Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w Szpitalu Miejskim Specjalistycznym im. Gabriela Narutowicza w Krakowie- I

Krótki opis

Przedmiotem zamówienia jest: "Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w Szpitalu Miejskim Specjalistycznym im. Gabriela Narutowicza w Krakowie-I" obejmujące następujące zadania:
1. Wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami KSC/NIS2. 2. Szkolenia dla kadry kierowniczej oraz personelu medycznego i administracyjnego w zakresie cyberbezpieczeństwa. 3. Testy penetracyjne infrastruktury sieciowej szpitala. 4. Usługa Security Operations Center. 5. Usługa regularnego wsparcia w obszarze KSC/NIS2. 6. Audyt końcowy w obszarze cyberbezpieczeństwa.
Postępowanie finansowane jest w ramach Krajowego Planu Odbudowy i Zwiększania Odporności Komponent D "Efektywność, dostępność i jakość systemu ochrony zdrowia" Inwestycja D1.1.2 "Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia". Przedmiot zamówienia został szczegółowo opisany w załączonym opisie przedmiotu zamówienia stanowiącym załącznik nr 1 do niniejszej specyfikacji warunków zamówienia.
Postępowanie prowadzone jest z poszanowaniem zasad horyzontalnych, tym samym Wykonawcy składając ofertę potwierdzają oświadczeniem, że została ona przygotowana w poszanowaniu dla zasad horyzontalnych oraz w przypadku wyboru ich oferty realizacja zamówienia nastąpi z poszanowaniem m.in. tych zasad tj.: a) Zgodność z zasadą równości szans i niedyskryminacji oraz zasadą równości szans kobiet i mężczyzn b) Zgodność z zasadą "niewyrządzania znaczącej szkody środowisku" (dnsh - "do no significant harm") c) Zgodność z zasadą długotrwałego wpływu przedsięwzięcia na wydajność i odporność gospodarki polskiej. Projekt zakłada ścisłą współpracę z wykonawcami w zakresie kontroli jakości, monitorowania postępów i spełnienia wymagań interoperacyjności określonych w aktach prawnych (m.in. ustawie o systemie informacji w ochronie zdrowia) oraz dokumentach programowych inwestycji D1.1.2.)

Informacje dodatkowe

Oferta musi zawierać następujące oświadczenia i dokumenty:
1) Formularz oferty stanowiący załącznik nr 2 do SWZ wypełniony i podpisany przez osobę upoważnioną do reprezentowania wykonawcy.
2) Opis przedmiotu zamówienia stanowiący załącznik nr 1 do SWZ podpisany przez osobę upoważnioną do reprezentowania wykonawcy. Nie należy wprowadzać zmian do załącznika, wykonawca winien nanieść tylko w formie uwagi informacje związane ze zmianami wynikającymi z odpowiedzi na zapytania,
3) Oświadczenie, o którym mowa w pkt 10.1 SWZ
4) Pełnomocnictwo, o którym mowa w pkt 10.2 SWZ.
5) Oświadczenie Wykonawcy dotyczące przesłanek wykluczenia z art. 5k Rozporządzenia 833/2014 oraz art. 7 ust. 1 Ustawy o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego zgodnie z pkt 8.6 i 8.7 SWZ (załącznik nr 6 do SWZ).
6) Oświadczenie Wykonawcy w zakresie pochodzenia z państwa członkowskiego UE lub państwa trzeciego załącznik nr 8 do SWZ
7) Oświadczenie dotyczące art. 117 ust. 4 ustawy Pzp stanowiące załącznik nr 11 do SWZ (jeżeli dotyczy)
8) Zobowiązanie podmiotu udostępniającego zasoby stanowiące załącznik nr 12 do SWZ (jeżeli dotyczy).
9) Certyfikat PN-EN ISO/IEC 27001 (lub równoważny), wydany przez akredytowaną jednostkę certyfikującą
10) Oświadczenie Wykonawcy o posiadaniu i stosowania wdrożonego Systemu Zarządzania Prywatnością Informacji zgodnego z normą ISO 27701 lub równoważną
11) Oświadczenie Wykonawcy o posiadaniu i stosowaniu wdrożonego Systemu Zarządzania Ciągłością Działania zgodnego z normą ISO 22301 lub równoważną
12) Oświadczenie Wykonawcy potwierdzające dysponowanie systemem operacyjnym SOC 24/7/365
Wykaz dokumentów składanych na wezwanie zamawiającego:
1. Informacja z Krajowego Rejestru Karnego,
2. Oświadczenie wykonawcy w sprawie grupy kapitałowej załącznik nr 5 do SWZ,
3. Zaświadczenie właściwego naczelnika urzędu skarbowego,
4. Zaświadczenie z ZUS lub KRUS,
5. Odpis lub informacja z KRS lub CEIDG,
6. Informacja z odpowiedniego rejestru lub inny równoważny dokument jeżeli dotyczy,
7. Dokument potwierdzający niezaleganie z opłacaniem podatków, opłat lub składek na ubezpieczenie społeczne lub zdrowotne jeżeli dotyczy,
8. Dokument potwierdzający, że nie otwarto likwidacji wykonawcy jeżeli dotyczy,
9. Oświadczenie wykonawcy o aktualności informacji zawartych w oświadczeniu wstępnym załącznik nr 7 do SWZ
10. Wykaz usług stanowiący załącznik nr 9 do SWZ
11. Wykaz osób stanowiący załącznik nr 10 do SWZ

