k nadlimitní veřejné zakázce na služby zadávané v otevřeném řízení pod názvem
SZIF/2024/0093935
ZADÁVACÍ DOKUMENTACE
k nadlimitní veřejné zakázce na služby zadávané v otevřeném řízení pod názvem
„Služba pro řízení technických zranitelností
IS a služby podpory na 36 měsíců“
podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění
pozdějších předpisů (dále jen „ZZVZ“)
Tato zadávací dokumentace je vypracována jako podklad pro podání nabídek do otevřeného řízení v nadlimitním režimu k veřejné zakázce na služby s názvem „Služba pro řízení technických zranitelností IS a služby podpory na 36 měsíců“ a spolu se všemi svými přílohami představuje soubor dokumentů, údajů, požadavků a technických podmínek Zadavatele.
Podáním nabídky do tohoto zadávacího řízení přijímá účastník plně a bez výhrad zadávací podmínky, včetně všech příloh, případných dodatků a vysvětlení zadávací dokumentace.
1. IDENTIFIKAČNÍ ÚDAJE ZADAVATELE
ZADAVATEL: | Státní zemědělský intervenční fond (SZIF) |
SÍDLO: | ▇▇ ▇▇▇▇▇▇▇▇ ▇▇, ▇▇▇ ▇▇ ▇▇▇▇▇ ▇ |
IČ: | 481 33 981 |
ZASTOUPENÝ: | Ing. Et ▇▇▇. ▇▇▇▇▇▇▇ ▇▇▇▇▇▇, ředitel Sekce ICT |
PROFIL ZADAVATELE | ▇▇▇▇▇://▇▇▇▇▇▇▇.▇▇▇▇.▇▇/ |
KONTAKTNÍ OSOBA ZADAVATELE: | ▇▇▇. ▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇▇ |
TEL.: | ▇▇▇▇ ▇▇▇ ▇▇▇ ▇▇▇ |
EMAIL: |
2. VYMEZENÍ PŘEDMĚTU PLNĚNÍ VEŘEJNÉ ZAKÁZKY
2.1. Klasifikace předmětu plnění veřejné zakázky dle CPV
Klasifikace předmětu plnění veřejné zakázky odpovídá položkám, případně položce:
72150000-1 poradenské služby v oblasti počítačových auditů a technického vybavení počítačů
2.2. Popis předmětu veřejné zakázky
Předmětem veřejné zakázky je výběr poskytovatele, který bude na základě uzavřené smlouvy poskytovat pro zadavatele - Státní zemědělský intervenční fond (dále také jako “SZIF”) poskytovat služby automatizovaného testování a řízení technických zranitelností informačního systému (dále také jako “IS”), penetrační testování (dále také jako “ŘTZ”) a poskytnutí uživatelské a technické podpory ŘTZ pro období 36 měsíců od nabytí účinnosti smlouvy.
Poskytovatel bude dále poskytovat služby instalace a první úrovně podpory.
SZIF je organizací certifikovanou dle normy ISO/IEC 27001:2013. Poskytovatel bude služby poskytovat v rámci významného informačního systému dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) (dále jen „ZKB“) a návazných prováděcích vyhlášek v platném znění.
Poskytnuté plnění poptávaných služeb musí splňovat podmínky a požadavky na bezpečnost informačních systémů dle normy ČSN ISO/IEC 27001:2013 a dále podmínky a požadavky stanovené v ZKB a v příslušných prováděcích předpisech.
2.3. Specifikace systému ŘTZ IS
Zadavatel požaduje dodávku a implementaci pro testování technických zranitelností — aktivní skener ve formě 2 ks hardware appliance, včetně výkonné složky nástroje (on premise), který bude za účelem zjištění zranitelností provádět testování zranitelností zařízení připojených do informační a komunikační infrastruktury zadavatele a bude evidovat veškeré zjištěné bezpečnostní informace (zranitelnosti apod.).
Žádné informace zpracovávané nabízeným řešením nesmí opustit bezpečnostní perimetr zadavatele, tj. informační a komunikační infrastrukturu zadavatele.
Nabízené řešení musí umožňovat provádění plánovaného skenování informační a komunikační infrastruktury zadavatele v čase, podle organizačních útvarů a členění sítě (VLAN apod.) zadavatele.
Na každé skenované zařízení musí nabízené řešení umožňovat sestavit specifickou sadu testů
za účelem odhalení zranitelnosti a nedostatků v konfiguracích.
