje dodržovat relevantní bezpečnostní politiky vždy v aktuálním
znenL

Smluvní strany shodně prohlašují, že bezpečnost informacíje pro obě smluvní strany zásadní.
Dodavatel se zavazuje informovat KNL bez zbytečného odkladu o výskytu veškerých
kybernetických bezpečnostních incidentů (ve smyslu 5 7 odst. 2 ZKB) u Dodavatele.

Dodavatel se zavazuje zajistit důvěrnost informačních aktiv, s nimiž nakládá nebo přichází do
styku. Dodavatel se zavazuje o veškerých jemu předaných, zpřístupněných, zpracovávaných či
jinak dostupných či známých informačních aktivech zachovávat mlčenlivost a nesdělit je ani

10.

11.

12.

neumožnit k nim přístup třetím osobám, neboje nevyužít ve svůj prospěch nebo ve prospěch
třetích osob, není-li v této smlouvě stanoveno jinak.

Povinnost mlčenlivosti podle předchozího odstavce se vztahuje rovněž, bez ohledu na formu
a způsob jejich sdělení či zachycení a až do doby jejich zveřejnění, na jakékoli a všechny
skutečnosti, včetně obchodního tajemství, které se Dodavatel v průběhu vzájemné spolupráce
dozví, a/nebo které mu KNL v průběhu vzájemné spolupráce zpřístupní, jakož i sama existence
těchto skutečností a vzájemné spolupráce smluvních stran.

Smluvní strany vymezují jako důvěrné informace informační aktiva, se kterými přijde
Dodavatel do styku na základě plnění primárních smluv a dále jakékoli neveřejné informace
zpřístupněné smluvními stranami v písemné nebo ústní formě, na ochraně kterých může mít
smluvní strana zájem, zejména se tak za důvěrné informace považují: (i) obchodní tajemství,
postupy, definice, specifikace, programy, programové balíky, technické a jiné know-how,
provozní metody a postupy, obchodní strategie, obchodní a marketingové plány, návrhy,
dohody, smlouvy, finanční, obchodní a další provozní údaje smluvních stran; (ii) informace
opacientech KNL, zaměstnancích a dodavatelích KNL, údaje podléhající ochraně podle
zvláštních právních předpisů, údaje na něž se vztahuje zákonem uznaná nebo uložená
povinnost mlčenlivosti; (iii) případně jiné informace, kteréjako důvěrné smluvní strana označí.
Důvěrné informace jsou dále společně označeny též jako „chráněné informace".

Smluvní strany se zavazují, že důvěrné informace nebudou dále rozšiřovat nebo reprodukovat
a nezpřístupní je třetí straně. Současně se zavazují, že zabezpečí, aby převzaté dokumenty
obsahující důvěrné informace byly řádně evidovány a chráněny. Smluvní strany se dále
zavazují, že důvěrné informace nepoužijí v rozporu sjejich účelem ani účelem jejich poskytnutí
pro své potřeby nebo ve prospěch třetích osob. Smluvní strany přijmou účinná opatření pro
zamezení úniku důvěrných informací.

Povinnost plnit ustanovení této smlouvy se nevztahuje na chráněné informace, které:

mohou být zveřejněny bez porušení této smlouvy;

byly písemným souhlasem druhé smluvní strany uvolněny od těchto omezení;

jsou veřejně dostupné nebo byly zveřejněny jinak, než porušením povinnosti jedné ze
smluvních stran;

příjemce je znal zcela prokazatelně dříve, než je sdělí smluvní strana;

jsou vyžádány soudem, státním zastupitelstvím nebojiným věcně příslušným orgánem veřejné
moci za podmínek stanovených zákonem.

Poskytnutí informací spadajících do oblasti důvěrných informací nezakládá žádné právo na
licenci, ochrannou známku, patent, právo užití nebo šíření autorského díla, ani jakékoliv jiné
právo duševního nebo průmyslového vlastnictví.

Dodavatel se zavazuje ukládat důvěrné informace a chránit je před zneužitím, poškozením,
znehodnocením, ztrátou, záměnou a nakládat sdůvěrnými informacemi pouze způsobem
stanoveným primárními smlouvami a touto smlouvou.

Smluvní strany sjednávají, že primární užívací právo kdatům obsaženým v informačním nebo
komunikačním systému náleží KNL.

13.

14.

15.

Dodavatel se zavazuje zajistit integritu informačních aktiv, s nimiž nakládá nebo přichází do
styku.

Dodavatel se zavazuje pořizovat a evidovat záznamy o technických událostech (|ogy).
Dodavatel se zavazuje pořizovat a evidovat logy o relevantních informacích (v pochybnostech
tyto označí KNL). Dodavatel se zavazuje uchovávat logy po dobu šesti měsíců, pokud KNL neurčí
jinak. Dodavatel se zavazuje evidenci logů podle tohoto odstavce předložit k náhledu KNL,
kdykoliv o to KNL požádá.

