BZP: Przeprowadzenie audytu KRI oraz aktualizacja i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji dla Urzędu Miasta Świdnik i jego jednostek organizacyjnych
02.07.2025
2025/BZP 00304570/01
Gmina Miejska Świdnik
Dane ogłoszeniodawcy znajdują się w treści ogłoszenia.
Ogłoszenie o zamówieniu
Usługi
Przeprowadzenie audytu KRI oraz aktualizacja i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji dla Urzędu Miasta Świdnik i jego jednostek organizacyjnych
SEKCJA I - ZAMAWIAJĄCY
1.1.) Rola zamawiającego
Postępowanie prowadzone jest samodzielnie przez zamawiającego
1.2.) Nazwa zamawiającego: Gmina Miejska Świdnik
1.4) Krajowy Numer Identyfikacyjny: REGON 431019359
1.5) Adres zamawiającego
1.5.1.) Ulica: Stanisława Wyspiańskiego 27
1.5.2.) Miejscowość: Świdnik
1.5.3.) Kod pocztowy: 21-040
1.5.4.) Województwo: lubelskie
1.5.5.) Kraj: Polska
1.5.6.) Lokalizacja NUTS 3: PL814 - Lubelski
1.5.7.) Numer telefonu: 81 751 76 02
1.5.9.) Adres poczty elektronicznej: zampub@e-swidnik.pl
1.5.10.) Adres strony internetowej zamawiającego: http://umswidnik.bip.lubelskie.pl
1.6.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - jednostka samorządu terytorialnego
1.7.) Przedmiot działalności zamawiającego: Ogólne usługi publiczne
SEKCJA II – INFORMACJE PODSTAWOWE
2.1.) Ogłoszenie dotyczy:
Zamówienia publicznego
2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie
2.3.) Nazwa zamówienia albo umowy ramowej:
Przeprowadzenie audytu KRI oraz aktualizacja i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji dla Urzędu Miasta Świdnik i jego jednostek organizacyjnych
2.4.) Identyfikator postępowania: ocds-148610-3603f3f5-4608-432a-861f-e275e5c5aed4
2.5.) Numer ogłoszenia: 2025/BZP 00304570
2.6.) Wersja ogłoszenia: 01
2.7.) Data ogłoszenia: 2025-07-02
2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Tak
2.9.) Numer planu postępowań w BZP: 2025/BZP 00024000/09/P
2.10.) Identyfikator pozycji planu postępowań:
1.3.10 Przeprowadzenie audytu KRI oraz aktualizacja i wdrożenie Systemu Zarządzania Bezpieczeństwa Informacji wraz z przeprowadzeniem szkoleń dla Urzędu Miasta Świdnik i jednostek organizacyjnych
2.11.) O udzielenie zamówienia mogą ubiegać się wyłącznie wykonawcy, o których mowa w art. 94 ustawy: Nie
2.14.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Tak
2.15.) Nazwa projektu lub programu
Przedmiot zamówienia jest finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego (EFRR) w ramach Funduszy Europejskich na Rozwój Cyfrowy 2021-2027, Priorytet II Zaawansowane usługi cyfrowe, Działanie 2.2. Wzmocnienie krajowego systemu cyberbezpieczeństwa
2.16.) Tryb udzielenia zamówienia wraz z podstawą prawną
Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy
SEKCJA III – UDOSTĘPNIANIE DOKUMENTÓW ZAMÓWIENIA I KOMUNIKACJA
3.1.) Adres strony internetowej prowadzonego postępowania
https://ezamowienia.gov.pl/mp-client/search/list/ocds-148610-3603f3f5-4608-432a-861f-e275e5c5aed43.2.) Zamawiający zastrzega dostęp do dokumentów zamówienia: Nie
3.4.) Wykonawcy zobowiązani są do składania ofert, wniosków o dopuszczenie do udziału w postępowaniu, oświadczeń oraz innych dokumentów wyłącznie przy użyciu środków komunikacji elektronicznej: Tak
3.5.) Informacje o środkach komunikacji elektronicznej, przy użyciu których zamawiający będzie komunikował się z wykonawcami - adres strony internetowej: Komunikacja między Zamawiającym a wykonawcami odbywa się przy użyciu
Platformy e-Zamówienia dostępnej pod adresem https://ezamowienia.gov.pl
- adres prowadzący bezpośrednio do widoku postępowania na Platformie e-Zamówienia znajduje się w pkt 3.1) ogłoszenia (adres strony internetowej prowadzonego postępowania) . Zarówno komunikacja elektroniczna jak i składanie ofert odbywa się przy wykorzystaniu odpowiednich funkcjonalności udostępnionych na Platformie e-Zamówienia. W szczególnie uzasadnionych
przypadkach uniemożliwiających komunikację wykonawcy i Zamawiającego za pośrednictwem Platformy e-Zamówienia, Zamawiający dopuszcza komunikację za pomocą poczty elektronicznej na adres e-mail: zampub@e-swidnik.pl (nie dotyczy składania ofert).