Główne aspekty procedury

W niniejszym postępowaniu komunikacja między Zamawiającym a Wykonawcami odbywa się przy użyciu środków komunikacji elektronicznej, za pośrednictwem platformy on-line działającej pod adresem https://e-propublico.pl (dalej jako: ”Platforma”).
Opis sposobu przygotowania oferty składanej w formie elektronicznej:
1. Wykonawca, chcąc przystąpić do udziału w postępowaniu, loguje się na Platformie, w menu ”Ogłoszenia” wyszukuje niniejsze postępowanie, otwiera je klikając w jego temat, a następnie korzysta z funkcji ”Zgłoś udział w postępowaniu” na karcie Informacje ogólne”;
2. W przypadku, gdy Wykonawca nie posiada konta na Platformie, należy skorzystać z funkcji ”Zarejestruj”. Po wypełnieniu Formularza rejestracyjnego Wykonawca otrzyma wiadomość e-mail na zdefiniowany adres poczty elektronicznej, z opcją aktywacji konta. Aktywacja konta jest konieczna do zakończenia procesu rejestracji i umożliwia zalogowanie się na Platformie;
3. Oferta wraz ze stanowiącymi jej integralną część załącznikami, powinna być podpisana ważnym kwalifikowanym podpisem elektronicznym, przez osobę (osoby) uprawnione do reprezentowania Wykonawcy, zgodnie z formą reprezentacji określoną w dokumentach rejestrowych, a następnie przesłana Zamawiającemu za pośrednictwem Platformy, poprzez dodanie dokumentów na karcie ”Oferta/Załączniki”, za pomocą opcji ”Załącz plik” i użycie przycisku ”Załącz”;
4. Jeżeli umocowanie dla osób podpisujących ofertę nie wynika z dokumentów rejestrowych, Wykonawca do oferty powinien dołączyć dokument pełnomocnictwa udzielonego przez osoby uprawnione i obejmujące swym zakresem umocowanie do złożenia oferty lub do złożenia oferty i podpisania umowy. Pełnomocnictwo powinno zostać złożone w oryginale, w postaci dokumentu elektronicznego podpisanego kwalifikowanym podpisem elektronicznym albo w elektronicznej kopii dokumentu poświadczonej notarialnie za zgodność z oryginałem przez notariusza przy użyciu kwalifikowanego podpisu elektronicznego;
5. Wszelkie informacje stanowiące tajemnicę przedsiębiorstwa w rozumieniu ustawy o zwalczaniu nieuczciwej konkurencji, które Wykonawca chce zastrzec jako tajemnicę przedsiębiorstwa, powinny zostać przesłane za pośrednictwem Platformy, w osobnym pliku, na karcie ”Oferta/Załączniki”, w tabeli ”Część oferty stanowiąca tajemnicę przedsiębiorstwa”, za pomocą opcji ”Załącz plik” i użycie przycisku ”Załącz”;
6. Potwierdzeniem prawidłowo załączonego pliku jest automatyczne wygenerowanie przez Platformę komunikatu systemowego o treści ”Plik został poprawnie przesłany na platformę;
7. Ostateczne złożenie oferty wraz z załącznikami Wykonawca musi potwierdzić klikając w przycisk ”Złóż ofertę”;
8. Złożenie oferty zostanie potwierdzone komunikatem systemowym z podaniem terminu jej złożenia oraz aktywowana zostanie dla Wykonawcy możliwość pobrania, w stosunku do każdego z przesłanych plików, automatycznie wystawionego przez Platformę dokumentu EPO (Elektroniczne Potwierdzenie Odbioru), będącego dowodem potwierdzającym fakt i czas dostarczenia Zamawiającemu pliku za pośrednictwem Platformy.
9. Do upływu terminu składania ofert, Wykonawca, za pośrednictwem Platformy, może wycofać złożoną ofertę, używając opcji ”Wycofaj ofertę” (karta Oferta/Załączniki). Po wycofaniu oferty Wykonawca może usunąć załączone pliki, zaznaczając pozycje do usunięcia i klikając w przycisk ”Usuń zaznaczone”.
10. Szczegółowa instrukcja korzystania z Platformy znajduje się na stronie internetowej https://e-ProPublico.pl/, przycisk ”Instrukcja Wykonawcy”.

