Dostawa sprzętu i oprogramowania w ramach projektu „Cyberbezpieczne Wodociągi” realizowanego przez Zakład Gospodarki Komunalnej Sp. z o. o. w Karczmiskach w ramach Inwestycji C3.1.1 „Cyberbezpieczeństwo - CyberPL” - Cyberbezpieczne Wodociągi, finansowanego z Krajowego Planu Odbudowy i Zwiększania Odporności.

Brak danych. Przekazany dokument OPZ (Opis Przedmiotu Zamówienia) nie zawiera informacji o trybie udzielenia zamówienia, uzasadnieniu wyboru trybu ani o stosowaniu ustawy o obronności (art.

Brak danych dotyczących budżetu i wartości zamówienia w udostępnionym fragmencie dokumentacji. Dokument OPZ wskazuje, że projekt jest finansowany z Krajowego Planu Odbudowy i Zwiększania Odporności (KPO) w ramach Inwestycji C3.1.1 „Cyberbezpieczeństwo – CyberPL” – „Cyberbezpieczne Wodociągi”, jednak nie podano kwoty budżetu ani wartości szacunkowej zamówienia.

Brak danych — dokument SWZ nie został dostarczony w bloku <swz_extraction>. Poniższe terminy pochodzą wyłącznie z OPZ i dotyczą wybranych zadań, a nie całego postępowania.

• Wdrożenie NDR: dostawa obejmuje 12-miesięczną gwarancję producenta oraz licencje na funkcje bezpieczeństwa na okres minimum do 30.06.2026.
• Wdrożenie rozwiązania IT (Zadanie 10): termin realizacji 60 dni roboczych od dostarczenia komponentów do siedziby Zamawiającego.
• Wdrożenie EDR (Zadanie 8): termin wdrożenia nie późniejszy niż do 60 dni od podpisania umowy.
• Szkolenia podstawowe (Zadanie 1, Część 2): dostęp do platformy minimum do 30.06.2026.
• Usługa MDR: świadczona minimum do 30.06.2026.

• Wykonawca musi posiadać aktualną polisę OC w zakresie prowadzonej działalności audytowej IT/Cybersecurity na kwotę co najmniej 300 000,00 zł (Część 1 – zadania audytowe).
• Dla Części 2 – wymagane OC w zakresie IT Cybersecurity na kwotę nie mniejszą niż 500 000 PLN (Postanowienia końcowe Części 2). Zadanie 1 (SZBI/SZCD):
• Udokumentowane doświadczenie w realizacji co najmniej 5 audytów SZBI zgodnych z ISO/IEC 27001 w ciągu ostatnich 3 lat.
• Udokumentowane doświadczenie w realizacji co najmniej 2 audytów SZCD zgodnych z ISO/IEC 22301 w ciągu ostatnich 3 lat.
• Posiadanie certyfikatu ISO/IEC 27001 wydanego przez jednostkę akredytowaną przez PCA.
• Posiadanie certyfikatu ISO 22301 wydanego przez jednostkę akredytowaną przez PCA. Zadanie 2 (Audyt SZBI/SZCD/KSC):
• To samo co w Zadaniu 1 – 5 audytów ISO 27001, 2 audyty ISO 22301 w ciągu ostatnich 3 lat.
• Posiadanie certyfikatów ISO 27001 i ISO 22301 (PCA).
• Zapewnienie niezależności i poufności. Zadanie 3 (Audyt cyberbezpieczeństwa sieci IT/OT/ICS/IIoT):
• Zespół co najmniej 2 osób z certyfikatem OSCP.
• Co najmniej 1 osoba z certyfikatem CEH.

Brak danych w przekazanych dokumentach. Przekazany OPZ (Opis Przedmiotu Zamówienia) oraz SWZ (pusta struktura) nie zawierają sekcji dotyczącej kryteriów oceny ofert, wag procentowych, ani opisu sposobu oceny.

Brak danych. Przekazany dokument OPZ (Opis Przedmiotu Zamówienia) nie zawiera postanowień dotyczących kar umownych, sankcji, rozwiązywania umowy czy innych zapisów typowych dla wzoru umowy.