3.6.) Wymagania techniczne i organizacyjne dotyczące korespondencji elektronicznej: 1. Wykonawca zamierzający wziąć
udział w postępowaniu o udzielenie zamówienia publicznego musi posiadać konto podmiotu „Wykonawca” na Platformie e-
Zamówienia (korzystanie z Platformy e-Zamówienia jest bezpłatne). Szczegółowe informacje na temat zakładania kont podmiotów
oraz zasady i warunki korzystania z Platformy e-Zamówienia określa Regulamin Platformy e-Zamówienia, dostępny na stronie
internetowej https://ezamowienia.gov.pl oraz informacje zamieszczone w zakładce „Centrum Pomocy”.
2. Przeglądanie i pobieranie publicznej treści dokumentacji postępowania nie wymaga posiadania konta na Platformie e-Zamówienia
ani logowania.
3. Sposób sporządzenia dokumentów elektronicznych lub dokumentów elektronicznych będących kopią elektroniczną treści
zapisanej w postaci papierowej (cyfrowe odwzorowania) musi być zgodny z wymaganiami określonymi w rozporządzeniu Prezesa
Rady Ministrów w sprawie wymagań dla dokumentów elektronicznych.
4. Dokumenty elektroniczne, o których mowa w § 2 ust. 1 rozporządzenia Prezesa Rady Ministrów w sprawie wymagań dla
dokumentów elektronicznych, sporządza się w postaci elektronicznej, w formatach danych określonych w przepisach
rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, z uwzględnieniem rodzaju przekazywanych danych i
przekazuje się jako załączniki.
W przypadku formatów, o których mowa w art. 66 ust. 1 ustawy Pzp, ww. regulacje nie będą miały bezpośredniego zastosowania.
5. Informacje, oświadczenia lub dokumenty, inne niż wymienione w § 2 ust. 1 rozporządzenia Prezesa Rady Ministrów w sprawie
wymagań dla dokumentów elektronicznych, przekazywane w postępowaniu sporządza się w postaci elektronicznej:
a. w formatach danych określonych w przepisach rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności (i
przekazuje się jako załącznik), lub
b. jako tekst wpisany bezpośrednio do wiadomości przekazywanej przy użyciu środków komunikacji elektronicznej (np. w treści
wiadomości e-mail lub w treści „Formularza do komunikacji”).
6. Jeżeli dokumenty elektroniczne, przekazywane przy użyciu środków komunikacji elektronicznej, zawierają informacje stanowiące
tajemnicę przedsiębiorstwa w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U.
z 2020 r. poz. 1913 oraz z 2021 r. poz. 1655) wykonawca, w celu utrzymania w poufności tych informacji, przekazuje je w
wydzielonym i odpowiednio oznaczonym pliku, wraz z jednoczesnym zaznaczeniem w nazwie pliku „Dokument stanowiący tajemnicę
przedsiębiorstwa”.
7. Komunikacja w postępowaniu, z wyłączeniem składania ofert, odbywa się drogą elektroniczną za pośrednictwem formularzy do
komunikacji dostępnych w zakładce „Formularze” („Formularze do komunikacji”). Za pośrednictwem „Formularzy do komunikacji”
odbywa się w szczególności przekazywanie wezwań i zawiadomień, zadawanie pytań i udzielanie odpowiedzi. Formularze do
komunikacji umożliwiają również dołączenie załącznika do przesyłanej wiadomości (przycisk „dodaj załącznik”).
W przypadku załączników, które są zgodnie z ustawą Pzp lub rozporządzeniem Prezesa Rady Ministrów w sprawie wymagań dla
dokumentów elektronicznych opatrzone kwalifikowanym podpisem elektronicznym, podpisem zaufanym lub podpisem osobistym,
mogą być opatrzone, zgodnie z wyborem wykonawcy/wykonawcy wspólnie ubiegającego się o udzielenie zamówienia/podmiotu
udostępniającego zasoby, podpisem zewnętrznym lub wewnętrznym. W zależności od rodzaju podpisu i jego typu (zewnętrzny,
wewnętrzny) dodaje się do przesyłanej wiadomości uprzednio podpisane dokumenty wraz z wygenerowanym plikiem podpisu (typ
zewnętrzny) lub dokument z wszytym podpisem (typ wewnętrzny).
8. Minimalne wymagania techniczne dotyczące sprzętu używanego w celu korzystania z usług Platformy e-Zamówienia oraz informacje dotyczące specyfikacji połączenia określa Regulamin Platformy e-Zamówienia.
