FAKULTNÍ NEMOCNICE BRNO Jihlavská 20, 625 00 Brno IČ: 652 697 05 ŘEDITELSTVÍ

FAKULTNÍ NEMOCNICE BRNO

Xxxxxxxxx 00, 000 00 Xxxx

IČ: 652 697 05

ŘEDITELSTVÍ

xxxx. XXXx. XXXXXXXX XXXXXX, Ph.D., ředitel FN Brno

Tel.:000 000 000

Zadávací dokumentace

k nadlimitní veřejné zakázce na dodávky

zadávané v otevřeném řízení dle § 56 zákona č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „zákon“), nazvané

„Zvýšení kybernetické bezpečnosti ve FN Brno – Pokročilý bezpečnostní monitoring síťové infrastruktury“

Veřejná zakázka je spolufinancována Evropskou unií z Evropského fondu pro regionální rozvoj v rámci Integrovaného regionálního operačního programu (IROP), registrační číslo projektu: CZ.06.3.05/0.0/0.0/15_011/0006912

Zadavatel:

Fakultní nemocnice Brno

Xxxxxxxxx 00, 000 00 Xxxx

IČ: 65269705

1. Identifikační údaje zadavatele

Název zadavatele: Fakultní nemocnice Brno

IČ: 65269705

DIČ: CZ65269705

Sídlo zadavatele: Xxxxxxxxx 00, 000 00 Xxxx

Statutární orgán: xxxx. XXXx. Xxxxxxxx Xxxxxx, Ph.X., ředitel

Bankovní spojení: Česká národní banka

Číslo účtu: 71234621/0710

Fakultní nemocnice Brno je státní příspěvková organizace zřízená rozhodnutím České republiky – Ministerstva zdravotnictví. Nemá zákonnou povinnost zápisu do obchodního rejstříku, je zapsána do živnostenského rejstříku vedeného Živnostenským úřadem města Brna.

2. Předmět veřejné zakázky

Předmětem veřejné zakázky je nákup systému pro pokročilý bezpečnostní monitoring síťové infrastruktury, který zajistí monitorování síťové infrastruktury v reálném čase s pokročilou inteligencí pro analýzu chování sítě a který optimalizuje chování aplikací a chrání systémy před moderními kybernetickými bezpečnostními hrozbami obcházejícími tradiční bezpečnostní prvky.

1. Klasifikace předmětu veřejné zakázky

Hlavní CPV kód: 32420000-3 Síťová zařízení

72250000-2 Systémové a podpůrné služby

32420000-3 Síťová zařízení

32422000-7 Síťové komponenty

32424000-1 Síťová infrastruktura

72263000-6 Implementace programového vybavení

2. Rozdělení veřejné zakázky na části

Veřejná zakázka není rozdělena na části.

3. Kvalifikace účastníka zadávacího řízení

Zadavatel požaduje, aby součástí nabídky bylo doložení splnění podmínek kvalifikace podle zákona, které dodavatel prokáže ve lhůtě pro podání nabídek následujícím způsobem.

Splnění podmínek kvalifikace prokazuje dodavatel již ve své nabídce, a to předložením prostých kopií požadovaných dokumentů. Kopie mohou být nahrazeny čestným prohlášením nebo jednotným evropským osvědčením dle § 87 zákona. Zadavatel si může v průběhu zadávacího řízení vyžádat předložení originálů nebo úředně ověřených kopií dokladů o splnění podmínek kvalifikace.

Doklady prokazující základní způsobilost podle § 74 zákona a profesní způsobilost podle § 77 odst. 1 zákona musí prokazovat splnění požadovaného kritéria způsobilosti nejpozději v době 3 měsíců přede dnem zahájení zadávacího řízení.

1. Základní způsobilost dle § 74 zákona a způsob jejího prokázání

• Účastník zadávacího řízení předloží výpis z Rejstříku trestů k prokázání splnění podmínek ve vztahu k § 74 odst. 1 písm. a) zákona, tj. k prokázání, že nebyl v posledních 5 letech před zahájením zadávacího řízení pravomocně odsouzen pro trestný čin uvedený v příloze č. 3 k zákonu nebo obdobný trestný čin podle právního řádu země sídla; k zahlazeným odsouzením se nepřihlíží.

Jde-li o právnickou osobu, musí tento předpoklad splňovat jak tato právnická osoba, tak zároveň každý člen jejího statutárního orgánu. Je-li členem statutárního orgánu dodavatele právnická osoba, musí výše uvedené podmínky splňovat jak tato právnická osoba, tak každý člen statutárního orgánu této právnické osoby a také osoba zastupující tuto právnickou osobu v statutárním orgánu dodavatele.

Podává-li nabídku či žádost pobočka závodu zahraniční právnické osoby, musí výše uvedené podmínky splňovat tato právnická osoba a vedoucí pobočky závodu. Podává-li nabídku či žádost o účast pobočka závodu české právnické osoby, musí výše uvedené podmínky splňovat vedle výše uvedených osob rovněž vedoucí pobočky.

Tento základní kvalifikační předpoklad musí splňovat účastník zadávacího řízení v zemi svého sídla.

• Účastník zadávacího řízení předloží dle § 75 odst. 1 písm. b) zákona potvrzení příslušného finančního úřadu ve vztahu k § 74 odst. 1 písm. b), a dle § 75 odst. 1 písm. c) zákona písemné čestné prohlášení ve vztahu ke spotřební dani podepsané osobou oprávněnou zastupovat účastníka zadávacího řízení k prokázání splnění podmínek ve vztahu k § 74 odst. 1 písm. b) zákona, tj. k prokázání, že účastník zadávacího řízení nemá v evidenci daní zachyceny splatné daňové nedoplatky, a to jak v České republice, tak v zemi svého sídla.

• Účastník zadávacího řízení předloží dle § 75 odst. 1 písm. d) zákona písemné čestné prohlášení podepsané osobou oprávněnou zastupovat účastníka zadávacího řízení k prokázání splnění podmínek ve vztahu k § 74 odst. 1 písm. c) zákona, tj. k prokázání, že účastník zadávacího řízení nemá splatný nedoplatek na pojistném nebo na penále na veřejné zdravotní pojištění, a to jak v České republice, tak v zemi svého sídla.

• Účastník zadávacího řízení předloží dle § 75 odst. 1 písm. e) zákona potvrzení příslušné okresní správy sociálního zabezpečení k prokázání splnění podmínek ve vztahu k § 74 odst. 1 písm. d) zákona, tj. že nemá splatný nedoplatek na pojistném nebo na penále na sociálním zabezpečení a příspěvku na státní politiku zaměstnanosti, a to jak v České republice, tak v zemi sídla.

• Účastník zadávacího řízení předloží dle § 75 odst. 1 písm. f) zákona výpis z obchodního rejstříku, nebo předloží písemné čestné prohlášení, v případě, že není v obchodním rejstříku zapsán, ve vztahu k § 74 odst. 1 písm. e) zákona.

2. Profesní způsobilost dle § 77 odst. 1 zákona a způsob jejího prokázání

• Účastník zadávacího řízení předloží dle § 77 odst. 1 zákona výpis z obchodního rejstříku nebo jiné obdobné evidence, pokud jiný právní předpis zápis do takové evidence vyžaduje.

3. Technická kvalifikace dle § 79 odst. 2 písm. b) a k) zákona a způsob jejího prokázání

• Účastník zadávací řízení předloží dle § 79 odst. 2 písm. b) zákona seznam významných dodávek obsahující minimálně 2 významné obdobné dodávky poskytnuté za poslední 3 roky před zahájením zadávacího řízení včetně uvedení ceny bez DPH, doby jejich poskytnutí a identifikace objednatele. Za významnou obdobnou dodávku se pro účely této veřejné zakázky považuje jednorázová dodávka systému komplexního systému pro monitoring síťové infrastruktury a detekci pokročilých hrozeb, přičemž minimální finanční objem bez DPH této dodávky musí činit alespoň 5 000 000,- Kč.

Rovnocenným dokladem k prokázání kritéria podle § 79 odst. 2 písm. b) zákona je zejména smlouva s objednatelem a doklad o uskutečnění plnění dodavatele.

• Účastník zadávacího řízení předloží dle § 79 odst. 2 písmene c) zákona seznam techniků nebo technických útvarů, které se budou podílet na plnění veřejné zakázky.

