Dostawa sprzętu i oprogramowania w ramach projektu „Cyberbezpieczne Wodociągi” realizowanego przez Zambrowskie Ciepłownictwo i Wodociągi Sp. z o.o. w ramach Inwestycji C3.1.1 „Cyberbezpieczeństwo - CyberPL” - Cyberbezpieczne Wodociągi, finansowanego z Krajowego Planu Odbudowy i Zwiększania Odporności.

Zamawiający jest zamawiającym publicznym wykonującym działalność sektorową w zakresie gospodarki wodnej (art. 5 ust. 4 pkt 1 ustawy Pzp). Do czynności nie stosuje się przepisów ustawy Pzp (art. 4 pkt 3). Szacowana wartość zamówienia wynosi 1 861 920 zł i nie przekracza kwoty 432 000 euro, co skutkuje wyłączeniem spod reżimu ustawy Prawo zamówień publicznych. Postępowanie prowadzone jest na zasadach Regulaminu udzielania zamówień obowiązującego u Zamawiającego oraz Regulaminu Konkursu Grantowego „Cyberbezpieczne Wodociągi” (Inwestycja C3.1.1 KPO).

Szacowana wartość zamówienia nie przekracza 432 000 euro, co stanowi równowartość 1 861 920 zł. Zamówienie jest finansowane z Krajowego Planu Odbudowy i Zwiększania Odporności w ramach Inwestycji C3.1.1 „Cyberbezpieczeństwo – CyberPL” – program grantowy „Cyberbezpieczne Wodociągi”, finansowany ze środków Instrumentu na Rzecz Odbudowy i Zwiększania Odporności (NextGenerationEU). Wszelkie rozliczenia między Zamawiającym a Wykonawcą będą prowadzone w PLN. Cena oferty jest ceną ryczałtową i obejmuje wszystkie koszty konieczne do wykonania zamówienia.

• Termin składania ofert: do dnia 24 czerwca 2026 r., godz. 9:00.
• Termin otwarcia ofert: 24 czerwca 2026 r., godz. 9:30.
• Termin składania pytań do SWZ: nie później niż 4 dni przed upływem terminu składania ofert (tj. do 20 czerwca 2026 r. – wyliczone przy założeniu, że termin składania ofert to 24.06.2026). Zamawiający udziela wyjaśnień niezwłocznie pod warunkiem dotrzymania tego terminu.
• Odpowiedzi na pytania: Zamawiający publikuje odpowiedzi niezwłocznie na stronie postępowania.
• Termin związania ofertą: brak bezpośredniej informacji w SWZ. Wskazano, że Zamawiający zwraca wadium po upływie terminu związania ofertą (Rozdział 16 pkt 6 ppkt 1), ale samego terminu nie określono. Wadium dla Części II wynosi 10 000,00 zł.
• Termin realizacji zamówienia:
• Część I (Obszar organizacyjny i Audyt): do 80 dni roboczych od dnia podpisania umowy.
• Część II (Obszar kompetencyjny i techniczny IT/OT): do 60 dni roboczych od dnia podpisania umowy.
• Zastrzeżenie: realizacja musi zakończyć się nie później niż do 30 czerwca 2026 r. (końcowa data kwalifikowalności wydatków).

Zamawiający ustalił następujące warunki udziału w postępowaniu, które Wykonawca musi spełniać na dzień składania ofert: 1. Kompetencje lub uprawnienia do prowadzenia działalności zawodowej – Zamawiający nie stawia szczególnych wymagań w tym zakresie. 2. Sytuacja ekonomiczna lub finansowa – W okresie realizacji umowy Wykonawca musi posiadać aktualne ubezpieczenie OC w zakresie prowadzonej działalności na sumę gwarancyjną nie mniejszą niż 500 000,00 zł i utrzymać ważność polisy przez cały okres trwania umowy. 3. Zdolność techniczna lub zawodowa:

• Dla Części I (Obszar organizacyjny i Audyt):
• Udokumentowane 5-letnie doświadczenie w realizacji audytów i wdrażania systemów bezpieczeństwa.
• Wykonanie (w ostatnich 3 latach) co najmniej 5 usług związanych z wdrażaniem SZBI, SZCD oraz audytów bezpieczeństwa.
• Wskazanie co najmniej 2 osób (audytorów) posiadających certyfikaty wg Rozporządzenia Ministra Cyfryzacji z 12.10.2018 r. (Dz.U. poz. 1999) lub ISO/IEC 27001:2023, z co najmniej 2-letnim doświadczeniem w opracowaniu/wdrożeniu SZBI.
• Dla Części II (Obszar kompetencyjny i techniczny IT/OT):
• Udokumentowane 5-letnie doświadczenie w sprzedaży i wdrażaniu systemów cyberbezpieczeństwa.
• Wykonanie (w ostatnich 3 latach) co najmniej 3 dostaw/usług wdrażania systemów bezpieczeństwa, w tym:
• Minimum 1 zamówienie na dostawę rozwiązań cyberbezpieczeństwa (serwer, macierz, backup) o wartości ≥ 400 000,00 zł brutto.
• Minimum 1 zamówienie na dostawę systemów bezpieczeństwa sieci (NGFW, IPS, XDR, NDR) o wartości ≥ 400 000,00 zł brutto.
• Minimum 1 zamówienie na dostawę systemów klasy SIEM o wartości ≥ 600 000,00 zł brutto.
• Wskazanie co najmniej 2 osób (specjalistów wdrożeniowych) z co najmniej 3-letnim stażem w cyberbezpieczeństwie, wykształceniem wyższym informatycznym oraz ważnymi certyfikatami Professional oferowanych rozwiązań IT i OT. 4. Wykluczenie i odrzucenie oferty:
• Oferta niekompletna zostanie odrzucona.
• Zamawiający odrzuci oferty Wykonawców, którzy w ostatnich 3 latach nie podpisali umów lub nienależycie wykonali zamówienie.
• Odrzucone zostaną oferty obejmujące produkt ICT dostawcy wysokiego ryzyka na podstawie decyzji z art. 67b ust. 15 ustawy o KSC.

Zamawiający dokona oceny ofert na podstawie kryterium ceny oferty dla obu części zamówienia. Oferty zostaną ocenione w skali do 100 punktów. Część I (Obszar organizacyjny i Audyt):

• Cena oferty — 100% wagi.
• Sposób oceny: C = Cn : Cb × 100 pkt, gdzie:
• Cn – cena najniższa,
• Cb – cena badana.
• Oferta może uzyskać maksymalnie 100 pkt.

W SWZ oraz w OPZ brak jest wyodrębnionego rozdziału dotyczącego kar umownych, sankcji oraz szczegółowych postanowień odnośnie rozwiązania umowy, sądu polubownego, siły wyższej czy aneksów. Dokument SWZ w Rozdziale 15 (str. 17) odsyła w tym zakresie do projektowanych postanowień umowy (Załącznik nr 6), który nie został załączony do udostępnionych wyciągów. Jedyną wzmianką o charakterze sankcyjnym jest sformułowanie w Rozdziale 3 (str. 8), że Wykonawca ponosi wyłączną odpowiedzialność za wszelkie szkody będące następstwem niewykonania lub nienależytego wykonania przedmiotu umowy, które to szkody Wykonawca zobowiązuje się pokryć w pełnej wysokości. Ponadto w OPZ (str.

Wykonawca może powierzyć wykonanie części zamówienia podwykonawcom. Zamawiający żąda wskazania w ofercie części zamówienia, które Wykonawca zamierza powierzyć podwykonawcom oraz podania nazw firm podwykonawców (o ile są znani). Powierzenie części zamówienia podwykonawcy nie zmienia zobowiązań Wykonawcy wobec Zamawiającego – Wykonawca pozostaje odpowiedzialny za należyte wykonanie całego zamówienia. Szczegółowe postanowienia dotyczące gwarancji zostały określone w projektowanych postanowieniach umowy (Załącznik nr 6 do SWZ). W dokumentacji OPZ dla wybranych zadań (np. Zadanie 12 – stacja robocza) wskazano wymóg minimum 3 lat gwarancji, a dla serwera NAS (Zadanie 14) wymóg minimum 3 lat bezpłatnych aktualizacji bezpieczeństwa. Zamawiający przewiduje możliwość wydłużenia terminu realizacji umowy na zasadach opisanych w projektowanych postanowieniach umowy, o ile zmiana ta nie spowoduje przekroczenia końcowej daty kwalifikowalności wydatków w programie (tj. 30 czerwca 2026 r.). Wykonawca ponosi wyłączną odpowiedzialność za wszelkie szkody będące następstwem niewykonania lub nienależytego wykonania przedmiotu umowy, które to szkody Wykonawca zobowiązuje się pokryć w pełnej wysokości. Zamawiający wymaga, aby dokumentacja powykonawcza oraz konfiguracje urządzeń były dostarczone w sposób umożliwiający swobodną zmianę konfiguracji czy wykonywania aktualizacji bez udziału Wykonawcy, Producenta lub innych osób trzecich. Zamawiający, jako administrator danych, przetwarza dane osobowe na podstawie art. 6 ust. 1 lit. c RODO w celu związanym z postępowaniem. Dane będą przechowywane przez okres 4 lat od dnia zakończenia postępowania, a jeżeli czas trwania umowy przekracza 4 lata – przez cały czas jej trwania. Osobom, których dane dotyczą, przysługuje prawo dostępu do danych, ich sprostowania oraz ograniczenia przetwarzania, a także wniesienia skargi do Prezesa UODO.

