SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA w postępowaniu o udzielenie zamówienia publicznego prowadzonym w trybie przetargu nieograniczonego na „Zakup systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego”znak sprawy:...

WRZ.270.2.2020 2020-23756

SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

w postępowaniu o udzielenie zamówienia publicznego

prowadzonym w trybie przetargu nieograniczonego

na

„Zakup systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego”

znak sprawy: WRZ.270.2.2020

Integralną część niniejszej SIWZ stanowią:

− Opis przedmiotu zamówienia - Załącznik nr 1;

− Wzór umowy - Załącznik nr 2;

− Formularz ofertowy - Załącznik nr 3;

− Formularz Jednolitego Europejskiego Dokumentu Zamówienia - Załącznik nr 4;

− Informacja o przynależności do grupy kapitałowej - Załącznik nr 5;

− Wykaz wykonywanych dostaw jako potwierdzenie spełnienia wymagań SIWZ - Załącznik nr 6;

− Wykaz osób, którymi dysponuje Wykonawca do realizacji zamówienia - Załącznik nr 7;

− Wzór oświadczenia w zakresie udostępnienia zasobów przez inne podmioty - Załącznik nr 8;

− Istotne postanowienia gwarancji zabezpieczenia należytego wykonania umowy - Załącznik nr 9.

ZATWIERDZAM:

2020-09-30

z upoważnienia Dyrektora

Centrum e- Zdrowia

2020-09-30 (-) Xxxxx Xxxxxxxx

Dyrektor

Pionu Eksploatacji i Bezpieczeństwa

  Systemów Teleinformatycznych  

Zamawiający oczekuje, że Wykonawcy zapoznają się dokładnie z treścią niniejszej SIWZ. Wykonawca ponosi ryzyko niedostarczenia wszystkich wymaganych informacji i dokumentów, oraz przedłożenia oferty nie odpowiadającej wymaganiom określonym przez Zamawiającego.

I. Nazwa oraz adres Zamawiającego.

Zamawiającym jest Centrum e-Zdrowia z siedzibą w Warszawie (kod pocztowy 00-184), xx.

Xxxxxxxxxx Xxxxxx 0X, (dalej „CeZ”)

Godziny pracy: 800-1600 od poniedziałku do piątku.

Adres strony internetowej: xxx.xxx.xxx.xx

II. Tryb udzielenia zamówienia.

1. Niniejsze postępowanie prowadzone jest w trybie przetargu nieograniczonego na podstawie art. 39

i nast. ustawy z dnia 29 stycznia 2004 r. Prawo Zamówień Publicznych (Dz. U. z 2019 r., poz. 1843 z późn. zm.), zwanej dalej „ustawą PZP”.

2. W zakresie nieuregulowanym niniejszą Specyfikacją Istotnych Warunków Zamówienia, zwaną dalej

„SIWZ”, zastosowanie mają przepisy ustawy PZP oraz Kodeksu Cywilnego.

3. Zamawiający skorzysta z przepisu art. 24aa ust. 1 ustawy PZP i najpierw dokona oceny ofert, a następnie zbada, czy wykonawca, którego oferta została oceniona jako najkorzystniejsza, nie podlega wykluczeniu oraz spełnia warunki udziału w postępowaniu.

4. Wartości zamówienia przekracza równowartość kwoty określonej w przepisach wykonawczych

wydanych na podstawie art. 11 ust. 8 ustawy PZP.

5. W sytuacji sprzeczności postanowień SIWZ, wyjaśnień do SIWZ lub modyfikacji SIWZ w stosunku do ustawy PZP, zastosowanie mają przepisy ustawy PZP.

III. Opis przedmiotu zamówienia.

1. Przedmiotem zamówienia zakup systemu zarządzania informacjami i zdarzeniami bezpieczeństwa

informatycznego (zwanego dalej „Systemem”) dla Centrum e-Zdrowia (dalej zwane Centrum).

2. Szczegółowy opis przedmiotu zamówienia stanowi Załącznik nr 1 do SIWZ Opis przedmiotu

zamówienia (dalej „OPZ”).

3. Wykonawca zobowiązany jest zrealizować zamówienie na zasadach i warunkach opisanych we wzorze umowy stanowiącym Załącznik nr 2 do SIWZ.

4. Wspólny Słownik Zamówień CPV:

48732000-8 Pakiety oprogramowania do zabezpieczania danych

5. Informacja o opcjach:

W ramach przedmiotu zamówienia Zamawiający przewiduje zastosowanie opcji, o której mowa

w art. 34 ust. 5 ustawy PZP.

Zamawiający przewiduje udzielenia zamówienia opcjonalnego na zakup dodatkowych licencji na System, zakup wsparcia technicznego na System na kolejny rok oraz zakup asysty technicznej, o łącznej wartości nie większej 70% wartości zamówienia gwarantowanego.

6. Zamawiający nie dopuszcza możliwości składania ofert częściowych

7. Zamawiający nie dopuszcza możliwości składania ofert wariantowych.

8. Zamawiający nie przewiduje zawarcia umowy ramowej.

9. Zamawiający nie przewiduje możliwości udzielenia zamówień, o których mowa w art. 67 ust. 1 pkt 7 ustawy PZP.

10. Zamawiający nie zastrzega obowiązku osobistego wykonania przez Wykonawcę zamówienia.

11. Zamawiający żąda wskazania przez wykonawcę części zamówienia, których wykonanie zamierza powierzyć podwykonawcom, i podania przez wykonawcę firm tych podwykonawców o ile są znane na tym etapie postępowania.

12. Jeżeli zmiana albo rezygnacja z podwykonawcy dotyczy podmiotu, na którego zasoby Wykonawca powoływał się, na zasadach określonych w przepisie art. 22a ust. 1 ustawy Pzp, w celu wykazania spełniania warunków udziału w postępowaniu, Wykonawca jest obowiązany wykazać Zamawiającemu, że proponowany inny podwykonawca lub Wykonawca samodzielnie spełnia je w stopniu nie mniejszym niż podwykonawca, na którego zasoby Wykonawca powoływał się w trakcie postępowania o udzielenie zamówienia.

13. Zamawiający informuje, że w przypadku, gdyby w opisie przedmiotu zamówienia Zamawiający określił przedmiot zamówienia poprzez wskazanie znaków towarowych, patentów lub pochodzenia, źródła lub szczególnego procesu, który charakteryzuje produkty lub usługi dostarczane przez konkretnego Wykonawcę, jeżeli mogłoby to doprowadzić do uprzywilejowania lub wyeliminowania niektórych Wykonawców lub produktów, Zamawiający dopuszcza możliwość składania ofert równoważnych.

14. Wskazane wyżej określenie przedmiotu zamówienia ma charakter wyłącznie pomocniczy w przygotowaniu oferty i ma na celu wskazać oczekiwane standardy co do minimalnych parametrów technicznych oczekiwanych materiałów. Przez ofertę równoważną należy rozumieć ofertę o parametrach technicznych, wytrzymałościowych, jakościowych, wydajnościowych nie gorszych od opisu wskazanego przez Zamawiającego w OPZ. W związku z powyższym, Zamawiający dopuszcza możliwość zaoferowania materiałów o innych znakach towarowych, patentach lub pochodzeniu, natomiast nie o innych właściwościach i funkcjonalnościach niż określone w SIWZ.

15. Wykonawca, powołujący się na rozwiązania równoważne stosownie do dyspozycji art. 30 ust. 5 ustawy Pzp., musi wykazać, że oferowane dostawy spełniają warunki określone przez Zamawiającego w stopniu nie gorszym. W przypadku, gdy Wykonawca nie złoży w ofercie dokumentów

o zastosowaniu innych materiałów, to rozumie się przez to, że do kalkulacji ceny oferty oraz do wykonania umowy ujęto materiały i urządzenia zaproponowane w OPZ. W przypadku, gdy Zamawiający użył w OPZ normy, aprobaty, specyfikacje techniczne i systemy odniesienia, o których mowa w art. 30 ust. 1-3 ustawy Pzp., należy rozumieć je jako przykładowe.

16. Zamawiający, zgodnie z art. 30 ust. 4 ustawy Pzp., dopuszcza w każdym przypadku zastosowanie rozwiązań równoważnych opisanych w treści SIWZ. Każdorazowo, gdy wskazana jest w niniejszej SIWZ norma, należy przyjąć, że w odniesieniu do niej użyto sformułowania „lub równoważne”. Wykonawca, który powołuje się na rozwiązania równoważne w stosunku do opisywanych przez Zamawiającego, jest obowiązany wykazać w złożonej ofercie, że oferowane przez niego dostawy, spełniają wymagania określone przez Zamawiającego. W zakresie równoważności Zamawiający odsyła także do informacji zawartych w OPZ stanowiącym załącznik nr 1 do SIWZ.

IV. Termin wykonania zamówienia.

Wykonawca, któremu zostanie udzielone zamówienie, będzie zobowiązany wykonać je w terminie

zgodnym z ofertą, tj. 30, 35 lub 40 dni od dnia podpisania umowy w sprawie zamówienia

publicznego.

V. Warunki udziału w postępowaniu.

1. O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy:

1.1. nie podlegają wykluczeniu na podstawie art. 24 ust. 1 pkt 12-23 oraz art. 24 ust. 5 pkt 1 i 8 ustawy PZP;

1.2. spełniają warunki udziału w postępowaniu dotyczące:

1.2.1. kompetencji lub uprawnień do prowadzenia określonej działalności zawodowej, o ile

wynika to z odrębnych przepisów:

Zamawiający nie opisuje i nie wyznacza szczegółowego warunku w tym zakresie.

1.2.2. sytuacji ekonomicznej lub finansowej.

Zamawiający nie opisuje i nie wyznacza szczegółowego warunku w tym zakresie.

1.2.3. zdolności technicznej lub zawodowej.

1.2.3.1. Wykonawca spełni warunek jeżeli wykaże, że w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności przez Wykonawcę jest krótszy – w tym okresie, należycie wykonał, a w przypadku świadczeń okresowych lub ciągłych wykonuje, co najmniej dwie dostawy o wartości minimum 1 mln złotych brutto każda, lub jedną dostawę o wartości nie mniejszej niż 1,5 mln złotych brutto polegające na dostawie i wdrożeniu systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego. Poprzez wdrożenie rozumiana jest: dostawa licencji, konfiguracja systemu wraz z przykładowymi źródłami logów oraz regułami korelacyjnymi, świadczenie usługi wsparcia. Wielkość minimalnego systemu to 10 000 EPS lub 7 000 źródeł logów lub 20 GB danych dziennie.

Jeżeli zamówienia, o których mowa powyżej są wykonywane nadal, wartość wykonanej/zrealizowanej części zamówienia w zakresie wdrożenia oferowanego Systemu do upływu terminu składania ofert nie może być niższa niż wskazana powyżej.

1.2.3.2. Wykonawca spełni warunek jeżeli wykaże, że dysponuje zespołem osób, posiadających co najmniej niżej wymagane kwalifikacje:

Lp.	Nazwa pełnionej roli	Kwalifikacje	Minimalna liczba udostępnionych osób
1.	Kierownik projektu	1. Udział w minimum 3 wdrożeniach jako kierownik projektu związanych z wdrożeniem systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego oferowanego przez Wykonawcę; 2. Wykształcenie wyższe; 3. Certyfikat w zakresie zarządzania projektami na poziomie co najmniej PRINCE2 Foundation lub równoważny, udzielony przez firmę edukacyjną uprawnioną przez instytucję certyfikującą;	1

		4. Certyfikat w zakresie bezpieczeństwa informacji- vendor-neutral jak np: • CompTIA Security+ • CISSP – Certified Information Systems Security Professional • CISM - Certified Information Security Manager
2.	Inżynier odpowiedzialny za wdrożenie systemu	1. Posiada minimum 4-letnie doświadczenie w zakresie wdrażania lub/i projektowania lub/i zarządzania systemem zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego, potwierdzone certyfikatem producenta danego Systemu; 2. Brał udział w przynajmniej 2 wdrożeniach systemów zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego w charakterze konsultanta; 3. Posiada certyfikat inżynierski producenta rozwiązania Systemu (inżyniera / administratora / wdrożeniowca / architekta), wystawiony po zakończonym sukcesem autoryzowanym przeszkoleniu ze strony producenta, ważnym dla oferowanej wersji rozwiązania Systemu; 4. Posiada certyfikat w zakresie bezpieczeństwa informacji jak np.: • CompTIA Security+ • CISSP – Certified Information Systems Security Professional	2

UWAGA: Zamawiający wymaga, aby jedna osoba została wykazana przez wykonawcę tylko w jednej roli.

Informacje w zakresie równoważności certyfikatów*:

a) Wszystkie certyfikaty posiadane przez osoby wskazane przez Wykonawcę do realizacji zamówienia muszą być aktualne na dzień składania ofert;

b) Zamawiający dopuszcza posiadanie równoważnych certyfikatów innych niż wskazane przez Zamawiającego. W takim przypadku Wykonawca jest zobowiązany do wykazania, że wskazany certyfikat potwierdza posiadanie co najmniej takiej samej wiedzy, kompetencji i doświadczenia co certyfikat

wskazany przez Xxxxxxxxxxxxx;

c) Ilekroć wymaga się określonych uprawnień dla osób zdolnych do wykonania zamówienia rozumie się przez to również odpowiadające ważne uprawnienia wydane na podstawie odpowiednich przepisów prawa państw członkowskich Unii Europejskiej, Konfederacji Szwajcarskiej lub państw członkowskich Europejskiego Porozumienia o Wolnym Handlu (EFTA) – stron umowy o Europejskim Obszarze

Gospodarczym, którzy nabyli prawo do wykonywania określonych zawodów regulowanych lub określonej działalności, jeżeli te kwalifikacje zostały uznane na zasadach określonych w ustawie z dnia 22 grudnia

2015 r. o zasadach uznawania kwalifikacji zawodowych nabytych w państwach członkowskich Unii

Europejskiej (Dz. U. z roku 2016 poz. 65).

2. Zamawiający dokona oceny spełnienia przez Wykonawców warunków określonych w pkt 1 w oparciu o kompletność oraz prawidłowość złożonych dokumentów i oświadczeń jakich żąda Zamawiający. Ocena zostanie dokonana na podstawie treści tych dokumentów, wg formuły spełnia/ nie spełnia. Oświadczenia i dokumenty będą badane pod względem formalnoprawnym, a także, czy informacje w nich zawarte potwierdzają spełnienie wymagań Zamawiającego, w tym w zakresie zgodności ze stanem faktycznym. Z treści załączonych dokumentów musi wynikać jednoznacznie, iż Wykonawca spełnił ww. warunki.

3. Wykonawca może w celu potwierdzenia spełniania warunków, o których mowa w rozdz. V. pkt. 1 SIWZ w stosownych sytuacjach oraz w odniesieniu do konkretnego zamówienia, lub jego części, polegać na zdolnościach technicznych lub zawodowych lub sytuacji finansowej lub ekonomicznej innych podmiotów, niezależnie od charakteru prawnego łączących go z nim stosunków prawnych (art. 22a ustawy PZP).

4. Zamawiający jednocześnie informuje, iż „stosowna sytuacja” o której mowa w rozdz. V. pkt. 3 SIWZ wystąpi wyłącznie w przypadku kiedy Wykonawca, który polega na zdolnościach lub sytuacji innych podmiotów udowodni Zamawiającemu, że realizując zamówienie, będzie dysponował niezbędnymi zasobami tych podmiotów, w szczególności przedstawiając pisemne zobowiązanie tych podmiotów do oddania mu do dyspozycji niezbędnych zasobów na potrzeby realizacji zamówienia. Pisemne zobowiązanie np. oświadczenie, należy dołączyć do oferty. Wzór oświadczenia stanowi Załącznik nr 8 do SIWZ.

5. Z dokumentu, o którym mowa w pkt. 4, musi wynikać w szczególności:

a) zakres dostępnych Wykonawcy zasobów innego podmiotu;

b) sposób wykorzystania zasobów innego podmiotu przez Wykonawcę, przy wykonywaniu zamówienia publicznego;

c) zakres i okres udziału innego podmiotu przy wykonywaniu zamówienia publicznego;

d) czy podmiot, na zdolnościach którego Wykonawca polega w odniesieniu do warunków udziału w postępowaniu dotyczących wykształcenia, kwalifikacji zawodowych lub doświadczenia, zrealizuje usługi, których wskazane zdolności dotyczą.

6. Zamawiający oceni, czy udostępniane Wykonawcy przez inne podmioty zdolności techniczne lub zawodowe, pozwalają na wykazanie przez Wykonawcę spełniania warunków udziału w postępowaniu oraz zbada, czy nie zachodzą wobec tego podmiotu podstawy wykluczenia, o których mowa w art. 24 ust. 1 pkt 13–22 oraz w ust. 5 pkt 1 i 8 ustawy PZP.

7. W odniesieniu do warunków dotyczących wykształcenia, kwalifikacji zawodowych lub doświadczenia Wykonawcy mogą polegać na zdolnościach innych podmiotów, jeśli podmioty te zrealizują usługi, do realizacji których te zdolności są wymagane.

8. Jeżeli zdolności techniczne lub zawodowe, o których mowa powyżej, nie potwierdzają spełnienia przez Wykonawcę warunków udziału w postępowaniu lub zachodzą wobec tych podmiotów podstawy wykluczenia, Zamawiający żąda, aby Wykonawca w terminie określonym przez Zamawiającego:

1) zastąpił ten podmiot innym podmiotem lub podmiotami lub,

2) zobowiązał się do osobistego wykonania odpowiedniej części zamówienia, jeżeli wykaże zdolności techniczne lub zawodowe, o których mowa w rozdz. V pkt 1.2.3. SIWZ.

9. Wykonawca, którego oferta zostanie najwyżej oceniona, na wezwanie Zamawiającego zobowiązany będzie złożyć oświadczenia i dokumenty podmiotu, na zdolności, którego Wykonawca powoływał się w celu wykazania spełniania warunków udziału w postępowaniu, na potwierdzenie braku podstaw wykluczenia z postępowania tego podmiotu. Wykonawca zobowiązany będzie również złożyć dokumenty tego podmiotu potwierdzające spełnianie warunków udziału w postępowaniu w zakresie zdolności lub sytuacji, na których Wykonawca polegał w celu wykazania spełniania tych warunków oraz dokumenty potwierdzające brak podstaw do wykluczenia tego podmiotu.