Dodavatel se zavazuje provádět testy zranitelnosti a penetrační testování technologií
propojených s KNL ve stejném rozsahu, jaký stanoví ZKB, VKB a podpůrné materiály
a rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost, vždy v aktuálním
znění, pro povinné subjekty a informovat o výsledcích KNL.

Vzdálený přístug

Je-li pro plnění primárních smluv nezbytně nutné, aby měl Dodavatel zajištěn vzdálený přístup
do informačního nebo komunikačního systému KNL, zavazuje se Dodavatel nastavit systém
přístupu do informačního nebo komunikačního systému KNLtak, aby bylo možnéjednoznačně
určit, kdo do informačního nebo komunikačního systému KNL přistoupil, kdo provedl úpravu
či byl jakkoliv v informačním nebo komunikačním systému KNL aktivní. Veškeré aktivity
uvedené v předchozí větě je Dodavatel povinen logovat ve smyslu čl. II odst. 15 této smlouvy
vyse.

Za účelem zajištění dostupnosti a funkčnosti informačního nebo komunikačního systému KNL
nebo možnosti plnění primárních smluv nebo této smlouvy je Dodavatel oprávněn do
informačního nebo komunikačního systému přistupovat prostřednictvím svých zaměstnanců
či osob v obdobném postavení, a to v souladu s požadavky na řízené přístupy do informačního
nebo komunikačního systému KNL odvislé od zhodnocení rizik pro informační aktiva, která se
v informačním nebo komunikačním systému KNL nachází. Dodavatel se zavazuje zajistit, aby
každá osoba oprávněná k přístupu do informačního nebo komunikačního systému KNL měla
nastavené přístupové údaje 5 oprávněním provádět úpravy a zápisy dat v informačním nebo
komunikačním systému dle svého zařazení se zohledněním potenciálních rizik z toho
vyplývajících. KNL pro plnění tohoto odstavce realizuje proces řízeného zakládání (ve smyslu
posloupnosti: žádost — schválení — realizace — reporting — zrušení).

KNL umožní Dodavateli vzdálený přístup do informačního nebo komunikačního systému KNL,
je-li to nezbytné, pouze prostřednictvím VPN připojení zřízeného Dodavatelem do VLAN KNL
ktomu KNL zřízené. Vpřípadě pochybností KNL Dodavateli pokyny pro vzdálený přístup
Dodavatele upřesní.

Fyzický přístup k informačním a komunikačním technologiím a počítačovému hardwaru KNL

(dále ien utechnické prostředky KNL"[

 

Fyzický přístup k technickým prostředkům KNL je umožněn pouze na základě souhlasu KNL.
KNL umožní přístup ktechnickým prostředkům KNL pouze zaměstnanci Dodavatele či osobě
v obdobném postavení, která předloží průkaz totožnosti a písemné pověření Dodavatele.

VI.

Fyzický přístup k technickým prostředkům KNLje umožněn pouze v přítomnosti zaměstnance
KNL.

Souhlasu KNL podléhá každý jednotlivý úkon zaměstnance pověřeného Dodatelem či osoby
v obdobném postavení ve smyslu odst. 1 tohoto článku včetně:

- pořizování kopií informačních aktiv, jejich změny či výmazu;

- připojováníjiných zařízenía technických prostředků na sítě KNL;

- spouštění aplikací;

- instalace nových aplikací,je-|i nutná k realizaci plnění;

- provádění činností, které přímo nesouvisí s plněním podle primárních smluv.

Audit

. KNL je oprávněna kontrolovat plnění požadavků a podmínek stanovených ZKB, VKB a touto

smlouvou Dodavatelem (dálejen „zákaznický audit"). KNL nepřistoupí k realizaci zákaznického
auditu pro případ, že se Dodavatel prokáže auditní zprávou svědčící o plnění požadavků
a podmínekstanovených ZKB, VKB a touto smlouvou a KNL bude tuto auditní zprávu považovat
za dostatečnou.

. KNLje oprávněna provádět zákaznický audit v termínech a za podmínek předem dohodnutých

smluvními stranami. Dodavatel se zavazuje umožnit zákaznický audit a zdržet se kladení
jakýchkoliv překážet zákaznickému auditu. KNLje oprávněna k přístupu do veškerých prostor
Dodavatele, v nichž jsou realizovány činnosti, které mají vliv na plněnítéto smlouvy a ke všem
prostředkům, kterými nebo pomocí kterých je plněna tato smlouva.

Dojde-li KNL k závěru, že Dodavatel porušuje povinnosti stanovené touto smlouvu, ZKB či VKB,
upozorní na tuto skutečnost Dodavatele a vyzve jej k okamžitému zjednání nápravy.

KNLje oprávněna k provádění zákaznického auditu zmocnit třetí osobu. Třetí osoba zmocněná
podle předchozí věty má při realizaci zákaznického auditu stejná oprávněníjako KNL.

