Działania zwiększ. poziom cyberbezp. szpitala. Zakup usł.eksperckiej - testy penetr. Audyt końc. w obsz. cyberb. Zakup usł. aktualiz. Syst.Zarz. Bezpiecz. Inf. (SZBI) i Systemu Zarz. Ciągłością Dział.

Zakres prac

4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia. 4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie 4.1.2.) Numer referencyjny: DB-8-TP/28-2026.AK 4.1.3.) Rodzaj zamówienia: Usługi 4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie 4.1.8.) Możliwe jest składanie ofert częściowych: Tak 4.1.9.) Liczba części: 3 4.1.10.) Ofertę można składać na wszystkie części 4.1.11.) Zamawiający ogranicza liczbę części zamówienia, którą można udzielić jednemu wykonawcy: Nie 4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie 4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia: Część 1 4.2.2.) Krótki opis przedmiotu zamówienia Zakup usługi eksperckiej - testy penetracyjne 4.2.6.) Główny kod CPV: 72254100-1 - Usługi w zakresie testowania systemu 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-06-26 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert: 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo 4.3.3.) Stosowane kryteria oceny ofert: Wyłącznie kryterium ceny Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 100 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie Część 2 4.2.2.) Krótki opis przedmiotu zamówienia Audyt końcowy w obszarze cyberbezpieczeństwa 4.2.6.) Główny kod CPV: 72810000-1 - Usługi audytu komputerowego 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-07-03 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert: 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo 4.3.3.) Stosowane kryteria oceny ofert: Wyłącznie kryterium ceny Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 100 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie Część 3 4.2.2.) Krótki opis przedmiotu zamówienia Zakup usługi aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i Systemu Zarządzania Ciągłością Działania 4.2.6.) Główny kod CPV: 79417000-0 - Usługi doradcze w zakresie bezpieczeństwa 4.2.7.) Dodatkowy kod CPV: 72150000-1 - Usługi doradztwa w zakresie audytu komputerowego oraz sprzętu komputerowego 4.2.8.) Zamówienie obejmuje opcje: Nie 4.2.10.) Okres realizacji zamówienia albo umowy ramowej: do 2026-06-26 4.2.11.) Zamawiający przewiduje wznowienia: Nie 4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie 4.3.) Kryteria oceny ofert: 4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo 4.3.3.) Stosowane kryteria oceny ofert: Wyłącznie kryterium ceny Kryterium 1 4.3.5.) Nazwa kryterium: Cena 4.3.6.) Waga: 100 4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie

Warunki udziału

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Nie 5.3.) Warunki udziału w postępowaniu: Tak 5.4.) Nazwa i opis warunków udziału w postępowaniu. Minimalne warunki dotyczące doświadczenia Wykonawcy składającego ofertę: a) Zdolności techniczne: Zamawiający uzna warunek za spełniony, jeżeli Wykonawca wykaże, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wykonał należycie: Zadanie 1: Zakup usługi eksperckiej - testy penetracyjne Wykonawca musi wykazać, że w okresie ostatnich 3 lat należycie zrealizował co najmniej 2 usługi polegające na przeprowadzeniu testów penetracyjnych (infrastruktury lub aplikacji webowych) o wartości min. 20 000,00 tys. zł każda. Zadanie 2: Audyt końcowy w obszarze cyberbezpieczeństwa. Wykonawca musi wykazać realizację co najmniej 2 audytów bezpieczeństwa informacji zgodnych z Rozporządzeniem Rady Ministrów w sprawie Krajowych Ram Interoperacyjności (KRI) lub normą ISO/IEC 27001 w jednostkach sektora finansów publicznych lub u operatorów usług kluczowych o wartości min. 10 000,00 tys. zł każda. Audyt bezpieczeństwa, musi być przeprowadzony przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 5), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych. Zadanie 3: Zakup usługi aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i Systemu Zarządzania Ciągłością Działania Wykonawca musi wykazać co najmniej 2 usługi polegające na opracowaniu, wdrożeniu lub aktualizacji dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (wg ISO 27001) oraz Systemu Zarządzania Ciągłością Działania (wg ISO 22301) o wartości min. 30 000,00 tys. zł każda. b) Zdolności zawodowe: Zamawiający uzna warunek za spełniony, jeżeli Wykonawca wykaże, że dysponuje lub będzie dysponował osobami zdolnymi do wykonania zamówienia, tj.: Zadanie 1: Zakup usługi eksperckiej - testy penetracyjne Wykonawca musi dysponować, co najmniej 1 osobą posiadającą: a. minimum 3-letnie doświadczenie w testowaniu bezpieczeństwa. b. uznany certyfikat techniczny, np.: OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) lub równoważny. Zadanie 2: Audyt końcowy w obszarze cyberbezpieczeństwa. Wykonawca musi dysponować, zgodnie z wymogami ustawy o Krajowym Systemie Cyberbezpieczeństwa, co najmniej dwoma audytorami posiadających: a. Certyfikaty określone w poniższym wykazie certyfikatów uprawniających do przeprowadzenia audytu lub b. minimum 3-letnie doświadczenie w zakresie audytu bezpieczeństwa systemów informacyjnych lub c. co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymujących się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych. Posiadanie co najmniej jednego z poniższych certyfikatów: a. Certified Internal Auditor (CIA). b. Certified Information System Auditor (CISA). c. Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób. d. Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób. e. Certified Information Security Manager (CISM). f. Certified in Risk and Information Systems Control (CRISC). g. Certified in the Governance of Enterprise IT (CGEIT). h. Certified Information Systems Security Professional (CISSP). i. Systems Security Certified Practitioner (SSCP). j. Certified Reliability Professional. k. Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert. Zadanie 3: Zakup usługi aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i Systemu Zarządzania Ciągłością Działania Wykonawca musi dysponować, co najmniej 1 osobą posiadającą: a. minimum 3-letnie doświadczenie w projektowaniu procesów biznesowych i analizie ryzyka, b. Certyfikat Audytora Wiodącego ISO 22301 (dla ciągłości działania) oraz ISO 27001 lub równoważny. 5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak 5.6.) Wykaz podmiotowych środków dowodowych na potwierdzenie niepodlegania wykluczeniu: Wykonawca wraz z ofertą składa oświadczenie o niepodleganiu wykluczeniu, spełnianiu warunków udziału w postępowaniu lub kryteriów selekcji, w zakresie wskazanym przez Zamawiającego - zgodnie z treścią załącznika nr 3 do SWZ. Oświadczenie składają odrębnie: a) W przypadku wspólnego ubiegania się o zamówienie przez wykonawców, oświadczenie, o którym mowa powyżej składa każdy z wykonawców. Oświadczenia to potwierdza brak podstaw wykluczenia oraz spełnienie warunków udziału w postępowaniu w zakresie, w jakim każdy z wykonawców wykazuje spełnianie warunków udziału w postępowaniu l b) podmiot trzeci, na którego potencjał powołuje się Wykonawca celem potwierdzenia spełnienia warunków udziału w postępowaniu. W takim przypadku oświadczenie potwierdza brak podstaw wykluczenia podmiotu oraz spełnianie warunków udziału w postępowaniu w zakresie, w jakim Wykonawca powołuje się na jego zasoby. Zamawiający nie wymaga złożenia przez podwykonawcę powyższego oświadczenia w celu wykazania braku istnienia wobec niego podstaw wykluczenia z udziału w postępowaniu. 