Postępowanie w trybie przetargu nieograniczonego na uaktualnienie i uzupełnienie dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), szkolenia dla personelu medycznego i administracyjnego z zakresu cyberhigieny oraz audyt końcowy w zakresie cyberbezpieczeństwa

Krótki opis

Przedmiotem zamówienia jest:

Zadanie/Etap nr 1:
Obejmuje wsparcie w opracowaniu, uzupełnieniu i aktualizacji dokumentacji systemu zarządzania bezpieczeństwem informacji (SZBI) z elementami ciągłości działania (CD) w bezpieczeństwie informacji, uwzględniający kontekst organizacyjny Zamawiającego, w celu osiągnięcia zgodności z polskimi normami PN-EN ISO/IEC 27001 i PN-EN ISO/IEC 27002, Rozporządzeniem KRI oraz UKSC2. Wsparcie dotyczy w szczególności opracowania, uzupełnienia, aktualizacji lub integracji dokumentacji w zakresie bezpieczeństwa informacji – szczegółowy opis przedmiotu zamówienia znajduje się w załączniku nr 1.1 do SWZ, Rozdział I

Zadanie/Etap nr 2:
Obejmuje przeprowadzenie szkoleń stacjonarnych dla personelu szpitala w temacie „CYBERHIGIENA W PRAKTYCE” (łącznie 886 osób) – szczegółowy opis przedmiotu zamówienia znajduje się w załączniku nr 1.1 do SWZ, Rozdział II

Zadanie/Etap nr 3:
Obejmuje przeprowadzenie audytu końcowego cyberbezpieczeństwa. Celem audytu jest weryfikacja, czy w wyniku realizacji zadań w ramach Krajowego Planu Odbudowy i Zwiększania Odporności - Inwestycja D1.1.2 „Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia” będąca elementem komponentu D „Efektywność, dostępność i jakość systemu ochrony zdrowia” (Nabór nr KPOD.07.03-IP.10-001/25) nastąpiło podniesienie poziomu bezpieczeństwa teleinformatycznego w odniesieniu do poziomu wynikającego z inicjalnej ankiety dojrzałości cyberbezpieczeństwa, będącej załącznikiem do umowy o dofinansowanie – szczegółowy opis przedmiotu zamówienia znajduje się w załączniku nr 1.1 do SWZ, Rozdział III

Opis zamówienia

Przedmiotem zamówienia jest:

Zadanie/Etap nr 1:
Obejmuje wsparcie w opracowaniu, uzupełnieniu i aktualizacji dokumentacji systemu zarządzania bezpieczeństwem informacji (SZBI) z elementami ciągłości działania (CD) w bezpieczeństwie informacji, uwzględniający kontekst organizacyjny Zamawiającego, w celu osiągnięcia zgodności z polskimi normami PN-EN ISO/IEC 27001 i PN-EN ISO/IEC 27002, Rozporządzeniem KRI oraz UKSC2. Wsparcie dotyczy w szczególności opracowania, uzupełnienia, aktualizacji lub integracji dokumentacji w zakresie bezpieczeństwa informacji – szczegółowy opis przedmiotu zamówienia znajduje się w załączniku nr 1.1 do SWZ, Rozdział I

Zadanie/Etap nr 2:
Obejmuje przeprowadzenie szkoleń stacjonarnych dla personelu szpitala w temacie „CYBERHIGIENA W PRAKTYCE” (łącznie 886 osób) – szczegółowy opis przedmiotu zamówienia znajduje się w załączniku nr 1.1 do SWZ, Rozdział II

Zadanie/Etap nr 3:
Obejmuje przeprowadzenie audytu końcowego cyberbezpieczeństwa. Celem audytu jest weryfikacja, czy w wyniku realizacji zadań w ramach Krajowego Planu Odbudowy i Zwiększania Odporności - Inwestycja D1.1.2 „Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia” będąca elementem komponentu D „Efektywność, dostępność i jakość systemu ochrony zdrowia” (Nabór nr KPOD.07.03-IP.10-001/25) nastąpiło podniesienie poziomu bezpieczeństwa teleinformatycznego w odniesieniu do poziomu wynikającego z inicjalnej ankiety dojrzałości cyberbezpieczeństwa, będącej załącznikiem do umowy o dofinansowanie – szczegółowy opis przedmiotu zamówienia znajduje się w załączniku nr 1.1 do SWZ, Rozdział III