10. Zamawiający wykluczy z postępowania Wykonawcę/ów w przypadkach, o których mowa w art. 24

ust. 1 pkt 12-23 ustawy PZP (przesłanki wykluczenia obligatoryjne).

11. Zamawiający na podstawie art. 24 ust. 5 pkt 1 i 8 ustawy PZP wykluczy również Wykonawcę/ów:

a) w stosunku do którego otwarto likwidację, w zatwierdzonym przez sąd układzie w postępowaniu restrukturyzacyjnym jest przewidziane zaspokojenie wierzycieli przez likwidację jego majątku lub sąd zarządził likwidację jego majątku w trybie art. 332 ust. 1 ustawy z dnia 15 maja 2015 r. - Prawo restrukturyzacyjne (t.j. Dz. U. z 2019 r. poz. 498) lub którego upadłość ogłoszono, z wyjątkiem wykonawcy, który po ogłoszeniu upadłości zawarł układ zatwierdzony prawomocnym postanowieniem sądu, jeżeli układ nie przewiduje zaspokojenia wierzycieli przez likwidację majątku upadłego, chyba że sąd zarządził likwidację jego majątku w trybie art. 366 ust. 1 ustawy z dnia 28 lutego 2003 r. - Prawo upadłościowe (t.j. Dz. U. z 2019 r. poz. 498);

b) który naruszył obowiązki dotyczące płatności podatków, opłat lub składek na ubezpieczenia społeczne lub zdrowotne, co zamawiający jest w stanie wykazać za pomocą stosownych środków dowodowych, z wyjątkiem przypadku, o którym mowa w art. 24 ust. 1 pkt 15, chyba że wykonawca dokonał płatności należnych podatków, opłat lub składek na ubezpieczenia społeczne lub zdrowotne wraz z odsetkami lub grzywnami lub zawarł wiążące porozumienie w sprawie spłaty tych należności.

12. Zamawiający może na każdym etapie postępowania uznać, że wykonawca nie posiada wymaganych zdolności, jeżeli zaangażowanie zasobów technicznych lub zawodowych wykonawcy w inne przedsięwzięcia gospodarcze wykonawcy może mieć negatywny wpływ na realizację zamówienia.

VI.

Wykaz oświadczeń lub dokumentów, potwierdzających spełnianie warunków udziału

w postępowaniu oraz brak podstaw wykluczenia.

1. W celu wykazania braku podstaw wykluczenia z postępowania o udzielenie zamówienia oraz

spełniania warunków udziału w postępowaniu określonych przez Zamawiającego w rozdziale V SIWZ

do oferty należy dołączyć aktualne na dzień składania ofert:

a) oświadczenie, w postaci formularza Jednolitego Europejskiego Dokumentu Zamówienia (zwanego również jako „JEDZ”) stanowiącego Załącznik nr 4 do niniejszej SIWZ. Informacje zawarte w formularzu JEDZ stanowią wstępne potwierdzenie, że Wykonawca nie podlega wykluczeniu z postępowania oraz spełnia warunki udziału w postępowaniu – złożone w oryginale wraz z ofertą w postaci dokumentu elektronicznego opatrzonego kwalifikowanym podpisem elektronicznym, zgodnie z zapisami rozdziału VII SIWZ;

b) oświadczenie o udostępnianiu zasobów na zasadach określonych w art. 22a ust.1 ustawy Pzp, w celu wykazania spełniania warunków udziału w postępowaniu, stanowiące Załącznik nr 8 do SIWZ (jeżeli dotyczy) – złożone w oryginale wraz z ofertą w postaci dokumentu elektronicznego opatrzonego kwalifikowanym podpisem elektronicznym, zgodnie z zapisami rozdziału VII SIWZ.

Zamawiający informuje, że Wykonawca do wypełnienia oświadczenia - formularza JEDZ może wykorzystać również narzędzie dostępne na stronie:

xxxxx://xxxx.xxx.xxx.xx/xxxxxx?xxxxxxx

W złożonym przez Wykonawcę oświadczeniu w formie Jednolitego Europejskiego Dokumentu Zamówienia (JEDZ), Zamawiający wymaga wypełnienia w Części IV jedynie Sekcję „α” - jako wstępne potwierdzenie spełniania warunków udziału w postępowaniu.

Zamawiający udostępnia formularz JEDZ w wersji elektronicznej w postaci pliku: xml. oraz doc.

2. Wykonawcy mogą wspólnie ubiegać się o udzielenie zamówienia.

Wykonawcy wspólnie ubiegający się o udzielenie zamówienia ustanawiają pełnomocnika do reprezentowania ich w postępowaniu o udzielenie zamówienia albo reprezentowania w postępowaniu i zawarcia umowy w sprawie zamówienia publicznego. Dokument winien być załączony do oferty w oryginale w postaci dokumentu elektronicznego opatrzonego kwalifikowanym podpisem elektronicznym.

3. Przepisy dotyczące wykonawcy stosuje się odpowiednio do Wykonawców wspólnie ubiegających się o udzielenie zamówienia.

4. W przypadku wspólnego ubiegania się o zamówienie przez Wykonawców oświadczenie, o którym mowa w rozdz. VI. pkt 1 lit. a) niniejszej SIWZ składa każdy z Wykonawców wspólnie ubiegających się o zamówienie. Oświadczenia te mają potwierdzać spełnianie warunków udziału w postępowaniu, brak podstaw wykluczenia w zakresie, w którym każdy z Wykonawców wykazuje spełnianie warunków udziału w postępowaniu oraz brak podstaw wykluczenia.

5. Wykonawca, który powołuje się na zasoby innych podmiotów, w celu wykazania braku istnienia wobec nich podstaw wykluczenia oraz spełnienia - w zakresie, w jakim powołuje się na ich zasoby - warunków udziału w postępowaniu, składa także oświadczenie, o którym mowa w rozdz. VI. pkt 1 lit. a) niniejszej SIWZ dotyczące tych podmiotów.

6. Zamawiający przed udzieleniem zamówienia, wezwie Wykonawcę, którego oferta została najwyżej oceniona, do złożenia w wyznaczonym, nie krótszym niż 10 dni, terminie aktualnych na dzień złożenia następujących oświadczeń lub dokumentów:

a) wykaz dostaw wykonanych w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których dostawy zostały wykonane potwierdzające spełnianie warunków określonych w rozdz. V. 1.2.3.1. SIWZ - sporządzony według wzoru stanowiącego Załącznik nr 6 do SIWZ oraz załączeniem dowodów określających czy te dostawy zostały wykonane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty wystawione przez podmiot, na rzecz którego usługi były wykonywane, a jeżeli z uzasadnionej przyczyny o obiektywnym charakterze Wykonawca nie jest w stanie uzyskać tych dokumentów - oświadczenie Wykonawcy;

UWAGA: w przypadku Wykonawców występujących wspólnie, warunek dotyczący doświadczenia musi zostać spełniony przynajmniej przez jednego z Wykonawców.

b) wykaz osób, skierowanych przez wykonawcę do realizacji zamówienia publicznego, w szczególności odpowiedzialnych za świadczenie usług, wraz z informacjami na temat ich kwalifikacji zawodowych, doświadczenia i wykształcenia niezbędnych do wykonania zamówienia publicznego, a także zakres wykonywanych przez nie czynności oraz informację o podstawie do dysponowania tymi osobami – zgodnych z wymogami określonymi w rozdz. V.1.2.3.2 SIWZ – sporządzonym według wzoru stanowiącego Załącznik nr 7 do SIWZ.

c) informację z Krajowego Rejestru Karnego w zakresie określonym w art. 24 ust. 1 pkt 13, 14 i 21 ustawy PZP, wystawionych nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert albo wniosków o dopuszczenie do udziału w postępowaniu;

d) zaświadczenia właściwego naczelnika urzędu skarbowego potwierdzającego, że Wykonawca nie zalega z opłacaniem podatków, wystawionego nie wcześniej niż 3 miesiące przed upływem terminu składania ofert lub innego dokumentu potwierdzającego, że Wykonawca zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu;

e) zaświadczenia właściwej terenowej jednostki organizacyjnej Zakładu Ubezpieczeń Społecznych lub Kasy Rolniczego Ubezpieczenia Społecznego albo innego dokumentu potwierdzającego, że Wykonawca nie zalega z opłacaniem składek na ubezpieczenia społeczne lub zdrowotne, wystawionego nie wcześniej niż 3 miesiące przed upływem terminu składania ofert lub innego dokumentu potwierdzającego, że Wykonawca zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu;

f) odpisu z właściwego rejestru lub z centralnej ewidencji i informacji o działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji, w celu potwierdzenia braku podstaw wykluczenia na podstawie art. 24 ust. 5 pkt 1 ustawy PZP;

g) oświadczenia Wykonawcy o braku wydania wobec niego prawomocnego wyroku sądu lub ostatecznej decyzji administracyjnej o zaleganiu z uiszczaniem podatków, opłat lub składek na ubezpieczenia społeczne lub zdrowotne albo - w przypadku wydania takiego wyroku lub decyzji - dokumentów potwierdzających dokonanie płatności tych należności lub zawarcie wiążącego porozumienia w sprawie spłat tych należności;

h) oświadczenia Wykonawcy o braku orzeczenia wobec niego tytułem środka zapobiegawczego zakazu ubiegania się o zamówienia publiczne;

i) oświadczenia wykonawcy o niezaleganiu z opłacaniem podatków i opłat lokalnych, o których mowa w ustawie z dnia 12 stycznia 1991 r. o podatkach i opłatach lokalnych (Dz. U. z 2018 r. poz. 1445);

Jeżeli Wykonawca ma siedzibę lub miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej, zamiast dokumentów, o których mowa w pkt. 6

1) lit. c - składa informację z odpowiedniego rejestru albo, w przypadku braku takiego rejestru, inny

równoważny dokument wydany przez właściwy organ sądowy lub administracyjny kraju,

w którym wykonawca ma siedzibę lub miejsce zamieszkania lub miejsce zamieszkania ma osoba, której dotyczy informacja albo dokument, w zakresie określonym w art. 24 ust. 1 pkt 13, 14 i 21 ustawy PZP;

2) lit. d-f - składa dokument lub dokumenty wystawione w kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania, potwierdzające odpowiednio, że:

a) nie zalega z opłacaniem podatków, opłat, składek na ubezpieczenie społeczne lub zdrowotne albo że zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu,

b) nie otwarto jego likwidacji ani nie ogłoszono upadłości.

7. Wykonawca w terminie 3 dni od dnia zamieszczenia na stronie internetowej informacji, o której mowa w art. 86 ust. 5 ustawy PZP, przekaże Zamawiającemu oświadczenie wg wzoru stanowiącego Załącznik nr 5 do SIWZ o przynależności lub braku przynależności do tej samej grupy kapitałowej,

o której mowa w art. 24 ust. 1 pkt 23 ustawy PZP w postaci dokumentu elektronicznego opatrzonego kwalifikowanym podpisem elektronicznym. Wraz ze złożeniem oświadczenia, Wykonawca może przedstawić dowody, że powiązania z innym Wykonawcą nie prowadzą do zakłócenia konkurencji w postępowaniu o udzielenie zamówienia.

8. W zakresie nieuregulowanym niniejszą SIWZ, zastosowanie mają przepisy rozporządzenia Ministra Rozwoju z dnia 26 lipca 2016 r. w sprawie rodzajów dokumentów, jakich może żądać Zamawiający od Wykonawcy, oraz form, w jakich te dokumenty mogą być składane (Dz. U. z 2016 r., poz. 1126, z późn. zm.).

9. Jeżeli Wykonawca nie złoży oświadczenia, o którym mowa w pkt. 1 niniejszej SIWZ, oświadczeń lub dokumentów potwierdzających okoliczności, o których mowa w art. 25 ust. 1 ustawy PZP, lub innych dokumentów niezbędnych do przeprowadzenia postępowania, oświadczenia lub dokumenty są niekompletne, zawierają błędy lub budzą wskazane przez Zamawiającego wątpliwości, Zamawiający wezwie do ich złożenia, uzupełnienia, poprawienia w terminie przez siebie wskazanym, chyba że mimo ich złożenia oferta Wykonawcy podlegałaby odrzuceniu albo konieczne byłoby unieważnienie postępowania.

10. Zamawiający wykluczy z postępowania Wykonawcę, który nie wykazał spełniania warunków udziału w postępowaniu lub nie wykazał braku podstaw wykluczenia.

11. Zamawiający może wykluczyć Wykonawcę na każdym etapie postępowania o udzielenie zamówienia.

VII.

Informacje o sposobie porozumiewania się Zamawiającego z Wykonawcami oraz przekazywania

oświadczeń i dokumentów, a także wskazanie osób uprawnionych do porozumiewania się

z Wykonawcami.

1. W postępowaniu o udzielenie zamówienia komunikacja między Zamawiającym a Wykonawcami

odbywa się przy użyciu: miniPortalu xxxxx://xxxxxxxxxx.xxx.xxx.xx/, ePUAPu xxxxx://xxxxx.xxx.xx/xxx/xxxxxx oraz poczty elektronicznej.

2. Wykonawca zamierzający wziąć udział w postępowaniu o udzielenie zamówienia publicznego, musi posiadać konto na ePUAP. Wykonawca posiadający konto na ePUAP ma dostęp do formularzy: złożenia, zmiany, wycofania oferty lub wniosku oraz do formularza do komunikacji.

3. Wymagania techniczne i organizacyjne wysyłania i odbierania dokumentów elektronicznych, elektronicznych kopii dokumentów i oświadczeń oraz informacji przekazywanych przy ich użyciu opisane zostały w Regulaminie korzystania z miniPortalu oraz Regulaminie ePUAP.

4. Maksymalny rozmiar plików przesyłanych za pośrednictwem dedykowanych formularzy do: złożenia,

zmiany, wycofania oferty lub wniosku oraz do komunikacji wynosi 150 MB.

5. Za datę przekazania oferty, wniosków, zawiadomień, dokumentów elektronicznych, oświadczeń lub elektronicznych kopii dokumentów lub oświadczeń oraz innych informacji przyjmuje się datę ich przekazania na ePUAP.

6. Identyfikator postępowania i klucz publiczny dla danego postępowania o udzielenie zamówienia dostępne są na Liście wszystkich postępowań na miniPortalu oraz Zamawiający udostępnia na swojej stronie internetowej.

7. Wszelkie zawiadomienia, oświadczenia, wnioski oraz informacje, Zamawiający oraz Wykonawcy przekazują powołując się na numerem referencyjny postępowania, tj. WRZ.270.1.2020:

- za pośrednictwem dedykowanego formularza dostępnego na ePUAP oraz udostępnionego przez miniPortal (Formularz do komunikacji),

lub

- drogą elektroniczną na adres: xxx@xxxxx.xxx.xx lub na adres skrytki: ePUAP:

/csiozgovpl/SkrytkaESP.

8. Oświadczenie JEDZ, o którym mowa w rozdziale VI pkt 1 lit. a) należy przesłać wraz z ofertą w postaci dokumentu elektronicznego opatrzonego kwalifikowanym podpisem elektronicznym. Oświadczenia podmiotów składających ofertę wspólnie oraz podmiotów udostępniających potencjał, składane na formularzu JEDZ, powinny mieć formę dokumentu elektronicznego, podpisanego kwalifikowanym podpisem elektronicznym przez każdego z nich w zakresie w jakim potwierdzają okoliczności, o których mowa w treści art. 22 ust. 1 ustawy PZP.

9. Zamawiający, zgodnie z § 4 rozporządzenia Prezesa Rady Ministrów z dnia 27 czerwca 2017 r. w sprawie użycia środków komunikacji elektronicznej w postępowaniu o udzielenie zamówienia publicznego oraz udostępniania i przechowywania dokumentów elektronicznych ( Dz. U. z 2017 r. poz. 1320) dalej jako „Rozporządzenie” określa dopuszczalny format kwalifikowanego podpisu elektronicznego jako:

a) dokumenty w formacie „pdf” należy podpisywać formatem PAdES lub XAdES,

b) Zamawiający dopuszcza podpisanie dokumentów w formacie innym niż „pdf”, wtedy należy podpisywać formatem XAdES.

10. Wykonawca wypełnia JEDZ, tworząc dokument elektroniczny. Może korzystać z narzędzia ESPD (zgodnie z informacją w Rozdziale VI lub z innych dostępnych narzędzi lub oprogramowania, które umożliwiają wypełnienie JEDZ i utworzenie dokumentu elektronicznego, w szczególności w jednym z ww. formatów:

a) Po stworzeniu lub wygenerowaniu przez wykonawcę dokumentu elektronicznego JEDZ, wykonawca podpisuje ww. dokument kwalifikowanym podpisem elektronicznym w formacie określonym w pkt 10, wystawionym przez dostawcę kwalifikowanej usługi zaufania, będącego podmiotem świadczącym usługi certyfikacyjne - podpis elektroniczny, spełniające wymogi bezpieczeństwa określone w ustawie.1

1 Ustawa z dnia 5 września 2016 r. – o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. z 2016 r. poz. 1579)

b) Obowiązek złożenia JEDZ w postaci elektronicznej opatrzonej kwalifikowanym podpisem elektronicznym w sposób określony powyżej dotyczy również formularza JEDZ składanego na wezwanie w trybie art. 26 ust. 3 ustawy Pzp.

11. Zamawiający wskazuje, iż nie udziela informacji w zakresie postępowania drogą telefoniczną.

12. Dokumenty elektroniczne, oświadczenia lub elektroniczne kopie dokumentów lub oświadczeń składane są przez Wykonawcę za pośrednictwem Formularza do komunikacji jako załączniki. Zamawiający dopuszcza również możliwość składania dokumentów elektronicznych, oświadczeń lub elektronicznych kopii dokumentów lub oświadczeń za pomocą poczty elektronicznej, na wskazany w pkt. 7 adres email. Sposób sporządzenia dokumentów elektronicznych, oświadczeń lub elektronicznych kopii dokumentów lub oświadczeń musi być zgody z wymaganiami określonymi w rozporządzeniu Prezesa Rady Ministrów z dnia 27 czerwca 2017 r. w sprawie użycia środków komunikacji elektronicznej w postępowaniu o udzielenie zamówienia publicznego oraz udostępniania i przechowywania dokumentów elektronicznych, oraz rozporządzeniu Ministra Rozwoju z dnia 26 lipca 2016 r. w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia.