2.3.1 Požadavky na celé řešení:
• nabízené řešení musí zadavateli umožňovat provádět testování zranitelností zařízení připojených do jeho síťové a komunikační infrastruktury;
• žádné informace zpracovávané nabízeným řešením nesmí opustit bezpečnostní perimetr
zadavatele, tj. informační a komunikační infrastrukturu zadavatele;
• na každé skenované zařízení musí nabízené řešení umožňovat sestavit specifickou sadu testů za účelem odhalení zranitelností a nedostatků v konfiguracích;
• nabízené řešení musí umožňovat plánování skenování, tj. programovatelný rozsah
testování zranitelností na každém konkrétním zařízení;
• nabízené řešení musí umožňovat volbu intenzity testování, a to zejména z hlediska zátěže testovaných zařízení;
• možnost specifikace výkonnostních parametrů jednotlivých testů, aby bylo možné moderovat eventuální zátěž cílových zařízení nebo systémů způsobenou daným testováním;
• nabízené řešení musí umožňovat neautentizované i autentizované testování zranitelnosti - skener musí být schopen v takovém případě použít přednastavené přihlašovací údaje pro interakci s testovacím zařízením nebo systémem;
• transformaci jednorázového skenování zranitelností do automatizovaného procesu;
• integraci s dalšími bezpečnostními nástroji prostřednictvím otevřeného a dokumentovaného API (technická charakteristika API musí být součástí nabídky) alespoň v následujícím rozsahu:
o integrace na systémy SIEM;
o integrace na systémy IDS/IAS a NAC;
o integrace na systémy správy identit a autentizační zdroje (zejména Active Directory) za účelem poskytnutí přihlašovacích údajů pro autentizované testy;
o automatizace prostřednictvím CLI;
o veškeré funkce dostupné z GUI dostupné rovněž s užitím API;
• v případě zapojení více appliancí v rámci řešení musí řešení disponovat možností tyto
integrovat z pohledu managementu do jednotného systému správy jedinou konzolí správy;
• nabízené řešení musí disponovat centrální správou s přehledovou obrazovkou (tzv. dashboard) obsahující podstatné informace a nastavení testování. Podoba přehledových obrazovek musí být uživatelsky konfigurovatelná. V rámci konfigurace přehledové obrazovky je požadováno alespoň:
o zobrazení nejzranitelnější stroje v síti;
o zobrazení nejčetnějších zranitelností v síti;
o zobrazení počtu zranitelností uvedených v OWASP Top Ten;
• před zahájením testování, během testování i po testování (nad zjištěnými údaji) musí být možné uživatelsky sestavovat (např. filtrování) seznamy testovaných aktiv, a to alespoň takto:
o identifikace technických aktiv za využití „discovery“ testování;
o kategorizace aktiv na základě operačního systému, IP adres a dalších atributů;
o dynamická kategorizace aktiv na základě počtu zranitelností, typu zranitelností, přítomnosti konkrétní zranitelností a dalších atributů;
• v rámci konfigurace testování musí být možné:
o přednastavit šablony pro jednoduché spuštění testů zranitelností bez nutnosti složité
konfigurace;
o definovat vlastní test bez nutnosti využít předdefinované šablony;
o definovat šablony testů pro jednoduché vytváření více stejných testů pro různé
systémy;
o testovat za pomocí časového harmonogramu, tj. plánovat jednotlivě testy v čase, a to jednorázově i opakovaně podle předem uživatelsky připraveného harmonogramu;
• nabízené řešení musí umožňovat ověřování stavu konfigurace testovaného zařízení na základě jeho vnějších projevů, přičemž toto ověřování bude probíhat proti pravidlům pro compliance check a dle pravidel vystavěných na základě politik zadavatele, která musí být možné konstruovat strukturovaným zápisem a musí být možno je předávat na úrovni M2M komunikace;
• v rámci vyhodnocování výsledků testování musí nabízené řešení umožňovat:
• analýzu detekovaných zranitelností a poskytovat minimálně následující informace o zranitelnosti, a to včetně možnosti filtrování výsledků testování dle následujících parametrů:
▪ IP adresa a DNS stroje, na němž byla zranitelnost detekována;
▪ operační systém stroje, na němž byla zranitelnost detekována;
▪ závažnost zranitelnosti;
▪ CVE zranitelnosti;
▪ CVSS skóre;
▪ datum zveřejnění zranitelnosti;
▪ datum první identifikace v síti zadavatele;
▪ datum poslední identifikace v sítí zadavatele;
▪ popis zranitelnosti;
o poskytovat přehled:
▪ všech detekovaných zranitelností;
▪ zranitelností detekovaných konkrétním testováním;
▪ zranitelných strojů specifikovaných IP adresou nebo DNS názvem s počtem zranitelností jednotlivých závažnosti;
▪ zranitelností seskupených dle portu;
o oddělit zranitelnosti od položek konfigurace, které nejsou ve shodě s bezpečnostní
politikou zadavatele;
o vytvoření výjimky pro konkrétní zranitelnost, případně snížení její závažnosti;
o vytváření reportů:
▪ reporting ve formátu HTML, PDF, XML, JSON a CSV;
▪ možnost využít předdefinovaných šablon;
▪ možnost vytvoření vlastního reportu bez využití šablon;
▪ řešení musí umožňovat vytvořit vlastní report s možností filtrování zranitelností
dle stanovených parametrů (viz Vyhodnocování výsledků);
▪ řešení musí umožňovat přidání vlastních komponent do reportu (tabulky, grafy, texty), aby si zadavatel mohl přizpůsobit reporty svým požadavkům a vytvářet reporty pro různé úrovně managementu;
▪ možnost automatického reportování po vykonání testu a odeslání na specifikované
emailové adresy;
▪ možnost pravidelného reportování za pomoci časového harmonogramu.
o funkce Master Mode — možnost propojení s minimálně 1-2 samostatně fungujícími
senzory dle níže uvedeného;
o nabízené řešení musí z hlediska výkonu požadovaného hardware a z hlediska licenčních
podmínek:
▪ provádět testování nad infrastrukturou v rozsahu nejméně 5.000 IP adres;
▪ provádět testování nejméně 5.000 IP adres za 24 hodin.
o Požadavky na zabezpečení nabízeného řešení:
▪ zabezpečený přístup do management konzole pomocí využití protokolu HTTPS ze standardních webových prohlížečů;
▪ řízení přístupu podle sledovaných systémů;
▪ řízení přístupu uživatelů dle předdefinovaných rolí.
Zadavatel požaduje dodávku 2 ks hardwarové appliance (dále jen „Zařízení") pro testování zranitelností v informační a komunikační infrastruktuře zadavatele, včetně příslušenství nezbytného pro řádné a plnohodnotné provozování tohoto zařízení. Požadavky na Zařízení pro testování zranitelností v informační a komunikační infrastruktuře zadavatele:
o provedení HW appliance pro montáž do RACK skříně;
o 4 porty 1 Gbit (1000 Base-TX);
o 2 porty 10 Gbit SFP+;
o kapacita testování alespoň 5.000 IP adres za 24 hodin;
o redundance napájení (zařízení osazeno dvěma napájecími zdroji);
o rackmount kit součástí nabídky;
o možnost připojení nejméně 2 ks pobočkových senzorů.
