Dostawa sprzętu i usług w ramach projektu „Cyberbezpieczne Wodociągi Pruszcz Gdański

Zamawiający: Przedsiębiorstwo Wodociągów i Kanalizacji „WiK” Sp. z o.o. z siedzibą w Pruszczu Gdańskim, ul. Grunwaldzka 1, 83-000 Pruszcz Gdański. Spółka wpisana do Krajowego Rejestru Sądowego pod nr KRS 0000075937, NIP 5932332401, REGON 192643157.

Postępowanie prowadzone jest w trybie zapytania ofertowego zgodnie z Regulaminem Konkursu Grantowego Cyberbezpieczne Wodociągi, Umową o Powierzenie Grantu oraz zasadą konkurencyjności wynikającą z Wytycznych dotyczących kwalifikowalności wydatków. Zamawiający jest zamawiającym sektorowym w rozumieniu przepisów ustawy Pzp, jednak szacowana wartość zamówienia nie przekracza kwoty 432 000 euro (równowartość 1 861 920 zł), co stanowi próg, poniżej którego nie stosuje się przepisów ustawy Prawo Zamówień Publicznych (Dz.U. z 2024 r., poz. 1320 t.j. z póź. zm.). Zamawiający nie przewiduje możliwości prowadzenia negocjacji.

Budżet zamówienia nie został podany wprost. Szacunkowa wartość zamówienia nie przekracza równowartości 432 000 EUR, co stanowi 1 861 920,00 PLN. Z tego powodu do postępowania nie stosuje się przepisów ustawy Prawo Zamówień Publicznych (PZP). Zamówienie jest finansowane w ramach Krajowego Planu Odbudowy i Zwiększania Odporności (KPO), Priorytet C3 Cyberbezpieczeństwo, Działanie **C3.1.1.

Zamówienie musi być zrealizowane w terminach etapowych określonych w SWZ, z ostatecznym terminem odbioru całości nie później niż 30.11.2026 r. Terminy realizacji poszczególnych elementów (od podpisania umowy):

• Opracowanie SZBI — w ciągu 120 dni
• Audyt UoKSC — w ciągu 60 dni
• Szkolenia (Security Awareness, SZBI, specjalistyczne, socjotechniczne) — w ciągu 7/30/60 dni (w zależności od zaoferowanego terminu, jest to kryterium oceny) dla platformy e-learningowej, pozostałe 60 dni
• Testy socjotechniczne (30 os.) — w ciągu 120 dni
• Testy bezpieczeństwa i Audyt Cyberbezpieczeństwa sieci — w ciągu 120 dni

Zamawiający wymaga spełnienia następujących warunków udziału w postępowaniu:

1. Ubezpieczenie OC – polisa odpowiedzialności cywilnej z tytułu prowadzonej działalności na kwotę minimum 1 000 000,00 PLN oraz odrębna polisa OC zawodowej branży informatycznej (usługi bezpieczeństwa teleinformatycznego, audyt, SOC, chmura, infrastruktura programowa, usługi doradcze) na kwotę minimum 1 000 000,00 PLN.
2. Zdolność finansowa – dysponowanie środkami finansowymi lub zdolnością kredytową w wysokości nie mniejszej niż 1 000 000,00 zł.
3. Certyfikaty systemu zarządzania – posiadanie i utrzymywanie aktualnego certyfikatu ISO 27001:2022 oraz ISO 22301:2019 wystawionego przez podmiot posiadający akredytację.
4. Biuro Obsługi Klienta 24/7 – własne, dedykowane BOK działające w trybie ciągłym 24 godziny na dobę, 7 dni w tygodniu, 365 dni w roku.
5. Doświadczenie – usługi SOC/SIEM – w okresie ostatnich 3 lat wykonanie lub wykonywanie co najmniej dwóch usług, każda o wartości powyżej 300 000 zł brutto, każda w zakresie świadczenia usługi SOC (L1, L2) w oparciu o system SIEM udostępniony w ramach usługi, przy czym usługi były świadczone co najmniej 24 miesiące.
6. Doświadczenie – audyty bezpieczeństwa/ testy penetracyjne – w ciągu ostatnich 3 lat należyte zrealizowanie co najmniej dwóch usług w zakresie audytów bezpieczeństwa w obszarze teleinformatycznym (IT), w tym testy penetracyjne, o wartości co najmniej 60 000 zł brutto każda.
7. Doświadczenie – dostawa urządzeń sieciowych z wdrożeniem – w ciągu ostatnich 3 lat zrealizowanie co najmniej 1 dostawy urządzeń sieciowych wraz z wdrożeniem (konfiguracją, uruchomieniem) o minimalnej wartości 350 000 zł brutto.
8. Kadra – zespół 12 osób na umowę o pracę – Wykonawca musi dysponować minimum 12-osobowym zespołem konsultantów zatrudnionych na umowę o pracę, władających biegle językiem polskim, z podziałem na role i certyfikaty:

Zamawiający stosuje trzy kryteria oceny ofert: 1. Cena brutto (C) — waga 50 (50%). 2. Termin udostępnienia platformy do realizacji usługi szkoleń (E) — waga 30 (30%). Punktacja: 60 dni = 0 pkt, 30 dni = 20 pkt, 7 dni = 30 pkt. 3. Czas reakcji Security Operation Center dla incydentów krytycznych (F) — waga 20 (20%).