3) Wykonawcy wspólnie ubiegający się o udzielenie zamówienia dołączają do oferty oświadczenie, z którego wynika, które usługi wykonają poszczególni wykonawcy zgodnie z art. 117 ust. 4 PZP (wzór oświadczenia stanowi załącznik nr 4 do SWZ) 4) Wykonawca, który polega na zdolnościach lub sytuacji podmiotów udostępniających zasoby, składa, wraz z ofertą, zobowiązanie podmiotu udostępniającego zasoby do oddania mu do dyspozycji niezbędnych zasobów na potrzeby realizacji danego zamówienia lub inny podmiotowy środek dowodowy potwierdzający, że wykonawca realizując zamówienie, będzie dysponował niezbędnymi zasobami tych podmiotów – jeśli dotyczy. Oferta Wykonawcy nie może obejmować: - produktu ICT, usługi ICT lub procesu ICT wskazanych w rekomendacji, o której mowa w art. 33 ust. 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2026 r. poz. 20 i 252), stwierdzającej ich negatywny wpływ na podstawowy interes bezpieczeństwa państwa, - produktu ICT, którego typ został określony w decyzji w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, o której mowa w art. 67b ust. 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, lub usługi ICT, lub procesu ICT, określonych w tej decyzji, pod rygorem odrzucenia takiej oferty jako niezgodnej z warunkami zamówienia. Na potwierdzenie zgodności z powyższym Wykonawca złoży oświadczenie o niewykluczeniu z postępowania zgodnie z powyższymi zapisami. 5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: 1) wykaz usług wykonanych lub wykonywanych w okresie ostatnich 3 lat liczonych wstecz od dnia, w którym upływa termin składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wraz z podaniem ich przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane lub są wykonywane, oraz załączeniem dowodów określających, czy te usługi zostały wykonane lub są wykonywane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego usługi zostały wykonane (lub są wykonywane), a jeżeli wykonawca z przyczyn niezależnych od niego nie jest w stanie uzyskać tych dokumentów – oświadczenie wykonawcy; w przypadku świadczeń nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wystawione w okresie ostatnich 3 miesięcy. Wzór wykazu podany jest w załączniku nr 7 do SWZ. 2) wykaz osób - skierowanych przez Wykonawcę do realizacji zamówienia publicznego, w szczególności odpowiedzialnych za świadczenie usług wraz z informacjami na temat ich kwalifikacji zawodowych, uprawnień, doświadczenia i wykształcenia niezbędnych do wykonania zamówienia publicznego, a także zakresu wykonywanych przez nie czynności oraz informacją o podstawie do dysponowania tymi osobami. Wzór wykazu podany jest w załączniku nr 9 do SWZ. 5.8.) Wykaz przedmiotowych środków dowodowych: nie dotyczy 5.9.) Zamawiający przewiduje uzupełnienie przedmiotowych środków dowodowych: Nie 5.11.) Wykaz innych wymaganych oświadczeń lub dokumentów: Ofertę stanowi: 1) wypełniony i podpisany przez osoby upoważnione do reprezentowania wykonawcy Formularz oferty sporządzony według wzoru stanowiącego załącznik nr 2 do SWZ; 2) wypełniony i podpisany przez osoby upoważnione do reprezentowania wykonawcy Formularz asortymentowo-cenowy (załącznik nr 1 do SWZ). 3) wypełniony i podpisany przez osoby upoważnione do reprezentowania wykonawcy Opis przedmiotu zamówienia (załącznik nr 8a, 8b, 8c do SWZ) – dla zadania, na które składana jest oferta. Formularze winny zawierać wszystkie ewentualne zmiany wprowadzone w czasie trwania postępowania. W przypadku gdy Wykonawca nie korzysta z przygotowanych przez Zamawiającego wzorów, oferta powinna zawierać wszystkie informacje zawarte we wzorze. 2. Wraz z ofertą należy złożyć: 1) Pełnomocnictwo, w przypadku: a) Gdy umocowanie osoby składającej ofertę nie wynika z dokumentów rejestrowych, Wykonawca, który składa ofertę za pośrednictwem pełnomocnika, powinien dołączyć do oferty dokument pełnomocnictwa lub inny dokument potwierdzający umocowanie do reprezentowania Wykonawcy, obejmujący swym zakresem umocowanie do złożenia oferty lub do złożenia oferty i podpisania umowy. b) W przypadku Wykonawców wspólnie ubiegających się o udzielenie zamówienia (konsorcjum, wspólnicy spółki cywilnej) Wykonawcy zobowiązani są do ustanowienia pełnomocnika. Dokument pełnomocnictwa, z treści którego będzie wynikało umocowanie do reprezentowania w postępowaniu o udzielenie zamówienia tych Wykonawców albo do reprezentowania w postępowaniu i zawarciu umowy w sprawie zamówienia publicznego należy załączyć do oferty.

Kontakt z zamawiającym