• Účastník zadávacího řízení předloží dle § 79 odst. 2 písmene d) zákona předloží osvědčení o vzdělání a odborné kvalifikaci vztahující se k předmětu veřejné zakázky. Pro splnění tohoto kritéria je požadováno předložení následujících dokladů k následujícím funkcím:

  • vedoucí realizačního týmu – fyzická osoba, která povede realizační tým veřejné zakázky, splňující následující požadavky:

    • vysokoškolské vzdělání v technickém oboru;

    • praxe v oboru informačních a komunikačních technologií minimálně 10 let;

    • zkušenosti s vedením alespoň 3 zakázek obdobného charakteru, jejichž předmět zahrnoval nebo zahrnuje dodávku, instalaci a konfiguraci systému pro pokročilý bezpečnostní monitoring síťové infrastruktury;

  • specialista kybernetické bezpečnosti – nejméně 1 fyzická osoba v seniorním postavení splňující následující požadavky:

    • praxe v oboru implementace opatření kybernetické bezpečnosti minimálně 3 roky dosažená v posledních 5 letech před zahájením zadávacího řízení;

    • zkušenosti s realizací alespoň 3 zakázek obdobného charakteru, jejichž předmět zahrnoval nebo zahrnuje dodávku, instalaci a konfiguraci systému pro pokročilý bezpečnostní monitoring síťové infrastruktury;

    • je držitelem některého z relevantních certifikátů pro bezpečnostní roli architekta kybernetické bezpečnosti Certified Eťhical Hacker (CEH), CompTIA Security +, Certified Information Security Manager (CISM), Certified in Risk and Information Systems Control (CRISC), Certified Information Systems Security Professional (CISSP), Manažer BI (akreditační schéma ČIA).

• Účastník zadávací řízení předloží dle § 79 odst. 2 písm. k) zákona popisy nebo fotografie všech výrobků určených k dodání. Tento kvalifikační předpoklad účastník zadávacího řízení prokáže předložením listin (zejm. technických listů, produktových listů, návodů k použití apod.) obsahujících technickou specifikaci výrobků. Z předložených listin musí vyplývat, že výrobky splňují veškeré technické požadavky stanovené v této zadávací dokumentaci. Zadavatel tedy musí být z jednotlivých předložených dokumentů schopen posoudit splnění všech svých technických podmínek.

4. Prokazování kvalifikace v případě společné účasti dodavatelů

V případě společné účasti dodavatelů prokazuje dle § 82 zákona základní způsobilost a profesní způsobilost podle § 77 odst. 1 zákona každý dodavatel samostatně.

5. Prokazování splnění kvalifikace prostřednictvím jiných osob

Dodavatel může prokázat splnění určité části technické kvalifikace nebo profesní způsobilosti s výjimkou kritéria podle § 77 odst. 1 zákona požadované zadavatelem prostřednictvím jiných osob. V takovém případě je povinen zadavateli předložit:

1. doklady prokazující splnění profesní způsobilosti podle § 77 odst. 1 zákona jinou osobou,

2. doklady prokazující splnění chybějící části kvalifikace prostřednictvím jiné osoby,

3. doklady o splnění základní způsobilosti podle § 74 zákona jinou osobou a

4. písemný závazek jiné osoby k poskytnutí plnění určeného k plnění veřejné zakázky nebo k poskytnutí věcí nebo práv, s nimiž bude dodavatel oprávněn disponovat v rámci plnění veřejné zakázky, a to alespoň v rozsahu, v jakém jiná osoba prokázala kvalifikaci za dodavatele.

6. Prokazování splnění kvalifikace výpisem ze seznamu kvalifikovaných dodavatelů

Účastník může namísto dokladů k prokázání základní způsobilosti podle § 74 zákona a profesní způsobilosti podle § 77 zákona předložit výpis ze seznamu kvalifikovaných dodavatelů, který nahrazuje prokázání základní způsobilosti podle § 74 zákona. Prokázání profesní způsobilosti podle § 77 zákona nahrazuje tento výpis ze seznamu kvalifikovaných dodavatelů v tom rozsahu, v jakém údaje v tomto výpisu prokazují splnění kritérií profesní způsobilosti.

Výpis ze seznamu kvalifikovaných dodavatelů nesmí být k poslednímu dni, ke kterému má být prokázáno splnění kvalifikace, starší než 3 měsíce.

7. Změny kvalifikace účastníka zadávacího řízení

Pokud po předložení dokladů nebo prohlášení o kvalifikaci dojde v průběhu zadávacího řízení ke změně kvalifikace účastníka zadávacího řízení, je účastník zadávacího řízení povinen tuto změnu oznámit zadavateli do 5 pracovních dnů oznámit a do 10 pracovních dnů od oznámení této změny předložit nové doklady nebo prohlášení ke kvalifikaci; zadavatel může tyto lhůty prodloužit nebo prominout jejich zmeškání. Tato povinnost účastníkům zadávacího řízení nevzniká, pokud je kvalifikace změněna takovým způsobem, že:

1. podmínky kvalifikace jsou nadále splněny,

2. nedošlo k ovlivnění kritérií pro snížení počtu účastníků zadávacího řízení nebo nabídek a

3. nedošlo k ovlivnění kritérií hodnocení nabídek.

4. vymezení zadávací dokumentace a její poskytování

Zadávací dokumentaci tvoří dle § 28 odst. 1 písm. b) zákona veškeré písemné dokumenty obsahující zadávací podmínky, sdělované nebo zpřístupňované účastníkům zadávacího řízení při zahájení zadávacího řízení, včetně formulářů podle § 212 zákona a výzev uvedených v příloze č. 6 k zákonu. Zadávací dokumentaci v užším smyslu tvoří tato zadávací dokumentace včetně jejích příloh. Tato zadávací dokumentace včetně její příloh č. 1 a 2 je zveřejněna na profilu zadavatele xxxxx://xxxx.xxxxxx.xx/ a tvoří tak veřejnou část zadávací dokumentace v užším smyslu (dále jen „Veřejná část“).

Přílohy č. 3 a 4 této zadávací dokumentace souvisejí se zajišťováním kybernetické bezpečnosti zadavatele, který je provozovatelem základní služby dle § 2 písm. k) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů. Jako takové je zadavatel dle § 36 odst. 8 zákona považuje za důvěrné informace, které na profilu zadavatele nezveřejňuje (dál jen „Neveřejná část“).

Při poskytování Neveřejné části postupuje zadavatel takto:

• zadavatel poskytne Neveřejnou část na žádost ve lhůtě do 3 pracovních dnů od doručení písemné žádosti dodavatele za podmínky přijetí přiměřených opatření k ochraně informací důvěrné povahy v dohodě o ochraně důvěrných informací, která je přílohou č. 2 této zadávací dokumentace. Dodavatel doručí žádost o poskytnutí Neveřejné části prostřednictvím elektronického nástroje E‑ZAK na adrese: xxxxx://xxxx.xxxxxx.xx/.

• žádost o poskytnutí Neveřejné části dle předchozí odrážky musí obsahovat:

  • identifikační údaje dodavatele, který žádá o poskytnutí Neveřejné části;

  • telefonické a e-mailové spojení na dodavatele, který žádá o poskytnutí Neveřejné části;

  • dodavatelem doplněnou dohodu o ochraně důvěrných informací, která je přílohou č. 2 této zadávací dokumentace, převedenou do formátu PDF a podepsanou kvalifikovaným elektronickým podpisem osoby oprávněné jednat jménem či za dodavatele;

  • jméno, příjmení a funkce osoby, která je jménem či za dodavatele oprávněna Neveřejnou část převzít.

• osobě, která je jménem či za dodavatele oprávněna Neveřejnou část převzít, bude Neveřejná část předána elektronicky v odpovědi na žádost dle první odrážky prostřednictvím elektronického nástroje E‑ZAK na adrese: xxxxx://xxxx.xxxxxx.xx/, přičemž k převzetí Neveřejné části je dodavatel povinen poskytnout potřebnou součinnost.

Zadavatel nepožaduje žádnou úhradu nákladů za poskytnutí Neveřejné části.