Zadavatel požaduje k dodanému řešení poskytování následujících služeb, součinnosti a dalších plnění:
o zaškolení obsluhy v rozsahu 2x 4 hodiny pro 10 osob;
o nejméně po dobu 36 měsíců poskytování nebo zajištění služby odstraňování vad dodaného zařízení, a to v režimu 5 dnů x 8 hodin (dále jen „5x8“), s lhůtou pro odstranění vady do 5 pracovních dnů;
o a nejméně po dobu 36 měsíců poskytování následujících služeb k dodanému zařízení, a to v režimu 5x8, s lhůtou pro vyřešení požadavku do 5 pracovních dnů:
▪ výměna vadného zařízení u výrobce za nové v případě, že problém nelze řešit
vzdálené technickou podporou dodavatele ani výrobce Zařízení;
o penetrační testování a konzultace v oblasti bezpečnosti na vyžádání Zadavatele v rozsahu až 210 čld (formou jednotlivých objednávek Zadavatele s naceněním pracnosti v čld. ze strany Dodavatele) na 36 měsíců podle metodiky OWASP, včetně zátěžových testů simulujících souběžnou aktivitu min. 40 tis. uživatelů;
o nejméně po dobu 36 měsíců poskytování následujících služeb k dodanému Zařízení, a to v režimu 5x8:
▪ aktualizace firmware a software, které jsou součástí dodaného řešení nebo zařízení;
▪ online zpřístupnění všech verzí software, které je součástí dodaného řešení.
Typ zařízení | Umístění | Počet |
Řídící systém řešení | DC | 1 ks |
HW sonda (appliance) | DC + CP | 2 ks |
2.3.2 Požadovaná dodávka prací—implementace
(instalace, konfigurace, uvedení do provozu)
Implementace / práce | Požadované zajištění v člověko- dnech (čld) | |
1 | Uvedení do provozu | 15 čld |
2 | Integrace s Active Directory (LDAP) a email serverem Zadavatele | |
3 | Vytvoření skenů pro skenování Windows systémů | |
4 | Vytvoření skenů pro skenování Unix/Linux systémů | |
5 | Testování a ověření funkčnosti řešení | |
6 | Zaškolení a podpora startu ostrého provozu | |
7 | Dokumentace / revize Metodického pokynu k procesu ŘTZ |
2.3.3 Podrobné technické požadavky na řešení
Bližší požadavky jsou uvedeny v Příloze č. 1 smlouvy (dodávané řešení dodavatelem musí minimálně splňovat uvedenou technickou specifikaci). Návrh smlouvy je Přílohou č. 3 této zadávací dokumentace
2.3.4 Požadavky na nastavení ŘTZ IS
▪ Revize procesu řízení zranitelností musí splňovat následující parametry:
Proces musí být navržen v souladu s požadavky normy ISO/IEC 27002:2013 kapitoly 12.6
„Řízení technických zranitelností“ (v originále „Technical Vulnerability Management“)
a požadavky ZKB;
▪ Proces musí obsahovat zdokumentovaný popis rolí, činností a odpovědností pro minimálně
následující povinné fáze procesu:
1. Inventarizace ICT prvků;
2. Prioritizace ICT prvků;
3. Testování a bezpečnostní audit ICT prvků;
4. Zvládání (eliminace) nalezených zranitelností;
5. Kontrola eliminace zranitelností;
6. Dokumentace procesu Řízení zranitelností IS musí být dodána formou návrhu na změnu stávající interní dokumentace SZIF, s respektováním stávajících rolí a odpovědností ISMS, změn v organizaci SZIF a souvisejících interních postupů, směrnic a zvyklostí SZIF.
▪ Metodická podpora procesu ŘTZ IS dodavatelem musí pokrývat:
1. Podporu nastavení a optimalizace pravidelných testů dle schválené směrnice a aktuální bezpečnostní situace (množství a stav zranitelností infrastruktury vs. publikovaných zranitelností);
2. Podpora komunikace s ICT při kontrole dodržení termínů pro odstranění zranitelností;
3. Podpora komunikace s ICT ohledně falešných poplachů;
4. Podpora komunikace s ICT při řešení výjimek.
5. Podpora komunikace s ICT v rámci procesu řízení změn – změní-li se např. operační systém serveru, musí se změnit i testovaná politika.
6. Podpora nastavení skenování webových aplikací.
7. Podpora řešení KBÚ/KBI - Forenzní analýza pro šetření KBI a kybernetických útoků.
2.3.5 Rozsah technického řešení služby musí pokrývat minimálně uvedené systémy
a aplikace pro implementaci procesu ŘTZ IS
Operační systémy | Windows 10 a 11 pro PC |
Windows pro Servery (v 2019 a vyšší) | |
Linux Kernels 1.2, 2.0.x, 2.1.x, 2.2.x, 2.4.x, 2.6 a vyšší, distribuce RedHat/SuSE/Debian | |
Podnikový informační systém | SAP, SAP4HANA |
Databázové systémy | Oracle, Microsoft SQL, MySQL, |
Web servery | Apache, IIS |
FTP Servers | IIS FTP Server, Unix/Linux FTP |
Routers, Switches | Cisco, 3Com, NortelNetworks, Cabletron, Lucent, Alcatel |
2.4. Požadavky na implementaci procesů Řízení zranitelností IS
SZIF požaduje, aby implementace procesu obsahovala minimálně následující parametry:
2.4.1 Povinné etapy implementace:
a. Dodávka a instalace potřebného HW a SW vybavení v rozsahu dle požadavků a nastavení automatických funkcí a reportů procesu ŘTZ dle požadavků odběratele;
b. Proškolení aktivních uživatelů služby ŘTZ dle odborných rolí procesů;
c. Testovací provoz automatizované služby Řízení zranitelností ICT a ověření funkčnosti, v případě změny technologie oproti stávajícímu stavu;
d. Analýza/revize stávajícího stavu a návrh změn v interní dokumentaci procesu ŘTZ IS;
2.4.2. Seznam uživatelských rolí pro vytvoření aktivních účtů a proškolení:
• Bezpečnostní manažer
• Administrátor OS, SW, DB a LAN/WAN
• Ředitel Odboru provozu ICT
2.4.3. Požadavky na dostupnost a systémovou podporu
Zadavatel požaduje, aby dodavatel zajistil po ukončení a akceptaci implementace následnou kontinuální dostupnost a systémovou podporu pro dodané HW a SW technologie po celé smluvní období (36 měsíců), splněním následujících parametrů:
a. Zadavatel požaduje, aby dodavatel zajistil garantovanou dostupnost HW a SW ŘTZ komponent na úrovni minimálně 95% z modelu 24hod x 365 dní v roce;
b. Zadavatel požaduje, aby dodavatel zajistil systémovou podporu pro řešení výpadků a problémů s funkčností automatizovaných funkcí procesu formou dostupnosti technických pracovníků dodavatele v modelu 8hod x 5dní x 52 týdnů v roce;
c. Zadavatel požaduje, aby dodavatel zajistil po celou dobu pronájmu potřebných SW ŘTZ technologií bezplatný přístup k novým verzím těchto technologií.
