Wdrożenie zintegrowanej architektury odporności IT i OT wraz z przygotowaniem kompetencyjnym i organizacyjnym Zamawiającego na cyberataki.

Zamawiający: Wodociągi i Kanalizacja Spółka z ograniczoną odpowiedzialnością Adres: 47-300 Krapkowice, ul. Czecha 1 Telefon: 77 407 82 70 E-mail: poczta@wik-krapkowice.pl Rachunek bankowy (wadium): 28 8884 0004 2001 0000 0244 0001 Zamawiający jest spółką z o.o. w branży wodociągowo-kanalizacyjnej — nie jest podmiotem leczniczym.

Postępowanie prowadzone jest w trybie konkurencyjności na podstawie wytycznych wynikających z dokumentu „Zamówienia udzielane w Przedsięwzięciach realizowanych w ramach inwestycji C3.1.1.”. Zamówienia nie podzielono na części – nie dopuszcza się ofert częściowych. Nie dopuszcza się również ofert wariantowych. Zamawiający przewiduje możliwość udzielenia zamówień uzupełniających polegających na powtórzeniu podobnych dostaw/usług, zgodnych z przedmiotem zamówienia podstawowego, na zasadach tożsamych z zamówieniem podstawowym, w terminie do 3 lat od zawarcia umowy głównej, z limitem wartościowym do 20% wartości zamówienia podstawowego. Nie przewiduje się opcji ani obowiązku osobistego wykonania kluczowych zadań przez wykonawcę. Rozliczenia wyłącznie w PLN.

Zamawiający nie podał w SWZ ani w jawnej części OPZ wartości szacunkowej zamówienia. Wszelkie rozliczenia dokonywane są w PLN, a zamówienie jest współfinansowane przez Unię Europejską ze środków Krajowego Planu Odbudowy i Zwiększania Odporności (KPO) w ramach Inwestycji C3.1.1. Cyberbezpieczeństwo – CyberPL, przedsięwzięcie „Cyberbezpieczne Wodociągi”.

Zamawiający określił następujące warunki udziału w postępowaniu: 1. Sytuacja ekonomiczna lub finansowa

• Wykonawca musi posiadać ubezpieczenie OC w zakresie prowadzonej działalności związanej z przedmiotem zamówienia na sumę gwarancyjną nie mniejszą niż 1 000 000,00 PLN. 2. Zdolność techniczna lub zawodowa – doświadczenie Wykonawcy
• Wykonawca musi wykazać co najmniej dwie usługi obejmujące wdrożenie i konfigurację rozwiązań technicznych z zakresu cyberbezpieczeństwa (w szczególności ochrona stacji roboczych, serwerów, sieci, aplikacji lub monitorowanie bezpieczeństwa z uwzględnieniem obszaru organizacyjnego oraz szkoleń), każda o wartości nie mniejszej niż 200 000,00 PLN brutto, wykonane w okresie ostatnich 5 lat przed upływem terminu składania ofert. Obie usługi muszą być zrealizowane przez jednego Wykonawcę (lub odpowiednio jeden podmiot udostępniający zasoby / jeden członek konsorcjum) — nie dopuszcza się sumowania usług różnych podmiotów.
• Ponadto Wykonawca musi wykazać co najmniej jedną usługę obejmującą podniesienie poziomu zabezpieczenia infrastruktury technicznej i oprogramowania realizowaną w obszarze infrastruktury przemysłowej wodociągowo-kanalizacyjnej OT lub innej infrastruktury OT rozproszonej sieciowej (np. gazowej, energetycznej) o wartości nie mniejszej niż 200 000,00 PLN brutto. 3. Zdolność techniczna lub zawodowa – potencjał kadrowy Wymagany zespół osób:
• Koordynator/Kierownik projektu – min. 3 lata doświadczenia w realizacji/koordynacji usług IT lub bezpieczeństwa; certyfikat zarządzania projektami (np. PRINCE2 Practitioner, AgilePM Practitioner lub równoważny — np. PMP, IPMA poziom C); udział w roli Kierownika projektu w co najmniej 3 zakończonych sukcesem projektach informatycznych o wartości ≥ 200 000,00 PLN brutto każdy.