Wykonawca zobowiązany jest dołączyć do oferty następujące dokumenty potwierdzające spełnienie warunków udziału w postępowaniu:

• Formularz oferty – Załącznik nr 1 do SWZ (podpisany elektronicznie)
• Podpisany Szczegółowy opis zamówienia – Załącznik nr 2 do SWZ (OPZ)
• Oświadczenie o niepodleganiu wykluczeniu oraz o spełnianiu warunków udziału – Załącznik nr 3 do SWZ
• Oświadczenie dotyczące przesłanek wykluczenia z art. 5k Rozporządzenia 833/2014 oraz art. 7 ust. 1 ustawy o szczególnych rozwiązaniach – Załącznik nr 3a do SWZ
• Wykaz usług/dostaw – Załącznik nr 4 do SWZ, wraz z referencjami lub dokumentami potwierdzającymi należyte wykonanie
• Wykaz osób – Załącznik nr 5 do SWZ, z informacjami o kwalifikacjach, doświadczeniu i podstawie dysponowania
• Zaświadczenie z urzędu skarbowego – potwierdzające niezaleganie z podatkami, wystawione nie wcześniej niż 3 miesiące przed terminem składania ofert
• Zaświadczenie z ZUS/KRUS – potwierdzające niezaleganie ze składkami na ubezpieczenia społeczne i zdrowotne, wystawione nie wcześniej niż 3 miesiące przed terminem składania ofert

Analiza SWZ i OPZ ujawnia następujące potencjalne ryzyka i sygnały ostrzegawcze: 1. Bardzo krótki termin realizacji: Część II (zakres techniczny IT/OT) ma być wykonana w 60 dni roboczych, Część I (SZBI i audyt) — w 80 dni roboczych, przy czym obie muszą zakończyć się najpóźniej do 30 czerwca 2026 r. (data kwalifikowalności). Przy ogromnym zakresie (39 zadań w Części II, w tym dostawa i wdrożenie zaawansowanych systemów bezpieczeństwa OT) terminy są skrajnie napięte. 2. Wysokie i dysproporcjonalne wymogi dotyczące doświadczenia: - Dla Części II wymagane jest 5-letnie doświadczenie w sprzedaży i wdrażaniu systemów cyberbezpieczeństwa oraz referencje na dostawy o wartościach minimum 400 000 zł brutto (NGFW, XDR) i 600 000 zł brutto (SIEM). - Wymóg posiadania przez personel certyfikatów na poziomie Professional oferowanych rozwiązań oraz 3-letniego stażu w cyberbezpieczeństwie przy relatywnie wąskim przedmiocie zamówienia może ograniczać konkurencję. 3. Bardzo wyśrubowane wymagania techniczne (tzw. "pod zamawiającego"): OPZ dla Zadań 8 (NDR), 9 (NGFW), 29, 30, 31, 32 i 37 zawiera niezwykle szczegółowe parametry techniczne (np. minimalnie 2 porty 10 Gb/s SFP+, 22 porty RJ45 1 Gb/s, certyfikacja IEC 62443-4-2 SL3/SL4, obsługa konkretnych protokołów OT). Tak szczegółowy i kombinatoryczny zestaw wymagań może wskazywać na preferencję konkretnego producenta. 4. Obowiązkowa integracja z jednym centralnym systemem: Wielokrotnie podkreślono, że wszystkie urządzenia muszą być zarządzane z jednej centralnej konsoli tego samego producenta oraz posiadać certyfikat IEC 62443-4-2.