2.4.4. Požadavky na školení a uživatelskou podporu
Zadavatel požaduje, aby dodavatel zajistil po celou dobu využívání pronájmu HW a SW technologií uživatelskou podporu splněním následujících parametrů:
a. Zadavatel požaduje, aby dodavatel provozoval telefonickou Hot-Line službu pro hlášení a řešení uživatelských problémů s obsluhou dodaných HW a SW technologií, a to minimálně 90% z modelu 8hod x 5dní x 52 týdnů v roce.
b. Zadavatel požaduje, aby dodavatel poskytoval technické i odborné konzultace k výsledkům testování zranitelností ICT prvků a k nálezům neshod nastavení ICT prvků vzhledem k Bezpečnostní politice IS SZIF formou telefonické Hot-Line služby (dostupné v režimu 8hod x 5dní x 52 týdnů v roce) formou relací v aplikaci Teams případně kontrolních návštěv v centrále SZIF Ve ▇▇▇▇▇▇▇▇ ▇▇, ▇▇▇▇▇ ▇.
c. Zadavatel požaduje možnost obrátit se na dodavatele s objednávkou dalších uživatelských školení dle aktuální potřeby (například při rozšíření počtu uživatelů procesu nebo při výměně pracovníků).
d. Služby musí být poskytovány českém jazyku.
2.4.5. Další podmínky a informace poptávky
a. Požadovanou systémovou a uživatelskou podporu služeb Řízení zranitelností IS SZIF Zadavatel požaduje zajistit pomocí odborně vyškolených specialistů dodavatele, certifikovaných výrobcem pro implementaci HW a SW produktu použitých pro realizaci služby.
b. Zadavatel požaduje, aby dodavatel převzal záruky na dodané technologie po celé smluvní období využívání služby v SZIF. Na náklady Dodavatele bude provedena výměna nebo případný upgrade na novější verze dodaných technologií, pokud budou během využívání služby uvolněny.
c. Nabízené řešení Dodavatele musí bezezbytku kompletně splňovat všechny uvedené technické a procesní požadavky, specifikované v zadávací dokumentaci, smluvních podmínkách a Přílohy č. 1 návrhu smlouvy.
2.5 Podrobná specifikace předmětu plnění veřejné zakázky:
Podrobný popis předmětu plnění veřejné zakázky je vymezen v závazném návrhu smlouvy, který tvoří Přílohu č. 3 zadávací dokumentace.
2.6. Termín realizace veřejné zakázky
Smlouva o poskytování služeb bude uzavřena na dobu určitou na 36 měsíců od účinnosti smlouvy, nejdříve však od 1.4.2024.
2.7. Místo plnění (realizace) veřejné zakázky
Místem plnění jsou Centrální pracoviště Objednatele na adrese ▇▇ ▇▇▇▇▇▇▇▇ ▇▇▇/▇▇, ▇▇▇▇▇ ▇
a Datové centrum O2, ▇ ▇▇▇▇▇▇ ▇▇▇▇/▇, ▇▇▇▇▇ ▇, ▇▇▇▇▇▇.
2.8. Předpokládaná hodnota veřejné zakázky
Celková předpokládaná hodnota veřejné zakázky za předmět plnění veřejné zakázky činí
6 000 000,- Kč bez DPH.
2.9. Uplatnění zásad sociálně odpovědného zadávání, environmentálně odpovědného
zadávaní a inovací
Vybraný dodavatel zajistí po celou dobu plnění veškerých povinností bezprostředně souvisejících s předmětem plnění a s tím souvisejících povinností vyplývajících z právních předpisů České republiky, zejména pak z předpisů pracovněprávních, předpisů z oblasti zaměstnanosti a bezpečnosti a ochrany zdraví při práci, legálního zaměstnávání, spravedlivého odměňování, a to vůči všem osobám, které se na plnění podílejí; k plnění těchto povinností zaváže vybraný dodavatel i své poddodavatele. Vybraný dodavatel se zaváže k sjednání a dodržování nediskriminačních smluvních podmínek se svými poddodavateli, zejména srovnatelné úrovně splatnosti faktur a srovnatelné výše shodných smluvních pokut s podmínkami smlouvy, včetně poskytování řádných plateb za provedené práce těmto svým poddodavatelům.
Zadavatel vzhledem k povaze a smyslu zakázky neidentifikoval možnosti dalšího uplatnění zásad sociálně odpovědného zadávání, environmentálně odpovědného zadávání nebo inovací ve smyslu ZZVZ, aniž by zároveň nedošlo k porušení principů 3E (účelnosti, efektivnosti a hospodárnosti) podle zákona č. 320/2001 Sb., o finanční kontrole, ve znění pozdějších předpisů.