Wymagane depozyty i gwarancje

Zamawiający wymaga wniesienia wadium w wysokości: 28200 PLN.
Wadium musi zostać wniesione przed upływem terminu składania ofert, tj. do dnia 2026-03-05 do godz. 11:00 , według wyboru
Wykonawcy w jednej lub kilku następujących formach:
1) pieniądzu;
2) gwarancjach bankowych;
3) gwarancjach ubezpieczeniowych;
4) poręczeniach udzielanych przez podmioty, o których mowa w art. 6b ust. 5 pkt 2 ustawy z dnia 9 listopada 2000 r. o
utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (t.j. Dz.U. z 2023r. poz. 462).

Opis przesłanek wykluczenia

(Art. 108 ust. 1 pkt 6 ustawy Pzp) Zakres stosowania: z postępowania o udzielenie zamówienia wyklucza się wykonawcę jeżeli, w przypadkach, o których mowa w art. 85 ust. 1 ustawy Pzp, doszło do zakłócenia konkurencji wynikającego z wcześniejszego zaangażowania tego wykonawcy lub podmiotu, który należy z wykonawcą do tej samej grupy kapitałowej w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów, chyba że spowodowane tym zakłócenie konkurencji może być wyeliminowane w inny sposób niż przez wykluczenie wykonawcy z udziału w postępowaniu o udzielenie zamówienia.

Opis przesłanek wykluczenia

(Art. 108 ust. 1 pkt 1 lit. h i pkt 2 ustawy Pzp) Zakres stosowania: z postępowania o udzielenie zamówienia wyklucza się wykonawcę, będącego osobą fizyczną, którego prawomocnie skazano za przestępstwo, o którym mowa w art. 9 ust. 1 i 3 lub art. 10 ustawy z dnia 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej lub jeśli za te przestępstwa prawomocnie skazano urzędującego członka organu zarządzającego lub nadzorczego wykonawcy, wspólnika spółki w spółce jawnej lub partnerskiej albo komplementariusza w spółce komandytowej lub komandytowo-akcyjnej lub prokurenta.