5. Technické podmínky

Zadavatel požaduje dodávku řešení v podobě systému pro pokročilý bezpečnostní monitoring síťové infrastruktury (dále též jen „Systém“; jednotlivě též „zařízení“ nebo „Zařízení“), a to včetně instalace, integrace, montáže a konfigurace v prostředí zadavatele:

• 1x HW datový kolektor o celkové propustnosti minimálně 30 Gbps;

• 2x HW datový sensor o celkové propustnosti minimálně 20 Gbps;

• 6x HW datový sensor o celkové propustnosti minimálně 10 Gbps;

• 1x HW datový sensor o celkové propustnosti minimálně 500Mbps;

• 1x virtuální SW datový sensor a kolektor pro prostředí VMware o celkové propustnosti minimálně 500 Mbps;

• 8x transceiver včetně příslušenství.

Zadavatel požaduje Zboží nové, nikoliv demo, repasované nebo jakkoliv již dříve použité.

Zboží musí splňovat veškeré technické požadavky stanovené pro jeho uvedení na trh a do provozu dle právních předpisů, zejména zákona č. 22/1997 Sb., o technických požadavcích na výrobky a nařízení vlády č. 54/2015 Sb., kterým se stanoví technické požadavky na zdravotnické prostředky, ve znění pozdějších předpisů.

Pokud je v technické specifikaci níže užit pojem „možnost“, rozumí se tím vlastnost, funkce či schopnost zboží, nikoliv pouze jeho připravenost k využití této možnosti (tzn. že zadavatel požaduje, aby mohl tyto „možnosti“ využívat bez dalších finančních investic do různých rozšíření, upgradů, apod., nejsou-li tyto výslovně zmíněny).

1. Požadavky zákona o kybernetické bezpečnosti

Zadavatel na základě provedeného hodnocení rizik k zajištění povinností dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZKB“), stanovil maximální přípustnou úroveň rizika spojeného s narušením důvěrnosti, integrity nebo dostupnosti každého jednotlivého nabízeného technického nebo programového prostředku. Výsledek hodnocení rizik, provedeného dle Xxxxxxxx pro identifikaci a hodnocení aktiv a pro hodnocení rizik (příloha č. 3 této zadávací dokumentace) včetně maximální přípustné hodnoty rizika je obsažen ve zprávě k hodnocení rizik souvisejících s plněním předmětu veřejné zakázky (příloha č. 4 této zadávací dokumentace).

Zadavatel byl rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost (dále také jen „NÚKIB“) ze dne 23. 10. 2018 dle § 22a zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZKB“), určen provozovatelem základní služby. Z tohoto důvodu je FN Brno povinen v zadávacím řízení zohlednit varování NÚKIB ze dne 17. 12. 2018, sp. zn. 110-536/2018, č. j. 3012/2018-NÚKIB-E/110 (dále také jen „varování NÚKIB“). Pro zajištění této povinností zadavatel v souladu s § 4 odst. 4 ZKB a § 37 odst. 1 písm. b) zákona požaduje provedení hodnocení rizik ve smyslu § 2 písm. d) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále jen „VKB“), nabízeného řešení, a to postupem podle přílohy č. 3 této zadávací dokumentace.

V případě, že hodnota takto zjištěného rizika je dle přílohy č. 4 této zadávací dokumentace nepřípustná, tedy je v rozporu se zadavatelem stanovenou technickou podmínkou maximální přípustné úrovně rizika spojeného s narušením kybernetické bezpečnosti, tj. důvěrnosti, integrity nebo dostupnosti každého jednotlivého nabízeného technického nebo programového prostředku, požaduje zadavatel jako součást nabízeného řešení taková bezpečnostní opatření, která hodnotu tohoto rizika sníží na akceptovatelnou úroveň, tj. tak, aby nebylo nepřípustné. Zadavatel v takovém případě požaduje, aby účastník zadávacího řízení ve své nabídce současně doložil účinnost těchto bezpečnostních opatření druhým hodnocením rizik provedeným postupem podle přílohy č. 3 této zadávací dokumentace. Zadavatel v rámci posouzení splnění podmínek účasti dodavatelů v zadávacím řízení provede posouzení splnění takto stanovené technické podmínky, přičemž si vyhrazuje právo ověřovat řádnost provedených hodnocení rizik, jakož i účinnost navržených bezpečnostních opatření. Zároveň zadavatel upozorňuje na skutečnost, že veškeré náklady na navrhovaná bezpečnostní opatření musí být zahrnuty v nabídkové ceně.

Zadavatel v této souvislosti upozorňuje, že pokud:

• bude nesprávně zjištěná hodnota rizika v prvním nebo druhém hodnocení,

• bude výše uvedeným postupem zjištěno nepřípustné riziko nebo

• navržená bezpečnostní opatření nepovedou ke snížení zjištěného rizika na akceptovatelnou úroveň,

nesplní nabídka účastníka zadávacího řízení zadávací podmínky. Zadavatel je v takovém případě oprávněn postupovat podle příslušného ustanovení § 48 zákona a účastníka zadávacího řízení vyloučit z další účasti v zadávacím řízení.

V případě, že nabízené zboží (žádná jeho položka) neobsahuje produkty uvedené ve varování NÚKIB, tj. nabízené řešení neobsahuje žádné technické ani programové prostředky společností Huawei Technologies Co., Ltd. Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, nebo ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, ani jejich dceřiných společností, může účastník zadávacího řízení namísto provedení hodnocení rizik tuto skutečnost čestně prohlásit, tj. doložit v nabídce čestné prohlášení, že žádná položka nabízeného řešení neobsahuje žádné technické ani programové prostředky společností Huawei Technologies Co., Ltd. Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, nebo ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, ani jejich dceřiných společností. Zadavatel upozorňuje, že v případě, že po uzavření smlouvy vyjde najevo, že toto čestné prohlášení neodpovídá skutečnosti, bude oprávněn odstoupit od smlouvy.

2. Základní parametry prostředí zadavatele

Zadavatel pro účely sestavení nabídek sděluje následující informace o prostředí zadavatele. Nabídka musí svým rozsahem těmto informacím odpovídat, tj. nabídka musí být dimenzována tak, aby umožňovala provedení veškerých prací nezbytných k implementaci nabízeného řešení do prostředí zadavatele, které má tyto parametry. O této skutečnosti účastník zadávacího řízení učiní v nabídce čestné prohlášení.

Prostředí zadavatele je situováno do čtyř lokalit:

• areál Bohunice, Xxxxxxxxx 00, Xxxx;

• areál Porodnice, Xxxxxx xxx 00, Xxxx;

• areál Dětská nemocnice, Xxxxxxxxxx 0, Xxxx;

• transfuzní stanice Xxxxxxxxx xxxxxxx 0, Xxxxxx.

Dále zadavatel uvádí následující parametry své síťové infrastruktury:

Parametr	Hodnota parametru	Poznámka
Počet informačních systémů základní služby identifikovaných dle ZKB	23
Přibližný počet IP adres	8000
Počet zdravotnických prostředků na síti (max. hodnota)	600
Počet pevných PC	2500
Počet virtuálních PC	1000
Počet zaměstnanců celkem	5700
Počet uživatelů v síti celkem	8900	Uživatele s pracovní smlouvou, cca 240 firemních účtů
Orientační počet switchů	300
Orientační počet routerů	10
Orientační počet WiFi AP	750
Počet VPN gateway	3
Počet firewallů samostatných	2	Zapojeno v HA
Počet Radius serverů	8
Orientační počet Windows serverů	180
Orientační počet Linux serverů	120
Orientační počet databázových serverů	21
Počet virtualizačních serverů pro VMWare	24	12 serverů je využíváno pro virtualizaci serverů, 12 serverů je využíváno pro Horizon virtuální PC

3. Specifikace požadovaného řešení

Zadavatel požaduje dodávku systému pro pokročilý bezpečnostní monitoring síťové infrastruktury (dále jen „systém“ nebo „Systém“), který bude kombinací hardwarových zařízení a software a s ohledem na rozsah síťové infrastruktury zadavatele bude splňovat další uvedené požadavky včetně výkonnostních požadavků.

Údaje pro pokročilý bezpečnostní monitoring síťové infrastruktury musí být shromažďovány pomocí alespoň deseti síťových sond (dále též „síťové sondy“) a vyhodnocovány pomocí jednoho hardwarového kolektoru.