Informacje dodatkowe

1)zdolności do występowania w obrocie gospodarczym: Zamawiający nie precyzuje w tym zakresie żadnych wymagań,
2)uprawnień do prowadzenia określonej działalności gospodarczej lub zawodowej, o ile wynika to z odrębnych przepisów:Zamawiający nie precyzuje w tym zakresie żadnych wymagań,
3)sytuacji ekonomicznej lub finansowej: Zamawiający nie precyzuje w tym zakresie żadnych wymagań, kt
4)zdolności technicznej lub zawodowej:
Dotyczy zadania nr 1:
4.1) Warunkiem udziału w postępowaniu jest wykonanie należycie i prawidłowe ukończenie w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie co najmniej 2 wdrożenia SZBI, których przedmiotem było opracowanie dokumentacji SZBI zgodnie z normami ISO/IEC 27001, każde dla innego zamawiającego;
4.2) Warunkiem udziału w postępowaniu jest dysponowanie wykwalifikowaną kadrą, niezbędną do realizacji zamówienia.
Do realizacji zamówienia skieruje personel zdolny do należytego wykonania Zamówienia, składający się z co najmniej 3 osób, w tym:
1) co najmniej 2 osoby posiadające certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób, lub równoważny, przy czym każda z osób spełnia dodatkowo następujące wymagania:
 posiada wykształcenie wyższe na kierunku informatyka (lub pokrewnym) lub wykształcenie wyższe na kierunku prawo (lub pokrewnym);
 co najmniej 2 zrealizowane audyty w obszarze bezpieczeństwa informacji w ostatnich 12 miesiącach;
 udział w co najmniej 2 wdrożeniach systemu zarządzania bezpieczeństwem informacji w ostatnich 12 miesiącach, polegających na opracowaniu dokumentacji systemu;
 minimum 5 letnie doświadczenie zawodowe;
2) co najmniej 1 osoba posiadająca certyfikat audytora wiodącego systemu zarządzania ciągłością działania według normy PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób, lub równoważny;
3) co najmniej 1 osoba posiadająca certyfikat audytora wiodącego systemu zarządzania sztuczną inteligencją według normy PN-EN ISO/IEC 42001, lub równoważny;
4) co najmniej 1 osoba posiadająca udokumentowaną wiedzę w obszarze ochrony danych osobowych na poziomie inspektora ochrony danych osobowych w postaci certyfikatu lub potwierdzenia ukończenia szkolenia z zagadnień ochrony danych osobowych na poziomie inspektora danych osobowych;
5) co najmniej 1 osoba posiadająca posiada udokumentowaną wiedzę w obszarze cyberbezpieczeństwa w postaci certyfikatu lub potwierdzenia ukończenia szkolenia z zagadnień cyberbezpieczeństwa np. CISSP, CompTIA Security+ lub równoważne;
6) co najmniej 1 osoba posiadająca udokumentowaną wiedzę w pozyskiwaniu, analizie, dokumentowaniu i zarządzaniu wymaganiami systemów i oprogramowania w postaci certyfikatu CPRE, lub równoważnego, przy czym Zamawiający dopuszcza, aby każda z osób posiadała więcej niż jeden certyfikat.
Informacje w zakresie równoważności certyfikatów:
2. Wykonawca może w celu potwierdzenia spełniania warunków udziału w postępowaniu, w stosownych sytuacjach oraz w odniesieniu do konkretnego zamówienia, lub jego części, polegać na zdolnościach technicznych lub zawodowych innych podmiotów, niezależnie od charakteru prawnego łączących go z nim stosunków prawnych. Zamawiający dopuszcza, aby w przypadku Wykonawców wspólnie ubiegających się o udzielenie zamówienia, wyżej wymieniony w ust.2 warunek dotyczący zdolności zawodowej spełniał w całości jeden Wykonawca.
Dotyczy Zadania nr 2:
4.3) Warunkiem udziału w postępowaniu jest dysponowanie wykwalifikowaną kadrą, niezbędną do realizacji zamówienia.
Wykonawca spełni warunek udziału w postępowaniu dotyczący zdolności technicznej lub zawodowej, jeżeli wykaże, że do realizacji zamówienia skieruje personel zdolny do należytego wykonania Zamówienia, składający się z co najmniej 2 osób posiadających doświadczenie w prowadzeniu szkoleń z obszaru bezpieczeństwa informacji i cyberbezpieczeństwa, w tym:
1) każda z osób w ostatnich 12 miesiącach przeprowadziła przynajmniej 1 szkolenie dla personelu lub kadry zarządzającej z zagadnień bezpieczeństwa informacji lub cyberbezpieczeństwa;
2) każda z osób posiada wykształcenie wyższe na kierunku informatyka (lub pokrewnym) lub wykształcenie wyższe na kierunku prawo (lub pokrewnym);
