Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w Szpitalu Miejskim Specjalistycznym im. Gabriela Narutowicza w Krakowie- I

Krótki opis

Przedmiotem zamówienia jest: "Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w Szpitalu Miejskim Specjalistycznym im. Gabriela Narutowicza w Krakowie-I" obejmujące następujące zadania:
1. Wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami KSC/NIS2. 2. Szkolenia dla kadry kierowniczej oraz personelu medycznego i administracyjnego w zakresie cyberbezpieczeństwa. 3. Testy penetracyjne infrastruktury sieciowej szpitala. 4. Usługa Security Operations Center. 5. Usługa regularnego wsparcia w obszarze KSC/NIS2. 6. Audyt końcowy w obszarze cyberbezpieczeństwa.
Postępowanie finansowane jest w ramach Krajowego Planu Odbudowy i Zwiększania Odporności Komponent D "Efektywność, dostępność i jakość systemu ochrony zdrowia" Inwestycja D1.1.2 "Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia". Przedmiot zamówienia został szczegółowo opisany w załączonym opisie przedmiotu zamówienia stanowiącym załącznik nr 1 do niniejszej specyfikacji warunków zamówienia.
Postępowanie prowadzone jest z poszanowaniem zasad horyzontalnych, tym samym Wykonawcy składając ofertę potwierdzają oświadczeniem, że została ona przygotowana w poszanowaniu dla zasad horyzontalnych oraz w przypadku wyboru ich oferty realizacja zamówienia nastąpi z poszanowaniem m.in. tych zasad tj.: a) Zgodność z zasadą równości szans i niedyskryminacji oraz zasadą równości szans kobiet i mężczyzn b) Zgodność z zasadą "niewyrządzania znaczącej szkody środowisku" (dnsh - "do no significant harm") c) Zgodność z zasadą długotrwałego wpływu przedsięwzięcia na wydajność i odporność gospodarki polskiej. Projekt zakłada ścisłą współpracę z wykonawcami w zakresie kontroli jakości, monitorowania postępów i spełnienia wymagań interoperacyjności określonych w aktach prawnych (m.in. ustawie o systemie informacji w ochronie zdrowia) oraz dokumentach programowych inwestycji D1.1.2.)

Informacje dodatkowe

Oferta musi zawierać następujące oświadczenia i dokumenty:
1) Formularz oferty stanowiący załącznik nr 2 do SWZ wypełniony i podpisany przez osobę upoważnioną do reprezentowania wykonawcy.
2) Opis przedmiotu zamówienia stanowiący załącznik nr 1 do SWZ podpisany przez osobę upoważnioną do reprezentowania wykonawcy. Nie należy wprowadzać zmian do załącznika, wykonawca winien nanieść tylko w formie uwagi informacje związane ze zmianami wynikającymi z odpowiedzi na zapytania,
3) Oświadczenie, o którym mowa w pkt 10.1 SWZ
4) Pełnomocnictwo, o którym mowa w pkt 10.2 SWZ.
5) Oświadczenie Wykonawcy dotyczące przesłanek wykluczenia z art. 5k Rozporządzenia 833/2014 oraz art. 7 ust. 1 Ustawy o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego zgodnie z pkt 8.6 i 8.7 SWZ (załącznik nr 6 do SWZ).
6) Oświadczenie Wykonawcy w zakresie pochodzenia z państwa członkowskiego UE lub państwa trzeciego załącznik nr 8 do SWZ
7) Oświadczenie dotyczące art. 117 ust. 4 ustawy Pzp stanowiące załącznik nr 11 do SWZ (jeżeli dotyczy)
8) Zobowiązanie podmiotu udostępniającego zasoby stanowiące załącznik nr 12 do SWZ (jeżeli dotyczy).
9) Certyfikat PN-EN ISO/IEC 27001 (lub równoważny), wydany przez akredytowaną jednostkę certyfikującą
10) Oświadczenie Wykonawcy o posiadaniu i stosowania wdrożonego Systemu Zarządzania Prywatnością Informacji zgodnego z normą ISO 27701 lub równoważną
11) Oświadczenie Wykonawcy o posiadaniu i stosowaniu wdrożonego Systemu Zarządzania Ciągłością Działania zgodnego z normą ISO 22301 lub równoważną
12) Oświadczenie Wykonawcy potwierdzające dysponowanie systemem operacyjnym SOC 24/7/365
Wykaz dokumentów składanych na wezwanie zamawiającego:
1. Informacja z Krajowego Rejestru Karnego,
2. Oświadczenie wykonawcy w sprawie grupy kapitałowej załącznik nr 5 do SWZ,
3. Zaświadczenie właściwego naczelnika urzędu skarbowego,
4. Zaświadczenie z ZUS lub KRUS,
5. Odpis lub informacja z KRS lub CEIDG,
6. Informacja z odpowiedniego rejestru lub inny równoważny dokument jeżeli dotyczy,
7. Dokument potwierdzający niezaleganie z opłacaniem podatków, opłat lub składek na ubezpieczenie społeczne lub zdrowotne jeżeli dotyczy,
8. Dokument potwierdzający, że nie otwarto likwidacji wykonawcy jeżeli dotyczy,
9. Oświadczenie wykonawcy o aktualności informacji zawartych w oświadczeniu wstępnym załącznik nr 7 do SWZ
10. Wykaz usług stanowiący załącznik nr 9 do SWZ
11. Wykaz osób stanowiący załącznik nr 10 do SWZ