Dodavatel musí montáž, služby (podpora, odstraňování vad a další) a další plnění poskytovat tak, aby zadavatel mohl prostřednictvím dodavatele využívat podpor, služeb, záruk, aktualizací software, garancí a dalších souvisejících plnění poskytovaných (přímo či prostřednictvím dodavatele) k dodaným zařízením výrobcem těchto zařízení. Součástí nabídky budou doklady osvědčující oprávnění dodavatele zprostředkovávat zadavateli plnění výrobců zařízení, jejichž dodávku zadavatel požaduje, jestliže tato plnění budou s ohledem na obchodní podmínky těchto výrobců zajišťovány přímo u těchto výrobců.

1. Obecné požadavky

Systémové požadavky na Systém:

• musí být zcela nezávislý na provozované síťové infrastruktuře a svou funkcí monitorovanou síť nesmí ovlivňovat;

• musí být složený z hardwarových zařízení a software a musí monitorovat síťovou aktivitu v reálném čase a identifikovat potenciální kybernetické hrozby, bezpečnostní rizika a anomální chování a musí o nich v reálném čase vytvářet upozornění;

• musí analyzovat síť na základě zrcadleného síťového provozu ze SPAN portů nebo TAPů (nikoliv jen na základě statistických protokolů typu NetFlow) a zároveň bez potřeby nasazovat agenty na koncové stanice nebo další zařízení v síti;

• musí analyzovat obsah datových paketů v reálném čase a detekovat protokol nebo aplikaci na základě obsahu provozu prostřednictvím DPI (Deep Packet Inspection), nikoli pouze čísla portu;

• musí být schopen analyzovat síť také na základě zpracování statistických protokolů typu NetFlow, IPFIX, NetStream, Cisco NSEL a případně dalších;

• musí být plně funkční v offline prostředí zadavatele bez využití cloudového prostředí pro sběr, ukládání a zpracování dat a veškeré konfigurace a reporting jsou k dispozici přímo v Systému;

• aktualizace Systému musí být možné provádět uživatelsky v offline režimu.

Zpracování a ukládání síťových toků:

• Systém ukládá síťové toky ve formátu, který umožní analýzu síťové komunikace na úrovni jednotlivých toků, včetně dohledání informací o aplikačních transakcích a jejich metadatech z L2 až L7, obsažených v daném síťovém toku;

• požadované protokoly pro ukládání aplikačních metadat z jednotlivých transakcí jsou: DHCP, DNS, SMB, HTTP, HTTPS, SMTP, SMTPS, POP3, IMAP, SSH, LDAP, LDAPS, KERBEROS, SNMP, CIFS, MSSQL, RDP, SIP, TELNET, FTP, FTP-DATA, TFTP, TFTP-DATA, NFS, ARP, SSL/TLS zapouzdření;

• je požadováno vysokorychlostní úložiště minimálně ve formě SSD disků pro uchování historie datových toků na dobu minimálně 3 měsíce.

Analýza aplikačních a systémových logů:

• Systém musí být schopen sbírat a analyzovat aplikační a systémové logy ve formátu syslog z dohledovaných zařízení a identifikovat nebezpečné nebo potenciálně škodlivé aktivity.

Uživatelské rozhraní:

• Systém musí poskytovat jednotné grafické uživatelské rozhraní pro veškerou práci uživatelů, včetně všech detekcí, analýzy síťových statistik, nastavení systému, konfiguraci alertů, reportů a dashboardů;

• Systém musí být schopen vytváření profilů a skupin uživatelů pro omezení funkcionality produktu a viditelnosti uložených dat s podporou minimálně:

• granulárního nastavení přístupu k analytickým i konfiguračním/administrativním komponentám Systému s definovanými úrovněmi přístupu (alespoň read, write, execute);

• granulárního nastavení přístupu k datům z různých segmentů sítě organizace s definovanými úrovněmi přístupu (alespoň read, write, execute);

• vytváření vlastních filtrů veškerých dat a jejich sdílení mezi uživateli a skupinami uživatelů;

• vytváření vlastních uživatelských pohledů, reportů, dashboardů apod.

Automatické hlášení (alerty) a reporting:

• Systém musí být schopen upozorňovat uživatele prostřednictvím minimálně e-mailu a logu o všech identifikovaných událostech a dále o událostech filtrovaných minimálně dle IP a MAC adresy, podsítě, závažnosti události, kategorie události, země, uživatele, síťové služby, čísla portu, provozu do/z internetu;

• tyto alerty musí být Systém schopen dodávat i ve strojově čitelném formátu pro vyžití v nástrojích typu SIEM a musí obsahovat minimálně kompletní informace o detekované události včetně URL odkazu na danou událost v reportovaném období do grafického rozhraní Systému;

• Systém musí mít možnost vytváření automatizovaných manažerských reportů o stavu kybernetické bezpečnosti z pohledu zprávy kybernetických incidentů ideálně dle oblastí jejich vzniků (např.: doména, web, email apod.);

• je požadováno vytváření automatizovaných reportů v českém jazyce.

Integrace systému:

• Systém musí poskytovat hotové nástroje umožňující integraci se softwarem třetích stran bez použití API systému, a to minimálně:

• syslog, CEF a LEEF pro export událostí včetně plné podpory filtrů (exportování pouze požadovaných dat);

• přímé url odkazy na libovolnou obrazovku grafického uživatelského rozhraní a filtrovaná zobrazení v grafickém uživatelském rozhraní;

• export informací o toku ve formátu IPFIX nebo podobném formátu včetně plné podpory filtrů (exportovat lze pouze požadovaná data);

• integrace se službami identity uživatelů bez nutnosti konfigurace zasílání logů do systému – minimálně Cisco ISE a Microsoft Active Directory;

• integrace s firewally, alespoň Palo Alto, Fortinet a Checkpoint, pro automatické a manuální reakce vyvolané systémem;

• integrace s nástroji pro řízení přístupu k síti minimálně Cisco ISE, pro automatickou a manuální reakci systému;

• součástí dodávky musí být podrobná dokumentace tohoto API v českém jazyce.

2. Požadavky na architekturu nasazení

Obecné požadavky pro nasazení:

• pro všechny HW komponenty, které budou součástí Systému, je požadován formát 1U nebo 2U server o velikosti 19“;

• pro všechny HW komponenty, které budou součástí Systému, je požadován duální zdroj napájení se schopností hot-swap. Délka napájecího kabelu alespoň 2 m;

• pro všechny HW komponenty, které budou součástí Systému, je požadováno samostatné síťové rozhraní pro vzdálenou správu, pro případ výpadku systému, typu IPMI, IDRAC, ILO apod., a to minimálně 1GE.

Požadavky pro pokrytí IT prostředí:

• síťové komunikační rozhraní u datových senzorů i kolektoru musí podporovat funkci teamingu;

• dodaný Systém musí umožňovat provoz v síťovém prostředí o alespoň 8000 aktivních zařízení s průměrným celkový průtokem 15-30Gbps. Další parametry prostředí zadavatele jsou uvedeny v kap. V.2 této zadávací dokumentace;

• je požadován 1x HW datový kolektor o celkové průměrné kapacitě zpracování datového toku minimálně 30Gbps s monitorovacím rozhraním 2x 1GE a 2x10GE (SPF+);

• dodaný Systém musí s ohledem na výše uvedené parametry prostředí zadavatele udržovat dostupnou historii dat minimálně 3 měsíce zpětně, uloženou na rychlém úložišti typu NVMe SSD o velikosti alespoň 20TB a požadován je minimálně RAID10 nebo RAID6 se schopností hot-swap. Dále je požadováno úložiště s pomalým přístupem, které umožní uložení dlouhodobější uložení dat a to minimálně dalších 6 měsíců a umožní ukládání dočasných záznamů plného datového toku (pcap);

• dodaný Systém umožní průběžné zálohování všech uložených dat na externí úložiště s využitím standardních komunikačních protokolů;

• je požadován 2x HW datový sensor o celkové průměrné kapacitě zpracování datového toku minimálně 20Gbps s monitorovacím rozhraním 2x 40/100GE (QSFP28);

• je požadován 6x HW datový sensor o celkové průměrné kapacitě zpracování datového toku minimálně 10Gbps s monitorovacím rozhraním 2x 1GE a 2x10GE (SPF+);

• je požadován 1x HW datový sensor o celkové průměrné kapacitě zpracování datového toku minimálně 500Mbps s monitorovacím rozhraním 2x 1GE a 2x10GE (SPF+);

• je požadován 1x virtuální SW datový sensor a kolektor pro prostředí VMware o celkové průměrné kapacitě zpracování datového toku minimálně 500Mbps;

• jsou požadovány veškeré síťové komponenty (kabeláž, optická kabeláž, SFP+ moduly), nutné pro zapojení celého řešení.