3. PODMÍNKY A POŽADAVKY NA ZPRACOVÁNÍ NABÍDKY
Lhůta pro podání nabídek : | Do 11. 3. 2024, do 10:30 |
Adresa pro podání nabídek: |
3.1. Náležitosti podání
Dodavatel může podat nabídku výhradně elektronickými prostředky prostřednictvím elektronického nástroje E-ZAK na výše uvedené adrese. Zadavatel nepřipouští podání nabídky v listinné podobě ani v jiné elektronické formě.
Podrobné instrukce pro použití elektronického nástroje, systémové požadavky pro podání nabídek a elektronický podpis v elektronickém nástroji jsou k dispozici na internetové adrese ▇▇▇▇▇://▇▇▇▇.▇▇/▇▇▇▇▇▇▇-▇-▇▇▇/. V případě technických obtíží spojených s elektronickým nástrojem lze kontaktovat technickou podporu elektronického nástroje, email: ▇▇▇▇▇▇▇@▇▇▇▇.▇▇, tel.: ▇▇▇▇ ▇▇▇ ▇▇▇ ▇▇▇.
Nabídky v elektronické podobě zadavatel otevře po uplynutí lhůty pro podání nabídek. Otevírání nabídek bude probíhat bez účasti dodavatelů.
Nabídky doručené zadavateli po uplynutí lhůty pro podání nabídek nebudou posuzovány
a hodnoceny.
Na tyto nabídky bude nahlíženo, jako kdyby nebyly podány (§ 28 odst. 2 ZZVZ).
3.2. Identifikační údaje
V nabídce musí být uvedeny identifikační údaje účastníka, zejména: obchodní firma, sídlo, identifikační číslo, osoba oprávněná jednat za účastníka, příp. osoba oprávněná zastupovat účastníka na základě plné moci, kontaktní e-mailová adresa pro písemný styk mezi účastníkem a zadavatelem v rámci daného zadávacího řízení.
3.3. Jazyk
Nabídka musí být zpracována v českém jazyce, není-li stanoveno dále jinak. Veškeré dokumenty, výstupy a komunikace mezi dodavatelem a zadavatelem bude realizována výhradně v českém jazyce. Doklady ve slovenském jazyce a doklad o vzdělání v latinském jazyce se předkládají bez překladu.
3.4. Struktura nabídky
Zadavatel doporučuje předložit nabídku v následující struktuře:
• Krycí list nabídky (účastník použije Přílohu č. 1 zadávací dokumentace);
• Kvalifikace (doklady prokazující splnění způsobilosti dle bodu 6. zadávací dokumentace);
• Vyplněný návrh smlouvy včetně příloh;
• Čestné prohlášení ke střetu zájmů a k sankcím proti Rusku a Bělorusku (účastník použije Přílohu č. 2 zadávací dokumentace);
• Ostatní údaje, které tvoří nabídku.
4. VYSVĚTLENÍ ZADÁVACÍ DOKUMENTACE
Zadavatel poskytne vysvětlení zadávací dokumentace na základě písemné žádosti ve smyslu ustanovení § 98 ZZVZ. Písemná forma žádosti o vysvětlení zadávací dokumentace musí být doručena prostřednictvím elektronického nástroje E-ZAK, popř. do datové schránky zadavatele (ID datové schránky jn2aiqd ) k rukám kontaktní osoby zadavatele Mgr. ▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇▇.
Zadavatel vysvětlení uveřejní, odešle nebo předá včetně přesného znění žádosti bez identifikace tohoto dodavatele, a to nejméně 5 pracovní dny před skončením lhůty pro podání nabídek. Zadavatel nebude povinen vysvětlení poskytnout, pokud nebude žádost o vysvětlení doručena včas, a to alespoň 3 pracovní dny před uplynutím shora uvedené lhůty.
Vysvětlení zadávací dokumentace včetně přesného znění žádosti uveřejní zadavatel v zákonné lhůtě 3 pracovních dní na svém profilu zadavatele na adrese:
Zadavatel je oprávněn uveřejnit na profilu zadavatele za podmínek ustanovení § 98 odst. 1 ZZVZ vysvětlení zadávací dokumentace i z vlastního podnětu. Dle ustanovení § 99 ZZVZ může takto rovněž uveřejnit změnu nebo doplnění zadávací dokumentace.
5. ZADÁVACÍ LHŮTA
Zadavatel nestanovuje zadávací lhůtu pro toto zadávací řízení.
6. KVALIFIKACE ÚČASTNÍKŮ
Účastník je povinen v souladu s ustanovením § 73 a násl. ZZVZ nejpozději do lhůty stanovené pro
podání nabídek prokázat kvalifikaci.
6.1. Kvalifikovaným pro plnění veřejné zakázky je dodavatel, který prokáže splnění:
a) základní způsobilosti podle § 74 ZZVZ
b) profesní způsobilosti podle § 77 odst. 1 ZZVZ
c) technické kvalifikace podle § 79 odst. 2 písm. b), c), d) ZZVZ
Zadavatel neumožňuje prokázání kvalifikace prostřednictvím čestného prohlášení dle
§ 86 odst. 2 ZZVZ.
6.2. Základní způsobilost
Způsobilým není dodavatel, který
a) byl v zemi svého sídla v posledních 5 letech před zahájením zadávacího řízení pravomocně odsouzen pro trestný čin uvedený v příloze č. 3 ZZVZ nebo obdobný trestný čin podle právního řádu země sídla dodavatele; k zahlazeným odsouzením se nepřihlíží; jde-li o právnickou osobu, musí tuto podmínku tato právnická osoba a zároveň každý člen statutárního orgánu, a je-li členem statutárního orgánu dodavatele právnická osoba, musí tuto podmínku splňovat tato právnická osoba, každý člen statutárního orgánu této právnické osoby a osoba zastupující tuto právnickou osobu v statutárním orgánu dodavatele; účastní- li se zadávacího řízení pobočka závodu zahraniční právnické osoby, musí uvedenou podmínku splňovat tato právnická osoba a vedoucí pobočky závodu; účastní-li se zadávacího řízení pobočka závodu české právnické osoby, musí uvedenou podmínku splňovat tato právnická
osoba, každý člen statutárního orgánu této právnické osoby a osoba zastupující tuto právnickou osobu v statutárním orgánu dodavatele a vedoucí pobočky závodu,
b) má v České republice nebo v zemi svého sídla v evidenci daní zachycen splatný daňový
nedoplatek,
c) má v České republice nebo v zemi svého sídla splatný nedoplatek na pojistném nebo na penále na veřejné zdravotní pojištění,
d) má v České republice nebo v zemi svého sídla splatný nedoplatek na pojistném nebo na penále na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti,
e) je v likvidaci, proti němuž bylo vydáno rozhodnutí o úpadku, vůči němuž byla nařízena nucená správa podle jiného právního předpisu nebo obdobné situaci podle právního řádu země sídla dodavatele.
