Ogłoszenie o zamówieniu
Usługi
Opracowanie, wdrożenie, przegląd i aktualizacja dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji w Małopolskim Urzędzie Wojewódzkim w Krakowie oraz jednostkach podległych

SEKCJA I - ZAMAWIAJĄCY

1.1.) Rola zamawiającego

Postępowanie prowadzone jest samodzielnie przez zamawiającego

1.2.) Nazwa zamawiającego: Małopolski Urząd Wojewódzki w Krakowie

1.4) Krajowy Numer Identyfikacyjny: REGON 000514176

1.5) Adres zamawiającego

1.5.1.) Ulica: Basztowa 22

1.5.2.) Miejscowość: Kraków

1.5.3.) Kod pocztowy: 31-156

1.5.4.) Województwo: małopolskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL213 - Miasto Kraków

1.5.7.) Numer telefonu: 123921338

1.5.9.) Adres poczty elektronicznej: zamowienia.publiczne@malopolska.uw.gov.pl

1.5.10.) Adres strony internetowej zamawiającego: www.malopolska.uw.gov.pl

1.6.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - organ władzy publicznej - organ administracji rządowej (centralnej lub terenowej)

1.7.) Przedmiot działalności zamawiającego: Ogólne usługi publiczne

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Ogłoszenie dotyczy:

Zamówienia publicznego

2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie

2.3.) Nazwa zamówienia albo umowy ramowej:

Opracowanie, wdrożenie, przegląd i aktualizacja dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji w Małopolskim Urzędzie Wojewódzkim w Krakowie oraz jednostkach podległych

2.4.) Identyfikator postępowania: ocds-148610-7af9ab15-3157-4b6a-a730-c4e51dd05502

2.5.) Numer ogłoszenia: 2025/BZP 00274063

2.6.) Wersja ogłoszenia: 01

2.7.) Data ogłoszenia: 2025-06-11

2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Nie

2.11.) O udzielenie zamówienia mogą ubiegać się wyłącznie wykonawcy, o których mowa w art. 94 ustawy: Nie

2.14.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Tak

2.15.) Nazwa projektu lub programu

Projekt pn. „Cyberbezpieczny Urząd – Podniesienie standardów cyberbezpieczeństwa Wojewody Małopolskiego i jednostek podległych”, realizowany jest w ramach programu Krajowy Plan Odbudowy i Zwiększania Odporności.

2.16.) Tryb udzielenia zamówienia wraz z podstawą prawną

Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy

SEKCJA III – UDOSTĘPNIANIE DOKUMENTÓW ZAMÓWIENIA I KOMUNIKACJA

3.1.) Adres strony internetowej prowadzonego postępowania

https://ezamowienia.gov.pl/mp-client/search/list/ocds-148610-7af9ab15-3157-4b6a-a730-c4e51dd05502

3.2.) Zamawiający zastrzega dostęp do dokumentów zamówienia: Nie

3.4.) Wykonawcy zobowiązani są do składania ofert, wniosków o dopuszczenie do udziału w postępowaniu, oświadczeń oraz innych dokumentów wyłącznie przy użyciu środków komunikacji elektronicznej: Tak

3.5.) Informacje o środkach komunikacji elektronicznej, przy użyciu których zamawiający będzie komunikował się z wykonawcami - adres strony internetowej: Środki komunikacji elektronicznej, przy użyciu których Zamawiający będzie
komunikował się z wykonawcami oraz wymagania techniczne dla dokumentów elektronicznych oraz środków komunikacji elektronicznej, zostały określone w punkcie 3 swz.
https://ezamowienia.gov.pl/

3.6.) Wymagania techniczne i organizacyjne dotyczące korespondencji elektronicznej: Do podpisania oferty konieczne jest posiadanie przez osobę upoważnioną do reprezentowania Wykonawcy kwalifikowanego podpisu elektronicznego, podpisu osobistego lub podpisu zaufanego.
Wymagania techniczne i organizacyjne dot. korespondencji elektronicznej zostały określone w punkcie 3 i 7 swz.