3. Transceivery

Součástí dodávky musí být rovněž dále uvedené transceivery včetně dále uvedeného příslušenství. Všechny transceivery musí být plně kompatibilní a správně identifikované podle ID ve stávající infrastruktuře aktivních prvků zadavatele.

Požadovaná funkcionalita/vlastnost	Počet kusů
100G QSFP28 Transceiver 100GBASE-LR4, 10 km SMF, duplex, LC	8 ks
10GBASE-LR SFP+ Module, 1310, SMF, LC, 10km	28 ks
Patchcord optický SM OS1/OS2 9/125, LC/PC-LC/PC, 3m, LSOH žlutý dup.	10 ks
Patchcord optický SM OS1/OS2 9/125, LC/PC-LC/PC, 5m, LSOH žlutý dup.	5 ks
Patchcord optický SM OS1/OS2 9/125, LC/PC-LC/PC, 10m, LSOH žlutý dup.	2 ks
Patchcord optický SM OS1/OS2 9/125, LC/PC-LC/PC, 15m, LSOH žlutý dup.	2 ks

4. Požadavky na schopnost detekce bezpečnostních událostí

Monitorování zařízení, segmentů sítě a využívaných síťových služeb:

• dodaný Systém musí identifikovat všechna zařízení připojená do sítě včetně koncových zařízení, serverů, IoT zařízení apod. Zároveň musí být systém schopen identifikovat změny v síti – minimálně:

• změna IP/MAC adresy hosta;

• duplicitní IP/MAC adresa;

• změna VLAN;

• vytvoření nové podsítě;

• připojení nového zařízení;

• použití nebo vznik nové služby;

• nedostupnost dříve dostupné a komunikující služby nebo dříve dostupného a komunikujícího zařízení;

• přístup nového zařízení ke službě či zařízení;

• ověřování platnosti interních certifikátu pro validní TLS šifrování u HTTPS a upozornění před datem jejich vypršení;

• Systém musí uživateli umožnit pomocí těchto detekčních metod nastavovat bezpečnostní politiky pro různé segmenty sítě a pro různá zařízení a na porušení těchto politik reagovat upozorněním.

Samostatné učení behaviorálních aktivit a detekce anomálií:

• Systém musí používat matematické metody samostatného učení pro analýzu síťové aktivity, vytvářet a v čase automaticky modifikovat modely chování na základě běžného chování jednotlivých zařízení a na nich provozovaných služeb v rámci celé organizace;

• Systém musí mít schopnost na základě matematického modelu daného zařízení a jeho služeb identifikovat nestandardní síťové chování, a to zejména odchylky od modelu normálního chování pro:

• odchylku od modelu pro přenos dat, toků a paketů;

• odchylku od modelu pro počet komunikačních partnerů;

• odchylku od modelu entropie na komunikačních portech;

• odchylku od modelu pro počet síťových toků a využitých síťových služeb;

• odchylku od modelu výkonnosti sítě (rychlost přenosu) a aplikací (doba odezvy);

• samostatné učení je požadováno na všech síťových zařízeních a na nich provozovaných službách (port číslo 0 až 65535 u TCP i UDP) na IPv4 a IPv6 a dalších protokolech L3 a L4 síťové vrstvy.

Identifikace neznámých hrozeb a podezřelých chování:

• Systém musí být schopen detekovat neznámé hrozby, které nelze identifikovat prostřednictvím detekčních signatur, jako jsou trojské koně, botnety apod. Zejména musí být identifikovány tyto příznaky potenciálně škodlivého chování:

• průzkumné aktivity v síti;

• detekce podezřelého strojového chování, které nevytvářejí lidští uživatelé sítě;

• detekce repetitivních vzorců chování na síti;

• detekce botnetů a ovládání kompromitované stanice;

• detekce příznaků těžení kryptoměn;

• útoky hrubou silou a enumerace dat;

• rozpoznání tunelovaného síťového provozu – alespoň IPv4 prostřednictvím IPv6 a DNS tunely.

Detekce na základě databáze známých hrozeb:

• Systém musí být schopen identifikovat hrozby a reportovat události na základě:

• detekční databáze známých hrozeb, tj. malware (trojské koně, viry, červy, rootkity, apod.), známých útoků (exploity) a zranitelností, porušení bezpečnostních pravidel a „best practices“ a dalších rizik;

• reputační databáze známých škodlivých IP adres, TLS certifikátů, záznamů DNS a hostname, URL adres a hashů souborů;

• tyto databáze musí být aktualizované nejméně jednou za hodinu a to za účelem přesnější detekce infikovaných zařízení a účinnějšího odhalování komunikace s botnet command a control center. Při této aktualizaci musí docházet k průběžné aktualizaci vzorů chování detekčních metod umožňující detekci nejnovějších hrozeb, jako jsou např. zranitelnosti nultého dne. Nesmí se jednat pouze o volně dostupné/open-source databáze, ale musí se jednat minimálně o komerční databázi proofpoint nebo jinou rovnocennou databázi;

• uživatel musí být schopen importovat vlastní záznamy identifikovaných zdrojů hrozeb nebo indikátorů kompromitace;

• Systém musí využívat tuto detekci pro veškerý monitorovaný provoz (na perimetru i v interní síti mezi všemi segmenty), nikoliv pouze pro omezený segment nebo podmnožinu celkové komunikace;

• databáze detekčních pravidel (signatur) musí být založena na pokročilých regulárních výrazech pro zpracování řetězců, které dokáží provádět inspekci veškeré síťové komunikace od L2 (Ethernet apod.) po L7. Systém musí detekovat události na základě vysokého počtu signaturních pravidel (minimálně několik desítek tisíc);

• uživatel musí být schopen přidávat vlastní detekční pravidla v praktickém a obecně využívaném formátu, a to alespoň SNORT nebo Surricata IDS. Příklad možné syntaxe detekčního pravidla: alert tcp $HOME_NET any -> any any (msg:”Command Shell Access”; content:”C:\\Users\\Administrator\\Desktop\\hfs2.3b”; sid:1000001; rev:1;).

Analýza šifrované komunikace:

• vedle samostatného učení musí Systém používat další metody pro analýzu šifrované komunikace, minimálně TLS fingerprinting a s ní spojenou detekci známých hrozeb.

Asistované učení:

• je požadován uživatelsky přívětivý proces vytváření pravidel pro zpřesnění detekce a eliminaci falešně pozitivní detekce, a to na základě minimálně následujících parametrů:

• IP adresa;

• MAC adresa;

• hostname;

• segment sítě / podsíť;

• lokalita – ASN, země, apod.;

• směr komunikace – určení klienta, nebo serveru;

• detekovaná událost – kategorie, název apod.;

• použité služby, protokolu, portu;

• libovolné kombinaci výše popsaných;

• Systém musí být schopen eliminovat falešné alarmy i pro události detekované v historii.