Zamawiający stosuje trzy kryteria oceny ofert (łączna suma wag = 100%): 1. Cena oferty brutto (C) – waga 50% (max 50 pkt). Punktacja liczona według wzoru: C = (C_min / C_b) × 50. 2. Dodatkowe doświadczenie Specjalisty ds. cyberbezpieczeństwa OT (SCO) – waga 10% (max 10 pkt). Za posiadanie przez specjalistę OT certyfikatu ISA/IEC 62443 Cybersecurity Expert lub równoważnego (np. GICSP, GRID) przyznaje się 10 pkt; w przeciwnym razie 0 pkt.

• Wadium: 5 000,00 zł (pkt 10.1 ZO)
• Zabezpieczenie należytego wykonania umowy: 3% wartości ceny całkowitej brutto oferty (pkt 13.1 ZO)

Zamawiający nie zastrzega obowiązku osobistego wykonania kluczowych zadań przez wykonawcę (pkt 3.6 ZO). Wykonawca może polegać na zdolnościach podmiotów trzecich (podmioty udostępniające zasoby) – wymagane jest złożenie zobowiązania tego podmiotu do oddania zasobów do dyspozycji (pkt 8.5 ZO). Warunki istotnych zmian umowy określono w PPU (Projektowane Postanowienia Umowy, Załącznik nr 4 do ZO). Wykonawca zobowiązany jest do zawarcia umowy zgodnej z PPU bez zastrzeżeń (pkt 8.1.1.4 i 12.2 ZO). Przedmiot zamówienia obejmuje audyt bezpieczeństwa i audyt zgodności z przepisami w obszarze organizacyjnym (pkt 1.2.1 OPZ). Wykonawca ma obowiązek dostarczyć dokumentację powdrożeniową: opisy wdrożenia, konfiguracji, instrukcje obsługi, wykaz haseł i dostępów (pkt 1.18 OPZ). Dokumentacja musi być spójna i zgodna z wymaganiami SZBI i SZCD (pkt 1.19 OPZ). Wyniki audytów i analiz stanowią podstawę do konfiguracji środków technicznych i organizacyjnych w obszarze IT i OT (pkt 1.7.1 OPZ). Brak danych w udostępnionym fragmencie SWZ/OPZ. Szczegółowe postanowienia mogą znajdować się w PPU (Projektowane Postanowienia Umowy), który jest załącznikiem nieprzekazanym do analizy.

• Formularz ofertowy – sporządzony według wzoru stanowiącego Załącznik nr 5 do ZO, zawierający m.in. cenę brutto, stawki VAT, oświadczenie o okresie związania ofertą oraz akceptację postanowień ZO i PPU.
• Oświadczenie o braku podstaw wykluczenia i spełnianiu warunków udziału – tymczasowo zastępujące podmiotowe środki dowodowe, składane według wzoru z Załącznika nr 8 do ZO.
• Wykaz osób skierowanych do realizacji zamówienia – według wzoru z Załącznika nr 7 do ZO, uwzględniający wymagania z pkt. 7.1.2.2. ZO.
• Certyfikat ISO/IEC 27001 (lub równoważny) – potwierdzający spełnienie warunku z pkt. 7.1.2.3. ZO, składany niezależnie od wniosku o część niejawną OPZ.
• Pełnomocnictwo do podpisania oferty i składania oświadczeń – jeżeli dotyczy.
• Pełnomocnictwo ustanawiające pełnomocnika do reprezentowania w postępowaniu – w przypadku Wykonawców wspólnie ubiegających się o zamówienie (jeżeli dotyczy).
• Oświadczenie Wykonawców wspólnie ubiegających się o udzielenie zamówienia – według wzoru z Załącznika nr 6 do ZO (dotyczy tylko konsorcjum).
• Zobowiązanie podmiotu udostępniającego zasoby – w przypadku polegania na zdolnościach podmiotu trzeciego (art. 118).