13. Wykonawca może zwrócić się do Zamawiającego o wyjaśnienie treści SIWZ.

14. Jeżeli wniosek o wyjaśnienie treści SIWZ wpłynie do Zamawiającego nie później niż do końca dnia, w którym upływa połowa terminu składania ofert, Zamawiający udzieli wyjaśnień niezwłocznie, jednak nie później niż na 6 dni przed upływem terminu składania ofert. Jeżeli wniosek o wyjaśnienie treści SIWZ wpłynie po upływie terminu, o którym mowa powyżej, lub dotyczy udzielonych wyjaśnień, Zamawiający może udzielić wyjaśnień albo pozostawić wniosek bez rozpoznania. Zamawiający zamieści wyjaśnienia na stronie internetowej, na której udostępniono SIWZ.

Wykonawcy winni przesłać treść wniosku o wyjaśnienie SIWZ także w postaci elektronicznej (w formacie.doc lub innym obsługiwanym i umożliwiającym edycję przez pakiet MS Office, z wyłączeniem formatu pdf).

15. Przedłużenie terminu składania ofert nie wpływa na bieg terminu składania wniosku, o którym mowa

w pkt. 14.

16. Wykonawcy związani są wszelkimi zmianami i wyjaśnieniami do SIWZ zamieszczanymi na stronie internetowej Zamawiającego. W związku z powyższym, Zamawiający zaleca bieżące monitorowanie strony internetowej Zamawiającego xxx.xxx.xxx.xx w celu zapoznania się z ewentualnymi odpowiedziami na zapytania do SIWZ, bądź wyjaśnieniami SIWZ, lub wprowadzonymi zmianami do SIWZ.

17. W przypadku rozbieżności pomiędzy treścią SIWZ, a treścią udzielonych odpowiedzi, jako obowiązującą należy przyjąć treść pisma zawierającego późniejsze oświadczenie Zamawiającego.

18. Zamawiający nie przewiduje zwołania zebrania Wykonawców.

19. Osobą uprawnioną przez Zamawiającego do porozumiewania się z Wykonawcami jest:

- Xxxxxx Xxxxxxxxxxx za pomocą poczty elektronicznej pod adresem: xxx@xxxxx.xxx.xx

Jednocześnie Xxxxxxxxxxx informuje, że przepisy ustawy PZP nie pozwalają na jakikolwiek inny kontakt - zarówno z Zamawiającym, jak i osobami uprawnionymi do porozumiewania się z Wykonawcami - niż wskazany w niniejszym rozdziale SIWZ. Xxxxxxx to, że Xxxxxxxxxxx nie będzie reagował na inne formy kontaktowania się z nim, w szczególności na kontakt telefoniczny lub/i osobisty w swojej siedzibie.

VIII. Wymagania dotyczące wadium.

1. Wykonawca zobowiązany jest wnieść wadium w wysokości 33 000,00 PLN (słownie złotych: trzydzieści trzy tysiące 00/100) przed upływem terminu składania ofert.

2. Wadium może być wniesione w:

1) pieniądzu;

2) poręczeniach bankowych, lub poręczeniach spółdzielczej kasy oszczędnościowo-kredytowej, z

tym, że poręczenie kasy jest zawsze poręczeniem pieniężnym;

3) gwarancjach bankowych;

4) gwarancjach ubezpieczeniowych;

5) poręczeniach udzielanych przez podmioty, o których mowa w art. 6b ust. 5 pkt 2 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2016 r. poz. 359).

3. Wadium w formie pieniądza należy wnieść przelewem na nr konta Zamawiającego 42 0000 0000 0000 4813 9120 0000, z dopiskiem na przelewie: „Wadium w postępowaniu nr WRZ.270.1.2020”.

4. Skuteczne wniesienie wadium w pieniądzu następuje z chwilą uznania środków pieniężnych na rachunku bankowym Zamawiającego, o którym mowa w pkt. 3, przed upływem terminu składania ofert, tj. przed upływem dnia i godziny wyznaczonej jako ostateczny termin składania ofert.

5. Zamawiający zaleca, aby w przypadku wniesienia wadium w formie pieniądza – dokument

potwierdzający dokonanie przelewu wadium został załączony do oferty;

6. W przypadku wnoszenia wadium w formie innej niż pieniądz, wymagane jest złożenie oryginalnego dokumentu gwarancji /poręczenia w postaci dokumentu elektronicznego tj. opatrzonego kwalifikowanym podpisem elektronicznym osób upoważnionych do jego wystawienia, tj. wystawcę dokumentu. Oryginał gwarancji/poręczenia powinien być załączony do oferty za pośrednictwem miniPortalu. Dokument taki winien być sporządzony w języku polskim. Oryginały przedmiotowych dokumentów zostaną zwrócone Wykonawcom w terminach wynikających z ustawy PZP;

7. Z treści gwarancji/poręczenia winno wynikać bezwarunkowe, na każde pisemne żądanie zgłoszone przez Zamawiającego w terminie związania ofertą, zobowiązanie Gwaranta do wypłaty Zamawiającemu pełnej kwoty wadium w okolicznościach określonych w art. 46 ust. 4a i 5 ustawy PZP.

8. Oferta Wykonawcy, który nie wniesie wadium lub wniesie w sposób nieprawidłowy zostanie odrzucona.

9. Okoliczności i zasady zwrotu wadium, jego przepadku oraz zasady jego zaliczenia na poczet

zabezpieczenia należytego wykonania umowy określa ustawa PZP.

IX. Termin związania ofertą.

1. Wykonawca będzie związany ofertą przez okres 60 dni. Bieg terminu związania ofertą rozpoczyna się wraz z upływem terminu składania ofert (art. 85 ust. 5 ustawy PZP).

2. Wykonawca może przedłużyć termin związania ofertą, na czas niezbędny do zawarcia umowy, samodzielnie lub na wniosek Zamawiającego, z tym, że Zamawiający może tylko raz, co najmniej na 3 dni przed upływem terminu związania ofertą, zwrócić się do Wykonawców o wyrażenie zgody na przedłużenie tego terminu o oznaczony okres, jednak nie dłuższy niż 60 dni.

3. Odmowa wyrażenia zgody na przedłużenie terminu związania ofertą nie powoduje utraty wadium.

4. Przedłużenie terminu związania ofertą jest dopuszczalne tylko z jednoczesnym przedłużeniem okresu ważności wadium albo, jeżeli nie jest to możliwie, z wniesieniem nowego wadium na przedłużony

okres związania ofertą. Jeżeli przedłużenie terminu związania ofertą dokonywane jest po wyborze oferty najkorzystniejszej, obowiązek wniesienia nowego wadium lub jego przedłużenia dotyczy jedynie Wykonawcy, którego oferta została wybrana jako najkorzystniejsza.

X. Opis sposobu przygotowywania ofert.

1. Wykonawca składa ofertę za pośrednictwem Formularza do złożenia, zmiany, wycofania oferty lub

wniosku dostępnego na ePUAP i udostępnionego również na miniPortalu. Klucz publiczny niezbędny do zaszyfrowania oferty przez Wykonawcę jest dostępny dla Wykonawców na miniPortalu. W formularzu oferty Wykonawca zobowiązany jest podać adres skrzynki ePUAP, na którym prowadzona będzie korespondencja związana z postępowaniem.

2. Oferta powinna być sporządzona w języku polskim, z zachowaniem postaci elektronicznej w formacie danych zgodnie z rozdziałem VII pkt 9 SIWZ i podpisana kwalifikowanym podpisem elektronicznym. Sposób złożenia oferty w tym zaszyfrowania oferty opisany został w Regulaminie korzystania z miniPortalu. Ofertę należy złożyć w oryginale.

3. Wszelkie informacje stanowiące tajemnicę przedsiębiorstwa w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, które Wykonawca zastrzeże jako tajemnicę przedsiębiorstwa, powinny zostać złożone w osobnym pliku wraz z jednoczesnym zaznaczeniem polecenia „Załącznik stanowiący tajemnicę przedsiębiorstwa” a następnie wraz z plikami stanowiącymi część jawną skompresowane do jednego pliku archiwum (ZIP).

4. Do oferty należy dołączyć Jednolity Europejski Dokument Zamówienia w postaci elektronicznej, opatrzonej kwalifikowanym podpisem elektronicznym, a następnie wraz z plikami stanowiącymi ofertę skompresować do jednego pliku archiwum (ZIP).

5. Wykonawca może przed upływem terminu do składania ofert zmienić lub wycofać ofertę za pośrednictwem Formularza do złożenia, zmiany, wycofania oferty lub wniosku dostępnego na ePUAP i udostępnionych również na miniPortalu. Sposób zmiany i wycofania oferty został opisany w Instrukcji użytkownika dostępnej na miniPortalu

6. Wykonawca po upływie terminu do składania ofert nie może skutecznie dokonać zmiany ani wycofać złożonej oferty.

7. Oferta musi zawierać następujące oświadczenia i dokumenty:

1) wypełniony Formularz ofertowy sporządzony z wykorzystaniem wzoru stanowiącego Załącznik

nr 3 do SIWZ

2) oświadczenia wymienione w rozdziale VI pkt 1-5 niniejszej SIWZ;

3) oświadczenie o udostępnianiu zasobów na zasadach określonych w art. 22a ust.1 ustawy PZP, w celu wykazania spełniania warunków udziału w postępowaniu, stanowiące Załącznik nr 8 do SIWZ ( jeżeli dotyczy).

8. W przypadku podpisania oferty oraz poświadczenia za zgodność z oryginałem kopii dokumentów przez osobę niewymienioną w dokumencie rejestracyjnym (ewidencyjnym) Wykonawcy, należy do oferty dołączyć stosowne pełnomocnictwo w postaci dokumentu elektronicznego opatrzonego kwalifikowanym podpisem elektronicznym.

9. Poświadczenia za zgodność z oryginałem dokonuje odpowiednio Wykonawca, podmiot na którego zdolnościach lub sytuacji polega Wykonawca, Wykonawcy wspólnie ubiegający się o udzielenie zmówienia publicznego albo podwykonawca, w zakresie dokumentów, które każdego z nich dotyczą.

10. Dokumenty sporządzone w języku obcym muszą być złożone wraz z tłumaczeniem na język polski.

11. Wykonawca ma prawo złożyć tylko jedną ofertę, zawierającą jedną, jednoznacznie opisaną propozycję. Złożenie większej liczby ofert spowoduje odrzucenie wszystkich ofert złożonych przez danego Wykonawcę.

12. Treść złożonej oferty musi odpowiadać treści SIWZ.

13. Wykonawca ponosi wszelkie koszty związane z przygotowaniem i złożeniem oferty z zastrzeżeniem art. 93 ust. 4 ustawy PZP.

14. Zamawiający informuje, iż zgodnie z art. 8 w zw. z art. 96 ust. 3 ustawy PZP oferty składane w postępowaniu o zamówienie publiczne są jawne i podlegają udostępnieniu od chwili ich otwarcia, z wyjątkiem informacji stanowiących tajemnicę przedsiębiorstwa w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2018 r. poz. 419, z późn. zm.), jeśli Wykonawca w terminie składania ofert zastrzegł, że nie mogą one być udostępniane i jednocześnie wykazał, iż zastrzeżone informacje stanowią tajemnicę przedsiębiorstwa.

15. Zamawiający zaleca, aby informacje zastrzeżone, jako tajemnica przedsiębiorstwa były przez Wykonawcę złożone w osobnym pliku wraz z jednoczesnym zaznaczeniem polecenia „Załącznik stanowiący tajemnicę przedsiębiorstwa” a następnie wraz z plikami stanowiącymi jawną część skompresowane do jednego pliku archiwum (ZIP). Brak jednoznacznego wskazania, które informacje stanowią tajemnicę przedsiębiorstwa oznaczać będzie, że wszelkie oświadczenia i zaświadczenia składane w trakcie niniejszego postępowania są jawne bez zastrzeżeń.

16. Zastrzeżenie informacji, które nie stanowią tajemnicy przedsiębiorstwa w rozumieniu ustawy

o zwalczaniu nieuczciwej konkurencji będzie traktowane, jako bezskuteczne i skutkować będzie

zgodnie z uchwałą SN z 20 dnia października 2005 r. (sygn. III CZP 74/05) ich odtajnieniem.

17. Zamawiający informuje, że w przypadku kiedy Wykonawca otrzyma od niego wezwanie w trybie art. 90 ustawy PZP, a złożone przez niego wyjaśnienia i/lub dowody stanowić będą tajemnicę przedsiębiorstwa w rozumieniu ustawy o zwalczaniu nieuczciwej konkurencji Wykonawcy będzie przysługiwało prawo zastrzeżenia ich jako tajemnica przedsiębiorstwa. Przedmiotowe zastrzeżenie Zamawiający uzna za skuteczne wyłącznie w sytuacji kiedy Wykonawca oprócz samego zastrzeżenia, jednocześnie wykaże, iż dane informacje stanowią tajemnicę przedsiębiorstwa.

18. Do przeliczenia na PLN wartości wskazanej w dokumentach złożonych na potwierdzenie spełniania warunków udziału w postępowaniu, wyrażonej w walutach innych niż PLN, Zamawiający przyjmie średni kurs publikowany przez Narodowy Bank Polski z dnia wszczęcia postępowania.

19. Oferta, której treść nie będzie odpowiadać treści SIWZ, z zastrzeżeniem art. 87 ust. 2 pkt 3 ustawy PZP zostanie odrzucona (art. 89 ust. 1 pkt 2 ustawy PZP). Wszelkie niejasności i obiekcje dotyczące treści zapisów w SIWZ należy zatem wyjaśnić z Zamawiającym przed terminem składania ofert w trybie przewidzianym w rozdziale VII niniejszej SIWZ. Przepisy ustawy PZP nie przewidują negocjacji warunków udzielenia zamówienia, w tym zapisów projektu umowy, po terminie otwarcia ofert.

XI. Miejsce i termin składania i otwarcia ofert.

1. Ofertę należy złożyć za pośrednictwem Formularza do złożenia, zmiany, wycofania oferty lub

wniosku dostępnego na ePUAP i udostępnionego również na miniPortalu w nieprzekraczalnym

terminie do dnia 2020-10-12, do godziny 10:00.

2. Decydujące znaczenie dla oceny zachowania terminu składania ofert ma data i godzina wpływu oferty do Zamawiającego.

3. Zamawiający niezwłocznie zawiadomi Wykonawcę o złożeniu oferty po terminie oraz zwróci ofertę po upływie terminu do wniesienia odwołania.

4. Otwarcie ofert nastąpi w dniu składania ofert o godzinie 13:00. Otwarcie ofert jest jawne i przeprowadzane będzie poprzez transmisję online w związku z sytuacją epidemiologiczną w kraju. Transmisja online z sesji otwarcia ofert dostępna będzie pod linkiem: xxxxx://xxxxx.xxxxxxxxx.xxx/x/xxxxxx- join/19%3ameeting_NWRiMDUyY2MtNmNmNS00YjBkLTk3YmQtMDY4MzczNTdkZWIz%40thread.v2

/0?context=%7b%22Tid%22%3a%225560f246-6c19-4831-b59e- a1db8474627e%22%2c%22Oid%22%3a%223898a8e6-4342-4985-84a4-7b114af942eb%22%7d

5. Podczas otwarcia ofert Xxxxxxxxxxx odczyta informacje, o których mowa w art. 86 ust. 4 ustawy PZP.

6. Niezwłocznie po otwarciu ofert zamawiający zamieści na stronie internetowej xxx.xxx.xxx.xx

informacje dotyczące:

a) kwoty, jaką zamierza przeznaczyć na sfinansowanie zamówienia;

b) firm oraz adresów Wykonawców, którzy złożyli oferty w terminie;

c) ceny, terminu wykonania zamówienia, okresu gwarancji (jeżeli był określony) i warunków płatności zawartych w ofertach.

XII. Opis sposobu obliczania ceny.

1. Wykonawca określa cenę realizacji zamówienia poprzez wskazanie w Formularzu ofertowym

sporządzonym wg wzoru stanowiącego Załączniki nr 3 do SIWZ łącznej ceny ofertowej brutto za realizację całości przedmiotu zamówienia, wynagrodzenia z tytułu realizacji zamówienia gwarantowanego oraz opcjonalnego, wysokość ryczałtowego wynagrodzenia miesięcznego brutto za realizację przedmiotu zamówienia.

2. Cena ofertowa brutto za realizację całości przedmiotu zamówienia musi uwzględniać wszystkie koszty związane z realizacją przedmiotu zamówienia zgodnie z opisem przedmiotu zamówienia oraz wzorem umowy określonym w SIWZ.

3. Cena ofertowa brutto za realizację całości przedmiotu zamówienia musi być podana i wyliczona w zaokrągleniu do dwóch miejsc po przecinku (zasada zaokrąglenia – poniżej 5 należy końcówkę pominąć, powyżej i równe 5 należy zaokrąglić w górę).

4. Cena oferty brutto winna być wyrażona w złotych polskich (PLN). Zamawiający nie przewiduje rozliczeń w innych obcych walutach.

5. Zamawiający nie posiada statusu czynnego podatnika VAT.

XIII. Opis kryteriów, którymi Zamawiający będzie się kierował przy wyborze oferty, wraz

z podaniem wag tych kryteriów i sposobu oceny ofert.

1. Zamawiający oceni i porówna jedynie te oferty, które: nie podlegają odrzuceniu.

2. Za ofertę najkorzystniejszą zostanie uznana oferta zawierająca najkorzystniejszy bilans punktów

w kryterium:

1) Łączna cena ofertowa brutto – C;

2) Spełnienie dodatkowych wymagań funkcjonalnych (F);

3) Termin realizacji (T).

3. Powyższym kryteriom Zamawiający przypisał następujące znaczenie:

Kryterium	Waga [%]	Liczba punktów	Sposób oceny wg wzoru
Łączna cena ofertowa brutto (C)	60%	60	Cena najtańszej oferty C = x 60pkt Cena badanej oferty
Spełnienie dodatkowych wymagań funkcjonalnych (F)	30%	30	Za spełnienie każdej dodatkowej funkcjonalności zostaną przyznane punkty zgodnie z opisem poniżej. Wymagany jest opis zadeklarowanej funkcjonalności.
Termin realizacji (T)	10%	10	Realizacja przedmiotu zamówienia do 40 dni kalendarzowych od podpisania umowy – zero punktów. Realizacja przedmiotu zamówienia do 35 dni kalendarzowych od podpisania umowy – pięć punktów. Realizacja przedmiotu zamówienia do 30 dni kalendarzowych od podpisania umowy – dziesięć punktów.
RAZEM	100%	100	────────────────────

4. Ocena punktowa w kryterium „Łączna cena ofertowa brutto” (C) złożonych ofert zostanie dokonana na podstawie łącznej ceny ofertowej brutto wskazanej przez Wykonawcę w pkt 3 Formularza ofertowego, który stanowi Załącznik nr 3 do SIWZ i będzie przeliczona według wzoru opisanego w tabeli powyżej.