Dodavatel prokazuje splnění základní způsobilosti ve vztahu k České republice v souladu s § 75
odst. 1 ZZVZ předložením:
a) výpisu z evidence Rejstříku trestů pro bod 6.2. písm. a) zadávací dokumentace
Je-li dodavatelem právnická osoba, musí tuto podmínku splňovat tato právnická osoba a zároveň každý člen statutárního orgánu. Je-li členem statutárního orgánu dodavatele právnická osoba, musí tuto podmínku splňovat tato právnická osoba, každý člen statutárního orgánu této právnické osoby a osoba zastupující tuto právnickou osobu ve statutárním orgánu dodavatele.
b) potvrzením příslušného finančního úřadu ve vztahu k bodu 6.2. písm. b) zadávací dokumentace
c) písemného čestného prohlášení ve vztahu ke spotřební dani ve vztahu k bodu 6.2. písm.
b) zadávací dokumentace
d) písemného čestného prohlášení ve vztahu k veřejnému zdravotnímu pojištění k bodu
6.2. písm. c) zadávací dokumentace
e) potvrzení příslušné územní správy sociálního zabezpečení ve vztahu bodu 6.2. písm. d) zadávací dokumentace
f) výpisu z obchodního rejstříku, nebo předložením písemného čestného prohlášení v případě, že není v obchodním rejstříku zapsán, ve vztahu k bodu 6.2. písm. e) zadávací dokumentace
6.3. Profesní způsobilost
Splnění profesní způsobilosti prokáže účastník, který předloží:
- dle § 77 odst. 1 ZZVZ ve vztahu k České republice výpis z obchodního rejstříku nebo jiné obdobné evidence, pokud jiný právní předpis zápis do takové evidence vyžaduje.
6.4. Technická kvalifikace
6.4.1 Technická kvalifikace dle § 79 odst. 2 písm. b) ZZVZ
Splnění technické kvalifikace podle § 79 odst. 2 písm. b) ZZVZ prokáže dodavatel uvedením seznamu
3 významných dodávek nebo významných služeb stejného rozsahu (testovaná infrastruktura v rozsahu nejméně 4.000 IP adres) poskytnutých za poslední 3 roky před zahájením zadávacího řízení (významné dodávky včetně uvedení ceny a doby jejich poskytnutí a identifikace objednatele. Tyto zakázky uvede do krycího listu nabídky (Příloha č. 1 zadávací dokumentace).
6.4.2 Technická kvalifikace dle § 79 odst. 2 písm. c) a d) ZZVZ
Splnění technické kvalifikace podle § 79 odst. 2 písm. c) a d) ZZVZ prokáže dodavatel, který předloží seznam všech zaměstnanců (realizační tým), kteří se budou podílet na plnění veřejné zakázky a osvědčení o odborné kvalifikaci těchto osob, a to následovně.
Účastník uvede v krycím listu nabídky seznam všech zaměstnanců (realizační tým), kteří se budou podílet na realizaci plnění veřejné zakázky a zároveň u každého vymezí oblast jeho působnosti (např. odborný garant poskytovaných služeb-řídící realizačního týmu, penetrační tester, projektový manažer, bezpečnostní specialista …). U všech členů realizačního týmu se uvede délka praxe ve vztahu k poskytovaným službám. Minimální délka praxe ve vztahu k poskytovaným službám u každého jednotlivého člena realizačního týmu jsou tři roky praxe před zahájením zadávacího řízení. Součástí realizačního týmu musí být vždy řídící realizačního týmu, projektový manažer a penetrační
tester (testeři). V případě, že realizační tým je sloužen pouze z minimálního počtu tj. 3 zaměstnanců
Poskytovatele, nelze jednotlivé role v týmu slučovat.
Penetrační testeři předloží platnou certifikaci OSCP (Offensive Security Certified Professional) nebo CEH (Certified Ethical Hacker) – Účastník doplní do tabulky C Realizační tým v Krycím listu nabídky.
Řídící projektu (projektový manažer) předloží certifikát ITIL (PRINCE2) nebo CSCP (Certified Supply Chain Professional) – doplnit do tabulky C Realizační tým v Krycím listu nabídky.
6.5. Společná ustanovení ke kvalifikaci
6.5.1. Forma dokladů
Dodavatel předloží prosté kopie dokladů prokazujících splnění kvalifikace. Doklady prokazující základní způsobilost musí prokazovat splnění požadovaného kritéria způsobilosti nejpozději v době 3 měsíců přede dnem zahájení zadávacího řízení.
Před uzavřením smlouvy si zadavatel od vybraného dodavatele může v souladu § 122 odst. 3 a 4 ZZVZ vyžádat předložení originálů nebo úředně ověřených kopií dokladů prokazujících splnění kvalifikace, pokud již nebyly v zadávacím řízení předloženy.
Dodavatel může nahradit požadované doklady jednotným evropským osvědčením pro veřejné
zakázky ve smyslu § 87 ZZVZ.
