Ogłoszenie o zmianie ogłoszenia
Cyberbezpieczne Koronowo - Usługi związane z Systemem Zarządzania Bezpieczeństwem Informacji (SZBI), szkolenia z zakresu cyberzagrożeń, audyty infrastruktury i SZBI – 5 części

SEKCJA I - ZAMAWIAJĄCY

1.1.) Nazwa zamawiającego: Gmina Koronowo

1.3.) Krajowy Numer Identyfikacyjny: REGON 092350665

1.4.) Adres zamawiającego:

1.4.1.) Ulica: Plac Zwycięstwa 1

1.4.2.) Miejscowość: Koronowo

1.4.3.) Kod pocztowy: 86-010

1.4.4.) Województwo: kujawsko-pomorskie

1.4.5.) Kraj: Polska

1.4.6.) Lokalizacja NUTS 3: PL613 - Bydgosko-toruński

1.4.7.) Numer telefonu: 52 3826459

1.4.9.) Adres poczty elektronicznej: beata.nitka@um.koronowo.pl

1.4.10.) Adres strony internetowej zamawiającego: www.bip.koronowo.pl

1.5.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - jednostka samorządu terytorialnego

1.6.) Przedmiot działalności zamawiającego: Ogólne usługi publiczne

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Numer ogłoszenia: 2025/BZP 00504190

2.2.) Data ogłoszenia: 2025-10-29

SEKCJA III ZMIANA OGŁOSZENIA

3.2.) Numer zmienianego ogłoszenia w BZP: 2025/BZP 00477354

3.3.) Identyfikator ostatniej wersji zmienianego ogłoszenia: 01

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA V - KWALIFIKACJA WYKONAWCÓW