Maksymalna liczba punktów do uzyskania w tym kryterium wynosi 60,00.

5. Ocena punktowa w ramach w kryterium Spełnienie dodatkowych wymagań funkcjonalnych (F) złożonych ofert zostanie dokonana na podstawie podanego przez Wykonawcę w ofercie zakresu spełnienia dodatkowych wymagań funkcjonalnych Systemu określonego w pkt 4 Formularza ofertowego, który stanowi Załącznik nr 3 do SIWZ i będzie przeliczona według opisu w pkt 1) do 7) w tabeli poniżej.

Maksymalna liczba punktów do uzyskania w tym kryterium wynosi 30,00.

Lp.	Opis dodatkowej funkcjonalności	Wartość punktowa
1) Spełnienie dodatkowych wymagań (F1)	Czas reakcji w przypadku przyjętych czasów w punkcie 15 załącznika nr 2 do OPZ (Warunki gwarancji) przyznawanych jest 0 punktów, dla czasów reakcji krótszych lub równych niż połowa czasu reakcji przyznawane są 4 punkty	4
2) Spełnienie dodatkowych wymagań (F2)	Czas rozwiązania zgłoszenia (usunięcia usterek/awarii) w przypadku przyjętych czasów w punkcie 15 załącznika nr 2 do OPZ (Warunki gwarancji) przyznawanych jest 0 punktów, dla czasów usunięcia	4

	ustrek/awarii krótszych lub równych niż połowa czasu usunięcia usterek/awarii przyznawane są 4 punkty
3) Spełnienie dodatkowych wymagań (F3)	Systemu posiada aktualne połączenie do źródeł zewnętrznych zawierających informacje o IOC - bazy reputacyjne o niepożądanych adresach IP, sieciach, złośliwych domenach itp. Dane z tych źródeł muszą być dostępne w Systemie do budowy reguł korelacyjnych.	4
4) Spełnienie dodatkowych wymagań (F4)	System bezpieczeństwa zbudowany w architekturze centralnego serwera przechowującego wszystkie zgromadzone dane/logi przez System.	6
5) Spełnienie dodatkowych wymagań (F5)	System w ramach dostarczonej licencji zapewnia możliwość instalacji nielimitowanej liczby instancji serwerów z oprogramowaniem zbierającym logi tak zwany log collector w ramach dostarczonej licencji.	4
6) Spełnienie dodatkowych wymagań (F6)	System musi wspierać mechanizm filtrowania danych spływających ze źródeł danych. System musi umożliwiać zdefiniowanie filtra oddzielnie dla każdego ze źródeł.	4
7) Spełnienie dodatkowych wymagań (F7)	Dostarczona licencja dla oprogramowania Systemu nie limituje wielkości przechowywanych danych oraz możliwości wyszukiwania informacji ze zgromadzonych danych.	4

6. Ocena punktowa w kryterium „Termin realizacji (T)” złożonych ofert dokonana zostanie na podstawie zaoferowanego terminu realizacji zamówienia wskazanego przez Wykonawcę w pkt 5 Formularza ofertowego, który stanowi Załącznik nr 3 do SIWZ i będzie przeliczona według opisu wskazanego poniżej

0 punktów – 40 dni

5 punktów – 35 dni

10 punktów – 30 dni

Maksymalna łączna liczba punktów do uzyskania w tym kryterium wynosi 10,00.

7. Obliczenie łącznej liczby punktów uzyskanych przez Wykonawcę (spośród ofert podlegających ocenie) zostanie obliczona na podstawie sumy uzyskanych punktów w kryterium „Cena ofertowa brutto”, „Spełnienie dodatkowych wymagań funkcjonalnych” oraz ,, Termin realizacji” zgodnie ze wzorem:

R = C + F + T

gdzie:

R – łączna liczba punktów przyznanych Wykonawcy,

C – liczba punktów przyznanych Wykonawcy w kryterium „Łączna cena ofertowa brutto”,

F - liczba punktów przyznanych Wykonawcy w kryterium „Spełnienie dodatkowych wymagań

funkcjonalnych”,

T – liczba punktów przyznanych Wykonawcy w kryterium „Termin realizacji”.

Przyjmuje się, że 1% = 1 pkt i tak zostanie przeliczona liczba punktów w każdym kryterium.

8. Maksymalna łączna liczba punktów możliwych do uzyskania przez Wykonawcę wynosi 100,00.

9. Badana oferta otrzyma zaokrągloną do dwóch miejsc po przecinku liczbę punktów (zgodnie z zasadą, iż jeżeli trzecia cyfra po przecinku jest równa 5 lub więcej to zaokrąglenie następuje „w górę”, jeżeli trzecia cyfra po przecinku jest mniejsza niż 5 to druga cyfra zostaje niezmieniona).

10. Za ofertę najkorzystniejszą uznana zostanie oferta, która uzyska najwyższą liczbę punktów uzyskanych

w ww. kryteriach.

11. Zamawiający udzieli zamówienia Wykonawcy, którego oferta odpowiadać będzie wszystkim wymaganiom przedstawionym w SIWZ i zostanie oceniona jako najkorzystniejsza w oparciu o podane kryteria wyboru.

12. Jeżeli nie będzie można dokonać wyboru oferty najkorzystniejszej ze względu na to, że dwie lub więcej ofert przedstawia taki sam bilans ceny i pozostałych kryteriów oceny ofert, Zamawiający spośród tych ofert dokona wyboru oferty z niższą ceną (art. 91 ust. 4 ustawy PZP)

13. Jeżeli złożono ofertę, której wybór prowadziłby do powstania obowiązku podatkowego Zamawiającego, zgodnie z przepisami o podatku od towarów i usług, w zakresie dotyczącym wewnątrz wspólnotowego nabycia towarów, Zamawiający w celu oceny takiej oferty dolicza do przedstawionej w niej ceny podatek od towarów i usług, który miałby obowiązek wpłacić zgodnie z obowiązującymi przepisami.

14. Zamawiający nie przewiduje przeprowadzenia aukcji elektronicznej.

XIV. Informacje o formalnościach, jakie powinny być dopełnione po wyborze oferty w celu zawarcia

umowy w sprawie zamówienia publicznego.

1. Osoby reprezentujące Wykonawcę przy podpisywaniu umowy powinny posiadać dokumenty

potwierdzające ich umocowanie do podpisania umowy, o ile umocowanie to nie będzie wynikać z dokumentów załączonych do oferty.

2. W przypadku wyboru oferty złożonej przez Wykonawców wspólnie ubiegających się o udzielenie zamówienia Zamawiający będzie żądać przed zawarciem umowy przedstawienia umowy regulującej współpracę tych Wykonawców. Umowa taka winna określać strony umowy, cel działania, sposób współdziałania, zakres prac przewidzianych do wykonania każdemu z nich, solidarną odpowiedzialność za wykonanie zamówienia, oznaczenie czasu trwania konsorcjum (obejmującego okres realizacji przedmiotu zamówienia, gwarancji i rękojmi), wykluczenie możliwości wypowiedzenia umowy konsorcjum przez któregokolwiek z jego członków do czasu wykonania zamówienia.

3. Zawarcie umowy nastąpi według wzoru Zamawiającego, stanowiącego Załącznik nr 2 do SIWZ.

4. Postanowienia ustalone we wzorze umowy nie podlegają negocjacjom.

5. W przypadku, gdy Wykonawca, którego oferta została wybrana jako najkorzystniejsza, uchyla się od zawarcia umowy, Zamawiający będzie mógł wybrać ofertę najkorzystniejszą spośród pozostałych ofert, bez przeprowadzenia ich ponownego badania i oceny chyba, że zachodzą przesłanki, o których mowa w art. 93 ust. 1 ustawy PZP.

6. Zamawiający informuje niezwłocznie wszystkich Wykonawców o:

6.1. wyborze najkorzystniejszej oferty, podając nazwę albo imię i nazwisko, siedzibę albo miejsce zamieszkania i adres, jeżeli jest miejscem wykonywania działalności Wykonawcy, którego ofertę wybrano, oraz nazwy albo imiona i nazwiska, siedziby albo miejsca zamieszkania i adresy, jeżeli są miejscami wykonywania działalności Wykonawców, którzy złożyli oferty.

6.2. Wykonawcach, którzy zostali wykluczeni;

6.3. Wykonawcach, których oferty zostały odrzucone i powodach odrzucenia oferty;

6.4. o nieustanowieniu dynamicznego systemu zakupów;

6.5. o unieważnieniu postępowania,

– podając uzasadnienie faktyczne i prawne oraz zamieści je na stronie internetowej Zamawiającego.

XV. Wymagania dotyczące zabezpieczenia należytego wykonania umowy.

1. Wykonawca, którego oferta zostanie wybrana, zobowiązany będzie do wniesienia zabezpieczenia należytego wykonania umowy najpóźniej w dniu jej zawarcia, w wysokości 3 % maksymalnego łącznego wynagrodzenia brutto z tytułu realizacji przedmiotu Umowy.

2. Zabezpieczenie może być wnoszone według wyboru Wykonawcy w jednej lub w kilku następujących

formach:

a) pieniądzu;

b) poręczeniach bankowych lub poręczeniach spółdzielczej kasy oszczędnościowo-kredytowej, z

tym że zobowiązanie kasy jest zawsze zobowiązaniem pieniężnym;

c) gwarancjach bankowych;

d) gwarancjach ubezpieczeniowych;

e) poręczeniach udzielanych przez podmioty, o których mowa w art. 6b ust. 5 pkt 2 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2016 r. poz. 359).

3. Zamawiający nie wyraża zgody na wniesienie zabezpieczenia w formach określonych w art. 148 ust. 2 ustawy PZP.

4. W przypadku wniesienia zabezpieczenia w formie pieniężnej odpowiednią kwotę należy wpłacić na rachunek bankowy Zamawiającego, nr 42 0000 0000 0000 4813 9120 0000, a dokument potwierdzający wpłatę (pokwitowanie) należy złożyć w siedzibie Zamawiającego w Warszawie przy ul. Xxxxxxxxxx Xxxxxx 5A, przed podpisaniem umowy, Zamawiający przechowa je na oprocentowanym rachunku bankowym. Zamawiający zwraca zabezpieczenie wniesione w pieniądzu z odsetkami wynikającymi z umowy rachunku bankowego, na którym było ono przechowywane, pomniejszone o koszt prowadzenia tego rachunku oraz prowizji bankowej za przelew pieniędzy na rachunek bankowy Wykonawcy.

5. Z treści zabezpieczenia przedstawionego w formie gwarancji/poręczenia winno wynikać, że bank, ubezpieczyciel, poręczyciel zapłaci, na rzecz Zamawiającego w terminie maksymalnie 30 dni od pisemnego żądania kwotę zabezpieczenia, na pierwsze wezwanie Zamawiającego, bez odwołania, bez warunku, niezależnie od kwestionowania czy zastrzeżeń Wykonawcy i bez dochodzenia czy wezwanie Zamawiającego jest uzasadnione czy nie. Istotne postanowienia gwarancji stanowią Załącznik nr 9 do SIWZ.

6. W przypadku, gdy zabezpieczenie, będzie wnoszone w formie innej niż pieniądz, Zamawiający

zastrzega sobie prawo do akceptacji projektu ww. dokumentu.

7. Warunki i termin zwolnienia zabezpieczenia należytego wykonania umowy określone zostały we wzorze Umowy stanowiącym Załącznik nr 2 do SIWZ w paragrafie: „ZABEZPIECZENIE NALEŻYTEGO WYKONANIA UMOWY”.

XVI. Istotne dla stron postanowienia, które zostaną wprowadzone do treści zawieranej umowy w sprawie zamówienia publicznego, ogólne warunki umowy albo wzór umowy, jeżeli Zamawiający wymaga od Wykonawcy, aby zawarł z nim umowę w sprawie zamówienia publicznego na takich warunkach.

Wzór umowy, stanowi Załącznik nr 2 do SIWZ. Zamawiający jest uprawniony do zmiany postanowień

zawartej Umowy w stosunku do treści oferty wyłącznie w trybie przewidzianym w art. 144 ustawy PZP. Zmiany Umowy w trybie art. 144 ust.1 pkt 1 ustawy PZP zostały przez Zamawiającego uwzględnione we wzorze Umowy.

XVII. Pouczenie o środkach ochrony prawnej.

1. Każdemu Wykonawcy, a także innemu podmiotowi, jeżeli ma lub miał interes w uzyskaniu danego zamówienia oraz poniósł lub może ponieść szkodę w wyniku naruszenia przez Zamawiającego przepisów ustawy PZP przysługują środki ochrony prawnej przewidziane w dziale VI ustawy PZP jak dla postępowań powyżej kwoty określonej w przepisach wykonawczych wydanych na podstawie art. 11 ust. 8 ustawy PZP.

2. Środki ochrony prawnej wobec ogłoszenia o zamówieniu oraz SIWZ przysługują również organizacjom wpisanym na listę, o której mowa w art. 154 pkt 5 ustawy PZP.

XVIII. Informacje o przetwarzaniu danych osobowych: Centrum e-Zdrowia z siedzibą w Warszawie przy xx. Xxxxxxxxxx Xxxxxx 0X, 00-000 Xxxxxxxx (dalej:

„CeZ”) przetwarza dane zawarte w ofertach albo wnioskach o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia publicznego, znajdujące się w publicznie dostępnych rejestrach (Krajowy Rejestr Sądowy, Centralna Ewidencja i Informacja o Działalności Gospodarczej RP, Krajowy Rejestr Karny) w celu prowadzenia postępowań w sprawie zamówienia publicznego na postawie przepisów ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (Dz. U. z 2018 r., poz. 1986, z późn. zm.). Wśród tych informacji mogą pojawić się dane, które na gruncie Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016

r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „Ogólne Rozporządzenie” lub „RODO”), mają charakter danych osobowych.

W świetle powyższego CeZ informuje, że:

1) Administratorem danych osobowych (dalej: „Administrator”) jest Centrum e-Zdrowia z siedzibą w Warszawie przy xx. Xxxxxxxxxx Xxxxxx 0X, 00-000 Xxxxxxxx, REGON: 001377706, NIP: 5251575309, skrytka ePUAP: /csiozgovpl/SkrytkaESP, email: xxxxx@xxxxx.xxx.xx

2) W sprawach związanych z Pani/Pana danymi proszę kontaktować się z Inspektorem Ochrony Danych, kontakt pisemny za pomocą poczty tradycyjnej na adres: IOD CSIOZ, 00-000 Xxxxxxxx, xx. Xxxxxxxxxx Xxxxxx 0X; e-mail: xxx@xxxxx.xxx.xx

3) Dane osobowe zawarte w ofertach są przetwarzane na podstawie art. 6 ust. 1 lit. c RODO, tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Celem przetwarzania danych osobowych jest prowadzenie w imieniu własnym zamówień publicznych. Przetwarzanie danych osobowych na potrzeby ww. postępowań mieści się w zakresie działalności statutowej CeZ. Przetwarzanie tych danych jest niezbędne, aby CeZ mogło prawidłowo wypełniać nałożone na nie obowiązki.

4) Odbiorcą Pani/Pana danych osobowych będą upoważnieni pracownicy CeZ.

5) Pani/Pana dane osobowe będą przechowywane przez okres:

− przez okres 4 lat od dnia zakończenia postępowania o udzielenie zamówienia publicznego,

− jeżeli czas trwania umowy przekracza 4 lata - przez cały czas trwania umowy.

6) Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu wobec przetwarzania.

7) Ma Pan/Pani prawo wniesienia skargi do organu nadzorczego, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

8) Podanie przez Pana/Panią danych osobowych jest wymogiem ustawowym. Jest Pan/Pani zobowiązana do ich podania, a konsekwencją niepodania danych osobowych będzie niemożliwość oceny ofert i zawarcia umowy.

9) Dane udostępnione przez Panią/Pana nie będą podlegały profilowaniu.

10) Administrator danych nie ma zamiaru przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

11) CeZ dokłada wszelkich starań, aby zapewnić wszelkie środki fizycznej, technicznej i organizacyjnej ochrony danych osobowych przed ich przypadkowym czy umyślnym zniszczeniem, przypadkową utratą, zmianą, nieuprawnionym ujawnieniem, wykorzystaniem czy dostępem, zgodnie ze wszystkimi obowiązującymi przepisami.

Załącznik nr 1 do SIWZ

Załącznik nr 1 do Umowy CeZ/…/2020

OPIS PRZEDMIOTU ZAMÓWIENIA

Przedmiotem zamówienia jest zakup systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego (zwanego dalej „Systemem”) dla Centrum e-Zdrowia (dalej zwane Centrum), który ma docelowo obsłużyć:

Łączna liczba EPS (event per second) minimum	Łączna liczba systemów wysyłających logi/dane minimum	Łączna liczba FPM (flow per minute) minimum	Łączna liczba GB danych zbieranych dziennie minimum
15000	1200 w tym szacowane 500 urządzeń wysyłających mniej niż 1000 zdarzeń dziennie	150000	40

Zamawiający dopuszcza zaadoptowanie środowiska wskazanego w Załączniku nr 1 do OPZ - Opis środowiska Zamawiającego, na potrzeby nowego Systemu przez Wykonawcę, z zastrzeżeniem, że System musi mieć docelową wydajność jak wskazana powyżej w Tabeli. W takim przypadku, Wykonawca zobowiązany będzie do zapewnienia wsparcia producenta dla licencji.

Zamawiający wymaga, że wszystkie komponenty składowe Systemu zostaną zwirtualizowane, tzw. „virtual appliance”.

Zarówno dostawa nowego Systemu jak i zaadoptowanie obecnie używanego, o którym mowa powyżej musi zostać zrealizowane zgodnie z z warunkami wskazanymi poniżej:

1. Opracowanie harmonogramu

1.1. Przygotowanie i przedstawienie harmonogramu wdrożenia Systemu

1.2. Opis niezbędnych prac w celu wdrożenia Systemu wraz ze wskazaniem podziału obowiązków pomiędzy Zamawiającego i Wykonawcę w modelu RACI

1.3. Przedstawienie listy pracowników Wykonawcy odpowiedzialnych za wykonanie poszczególnych punktów 1, 2, 3, 4, 5 zgodnie z przedstawionym wykazem podziału obowiązków w w/w formacie RACI wraz z danymi teleadresowymi, minimalnie numer telefonu komórkowego, adres email.