3.8.) Zamawiający wymaga sporządzenia i przedstawienia ofert przy użyciu narzędzi elektronicznego modelowania danych budowlanych lub innych podobnych narzędzi, które nie są ogólnie dostępne: Nie
3.12.) Oferta - katalog elektroniczny: Nie dotyczy
3.14.) Języki, w jakich mogą być sporządzane dokumenty składane w postępowaniu:
polski
3.15.) RODO (obowiązek informacyjny): Klauzula informacyjna z art.13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r. (Dz.Urz. UE L 119 z 04.05.2016r (RODO) dotycząca osób fizycznych, których dane osobowe pozyskał
Zamawiający, w szczególności: wykonawcy będącego osobą fizyczną, wykonawcy będącego osobą fizyczna prowadzącą jednoosobową działalność gospodarczą, pełnomocnika wykonawcy będącego osobą fizyczna, członka organu zarządzającego wykonawcy, będącego osobą fizyczną, osoby fizycznej skierowanej do przygotowania i przeprowadzenia postępowania o udzielenie
zamówienia publicznego:
Zgodnie z art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), dalej „RODO”, informujemy, że: 1) administratorem Pani/Pana danych osobowych jest Gmina Miejska Świdnik z siedzibą w Świdniku, ul.Stanisława
Wyspiańskiego 27, 2) z inspektorem ochrony danych osobowych w Gminie Miejskiej Świdnik można kontaktować się poprzez e-mail:
iod@e-swidnik.pl,3) Pani/Pana dane osobowe przetwarzane będą na podstawie art. 6 ust. 1 lit. c RODO w celu związanym z postępowaniem o udzielenie niniejszego zamówienia publicznego w trybie podstawowym,4) odbiorcami Pani/Pana danych osobowych będą osoby lub podmioty, którym udostępniona zostanie dokumentacja postępowania w oparciu o art. 18 oraz art. 74 ust. 1 ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych (t.j.Dz. U. z 2019 r. poz. 2019), dalej „ustawa Pzp”; 5) Pani/Pana dane osobowe będą przechowywane, zgodnie z art. 78 ust. 1 ustawy Pzp, przez okres 4 lat od dnia zakończenia postępowania o udzielenie zamówienia, a jeżeli czas trwania umowy przekracza 4 lata, okres przechowywania obejmuje cały czas trwania umowy; 6) obowiązek podania przez Panią/Pana danych osobowych bezpośrednio Pani/Pana dotyczących jest wymogiem
ustawowym określonym w przepisach ustawy Pzp, związanym z udziałem w postępowaniu o udzielenie zamówienia publicznego; konsekwencje niepodania określonych danych wynikają z ustawy Pzp; 7) w odniesieniu do Pani/Pana danych osobowych decyzje nie będą podejmowane w sposób zautomatyzowany, stosowanie do art. 22 RODO; 8) posiada Pani/Pan:- na podstawie art.15 RODO prawo dostępu do danych osobowych Pani/Pana dotyczących;- na podstawie art. 16 RODO prawo do sprostowania Pani/Pana
danych osobowych ;- na podstawie art. 18 RODO prawo żądania od administratora ograniczenia przetwarzania danych osobowych z
zastrzeżeniem przypadków, o których mowa w art. 18 ust. 2 RODO; − prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, że przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO; 9) nie przysługuje Pani/Panu:- w związku z art. 17 ust. 3 lit. b, d lub e RODO prawo do usunięcia danych osobowych;- prawo do
przenoszenia danych osobowych, o którym mowa w art. 20 RODO;- na podstawie art. 21 RODO prawo sprzeciwu, wobec przetwarzania danych osobowych, gdyż podstawą prawną przetwarzania Pani/Pana danych osobowych jest art. 6 ust. 1 lit. c RODO
SEKCJA IV – PRZEDMIOT ZAMÓWIENIA
4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia.
4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie
4.1.2.) Numer referencyjny: RIZP 271.9.2025
4.1.3.) Rodzaj zamówienia: Usługi
4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Tak
4.1.8.) Możliwe jest składanie ofert częściowych: Nie
4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie
4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia:
4.2.2.) Krótki opis przedmiotu zamówienia
1. Zamówienie będzie realizowane na rzecz Urzędu Miasta Świdnik oraz następujących jednostek organizacyjnych:
1) Miejskie Centrum Usług Socjalnych im. Jana Pawła II w Świdniku.
2) Zespół Przedszkoli nr 1 w Świdniku.
3) Zespół Przedszkoli nr 2 w Świdniku.
4) Przedszkole Nr 7 im. Marii Kownackiej w Świdniku.
5) Zespół Szkół Ogólnokształcących Nr 1 Świdnik.
6) Zespół Szkolno-Przedszkolny nr 1 w Świdniku.
7) Szkoła Podstawowa Nr 3 im. Tadeusza Kościuszki.
8) Szkoła Podstawowa nr 5 im. Janusza Kusocińskiego w Świdniku.
9) Zespół Żłobków Miejskich w Świdniku.
10) Straż Miejska w Świdniku.