5. Požadavky na zajištění síťové viditelnosti

Vyhledávání, filtrování a vizualizace dat:

• Systém musí být schopen okamžitého (v řádu jednotek vteřin) vyhledávání a vizualizace pro forenzní analýzu a podporu threat hunting bez zvláštního dotazovacího jazyka;

• možnost okamžitě filtrovat a vyhledávat v plné historii všech uložených dat, tj. bezpečnostních událostí, síťových toků a agregovaných síťových statistikách (tabulky a grafy), a to minimálně:

• podle parametrů IP a MAC adresa, hostname, username (identita uživatele), příchozí a odchozí provoz, síťová služba, lokální nebo vzdálená služba (služba z pohledu klient nebo server), číslo portu, VLAN, země, ASN;

• prostřednictvím full-textového vyhledávání v datech a vyhledávání na základě definice směru (zdroj, cíl) a logických operátorů and, or, not;

• Systém musí pro vyhledávání poskytovat již předpočítané hodnoty výkonnostních a behaviorálních charakteristik pro každé zařízení v síti a pro všechny na něm provozované služby, bez nutnosti zpracování surových dat ze síťových logů;

• Systém musí být schopen filtrovat a vizualizovat výsledky v grafech, výčtových tabulkách s možností řazení a TOP N statistikách;

• Systém musí být schopen ukládat a následně vyhledávat aplikační metadata (vždy dotaz i odpověď všech transakcí v toku) minimálně z následujících protokolů, které jsou nebo mohou být využívány ve vnitřní síti organizace: FTP, FTP-DATA, TFTP, TFTP-DATA, SSH, Telnet, SMTP, SMTPS, DNS, DHCP, HTTP, HTTPS, NTP, SMB, SNMP, LDAP, NFS, RDP, ARP, MS-SQL, SIP, Kerberos, SSL/TLS;

• Systém umožnuje provádět uživatelsky jednoduché a okamžité vizualizace síťových prostupů mezi zařízeními a podsítěmi. Využitím uživatelského datového filtru lze vizualizační pohledy libovolně modifikovat.

Kontextuální informace:

• Systém musí být schopen pro každé zařízení získávat, vizualizovat a v jednom grafickém pohledu zobrazovat kontextuální informace:

• jméno uživatele a další jeho parametry z doménového řadiče (MS Active Directory), včetně její historie;

• hostname zařízení a jeho historie na základě zpracování relevantních dat z DNS a DHCP provozu;

• IP geolokace;

• IP reputace, vč. údaje, jestli je IP adresa na blacklistu nebo podezřelá;

• historie použitých MAC adresa a výrobce zařízení;

• operační systém a jeho historie na zařízení;

• uživatelem zadané poznámky a informace k zařízení;

• automaticky přiřazené značky/tagy zařízení, které popisují jejich účel a chování – alespoň server doménového řadiče, webový server, poštovní server, server DNS, server SSH, databázový server, tiskárna, administrátorské zařízení, datové úložiště, aktivní dohledy, skenery zranitelností a technologické systémy.

Zaznamenávání a ukládání plného provozu:

• je požadováno volitelné nahrávání plného síťového provozu (full packet capture) ve formátu PCAP na všech dodaných zařízeních minimálně na základě parametrů:

• cílová a zdrojová IP/MAC adresa;

• podsíť;

• využitý protokol;

• IPv4 nebo IPv6;

• zaznamenávání je možno zapínat automaticky dle detekovaných událostí, nebo uživatelskou aktivací.

4. Požadavky na služby podpory

Zadavatel požaduje k Systému poskytování následujících služeb, součinnosti a dalších plnění. Zadavatel tedy požaduje služby, součinnost a další plnění alespoň v následujícím rozsahu:

• zaškolení obsluhy Systému v rozsahu alespoň 40 hodin alespoň pro 5 osob;

• nejméně po dobu 60 měsíců poskytování nebo zajištění služby odstraňování vad Systému, a to v režimu 8x5 s lhůtou pro odstranění vady do konce následujícího pracovního dne;

• nejméně po dobu 60 měsíců poskytování nebo zajištění služby technické podpory dodavatele k Systému, a to v režimu 8x5 s lhůtou vyřešení požadavku do konce následujícího pracovního dne;

• nejméně po dobu 60 měsíců poskytování následujících služeb k dodaným zařízením, a to v režimu 8x5 s lhůtou pro vyřešení požadavku do konce následujícího pracovního dne:

  • výměna vadného zařízení u výrobce za nové v případě, že problém nelze řešit vzdáleně technickou podporou dodavatele ani výrobce zařízení;

• technická podpora výrobce dodaných zařízení;

• technická podpora a konzultací dodavatele v českém jazyce;

• možnost zadavatele samostatně nebo prostřednictvím dodavatele otevřít požadavek na technickou podporu výrobce a provádět změny tohoto požadavku;

• health check (profylaxe) dodaných zařízení minimálně 1x za kalendářní čtvrtletí;

• Nejméně po dobu 60 měsíců poskytování následujících služeb k dodaným zařízením, a to v režimu 8x5, tj. v pracovní době:

  • aktualizace firmwaru/softwaru dodaných Zařízení;

  • aktualizace software, které je součástí Systému;

• Nejméně po dobu 60 měsíců v režimu 24x7, tj. NONSTOP:

  • online zpřístupnění všech verzí software dodaných zařízení a aktualizovaných verzí software dodaných zařízení;

  • online přístup ke znalostní bázi výrobce dodaných zařízení, ledaže výrobce Zařízení takovou bázi neprovozuje;

• požadavky na poskytování výše uvedených služeb musí být možné zadávat telefonicky prostřednictvím veřejně dostupného telefonního čísla uvedeného na webových stránkách výrobce zařízení, e-mailem i přes webové rozhraní.

5. Požadavky na montáž, konfiguraci a další plnění

Zadavatel požaduje provedení instalace, implementace, integrace, montáže a konfigurace Systému tak, aby byl plně provozuschopný v síťové infrastruktuře zadavatele, a to v dále uvedeném rozsahu. Tato plnění budou provedena dle Realizačního projektu, jak je tento pojem vymezen v příloze č. 1 této zadávací dokumentace, a musí mj. spočívat v následujících činnostech:

• montáž dvou HW sond umístěných do dvou datových center v areálu Bohunice, tří HW sond k distribučním switchům v areálu Bohunice, dále jedné HW sondy do centrální serverovny Porodnice na Obilném trhu, dvou HW sond do serveroven Dětské nemocnice, jedné HW sondy do lokality Třebíč a jedné virtuální sondy do virtualizační serverové infrastruktury;

• montáž HW sond a kolektoru včetně připojení ke zdroji elektrické energie pomocí napájecích kabelů z příslušenství zařízení a připojení do síťové infrastruktury zadavatele;

• konfigurace HW sond a jejich napojení na kolektor;

• kompletní konfigurace kolektoru a jeho integrace s infrastrukturními prvky a dalšími technologiemi zadavatele.

6. Obchodní podmínky

Obchodní podmínky jsou obsaženy v závazném návrhu smlouvy, který je přílohou č. 1 této zadávací dokumentace. Pro doplnění návrhu smlouvy platí následující požadavky zadavatele (dále viz kap. XI této zadávací dokumentace):

• smlouva musí být předložena ve znění uvedeném v příslušné příloze této zadávací dokumentace, a to bez jakýchkoli změn a ve formátu DOC nebo DOCX;

• do smlouvy je však účastník zadávacího řízení povinen doplnit zadavatelem vyznačené údaje, přičemž nabídkovou cenu účastník zadávacího řízení rozčlení v souladu s kap. Chyba! Nenalezen zdroj odkazů. této zadávací dokumentace;

• do harmonogramu uvedeném odst. V.1 návrhu smlouvy účastník zadávacího řízení doplní délku lhůty pro řádné dokončení III. etapy v kalendářních dnech, přičemž tato hodnota nesmí být delší než 90 kalendářních dnů (vyplněná délka lhůty je předmětem hodnocení nabídek);

• do přílohy č. 1 smlouvy účastník zadávacího řízení přehledně a ve strojově čitelném formátu doplní detailní specifikaci Zboží, služeb a dalších plnění požadovaných touto zadávací dokumentací, které nejsou specifikovány v jiných částech smlouvy, a to tak, aby z takto doplněné přílohy č. 1 smlouvy jednoznačně vyplývalo splnění všech požadavků uvedených v této zadávací dokumentaci.

7. Jiné podmínky a požadavky zadavatele

1. Povinné doklady

Součástí nabídky musí být následující doklady v českém jazyce (není-li dále stanoveno jinak):

• údaje a dokumenty, které zadavatel potřebuje k hodnocení nabídek a posouzení splnění podmínek účasti v zadávacím řízení;

• čestné prohlášení o tom, že nabídka je dimenzována podle parametrů prostředí zadavatele uvedených v kap. V.2 této zadávací dokumentace;

• ceny jednotlivých dílčích položek (komponent), ze kterých se skládá předmět veřejné zakázky;

• veškeré doklady, které jsou dle právních předpisů nezbytné pro splnění předmětu veřejné zakázky, jakož i doklady, které jsou požadovány touto zadávací dokumentací;

• uživatelský návod ke Zboží v českém jazyce ve formátu DOC, DOCX, RTF nebo PDF, a to vždy; pokud výrobce Zboží nemá sídlo v České republice, předloží tento uživatelský manuál současně v anglickém jazyce ve formátu DOC, DOCX, RTF nebo PDF;

• čestné prohlášení, že Zboží má CE certifikát a prohlášení o shodě dle zákona č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů, a pokud se jedná o zdravotnický prostředek dle zák. č. 89/2021 Sb. (zákon o zdravotnických prostředcích), v platném znění, s uvedením klasifikační třídy, a to v českém jazyce;

• označení přístroje „CE“ v uživatelském manuálu.