2. Analiza przedwdrożeniowa

2.1. Przedstawienie docelowej architektury Systemu, w postaci Projektu technicznego,

uwzględniającej:

2.1.1.Trzy fizyczne ośrodki przetwarzania danych ulokowane na terenie Warszawy

2.1.2.Trzy „wirtualne” ośrodki przetwarzania danych

2.1.3.Uwzględnienie wysokiej dostępności (HA) całego Systemu

2.1.4.Uwzględnienie konieczności gromadzenia logów przez okres trwania umowy 2.1.5.Uwzględnienie zbierania logów z systemów opartych na technologii konteneryzacji

opartej między innymi o docker, kubernetes, pivotal

2.1.6.System musi być „zwirtualizowany” tzw virtual appliance i współpracować

z posiadanaymi licencjami VMware Hypervisor Enterprise

2.1.7. Wykaz oprogramowania i licencji niezbędnych do poprawnej pracy Systemu

2.1.8. Specyfikacja techniczna określająca wymogi takie jak:

2.1.8.1. Opisanie wymagań: vCPU, vRAM, HDD dla poszczególnych składowych Systemu ulokowanych w fizycznych i wirtualnych ośrodkach przetwarzania danych dla wartości 2000 EPS i 50000 FPM w celu późniejszego wymiarowania systemu

2.1.8.2. Ilość maszyn wirtualnych wymaganych dla wszystkich składowych systemu

2.1.8.3. Wymagane parametry łącza pomiędzy składowymi Systemu

2.1.8.4. Wymagane połączenia sieciowe pomiędzy wszystkimi składowymi Systemu. W przypadku gdy System komunikuje się z zasobami zewnętrznymi np. bazy reputacyjne, należy wskazać wymagane połączenia.

2.2. Uzgodnienie wdrażanych reguł korelacyjnych z Zamawiającym.

2.3. Opracowanie scenariuszy testowych Systemu.

2.3.1.Scenariusze testowe muszą zawierać propozycje testów wydajnościowych, funkcjonalnych i bezpieczeństwa.

2.3.2.Scenariusze testowe muszą obejmować przypadki testowe potwierdzające poprawność integracji Systemu z systemami wskazanymi w analizie przedwdrożeniowej.

2.3.3.Scenariusze testowe będą przygotowane przez Wykonawcę i zatwierdzone

w iteracyjnym procesie przez Zamawiającego.

2.4. Przykładowa architektura logiczna z uwzględnieniem centralnego serwera przetwarzającego logi

tzw. konsola centralna.

3. Dostarczenie, wdrożenie, konfiguracja i testy Systemu

3.1. System musi zostać wdrożony w infrastrukturze Zamawiającego zgodnie z zaakceptowanym harmonogramem, Projektem technicznym z uwzględnieniem analizy przedwdrożeniowej.

3.2. Wykonawca w trakcie wdrożenia, musi wykonać pełną konfigurację i parametryzację Systemu zgodnie z założeniami opracowanymi wspólnie z Zamawiającym w trakcie analizy przedwdrożeniowej.

3.3. Wykonawca w trakcie wdrożenia musi podłączyć do Systemu co najmniej nw. źródła danych

z infrastruktury Zamawiającego:

Aplikacja / system	Ilość serwerów
Active Directory	4
VMware vCenter Server	2
DNS	2
FortiAnalyzer	2
FortiGate	4
Switch	20
Serwer Linux/Windows	20
Inne urządzenia/systemy bezpieczeństwa	20

3.4. Wykonawca w trakcie wdrożenia skonfiguruje co najmniej 20 reguł korelacyjnych oraz co najmniej

20 widoków/raportów, umożliwiające wyszukiwanie/prezentację zdarzeń świadczących o wystąpieniu incydentu bezpieczeństwa, z poniższej przykładowej listy. Zebrane dane przez System muszą zawierać wszelkie niezbędne szczegóły w celu analizy wykrytych zdarzeń/alarmów/incydentów.

lp	Opis	Przykładowe reguły korelacyjne, generowanie zdarzeń, alarmów, raportów
1	Detekcja następujących incydentów dla wszystkich systemów	Logowanie i próby logowania na konta root/administrator. Incydent musi być generowany dla przypadków: logowanie się na konto administrator/root na wielu systemach z jednego komputera, logowanie z wielu komputerów na konto administrator/root w jednym systemie, próby nieudanego logowania na konto root/administrator
2	Detekcja następujących incydentów dla wszystkich systemów	Nieudane próby logowania. Odnotowywanie nieudanych prób logowania się na dowolne konta w dowolnych systemach, po przekroczeniu określonego progu dla konta lub systemu musi być generowany incydent
3	Detekcja następujących incydentów dla wszystkich systemów	Dodanie konta administratora. Incydent generowany w przypadku utworzenia konta z podniesionymi uprawnieniami w systemie
4	Detekcja następujących incydentów dla wszystkich systemów	Zarządzanie użytkownikami. Incydent musi być generowany w przypadku stworzenia użytkownika lub modyfikacji już istniejącego użytkownika

5	Detekcja następujących incydentów dla wszystkich systemów	Zmiana hasła administratora (członków grup administratorów). Incydent musi być generowany w przypadku wystąpienia zdarzenia zmiany hasła dla dowolnego konta ze wskazanej listy kont administracyjnych (wymagana integracja z Active Directory oraz pliki płaskie)
6	Detekcja następujących incydentów dla wszystkich systemów	Logowanie i próby logowania z pominięciem systemy PAM (privileged access management) Incydent musi być generowany dla przypadków: logowanie się do systemu objętego PAM bez użycia mechanizmów PAM (logowanie lokalne)
7	Detekcja następujących incydentów dla wszystkich systemów	Wykorzystanie uprawnień administratora (przejęcie zasobów na własność, reset hasła użytkownika). Incydent musi być wygenerowany w przypadku wystąpienia zdarzenia polegającego na przejęciu uprawnień do zasobów użytkownika przez administratora
8	Detekcja następujących incydentów dla wszystkich systemów	Restarty serwerów. Incydent musi być generowany w przypadku wystąpienia restartu serwera
9	Detekcja następujących incydentów dla wszystkich systemów	Instalacja nowego oprogramowania. Incydent musi być generowany w przypadku zarejestrowania instalacji nowego oprogramowania na serwerze
10	Detekcja następujących incydentów dla wszystkich systemów	Zmiana polityki haseł. Incydent musi być generowany w przypadku zarejestrowania zmiany polityki haseł w domenie, serwerze, komputerze
11	Detekcja następujących incydentów dla wszystkich systemów	Zmiana polityk inspekcji zabezpieczeń. Incydent musi być generowany w przypadku zmiany w politykach inspekcji zabezpieczeń
12	Detekcja następujących incydentów dla wszystkich systemów	Zmiana konfiguracji interfejsów sieciowych. Incydent musi być generowany w przypadku zarejestrowania dodania nowego interfejsu sieciowego (LAN, modem) na serwerach
13	Detekcja następujących incydentów dla wszystkich systemów	Dodanie lub usunięcie nowego dysku. Incydent musi być generowany w przypadku dodania nowego dysku na serwerach
14	Detekcja następujących incydentów dla wszystkich systemów	Skasowanie lub przepełnienie dziennika logów. Incydent musi być generowany w przypadku wystąpienia przepełnienia lub skasowania dziennika logów (inspekcji, aplikacji lub systemu)
15	Detekcja następujących incydentów dla wszystkich systemów	Zmiana czasu. Incydent musi być generowany, jeżeli w zdarzeniach zarejestrowano zmianę czasu systemowego lub czas pobrania logu z maszyny różni się znacznie od czasu w logu
16	Detekcja następujących incydentów dla wszystkich systemów	Deaktywacja lub zmiana konfiguracji zapory sieciowej. Incydent musi być generowany, jeżeli nastąpi zmiana konfiguracji zapory sieciowej lub jej wyłączenie
17	Detekcja następujących incydentów dla wszystkich systemów	Deaktywacja lub odinstalowanie oprogramowania bezpieczeństwa np.: antywirusowego, DLP, EDR itp.. Incydent musi być generowany, jeżeli nastąpi deaktywacja lub odinstalowanie oprogramowania

18	Detekcja następujących incydentów dla wszystkich systemów	Błąd wykonania zadania kopii zapasowych. Incydent musi być generowany, jeżeli zadanie wykonania kopii zapasowej serwera zwróci błąd
19	Detekcja następujących incydentów dla wszystkich systemów	Zmiana sum kontrolnych plików. Incydent musi być generowany dla tych serwerów, dla których uruchomiono usługę weryfikacji sum kontrolnych plików w przypadku ich zmiany
20	Detekcja następujących incydentów dla wszystkich systemów	Skanowanie adresów IP i portów. Incydent musi być generowany w przypadku wykrycia próby skanowania adresów IP
21	Detekcja następujących incydentów dla wszystkich systemów	Infekcja złośliwym oprogramowaniem. Incydent musi być generowany w przypadku zarejestrowania infekcji złośliwym oprogramowaniem Ransomware
22	Detekcja następujących incydentów dla wszystkich systemów	Próba infekcji złośliwym oprogramowaniem. Incydent musi być generowany w przypadku wykrycia próby infekcji złośliwym oprogramowaniem
23	Detekcja następujących incydentów dla sieci:	Podłączenie nieznanego urządzenia do sieci. Incydent musi być generowany w przypadku podłączenia do sieci nieznanego urządzenia
24	Detekcja następujących incydentów dla sieci:	Próby nawiązania sesji administracyjnej do urządzenia sieciowego. Incydent musi być generowany w przypadku wykonania nieudanej próby wykonania sesji administracyjnej do urządzenia sieciowego bazując na logach uwierzytelnienia oraz potwierdzenia ruchu na bazie transmisji sieciowej
25	Detekcja następujących incydentów dla sieci:	Wykonanie zmiany konfiguracji urządzenia sieciowego. Incydent musi być generowany w przypadku zarejestrowania zmiany konfiguracji urządzenia sieciowego
26	Detekcja następujących incydentów dla sieci:	Awaria urządzenia firewall. Incydent musi być generowany w przypadku awarii urządzenia firewall
27	Detekcja następujących incydentów dla sieci:	Zmiana konfiguracji serwera zarządzania i monitorowania sieci. Incydent musi być generowany w przypadku zarejestrowania zmiany konfiguracji serwera zarządzania i monitorowania sieci
28	Detekcja następujących incydentów dla sieci:	Wykrycie anomalii np.: próby komunikacji do C&C z wielu hostów w sieci wewnętrznej, wysyłanie dużej ilości pakietów danych do sieci zewnętrznej z jednego hosta, próby komunikacji do sieci IRC, próby komunikacji do sieci TOR.
29	Detekcja następujących incydentów dla sieci:	Zmiana konfiguracji usługi proxy. Incydent musi być generowany w przypadku zarejestrowania zmiany konfiguracji usługi proxy (dodanie lub modyfikacja udostępnianych usług, zmiana zasad przechowywania logów inspekcji, dodanie użytkownika)
30	Detekcja następujących incydentów dla sieci:	Nawiązanie sesji administracyjnej do proxy
31	Detekcja następujących incydentów dla stacji roboczych	Nieudane próby logowania do stacji roboczej. Incydent musi być generowany w przypadku zarejestrowania próby logowania do stacji roboczej (nie do domeny)

32	Detekcja następujących incydentów dla stacji roboczych	Użycie uprawnień administratora lokalnego. Incydent musi być generowany w przypadku zarejestrowania użycia uprawnień administratora (lokalnego lub domenowego) polegającej na przejęciu własności obiektów w systemie
33	Detekcja następujących incydentów dla stacji roboczych	Zmiana poziomu uprawnień usługi lub procesu na stacji roboczej (np. zmiana właściciela usługi na SYSTEM). Incydent musi być generowany w przypadku zarejestrowania faktu wystąpienia zmiany poziomu usługi uruchomionej na stacji roboczej
34	Detekcja następujących incydentów dla stacji roboczych	Stworzenie użytkownika lokalnego
35	Detekcja następujących incydentów dla stacji roboczych	Zmiana uprawnień użytkownika lokalnego.
36	Detekcja następujących incydentów dla stacji roboczych	Wysyłanie dużej ilości (np. pow. 10 plików/3 dni z jednej stacji roboczej) plików do sieci publicznej.
37	Detekcja następujących incydentów dla domeny MS Active Directory:	Blokada konta użytkownika.
38	Detekcja następujących incydentów dla domeny MS Active Directory:	Wpisanie hasła użytkownika w polu nazwy użytkownika (w zależności od jakości logów i danych referencyjnych)
39	Detekcja następujących incydentów dla domeny MS Active Directory:	Brak logowania użytkownika przez okres co najmniej 1-go miesiąca.
40	Detekcja następujących incydentów dla domeny MS Active Directory:	Zmiana uprawnień użytkownika.
41	Detekcja następujących incydentów dla domeny MS Active Directory:	Tworzenie grup domenowych
42	Detekcja następujących incydentów dla fileserwerów	Detekcja dostępu do plików osób innych niż zdefiniowane/wskazane.
43	Raport	Raport dobowy zbiorczy z incydentów.
44	Raport	Raport dobowy zbiorczy z incydentów ze źródła danych dla administratora źródła danych.
45	Raport	Raport miesięczny zbiorczy z incydentów
46	Raport	Raport miesięczny zbiorczy z incydentów ze źródła danych dla administratora źródła danych.
47	Raporty wg. ISO27001	restarty serwerów
48	Raporty wg. ISO27001	blokady kont
49	Raporty wg. ISO27001	zmiany kont administracyjnych
50	Raporty wg. ISO27001	wszystkie logowania
51	Raporty wg. ISO27001	wszystkie błędne logowania
52	Raporty wg. ISO27001	błędy logowania na konta administracyjne

53	Raporty wg. ISO27001	zmiany kont lokalnych i domenowych
54	Raporty wg. ISO27001	zmiany w grupach lokalnych i domenowych
55	Raporty wg. ISO27001	zmiany polityk bezpieczeństwa
56	Raporty wg. ISO27001	zmiany polityk audytu
57	Raporty wg. ISO27001	zmiany relacji zaufania w domenie
58	Raporty wg. ISO27001	przepełnienie dzienników logów
59	Raporty wg. ISO27001	restarty
60	Raporty wg. ISO27001	resety haseł
61	Raporty wg. ISO27001	wyczyszczenie dzienników bezpieczeństwa
62	Raporty wg. ISO27001	użytkownicy nie logujący się od zadanego okresu
63	Widok zbiorczy	incydenty z podziałem na priorytet (ilość w danym priorytecie w okresie predefiniowanym: ostatnia godzina, doba)
64	Widok zbiorczy	incydenty z podziałem na priorytet dla wybranego źródła danych
65	Widok zbiorczy	bieżące zdarzenia nie zrealizowane
66	Widok zbiorczy	zdarzenia o najwyższym priorytecie
67	Widok zbiorczy	Alarmy
68	Widok zbiorczy	komputery z największą liczbą alarmów
69	Widok zbiorczy	użytkownicy z największą liczbą alarmów
70	Widok zbiorczy	Top 10 użytkowników z błędnymi logowaniami
71	Widok zbiorczy	Top 10 komputerów zablokowanych na proxy/firewall
72	Widok zbiorczy	komputery zainfekowane złośliwym oprogramowaniem
73	Widok zbiorczy	status pracy Systemu (zajętość dysków, pamięci, procesora, błędy i zawieszenia się),
74	Widok zbiorczy	Top 10 alarmów z firewall
75	Widok zbiorczy	Top 10 alarmów z IPS

3.5. Wymagania Zamawiającego co do licencji.

3.5.1.Licencje na System powinny obsłużyć poniższe wielkości danych, w zależności od

sposobu licencjonowania

Łączna liczba EPS (event per second) minimum	Łączna liczba systemów wysyłających logi/dane minimum	Łączna liczba FPM (flow per minute) minimum	Łączna liczba GB danych zbieranych dziennie minimum
15000	1200 w tym szacowane 500 urządzeń wysyłających mniej niż 1000 zdarzeń dziennie	150000	40

3.5.2.Opcjonalne licencje z możliwością dokupienia w trakcie trwania umowy

Liczba EPS (event per second) minimum	Liczba systemów wysyłających logi/dane minimum	Liczba FPM (flow per minute) minimum	Liczba GB danych zbieranych dziennie minimum
2000	100	5000	5

Zamawiający zastrzega możliwość dokupienia nie więcej niż 4 (cztery) „paczki” licencji zawartych

w powyższej tabeli.

Paczka jest to zbiór licencji umożliwiający rozbudowę Systemu o minimum 2000EPS lub minimum 100 systemów wysyłających logi lub minimum 5000FPM lub minimum 5 GB danych zbieranych dziennie przez System.

3.5.3. Zamawiający wymaga dostarczenia wszystkich niezbędnych licencji obejmujących

System, jego wszystkie komponenty

3.6. Konfiguracji dostarczonego Systemu zgodnie z poniższymi założeniami:

3.6.1. Wdrożenie Systemu zgodnie z zaakceptowanym Projektem technicznych Systemu zgodnie z punktem 2.1

3.6.2. Wdrożenie ustalonych reguł korelacyjnych, alarmów, raportów na podstawie przykładowych wymagań zgodnie z punktem 3.4

3.6.3.Konfiguracja Systemu w celu zbierania logów z systemów Centrum dla opisanych reguł korelacyjnych oraz w celu wypełnienia wymogów ustawowych o ochronie danych osobowych z dnia 10 maja 2018 r., rozporządzenia rady ministrów w sprawie krajowych ram interoperacyjności z dnia 12 kwietnia 2012 r., ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r. oraz normy ISO27001 przy uwzględnieniu nie zbierania logów nadmiarowych.

3.6.4. Przedstawienie wytyczne dla zbierania logów z systemów Centrum nie skonfigurowanych przez Wykonawcę, włącznie z wymaganymi plikami konfiguracyjnymi dla agentów przesyłających logi

4. Opracowanie dokumentacji powykonawczej Systemu zawierającej co najmniej:

4.1. Ogólny opis Systemu.

4.2. Wykaz całościowy oprogramowania oraz licencji wykorzystywanych w ramach wdrożonego

Systemu (w tym systemy operacyjne, bazy danych, serwery aplikacyjne, kolektory danych itp.).

