Stworzenie i utrzymanie systemowego zarządzania bezpieczeństwem informacji oraz ciągłością działania oraz przeprowadzenie specjalistycznych szkoleń z cyberbezpieczeństwa w ramach projektu „Cyberbezpieczne Wodociągi Sądeckie”. Konkurs grantowy pn. “Cyberbezpieczne Wodociągi” o numerze KPOD.05.10-CW.01-001/25.

Postępowanie prowadzone jest w trybie Zapytania Ofertowego (ZO) zgodnie z zasadą konkurencyjności, na podstawie „Regulaminu udzielania zamówień współfinansowanych ze środków Unii Europejskiej” przez Zamawiającego oraz Zasad kwalifikowania wydatków w ramach Inwestycji C3.1.1 Krajowego Planu Odbudowy i Zwiększania Odporności (załącznik nr 1 – Zamówienia udzielane w Przedsięwzięciach realizowanych w ramach inwestycji C3.1.1). W przypadku rozbieżności pierwszeństwo mają Zasady konkurencyjności. Zamawiający informuje, że jest podmiotem prowadzącym działalność sektorową w zakresie gospodarki wodnej (art. 5 ust. 4 pkt 1 ustawy Pzp). Wartość zamówienia nie przekracza progów unijnych (art.

Zamówienie finansowane jest ze środków Krajowego Planu Odbudowy i Zwiększania Odporności (KPO) – Inwestycja C3.1.1. Cyberbezpieczeństwo – Cyber PL, w ramach konkursu grantowego "Cyberbezpieczne Wodociągi" (nr KPOD.05.10-CW.01-001/25). Projekt nosi nazwę "Cyberbezpieczne Wodociągi Sądeckie" (umowa grantowa nr KPOD.05.10-CW.01-001/25/0417/KPOD.05.10-CW.01-001/25/2026). Zamawiający nie podaje wartości szacunkowej zamówienia ani kwoty, jaką zamierza przeznaczyć na sfinansowanie zamówienia. Nie ma obowiązku podawania tej kwoty przed otwarciem ofert.

Część I (stworzenie i utrzymanie SZBI oraz BCMS): 3 miesiące od daty zawarcia umowy. Część II (szkolenia z cyberbezpieczeństwa): 3 miesiące od daty zawarcia umowy. Wymagany okres gwarancji dla Części I: utrzymanie wdrożonego SZBI w ramach gwarancji jakości przez 36 miesięcy od daty podpisania protokołu odbioru końcowego.

Zamawiający podzielił postępowanie na dwie części i dla każdej z nich określił odrębne warunki udziału. Wspólne dla obu części jest to, że Zamawiający nie precyzuje wymagań w zakresie zdolności do występowania w obrocie gospodarczym, uprawnień do prowadzenia działalności ani sytuacji ekonomicznej lub finansowej (Rozdział VIII ust. 1 pkt 1)–3) i ust. 2 pkt 1)–3)). CZĘŚĆ I – Stworzenie i utrzymanie SZBI:

• Doświadczenie: Należyte wykonanie (lub wykonywanie w przypadku świadczeń ciągłych) w okresie ostatnich 3 lat przed terminem składania ofert co najmniej 2 zamówień (odrębne zlecenia/umowy) polegających na wdrożeniu systemów zarządzania cyberbezpieczeństwem w podmiotach należących do infrastruktury krytycznej. Nie dopuszcza się sumowania (łączenia) potencjału – co najmniej jeden wykonawca/podmiot udostępniający musi samodzielnie spełniać warunek.
• Certyfikat organizacji: Posiadanie co najmniej jednego z certyfikatów: ISO 27001, ISO 22301 lub ISO 27701, każdy obejmujący zakresem wdrożenie/rozwój SZBI i audyt teleinformatyczny. Nie dopuszcza się sumowania potencjału.
• Kadra – Kierownik projektu: min. 3-letnie doświadczenie w kierowaniu projektami wdrożenia/rozwoju SZBI; udział w charakterze kierownika w co najmniej 2 projektach wdrożenia/rozwoju SZBI; certyfikat Prince2 Practitioner (lub równoważny); certyfikat audytora wiodącego ISO 27001 (akredytowana jednostka); certyfikat CISM (lub równoważny).
• Kadra – Specjalista ds. bezpieczeństwa informacji: min. 3-letnie doświadczenie w zakresie wdrożenia/rozwoju SZBI; certyfikat CISM (lub równoważny); certyfikat audytora wiodącego ISO 27001 (akredytowana jednostka).