3) każda z osób posiada minimum 5 letnie doświadczenie zawodowe;
4) każda z osób posiada certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób, lub równoważny;
5) co najmniej 1 osoba posiadająca posiada udokumentowaną wiedzę w obszarze cyberbezpieczeństwa w postaci certyfikatu lub potwierdzenia ukończenia szkolenia z zagadnień cyberbezpieczeństwa (np. CISSP, CompTIA Security+ lub równoważne);
6) co najmniej 1 osoba posiadająca certyfikat audytora wiodącego systemu zarządzania ciągłością działania według normy PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób, lub równoważny;
7) co najmniej 1 osoba posiadająca udokumentowaną wiedzę w obszarze ochrony danych osobowych na poziomie inspektora ochrony danych osobowych w postaci certyfikatu lub potwierdzenia ukończenia szkolenia z zagadnień ochrony danych osobowych na poziomie inspektora danych osobowych;
8) co najmniej 1 osoba posiadająca certyfikat audytora wiodącego systemu zarządzania sztuczną inteligencją według normy PN-EN ISO/IEC 42001, lub równoważny.
przy czym Zamawiający dopuszcza, aby każda z osób posiadała więcej niż jeden certyfikat
2. Wykonawca może w celu potwierdzenia spełniania warunków udziału w postępowaniu, w stosownych sytuacjach oraz w odniesieniu do konkretnego zamówienia, lub jego części, polegać na zdolnościach technicznych lub zawodowych innych podmiotów, niezależnie od charakteru prawnego łączących go z nim stosunków prawnych
Dotyczy Zadania nr 3:
4.4) Warunkiem udziału w postępowaniu jest wykonanie należycie, w szczególności zgodnie z przepisami prawa budowlanego i prawidłowe ukończenie w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, należycie zrealizował co najmniej:
a) 2 audyty bezpieczeństwa informacji w obszarze zgodności z normami ISO/IEC 27001, każdy dla innego zamawiającego;
b) 2 audyty bezpieczeństwa systemów informatycznych w postaci testów penetracyjnych, każdy dla innego zamawiającego
4.5) Warunkiem udziału w postępowaniu jest dysponowanie wykwalifikowaną kadrą, niezbędną do realizacji zamówienia.
Wykonawca spełni warunek udziału w postępowaniu dotyczący zdolności technicznej lub zawodowej, jeżeli wykaże, że:
1) do realizacji zamówienia skieruje personel zdolny do należytego wykonania Zamówienia, składający się z co najmniej 3 osób, z których każda posiada przynajmniej 1 certyfikat uprawniający do przeprowadzania audytów wymieniony w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. z 2018 r. poz. 1999), w tym:
a. co najmniej 2 osoby posiadające certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób, lub równoważny, przy czym każda z osób spełnia dodatkowo następujące wymagania:
 posiada wykształcenie wyższe na kierunku informatyka (lub pokrewnym) lub wykształcenie wyższe na kierunku prawo (lub pokrewnym);
 co najmniej 2 zrealizowane audyty w obszarze bezpieczeństwa informacji w ostatnich 12 miesiącach;
 udział w co najmniej 2 wdrożeniach systemu zarządzania bezpieczeństwem informacji w ostatnich 12 miesiącach, polegających na opracowaniu dokumentacji systemu;
 minimum 5 letnie doświadczenie zawodowe;
b. co najmniej 1 osoba posiadająca certyfikat audytora wiodącego systemu zarządzania ciągłością działania według normy PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób, lub równoważny;
c. co najmniej 1 osoba posiadająca certyfikat audytora wiodącego systemu zarządzania sztuczną inteligencją według normy PN-EN ISO/IEC 42001, lub równoważny.
d. co najmniej 1 osoba posiadająca udokumentowaną wiedzę w obszarze ochrony danych osobowych na poziomie inspektora ochrony danych osobowych w postaci certyfikatu lub potwierdzenia ukończenia szkolenia z zagadnień ochrony danych osobowych na poziomie inspektora danych osobowych;
e. co najmniej 1 osoba posiadająca udokumentowaną wiedzę w obszarze cyberbezpieczeństwa w postaci certyfikatu lub potwierdzenia ukończenia szkolenia z zagadnień cyberbezpieczeństwa (np. CISSP, CompTIA Security+ lub równoważne);
f. co najmniej 1 osoba posiadająca udokumentowaną wiedzę w pozyskiwaniu, analizie, dokumentowaniu i zarządzaniu wymaganiami systemów i oprogramowania w postaci certyfikatu CPRE, lub r