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

5.4. Nazwa i opis warunków udziału w postępowaniu

Przed zmianą:
Dot. zdolności technicznej lub zawodowej:
cz.I: a)Wykonawca musi wykazać, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał:
- co najmniej 2 usługi polegające na przeprowadzeniu szkoleń z zakresu cyberbezpieczeństwa dla JSFP.
- co najmniej 2 usługi polegające na przygotowaniu/aktualizacji i wdrożeniu SZBI w różnych JSFP.
b) Wykonawca musi wykazać, że dysponuje osobami zdolnymi do wykonania zamówienia lub będzie dysponować w okresie wykonywania zamówienia i skieruje do jego realizacji:
- co najmniej jedną osobę – głównego realizatora usługi, posiadającą co najmniej 3 letnie doświadczenie zawodowe w przygotowaniu/aktualizacji i wdrożeniu Systemów Zarządzania Bezpieczeństwem Informacji w JSFP i jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. 2018 poz. 1999)wymienione w cz. 4.
- co najmniej jedną osobę posiadającą minimum 2 letnie doświadczenie w przygotowaniu i przeprowadzeniu szkoleń budujących i wzmacniających świadomość cyberzagrożeń istotnych z punktu widzenia wdrażanej polityki bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji.
UWAGA: Zamawiający wymaga co najmniej jednej osoby i dopuszcza łączenie ww. funkcji.
część II:a) Wykonawca musi wykazać, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał: - co najmniej 3 usługi polegające na przeprowadzeniu szkoleń z dostępem do platformy szkoleniowej dla JSFP (w szczególności szkolenia online na żywo, z nagrań, szkolenia w formie lekcji do odczytu)
b) Wykonawca musi wykazać, że dysponuje osobami zdolnymi do wykonania zamówienia lub będzie dysponować w okresie wykonywania zamówienia i skieruje do jego realizacji:- co najmniej jedną osobę posiadającą minimum 2 letnie doświadczenie w przygotowaniu i przeprowadzeniu szkoleń budujących i wzmacniających świadomość cyberzagrożeń dla JSFP.
część III: a) Wykonawca musi wykazać, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał:
- co najmniej 2 usługi polegające na realizacji kampanii phishingowych obejmujących symulowane ataki phishingowe, analizę ich wyników wraz z raportem i rekomendacjami, dla JSFP.
b) Wykonawca musi wykazać, że dysponuje osobami zdolnymi do wykonania zamówienia lub będzie dysponować w okresie wykonywania zamówienia i skieruje do jego realizacji:
- co najmniej jedną osobę – specjalistę ds. cyberbezpieczeństwa z co najmniej 3letnim doświadczeniem w zakresie w realizacji kampanii phishingowych w środowiskach produkcyjnych, posiadającą jeden z certyfikatów (lub równoważny, lub wyższy): - CompTIA Security+, - ISO 27001 Lead Auditor,
- CISSP
- co najmniej jedną osobę z co najmniej trzyletnim doświadczeniem w zakresie projektowania i prowadzenia szkoleń e-learningowych lub stacjonarnych w tematyce świadomości cyberzagrożeń, w tym phishingu.
UWAGA: Zamawiający wymaga co najmniej jednej osoby i dopuszcza łączenie ww. funkcji.
część IV:
a) Wykonawca musi wykazać, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał:
- co najmniej 3 usługi polegające na wykonywaniu testów penetracyjnych dla JSFP.
b) Wykonawca musi wykazać, że dysponuje osobami zdolnymi do wykonania zamówienia lub będzie dysponować w okresie wykonywania zamówienia i skieruje do jego realizacji:
- co najmniej dwie osoby posiadające jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. 2018 poz. 1999):tj.:
- Certified Internal Auditor (CIA);
- Certified Information System Auditor (CISA);
- Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób;
- Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
- Certified Information Security Manager (CISM);
- Certified in Risk and Information Systems Control (CRISC);
- Certified in the Governance of Enterprise IT (CGEIT);
- Certified Information Systems Security Professional (CISSP);
- Systems Security Certified Practitioner (SSCP);
- Certified Reliability Professional;
- Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.
Jedna z tych osób powinna posiadać co najmniej 3 - letnie doświadczenie w zakresie przeprowadzania testów penetracyjnych sieci i systemów IT dla JSFP.
UWAGA: Zamawiający wymaga co najmniej dwóch osób.
5) Część V:
a) Wykonawca musi wykazać, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał:
- co najmniej 3 usługi polegające na wykonywaniu audytów bezpieczeństwa informacji KRI/uoKSC w JSFP.
b) Wykonawca musi wykazać, że dysponuje osobami zdolnymi do wykonania zamówienia lub będzie dysponować w okresie wykonywania zamówienia i skieruje do jego realizacji:
- co najmniej dwie osoby posiadające jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. 2018 poz. 1999): tj.:
- Certified Internal Auditor (CIA);
- Certified Information System Auditor (CISA);
- Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób;
- Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
- Certified Information Security Manager (CISM);
- Certified in Risk and Information Systems Control (CRISC);
- Certified in the Governance of Enterprise IT (CGEIT);
- Certified Information Systems Security Professional (CISSP);
- Systems Security Certified Practitioner (SSCP);
- Certified Reliability Professional;
- Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.
lub będącego audytorem zewnętrznym systemu zarządzania bezpieczeństwem informacji według normy PN-ISO/IEC 27001.
Jedna z tych osób powinna posiadać co najmniej 3 - letnie doświadczenie w zakresie przeprowadzania audytów KRI/uoKSC w JSFP.
UWAGA: Zamawiający wymaga co najmniej dwóch osób.

Uwaga dot. cz. 1 - 5:
Doświadczenie głównego realizatora usług stanowi kryteria oceny ofert – wymagane przedmiotowe środki dowodowe, pozostałe osoby skierowane do realizacji zamówienia przez Wykonawcę i spełniające warunek a nie będące głównym realizatorem usługi nie podlegają ocenie w ramach kryteriów.
Certyfikaty osób wymagane do spełnienia warunków mają być aktywne. Osoby mają mieć biegłą znajomość języka polskiego w mowie i piśmie oraz języka angielskiego co najmniej w stopniu umożliwiającym swobodne posługiwanie się dokumentacją techniczną systemów. Zamawiający dopuszcza posiadanie certyfikatów innych niż wskazane przez Zamawiającego. W takim przypadku Wykonawca jest zobowiązany do wykazania, że wskazany certyfikat potwierdza posiadanie co najmniej takiej samej wiedzy, kompetencji i doświadczenia co certyfikat wskazany przez Zamawiającego.
W przypadku Wykonawców ubiegających się o zamówienie wspólnie oraz w przypadku gdy Wykonawca w celu wykazania spełnienia warunku dot. doświadczenia - wykonanych usług przez Wykonawcę, polega na zdolnościach innego podmiotu warunek musi być spełniony w całości przez co najmniej jednego Wykonawcę ubiegającego się wspólnie/podmiot trzeci.
W przypadku, gdy Wykonawca celem wykazania spełnienia warunku polega na zdolnościach innego podmiotu, podmiot udostępniający zasób zobowiązany będzie zrealizować usługi, których wskazane w 1) – 5) zdolności dotyczą (podwykonawstwo).