4.3. Architektura logiczna Systemu (graficzna prezentacja Systemu i jego połączeń wraz z opisem).

4.4. Przepływ danych w Systemie (koncepcja obiegu informacji w Systemie pomiędzy poszczególnymi

komponentami, warstwami Systemu).

4.5. Szczegółowa konfiguracja poszczególnych elementów Systemu (serwery zarządzające, serwery baz danych, systemy operacyjne, serwery aplikacyjne, serwery www – zrzuty ekranów, pliki konfiguracyjne, opisy konfiguracji, opisy uruchomionych usług, opisy poszczególnych funkcji Systemu).

4.6. Systemy zależne (np. agenci na innych serwerach, dodatkowe oprogramowanie na innych

stacjach roboczych i serwerach współpracujące z Systemem, opis integracji z innymi usługami).

4.7. Specyfikacja i konfiguracja serwerów wirtualnych.

4.8. Architektura sieciowa Systemu (opis połączeń sieciowych pomiędzy poszczególnymi elementami, adresacja IP, umiejscowienie elementów Systemu w poszczególnych strefach – DMZ, LAN, Internet).

4.9. Opis portów komunikacyjnych (opis musi zawierać informacje o otwartych portach).

4.10. Rodzaje kont systemowych i ich uprawnienia (określenie standardowych profili uprawnień, sposobu zarządzania użytkownikami oraz uprawnieniami w Systemie).

4.11. Role administracyjne.

4.12. Ustawienia polityki haseł.

4.13. Opis integracji z usługą katalogową (ActiveDirectory)

4.14. Opis rozwiązań w zakresie logowania zdarzeń (wskazanie rodzajów oraz lokalizacji dzienników w Systemie, opis logowanych zdarzeń, w przypadku niestandardowych logów opis ich struktury).

4.15. Ochrona dzienników (opis sposobu zabezpieczenia zapisów w logach przed ich utratą oraz nieuprawnioną zmianą, informacja o czasie przechowywania logów, możliwości przekazania logów do systemów zewnętrznych).

4.16. Procedura odtwarzania Systemu (opisanie procedury backupu i odtworzenia całego systemu i jego poszczególnych elementów, określenie czasu potrzebnego na odtworzenie całego systemu oraz jego poszczególnych elementów, opis procedur przywracania Systemu do pełnej funkcjonalności po awarii).

4.17. Procedura instalacji Systemu (opis procedury instalacji Systemu „od początku – krok po kroku”, opis wszystkich kroków instalacji i konfiguracji Systemu w postaci zrzutów ekranu z opisami).

4.18. Procedury wykonywania krytycznych operacji w Systemie (migracja, aktualizacja, itp.).

4.19. Instrukcje obsługi Systemu.

5. Instruktaż stanowiskowy dla:

5.1. Administratorów Systemu – do 5 osób

5.2. Specjalistów SOC odpowiedzialnych za strojenie Systemu, budowanie reguł korelacyjnych oraz

analizę zdarzeń raportowanych przez System – do 5 osób

5.3. Wykonawca zapewni instruktaż w języku polskim

5.4. Zakres instruktażu musi obejmować zagadnienia z zakresu obsługi, konfiguracji i administrowania Systemu zgodnie z przedstawionym w punktach podziałem 5.1 oraz 5.2 Błąd! Nie można odnaleźć źródła odwołania. oraz obejmie minimum:

5.4.1.szczegółowe omówienie języka zapytań/języka reguł korelacyjnych;

5.4.2.analiza reguł korelacyjnych z obszaru bezpieczeństwa, wbudowanych w System oraz

zdefiniowanych przez użytkownika;

5.4.3.ćwiczenia praktyczne z pisania niestandardowych reguł korelacyjnych, tworzenia raportów, dashboardów, definiowania alarmów, dodawania różnych źródeł danych;

5.4.4.zarządzanie konfiguracją i bezpieczeństwem w Systemie; 5.4.5.proces aktualizacji Systemu;

5.4.6.omówienie architektury Systemu i procesu przetwarzania danych w Systemie; 5.4.7.omówienie instalacji, aktualizacji Systemu oraz przywracania w przypadku awarii

5.5. Instruktaż dla osób wskazanych w punktach 5.1 oraz 5.2 mogą odbyć się w jednej grupie dla wspólnych składowych

5.6. Instruktaże zostaną przeprowadzone przez osoby posiadające odpowiednie kwalifikacje i umiejętności, potwierdzone certyfikatem producenta Systemu,

5.7. Instruktaże zostaną przeprowadzone w siedzibie Zamawiającego w dni robocze tj. od poniedziałku do piątku w godzinach od 8.00 do 16.00 lub w formie zdalnej po wcześniejszym uzgodnieniu z Zamawiającym

5.8. Instruktaż musi obejmować wykład teoretyczny oraz ćwiczenia praktyczne,

5.9. Wykonawca przygotuje materiały instruktażowe w wersji papierowej lub wersji elektronicznej w ilości odpowiadającej liczbie instruowanych osób. Materiały powinny umożliwić samodzielnie przeszkolenie pracowników przez Zamawiającego.

5.10. Wykonawca zobowiązuje się do udzielenia licencji niewyłącznej na czas nieoznaczony w zakresie przekazanych materiałów instruktażowych,

Pozostałe warunki realizacji przedmiotu zamówienia:

6. Gwarancja na System musi być świadczona zgodnie z warunkami wskazanymi w Załączniku nr 2 do OPZ

– Warunki gwarancji.

7. Opcjonalna asysta techniczna świadczona będzie przez okres 12 miesięcy od dnia odbioru Systemu w wymiarze max. 300 roboczogodzin zgodnie z warunkami wskazanymi w § 12 Umowy.

8. Opcjonalnie przedłużenie Gwarancji na System wraz z licencjami o kolejne dwanaście miesięcy.

9. Wymagania dla Systemu

Wymagania ogólne
1	System musi posiadać możliwość integracji z systemami klasy SOAR, ITSM w tym Jira ServiceDesk, SIEM oraz FortiAnalyzer, CyberArk i innymi systemami zarządzania bezpieczeństwem.
2	System musi definiować precyzyjne uprawnienia administratorów w zakresie monitorowanego obszaru systemu informatycznego oraz dostępnych operacji w Systemie. Tożsamość administratorów musi być weryfikowana poprzez lokalne konto oraz zewnętrzne systemy uwierzytelniania - co najmniej RADIUS, LDAP i Active Directory. Dostęp do konsoli musi odbywać się za pomocą protokołu HTTPS.
3	System musi posiadać funkcję zarządzania użytkownikami i uprawnieniami w Systemie w oparciu o role „Role Based Access Control” (RBAC) oraz integrować się z LDAP/Active Directory, AzureAD. Zapewnić możliwość definiowania różnych uprawnień do Systemu w zależności od wykonywanych czynności oraz ograniczać dostęp do przechowywanych w Systemie danych w oparciu o filtry.
4	System musi posiadać możliwość elastycznej rozbudowy o dodatkowe moduły zwiększające jego wydajność w przypadku niewydolności lub zbyt dużej ilości napływających zdarzeń w ramach zakupionych licencji.
5	W Systemie muszą być dostępne raporty dotyczące wewnętrznego stanu Systemu oraz raporty związane z incydentami/zdarzeniami bezpieczeństwa.
6	System musi mieć zaimplementowany mechanizm polityki haseł w celu właściwej ochrony haseł użytkowników systemu monitorującego dla użytkowników lokalnych.
7	System musi wspierać na platformie Microsoft Windows następujące przeglądarki internetowe w celu logowania do konsoli: a) Google Chrome aktualne na dzień składania oferty b) Mozilla Firefox aktualne na dzień składania oferty
8	System musi posiadać zestaw podstawowych reguł, alarmów, raportów dostarczonych przez producenta.
9	System musi obsługiwać, co najmniej poniższe wskaźniki kompromitacji tzw IOC: 1) nazwa pliku; 2) suma kontrolna pliku; 3) URL; 4) adres hosta lub domena; 5) adres IP; 6) adres email; 7) nazwa procesu/usługi systemowej; 8) nazwa/typ zagrożenia. System musi umożliwiać rozbudowę funkcjonalności o nowe typy wskaźników.
10	System nie może ograniczać liczby równocześnie zalogowanych użytkowników.

11	System musi zapewniać log audytowy rejestrujący co najmniej następujące operacje administratorów – logowanie użytkowników, zmiany konfiguracji Systemu (w tym co najmniej: zmiany haseł użytkowników, tworzenie/usuwanie/modyfikacja obiektów systemowych).
12	System musi posiadać zaimplementowane mechanizmy automatycznej kontroli własnego stanu oraz alarmowania w przypadku wykrytych nieprawidłowości (ang. health check).
13	Rozwiązanie musi umożliwiać uwierzytelnianie i szyfrowanie połączenia między komponentami Systemu.
14	Chwilowe przekroczenie (w ustalonym przez producenta okresie czasu) EPS/FPM nie może skutkować utratą zbieranych danych. System musi informować o takim przekroczeniu w postaci alarmu i informacji w interfejsie użytkownika.
15	System musi być skalowalny i umożliwiać (po zakupie dodatkowych licencji) obsługę większej ilość GB surowych danych/EPS/FPM.
Wymagania techniczne
16	System musi pracować w architekturze wysokiej dostępności - HA.
17	W przypadku rozproszonej struktury zarządzanie całości Systemu musi odbywać się z jednej konsoli.
18	Systemu musi mieć możliwość pracy w środowisku wirtualnym VmWare oraz HyperV.
19	System musi zapewnić możliwość implementacji w środowisku rozproszonym.
Wymagania w zakresie normalizacji danych
20	System musi umożliwiać wzbogacanie danych pochodzących z logów, o informacje zawarte w zewnętrznych repozytoriach: katalogi LDAP, dane geolokalizacyjne, DNS itp.
21	System musi umożliwiać analizowanie logów wielolinijkowych.
22	System musi umożliwiać automatyczną normalizację logów zawierających w treści pary zmienna i wartość np. „timestamp=2020-01-02 00:00:01” musi tworzyć pole np.: „eventtime” o wartości „2020-01-02 00:00:01”.
Wymagania w zakresie pozyskiwania danych
23	System musi posiadać narzędzia integracyjne do budowy kolektorów do podłączenia się do różnych innych nietypowych aplikacji i systemów bez ograniczeń licencyjnych, wolumetrycznych, czasowych.
24	System musi zapewnić jak najmniejszą ingerencję w monitorowane systemy. Oznacza to możliwość zbierania logów bez konieczności instalacji dedykowanych agentów na źródłach danych urządzeń, poprzez wykorzystanie zaimplementowanych już w systemach mechanizmów bezagentowych.
25	System musi umożliwiać zbieranie danych z systemów z wykorzystaniem agentów w przypadku gdy dostęp bezagentowy nie zapewnia odpowiedniego poziomu bezpieczeństwa przesyłanych danych lub gdy istnieją inne przesłanki do wykorzystania agentów. Lista systemów opisana w wymaganiu 30.
26	System musi dostarczać gotowe oprogramowanie agentów do zbierania danych i monitorowania systemów dla platform MS Windows oraz Unix i Linux. Konfiguracja agenta, po podłączeniu do serwera zarządzającego musi odbywać się centralnie. Dopuszcza się zastosowanie dwóch rozwiązań, które łącznie spełniają tę funkcjonalność.
27	System musi zapewniać szyfrowanie danych w komunikacji pomiędzy agentem a serwerem Systemu kolekcjonującym dane. Przykładowe szyfrowanie SSL wersja minimum 1.2

28	System musi zapewniać buforowanie danych po stronie agenta w przypadku utraty lub niemożności przesłania danych między agentem a serwerem.
29	Pobieranie logów z innych systemów za pomocą wielu metod, nie mniej niż syslog UDP/TCP, trap SNMP, logi i informacje przechowywane w bazach danych Oracle, MS SQL, MySQL, PostgreSQL. Musi istnieć możliwość instalacji sterowników do innych typów baz danych w standardzie JDBC lub ODBC (alternatywnie), pliki tekstowe, Windows EventLog.
30	System musi posiadać gotowe konektory dostarczone przez producenta Systemu do podłączenia i zbierania informacji. Lista takich konektorów musi co najmniej obejmować pozycje przedstawione poniżej: • Apache HTTP Server • Bitdefender • Bluecoat • Cisco - Firewall, Switch, AccessPoint • Cisco - urządzenia sieciowe • Cyberark • Cylance • DNS BIND • ESET Antivirus/Endpoint Security • F5 Loadbalancer • FireEye • FortiNet (FortiAnalyzer, FortiGate, FortiMail, FortiSandbox, FortiAuthenticator) • IBM DB2 • Kaspersky • Linux/Unix - minimum Centos, RedHat, Suse • McAfee EPO • MS Exchange 2010/2013/2016 • Microsoft IIS • Microsoft Office 365 • MobileIron • MS-SQL Server 20XX • MySQL • PostgreSQL • NginX • Open LDAP • OpenVPN • Oracle Database • PostFix • SAP • Sendmail • Trend Micro • VMware vCenter • Windows Server HyperV • Windows Server R2 HyperV • MS Windows Server 2008/2012/2016, MS Windows Desktop 7/8.x/10 • AzureAD Przez zbieranie informacji rozumie się: a) pobranie logów i zapisanie w bazie Systemu b) klasyfikację zdarzeń wg typów (np. zalogowanie użytkownika, nawiązanie połączenia, itp.).

31	System musi posiadać możliwość potwierdzania poprawnego dostarczenia danych od agenta do elementów odpowiedzialnych za przechowywanie danych.
Wymagania w zakresie przechowywania danych
32	System musi mieć możliwość przechowywania zgromadzonych danych w postaci znormalizowanej dla wszystkich źródeł danych.
33	System musi zawierać mechanizm retencji danych. Wymagana jest obsługa co najmniej dwóch etapów życia danych: WARM i COLD. Z każdym etapem związane jest miejsce przechowywania danych. Migracja danych musi następować automatycznie po określonym czasie (wiek danych) lub osiągnięciu określonej objętości. Musi istnieć możliwość stworzenia różnych schematów retencji dla różnych typów danych. Dane COLD muszą być dostępne w ten sam sposób co dane WARM. System musi umożliwiać przechowywanie danych za okres minimum 2 lat. Zapewnienie przechowywania logów i danych historycznych umożliwi korelację zdarzeń z różnych źródeł w różnych okresach, a także zapewni dostęp do zdarzeń historycznych nawet po czasie wygaśnięcia umowy. Dane muszą być przechowywane w sposób zapewniający ochronę ich integralności.
34	Przechowywane dane muszą być zabezpieczone przed modyfikacją z wykorzystaniem metod kryptograficznych. System musi umożliwiać znakowanie danych czasem.
35	System musi mieć możliwość efektywnego przechowywania logów (np. przez kompresję).
36	System musi utrzymywać repozytorium logów z możliwością ich przeglądania w formie rzeczywistej (raw) oraz udostępniać użytkownikowi dane w formie znormalizowanej (z uwzględnieniem znaczenia poszczególnych zmiennych/pól logu). Dostęp do danych w formie rzeczywistej jak i znormalizowanej musi być możliwy w oparciu o te same narzędzia. Zgodnie z opisem 33.
Wymagania w zakresie raportowania, wyszukiwania i analizy zdarzeń bezpieczeństwa
37	System musi monitorować przypadki naruszenia bezpieczeństwa oraz posiadać mechanizmy śledzenia statusu rozwiązywania problemów.
38	System musi analizować dane w czasie rzeczywistym. Dopuszczalne jest opóźnieniem do 15 minut przy granicznym obciążeniu do jednego tysiąca zdarzeń na sekundę (1k EPS). W przypadku przekroczenia 1k EPS czas może rosnąć liniowo o maksymalnie 3 sekundy dla każdego kolejnego kEPS (kilo Event Per Second).
39	System audytu i monitorowania zdarzeń musi pracować w czasie rzeczywistym i działać (kolekcjonować dane i korelować zdarzenia) nawet w przypadku krótkiej awarii lub czasowego wyłączenia bazy danych zbierającej te informacje.
40	System musi posiadać konsolę, która na bazie zdefiniowanego filtru pozwala na śledzenie w czasie rzeczywistym wybranych zdarzeń.
41	System musi mieć możliwości zarządzania powiadomieniami o incydentach w postaci e-mail.
42	System musi udostępniać możliwość tworzenia własnych reguł pasujących do analizy spływających do Systemu informacji w oparciu o wyrażenia regularne przy pomocy wbudowanego narzędzia.
43	System musi udostępniać narzędzia do analizy przepływów sieciowych NetFlows.
44	System musi mieć możliwość centralnego wyszukiwania i analizy całości danych zgromadzonych przez wszystkie zainstalowane instancje serwerów Systemu.
45	System musi umożliwiać wyszukiwanie oraz przeglądanie danych bieżących oraz archiwalnych w lokalnym zbiorze danych gromadzonych przez System.

46	System musi posiadać mechanizm wyszukiwania rozproszonego w sytuacji, gdy w środowisku zainstalowane są dwie lub więcej instancji Systemu, a wynik wyszukiwania musi zawierać dane ze wskazanych przez operatora systemów.
47	System musi zawierać mechanizm detekcji – automatyczne informowanie o zidentyfikowanych w zbiorze danych zgromadzonych wskutek agregacji i korelacji zdarzeniach, mogących świadczyć o występowaniu zdarzeń bezpieczeństwa. Alarmowanie to musi być realizowane poprzez wyświetlanie odpowiednich informacji na konsoli użytkownika systemu, poprzez wysyłanie powiadomień, np. za pośrednictwem poczty elektronicznej, API itp
48	System musi posiadać możliwość korelacji zdarzeń na podstawie zdefiniowanych reguł, możliwość zaimplementowania gotowych oraz tworzonych ad-hoc wzorców korelacji dla zdarzeń bezpieczeństwa. Rozwiązanie musi zapewniać możliwość korelowania zbieranych zdarzeń w oparciu o reguły powiązane z poszczególnymi zdarzeniami.
49	System musi być skalowalny w obszarze detekcji zdarzeń co oznacza możliwość uruchomienia więcej niż jednego modułu odpowiedzialnego za obsługę reguł korelacyjnych.
50	System musi posiadać wbudowane narzędzie do obsługi incydentów bezpieczeństwa obejmujące co najmniej: możliwość automatycznego tworzenia incydentów na podstawie reguł alarmowych; możliwość przypisania incydentu do osoby; możliwość zmiany statusu i priorytetu incydentu; możliwość tworzenia komentarzy; możliwość automatycznego i ręcznego modyfikowania reguł alarmowych i oznaczania alarmów jako fałszywe alarmy;
51	System musi zawierać moduł, który w czasie rzeczywistym prezentować będzie dane odbiegające od statystycznego wzorca zachowania obserwowanego przez system monitorowania bezpieczeństwa teleinformatycznego źródła danych lub danego typu zdarzeń w całym monitorowanym środowisku – analiza behawioralna.
52	System musi umożliwiać alarmowanie i raportowanie o anomaliach statystycznych dla dowolnych parametrów liczbowych zawartych w logach polegając na odchyleniach w stosunku do wartości przewidywanych (zarówno w górę, jak i w dół) z uwzględnieniem sezonowości (np. różnic wynikających z pory dnia, czy dnia tygodnia) – analiza behawioralna.
53	Możliwość tworzenia raportów w oparciu o dane pochodzące z podłączonych źródeł danych (np. logów generowanych przez systemy i aplikacje, przepływów sieciowych, kontroli dostępu, itp.). Możliwość generowania raportów z podziałem na odpowiednio zdefiniowane okresy czasu oraz umożliwienie ich wyeksportowania do elektronicznego formatu pliku minimum: pdf, csv.
54	System musi posiadać możliwość wprowadzania zmian w raportach domyślnie zainstalowanych w systemie (dostosowanie wzorca graficznego).
55	System musi umożliwiać podejmowanie automatycznych akcji lub alarmowanie. Dostępne akcje muszą obejmować co najmniej: 1) utworzenie incydentu w Systemie; 2) wysłanie email; 3) uruchomienie skryptu. Rozwiązanie musi zawierać API pozwalające na budowanie nowych akcji, w tym przekazanie wybranych pól zdarzenia, jako parametrów akcji.