Informacje dodatkowe

Warunki udziału w postępowaniu:
I. Zdolność techniczna i zawodowa - doświadczenie Wykonawcy
O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy przedstawią:
a) co najmniej 3 referencje lub inne dokumenty potwierdzające prawidłowe wykonanie lub wykonywanie usług odpowiadających swoim zakresem przedmiotowi zamówienia (tj. świadczenie usługi SOC w jednostkach ochrony zdrowia zatrudniających minimum 400 osób) zrealizowanych w ciągu ostatnich 3 lat przed upływem terminu składania (a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie) ofert na kwotę co najmniej 120 tys. zł brutto każda.
b) co najmniej 3 referencje lub inne dokumenty potwierdzające prawidłowe wykonanie lub wykonywanie testów penetracyjnych w ciągu ostatnich 3 lat przed upływem terminu składania ofert (a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie) na kwotę co najmniej 100 tys. zł brutto każda.
c) co najmniej 3 referencje lub inne dokumenty potwierdzające prawidłowe wdrożenie wymagań Ustawy o Krajowym Systemie Cyberbezpieczeństwa w ciągu ostatnich 5 lat przed upływem terminu składania ofert (a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie) w organizacjach należących do sektora ochrony zdrowia
d) co najmniej 5 referencji lub inne dokumenty potwierdzające prawidłowe wykonanie lub wykonywanie usług odpowiadających swoim zakresem przedmiotowi zamówienia (tj. wykonanie audytów bezpieczeństwa informacji zgodnie z wymaganiami UKSC/NIS2 w jednostkach ochrony zdrowia) zrealizowanych w ciągu ostatnich 3 lat.
e) co najmniej 3 referencje lub inne dokumenty potwierdzające prawidłowe wykonanie lub wykonywanie usług odpowiadających swoim zakresem przedmiotowi zamówienia (tj. przeprowadzenie szkoleń w obszarze bezpieczeństwa informacji lub cyberbezpieczeństwa zrealizowanych w ciągu ostatnich 5 lat przed upływem terminu składania ofert (a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie) w organizacji zatrudniającej co najmniej 400 pracowników.
f) posiadają potencjał techniczny oraz dysponują osobami zdolnymi do wykonania Przedmiotu Zamówienia
g) ma najwyższy poziom przyznawany partnerom przez producenta oprogramowania SIEM oferowanego celem świadczenia usług np. złoty, platynowy.
Dokumenty potwierdzające należyte wykonanie usług:
Jako poświadczenie Zamawiający uzna w szczególności:
- referencje,
- protokoły odbioru,
- listy polecające,
- opinie wystawione przez podmiot, na rzecz którego zamówienia były wykonywane,
- inne dokumenty sporządzone przez ten podmiot.
II. Zdolność zawodowa - personel kluczowy
Wykonawca musi dysponować co najmniej następującym personelem:
1. Kierownik projektu (1 osoba), który w ciągu ostatnich 3 lat kierował min. 3 projektami w jednostkach ochrony zdrowia z zakresu wdrożenia/rozwoju systemu zarządzania bezpieczeństwem informacji; posiada kwalifikacje potwierdzone ważnymi certyfikatami (min. po 1 z każdej grupy):
- PRINCE2 Practitioner lub równoważnym (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- audytora wiodącego ISO 27001 oraz 22301 wydanego przez akredytowaną jednostkę,
- CISM lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia)
2. Specjalista ds. bezpieczeństwa informacji (min. 1 osoba), który posiada co najmniej 3 letnie doświadczenie z zakresu wdrożenia/ rozwoju systemu zarządzania bezpieczeństwem informacji, brał udział charakterze specjalisty ds. bezpieczeństwa informacji w min. 3 projektach z zakresu audytów lub systemu zarządzania bezpieczeństwem/KSC/NIS2 informacji w jednostkach ochrony zdrowia; posiada kwalifikacje potwierdzone ważnymi certyfikatami:
- certyfikat CISM lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- certyfikaty audytora wiodącego ISO 27001 oraz ISO 22301 wydanego przez akredytowaną jednostkę,
3. Specjalista ds. zarządzania ryzykiem (min. 1 osoba), który posiada co najmniej 3 letnie doświadczenie z zakresu zarządzania ryzykiem, brał udział charakterze specjalisty ds. zarządzania ryzykiem w min. 3 projektach z zakresu zarządzania ryzykiem, który posiada kwalifikacje potwierdzone ważnymi certyfikatami:
- certyfikat CRISC lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- certyfikat CISM lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- certyfikaty audytora wiodącego ISO 27001 oraz ISO 22301 wydanego przez akredytowaną jednostkę,
4. Specjaliści - Pentesterzy (min. 1 osoba), która brała udział charakterze specjalisty - pentestera w min. 3 projektach z zakresu przeprowadzania pentestów i badania podatności, którzy posiadają kwalifikacje potwierdzone ważnymi certyfikatami:
- certyfikat CEH lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- certyfikat audytora wiodącego ISO 27001 wydanego przez akredytowaną jednostkę,
5. Specjalista ds. identyfikacji słabości w systemach (min. 1 osoba), który brał udział charakterze specjalisty ds. identyfikacji słabości w min. 3 projektach z zakresu przeprowadzania pentestów i badania podatności; który posiada kwalifikacje potwierdzone ważnymi certyfikatami:
- certyfikat OSCP lub równoważny (jako certyfikat równoważny zamawiający rozumie posiadanie certyfikatów analogicznych do zakresu wskazanych certyfikatów tj. dotyczących analogicznej dziedziny merytorycznej, analogicznego stopnia poziomu kompetencji, analogicznego poziomu doświadczenia),
- certyfikat audytora wiodącego ISO 27001 wydanego przez akredytowaną jednostkę,
Zamawiający dokona oceny spełnienia warunku udziału w postępowaniu w zakresie zdolności zawodowej według kryterium "spełnia / nie spełnia".
Uwaga: Wymóg opisany powyżej musi zostać spełniony w całości samodzielnie przez Wykonawcę albo podmiot udostępniający zasoby w zakresie zdolności technicznej, albo co najmniej jednego z Wykonawców wspólnie ubiegających się o udzielenie zamówienia, przy czym Zamawiający nie dopuszcza łącznego spełniania tego wymogu przez kilka podmiotów, w szczególności poprzez sumowanie ich doświadczenia.
UWAGA! Na podstawie art. 16b ust. 1 ustawy PZP, zamawiający ogranicza możliwość składania ofert przez wykonawców pochodzących z państw trzecich niebędących stronami Porozumienia Światowej Organizacji Handlu w sprawie zamówień rządowych oraz niebędących stronami innych umów międzynarodowych gwarantujących na zasadzie wzajemności i równości dostęp do rynku zamówień publicznych, których stroną jest Unia Europejska. O udzielenie zamówienia mogą ubiegać się wyłącznie wykonawcy pochodzący z: • państw członkowskich Unii Europejskiej, • państw będących stronami Porozumienia WTO w sprawie zamówień rządowych,
• państw będących stronami umów międzynarodowych z UE gwarantujących wzajemny dostęp do rynku zamówień publicznych. Oferty wykonawców niespełniających powyższych warunków zostaną odrzucone na podstawie art. 226 ust. 1 pkt 5a ustawy PZP jako niezgodne z warunkami zamówienia.
Zamawiający, na podstawie art. 257 ustawy Pzp, przewiduje unieważnienie postępowania, jeśli środki publiczne, które zamierzał przeznaczyć na sfinansowanie całości lub części zamówienia nie zostały mu przyznane.