3.8.) Zamawiający wymaga sporządzenia i przedstawienia ofert przy użyciu narzędzi elektronicznego modelowania danych budowlanych lub innych podobnych narzędzi, które nie są ogólnie dostępne: Nie

3.12.) Oferta - katalog elektroniczny: Nie dotyczy

3.14.) Języki, w jakich mogą być sporządzane dokumenty składane w postępowaniu:

polski

3.15.) RODO (obowiązek informacyjny): Klauzula informacyjna RODO znajduje się w pkt 23 swz.

SEKCJA IV – PRZEDMIOT ZAMÓWIENIA

4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia.

4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie

4.1.2.) Numer referencyjny: WL-IV.272.18.2025

4.1.3.) Rodzaj zamówienia: Usługi

4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Tak

4.1.6.) Wartość zamówienia stanowiącego przedmiot tego postępowania (bez VAT): 157000 PLN

4.1.8.) Możliwe jest składanie ofert częściowych: Nie

4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie

4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia:

4.2.2.) Krótki opis przedmiotu zamówienia

Przedmiotem zamówienia jest usługa kompleksowego opracowania i wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), zgodnie z wymaganiami normy PN-EN ISO/IEC 27001:2023, wymaganiami Krajowych Ram Interoperacyjności (KRI) oraz Ustawy z dnia 5 lipca 2018 r. o Krajowym systemie cyberbezpieczeństwa „KSC” (t.j. Dz.U. 2024 poz. 1077), w tym zaimplementowanie koniecznych rozwiązań wynikających z Dyrektywy NIS2 w Małopolskim Urzędzie Wojewódzkim w Krakowie oraz w 3 jednostkach podległych tj. w Wojewódzkim Inspektoracie Inspekcji Handlowej w Krakowie, w Wojewódzkim Inspektoracie Jakości Handlowej Artykułów Rolno-Spożywczych w Krakowie i w Wojewódzkim Urzędzie Ochrony Zabytków w Krakowie w ramach projektu pn. „Cyberbezpieczny Urząd – Podniesienie standardów cyberbezpieczeństwa Wojewody Małopolskiego i jednostek podległych”, poprzedzona szczegółową analizą stanu istniejącego – audytem wstępnym – wykonanym odrębnie w każdej jednostce. Przedmiot umowy realizowany będzie w dwóch etapach, gdzie etap pierwszy polega na szczegółowym audycie wstępnym w jednostkach oraz przedstawieniu do akceptacji Zamawiającego koncepcji SZBI, jako wniosków z analizy, a etap drugi obejmuje kompleksowe opracowanie i wdrożenie SZBI wraz z pakietem szkoleń.
W ramach przedmiotu umowy Wykonawca zobowiązany jest do opracowania i wdrożenia odrębnego i w pełni zindywidualizowanego SZBI dedykowanego dla każdej z 4 ww. jednostek.
Szczegółowy opis przedmiotu zamówienia oraz warunki realizacji zamówienia zostały określone w załącznikach do swz: załącznik nr 1 do swz – projektowane postanowienia umowy (wzór umowy), załącznik nr 2 do swz – opis przedmiotu zamówienia.

4.2.6.) Główny kod CPV: 79417000-0 - Usługi doradcze w zakresie bezpieczeństwa

4.2.7.) Dodatkowy kod CPV:

79212000-3 - Usługi audytu

80510000-2 - Usługi szkolenia specjalistycznego

4.2.8.) Zamówienie obejmuje opcje: Nie

4.2.10.) Okres realizacji zamówienia albo umowy ramowej: 150 dni

4.2.11.) Zamawiający przewiduje wznowienia: Nie

4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie

4.3.) Kryteria oceny ofert

4.3.2.) Sposób określania wagi kryteriów oceny ofert: Punktowo

4.3.3.) Stosowane kryteria oceny ofert: Wyłącznie kryterium ceny

Kryterium 1

4.3.5.) Nazwa kryterium: Cena

4.3.6.) Waga: 100

4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie

SEKCJA V - KWALIFIKACJA WYKONAWCÓW

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Tak

5.2.) Fakultatywne podstawy wykluczenia:

Art. 109 ust. 1 pkt 7

5.3.) Warunki udziału w postępowaniu: Tak

5.4.) Nazwa i opis warunków udziału w postępowaniu.