• prohlášení výrobce Zboží nebo jeho oficiálního zastoupení o tom, že na Zboží identifikované podle sériových čísel bude zadavateli jakožto koncovému zákazníkovi poskytnuta záruka výrobce v plném, výrobcem poskytovaném rozsahu;

• potvrzení výrobce o určení Zboží pro evropský trh;

Součástí nabídky musí dále být následující doklady:

• čestné prohlášení, že žádná položka Zboží neobsahuje žádné technické ani programové prostředky společností Huawei Technologies Co., Ltd. Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, nebo ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, ani jejich dceřiných společností, nebo, jestliže kterákoli položka nabízeného Zboží takové technické nebo programové prostředky obsahuje nebo to nelze vyloučit:

  • hodnocení rizik nabízeného řešení ve smyslu § 2 písm. d) VKB provedené postupem podle této zadávací dokumentace a podle přílohy č. 3 této zadávací dokumentace, a to v míře podrobnosti umožňující zadavateli přezkoumání postupu hodnocení;

  • v případě, že hodnota rizika nabízeného řešení zjištěná podle předchozí odrážky je dle kap. V.1 této zadávací dokumentace a přílohy č. 4 této zadávací dokumentace nepřípustná, předloží účastník zadávacího řízení rovněž hodnocení rizik nabízeného řešení po implementaci bezpečnostních opatření navržených za účelem snížení hodnoty tohoto rizika tak, aby nebylo nepřípustné, a to v míře podrobnosti umožňující zadavateli přezkoumání postupu hodnocení;

  • podrobný popis bezpečnostních opatření dle předchozí odrážky v rozsahu nezbytném pro vyhodnocení jejich účinnosti zadavatelem.

2. Výhrady zadavatele

Zadavatel si vyhrazuje právo:

• upravit, doplnit nebo změnit podmínky veřejné zakázky, a to všem účastníkům zadávacího řízení shodně a stejným způsobem;

• upravit předložený návrh kupní smlouvy, tzn. provést úpravy po formálně právní stránce, které nenaruší podstatné náležitosti této smlouvy, a to při zachování souladu konečného znění smlouvy se zadávacími podmínkami této veřejné zakázky;

• v případě shodných počtů bodů určit vítěze losem.

8. Prohlídka místa plnění

Zadavatel s ohledem na charakter předmětu veřejné zakázky neumožní prohlídku místa plnění.

9. Způsob hodnocení nabídek a požadavky na zpracování nabídkové ceny

Nabídky budou hodnoceny podle ekonomické výhodnosti, a to následujícím postupem.

Zadavatel stanovil následující dílčí hodnoticí kritéria, kterým stanovil váhy vyjádřené v procentech takto:

• dílčí hodnoticí kritérium č. 1 – nabídková cena bez DPH: váha tohoto dílčího hodnoticího kritéria je 80 %;

• dílčí hodnoticí kritérium č. 2 – lhůta pro provedení Instalace, jak je tento pojem vymezen v odst. II.2 písm. c) návrhu kupní smlouvy, který je přílohou č. 1 této zadávací dokumentace (tj. lhůta pro řádné splnění III. etapy harmonogramu): váha tohoto dílčího hodnoticího kritéria je 20 %.

Každá nabídka bude ohodnocena počtem bodů na bodovací stupnici od 0 do 100 bodů, který bude určen jako součet bodů v dílčích hodnoticích kritériích (počty bodů v jednotlivých dílčích hodnoticích kritériích se určí dle kap. IX.2 a IX.3 této zadávací dokumentace):

počet bodů = počet bodů v dílčím hodnoticím kritériu č. 1 + počet bodů v dílčím hodnoticím kritériu č. 2

Tento počet bodů, jakož i počty bodů v dílčích hodnoticích kritériích, budou stanoveny s přesností na dvě desetinná místa.

Nabídky budou hodnoceny dle ekonomické výhodnosti tak, že budou seřazeny podle počtů získaných bodů od nabídky s nejvyšším počtem bodů po nabídku s nejnižším počtem bodů, přičemž jako nejvýhodnější bude hodnocena nabídka s nejvyšším počtem bodů. V každém dílčím hodnoticím kritériu může nabídka získat nejvýše tolik bodů, kolik procentních bodů činí váha tohoto dílčího hodnoticího kritéria.

1. Způsob zpracování nabídkové ceny

Nabídková cena bude zpracována jako celková cena za splnění celého předmětu veřejné zakázky, tj. cena za poskytnutí veškerých dalších požadovaných plnění, jak je předmět veřejné zakázky specifikován v této zadávací dokumentaci a v návrhu smlouvy, který je přílohou č. 1 této zadávací dokumentace, a to v Kč bez daně z přidané hodnoty (dále jen „DPH“), včetně DPH a s vyčíslením sazby a výše DPH.

Účastník zadávacího řízení v nabídce zpracuje nabídkovou cenu tak, že ji rozdělí na:

• kupní cenu Zboží, jejíž součástí musí být i cena za poskytování záruky za Zboží a za veškeré požadované služby poskytované přímo nebo nepřímo (prostřednictvím dodavatele) výrobcem Zboží, které společně tvoří součást záruky za Zboží; a

• cenu za ostatní požadované služby poskytované dodavatelem, tj. nikoli výrobcem Zboží.

Účastník zadávacího řízení tedy zpracuje nabídkovou cenu do následující tabulky:

Č. řádku	Položka	Cena bez DPH v Kč	Sazba DPH v %	Výše DPH v Kč	Cena včetně DPH v Kč
1	Kupní cena Zboží	[DOPLNÍ DODAVATEL]	[DOPLNÍ DODAVATEL]	[DOPLNÍ DODAVATEL]	[DOPLNÍ DODAVATEL]
2	Cena za ostatní požadované služby poskytované dodavatelem	[DOPLNÍ DODAVATEL]	[DOPLNÍ DODAVATEL]	[DOPLNÍ DODAVATEL]	[DOPLNÍ DODAVATEL]
3	Nabídková cena, tj. součet údajů v řádcích 1 a 2	[DOPLNÍ DODAVATEL]	XXX	[DOPLNÍ DODAVATEL]	[DOPLNÍ DODAVATEL]

Účastník zadávacího řízení dále v nabídce uvede ceny jednotlivých dílčích položek (komponent), ze kterých se předmět veřejné zakázky skládá.

2. Hodnocení v dílčím hodnoticím kritériu č. 1

Počet bodů získaných v dílčím hodnoticím kritériu č. 1 se určí dle následujícího vzorce:

počet bodů v dílčím hodnoticím kritériu č. 1	=	nejnižší nabídková cena	· 80
		hodnocená nabídková cena

3. Hodnocení v dílčím hodnoticím kritériu č. 2

Lhůta pro provedení Instalace, jak je tento pojem vymezen v odst. II.2 písm. c) návrhu kupní smlouvy, který je přílohou č. 1 této zadávací dokumentace, tj. lhůta pro řádné splnění III. etapy harmonogramu, dále v této kapitole jen „lhůta“. Počet bodů získaných v dílčím hodnoticím kritériu č. 2 se určí dle následujícího vzorce:

počet bodů v dílčím hodnoticím kritériu č. 2	=	nejkratší lhůta	· 20
		hodnocená lhůta

10. Vysvětlení zadávací dokumentace

Zadavatel může zadávací dokumentaci vysvětlit, pokud takové vysvětlení, případně související dokumenty, uveřejní na profilu zadavatele, a to nejpozději 5 pracovních dnů před uplynutím lhůty pro podání žádostí o účast, předběžných nabídek nebo nabídek.