Zamawiający stosuje podstawy wykluczenia, o których mowa w art. 7 ust. 1 ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (t.j. Dz.U. 2025 poz. 514).

Po zmianie:
Dot. zdolności technicznej lub zawodowej:
cz.I: a)Wykonawca musi wykazać, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał:
- co najmniej 2 usługi polegające na przeprowadzeniu szkoleń z zakresu cyberbezpieczeństwa dla JSFP.
- co najmniej 2 usługi polegające na przygotowaniu/aktualizacji i wdrożeniu SZBI w różnych JSFP.
b) Wykonawca musi wykazać, że dysponuje osobami zdolnymi do wykonania zamówienia lub będzie dysponować w okresie wykonywania zamówienia i skieruje do jego realizacji:
- co najmniej jedną osobę – głównego realizatora usługi, posiadającą co najmniej 3 letnie doświadczenie zawodowe w przygotowaniu/aktualizacji i wdrożeniu Systemów Zarządzania Bezpieczeństwem Informacji w JSFP i jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. 2018 poz. 1999)wymienione w cz. 4.
- co najmniej jedną osobę posiadającą minimum 2 letnie doświadczenie w przygotowaniu i przeprowadzeniu szkoleń budujących i wzmacniających świadomość cyberzagrożeń istotnych z punktu widzenia wdrażanej polityki bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji.
UWAGA: Zamawiający wymaga co najmniej jednej osoby i dopuszcza łączenie ww. funkcji.
część II:a) Wykonawca musi wykazać, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał: - co najmniej 3 usługi polegające na przeprowadzeniu szkoleń z dostępem do platformy szkoleniowej dla JSFP (w szczególności szkolenia online na żywo, z nagrań, szkolenia w formie lekcji do odczytu)
b) Wykonawca musi wykazać, że dysponuje osobami zdolnymi do wykonania zamówienia lub będzie dysponować w okresie wykonywania zamówienia i skieruje do jego realizacji:- co najmniej jedną osobę posiadającą minimum 2 letnie doświadczenie w przygotowaniu i przeprowadzeniu szkoleń budujących i wzmacniających świadomość cyberzagrożeń dla JSFP.
część III: a) Wykonawca musi wykazać, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał:
- co najmniej 2 usługi polegające na realizacji kampanii phishingowych obejmujących symulowane ataki phishingowe, analizę ich wyników wraz z raportem i rekomendacjami, dla JSFP.
b) Wykonawca musi wykazać, że dysponuje osobami zdolnymi do wykonania zamówienia lub będzie dysponować w okresie wykonywania zamówienia i skieruje do jego realizacji:
- co najmniej jedną osobę – specjalistę ds. cyberbezpieczeństwa z co najmniej 3letnim doświadczeniem w zakresie w realizacji kampanii phishingowych w środowiskach produkcyjnych, posiadającą jeden z certyfikatów (lub równoważny, lub wyższy): - CompTIA Security+, - ISO 27001 Lead Auditor,
- CISSP
- co najmniej jedną osobę z co najmniej trzyletnim doświadczeniem w zakresie projektowania i prowadzenia szkoleń e-learningowych lub stacjonarnych w tematyce świadomości cyberzagrożeń, w tym phishingu.
UWAGA: Zamawiający wymaga co najmniej jednej osoby i dopuszcza łączenie ww. funkcji.
część IV:
a) Wykonawca musi wykazać, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał:
- co najmniej 3 usługi polegające na wykonywaniu testów penetracyjnych dla JSFP.
b) Wykonawca musi wykazać, że dysponuje osobami zdolnymi do wykonania zamówienia lub będzie dysponować w okresie wykonywania zamówienia i skieruje do jego realizacji:
- co najmniej dwie osoby posiadające jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. 2018 poz. 1999):tj.:
- Certified Internal Auditor (CIA);
- Certified Information System Auditor (CISA);
- Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób;
- Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
- Certified Information Security Manager (CISM);
- Certified in Risk and Information Systems Control (CRISC);
- Certified in the Governance of Enterprise IT (CGEIT);
- Certified Information Systems Security Professional (CISSP);
- Systems Security Certified Practitioner (SSCP);
- Certified Reliability Professional;
- Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert;
lub równoważne certyfikaty potwierdzające praktyczne kompetencje w zakresie testów penetracyjnych lub bezpieczeństwa ofensywnego systemów informatycznych, takie jak w szczególności: Offensive Security Certified Professional (OSCP);
Offensive Security Experienced Penetration Tester (OSEP);
Penetration Testing Professional (PTP / eCPPT);
Certified Ethical Hacker (CEH);
Practical Network Penetration Tester (PNPT);
GIAC Penetration Tester (GPEN);
CompTIA PenTest+;
inne równoważne certyfikaty potwierdzające praktyczne umiejętności w zakresie testów penetracyjnych.
Jedna z tych osób powinna posiadać co najmniej 3 - letnie doświadczenie w zakresie przeprowadzania testów penetracyjnych sieci i systemów IT dla JSFP.
UWAGA: Zamawiający wymaga co najmniej dwóch osób.
5) Część V:
a) Wykonawca musi wykazać, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wykonał:
- co najmniej 3 usługi polegające na wykonywaniu audytów bezpieczeństwa informacji KRI/uoKSC w JSFP.
b) Wykonawca musi wykazać, że dysponuje osobami zdolnymi do wykonania zamówienia lub będzie dysponować w okresie wykonywania zamówienia i skieruje do jego realizacji:
- co najmniej dwie osoby posiadające jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. 2018 poz. 1999): tj.:
- Certified Internal Auditor (CIA);
- Certified Information System Auditor (CISA);
- Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób;
- Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
- Certified Information Security Manager (CISM);
- Certified in Risk and Information Systems Control (CRISC);
- Certified in the Governance of Enterprise IT (CGEIT);
- Certified Information Systems Security Professional (CISSP);
- Systems Security Certified Practitioner (SSCP);
- Certified Reliability Professional;
- Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.
lub będącego audytorem zewnętrznym systemu zarządzania bezpieczeństwem informacji według normy PN-ISO/IEC 27001.
Jedna z tych osób powinna posiadać co najmniej 3 - letnie doświadczenie w zakresie przeprowadzania audytów KRI/uoKSC w JSFP.
UWAGA: Zamawiający wymaga co najmniej dwóch osób.