O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają następujące warunki udziału w postępowaniu:
1) dysponują/będą dysponować osobami zdolnymi do wykonywania zamówienia:
Wykonawca zobowiązany jest dysponować zespołem składającym się z co najmniej czterech ekspertów, posiadających odpowiednią wiedzę i doświadczenie w zakresie opracowywania oraz wdrażania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI):
A) wymagania dotyczące kwalifikacji ekspertów:
a) co najmniej jeden ekspert musi posiadać certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób (lub równoważny).
b) co najmniej dwóch ekspertów musi posiadać jeden z poniższych certyfikatów:
- Certified Information Systems Auditor (CISA),
- Certified Information Security Manager (CISM),
- Certified Information Systems Security Professional (CISSP).
c) co najmniej jeden z ekspertów musi posiadać certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób (lub równoważny).
UWAGA! Powyższe certyfikaty może posiadać jedna lub więcej osób, które będą brać udział w realizacji zamówienia, a każdy z co najmniej czterech wymaganych ekspertów musi posiadać co najmniej jeden z ww. certyfikatów.
B) wymagania dotyczące doświadczenia ekspertów:
a) dwóch ekspertów musi posiadać doświadczenie w realizacji dwóch audytów systemów zarządzania bezpieczeństwem informacji, zgodnych z normą ISO/IEC 27001, w okresie co najmniej dwóch lat, w tym doświadczenie w zakresie audytowania procesów bezpieczeństwa informacji w organizacjach.
b) dwóch ekspertów musi posiadać doświadczenie w realizacji dwóch wdrożeń SZBI w organizacji, obejmujące opracowanie polityk bezpieczeństwa, zarządzania ryzykiem oraz implementację wymagań normy ISO/IEC 27001, w okresie co najmniej dwóch lat.
UWAGA! Zamawiający dopuszcza łączenie doświadczenia przez ekspertów (jeden ekspert może posiadać doświadczenie określone w ppkt. a) i b)).
2) dysponują wiedzą i doświadczeniem:
Zamawiający uzna warunek za spełniony, jeżeli Wykonawca wykaże, że w okresie ostatnich 3 lat przed terminem składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie zrealizował:
a) co najmniej 5 usług obejmujących swoim zakresem przeprowadzenie audytu Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnie z wymaganiami normy PN-EN ISO/IEC 27001:2023 dla podmiotów o liczbie pracowników powyżej 250 osób, w tym minimum jedna usługa zrealizowana na rzecz podmiotu publicznego,
b) co najmniej 2 usługi obejmujące projekt opracowania i wdrożenia dokumentacji SZBI zgodnie z wymaganiami normy PN-EN ISO/IEC 27001, które obejmowały opracowanie i wdrożenie pełnej dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji dla podmiotów o liczbie pracowników powyżej 250 osób.
UWAGA!
- przez „podmioty publiczne” Zamawiający rozumie podmioty wymienione w art. 2 ust 1 Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne,
- Zamawiający dopuszcza łączenie doświadczenia (wykazanie zamówień spełniających powyższe wymagania, wykonanych przez dwa różne podmioty) w przypadku wykonawców wspólnie ubiegających się o udzielenie zamówienia lub w sytuacji polegania na zdolnościach podmiotów udostępniających zasoby,
- Zamawiający wymaga, aby wszystkie ww. usługi zrealizowane były na podstawie odrębnych umów/zleceń.

