Vendor incident notification clause — dodatok ku zmluve s dodávateľom

# Dodatok ku zmluve — Incident notification clause

**Kontraktuálna klauzula pre dodávateľa podľa NIS2 čl. 21(2)(d) — supply chain security. Pridáva sa do zmluvy (MSA / SaaS agreement / outsourcing contract).**

_Vyplní a podpíše dodávateľ pred začatím plnenia._

---

## Článok X — Oznamovanie bezpečnostných incidentov

### X.1 Definícia "významného incidentu"

Pre účely tejto zmluvy je **významný bezpečnostný incident** udalosť, ktorá:
- Ovplyvňuje dôvernosť, integritu alebo dostupnosť systémov alebo údajov **{{CLIENT_NAME}}** (ďalej "Objednávateľ"), alebo
- Môže viesť k narušeniu služieb poskytovaných Objednávateľovi, alebo
- Zahŕňa neoprávnený prístup, únik, stratu alebo zničenie osobných údajov Objednávateľa alebo jeho zákazníkov, alebo
- Môže spustiť oznamovaciu povinnosť Objednávateľa podľa NIS2 čl. 23 alebo GDPR čl. 33.

### X.2 Časové SLA oznámenia

| Fáza | Cieľový čas | Obsah |
|------|-------------|-------|
| **Počiatočné oznámenie** | Do **{{INITIAL_SLA_HOURS}} hodín** od zistenia (max. 24h) | Prvé varovanie — čas, typ, orientačný rozsah |
| **Rozšírené oznámenie** | Do **72 hodín** od zistenia | Klasifikácia, predbežný dopad, úvodné containment |
| **Finálny report** | Do **30 dní** od uzavretia | Root cause, lessons learned, corrective actions |

**Poznámka:** SLA sú záväzné. Nedodržanie predstavuje podstatné porušenie zmluvy.

### X.3 Kanály oznámenia

**Primárny kanál:**
- Email: **{{CLIENT_SECURITY_EMAIL}}** (napr. security@client.com)
- Telefón (24/7): **{{CLIENT_24H_PHONE}}**
- Security Ops ticket: **{{CLIENT_TICKETING_URL}}**

**Formát oznámenia:** písomný (email + dodatočne telefonát pre kritické incidenty severity Critical/High).

**Redundancia:** pri nedosiahnutí primárneho kontaktu do 30 minút — eskalácia na {{CLIENT_ESCALATION_CONTACT}}.

### X.4 Minimálny obsah počiatočného oznámenia (24h)

Dodávateľ poskytne minimálne:
- [ ] Interné referenčné ID incidentu (pre spätné dohľadávanie)
- [ ] Čas detekcie a čas zistenia dopadu na Objednávateľa (UTC)
- [ ] Typ incidentu (ransomware / neoprávnený prístup / DDoS / únik / supply chain / iné)
- [ ] Zasiahnuté služby Objednávateľa (ktoré komponenty / dáta)
- [ ] Predbežný odhad rozsahu (počet záznamov, používateľov, downtime)
- [ ] Je zapojené osobné alebo citlivé dáta Objednávateľa? (áno/nie/neznáme)
- [ ] Okamžité prijaté opatrenia (containment)
- [ ] Kontaktná osoba dodávateľa (Incident Commander) a jej 24/7 dostupnosť
- [ ] Odhad ďalšieho vývoja a predpokladané kroky najbližších 24h

### X.5 Minimálny obsah 72h oznámenia

Doplnenie o:
- [ ] Finálna klasifikácia incidentu
- [ ] Potvrdená root cause (alebo jej najpravdepodobnejšie hypotézy)
- [ ] Indicators of Compromise (IOCs) — IP adresy, file hashes, kompromitované účty — pre vlastné vyšetrovanie Objednávateľa
- [ ] Presnejší dopad na dáta a služby Objednávateľa
- [ ] Zoznam iných zákazníkov dodávateľa potenciálne dotknutých rovnakým útokom (cross-impact)
- [ ] Timeline eradication a recovery s KPIs

### X.6 Zákaz zdržiavania a zamlčiavania

Dodávateľ **nesmie odkladať oznámenie** s odôvodnením, že:
- Nepozná všetky detaily (postačí známy stav v čase 24h SLA)
- Prebieha interné vyšetrovanie
- Existuje risk reputačnej škody
- Útočník môže byť varovaný
- Incident ešte nebol potvrdený regulátorom

V prípade pochybností platí povinnosť oznámiť skôr ako neskôr.