Wymagane depozyty i gwarancje

Zamawiający wymaga wniesienia wadium w wysokości: 28200 PLN.
Wadium musi zostać wniesione przed upływem terminu składania ofert, tj. do dnia 2026-03-05 do godz. 11:00 , według wyboru
Wykonawcy w jednej lub kilku następujących formach:
1) pieniądzu;
2) gwarancjach bankowych;
3) gwarancjach ubezpieczeniowych;
4) poręczeniach udzielanych przez podmioty, o których mowa w art. 6b ust. 5 pkt 2 ustawy z dnia 9 listopada 2000 r. o
utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz.U. z 2023r. poz. 462).

Warunki udziału w postępowaniu:
I. Zdolność techniczna i zawodowa - doświadczenie Wykonawcy
O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy przedstawią:
a) co najmniej 3 referencje lub inne dokumenty potwierdzające prawidłowe wykonanie lub wykonywanie usług odpowiadających swoim zakresem przedmiotowi zamówienia (tj. świadczenie usługi SOC w jednostkach ochrony zdrowia zatrudniających minimum 400 osób) zrealizowanych w ciągu ostatnich 3 lat przed upływem terminu składania (a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie) ofert na kwotę co najmniej 120 tys. zł brutto każda.
b) co najmniej 3 referencje lub inne dokumenty potwierdzające prawidłowe wykonanie lub wykonywanie testów penetracyjnych w ciągu ostatnich 3 lat przed upływem terminu składania ofert (a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie) na kwotę co najmniej 100 tys. zł brutto każda.
c) co najmniej 3 referencje lub inne dokumenty potwierdzające prawidłowe wdrożenie wymagań Ustawy o Krajowym Systemie Cyberbezpieczeństwa w ciągu ostatnich 5 lat przed upływem terminu składania ofert (a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie) w organizacjach należących do sektora ochrony zdrowia
d) co najmniej 5 referencji lub inne dokumenty potwierdzające prawidłowe wykonanie lub wykonywanie usług odpowiadających swoim zakresem przedmiotowi zamówienia (tj. wykonanie audytów bezpieczeństwa informacji zgodnie z wymaganiami UKSC/NIS2 w jednostkach ochrony zdrowia) zrealizowanych w ciągu ostatnich 3 lat.
e) co najmniej 3 referencje lub inne dokumenty potwierdzające prawidłowe wykonanie lub wykonywanie usług odpowiadających swoim zakresem przedmiotowi zamówienia (tj. przeprowadzenie szkoleń w obszarze bezpieczeństwa informacji lub cyberbezpieczeństwa zrealizowanych w ciągu ostatnich 5 lat przed upływem terminu składania ofert (a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie) w organizacji zatrudniającej co najmniej 400 pracowników.
f) posiadają potencjał techniczny oraz dysponują osobami zdolnymi do wykonania Przedmiotu Zamówienia
g) ma najwyższy poziom przyznawany partnerom przez producenta oprogramowania SIEM oferowanego celem świadczenia usług np. złoty, platynowy.
Dokumenty potwierdzające należyte wykonanie usług:
Jako poświadczenie Zamawiający uzna w szczególności:
- referencje,
- protokoły odbioru,
- listy polecające,
- opinie wystawione przez podmiot, na rzecz którego zamówienia były wykonywane,
- inne dokumenty sporządzone przez ten podmiot.
II. Zdolność zawodowa - personel kluczowy
Wykonawca musi dysponować co najmniej następującym personelem:
1. Kierownik projektu (1 osoba), który w ciągu ostatnich 3 lat kierował min. 3 projektami w jednostkach ochrony zdrowia z zakresu wdrożenia/rozwoju systemu zarządzania bezpieczeństwem informacji; posiada kwalifikacje potwierdzone ważnymi certyfikatami (min. po 1 z każdej grupy):
- PRINCE2 Practitioner lub równoważnym (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- audytora wiodącego ISO 27001 oraz 22301 wydanego przez akredytowaną jednostkę,
- CISM lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia)
