Contract

1 Koper

1.1 Koper

Officiële naam: [Nationale Loterij N.V. van publiek recht] ---

Rechtsvorm van de koper: Overheidsonderneming onder zeggenschap van een centrale overheidsinstantie

Activiteit van de aanbestedende dienst: Recreatie, cultuur en godsdienst

2 Procedure

2.1 Procedure

Titel: Kwalificatiesysteem IT Security Audit

Titel: Système de qualification Audit de sécurité informatique

Beschrijving: Dit kwalificatiesysteem betreft het uitvoeren van veiligheidsaudits vragen (penetratietesten, codenazicht, beheer van de kwetsbaarheden, ...) van de verschillende informatisystemen van de Nationale Loterij om de veiligheid van haar activiteiten te garanderen waarbij onder andere rekening dient te worden gehouden met de normen ISO 27001 en WLASCS. Indien u aanvragen wil ontvangen hiervoor, dient u zich vooraf aan te melden als kandidaat door uw aanvraag tot deelneming in te dienen via e-procurement (zie verder voor de selectiecriteria). Zie ook de bijlagen te downloaden via deze website e- procurement. De eventuele vragen, antwoorden en rechtzettingen zullen gepubliceerd worden op de dezelfde website. Gelieve dus deze aankondiging van opdracht regelmatig te consulteren. Contactpersoon: xxxxxxxxx.xxxxxx@xxxxxxxxx- xxxxxxx.xx

Beschrijving: Ce système de qualification porte sur la réalisation d’audits de sécurité (test d’intrusion, revue de code, gestion des vulnérabilités,…) des différents systèmes d’information de la Loterie Nationale pour garantir la sécurité de ses activités en tenant entre autre compte des normes ISO 27001 et WLA-SCS. Si vous souhaitez recevoir des demandes d’offres pour ce marché, veuillez préalablement vous porter candidat en introduisant votre demande de participation via e-procurement (voir plus loin pour les critères de sélection). Voir également les annexes à télécharger via ce même site web e-procurement. Les éventuelles questions, réponses et rectifications seront publiées et mises à disposition sur ce même site web. Veuillez dès lors consulter régulièrement le présent avis de marché. Personne de contact: xxxxxxxxx.xxxxxx@xxxxxxx-xxxxxxxxx.xx

Identificatiecode van de procedure: e99c6ab6-0ca8-47f5-b83c-986e3433d5d4

Interne identificatiecode: FIN/PRO/2024.10

Type procedure: Onderhandelingsprocedure met voorafgaande oproep tot mededinging / mededingingsprocedure met onderhandeling

2.1.1 Doel

Aard van het contract: Diensten

Belangrijkste classificatie (cpv): 72810000 Automatiseringscontrole

Aanvullende classificatie (cpv): 72150000 Advies over computeraudit en - hardware

2.1.4 Algemene informatie Rechtsgrondslag:

Richtlijn 2014/24/EU

5 Perceel

5.1 Perceel: LOT-0001

Titel: Kwalificatiesysteem IT Security Audit

Titel: Système de qualification Audit de sécurité informatique

Interne identificatiecode: FIN/PRO/2024.10

5.1.1 Doel

Aard van het contract: Diensten

Belangrijkste classificatie (cpv): 72810000 Automatiseringscontrole

Aanvullende classificatie (cpv): 72150000 Advies over computeraudit en - hardware

5.1.2 Plaats van uitvoering

Onderverdeling van een land: code|name|nuts.BE100 (BE100)

Land: België

5.1.6 Algemene informatie Gereserveerde deelname: Geen

Aanvullende informatie: Volgende documenten en inlichtingen moeten worden ingediend via elektronische weg (e-procurement): - het kandidatuurformulier (BIJLAGE A) - de eigen verklaring (BIJLAGE B) - de NDA (BIJLAGE C) - informatie met betrekking tot de selectiecriteria Beoordelingsmethode: Criterium 1: wegingsfactor 1: score maximal 10