2. Wykonawca jest zobowiązany do przeprowadzenia w ramach realizacji projektu pn. „Cyberbezpieczny Samorząd” współfinansowanego w ramach środków Unii Europejskiej i budżetu państwa w ramach programu Fundusze Europejskie na Rozwój Cyfrowy 2021-2027, Priorytetu II: Zaawansowane usługi cyfrowe, Działania 2.2. - Wzmocnienie krajowego systemu cyberbezpieczeństwa audytu systemu zarządzania bezpieczeństwem informacji w związku z zapisami w § 19 ust. 2 pkt 14 Rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2024 poz. 773), zwanego dalej „audytem KRI” dla Zamawiającego.
3. Wykonawca jest odpowiedzialny za przeprowadzenie aktualizacji i wdrożenie kompletnego Systemu Zarządzania Bezpieczeństwem Informacji (dalej zwany: SZBI) dla Zamawiającego. Zamawiający zastrzega, że w przypadku jeżeli w poszczególnych jednostkach organizacyjnych System Zarządzania Bezpieczeństwem Informacji nie został opracowany, wówczas Wykonawca jest zobowiązany do opracowania i wdrożenia całego SZBI od podstaw zamiast jego aktualizacji.
4. Zakres audytu systemu bezpieczeństwa informacji obejmie zgodność z kryteriami zawartymi w § 19 ust. 2 ww. rozporządzenia KRI oraz zgodność z wymaganiami normy PN-EN ISO/IEC 27001:2023 dla Zamawiającego.
5. Raport z audytu KRI zostanie podpisany przez audytora dokonującego audyt KRI przy wykorzystaniu kwalifikowalnego podpisu elektronicznego i dostarczony do Zamawiającego w formie elektronicznej.
6. Audyt KRI oraz aktualizacja i wdrożenie SZBI dla Zamawiającego muszą zostać przeprowadzone przez:
1) audytora zewnętrznego posiadającego przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. 2018 poz. 1999) lub;
2) audytora wewnętrznego posiadającego przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. 2018 poz. 1999) lub będącego audytorem zewnętrznym systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001:2023.
7. Wykonawca w trakcie realizacji zamówienia jest zobowiązany do zapoznania się z częściowo wypełnioną ankietą dojrzałości cyberbezpieczeństwa w zakresie wskazanym przez Zamawiającego oraz uwzględnić w ramach aktualizacji i wdrożenia SZBI planowany w ramach realizacji projektu zakres usprawnień SZBI.
8. Wykonawca po wykonaniu ostatniego audytu KRI jest zobowiązany do uzupełnienia ankiety dojrzałości cyberbezpieczeństwa. Ankietę dojrzałości cyberbezpieczeństwa należy wypełnić w oparciu o aktualny na dzień wypełnienia ankiety wzór ankiety opublikowany na stronie: https://www.gov.pl/web/cppc/cyberbezpieczny-samorzad (załącznik nr 6 - Ankieta Dojrzałości Cyberbezpieczeństwa w Jednostce Samorządu Terytorialnego i Jednostkach Podległych).
9. Wypełnienie ankiety dojrzałości cyberbezpieczeństwa polegać będzie wypełnieniu przez Wykonawcę kolumn H, I z arkusza „Ankieta” dla Zamawiającego na podstawie zebranych przez Wykonawcę danych. Zamawiający nie dopuszcza pozostawienia pustych pól dla określonych powyżej kolumn, w przypadku jeżeli w polu opisowym nie przewiduje się zmian wówczas należy zamieścić odpowiednią informację. Ankieta dojrzałości cyberbezpieczeństwa zostanie podpisana przez audytora dokonującego audyt KRI przy wykorzystaniu kwalifikowalnego podpisu elektronicznego i dostarczona do Zamawiającego w formie elektronicznej.
10. Jednostki samorządu terytorialnego oraz jego jednostki podległe, które biorą udział w projekcie „Cyberbezpieczny Samorząd” są zobowiązane do przesłania do NASK raportu z audytu KRI oraz wypełnionej ankiety dojrzałości cyberbezpieczeństwa. Niezwłocznie po ich przekazaniu przez Wykonawcę dokumenty te zostaną przekazane przez Zamawiającego do Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego (NASK) za pośrednictwem platformy ePUAP. Dane z tej dokumentacji przekazane przez JST do NASK posłużą do opracowania raportu na temat stanu bezpieczeństwa systemów jednostek samorządowych. Wykonawca jest zobowiązany mieć na uwadze także powyżej wskazany cel przeprowadzenia zamówienia i jego przeznaczenie.
11. Wykonawca przy świadczeniu usług jest zobowiązany uwzględnić i zastosować wymagania Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) oraz akty wykonawcze wydane do niej. W przypadku jeżeli w okresie realizacji zamówienia zostanie przyjęta ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw bądź inne przepisy implementujące Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) w polski system prawny Wykonawca ma obowiązek uwzględnić wszystkie ich wymagania przy świadczeniu usług objętych niniejszym zamówieniem zarówno w trakcie realizacji zamówienia jak i w trakcie okresu gwarancji.