Splnění základní a profesní způsobilosti může prokázat dodavatel také předložením výpisu ze seznamu kvalifikovaných dodavatelů v souladu s § 228 odst. 1 a 3 ZZVZ v tom rozsahu, v jakém údaje ve výpisu ze seznamu kvalifikovaných dodavatelů prokazují splnění kritérií profesní způsobilosti a základní způsobilosti. Výpis ze seznamu kvalifikovaných dodavatelů nesmí být k poslednímu dni, ke kterému má být prokázána základní nebo profesní způsobilost, starší než tři měsíce. Dodavatel může také splnění kvalifikace prokázat předložením certifikátu vydaného v rámci systému certifikovaných dodavatelů podle § 234 odst. 1 a 3 ZZVZ. Certifikát nesmí být k poslednímu dni, ke kterému má být prokázána kvalifikace, starší jednoho roku.
6.5.2. Společná nabídka
V případě společné účasti dodavatelů prokazuje základní způsobilost a profesní způsobilost podle
§ 77 odst. 1 ZZVZ ve spojení s § 82 ZZVZ každý dodavatel samostatně. V souladu s ustanovením
§ 103 odst. 1 písm. f) ZZVZ zadavatel požaduje, aby v případě, kdy účastníci podávají společnou nabídku na plnění VZ, nesli všichni dodavatelé podávající takovou společnou nabídku odpovědnost za plnění VZ společně a nerozdílně.
6.5.3. Prokázání kvalifikace v případě zahraničních osob
Podmínky určuje ustanovení § 81 ZZVZ.
6.5.4. Změny v kvalifikaci
Dojde-li po předložení dokladů nebo prohlášení o kvalifikaci ke změně kvalifikace účastníka zadávacího řízení, je účastník zadávacího řízení v souladu s ustanovením § 88 ZZVZ povinen tuto změnu zadavateli do 5 pracovních dnů oznámit a do 10 pracovních dnů od oznámení této změny předložit nové doklady nebo prohlášení ke kvalifikaci. Povinnost podle věty první účastníku zadávacího řízení nevzniká, pokud je kvalifikace změněna takovým způsobem, že:
a. podmínky kvalifikace jsou nadále splněny;
b. nedošlo k ovlivnění kritérií pro snížení počtu účastníků zadávacího řízení nebo nabídek
a nedošlo k ovlivnění kritérií hodnocení nabídek.
7. TECHNICKÉ PODMÍNKY
Zadavatel nepožaduje.
8. ZPŮSOB ZPRACOVÁNÍ NABÍDKOVÉ CENY
8.1. Dodavatel uvede nabídkové ceny jednotlivých položek (komponent), ze kterých se skládá předmět veřejné zakázky na 36 měsíců v Kč bez DPH, s DPH, a sazbu a výši DPH. Tyto ceny budou doplněny dodavatelem do Přílohy č. 3 návrhu smlouvy.
Celková nabídková cena bude stanovena jako součet jednotkových cen všech uvedených položek. Celková nabídková cena bude doplněna do krycího listu nabídky a do návrhu smlouvy.
Nabídkové ceny budou stanoveny jako nejvýše přípustné a musí obsahovat veškeré náklady dodavatele nutné k realizaci zakázky včetně nákladů souvisejících.
Dodavatel je povinen nacenit a nabídnout všechny poptávané položky.
9. ZPŮSOB HODNOCENÍ NABÍDEK DLE HODNOTÍCÍCH KRITÉRIÍ
Nabídky budou hodnoceny v souladu s § 114 odst. 1 a 2 ZZVZ na základě ekonomické výhodnosti podle nejnižší nabídkové ceny bez DPH, vypočtené v souladu s bodem 8. této zadávací dokumentace.
Název hodnotícího kritéria | Váhy v % |
Celková nabídková cena (v Kč bez DPH) | 100 % |
Způsob hodnocení nabídek:
V rámci základního hodnotícího kritéria „Celková nabídková cena (v Kč bez DPH)“ bude zadavatel hodnotit výši celkové ceny za plnění veřejné zakázky bez DPH. Nejlépe bude hodnocena nabídka s nejnižší celkovou výší nabídkové ceny.
Nabídky budou vyhodnoceny prostým seřazením nabídek podle nabídkové ceny stanovené a uvedené v nabídce v souladu s článkem 8 zadávací dokumentace. Nabídky budou seřazeny podle nabídkové ceny od nabídky s nejnižší cenou po nabídku s nejvyšší cenou.
Jako ekonomicky nejvýhodnější bude vybrána nabídka s nejnižší nabídkovou cenou.
10. DALŠÍ POŽADAVKY
10.1. Nezaknihované akcie
Zadavatel vyloučí účastníka zadávacího řízení, který je akciovou společností, nebo má právní formu obdobnou akciové společnosti a nemá vydány výlučně zaknihované akcie.
U vybraného dodavatele zadavatel ověří naplnění tohoto důvodu pro vyloučení na základě informací, uvedených v obchodním rejstříku. Pokud z informací v obchodním rejstříku vyplývá naplnění tohoto důvodu, zadavatel vybraného dodavatele ze zadávacího řízení vyloučí.
10.2. Seznam poddodavatelů
Zadavatel požaduje v souladu s ustanovením § 105 odst. 1 písm. a) ZZVZ, aby účastník uvedl část veřejné zakázky, kterou hodlá plnit prostřednictvím poddodavatele.
Účastník je povinen v souladu s § 105 odst. 3 ZZVZ po doručení oznámení o výběru dodavatele nebo od uzavření smlouvy, v případech, kde se oznámení o výběru nezasílá, oznámit nejpozději do 10 pracovních dnů identifikační údaje poddodavatelů, kteří se budou podílet na plnění jednotlivých částí veřejné zakázky.
10.3. Ověření informací
Zadavatel může v souladu s ustanovením § 39 odst. 5 ZZVZ ověřovat věrohodnost údajů, dokladů, vzorků nebo modelů poskytnutých účastníkem a může si je opatřovat také sám, pokud nejde o údaje, doklady vzorky nebo modely, které budou hodnoceny podle kritérií hodnocení.