Dokument OPZ nie zawiera postanowień dotyczących zasad podwykonawstwa ani procedur zmiany umowy. Wskazano jednak, że dopuszcza się konsorcja lub podwykonawstwo, w którym Wykonawca bierze odpowiedzialność za działanie usługi APN. W zakresie zmian — prace modyfikujące w strefach OT muszą być odrębnie zatwierdzone przez Zamawiającego, a wszelkie zatrzymania procesu muszą być poprzedzone zgodą Zamawiającego. Wykonawca zobowiązany jest do działania zgodnie z normami: ISO/IEC 27001, ISO 22301, IEC 62443, NIS2 oraz Ustawą o Krajowym Systemie Cyberbezpieczeństwa. Audyt SZBI/SZCD musi być zgodny z ISO 19011. Wykonawca usługi MDR musi posiadać aktualny certyfikat ISO/IEC 27001. Dla oprogramowania stacji przesiadkowej wymagana jest licencja typu Open Source (Apache License 2.0), bezterminowa (perpetual), bez opłat subskrypcyjnych, z pełną dostępnością kodu źródłowego (brak vendor lock-in). Dla systemu backupu wymagane są licencje wieczyste. Dla systemu SIEM/IDS wymagana jest licencja bezterminowa czasowo. W pozostałych przypadkach (oprogramowanie antywirusowe, EDR, MDM, DLP) wymagana jest subskrypcja ważna minimum do 30.06.2026 r. Wykonawca audytów zobowiązany jest do podpisania umowy NDA.

Brak danych – przekazany OPZ nie zawiera sekcji SWZ dotyczącej wymaganych dokumentów ofertowych, formularzy (JEDZ, JEDN), terminów ważności oświadczeń ani formatu składanych dokumentów. Dokument źródłowy (OPZ) opisuje wyłącznie techniczny i organizacyjny przedmiot zamówienia. W treści OPZ zidentyfikowano następujące wymagania dokumentacyjne wobec Wykonawcy (przytoczone z opisu poszczególnych zadań):

• Dla Części 1 (Obszar organizacyjny i Audyt): Wykonawca musi posiadać aktualną polisę OC w zakresie działalności audytowej IT/Cybersecurity na kwotę co najmniej 300 000,00 zł.
• Dla Części 2 (Obszar techniczny IT/OT): Wykonawca musi posiadać aktualną polisę OC w zakresie działalności IT/Cybersecurity na kwotę nie mniejszą niż 500 000 PLN.
• Wykonawca musi wykazać się udokumentowanym, co najmniej 5-letnim doświadczeniem w sprzedaży oraz wdrażaniu systemów z zakresu cyberbezpieczeństwa oferowanych rozwiązań, potwierdzonym certyfikatem autoryzacji dystrybutora lub producenta.

W dokumencie OPZ zidentyfikowano następujące potencjalne ryzyka i sygnały ostrzegawcze:

• Wysokie wymogi dotyczące polisy OC: Dla Części 1 (Audyt SZBI/SZCD) wymagana jest polisa OC na kwotę co najmniej 300 000,00 zł (s. ?), natomiast dla Części 2 (Obszar techniczny) – nie mniejszą niż 500 000 PLN (s. ?). Są to stosunkowo wysokie kwoty, mogące ograniczyć krąg potencjalnych Wykonawców.
• Bardzo szczegółowe i liczne wymagania techniczne: OPZ zawiera skrajnie rozbudowane opisy dla poszczególnych zadań (np. Zadanie 15 – Serwer NAS, Zadanie 32 – Oprogramowanie IDS dla OT), liczące często kilkadziesiąt punktów. Może to wskazywać na preferencję konkretnego rozwiązania technicznego i utrudniać zaoferowanie rozwiązań równoważnych.
• Restrykcyjne wymogi certyfikacyjne dla personelu: W kilku zadaniach (np. Audyt cyberbezpieczeństwa sieci IT/OT/ICS/IIoT, Testy bezpieczeństwa OT) wymagane są konkretne, rzadkie certyfikaty (np. Offensive Security Certified Professional, Offensive Security Web Expert, Industrial Cybersecurity Expert), co znacząco zawęża grono wykonawców mogących samodzielnie zrealizować zamówienie.