12. Wykonawca zrealizuje zamówienie w oparciu o dokumentację, którą Zamawiający dysponuje niezależnie od realizacji przedmiotu umowy i o wyjaśnienia udzielane przez Zamawiającego. W szczególności realizacja przedmiotu umowy przez Wykonawcę nie może być uwarunkowana wytwarzaniem lub uzupełnianiem dokumentów i opracowań przez Zamawiającego w związku z realizacją przedmiotu umowy, tj. Zamawiający nie może być zobowiązany do wypełniania ankiet, kwestionariuszy, sporządzania notatek itp., a informacje niezbędne Wykonawcy do wykonania przedmiotu umowy mogą być pozyskiwane wyłącznie w postaci materiałów źródłowych i wywiadu bezpośredniego.
13. Zamawiający dopuszcza prowadzenie prac związanych z: analizą dokumentacji, opracowaniem dokumentacji i polityk, opracowania raportów poza siedzibą Zamawiającego. Zamawiający nie dopuszcza prowadzenia instruktaży, konsultacji, audytów, analiz stanu istniejącego i określenie stanu faktycznego zabezpieczeń technicznych w formule zdalnej, tj. w postaci on-line lub innej poza siedzibą Zamawiającego.
14. Zamawiający nie dopuszcza aby poszczególne etapy realizacji usługi aktualizacji i wdrożenia SZBI wskazane w dalszej części dokumentu realizowane były w dniach następujących po sobie, Zamawiający zakłada co najmniej 7 dni roboczych przerw pomiędzy etapami. Wymóg dotyczy urzędu i jednostek organizacyjnych biorących udział w projekcie.
15. Zamawiający wymaga aby każdy etap (lub jego część) realizacji usługi aktualizacji i wdrożenia SZBI wskazany w dalszej części dokumentu był realizowany w siedzibie Urzędu i jego jednostkach organizacyjnych w czasie nie krótszym niż jeden dzień roboczy odrębnie dla Urzędu i jednostek organizacyjnych biorących udział w projekcie.
16. Zamawiający wymaga aby każdy audyt był realizowany w siedzibie Urzędu i jego jednostkach organizacyjnych w czasie nie krótszym niż jeden dzień roboczy odrębnie dla Urzędu i jednostek organizacyjnych biorących udział w projekcie.
17. Na wszystkie usługi Wykonawca udzieli gwarancji nie dłużej niż do dnia 31.05.2026 r. polegającej na wprowadzaniu niezbędnych zmian w dokumentacji i aktualizacji na podstawie stwierdzonych przez Zamawiającego niezgodności dokumentacji z bieżącym stanem w okresie gwarancji.
18. Szczegółowy opis przedmiotu zamówienia wraz z określeniem minimalnych wymagań został przedstawiony w Załączniku nr 1 do SWZ – Szczegółowy Opis Przedmiotu Zamówienia (SOPZ).
4.2.6.) Główny kod CPV: 79212000-3 - Usługi audytu
4.2.7.) Dodatkowy kod CPV:
79417000-0 - Usługi doradcze w zakresie bezpieczeństwa
4.2.8.) Zamówienie obejmuje opcje: Nie
4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-03-30
4.2.11.) Zamawiający przewiduje wznowienia: Nie
4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie
4.3.) Kryteria oceny ofert
4.3.1.) Sposób oceny ofert: Jedynym kryterium oceny ofert jest cena - waga 100%. Ocena ofert odbywać się będzie zgodnie z zasadami podanymi w sekcji XII SWZ.
4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo
4.3.3.) Stosowane kryteria oceny ofert: Wyłącznie kryterium ceny
Kryterium 1
4.3.5.) Nazwa kryterium: Cena
4.3.6.) Waga: 100
4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie
SEKCJA V - KWALIFIKACJA WYKONAWCÓW
5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Tak
5.2.) Fakultatywne podstawy wykluczenia:
Art. 109 ust. 1 pkt 1
Art. 109 ust. 1 pkt 4
Art. 109 ust. 1 pkt 5
Art. 109 ust. 1 pkt 7
5.3.) Warunki udziału w postępowaniu: Tak
5.4.) Nazwa i opis warunków udziału w postępowaniu.