### X.7 Koordinácia regulátorných hlásení

Pri incidente, ktorý spúšťa oznamovaciu povinnosť Objednávateľa (NIS2 čl. 23 / GDPR čl. 33 / iné sektorové povinnosti):

- **Dodávateľ poskytne Objednávateľovi všetky podklady nutné na hlásenie do NBÚ/NÚKIB/ÚOOÚ** v dohodnutej forme a termíne.
- **Dodávateľ bez súhlasu Objednávateľa neoznamuje incident tretím stranám** (regulátori, médiá, ďalší zákazníci), ak incident primárne dotýka dát Objednávateľa.
- Výnimka: Dodávateľ môže splniť vlastnú povinnosť hlásenia svojho regulátora (napr. keď je dodávateľ sám pod NIS2), ale s predchádzajúcou notifikáciou Objednávateľovi.

### X.8 Právo na forenznú súčinnosť

Objednávateľ má právo na:
- **Kópiu relevantných logov** (SIEM export, audit logs dotýkajúce sa dát Objednávateľa) — do {{LOGS_SLA_HOURS}} hodín od žiadosti.
- **Preservation ordersa** — dodávateľ zachová forenzné dôkazy minimálne {{FORENSIC_RETENTION_DAYS}} dní.
- **Zapojenie nezávislého forenzného partnera** (na náklady Objednávateľa) pri incidente s vážnym dopadom.
- **Read-only access** ku kompromitovaným systémom na vyšetrovanie (v rozsahu dohodnutom ad-hoc).

### X.9 Náhrada škody

Porušenie povinností tohto článku (najmä prekročenie 24h SLA, zamlčanie incidentu, odmietnutie forenznej súčinnosti) je **podstatným porušením zmluvy** a zakladá nárok Objednávateľa na:
- **Zmluvnú pokutu:** {{CONTRACTUAL_PENALTY}} EUR za každý potvrdený prípad porušenia SLA alebo zamlčania.
- **Náhrada škody** v plnom rozsahu (vrátane regulatórnych pokút uložených Objednávateľovi, reputačnej škody, ušlého zisku).
- **Právo Objednávateľa vypovedať zmluvu** bez výpovednej lehoty.
- **Uloženie poistnej udalosti** na cyber insurance dodávateľa (minimálne krytie {{INSURANCE_MIN}} EUR).

### X.10 Audit a overovanie schopnosti

Objednávateľ má právo:
- **Ročne overiť schopnosť dodávateľa** dodržať tieto SLA cez tabletop cvičenie alebo supplier security review.
- **Požiadať o dôkazy IR pripravenosti** (IR plán, záznamy z posledných cvičení, certifikáty).

Dodávateľ poskytne v lehote {{AUDIT_RESPONSE_DAYS}} dní.

### X.11 Zmena dodávateľských služieb

Pri významných zmenách infraštruktúry, sub-processorov alebo hosting locations, ktoré môžu ovplyvniť rizikový profil, dodávateľ informuje Objednávateľa **najmenej {{CHANGE_NOTIFICATION_DAYS}} dní vopred** (min. 30 dní).

---

## Podpisy

| Objednávateľ | Dodávateľ |
|--------------|-----------|
| {{CLIENT_SIGNATORY}} | {{VENDOR_SIGNATORY}} |
| Funkcia: {{CLIENT_ROLE}} | Funkcia: {{VENDOR_ROLE}} |
| Dátum: {{SIGN_DATE_CLIENT}} | Dátum: {{SIGN_DATE_VENDOR}} |
| Podpis: | Podpis: |

---

## Príloha — Kontaktná matica (aktualizovaná ročne)

| Rola | Objednávateľ | Dodávateľ |
|------|--------------|-----------|
| Primárny security kontakt | {{CLIENT_SEC_PRIMARY}} | {{VENDOR_SEC_PRIMARY}} |
| Incident Commander | {{CLIENT_IC}} | {{VENDOR_IC}} |
| DPO | {{CLIENT_DPO}} | {{VENDOR_DPO}} |
| 24/7 hotline | {{CLIENT_HOTLINE}} | {{VENDOR_HOTLINE}} |
| Eskalácia manažment | {{CLIENT_ESC_MGMT}} | {{VENDOR_ESC_MGMT}} |

---

_Šablóna podľa NIS2 čl. 21 ods. 2 písm. d (supply chain security) a ENISA guidelines on supplier incident reporting. Pridajte do existujúcich zmlúv ako addendum alebo zahrňte do novej MSA. Pred podpisom nechajte skontrolovať právnikom — najmä sekciu X.9 (penalty) prispôsobte miestnemu právu a rizikovému profilu._