Dodavatel se zavazuje poskytnout veškerou součinnost potřebnou pro realizaci auditu ve
smyslu tohoto článku.

Poddodavatelé

Smluvní strany sjednávají oprávnění Dodavatele zapojit do plnění podle této smlouvy
poddodavatele. Každé jednotlivé, byťjen dílčí zapojení konkrétního poddodavatele do plnění
podle této smlouvy podléhá předchozímu souhlasu KNL, a to s výjimkou osob v obdobném
postavení jako mají zaměstnanci Dodavatele (tzv. spolupracující osoby, které jsou osobami
samostatně vykonávajícími činnost na základě živnostenského oprávnění či externí agenturní
pracovníci).

Dodavatel se zavazuje zajistit, aby poddodavatel plnil stejné povinnosti ve stejném rozsahu
jako stanoví ZKB, VKB nebo tato smlouva pro Dodavatele.

Za plnění povinností stanovených ZKB, VKB nebo touto smlouvou poddodavatelem odpovídá
Dodavatel.

VII.

VIII.

Ukončení smlouw (exit strategie!

Dojde-li zjakéhokoliv důvodu k ukončení této smlouvy nebo některé z primárních smluv,
sjednávají smluvní strany přechodné období v délce trvání 6 měsíců, v rámci, kterého je
Dodavatel povinen i nadále přístrojové a/nebo programové vybavení podle ukončené primární
smlouvy poskytovat, nestanoví-li KNLjinak.

Smluvní strany sjednávají, že během doby uvedené v předchozím odstavci je Dodavatel
povinen zlikvidovat veškeré informace, se kterými nakládá či nakládal nebo které jsou v jeho
sféře vlivu či ovládání v souvislosti s plněním primárních smluv anebo této smlouvy.

Pokud o to KNL výslovně požádá, je Dodavatel povinen předat informace uvedené v odstavci 2
tohoto článku budoucímu Dodavateli v zájmu zajištění kontinuity nastavených procesů
souvisejících s realizací plnění podle primárních smluv.

Závěrečná ustanovení
Tato smlouva nabývá platnosti dnem jejího podpisu oběma smluvními stranami.

Tato smlouva nabývá účinnosti dnem jejího uveřejnění v registru smluv dle zákona č. 340/2015
Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňovánítěchto smluv a o registru
smluv, ve znění pozdějších předpisů.

Jakékoliv změny smlouvy musí být sepsány formou písemných dodatků ke smlouvě a musí být
podepsány smluvními stranami, osobami oprávněnými k takovému jednání.

Vztahy mezi smluvními stranami výslovně neupravené touto Smlouvou se řídí režimem zákona
č. 89/2012 Sb., občanský zákoník, a zákona č. 121/2000 Sb., o právu autorském, o právech
souvisejících s právem autorským, ZKB a VKB. Smluvní strany se zavazují bez zbytečného
odkladu reagovat na změny právních předpisů upravujících spolupráci smluvních stran
založenou touto smlouvou.

Veškeré spory ze smlouvy se smluvní strany zavazují řešit smírem a teprve pokud se spor
nepodaří smírem vyřešit, bude spor rozhodovat podle zákona č. 99/1963 Sb., občanský soudní
řád, věcně a místně příslušný soud.

Pokud bude jakékoliv ujednání smlouvy shledáno jako neplatné či neúčinné, nedotýká se
neplatnost a neúčinnost ostatních ujednání smlouvy. Smluvní strany se pro tento případ
zavazují neplatná či neúčinná ujednání nahradit dohodou platnými a účinnými ustanoveními,
která nejlépe odpovídají smyslu a mají nejblíže k neplatnému či neúčinnému ujednání, aniž by
požadovaly výhody nebo plnění, která původně nebyla sjednána.

Žádná smluvní strana není oprávněna postoupit právo nebo závazek nebo zatížit pohledávku
vyplývající ze smlouvy nebo žádnou jejich část bez předchozího písemného souhlasu druhé
smluvní strany.

Tato smlouva byla vyhotovena ve dvou stejnopisech, z nichž po jednom stejnopisu obdrží po
jejím podpisu každá smluvní strana.

Smluvní strany tímto prohlašují a stvrzují podpisy osob oprávněných kjednánísmluvních stran,
že si smlouvu řádně přečetly,jejim znám významjednotlivých ujednánísmlouvyajejích příloh,
že smlouvu uzavírají na základě své pravé a svobodné vůle a dále prohlašují, že jim k datu
podpisu smlouvy nejsou známy žádné skutečnosti ani okolnosti, které by jim mohly bránit
v plnění závazků dle smlouvy, tuto smlouvu učinit neplatnou nebo neúčinnou, nebo zmařitjejí
účel a cíl tak, jakjej ve smlouvě společně deklarovaly.

Digitálně podepsal
Digitálně podepsal

Datum: 2025.01 .09

Dátum: 20250102
12:55:54 40100'

09:27:53 +01'00'

KNL Dodavatel

místopředseda představenstva