Criterium 2: wegingsfactor 1: score maximal 10 Criterium 3: wegingsfactor

3: score maximal 30 Criterium 4: wegingsfactor 2: score maximal 20

Criterium 5: wegingsfactor 1,5: score maximal 15 Criterium 6: wegingsfactor 1,5: score maximal 15 Maximaal aantal punten: 100 Men dient te komen tot minimum 60 punten voor criteria 1 tot 6 om opgenomen te worden in het kwalificatiesysteem. De punten voor elk antwoord worden toegekend volgens onderstaande puntenschaal; Beoordeling # punten: - Niet uitgewerkt 0 - Onvoldoende 2,5 - Voldoende 5 - Goed 7,5 - Uitstekend 10 De Nationale Loterij treedt op als aankoopcentrale. Al haar bestaande en nog op te richten dochterondernemingen zijn gerechtigd zich te beroepen op de kwalificatiesysteem. GDPR De Nationale Loterij hecht een groot belang aan de regelgeving inzake de bescherming van persoonsgegevens, waaronder de algemene verordening gegevensbescherming (EU Verordening 2016/679, of "GDPR"), en heeft de nodige organisatorische en technische maatregelen getroffen om zich in regel te stellen. In de mate dat de opdrachtnemer, in het kader van de hem gegunde opdracht, persoonsgegevens verwerkt op instructie van de Nationale Loterij, wordt de relatie tussen de opdrachtnemer (als verwerker van persoonsgegevens) en de Nationale Loterij (als verwerkingsverantwoordelijke) beheerst door de gegevensverwerkingsovereenkomst zoals opgenomen in BIJLAGE D. Deze bijlage maakt integraal deel uit van de uiteindelijke overeenkomst met de opdrachtnemer. Een gegevensverwerkingsovereenkomst houdt bijzondere verbintenissen in voor de onderaannemer. Als verwerkingsverantwoordelijke kan de Nationale Loterij dan ook enkel een beroep doen op onderaannemers die in regel zijn met GDPR. De dienstverlening aan de Nationale Loterij door de opdrachtnemer valt onder de regelgeving inzake overheidsopdrachten. Overeenkomstig artikel 152 van de toepasselijke algemene uitvoeringsregels van de overheidsopdrachten draagt de dienstverlener de volle aansprakelijkheid voor fouten en nalatigheden in het kader van de opdracht. Deze volle aansprakelijkheid geldt ook voor de fouten en nalatigheden die verband houden met de bescherming en verwerking van persoonsgegevens.

LEVERANCIERSBELEID We verwijzen naar de BIJLAGE E – Leveranciersbeleid.

Aanvullende informatie: Les documents et informations suivants doivent être envoyés par voie électronique (e-procurement): - le formulaire de candidature (ANNEXE A) - la déclaration personnelle (ANNEXE B) - le NDA (ANNEXE C) - les informations liées aux critères de sélections Méthode d'évaluation: Critère 1 : facteur de pondération 1 : score maximal 10 Critère 2 : facteur de pondération 1 : score maximal 10 Critère 3 :

facteur de pondération 3 : score maximal 30 Critère 4 : facteur de pondération 2 : score maximal 20 Critère 5 : facteur de pondération 1,5 : score maximal 15 Critère 6 : facteur de pondération 1,5 : score maximal 15 Nombre maximum de points : 100 Pour être admis dans le système de qualification, les candidats doivent totaliser un minimum de 60 points pour les critères 1 à 6. Des points sont attribués à chaque réponse conformément à l'échelle de notes suivantes : Évaluation # points : - Non développé 0 - Insuffisant 2,5 - Suffisant 5 - Bon 7,5 - Excellent 10 La Loterie Nationale intervient en tant que centrale d'achat. Toutes ses filiales existantes et à constituer sont habilitées à recourir au système de qualification. RGPD La Loterie Nationale attache une grande importance à la réglementation relative à la protection des données personnelles, et notamment au règlement général sur la protection des données (règlement UE 2016/679 ou

« RGPD»), et a pris les mesures organisationnelles et techniques nécessaires pour se mettre en règle. Dans la mesure où, dans le cadre du marché qui lui est attribué, l'adjudicataire traite des données à caractère personnel sur instruction de la Loterie Nationale, la relation entre l'adjudicataire (en tant que sous-traitant des données à caractère personnel) et la Loterie Nationale (en tant que responsable du traitement) est régie par le contrat relatif au traitement de données tel que repris à l'ANNEXE D. Cette annexe fait partie intégrante du contrat définitif conclu avec l'adjudicataire. Un contrat de traitement de données implique des obligations particulières pour le sous-traitant. Aussi, en tant que responsable du traitement, la Loterie Nationale ne peut-elle faire appel qu'à des sous-traitants qui sont en règle avec le RGPD. Le service fourni par l'adjudicataire à la Loterie Nationale est soumis à la réglementation sur les marchés publics. En vertu de l'article 152 des règles générales d'exécution des marchés publics applicables, le prestataire de services assume l'entière responsabilité des erreurs ou manquements dans le cadre du marché. Cette entière responsabilité s'applique également aux erreurs et manquements se rapportant à la protection et au traitement de données à caractère personnel. POLITIQUE RELATIVE AUX FOURNISSEURS Nous vous renvoyons à l'ANNEXE E – Politique relative aux fournisseurs.