10.4. Varianty nabídek
Zadavatel nepřipouští varianty nabídek
10.5. Skutečný majitel účastníka
Zadavatel upozorňuje, že s účinností od 1. června 2021 není možné uzavřít smlouvu s vybraným dodavatelem, který je českou právnickou osobou, pokud nelze zjistit jeho skutečného majitele z evidence skutečných majitelů. Zadavatel je povinen takového vybraného dodavatele dle § 122 odst. 8 ZZVZ vyloučit ze zadávacího řízení. K zápisu zpřístupněnému v evidenci skutečných majitelů po odeslání oznámení o vyloučení dodavatele se nepřihlíží. Nová právní úprava však nevylučuje, aby ke zpřístupnění údajů o skutečném majiteli došlo v průběhu zadávacího řízení, musí však k němu dojít před okamžikem odeslání oznámení o vyloučení dodavatele.
10.6. Čestné prohlášení k střetu zájmů dle zákona č. 159/2006 Sb., o střetu zájmů, v platném znění
Součástí nabídky bude čestné prohlášení účastníka, že
a) není obchodní společností, ve které veřejný funkcionář uvedený v ust. § 2 odst. 1 písm. c) zákona č. 159/2006 Sb., o střetu zájmů (tj. člen vlády nebo vedoucí jiného ústředního správního úřadu, v jehož čele není člen vlády) nebo jím ovládaná osoba vlastní podíl představující alespoň 25 % účasti společníka v obchodní společnosti;
b) poddodavatel, prostřednictvím kterého dodavatel prokazuje kvalifikaci (existuje-li takový), není obchodní společností, ve které veřejný funkcionář uvedený v ust. § 2 odst. 1 písm. c) zákona č. 159/2006 Sb., o střetu zájmů (tj. člen vlády nebo vedoucí jiného ústředního správního úřadu, v jehož čele není člen vlády) nebo jím ovládaná osoba vlastní podíl představující alespoň 25 % účasti společníka v obchodní společnosti.
Čestné prohlášení doporučuje zadavatel zpracovat podle předlohy, která tvoří přílohu č. 2 této
zadávací dokumentace.
10.7. Čestné prohlášení k sankcím proti Rusku a Bělorusku
Součástí nabídky bude čestné prohlášení účastníka, že
• on ani kterýkoli z jeho poddodavatelů či jiných osob dle § 83 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, který se bude podílet na plnění Veřejné zakázky v rozsahu více než 10 % smluvní ceny,
a) není ruským státním příslušníkem, fyzickou či právnickou osobou nebo subjektem či
orgánem se sídlem v Rusku,
b) není z více než 50 % přímo či nepřímo vlastněn některým ze subjektů uvedených v písmeni
a), ani
c) nejedná jménem nebo na pokyn některého ze subjektů uvedených v písmeni a) nebo b).
• není osobou uvedenou v sankčním seznamu v příloze nařízení Rady (EU) č. 269/2014 ze dne 17. března 2014, o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny (ve znění pozdějších aktualizací), nařízení Rady (EU) č. 208/2014 ze dne 5. března 2014 o omezujících opatřeních vůči některým osobám, subjektům a orgánům vzhledem k situaci na Ukrajině (ve znění pozdějších aktualizací) nebo nařízení Rady (ES) č. 765/2006 ze dne 18. května 2006 o omezujících opatřeních vůči prezidentu ▇▇▇▇▇▇▇▇▇▇▇ a některým představitelům Běloruska (ve znění pozdějších aktualizací).
• žádné finanční prostředky, které obdrží za plnění Veřejné zakázky, přímo ani nepřímo nezpřístupní fyzickým nebo právnickým osobám, subjektům či orgánům s nimi spojeným nebo v jejich prospěch uvedeným v sankčním seznamu v příloze nařízení Rady (EU) č. 269/2014 ze dne 17. března 2014, o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny (ve znění pozdějších aktualizací), nařízení Rady (EU) č. 208/2014 ze dne 5. března 2014 o omezujících opatřeních vůči některým osobám, subjektům a orgánům vzhledem k situaci
na Ukrajině (ve znění pozdějších aktualizací) nebo nařízení Rady (ES) č. 765/2006 ze dne
18. května 2006 o omezujících opatřeních vůči prezidentu ▇▇▇▇▇▇▇▇▇▇▇ a některým představitelům Běloruska (ve znění pozdějších aktualizací).
Čestné prohlášení doporučuje zadavatel zpracovat podle předlohy, která tvoří přílohu č. 2 této
zadávací dokumentace.
10.8. Součástí nabídky Dodavatele bude:
1) Krycí list nabídky
2) Čestná prohlášení Dodavatele
3) Návrh smlouvy o poskytování služeb (spolu s jejími přílohami 1-3)
Výše uvedené dokumenty doporučuje zadavatel zpracovat podle předloh (vzoru), která tvoří přílohy této zadávací dokumentace (viz bod 12).
11. PLATEBNÍ A OBCHODNÍ PODMÍNKY, NÁVRH SMLOUVY
Účastník je povinen bez výhrad přijmout závazné znění smlouvy, které tvoří Přílohu č. 3 této zadávací dokumentace. Součástí nabídky bude vyplněný návrh smlouvy, včetně všech příloh. Účastník je oprávněn upravit/doplnit tento závazný návrh smlouvy pouze na místech k tomu zadavatelem určených.
12. SEZNAM PŘÍLOH
Příloha č. 1: Krycí list nabídky - vzor,
Příloha č. 2: Čestná prohlášení Dodavatele - vzor
Příloha č. 3: Návrh smlouvy o poskytování služeb (spolu s jejími přílohami)
V Praze dne dle elektronického podpisu
elektronicky podepsáno
Digitálně podepsal ▇▇▇▇▇▇▇ ▇▇▇▇▇▇ 09.02.2024 10:36
Ing. et ▇▇▇. ▇▇▇▇▇▇▇ ▇▇▇▇▇▇
ředitel Sekce ICT