5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak

5.6.) Wykaz podmiotowych środków dowodowych na potwierdzenie niepodlegania wykluczeniu: Oświadczenie Wykonawcy o aktualności informacji zawartych w oświadczeniu/ach, o którym/ych mowa w pkt 6.1.3), 6.1.5), 6.8.3) oraz 6.8.4) lit. d) swz, składanym/ych na podstawie art. 125 ust. 1 ustawy – w zakresie podstaw wykluczenia z postępowania wskazanych przez Zamawiającego w pkt 5.3 swz – odpowiednio:
a) Wykonawcy lub każdego z Wykonawców wspólnie ubiegających się o udzielenie zamówienia;
b) podmiotu/ów, na którego/ych zdolnościach technicznych lub zawodowych polega Wykonawca w celu potwierdzenia spełniania warunków udziału w postępowaniu – jeżeli dotyczy.

5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: 1) wykaz osób skierowanych przez Wykonawcę do realizacji zamówienia, wraz z informacjami na temat ich kwalifikacji zawodowych, uprawnień i doświadczenia, niezbędnych do wykonania zamówienia, a także zakresu wykonywanych przez nie czynności, wraz z informacją o podstawie do dysponowania tymi osobami oraz oświadczeniem, że osoby które będą uczestniczyć w wykonywaniu zamówienia, wymienione w wykazie, posiadają wymagane kwalifikacje zawodowe określone w pkt. 5.1.1) swz;
2) wykaz usług wykonanych w okresie ostatnich 3 lat, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane – na potwierdzenie spełniania warunku udziału określonego w pkt. 5.1.2) swz.
UWAGA! Jeżeli wykonawca powołuje się na doświadczenie w realizacji usług, wykonywanych wspólnie z innymi wykonawcami, składany „wykaz usług” dotyczy usług, w których wykonaniu wykonawca ten bezpośrednio uczestniczył.
3) dowody dotyczące usług wykazanych w wykazie o którym mowa powyżej, określające, czy usługi te zostały wykonane lub są wykonywane należycie. Dowodami o których mowa są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego usługi zostały wykonane, a w przypadku świadczeń powtarzających się lub ciągłych są wykonywane, a jeżeli wykonawca z przyczyn niezależnych od niego nie jest w stanie zyskać tych dokumentów – oświadczenie wykonawcy.

SEKCJA VI - WARUNKI ZAMÓWIENIA

6.1.) Zamawiający wymaga albo dopuszcza oferty wariantowe: Nie

6.3.) Zamawiający przewiduje aukcję elektroniczną: Nie

6.4.) Zamawiający wymaga wadium: Tak

6.4.1) Informacje dotyczące wadium:

1. W niniejszym postępowaniu wymaga się wniesienia wadium w wysokości 4 000,00 zł.
Wadium wnosi się przed upływem terminu składania ofert. Jeśli wadium jest wnoszone w formie przelewu na rachunek bankowy, musi znajdować się na koncie Zamawiającego przed upływem terminu składania ofert.
2. Wadium może być wniesione w jednej lub kilku z następujących form:
1) w pieniądzu - przelewem na rachunek depozytowy Małopolskiego Urzędu Wojewódzkiego w Krakowie: Narodowy Bank Polski nr 94 1010 1270 0051 2213 9120 0000 z dopiskiem „WL-IV.272.18.2025 wadium – opracowanie dokumentacji SZBI”,
2) w gwarancjach bankowych, gwarancjach ubezpieczeniowych, poręczeniach udzielanych przez podmioty, o których mowa w art. 6b ust. 5 pkt 2 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz.U. z 2025 r. poz. 98) – w formie elektronicznej poprzez zamieszczenie wraz z ofertą oryginału dokumentu wadialnego, opatrzonego kwalifikowanym podpisem elektronicznym osób uprawnionych do jego wystawienia, tj. przez gwaranta – wystawcę tego dokumentu. Beneficjentem wadium jest Małopolski Urząd Wojewódzki w Krakowie.
Wadium powinno być oznaczone w następujący sposób: „WL-IV.272.18.2025 wadium – opracowanie dokumentacji SZBI”, tj. w sposób umożliwiający identyfikację postępowania, którego dotyczy.
3. Dopuszczalne jest złożenie wadium w jednej lub więcej niż jednej formie.
4. Wadium wnoszone w formie gwarancji i poręczeń musi spełniać następujące wymogi:
- być wystawione na Małopolski Urząd Wojewódzki w Krakowie, ul. Basztowa 22, 31-156 Kraków,
- zawierać w treści oświadczenie gwaranta (poręczyciela), w którym zobowiązuje się on do bezwarunkowej wypłaty kwoty wadium na pierwsze żądanie Zamawiającego zawierające oświadczenie, iż zaszła jedna z przesłanek wymienionych w art. 98 ust. 6 ustawy,
- okres ważności wadium nie może być krótszy niż okres związania ofertą.
5. Zamawiający zwróci wadium w przypadkach wymienionych w art. 98 ust. 1 i 2 ustawy. W przypadku wpłaty przelewem Zamawiający zwróci kwotę wadium wraz z odsetkami wynikającymi z umowy prowadzenia rachunku depozytowego, pomniejszoną o koszty prowadzenia rachunku oraz prowizje bankowe.
6. Zamawiający odrzuci ofertę Wykonawcy, który nie wniesie wymaganego wadium lub wniesie wadium w sposób nieprawidłowy.
7. Zamawiający zatrzymuje wadium w przypadkach określonych w art. 98 ust. 6 ustawy.

6.5.) Zamawiający wymaga zabezpieczenia należytego wykonania umowy: Tak

6.6.) Wymagania dotyczące składania oferty przez wykonawców wspólnie ubiegających się o udzielenie zamówienia:

zostały określone w pkt 6.8 swz.

6.7.) Zamawiający przewiduje unieważnienie postępowania, jeśli środki publiczne, które zamierzał przeznaczyć na sfinansowanie całości lub części zamówienia nie zostały przyznane: Tak

SEKCJA VII - PROJEKTOWANE POSTANOWIENIA UMOWY

7.1.) Zamawiający przewiduje udzielenia zaliczek: Nie

7.3.) Zamawiający przewiduje zmiany umowy: Tak

7.4.) Rodzaj i zakres zmian umowy oraz warunki ich wprowadzenia:

1. Zasady zmian zawartej umowy w sprawie zamówienia publicznego określone zostały w art. 455 ustawy.
2. Dopuszczalne zmiany treści zawartej umowy na podstawie art. 455 ust. 1 pkt 1 ustawy oraz rodzaj, zakres i warunki dokonania takich zmian zostały określone we wzorze umowy, stanowiącym załącznik nr 1 do swz.

7.5.) Zamawiający uwzględnił aspekty społeczne, środowiskowe, innowacyjne lub etykiety związane z realizacją zamówienia: Tak

7.6.) Zamawiający przewiduje następujące wymagania związane z realizacją zamówienia:

w zakresie zatrudnienia na podstawie stosunku pracy, w okolicznościach, o których mowa w art. 95 ustawy

SEKCJA VIII – PROCEDURA

8.1.) Termin składania ofert: 2025-06-20 08:00

8.2.) Miejsce składania ofert: https://ezamowienia.gov.pl

8.3.) Termin otwarcia ofert: 2025-06-20 08:30

8.4.) Termin związania ofertą: do 2025-07-19

SEKCJA IX – POZOSTAŁE INFORMACJE

Termin wykonania zamówienia: nie dłużej niż 150 dni od popisania umowy, w tym Etap 1 nie dłużej niż 40 dni od dnia podpisania umowy.