1. O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają warunki udziału w postępowaniu dotyczące zdolności technicznej lub zawodowej. Zamawiający uzna warunek za spełniony, jeśli Wykonawca wykaże, że:1) w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie wykonał, co najmniej:
a) trzy umowy obejmujące swoim zakresem przeprowadzenie audytu systemu bezpieczeństwa informacji obejmującego zgodność z kryteriami zawartymi w § 19 ust. 2 ww. rozporządzenia KRI lub zgodność z wymaganiami normy PN-ISO/IEC 27001w każdej z umów o wartość nie niższej niż 10 000 zł w każdej z umów;
b) trzy umowy obejmujące swoim zakresem opracowanie i wdrożenie lub aktualizację i wdrożenie kompletnego Systemu Zarządzania Bezpieczeństwem Informacji w każdej z umów o wartość nie niższej niż 30 000 zł w każdej z umów;
2) dysponuje lub będzie dysponował osobami, które będą uczestniczyć w wykonywaniu zamówienia, w tym:
a) co najmniej dwiema osobami, posiadającymi niezbędną wiedzę i doświadczenie w prowadzeniu audytu KRI zgodnie z kryteriami zawartymi w § 19 ust. 2 ww. rozporządzenia KRI każda z osób. Każda z osób musi co najmniej w okresie ostatnich 2 lat przed upływem terminu składania ofert być audytorem zewnętrznym posiadającym przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. 2018 poz. 1999) lub być audytorem wewnętrznym posiadającym przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. 2018 poz. 1999) lub być audytorem zewnętrznym systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001:2023. Każda z osób musi posiadać co najmniej dwuletnie doświadczenie w zakresie prowadzenia audytu systemu zarządzania bezpieczeństwem informacji w związku z zapisami rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych;
b) co najmniej dwiema osobami, posiadającymi niezbędną wiedzę i doświadczenie w opracowaniu i wdrożeniu lub aktualizacji i wdrożenia SZBI każda z osób. Każda z osób musi co najmniej w okresie ostatnich 2 lat przed upływem terminu składania ofert być audytorem zewnętrznym posiadającym przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. 2018 poz. 1999) lub być audytorem wewnętrznym posiadającym przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. 2018 poz. 1999) lub być audytorem zewnętrznym systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001:2023. Każda z osób musi posiadać co najmniej dwuletnie doświadczenie w zakresie opracowania i wdrożenia lub aktualizacji i wdrożenia systemu zarządzania bezpieczeństwem informacji w oparciu o normę ISO 27001.
Zamawiający nie dopuszcza realizacji zamówienia w zakresie opracowania aktualizacji i wdrożenia SZBI przez te same osoby, które będą uczestniczyły w wykonywaniu zamówienia w zakresie prowadzenia audytu KRI zgodnie z kryteriami zawartymi w §19 ust. 2 ww. rozporządzenia KRI.
Jeżeli Wykonawca powołuje się na doświadczenie w realizacji zamówień wykonywanych wspólnie z innymi wykonawcami, należy wykazać konkretny zakres, który został bezpośrednio zrealizowany przez Wykonawcę.
W przypadku wspólnego ubiegania się o zamówienie przez Wykonawców, Zamawiający uzna warunek dotyczący zdolności technicznej lub zawodowej, o którym mowa w ppkt 1) lit. a) za spełniony, gdy jeden z Wykonawców wykaże się realizacją trzech wymaganych przez Zamawiającego zamówień. Zamawiający nie dopuszcza sumowania zdolności technicznej lub zawodowej, tzn. warunek, o którym mowa w ppkt 1) lit. a) nie zostanie uznany za spełniony w sytuacji, gdy Wykonawcy wspólnie ubiegający się o zamówienie wykażą, że zrealizowali w sumie trzy zamówienia, ale żaden z nich nie zrealizował samodzielnie trzech zamówień wymaganych przez Zamawiającego.
W przypadku wspólnego ubiegania się o zamówienie przez Wykonawców, Zamawiający uzna warunek dotyczący zdolności technicznej lub zawodowej, o którym mowa w ppkt 1) lit. b) za spełniony, gdy jeden z Wykonawców wykaże się realizacją trzech wymaganych przez Zamawiającego zamówień. Zamawiający nie dopuszcza sumowania zdolności technicznej lub zawodowej, tzn. warunek, o którym mowa w ppkt 1) lit. b) nie zostanie uznany za spełniony w sytuacji, gdy Wykonawcy wspólnie ubiegający się o zamówienie wykażą, że zrealizowali w sumie trzy zamówienia, ale żaden z nich nie zrealizował samodzielnie trzech zamówień wymaganych przez Zamawiającego.
W przypadku, gdy Wykonawca polega na zdolnościach lub sytuacji innych podmiotów w zakresie zdolności technicznej lub zawodowej, Zamawiający uzna warunek dotyczący zdolności technicznej lub zawodowej, o którym mowa w ppkt 1) lit. a) za spełniony, gdy podmiot udostępniający zdolność techniczną lub zawodową zrealizował samodzielnie trzy zamówienia wymagane przez Zamawiającego.
W przypadku, gdy Wykonawca polega na zdolnościach lub sytuacji innych podmiotów w zakresie zdolności technicznej lub zawodowej, Zamawiający uzna warunek dotyczący zdolności technicznej lub zawodowej, o którym mowa w ppkt 1) lit. b) za spełniony, gdy podmiot udostępniający zdolność techniczną lub zawodową zrealizował samodzielnie trzy zamówienia wymagane przez Zamawiającego.
