Dostawa sprzętu i usług w ramach projektu „Cyberbezpieczne Wodociągi Pruszcz Gdański"

Przedsiębiorstwo Wodociągów i Kanalizacji „WiK” Sp. z o.o. z siedzibą w Pruszczu Gdańskim, ul. Grunwaldzka 1, 83-000 Pruszcz Gdański. Spółka wpisana do Krajowego Rejestru Sądowego przez Sąd Rejonowy Gdańsk-Północ w Gdańsku, Wydział VII Gospodarczy KRS pod nr KRS 0000075937. NIP: 5932332401, REGON: 192643157. Kapitał zakładowy: 40.518.000,00 zł, w pełni wpłacony.

Zamówienie jest prowadzone w trybie zapytania ofertowego na podstawie Regulaminu Konkursu Grantowego Cyberbezpieczne Wodociągi, Umowy o Powierzenie Grantu oraz zasady konkurencyjności wynikającej z Wytycznych dotyczących kwalifikowalności wydatków. Nie stosuje się przepisów ustawy Prawo Zamówień Publicznych – postępowanie nie podlega Pzp, ponieważ szacowana wartość zamówienia (1 861 920 zł) nie przekracza kwoty 432 000 euro (progu stosowania Pzp dla zamawiających sektorowych). Zamawiający nie przewiduje możliwości prowadzenia negocjacji.

Zamawiający wskazał, że szacunkowa wartość zamówienia nie przekracza kwoty 432 000 euro, co stanowi równowartość 1 861 920 zł. Wartość ta nie przekracza tzw. progów unijnych. Zamówienie jest finansowane ze środków Krajowego Planu Odbudowy i Zwiększania Odporności w ramach Priorytetu C3.1.1 Cyberbezpieczeństwo – CyberPL (Instrument na rzecz Odbudowy i Zwiększania Odporności).

Zamawiający wymaga spełnienia następujących warunków udziału w postępowaniu: 1. Ubezpieczenie OC — Wykonawca musi posiadać polisę odpowiedzialności cywilnej z tytułu prowadzonej działalności na kwotę minimum 1 000 000,00 PLN oraz polisę ubezpieczenia odpowiedzialności cywilnej, zawodowej branży informatycznej w zakresie usług bezpieczeństwa teleinformatycznego (audyt, SOC, chmura, infrastruktura programowa, doradztwo) na kwotę minimum 1 000 000,00 PLN. 2. Zdolność finansowa — Wykonawca musi dysponować środkami finansowymi lub zdolnością kredytową w wysokości nie mniejszej niż 1 000 000,00 zł. 3. Certyfikaty ISO Wykonawcy — Wykonawca musi posiadać i utrzymywać aktualny Certyfikat ISO 27001:2022 oraz ISO 22301:2019 wystawiony przez podmiot posiadający akredytację. 4. Biuro Obsługi Klienta 24/7/365 — Wykonawca musi posiadać własne, dedykowane Biuro Obsługi Klienta działające w trybie ciągłym 24 godziny na dobę, 7 dni w tygodniu przez 365 dni w roku. 5. Doświadczenie w usługach SOC/SIEM — W okresie ostatnich 3 lat Wykonawca wykonał lub nadal wykonuje co najmniej dwie usługi, każda o wartości powyżej 300 000 zł brutto, każda w zakresie świadczenia usługi SOC (w tym L1, L2) w oparciu o system SIEM, przy czym usługi były świadczone co najmniej 24 miesiące. 6. Doświadczenie w audytach bezpieczeństwa IT — W ciągu ostatnich 3 lat przed terminem składania ofert Wykonawca zrealizował należycie co najmniej dwie usługi w zakresie przeprowadzonych audytów bezpieczeństwa w obszarze teleinformatycznym środowiska IT, w tym testy penetracyjne, o wartości co najmniej 60 000 zł brutto każda. 7. Doświadczenie w dostawie urządzeń sieciowych — W ciągu ostatnich 3 lat Wykonawca zrealizował co najmniej 1 dostawę urządzeń sieciowych wraz z wdrożeniem (konfiguracją, uruchomieniem) o minimalnej wartości 350 000 zł brutto.

Zamawiający stosuje trzy kryteria oceny ofert (łączna pula 100 pkt):

1. Cena brutto (C) — waga 50% (max 50 pkt). Punkty obliczane według wzorca: C = C_min / C_of × 50.
2. Termin udostępnienia platformy do realizacji usługi szkoleń (E) — waga 30% (max 30 pkt). Punktacja:

• 60 dni od podpisania umowy → 0 pkt
• 30 dni → 20 pkt

• Kary umowne za niedotrzymanie parametrów usługi SOC/MDR: kara w wysokości 1/8 miesięcznej opłaty abonamentowej za każdą rozpoczętą godzinę przekroczenia Czasu Reakcji, Czasu Rozwiązania lub Czasu Usunięcia Awarii
• Łączna odpowiedzialność Wykonawcy z tytułu kar za niedotrzymanie parametrów usługi SOC ograniczona do 50% wartości usługi w zakresie dostawy i wdrożenia SIEM oraz usługi SOC w całym okresie obowiązywania Umowy
• Limit dzienny kar umownych z tytułu niedotrzymania parametrów usługi SOC: nie więcej niż 300 zł za każdy dzień

Wykonawca nie może powierzyć realizacji całości zamówienia podwykonawcy bez pisemnej zgody Zamawiającego. Zamawiający zastrzega obowiązek osobistego wykonania kluczowych części zamówienia: opracowanie SZBI, audyt UoKSC, szkolenia e-learningowe, testy socjotechniczne oraz dostawa/wdrożenie SIEM i usługi SOC. Do zawarcia umowy z dalszym podwykonawcą wymagana jest zgoda Zamawiającego i Wykonawcy. Zamawiający może odmówić zgody na udział podwykonawcy m.in. z przyczyn wykluczenia (pkt XI SWZ), niespełnienia warunków lub sankcji (art. 5k rozporządzenia 833/2014). Osoby wskazane w wykazie osób odpowiedzialne za wykonanie zamówienia (minimum 12-osobowy zespół konsultantów) muszą być zatrudnione na podstawie umowy o pracę (art. 22 § 1 Kodeksu pracy). Obowiązek ten dotyczy także podwykonawców. Zamawiający może zwrócić się o kontrolę do Państwowej Inspekcji Pracy w przypadku uzasadnionych wątpliwości. Złożenie oferty stanowi zgodę wykonawcy na przetwarzanie danych osobowych. Zamawiający jest administratorem danych. Wykonawca ma obowiązek przekazać informację o przetwarzaniu danych osobom, których dane zawarł w ofercie (załącznik nr 9). Serwer: 3 lata gwarancji producenta, serwis 24/7/365, naprawa następnego dnia roboczego w siedzibie Zamawiającego (door-to-door).

Dokumenty składane wraz z ofertą (obowiązkowe):

• Oświadczenie o niepodleganiu wykluczeniu (aktualne na dzień składania ofert)
• Oświadczenie sankcyjne (aktualne na dzień składania ofert)
• Wykaz dostaw / usług – według wzoru Załącznika nr 8 do zapytania ofertowego
• Dokumenty potwierdzające należyte wykonanie usług/dostaw
• Wykaz osób wraz z wymaganymi certyfikatami – według wzoru Załącznika nr 7 do zapytania ofertowego
• Certyfikat ISO 22301:2019 (aktualny)