Z postępowania o udzielenie zamówienia wykluczony zostanie Wykonawca, w stosunku do którego zachodzi którakolwiek z okoliczności, o których mowa w art. 108 ust. 1 ustawy Prawo zamówień publicznych, tj. wykonawcę:

1) będącego osobą fizyczną, którego prawomocnie skazano za przestępstwo:

a) udziału w zorganizowanej grupie przestępczej albo związku mającym na celu popełnienie przestępstwa lub przestępstwa skarbowego, o którym mowa w art. 258 Kodeksu karnego,

b) handlu ludźmi, o którym mowa w art. 189a Kodeksu karnego,

c) o którym mowa w art. 228–230a, art. 250a Kodeksu karnego, w art. 46–48 ustawy z dnia 25 czerwca 2010 r. o sporcie (Dz. U. z 2020 r.poz. 1133 oraz z 2021 r. poz. 2054) lub w art. 54 ust. 1–4 ustawy z dnia 12 maja 2011 r. o refundacji leków, środków spożywczych specjalnego przeznaczenia żywieniowego oraz wyrobów medycznych (Dz. U. z 2021 r. poz. 523, 1292, 1559 i 2054),

d) finansowania przestępstwa o charakterze terrorystycznym, o którym mowa w art. 165a Kodeksu karnego, lub przestępstwo udaremniania lub utrudniania stwierdzenia przestępnego pochodzenia pieniędzy lub ukrywania ich pochodzenia, o którym mowa w art. 299 Kodeksu karnego,

e) o charakterze terrorystycznym, o którym mowa w art. 115 § 20 Kodeksu karnego, lub mające na celu popełnienie tego przestępstwa,

f) powierzenia wykonywania pracy małoletniemu cudzoziemcowi, o którym mowa w art. 9 ust. 2 ustawy z dnia 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej (Dz. U. poz. 769 oraz z 2020 r. poz. 2023),

g) przeciwko obrotowi gospodarczemu, o których mowa w art. 296–307 Kodeksu karnego, przestępstwo oszustwa, o którym mowa w art. 286 Kodeksu karnego, przestępstwo przeciwko wiarygodności dokumentów, o których mowa w art. 270–277d Kodeksu karnego, lub przestępstwo skarbowe,

h) o którym mowa w art. 9 ust. 1 i 3 lub art. 10 ustawy z dnia 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej – lub za odpowiedni czyn zabroniony określony w przepisach prawa obcego; 2) jeżeli urzędującego członka jego organu zarządzającego lub nadzorczego, wspólnika spółki w spółce jawnej lub partnerskiej albo komplementariusza w spółce komandytowej lub komandytowo-akcyjnej lub prokurenta prawomocnie skazano za przestępstwo, o którym mowa w pkt 1;