2. Specjalista ds. bezpieczeństwa informacji (min. 1 osoba), który posiada co najmniej 3 letnie doświadczenie z zakresu wdrożenia/ rozwoju systemu zarządzania bezpieczeństwem informacji, brał udział charakterze specjalisty ds. bezpieczeństwa informacji w min. 3 projektach z zakresu audytów lub systemu zarządzania bezpieczeństwem/KSC/NIS2 informacji w jednostkach ochrony zdrowia; posiada kwalifikacje potwierdzone ważnymi certyfikatami:
- certyfikat CISM lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- certyfikaty audytora wiodącego ISO 27001 oraz ISO 22301 wydanego przez akredytowaną jednostkę,
3. Specjalista ds. zarządzania ryzykiem (min. 1 osoba), który posiada co najmniej 3 letnie doświadczenie z zakresu zarządzania ryzykiem, brał udział charakterze specjalisty ds. zarządzania ryzykiem w min. 3 projektach z zakresu zarządzania ryzykiem, który posiada kwalifikacje potwierdzone ważnymi certyfikatami:
- certyfikat CRISC lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- certyfikat CISM lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- certyfikaty audytora wiodącego ISO 27001 oraz ISO 22301 wydanego przez akredytowaną jednostkę,
4. Specjaliści - Pentesterzy (min. 1 osoba), która brała udział charakterze specjalisty - pentestera w min. 3 projektach z zakresu przeprowadzania pentestów i badania podatności, którzy posiadają kwalifikacje potwierdzone ważnymi certyfikatami:
- certyfikat CEH lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- certyfikat audytora wiodącego ISO 27001 wydanego przez akredytowaną jednostkę,
5. Specjalista ds. identyfikacji słabości w systemach (min. 1 osoba), który brał udział charakterze specjalisty ds. identyfikacji słabości w min. 3 projektach z zakresu przeprowadzania pentestów i badania podatności; który posiada kwalifikacje potwierdzone ważnymi certyfikatami:
- certyfikat OSCP lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- certyfikat audytora wiodącego ISO 27001 wydanego przez akredytowaną jednostkę,
Zamawiający dokona oceny spełnienia warunku udziału w postępowaniu w zakresie zdolności zawodowej według kryterium "spełnia / nie spełnia".
Uwaga: Wymóg opisany powyżej musi zostać spełniony w całości samodzielnie przez Wykonawcę albo podmiot udostępniający zasoby w zakresie zdolności technicznej, albo co najmniej jednego z Wykonawców wspólnie ubiegających się o udzielenie zamówienia, przy czym Zamawiający nie dopuszcza łącznego spełniania tego wymogu przez kilka podmiotów, w szczególności poprzez sumowanie ich doświadczenia.
UWAGA! Na podstawie art. 16b ust. 1 ustawy PZP, zamawiający ogranicza możliwość składania ofert przez wykonawców pochodzących z państw trzecich niebędących stronami Porozumienia Światowej Organizacji Handlu w sprawie zamówień rządowych oraz niebędących stronami innych umów międzynarodowych gwarantujących na zasadzie wzajemności i równości dostęp do rynku zamówień publicznych, których stroną jest Unia Europejska. O udzielenie zamówienia mogą ubiegać się wyłącznie wykonawcy pochodzący z: • państw członkowskich Unii Europejskiej, • państw będących stronami Porozumienia WTO w sprawie zamówień rządowych,
• państw będących stronami umów międzynarodowych z UE gwarantujących wzajemny dostęp do rynku zamówień publicznych. Oferty wykonawców niespełniających powyższych warunków zostaną odrzucone na podstawie art. 226 ust. 1 pkt 5a ustawy PZP jako niezgodne z warunkami zamówienia.
Zamawiający, na podstawie art. 257 ustawy Pzp, przewiduje unieważnienie postępowania, jeśli środki publiczne, które zamierzał przeznaczyć na sfinansowanie całości lub części zamówienia nie zostały mu przyznane.

Dokładne informacje na temat terminu (terminów) procedur odwoławczych

Zasady, terminy oraz sposób korzystania ze środków ochrony prawnej szczegółowo regulują przepisy działu IX ustawy - Środki ochrony prawnej (art. 505 i nast. ustawy) i pkt. 25 SWZ.