5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak
5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: 1) wykaz usług wykonanych, a w przypadku świadczeń powtarzających się lub ciągłych również wykonywanych, w okresie ostatnich 3 lat, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane lub są wykonywane, oraz załączeniem dowodów określających, czy te usługi zostały wykonane lub są wykonywane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego usługi zostały wykonane, a w przypadku świadczeń powtarzających się lub ciągłych są wykonywane. W przypadku świadczeń powtarzających się lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wystawione w okresie ostatnich 3 miesięcy – zgodnie z wzorem stanowiącym Załącznik nr 5 do SWZ.
Jeżeli Wykonawca powołuje się na doświadczenie w realizacji usług, wykonanych wspólnie z innymi Wykonawcami wykaz dotyczący usług, w których wykonaniu Wykonawca ten bezpośrednio uczestniczył (wykonywał), a w przypadku świadczeń powtarzających się lub ciągłych, w których wykonywaniu bezpośrednio uczestniczył (wykonywał) lub uczestniczy (wykonuje);
2) wykaz osób, skierowanych przez Wykonawcę do realizacji zamówienia publicznego, w szczególności odpowiedzialnych za świadczenie usług, wraz z informacjami na temat ich kwalifikacji zawodowych, posiadanych uprawnień (jeśli są wymagane), doświadczenia i wykształcenia (jeśli jest wymagane) niezbędnych do wykonania zamówienia publicznego, a także zakresu wykonywanych przez nie czynności oraz informacją o podstawie do dysponowania tymi osobami – zgodnie z wzorem wykazu osób skierowanych przez Wykonawcę do realizacji zamówienia stanowiącym Załącznik nr 6 do SWZ.
5.11.) Wykaz innych wymaganych oświadczeń lub dokumentów:
1. Dokumenty i oświadczenia składane wraz z ofertą:1) oświadczenie dotyczące spełniania warunków udziału w postępowaniu oraz braku podstaw wykluczenia, w zakresie wskazanym przez Zamawiającego, aktualne na dzień składania ofert zgodnie z wzorem stanowiącym Załącznik nr 3a – 3b do SWZ;
a) w przypadku wspólnego ubiegania się o zamówienie przez Wykonawców, oświadczenie, o którym mowa w ppkt 1), składa każdy z Wykonawców (Załącznik nr 3a do SWZ). Oświadczenia te potwierdzają brak podstaw wykluczenia oraz spełnianie warunków udziału w postępowaniu w zakresie, w jakim każdy z Wykonawców wykazuje spełnianie warunków udziału w postępowaniu;
b) Wykonawca, w przypadku polegania na zdolnościach lub sytuacji podmiotów udostępniających zasoby, przedstawia, wraz z oświadczeniem, o którym mowa w ppkt 1), także oświadczenie podmiotu udostępniającego zasoby (Załącznik nr 3b do SWZ), potwierdzające brak podstaw wykluczenia tego podmiotu oraz odpowiednio spełnianie warunków udziału w postępowaniu w zakresie, w jakim Wykonawca powołuje się na jego zasoby;
2) zobowiązanie podmiotu udostępniającego zasoby do oddania Wykonawcy do dyspozycji niezbędnych zasobów na potrzeby realizacji danego zamówienia, w przypadku polegania na zdolnościach lub sytuacji podmiotów udostępniających zasoby – zgodnie z wzorem stanowiącym Załącznik nr 4 do SWZ;
3) pełnomocnictwo lub inny dokument potwierdzający umocowanie do reprezentowania Wykonawcy, o ile ofertę składa pełnomocnik. Wymaganie stosuje się odpowiednio do osoby działającej w imieniu Wykonawców wspólnie ubiegających się o udzielenie zamówienia publicznego (jeśli ofertę składają Wykonawcy wspólnie ubiegający się o udzielenie zamówienia) oraz do osoby działającej w imieniu podmiotu udostępniającego Wykonawcę zasoby w celu wykazania spełniania warunków udziału w postępowaniu lub podwykonawcy niebędącego podmiotem udostępniającym zasoby na takich zasadach (jeśli dotyczy). Pełnomocnictwo musi w swej treści jednoznacznie wskazywać uprawnienie do podpisywania oferty i/lub innych czynności, które wykonuje pełnomocnik. Dokument należy złożyć wraz z ofertą lub czynnością, którą wykonuje pełnomocnik.
4) Wykonawca może nie składać pełnomocnictwa lub innego dokumentu z którego wynika prawo do podpisania oferty oraz do podpisania innych dokumentów składanych wraz z ofertą, jeżeli Zamawiający może je uzyskać za pomocą bezpłatnych i ogólnodostępnych baz danych w szczególności rejestrów publicznych w rozumieniu ustawy z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2020r. poz.346 z późn.zm.),
o ile Wykonawca wskazał w ofercie dane umożliwiające dostęp do tych dokumentów.