56	Wyszukiwanie danych musi być możliwe z wykorzystaniem filtrów opartych o dane znormalizowane np. zapytanie o konkretny adres IP występujący jako adres źródłowy połączeń. System musi również pozwalać na wyszukiwanie danych w oparciu o wyrażenia regularne zastosowane wobec całego logu jak również pojedynczych pól.
57	System musi umożliwiać korelację zdarzeń pochodzących z różnych systemów źródłowych na podstawie dowolnych pól i zmiennych logu lub dowolnych innych danych wzbogacających log, np. dane o tożsamości, dane o zasobach.
58	System musi posiadać możliwość automatycznego reagowania na zdarzenie oraz powiadamiania administratorów. Musi istnieć możliwość wysłania wiadomości email oraz możliwość konfigurowania innych akcji w postaci skryptów, do których może być przekazywana dowolna liczba argumentów na podstawie treści alarmu.
59	System musi pozwalać na definiowanie własnych i modyfikację reguł korelacyjnych, raportów, zapytań i dashboardów dostarczonych przez producenta.
Wymagania dodatkowe dla Systemu stanowiące kryterium wyboru
60	System w ramach dostarczonej licencji musi zapewniać możliwość instalacji nielimitowanej liczby instancji serwerów z oprogramowaniem zbierającym logi tzw. log collector.
61	Dostarczona licencja dla oprogramowania Systemu nie może limitować wielkości przechowywanych danych oraz możliwości wyszukiwania informacji z zgromadzonych danych.

10. Terminy realizacji umowy

Realizacja przedmiotu zamówienia - zgodnie z ofertą Wykonawcy - do 30, 35 lub 40 dni kalendarzowych od podpisania umowy.

Załączniki do OPZ:

Załącznik nr 1 do OPZ - Opis środowiska Zamawiającego Załącznik nr 2 do OPZ – Warunki gwarancji

Załącznik nr 1 do OPZ

Opis środowiska Zamawiającego

I. Zamawiający posiada obecnie środowisko systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego oparte o oprogramowanie IBM QRadar, w którego skład wchodzą:

1.1. QRadar 3105 Console Appliance w ilości 1 sztuki, urządzenie fizyczne „end of life” z wykupionym

zewnętrznym wsparciem do grudnia 2020 r.

1.2. QRadar 3105 Console High Availability Appliance w ilości 1 sztuki, urządzenie fizyczne „end of life” z wykupionym zewnętrznym wsparciem do grudnia 2020 r.

1.3. QRadar 1805 Combined Event/Flow Processor 1805 Appliance w ilości 1 sztuki, urządzenie fizyczne „end of life” z wykupionym zewnętrznym wsparciem do grudnia 2020 r.

1.4. QRadar 1805 Combined Event/Flow Processor 1805 High Availability Appliance w ilości 1 sztuki,

urządzenie fizyczne „end of life” z wykupionym zewnętrznym wsparciem do grudnia 2020 r.

1.5. IBM Security QRadar SIEM Console 31XX Failover Install License – aktualnie bez wsparcia

1.6. IBM Security QRadar SIEM Event/Flow Processor 18XX Failover Install License – aktualnie bez wsparcia

1.7. IBM QRadar Event Capacity 2.5K Events Per Second License + SW Subscription & Support – licencja

ważna do 05/12/2020

1.8. IBM QRadar Flows Capacity 100K Flows Per Minute License + SW Subscription & Support – licencja ważna do 05/12/2020

Istniejące środowisko pozwala na przyjęcie 3 500 zdarzeń na sekundę (event per second, EPS) i 125 000 przepływów sieciowych na minutę (flow per minute, FPM), pracujące w trybie wysokiej dostępności (HA), ulokowane w dwóch fizycznych ośrodkach przetwarzania na terenie Warszawy.

II. Zamawiający posiada poniższe środowisko serwerowe dedykowane do instalacji Systemu: W każdym fizycznym ośrodku przetwarzania danych po 1 serwerze wyposażonym w:

1. 2 procesory 64 rdzeniowe taktowane prędkością minimum 2.25GHz

2. 2048GB pamięci RAM

3. 20TB przestrzeni dyskowej na przechowywanie danych

4. zainstalowane oprogramowanie VMware Hypervisor Enterprise.

Załącznik nr 2 do OPZ

Warunki gwarancji

Definicje:

Awaria	zatrzymanie Systemu lub brak możliwości korzystania z kluczowych funkcjonalności Systemu. Awaria może wynikać zarówno z błędnego lub wadliwego, niezgodnego z dokumentacją działania Systemu jak i wad Systemu objętych gwarancją, w tym z powodu awarii sprzętu.
Usterka	ograniczona możliwość realizowania mniej ważnych funkcji, które nie są kluczowe dla normalnego funkcjonowania Systemu. Usterką jest również podatność bezpieczeństwa wykryta w Systemie.
Czas reakcji	potwierdzenie przyjęcia zgłoszenia Awarii lub Usterki przez Wykonawcę oraz wskazanie dalszych kroków postępowania.
Czas rozwiązywania zgłoszenia (Naprawa)	czas liczony od momentu reakcji na zgłoszenie do momentu rozwiązania zgłoszenia (usunięcia Awarii/Usterki)
Dni robocze	dni od poniedziałku do piątku z wyłączeniem dni ustawowo wolnych od pracy i dni wolnych u Zamawiającego
Obejście	przywrócenie funkcjonalności Systemu poprzez zastosowanie rozwiązania zastępczego do czasu usunięcia Awarii w terminie uzgodnionym z Zamawiającym.
Oprogramowanie	Oprogramowanie/aplikacja spełniająca wymogi OPZ
System	Systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego.
Zgłoszenie	Poinformowanie Wykonawcy przez przedstawiciela Zamawiającego za pomocą wiadomości e-mail, strony internetowej lub systemu do zgłoszeń udostępnionego przez Wykonawcę na potrzeby realizacji Umowy o zaistniałym wydarzeniu powodującym konieczność podjęcia przez niego interwencji serwisowej. Zgłoszenie może dotyczyć Awarii lub Usterki

1. Gwarancja świadczona będzie przez okres 12 miesięcy od dnia odbioru Systemu i będzie polegać na:

1.1 diagnozowaniu Systemu,

1.2 usuwaniu Awarii i Usterek,

1.3 przeglądzie poprawek dla eksploatowanych środowisk wykorzystujących System.

1.4 ocenie konieczności zastosowania poprawek rekomendowanych przez producenta oprogramowania w eksploatowanych środowiskach oraz ich wdrożenie.

1.5 doradztwie architektonicznym w zakresie zgodności sposobu wykorzystywania Oprogramowania

z najlepszymi praktykami rekomendowanymi przez dostawcę oraz zgodności z warunkami Umowy,

1.6 doradztwie technicznym i implementacyjną w zakresie adaptacji nowych lub istotnie zmodyfikowanych wersji Oprogramowania (tj. wersje główne Oprogramowania oraz zestawy poprawek - tzw. Patches) lub migracji środowisk,

1.7 informowaniu Xxxxxxxxxxxxx o przyczynach i sposobach rozwiązywania problemów związanych z nieprawidłowym działaniem Systemu,

1.8 założeniu zgłoszenia serwisowego w serwisie pomocy technicznej producenta, w przypadku wad i błędów Oprogramowania składającego się na System, przekazanie zgłoszenia serwisowego do producenta oprogramowania oraz prowadzenie zgłoszenia w imieniu Xxxxxxxxxxxxx,

1.9 instruktażu uwzględniającym nowe funkcjonalności po aktualizacji Systemu, aktualizacja dokumentacji technicznej Systemu,

1.10 doradztwie technicznym, przekazywaniu na bieżąco informacji o nowych funkcjonalnościach możliwych do zaimplementowania w Systemie,

1.11 wsparciu w konfiguracji i optymalizacji Systemu,

11. Przyjęcie Zgłoszenia przez Wykonawcę musi być potwierdzone w formie pisemnej lub elektronicznej

(pocztą elektroniczną) nie później niż w terminie 2 dni roboczych

12. Zgłoszenia będą obsługiwane przez Wykonawcę w dni robocze w godzinach roboczych 8:00-17:00.

13. Wykonawca jest zobowiązany do prowadzenia pełnej i szczegółowej ewidencji zgłoszonych Awarii

i Usterek.

14. Naprawy i prace konfiguracyjne Systemu będą świadczone w siedzibie Zamawiającego w terminach uzgodnionych przez Strony Umowy lub zdalnie po wcześniejszym zatwierdzeniu przez Zamawiającego,

15. Wykonawca jest zobowiązany do świadczenia poziomu usług oznaczającego zobowiązanie Wykonawcy do dotrzymania poniżej przedstawionych parametrów czasowych w przypadku problemów dotyczących funkcjonowania Systemu:

L.p.	Kategoria zgłoszenia	Czas reakcji na zgłoszenie (od momentu otrzymania zgłoszenia)	Czas rozwiązania zgłoszenia (od momentu reakcji na zgłoszenie)	Czas Obejścia	Maksymalny dozwolony czas funkcjonowania Obejścia
1.	Awaria	do 2 godzin roboczych	niezwłocznie (do 24 godzin)	2 godzin	7 dni
2.	Usterka	do 4 godzin roboczych	do 4 dni roboczych	48 godzin	21 dni

16. Czas rozwiązania zgłoszenia (naprawy Awarii/Usterki) nie obowiązuje w przypadku błędu Oprogramowania lub innych problemów potwierdzonych analizą producenta, które musi rozwiązać sam producent.

17. Wykonawca po naprawie Awarii/Xxxxxxx sprawdzi jej skuteczność i uzyska potwierdzenie od Zamawiającego.

18. Za moment rozwiązania zgłoszenia (naprawy Awarii/Usterki) uznaje się datę przywrócenia pełnej wydajności i funkcjonalności Systemu.

19. W przypadku awarii za moment rozwiązania zgłoszenia (naprawy awarii) uznaje się także przywrócenie funkcjonalności Systemu poprzez zastosowanie rozwiązania zastępczego (obejścia) do czasu usunięcia awarii w terminie uzgodnionym z Zamawiającym, ale nie dłużej niż w terminie wskazanym w Tabeli powyżej.

20. Oferowane licencje do Systemu muszą być zakupione w autoryzowanym kanale dystrybucji

producenta.

Załącznik nr 2 do SIWZ

(Wzór umowy)

ZNAJDUJE SIĘ W ODDZIELNYM PLIKU

Załącznik nr 3 do SIWZ

Załącznik nr 8 do Umowy nr CeZ/..…/2020

..……………………………………………

(Nazwa Wykonawcy, XXXXX )

Centrum e-Zdrowia

xx. Xxxxxxxxxx Xxxxxx 0X 00-000 Xxxxxxxx (Zamawiający)

FORMULARZ OFERTOWY

Nawiązując do ogłoszenia o zamówieniu publicznym w postępowaniu prowadzonym w trybie przetargu nieograniczonego na „Zakup systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego” znak sprawy: WRZ.270.2.2020

my niżej podpisani:

.......................................................................................................................................................……

działając w imieniu i na rzecz:

.......................................................................................................................................................……

(nazwa (firma) dokładny adres Wykonawcy/Wykonawców); w przypadku składania oferty przez podmioty występujące wspólnie podać nazwy (firmy) i dokładne adresy wszystkich podmiotów składających wspólna ofertę)

1. Składamy ofertę na wykonanie przedmiotu zamówienia zgodnie ze Specyfikacją Istotnych Warunków Zamówienia, zwaną dalej „SIWZ”.

2. Oświadczamy, że naszym pełnomocnikiem dla potrzeb niniejszego zamówienia jest:

.................................................................................................................................................

(Wypełniają jedynie przedsiębiorcy składający wspólną ofertę)

3. Oferujemy wykonanie przedmiotu zamówienia w zakresie objętym SIWZ za Łączną cenę ofertową brutto, stanowiącą Maksymalne wynagrodzenie z tytułu realizacji Umowy wynoszące łącznie:

…….............................. zł (słownie złotych ) brutto, w tym obowiązująca stawka VAT.

L.p.	Nazwa Sytemu	Opis	Cena jednostko wa brutto [zł]	Liczba szt.	Wartość brutto [zł] (E = C x D)
	A	B	C	D	E
1	……………………………………… …………………………………….. (Należy wskazać producenta, oznaczenie pozwalające na jednoznaczną identyfikację oferowanego systemu)	………………………………… ………………………………… (Należy podać elementy systemu, składowe licencje)		1

Na powyższą łączną cenę ofertową brutto składa się:

3.1. Wynagrodzenie z tytułu realizacji zamówienia gwarantowanego wskazanego w § 8 ust. 1 pkt 1) wzoru umowy, wynosi: ……………………….. zł (słownie złotych: …../100) brutto, w tym podatek VAT,

3.2. Wynagrodzenie z tytułu dostawy licencji w ramach zamówienia opcjonalnego wskazanego w § 8 ust. 1 pkt 2) wzoru umowy, wynosi: ………………………………….. zł (słownie złotych: …../100) brutto, w tym podatek VAT,

3.3. Wynagrodzenie z tytułu asysty technicznej w ramach zamówienia opcjonalnego wskazanego w § 8 ust. 1 pkt 3) wzoru umowy, wyniesie maksymalnie: ………………………………….. zł (słownie złotych: …../100) brutto, w tym podatek VAT i będzie rozliczane za rzeczywistą liczbę godzin wykonanych prac w ramach asysty technicznej wg stawki wynoszącej zł (słownie złotych:

…./100) brutto za jedną roboczogodzinę,

3.4. Wynagrodzenie z tytułu kolejnych 12 miesięcy gwarancji w ramach zamówienia opcjonalnego

wskazanego w § 8 ust. 1 pkt 4) wzoru umowy, wynosi: zł (słownie złotych:

…../100) brutto, w tym podatek VAT.

4. Oferujemy spełnienie dodatkowych wymagań funkcjonalnych zgodnie z poniższym zestawieniem:

Lp.	Opis dodatkowego wymagania funkcjonalnego	Oświadczenie dot. spełnienia danego wymagania * niepotrzebne skreślić
F1	Czas reakcji w przypadku przyjętych czasów w punkcie 15 załącznika nr 2 do OPZ (Warunki gwarancji) przyznawanych jest 0 punktów, dla czasów reakcji krótszych lub równych niż połowa czasu reakcji przyznawane są 4 punkty	TAK / NIE *
F2	Czas rozwiązania zgłoszenia (usunięcia usterek/awarii) w przypadku przyjętych czasów w punkcie 15 załącznika nr 2 do OPZ (Warunki gwarancji) przyznawanych jest 0 punktów, dla czasów usunięcia ustrek/awarii krótszych lub równych niż połowa czasu usunięcia usterek/awarii przyznawane są 4 punkty	TAK / NIE *
F3	Systemu posiada aktualne połączenie do źródeł zewnętrznych zawierających informacje o IOC - bazy reputacyjne o niepożądanych adresach IP, sieciach, złośliwych domenach itp. Dane z tych źródeł muszą być dostępne w Systemie do budowy reguł korelacyjnych.	TAK / NIE *
F4	System bezpieczeństwa zbudowany w architekturze centralnego serwera przechowującego wszystkie zgromadzone dane/logi przez System.	TAK / NIE *
F5	System w ramach dostarczonej licencji zapewnia możliwość instalacji nielimitowanej liczby instancji serwerów z oprogramowaniem zbierającym logi tak zwany log collector w ramach dostarczonej licencji.	TAK / NIE *
F6	System musi wspierać mechanizm filtrowania danych spływających ze źródeł danych. System musi umożliwiać zdefiniowanie filtra oddzielnie dla każdego ze źródeł.	TAK / NIE *

F7 Dostarczona licencja dla oprogramowania Systemu nie limituje wielkości przechowywanych danych oraz możliwości wyszukiwania informacji ze zgromadzonych danych.
TAK / NIE *

5. Oferujemy wykonanie zamówienia (należy zaznaczyć odpowiednie pole):

5.1. w terminie 30 dni

5.2. w terminie 35 dni

5.3. w terminie 40 dni

6. Oświadczamy, że cena brutto określona w pkt 3 zawiera wszystkie koszty, jakie ponosi Zamawiający

w przypadku wyboru niniejszej oferty.

7. Adres skrzynki ePUAP::……………………………….

8. Oświadczamy, że zapoznaliśmy się z SIWZ i uznajemy się za związanych określonymi w niej

postanowieniami i zasadami postępowania.

9. Oświadczamy, że gwarantujemy wykonanie zamówienia w terminie określonym przez Zamawiającego

w SIWZ i zgodnym z naszą ofertą.

10. Uważamy się za związanych niniejszą ofertą przez czas wskazany w SIWZ, tj. przez okres 60 dni od upływu terminu składania ofert. Na potwierdzenie powyższego wnieśliśmy wadium w wysokości

………zł, w formie………………………………w dniu ……………………….