Pokud o vysvětlení zadávací dokumentace písemně požádá dodavatel, zadavatel vysvětlení uveřejní, odešle nebo předá včetně přesného znění žádosti bez identifikace tohoto dodavatele. Zadavatel není povinen vysvětlení poskytnout, pokud není žádost o vysvětlení doručena včas, a to alespoň 3 pracovní dny před uplynutím lhůt podle prvního odstavce, tj. celkem alespoň 8 pracovních dnů před uplynutím lhůty pro podání nabídek. Pokud zadavatel na žádost o vysvětlení, která není doručena včas, vysvětlení poskytne, nemusí dodržet lhůtu podle prvního odstavce.

Pokud je žádost o vysvětlení zadávací dokumentace doručena včas a zadavatel neuveřejní, neodešle nebo nepředá vysvětlení do 3 pracovních dnů, prodlouží lhůtu pro podání nabídek nejméně o tolik pracovních dnů, o kolik přesáhla doba od doručení žádosti o vysvětlení zadávací dokumentace do uveřejnění, odeslání nebo předání vysvětlení 3 pracovní dny.

Pokud se vysvětlení zadávací dokumentace týká částí zadávací dokumentace, které se neuveřejňují podle § 96 odst. 2 zákona, odešle je nebo předá zadavatel všem dodavatelům, kteří podali žádost o příslušné části zadávací dokumentace. V případě vysvětlení částí zadávací dokumentace, které se neuveřejňují, se vysvětlení zadávací dokumentace na profilu zadavatele neuveřejňuje.

Kontaktní osobou zadavatele je Xxx. Xxx. Xxxxxx Xxxxxxx, Ph.D., Oddělení právních věcí, Fakultní nemocnice Brno, Xxxxxxxxx 00, 000 00 Xxxx, e-mail: xxxxxxx.xxxxxx@xxxxxx.xx (viz též kap. XII této zadávací dokumentace).

11. Podmínky a další požadavky na zpracování nabídky

Zadavatel akceptuje nabídky pouze v elektronické podobě.

Nabídka bude zpracována v českém jazyce a předložena prostřednictvím elektronického nástroje E-ZAK dostupného na adrese: xxxxx://xxxx.xxxxxx.xx/

Nabídka bude zpracována v českém jazyce a předložena ve formátu DOC, DOCX nebo PDF.

Účastník zadávacího řízení předloží jako součást nabídky v samostatném souboru elektronickou verzi smlouvy uvedené v příloze č. 1 této zadávací dokumentace, a to ve formátu DOC nebo DOCX. Elektronická verze smlouvy musí být řádně vyplněna v souladu s touto zadávací dokumentací, a to včetně všech příloh. Celá elektronická verze smlouvy včetně příloh musí být v jednom souboru a musí být celá strojově čitelná v souladu se zákonem č. 340/2015 Sb., o registru smluv, ve znění pozdějších předpisů (dále jen „zákon o registru smluv“).

V případě, že obsah některé přílohy smlouvy nebude celý strojově čitelný dle zákona o registru smluv, předloží účastník zadávacího řízení takovou přílohu rovněž jako samostatný soubor, který musí podmínky strojové čitelnosti dle zákona o registru smluv splňovat (např. ve formátu XLS nebo XLSX). Zadavatel ve vztahu k podmínkám strojové čitelnosti zejména upozorňuje, že tabulky nebo texty vložené jako obrázky do textového souboru se smlouvou podmínky strojové čitelnosti dle zákona o registru smluv nesplňují. V případě, že obsah doplňovaný do příloh smlouvy účastníkem zadávacího řízení podmínky strojové čitelnosti nesplňuje, musí jej účastník zadávacího řízení předložit jako součást nabídky v samostatném souboru, který musí podmínky strojové čitelnosti dle zákona o registru smluv splňovat (např. technická specifikace v samostatném PDF souboru s textovou vrstvou, cenová nabídka v samostatném XLSX souboru apod.).

Jednotlivé soubory nabídky musí být pojmenovány tak, aby bylo jednoznačné, jaký soubor má jaký význam.

Struktura nabídky:

• obsah nabídky – seznam předkládaných dokumentů;

• krycí list účastníka obsahující identifikační údaje účastníka, a to obchodní firmu nebo název, sídlo, právní formu, IČ, DIČ, bankovní spojení, statutární orgán, telefonní, faxové a e-mailové spojení, adresu pro doručování písemností, internetovou adresu, ID datové schránky apod;

• doklady prokazující splnění kvalifikačních podmínek dle této zadávací dokumentace;

• další doklady dle této zadávací dokumentace;

• cenová nabídka zpracovaná dle této zadávací dokumentace;

• návrh smlouvy uvedený v příslušné příloze této zadávací dokumentace a zpracovaný (tj. vyplněný) dle této zadávací dokumentace včetně příloh, a to v samostatném souboru ve formátu DOC nebo DOCX.

12. Komunikace mezi zadavatelem a účastníky zadávacího řízení

Veškerá písemná komunikace mezi zadavatelem a účastníky zadávacího řízení probíhat výhradně elektronicky, a to za využití:

• elektronického nástroje E-ZAK na adrese xxxxx://xxxx.xxxxxx.xx/; zadavatel doporučuje účastníkům včas se v elektronickém nástroji registrovat a z důvodu eliminace technických problému při podávání nabídky provést TEST NASTAVENÍ PROHLÍŽEČE;

• datové schránky zadavatele: 4twn9vt;

• e-mailem na adresu kontaktní osoby pro toto zadávací řízení.

13. Podmínky pro uzavření smlouvy

Zadavatel dále bude od vybraného dodavatele dle § 122 odst. 3 zákona požadovat, aby předložil originály nebo ověřené kopie dokladů o kvalifikaci, ledaže je již bude mít k dispozici.

Zadavatel od vybraného dodavatele, který je právnickou osobou a není evidován v evidenci o skutečných majitelích, dále bude požadovat, aby jako podmínku pro uzavření smlouvy předložil dle § 122 odst. 5 zákona výpis z evidence obdobné evidenci údajů o skutečných majitelích nebo:

1. identifikační údaje všech osob, které jsou jeho skutečným majitelem podle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů; a

2. doklady, z nichž vyplývá vztah všech osob podle písmene a) k dodavateli; těmito doklady jsou zejména:

   • výpis z obchodního rejstříku nebo jiné obdobné evidence;

   • seznam akcionářů;

   • rozhodnutí statutárního orgánu o vyplacení podílu na zisku;

   • společenská smlouva, zakladatelská listina nebo stanovy.

Zadavatel upozorňuje, že podle § 211 odst. 3 zákona musí veškerá komunikace mezi zadavatelem a účastníky zadávacího řízení probíhat elektronicky. Vzhledem k této povinnosti bude zadavatel veškeré doklady vyžadovat v elektronické podobě ve formě, která má povahu originálu. Doklady dle § 122 odst. 5 zákona vybraný dodavatel předloží elektronicky v prostých kopiích, ledaže je vybraný dodavatel evidován v evidenci o skutečných majitelích.

Zadavatel upozorňuje, že bez předložení kteréhokoli z výše požadovaných dokumentů nebude s vybraným dodavatelem uzavřena smlouva.

14. Lhůta a místo pro podání nabídek a otevírání obálek

1. Lhůta pro podání nabídek

Lhůta pro podání nabídek se stanovuje do 13. 12. 2021 v 10:00 hodin.

2. Místo podání nabídek

Prostřednictvím elektronického nástroje E-ZAK na adrese xxxxx://xxxx.xxxxxx.xx/

3. Otevírání nabídek

Otevírání nabídek proběhne dne 13. 12. 2021 v 10:00 hodin prostřednictvím elektronického nástroje E-ZAK na adrese xxxxx://xxxx.xxxxxx.xx/

V Brně dne 11. 12. 2021

xxxx. XXXx. Xxxxxxxx Xxxxxx, Ph.D.,

ředitel Fakultní nemocnice Brno

Přílohy:

Přílohy č. 1 – závazný návrh smlouvy

Příloha č. 2 – dohoda o ochraně důvěrných informací

Příloha č. 3 – Metodika pro identifikaci a hodnocení aktiv a pro hodnocení rizik včetně její přílohy č. 1

Příloha č. 4 – Zpráva k hodnocení rizik souvisejících s plněním předmětu veřejné zakázky