3) wobec którego wydano prawomocny wyrok sądu lub ostateczną decyzję administracyjną o zaleganiu z uiszczeniem podatków, opłat lub składek na ubezpieczenie społeczne lub zdrowotne, chyba że wykonawca odpowiednio przed upływem terminu do składania wniosków o dopuszczenie do udziału w postępowaniu albo przed upływem terminu składania ofert dokonał płatności należnych podatków, opłat lub składek na ubezpieczenie społeczne lub zdrowotne wraz z odsetkami lub grzywnami lub zawarł wiążące porozumienie w sprawie spłaty tych należności;

4) wobec którego prawomocnie orzeczono zakaz ubiegania się o zamówienia publiczne;

5) jeżeli zamawiający może stwierdzić, na podstawie wiarygodnych przesłanek, że wykonawca zawarł z innymi wykonawcami porozumienie mające na celu zakłócenie konkurencji, w szczególności jeżeli należąc do tej samej grupy kapitałowej w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów, złożyli odrębne oferty, oferty częściowe lub wnioski o dopuszczenie do udziału w postępowaniu, chyba że wykażą, że przygotowali te oferty lub wnioski niezależnie od siebie;

6) jeżeli, w przypadkach, o których mowa w art. 85 ust. 1, doszło do zakłócenia konkurencji wynikającego z wcześniejszego zaangażowania tego wykonawcy lub podmiotu, który należy z wykonawcą do tej samej grupy kapitałowej w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów, chyba że spowodowane tym zakłócenie konkurencji może być wyeliminowane w inny sposób niż przez wykluczenie wykonawcy z udziału w postępowaniu o udzielenie zamówienia.

7) Ponadto o udzielenie przedmiotowego zamówienia nie mogą ubiegać się wykonawcy, którzy podlegają wykluczeniu na podstawie na podstawie art. 5k rozporządzenia Rady (UE) nr 833/2014 z dnia 31 lipca 2014 r. dotyczącego środków ograniczających w związku z działaniami Rosji destabilizującymi sytuację na Ukrainie (Dz. Urz. UE nr L 229 z 31.7.2014, str. 1), dalej: rozporządzenie 833/2014, w brzmieniu nadanym rozporządzeniem Rady (UE) 2022/576 w sprawie zmiany rozporządzenia (UE) nr 833/2014 dotyczącego środków ograniczających w związku z działaniami Rosji destabilizującymi sytuację na Ukrainie (Dz. Urz. UE nr L 111 z 8.4.2022, str. 1), dalej: rozporządzenie 2022/5762 oraz na podstawie art. 7 ust. 1 ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz. U. poz. 835).3 Powyższe wykluczenie następować będzie na okres trwania ww. okoliczności. Zamawiający nie przewiduje fakultatywnych przesłanek wykluczenia z udziału w postępowaniu na podstawie art. 109 ust. 1 ustawy Pzp

Dokładne informacje na temat terminu (terminów) procedur odwoławczych

1. Odwołanie wnosi się w terminie 10 dni od dnia przekazania informacji o czynności zamawiającego stanowiącej podstawę jego wniesienia, jeżeli informacja została przekazana przy użyciu środków komunikacji elektronicznej 2. Odwołanie wobec treści ogłoszenia wszczynającego postępowanie o udzielenie zamówienia lub wobec treści dokumentów zamówienia, wnosi się w terminie 10 dni od dnia publikacji ogłoszenia w Dzienniku Urzędowym Unii Europejskiej lub zamieszczenia dokumentów zamówienia na stronie internetowej. 3. Odwołanie w przypadkach innych niż określone w pkt. 6 i 7 wnosi się w terminie 10 dni od dnia, w którym powzięto lub przy zachowaniu należytej staranności można było powziąć wiadomość o okolicznościach stanowiących podstawę jego wniesienia, 4. Szczegółowe informacje dotyczące środków ochrony prawnej określone są w Dziale IX „Środki ochrony prawnej” ustawy Pzp.