Uwaga dot. cz. 1 - 5:
Doświadczenie głównego realizatora usług stanowi kryteria oceny ofert – wymagane przedmiotowe środki dowodowe, pozostałe osoby skierowane do realizacji zamówienia przez Wykonawcę i spełniające warunek a nie będące głównym realizatorem usługi nie podlegają ocenie w ramach kryteriów.
Certyfikaty osób wymagane do spełnienia warunków mają być aktywne. Osoby mają mieć biegłą znajomość języka polskiego w mowie i piśmie oraz języka angielskiego co najmniej w stopniu umożliwiającym swobodne posługiwanie się dokumentacją techniczną systemów. Zamawiający dopuszcza posiadanie certyfikatów innych niż wskazane przez Zamawiającego. W takim przypadku Wykonawca jest zobowiązany do wykazania, że wskazany certyfikat potwierdza posiadanie co najmniej takiej samej wiedzy, kompetencji i doświadczenia co certyfikat wskazany przez Zamawiającego.
W przypadku Wykonawców ubiegających się o zamówienie wspólnie oraz w przypadku gdy Wykonawca w celu wykazania spełnienia warunku dot. doświadczenia - wykonanych usług przez Wykonawcę, polega na zdolnościach innego podmiotu warunek musi być spełniony w całości przez co najmniej jednego Wykonawcę ubiegającego się wspólnie/podmiot trzeci.
W przypadku, gdy Wykonawca celem wykazania spełnienia warunku polega na zdolnościach innego podmiotu, podmiot udostępniający zasób zobowiązany będzie zrealizować usługi, których wskazane w 1) – 5) zdolności dotyczą (podwykonawstwo).

Zamawiający stosuje podstawy wykluczenia, o których mowa w art. 7 ust. 1 ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (t.j. Dz.U. 2025 poz. 514).

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA VIII - PROCEDURA

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.1. Termin składania ofert

Przed zmianą:
2025-10-30 09:00

Po zmianie:
2025-11-06 09:00

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.3. Termin otwarcia ofert

Przed zmianą:
2025-10-30 10:00

Po zmianie:
2025-11-06 10:00

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.4. Termin związania ofertą

Przed zmianą:
2025-11-28

Po zmianie:
2025-12-05