Zamawiający będzie oceniał oferty wyłącznie na podstawie kryterium Ceny ofertowej o wadze 100% (max 100 pkt). Dotyczy to zarówno Części I (Stworzenie i utrzymanie SZBI), jak i Części II (Szkolenia z cyberbezpieczeństwa). Punkty przyznawane są według wzoru: C = (Cn ÷ Cb) × 100%, gdzie Cn to najniższa cena spośród ważnych ofert, a Cb — cena oferty badanej.

• Kara za zwłokę w realizacji umowy: 0,5% wynagrodzenia brutto za każdy rozpoczęty dzień zwłoki
• Kara za zwłokę w usunięciu wad/braków: 0,5% wynagrodzenia brutto za każdy rozpoczęty dzień zwłoki (Część I)
• Kara za zwłokę w wykonaniu obowiązków gwarancyjnych/utrzymaniowych SZBI/BCMS: 0,2% wynagrodzenia brutto za każdy rozpoczęty dzień zwłoki (Część I)
• Kara za naruszenie poufności/danych osobowych: 5% wynagrodzenia brutto za każdy przypadek
• Kara za odstąpienie od umowy z winy Wykonawcy: 20% wynagrodzenia brutto
• Łączny limit kar umownych: 30% wynagrodzenia brutto

Wykonawca może powierzyć część zamówienia podwykonawcom, z obowiązkiem wskazania w Formularzu Oferty części zamówienia przeznaczonych do podwykonawstwa oraz – o ile są znane – nazw podwykonawców. Powierzenie wykonania nie zwalnia Wykonawcy z odpowiedzialności za należyte wykonanie. Zamawiający nie wymaga od podwykonawców (niebędących podmiotem udostępniającym zasoby) składania oświadczeń o braku podstaw wykluczenia ani podmiotowych środków dowodowych. Zamawiający przewiduje możliwość istotnych zmian postanowień umownych w przypadkach określonych w Projekcie umowy (załączniki nr 7a i 7b), m.in.: zmiany struktury organizacyjnej Zamawiającego, zmiany terminu realizacji z przyczyn niezależnych od Stron, rezygnacji z części Zadania, zmiany stawki VAT, zmiany personelu kluczowego, następstwa prawnego Wykonawcy, dostosowania do zmian przepisów prawa lub wytycznych KPO. Zmiana wymaga pisemnego aneksu pod rygorem nieważności. Wykonawca zobowiązuje się poddać kontrolom, wizytom monitorującym i audytom przez: Centrum Projektów Polska Cyfrowa (CPPC), Ministerstwo Funduszy i Polityki Regionalnej, Komisję Europejską, Europejski Trybunał Obrachunkowy, OLAF oraz Prokuraturę Europejską (EPPO). Dokumenty i zapisy księgowe związane z Projektem podlegają kontroli na zasadach określonych w ustawie z dnia 28 kwietnia 2022 r. o zasadach realizacji zadań finansowanych ze środków europejskich. Z chwilą wydania Utworów na Zamawiającego przechodzą wszelkie autorskie prawa majątkowe na 17 polach eksploatacji, bez ograniczeń co do liczby egzemplarzy, czasu i terytorium. Wynagrodzenie ryczałtowe obejmuje przeniesienie praw oraz udzielenie licencji na oprogramowanie stron trzecich. Wykonawca zapewnia, że Utwory są wolne od wad prawnych i nie naruszają praw osób trzecich. W przypadku roszczeń osób trzecich wykonawca zobowiązuje się zwolnić Zamawiającego z odpowiedzialności i pokryć koszty. Administratorem danych osobowych jest Centrum Projektów Polska Cyfrowa (CPPC).

Dokumenty składane wraz z ofertą:

• Formularz oferty – według wzoru stanowiącego załącznik nr 2 do ZO.
• Oświadczenie Wykonawcy o niepodleganiu wykluczeniu i spełnianiu warunków udziału – według wzoru stanowiącego załącznik nr 3a do ZO.
• Odpis z KRS/CEiDG lub innego właściwego rejestru – wystawiony nie wcześniej niż 3 miesiące przed złożeniem (chyba że Wykonawca w Formularzu oferty wskaże ten dokument do samodzielnego pobrania przez Zamawiającego z bezpłatnych baz danych). Dokumenty składane warunkowo z ofertą („jeżeli dotyczy"):
• Pełnomocnictwo – gdy ofertę lub załączone dokumenty podpisuje pełnomocnik.
• Zobowiązanie podmiotu udostępniającego zasoby (wg załącznika nr 6) – gdy Wykonawca polega na zdolnościach podmiotu trzeciego.
• Oświadczenie podmiotu udostępniającego zasoby o niepodleganiu wykluczeniu i spełnianiu warunków (wg załącznika nr 3b) – gdy Wykonawca polega na zdolnościach podmiotu trzeciego.