SEKCJA VI - WARUNKI ZAMÓWIENIA
6.1.) Zamawiający wymaga albo dopuszcza oferty wariantowe: Nie
6.3.) Zamawiający przewiduje aukcję elektroniczną: Nie
6.4.) Zamawiający wymaga wadium: Nie
6.5.) Zamawiający wymaga zabezpieczenia należytego wykonania umowy: Nie
6.6.) Wymagania dotyczące składania oferty przez wykonawców wspólnie ubiegających się o udzielenie zamówienia:
1. Wykonawcy mogą wspólnie ubiegać się o udzielenie zamówienia. W takim przypadku Wykonawcy ustanawiają pełnomocnika do reprezentowania ich w postępowaniu o udzielenie zamówienia albo reprezentowania w postępowaniu i zawarcia umowy w sprawie zamówienia publicznego. Pełnomocnictwo Wykonawca składa w formie oryginału (w formie elektronicznej podpisanej kwalifikowanym podpisem elektronicznym, podpisem zaufanym lub podpisem osobistym) lub kopii poświadczonej za zgodność z oryginałem przez mocodawcę (kwalifikowanym podpisem elektronicznym, podpisem zaufanym lub podpisem osobistym).2. W przypadku wspólnego ubiegania się o zamówienie przez Wykonawców, oświadczenie Wykonawcy dotyczące spełniania warunków udziału w postępowaniu i braku podstaw wykluczenia z postępowania, którego wzór stanowi Załącznik nr 3a do SWZ, składa każdy z Wykonawców wspólnie ubiegających się o zamówienie. Wykonawcy wspólnie ubiegający się o zamówienie, ponoszą solidarną odpowiedzialność za wykonanie umowy.
3) Sposób oceny spełniania warunków przez wykonawców wspólnie ubiegających się o wykonanie zamówienia podano w pkt 5.4) ogłoszenia.
6.7.) Zamawiający przewiduje unieważnienie postępowania, jeśli środki publiczne, które zamierzał przeznaczyć na sfinansowanie całości lub części zamówienia nie zostały przyznane: Tak
SEKCJA VII - PROJEKTOWANE POSTANOWIENIA UMOWY
7.1.) Zamawiający przewiduje udzielenia zaliczek: Nie
7.3.) Zamawiający przewiduje zmiany umowy: Tak
7.4.) Rodzaj i zakres zmian umowy oraz warunki ich wprowadzenia:
1. Strony dopuszczają możliwość zmiany postanowień zawartej umowy w formie aneksu w stosunku do treści oferty, na podstawie której dokonano wyboru Wykonawcy w sytuacji, jeżeli wystąpi nieprzewidziana okoliczność o obiektywnym charakterze, która w sposób istotny wpłynie na możliwość wykonania przedmiotu umowy.2. Zmiany umowy wymagają zachowania formy pisemnej w postaci aneksu pod rygorem nieważności takiej zmiany.
3. Zamawiający dopuszcza możliwość wprowadzenia do umowy w szczególności następujących zmian:
1) zmiany przepisów prawa, opublikowanej w Dzienniku Urzędowym Unii Europejskiej, Dzienniku Ustaw, Monitorze Polskim lub Dzienniku Urzędowym odpowiedniego ministra, Zamawiający dopuszcza zmiany sposobu realizacji umowy lub zmiany zakresu świadczeń Wykonawcy wymuszone takimi zmianami prawa;
2) zmiany Podwykonawcy, przy pomocy którego Wykonawca realizuje przedmiot umowy, po uprzedniej akceptacji Zamawiającego;
3) zmiany terminu wykonania umowy poprzez wydłużenie terminów realizacji umowy o czas trwania siły wyższej oraz o czas niezbędny na usunięcie jej skutków.
4. W przypadkach, w których zgodnie z powyższymi postanowieniami lub przepisami prawa możliwe jest wprowadzenie zmiany do umowy, Zamawiający przewiduje także wprowadzenie odpowiedniej zmiany terminu realizacji, w szczególności:
1) o ile zmiana taka jest konieczna w celu prawidłowego wykonania umowy, w szczególności ze względu na zaistnienie okoliczności, o których mowa w ust. 3;
2) ze względu na okoliczności niezależne od Wykonawcy.
5. Po rozpatrzeniu wniosku o zmianę Zamawiający decyduje o udzieleniu zgody na wprowadzenie zmiany do umowy w formie pisemnej pod rygorem nieważności w ciągu 7 dni roboczych. Zamawiający zastrzega sobie prawo niewydania zgody na zmianę umowy.
6. Nie stanowi zmiany umowy zmiana danych rejestrowych lub adresowych Stron umowy oraz ich danych kontaktowych.
7.5.) Zamawiający uwzględnił aspekty społeczne, środowiskowe, innowacyjne lub etykiety związane z realizacją zamówienia: Tak
7.6.) Zamawiający przewiduje następujące wymagania związane z realizacją zamówienia:
w zakresie zatrudnienia na podstawie stosunku pracy, w okolicznościach, o których mowa w art. 95 ustawy