SWZ nie zawiera ogólnego rejestru kar umownych za opóźnienie w realizacji zamówienia ani tabeli kar za nieterminową dostawę/usługę. Jedynym obszarem, w którym skonkretyzowano kary, jest świadczenie usługi SOC/MDR w ramach pozycji 6 przedmiotu zamówienia (OPZ). Kary za niedotrzymanie parametrów usługi SOC/MDR (OPZ, s. 19–21):

• Za każdą rozpoczętą godzinę przekroczenia Czasu Reakcji, Czasu Rozwiązania lub Czasu Usunięcia Awarii — 1/8 miesięcznej opłaty abonamentowej.
• Łączna odpowiedzialność Wykonawcy z tytułu kar za parametry usługi SOC ograniczona do 50% wartości usługi SOC/MDR w całym okresie umowy.
• Łączna wysokość kar za jeden dzień — nie więcej niż 300 zł.
• Kary płatne na żądanie Zamawiającego w terminie 30 dni od wezwania; Zamawiający może potrącać kary z wierzytelnościami Wykonawcy.

Wykonawca nie może powierzyć realizacji całości zamówienia podwykonawcy bez pisemnej zgody Zamawiającego. Zamawiający zastrzega obowiązek osobistego wykonania kluczowych części zamówienia (SZBI, audyt UoKSC, szkolenia e-learning, testy socjotechniczne, SIEM/SOC). Zgoda na podwykonawstwo udzielana jest w terminie 30 dni od przedstawienia umowy z podwykonawcą. Na dalsze podzlecanie wymagana jest zgoda Zamawiającego i Wykonawcy. Wykonawca ponosi pełną odpowiedzialność za podwykonawców. Zamawiający może odmówić zgody z przyczyn określonych w SWZ lub na podstawie rozporządzenia 833/2014 (sankcje wobec Rosji). Zamawiający wymaga, aby osoby wskazane w wykazie osób (odpowiedzialne za wykonanie zamówienia) były zatrudnione na podstawie umowy o pracę (art. 22 § 1 Kodeksu pracy). Obowiązek dotyczy również podwykonawców. Na żądanie Wykonawca składa oświadczenie o zatrudnieniu. W razie wątpliwości Zamawiający może zwrócić się o kontrolę do Państwowej Inspekcji Pracy. Zamawiający dopuszcza rozwiązania równoważne. Wykonawca oferujący równoważnik zobowiązany jest wykazać spełnienie wymagań, załączając dokumentację techniczną, karty katalogowe itp.

Zamawiający wymaga złożenia wraz z ofertą następujących dokumentów (Rozdział XIII SWZ): 1. Oświadczenie o niepodleganiu wykluczeniu – aktualne na dzień składania ofert (Załącznik nr 6). 2. Oświadczenie sankcyjne – aktualne na dzień składania ofert (Załącznik nr 5). 3. Wykaz dostaw/usług – potwierdzający spełnienie warunku zdolności technicznej/zawodowej (Załącznik nr 8). 4. Dokumenty potwierdzające należyte wykonanie usług/dostaw – referencje lub inne dokumenty. 5. Wykaz osób z wymaganymi certyfikatami (Załącznik nr 7). 6. Certyfikat ISO 22301:2019 – aktualny. 7. Certyfikat ISO 27001:2022 – aktualny. 8. Polisa odpowiedzialności cywilnej – zgodna z warunkiem określonym w Rozdziale X pkt 1 ppkt 1).

1. 🔴 Wymagania kadrowe zawężające konkurencję — Zamawiający wymaga min. 12-osobowego zespołu zatrudnionego na umowę o pracę z bardzo wąskimi certyfikatami (CISA, Prince2 Foundation, Comptia Security+, GCIH, OSCP, OSWE, ISO 22301, ISO 27001). Łączenie tylu niszowych uprawnień w jednej organizacji znacząco ogranicza liczbę podmiotów zdolnych do startu, szczególnie dla małych i średnich firm. 2. 🔴 Wysokie progi referencyjne i finansowe — Dla usługi SOC wymagane są 2 referencje o wartości >300 000 zł brutto każda i czasie świadczenia min. 24 miesiące, dla dostaw sieciowych 1 referencja >350 000 zł brutto. Dodatkowo polisa OC na 1 mln zł i zdolność kredytowa/środki na 1 mln zł. Te progi są wygórowane jak na skalę zamówienia o szacowanej wartości poniżej progów unijnych. 3. 🔴 Obowiązek osobistego wykonania kluczowych części — Zamawiający zastrzega, że opracowanie SZBI, audyt UoKSC, szkolenia e‑learning, testy socjotechniczne oraz wdrożenie SIEM/SOC muszą być wykonane osobiście przez Wykonawcę (limit podwykonawstwa). To uniemożliwia oparcie się na wyspecjalizowanych podmiotach w tych obszarach.