11. Kwotę wpłaconego wadium w formie pieniądza należy zwrócić na poniższy rachunek bankowy:

……………………………………………………………………………………………………………………………………………………………

12. Zobowiązujemy się do wniesienia najpóźniej w dniu zawarcia umowy zabezpieczenia należytego wykonania umowy w wysokości 3% wartości całkowitego wynagrodzenia brutto.

13. Oświadczamy, że zapoznaliśmy się ze wzorem Umowy, który stanowi Załącznik nr 2 do SIWZ i zobowiązujemy się w przypadku wyboru naszej oferty do zawarcia Umowy na określonych w tym załączniku warunkach, w miejscu i terminie wyznaczonym przez Zamawiającego.

14. Akceptujemy termin płatności – 30 dni od daty doręczenia Zamawiającemu prawidłowo wystawionej

faktury/rachunku.

15. Oświadczamy, że niniejsza oferta jest jawna i nie zawiera informacji stanowiących tajemnicę przedsiębiorstwa w rozumieniu przepisów o zwalczaniu nieuczciwej konkurencji, za wyjątkiem informacji zawartych na stronach ……………………………

16. Oświadczam, że wypełniłem obowiązki informacyjne przewidziane w art. 13 lub art. 14 RODO2 wobec osób fizycznych, od których dane osobowe bezpośrednio lub pośrednio pozyskałem w celu ubiegania się o udzielenie zamówienia publicznego w niniejszym postępowaniu.3

17. Tajemnicę przedsiębiorstwa **** w rozumieniu przepisów o zwalczaniu nieuczciwej konkurencji stanowią następujące dokumenty dołączone do oferty:

2 rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO) (Dz. Urz. UE L 119 z 04.05.2016, str. 1).

3 W przypadku gdy wykonawca nie przekazuje danych osobowych innych niż bezpośrednio jego dotyczących lub zachodzi wyłączenie stosowania obowiązku informacyjnego, stosownie do art. 13 ust. 4 lub art. 14 ust. 5 RODO treści oświadczenia wykonawca nie

składa (usunięcie treści oświadczenia np. przez jego wykreślenie).

a) …………………………………….

b) …………………………………….

Zgodnie z art. 8 ust. 3 ustawy PZP: „Nie ujawnia się informacji stanowiących tajemnicę przedsiębiorstwa w rozumieniu przepisów o zwalczaniu nieuczciwej konkurencji, jeżeli

Wykonawca nie później niż w terminie składania ofert lub wniosków o dopuszczenie do udziału w postępowaniu, zastrzegł, że nie mogą być one udostępnione oraz wykazał, iż zastrzeżone informacje stanowią tajemnicę przedsiębiorstwa.”

18. Wszelką korespondencję w sprawie niniejszego postępowania należy kierować do: Imię i nazwisko ……………………………….

Adres: ………………………………………….

Telefon: ………………………………………..

Fax: …………………………………………….

Adres e-mail: …………………………………..

19. Zamówienie zrealizujemy sami***** / przy udziale Podwykonawców*****. Podwykonawcom

zostaną powierzone do wykonania następujące zakresy zamówienia:

a) ................................................................................................................................................................

(opis zamówienia zlecanego podwykonawcy)

Podwykonawcą będzie ( o ile na etapie składania ofert Podwykonawca jest znany)

b)……………………………………………………………………………………….…………………

(nazwa (firma) Podwykonawców)

20. Jesteśmy/ nie jesteśmy****** mikroprzedsiębiorstwem /małym przedsiębiorstwem/ średnim przedsiębiorstwem4:

21. Ofertę niniejszą składamy na kolejno ponumerowanych kartkach.

22. Oświadczamy, iż na dzień składania ofert nie podlegamy wykluczeniu na podstawie art. 24 ust. 1 pkt 13-23 i ust. 5 pkt 1 i 8 ustawy Pzp.

23. Wraz z ofertą składamy następujące dokumenty, oświadczenia i pełnomocnictwa: 1. ………………………………….

2 itd.

……………………………………	………………………	…………………………………………..
Miejscowość	Data	(pieczątka, podpis Wykonawcy lub osoby uprawnionej do jego reprezentowania)

„*” Należy uzupełnić według kryterium, o którym mowa w rozdziale XIII pkt 4 SIWZ

„**” Należy uzupełnić według kryterium, o którym mowa w rozdziale XIII pkt 5 SIWZ

„***” Należy uzupełnić według kryterium, o którym mowa w rozdziale XIII pkt 6 SIWZ

4Niepotrzebne skreślić. Por. zalecenie Komisji z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).

Mikroprzedsiębiorstwo: przedsiębiorstwo, które zatrudnia mniej niż 10 osób i którego roczny obrót lub roczna suma bilansowa nie przekracza 2 milionów euro.

Małe przedsiębiorstwo: przedsiębiorstwo, które zatrudnia mniej niż 50 osób i którego roczny obrót lub roczna suma bilansowa nie przekracza 10 milionów euro.

Średnie przedsiębiorstwa: przedsiębiorstwa, które nie są mikroprzedsiębiorstwami ani małymi przedsiębiorstwami i które zatrudniają mniej niż 250 osób i których roczny obrót nie przekracza 50 milionów EUR lub roczna suma bilansowa nie przekracza 43 milionów euro.

„****” Na podstawie art. 8 ust. 3 ustawy PZP, Wykonawca który zastrzegł w złożonej ofercie informacje jako tajemnicę przedsiębiorstwa zobowiązany jest do wykazania, iż zastrzeżone informacje stanowią tajemnicę przedsiębiorstwa.

Miejsca oznaczone symbolem „*****” i „******”należy wykreślić w części, która nie dotyczy danego

Wykonawcy.

Załącznik nr 4 do SIWZ

STANDARDOWY FORMULARZ

JEDNOLITEGO EUROPEJSKIEGO DOKUMENTU ZAMÓWIENIA (JEDZ)

ZNAJDUJE SIĘ W ODDZIELNYM PLIKU

Załącznik nr 5 do SIWZ

..……………………………………………

(Nazwa Wykonawcy, XXXXX )

Informacja o przynależności do grupy kapitałowej,

o której mowa w art. 24 ust. 1 pkt 23 ustawy Prawo zamówień publicznych.

Przystępując do prowadzonego przez Zamawiającego - Centrum e-Zdrowia postępowania o udzielenie zamówienia publicznego nr WRZ.270.2.2020 na „Zakup systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego” informuję, że:

□ Wykonawca nie przynależy do żadnej grupy kapitałowej w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (t.j. Dz.U. z 2019 r. poz. 369).*

□ Wykonawca nie przynależy do tej samej grupy kapitałowej w rozumieniu ustawy z dnia 16 lutego 2007

r. o ochronie konkurencji i konsumentów ( t.j. Dz.U. z 2019 r. poz. 369) z Wykonawcami, którzy złożyli oferty w przedmiotowym postępowaniu o udzielenie zamówienia. *

□ Wykonawca przynależy do tej samej grupy kapitałowej łącznie z nw. Wykonawcami, którzy złożyli odrębne oferty w przedmiotowym postępowaniu o udzielenie zamówienia (podać) */** :

L.p. Nazwa podmiotu

…………………………………… …..………………………………………………………..

(miejscowość, data) (podpis Wykonawcy lub osoby uprawnionej do jego reprezentowania)

* właściwe zaznaczyć znakiem X

** Wraz ze złożeniem oświadczenia o przynależności do tej samej grupy kapitałowej z Wykonawcami, którzy złożyli odrębne oferty, Wykonawca może przedstawić dowody wykazujące, że istniejące powiązania z ww.

Wykonawcami nie prowadzą do zakłócenia konkurencji w przedmiotowym postępowaniu o udzielenie zamówienia.

Zgodnie z art. 4 pkt. 14 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (t.j.: Dz. U. z 2017 roku, poz. 229) przez grupę kapitałową rozumie się wszystkich przedsiębiorców, który są kontrolowani w sposób bezpośredni lub pośredni przez jednego przedsiębiorcę, w tym również tego przedsiębiorcę.

Załącznik nr 6 do SIWZ

..……………………………………………

(Nazwa Wykonawcy, XXXXX)

WYKAZ DOSTAW

Przystępując do udziału w postępowaniu o udzielenie zamówienia publicznego nr WRZ.270.2.2020 na

„Zakup systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego”, w celu wykazania spełniania warunku, o którym mowa w rozdz. V. 1.2.3.1 SIWZ, oświadczamy, iż w okresie ostatnich trzech lat przed upływem terminu składania ofert wykonaliśmy następujące zamówienia:

Lp.	Rodzaj dostawy/ w tym wskazanie zakresu i nazwy dostawy	Nazwa i adres podmiotu, na rzecz którego wykonywano określoną dostawę	Wartość dostawy brutto [w zł]	Data wykonania (odbioru) (dzień - miesiąc-rok)
1
2
3

Do wykazu załączamy dowody potwierdzające, że ww. dostawy zostały wykonane należycie:

1. …………………………..

2. …………………………..

………………………………………………

(podpis Wykonawcy lub osoby uprawnionej do jego reprezentowania)

..……………………………………………

(Nazwa Wykonawcy, XXXXX )

Załącznik nr 7 do SIWZ

Załącznik nr 4 do Umowy nr CeZ/…./2020

WYKAZ OSÓB, KTÓRYMI DYSPONUJE WYKONAWCA DO REALIZACJI ZAMÓWIENIA

Przystępując do udziału w postępowaniu o udzielenie zamówienia publicznego nr WRZ.270.2.2020 na

„Zakup systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego”, w celu wykazania spełniania warunków, o których mowa w rozdz. V pkt 1.2.3.2. SIWZ Wykonawca oświadcza, że do realizacji zamówienia dysponuje osobami zdolnymi do wykonania zamówienia o kwalifikacjach zawodowych, doświadczeniu i wykształceniu niezbędnym do wykonania zamówienia oraz posiadają wymagane certyfikaty, uprawnienia, odpowiadającym warunkom określonym poniżej w tabeli:

Lp.	Nazwa pełnionej roli	Kwalifikacje	Spełnia wymagania: TAK lub NIE	Imię i nazwisko oraz informacja o podstawie do dysponowania osobami (np. umowa o pracę, umowa o dzieło, umowa - zlecenia itp.)
1.	Kierownik projektu	1.1. Udział w minimum 3 wdrożeniach jako kierownik projektu związanych z wdrożeniem systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego oferowanego przez Wykonawcę 1.2. Wykształcenie wyższe 1.3. Certyfikat w zakresie zarządzania projektami na poziomie co najmniej PRINCE2 Foundation lub równoważny, udzielony przez firmę edukacyjną uprawnioną przez instytucję certyfikującą, 1.4. Certyfikat w zakresie bezpieczeństwa informacji- vendor-neutral jak np: • CompTIA Security+ • CISSP – Certified Information Systems Security Professional, • CISM - Certified Information Security Manager.	………………	1. ………………………… Imię, nazwisko – podstawa dysponowania
2.	Inżynier odpowiedzialny za wdrożenie Systemu	1. Posiada minimum 4-letnie doświadczenie w zakresie wdrażania lub/i projektowania lub/i zarządzania systemem zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego, potwierdzone certyfikatem producenta danego Systemu 2. Brał udział w przynajmniej 2 wdrożeniach systemów zarządzania informacjami i zdarzeniami bezpieczeństwa	………………	1. …………………………, Imię, nazwisko – podstawa dysponowania 2. ………………………… Imię, nazwisko – podstawa dysponowania

informatycznego w charakterze konsultanta,

3. Posiada certyfikat inżynierski producenta rozwiązania Systemu (inżyniera /

administratora / wdrożeniowca / architekta), wystawiony po zakończonym sukcesem autoryzowanym przeszkoleniu ze strony producenta, ważnym dla

oferowanej wersji rozwiązania Systemu

4. Posiada certyfikat w zakresie

bezpieczeństwa informacji jak np.:

• CompTIA Security+

• CISSP – Certified Information Systems Security Professional

Jedna osoba może zostać wykazana przez Wykonawcę tylko w jednej roli.

……………………………..	………………………	………………………………………………..
(miejscowość)	(data)	(podpis Wykonawcy lub osoby uprawnionej do jego reprezentowania)

Załącznik nr 8 do SIWZ

..……………………………………………

(Nazwa Wykonawcy, XXXXX )

OŚWIADCZENIE

Dotyczy: postępowania pn. „Zakup systemu zarządzania informacjami i zdarzeniami bezpieczeństwa

informatycznego”, znak sprawy: WRZ.270.2.2020

Niniejszym oświadczam, iż Wykonawca ………………………….może polegać na ………………………………….

W związku z powyższym zobowiązuję się do oddania Wykonawcy do dyspozycji niezbędnych

zasobów na potwierdzenie spełniania warunków udziału w postępowaniu do realizacji zamówienia, w tym również na okres korzystania z nich przy wykonaniu zamówienia, stosownie do wymagań art. 36b ustawy Prawo zamówień publicznych (Dz. U. z 2019, poz. 1843 z późn. zm.).

Oświadczam, iż :

a) Zakres dostępnych Wykonawcy zasobów tych podmiotów tj *

b) Sposób wykorzystania zasobów tych podmiotów tj. *

c) Charakter stosunku, jaki będzie łączył Wykonawcę z tymi podmiotami tj. *

d) Zakres i okres udziału tych podmiotów przy wykonywaniu Zamówienia tj. *

……………………………..	………………………	……………………………………………………..
(miejscowość)	(data)	(podpis Wykonawcy lub osoby uprawnionej do jego reprezentowania)

*Należy szczegółowo określić zakres wymaganych informacji.

Załącznik nr 9 do SIWZ

(Istotne postanowienia gwarancji)

Gwarancja (bankowa/ubezpieczeniowa5)) należytego wykonania umowy

Gwarancja należytego wykonania umowy nr …………… do postępowania o udzielenie zamówienia publicznego, którego przedmiotem jest „Zakup systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego”, znak sprawy: WRZ.270.2.2020.

BENEFICJENT – Skarb Państwa - Centrum e- Zdrowia, ul. Xxxxxxxxxx Xxxxxx 5A, 00-184 Warszawa. WYKONAWCA - …………………………………………………………………………….

GWARANT - …………………………………………………………………………………..

Gwarancja należytego wykonania umowy, zwana dalej „Gwarancją”, została wystawiona w związku

z umową, która ma zostać zawarta przez Wykonawcę z Beneficjentem, zwaną dalej „Umową”. Zgodnie z Umową Wykonawca jest zobowiązany do wniesienia zabezpieczenia należytego wykonania Umowy w wysokości ……………… (słownie ), co stanowi 3 % całkowitego wynagrodzenia brutto

przewidzianego w Umowie.

1. Gwarancja zabezpiecza należyte wykonanie Umowy przez Wykonawcę.

2. Gwarant odpowiada wyłącznie w zakresie zabezpieczonym Gwarancją z tytułu niewykonania lub nienależytego wykonania Umowy przez Wykonawcę, w tym z tytułu odstąpienia od umowy w związku z jej nienależytym wykonanie albo niewykonaniem.

3. Gwarant zobowiązuje się nieodwołalnie i bezwarunkowo na pierwsze pisemne żądanie Beneficjenta na zasadach określonych w Gwarancji: w okresie od dnia zawarcia umowy do dnia do zapłacenia

kwoty do wysokości …………….. zł (słownie złotych) do zapłacenia, których na rzecz

Beneficjenta zobowiązany jest z tytułu niewykonania lub nienależytego wykonania Umowy.

4. Kwota Gwarancji stanowi górną granicę odpowiedzialności Gwaranta, a każda wypłata z tytułu Gwarancji obniża odpowiedzialność Gwaranta o wysokość wypłaconej kwoty.

5. Gwarancja jest ważna w okresie od ………………………… do …………………………...

6. Zapłata przez Gwaranta kwoty, o której mowa w ust. 3, nastąpi w terminie do 30 dni od dnia doręczenia do Gwaranta na adres wskazany w ust. 13 przez Beneficjenta pisemnego żądania wypłaty wraz z pisemnym oświadczeniem, że Wykonawca nie wykonał Umowy lub nienależycie wykonał Umowę.

7. Żądanie wypłaty powinno:

1) być podpisane przez pełniącego funkcję Dyrektora Jednostki Beneficjenta lub osoby przez niego do tej czynności umocowane wraz ze wskazaniem podstawy umocowania;

2) być złożone w terminie ważności Gwarancji w formie pisemnej pod rygorem nieważności;

3) dotyczyć wyłącznie należności, które powstały w okresie ważności Gwarancji;

4) zawierać oznaczenie kwoty roszczenia oraz rachunku bankowego, na który ma nastąpić wypłata

z Gwarancji;

5) Niepotrzebne skreślić.

5) zawierać jako załącznik kopię powołania lub odpisu powołania na stanowisko Dyrektora Jednostki Beneficjenta, zaś w przypadku innej osoby stosowne pełnomocnictwo lub jego kopię (kopie potwierdzone za zgodność z oryginałem przez radcę prawego).

8. Odpowiedzialność Gwaranta z tytułu Gwarancji jest wyłączona w przypadku gdy Beneficjent doręczy żądanie wypłaty z Gwarancji niezgodne z warunkami określonymi w ust. 6 i 7.

9. Gwarancja wygasa po upływie okresu jej ważności, a także w następujących przypadkach:

1) z chwilą zwrotu Gwarancji przed upływem okresu jej ważności;

2) przez pisemne zwolnienie Gwaranta przez Beneficjenta z zobowiązania wynikającego z Gwarancji;

3) po wypłacie przez Gwaranta pełnej kwoty Gwarancji.

10. Prawa z Gwarancji nie mogą być przedmiotem przelewu na osobę trzecią bez uprzedniej pisemnej zgody Gwaranta, pod rygorem nieważności.

11. Gwarancja podlega zwrotowi do Gwaranta niezwłocznie po jej wygaśnięciu za pośrednictwem Wykonawcy – jednakże zobowiązanie Gwaranta wygasa również wraz z wygaśnięciem Gwarancji, nawet jeżeli niniejszy dokument nie zostanie zwrócony do Gwaranta.

12. Prawem właściwym do rozstrzygania sporów mogących wynikać na tle Gwarancji jest prawo polskie

a sądem właściwym sąd miejscowo właściwy dla siedziby Beneficjenta.

13. Adres korespondencyjny Gwaranta:

……………………………………………………………………………………………………………………………………………………………

…………….………………………….

(podpisy osób upoważnionych przez Gwaranta)