5.1.9 Selectiecriteria Criterium:

Type: Technische en beroepsbekwaamheid

Naam: SELECTIECRITERIUM 1

Naam: CRITERE DE SELECTION 1

Beschrijving: - Een beschrijving van de organisatie van de kandidaat:

* grotte van de onderneming * kunt u een tester of expert op korte temijn ter beschikking stellen? Indien wel, wat is het maximale termijn? * welke profielen van testers, auditoren, experten biedt u aan? - Een beschrijving van de specialisaties van de kandidaat: * wat onderscheidt u van andere kandidaten? * welke normen kent u? heeft u ervaring met de ISO 27001-norm?

Beschrijving: - Une description de l’organisation du candidat : * taille de l’entreprise * pouvez-vous mettre un testeur ou expert à

disposition dans un court délai ? Si oui, quel est le délai max ? * quels profils de testeurs, d’auditeurs, d’experts proposez-vous ? - Une description des spécialisations du candidat : * qu’est-ce qui vous distingue d’autres candidats ? * quelles normes connaissez- vous ? avez-vous une expérience de la norme ISO 27001 ?)

De criteria zullen worden gebruikt om de gegadigden te selecteren die voor de tweede fase van de procedure zullen worden uitgenodigd

Criterium:

Type: Technische en beroepsbekwaamheid

Naam: SELECTIECRITERIUM 2

Naam: CRITERE DE SELECTION 2

Beschrijving: - Een lijst van de tools van de kandidaat (ex.: Xxxxxx, CheckMarx, Detectify, Palo Alto,...) en gebruikte referentiesystemen (OWASP, NIST, SANS;CIS,...) - Een lijst met de certificaten van de consultants (teters, ethisch hackers, auditoren, experten) (ex.: Certified Ethical Hacker, GIAC Penetration Tester (GPEN),...)

Beschrijving: - Une liste des outils du candidat (ex : Xxxxxx, CheckMarx, Detectify, Palo Alto, …) et référentiels utilisés (OWASP, NIST, SANS, CIS, …) - Une liste des certifications des consultants (testeurs, hackers éthiques, auditeurs, experts) (ex : Certified Ethical Hacker, GIAC Penetration Tester (GPEN), …)

De criteria zullen worden gebruikt om de gegadigden te selecteren die voor de tweede fase van de procedure zullen worden uitgenodigd

Criterium:

Type: Technische en beroepsbekwaamheid

Naam: SELECTIECRITERIUM 3

Naam: CRITERE DE SELECTION 3

Beschrijving: - Een beschrijving van de knowhow van de kandidaat door indienen van referenties die zijn ervaring van de laatste 36 maanden moeten aantonen op het gebied van beveiligingstests op e- commerce platforms met meer dan 100.000 klanten.

Beschrijving: - Une description du savoir-faire du candidat par la remise de références qui doivent démontrer son expérience au cours des 36 derniers mois en matière de tests de sécurité (pentest, red team, …) sur des plateformes d’ecommerce avec plus de 100.000 clients.

De criteria zullen worden gebruikt om de gegadigden te selecteren die voor de tweede fase van de procedure zullen worden uitgenodigd

Criterium:

Type: Technische en beroepsbekwaamheid

Naam: SELECTIECRITERIUM 4

Naam: CRITERE DE SELECTION 4

Beschrijving: - Een beschrijving van de knowhow van de kandidaat door indienen van referenties die zijn ervaring van de laatste 36 maanden op het gebied van "Web Application & API secuirty assessments / penetration test" moeten aantonen.

Beschrijving: - Une description du savoir-faire du candidat par la remise de références qui doivent démontrer son expérience au cours des 36 derniers mois en matière de « Web Application & API security assessments / penetration test ».

De criteria zullen worden gebruikt om de gegadigden te selecteren die voor de tweede fase van de procedure zullen worden uitgenodigd

Criterium:

Type: Technische en beroepsbekwaamheid

Naam: SELECTIECRITERIUM 5

Naam: CRITERE DE SELECTION 5

Beschrijving: - Een beschrijving van de knowhow van de kandidaat door indienen van referenties die zijn ervaring van de laatste 36 maanden op het gebied van "Mobile Application source code reviews and penetration testing" moeten aantonen.

Beschrijving: - Une description du savoir-faire du candidat par la remise de références qui doivent démontrer son expérience au cours des 36 derniers mois en matière de « Mobile Application source code reviews and penetration testing ».

De criteria zullen worden gebruikt om de gegadigden te selecteren die voor de tweede fase van de procedure zullen worden uitgenodigd

Criterium:

Type: Technische en beroepsbekwaamheid

Naam: SELECTIECRITERIUM 6

Naam: CRITERE DE SELECTION 6

Beschrijving: - Een beschrijving van de knowhow van de kandidaat door indienen van referenties die zijn ervaring van de laatste 36 maanden op het gebied van "architecture security reviews" moeten aantonen.

Beschrijving: - Une description du savoir-faire du candidat par la remise de références qui doivent démontrer son expérience au cours des 36 derniers mois en matière de « architecture security reviews ».

De criteria zullen worden gebruikt om de gegadigden te selecteren die voor de tweede fase van de procedure zullen worden uitgenodigd

5.1.11 Aanbestedingsstukken

Adres van de aanbestedingsstukken: [ xxxxx://xxx.xxxxxxxxxxxxxxxxx.xx

/publication-workspaces/da513d43-1587-42d4-9275-4dcd3f601624

/documents ] ---

Ad-hoccommunicatiekanaal:

URL: xxxxx://xxx.xxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxx-xxxxxxxxxx

/da513d43-1587-42d4-9275-4dcd3f601624/forum

5.1.12 Voorwaarden van de aanbesteding Voorwaarden voor indiening:

Elektronische indiening: Vereist

Adres voor indiening: xxxxx://xxx.xxxxxxxxxxxxxxxxx.xx/xxxxxxxx

/enterprises/0/tendering-workspaces/publication-workspace-detail

/da513d43-1587-42d4-9275-4dcd3f601624/general

Talen waarin inschrijvingen of verzoeken tot deelname kunnen worden ingediend: Nederlands, Frans

Een geavanceerd(e) of gekwalificeerd(e) elektronisch(e) handtekening of zegel (zoals omschreven in Verordening (EU) nr. 910/2014) is vereist

Uiterste datum voor de ontvangst van verzoeken tot deelname: 23/05/2025 00:00 +02:00

5.1.15 Technieken

Raamovereenkomst:

Geen

Informatie over het dynamische aankoopsysteem:

Geen

8 Organisaties

8.1 ORG-0001

Officiële naam: Nationale Loterij N.V. van publiek recht Officiële naam: Loterie Nationale S.A. de droit public Registratienummer: 0223967357_41

Postadres: Xxxxxxxxxxxxxx 00-00

Stad: Etterbeek

Postcode: 1040

Onderverdeling van een land: code|name|nuts.BE100 (BE100)

Land: België

E-mail: xxxxxxxxx.xxxxxx@xxxxxxx-xxxxxxxxx.xx

Telefoon: x00 00000000

Internetadres: xxxx://xxx.xxxxxxx-xxxxxxxxx.xx

Rollen van deze organisatie: Koper

8.1 ORG-0002

Officiële naam: FOD Beleid en Ondersteuning Officiële naam: SPF Stratégie et Appui Registratienummer: BE001

Postadres: Xxxxx Xxxxxxxxxxx 00, xxx 0

Stad: Brussel

Postcode: 1000

Onderverdeling van een land: code|name|nuts.BE100 (BE100) Land: België

E-mail: x.xxxx@xxxxxxxxxxxxxxxxx.xx Telefoon: x00 0 000 00 00 Internetadres: xxxxx://xxxx.xxxxxxx.xx

Rollen van deze organisatie: XXX xXxxxxx

11 Informatie over een aankondiging

11.1 Informatie over een aankondiging

Identificatiecode/versie van de aankondiging: a2c8bd9c-dfb2-43eb-aabb-0096a32b9f2a

- 01

Type formulier: Mededinging

Type aankondiging: Aankondiging van een opdracht of concessie – standaardregeling

Verzenddatum van de aankondiging: 24/05/2024 00:00 +02:00

Talen waarin deze aankondiging officieel beschikbaar is: Nederlands Frans

11.2 Informatie over de bekendmaking

Document Metadata

Table of Contents

Contract

Document Metadata