Contract

1 Avropsförfrågan

Denna avropsförfrågan skickas samtidigt till samtliga ramavtalsleverantörer i Xxxxx Expertstöd för domänen Digital Identitet, dnr 2023-3427 i syfte att genomföra avrop genom en förnyad konkurrensutsättning i enlighet med ramavtalets villkor.

1.1 Bakgrund/uppdragets art

Digg har behov av en som är specialister inom kryptografi som ska stötta i arbetet med den europeiska digitala identitetsplånboken (EUDIW) och i framtagandet av den statliga e-legitimationen inom området Digital identitet.

1.2 Syfte med avropet

Avropsförfrågan avser konsulttjänster.

Avropsförfrågan innebär att anbudsgivaren förstärker Digg med resurser genom att tillföra ytterligare kompetens. Det är också möjligt att konsultens arbetsinsatser behövs i andra uppdrag hos Xxxx.

1.3 Omfattning

Uppdragets omfattning kan komma att vara från 0 timmar upp till heltid per månad, under projekttiden. Projekten pågår under år 2024 och 2025 och en bit in på 2026 för möjlighet till att åtgärda restpunkter.

Det kommer att finnas behov av punktinsatser av konsulten, beroende på projektets status, då det krävs att konsultinsatsen är högre samt perioder där konsultens arbete periodvis inte efterfrågas alls.

Debitering görs löpande månadsvis för nedlagt arbete efter godkänd leverans.

1.4 Frågor och förtydliganden

Eventuella frågor gällande upphandlingen ska ställas via e-Avrop. Endast skriftliga kompletterande uppgifter lämnade av Digg under anbudstiden är bindande.

Sista dag för att ställa frågor gällande avropsförfrågan är 2024-06-10

.

Digg förbehåller sig rätten att bedöma svar som inkommit i anbud även om det skulle ha bifogats på fel ställe.

1.5 Xxxxx offererade konsulter

Leverantören har möjlighet att offerera en konsult för detta uppdrag.

Avtalsvillkor

1.6 Avtalstid

Avropsavtalet gäller från och med 2024-09-02 till och med 2025-09-01 med möjlighet till två (2) förlängningar á sex

(6) månader. Dvs som längst till och med 2026-09-01.

Digg har rätt att utnyttja en option om att förlänga avropade uppdrag upp till 50 % av efterfrågat uppdrag, under förutsättning att ramavtalstiden inte överskrids med mer än sex månader.

1.7 Offentlighetsprincipen och sekretess

Digg omfattas av de regler som sammanfattningsvis brukar benämnas offentlighetsprincipen. Med detta avses bland annat att allmänna handlingar som huvudregel är offentliga för den person som önskar ta del av dem. Den som lämnar anbud i denna upphandling måste vara införstådd i att denna aspekt ingår som en förutsättning i samarbetet med Xxxx och att uppgifter som lämnas till Digg i samband med ett anbud kan komma att lämnas ut. Handlingar som lämnas in med anbudet återlämnas inte.

Under den tid som upphandlingen pågår gäller absolut sekretess avseende samtliga uppgifter som berör anbuden. När tilldelningsbeslut fattas eller ärendet på annat sätt dessförinnan slutförts kommer anbud som utgångspunkt att betraktas som offentliga. Av offentlighets- och sekretesslagen (2009:400), OSL, följer dock att vissa uppgifter i ett anbud kan vara sekretessbelagda.

Sekretess gäller bland annat för uppgifter som rör ett företags affärs- eller driftförhållande, om företaget har trätt i affärsförbindelse med en myndighet och det av särskild anledning kan antas att det lider skada om uppgifterna röjs. (31 kap. 16 § OSL). Om en leverantör anser att vissa uppgifter i anbudet bör sekretessbeläggas, ombeds

leverantören precisera vilka uppgifter det gäller och lämna en motivering till på vilket sätt leverantören skulle lida skada om uppgifterna lämnades ut.

Observera att Digg inte är bunden av ett önskemål om sekretess från en leverantör. Vid en begäran om utlämnande är det Digg som har att pröva om en uppgift omfattas av sekretess eller inte. Xxxx äger ingen skyldighet att på förhand eller i samband med ett utlämnande informera leverantören om utfallet på den sekretessprövning som gjorts.

Leverantören ombeds lämna tillräcklig information om vilka delar eller uppgifter i anbudet som leverantören önskar ska omfattas av sekretess. Leverantören ombeds också att i denna information konkretisera vilken skada denne skulle lida om uppgiften/-xxxx xxxx. Ange noga (dokumentnamn, sid nr, rubrik och aktuellt stycke/mening) vilken del av anbudet ni begär sekretess för eller om ni avstår från sådan begäran.

Informationsfråga

1.7.1 Om leverantören anser att delar av anbudet ska sekretessbeläggas kan det anges här eller genom att fylla i bilagan Sekretessbegäran.

Ingen fil bifogad

1.7.2 Anbudsinlämning

Sista dag för att lämna anbud är 2024-06-13

Om du som leverantör behöver hjälp eller har frågor om systemet ber vi dig kontakta e-Avrops support på telefon 00-00 00 00 00 eller xxxxxxx@x-xxxxx.xxx. De har öppet måndag-fredag kl. 08.00-17.00.

1.7.3 Preliminär tidplan

Planerad dag för anbudsöppning är 2024-06-14 .

Intervju av konsulter kommer att kallas efter utvärdering av inkomna anbud. Datum för intervju torsdag den 27 juni

Tilldelningsbeslut beräknas skickas efter vecka 27.

Dokument för säkerhetsskyddsklassning, nivå 3, skickat till vinnande leverantör i samband med tilldelningsbeslut.

1.7.4 Avropssvarets giltighetstid

Avropssvaret ska avse helt anbud och ska lämnas elektroniskt via upphandlingsverktyget e-Avrop. Avropssvaret ska vara giltigt i 60 dagar efter sista anbudsdag. Om begäran om överprövning inkommer förlängs anbudets giltighetstid automatiskt, anbudet gäller då i 60 dagar efter att dom meddelats.

1.7.5 Personuppgifter

Genom att lämna anbud i denna upphandling godkänner anbudsgivaren att personuppgifter lagras i enlighet med Allmänna datakyddsförordningen EU 2016/679 och vid var tid gällande lagstiftning samt att personuppgifter vid ett eventuellt avtal publiceras. Anbudsgivaren intygar också att de referenspersoner som lämnas med anbudet har

informerats om att deras personuppgifter lagras i enlighet med angiven lagstiftning.

2 Ska-krav

Konsulten ska ge Digg stöd i arbetet med utveckling och förvaltning av de regelverk som omgärdar området Digital identitet med särskilt fokus på tillitsramverket, utredningar i säkerhetsrelaterade, tekniska och juridiska frågor som berör Digital Identitet, omvärldsbevakning på området, planering och genomförande av granskningar av utfärdare av e-legitimationer, bidra i arbetet med EU:s digitala identitetsplånbok, delta i sakkunnig-granskningar av andra

länders e-legitimationssystem, samverkan med andra EU/EES-länder inom ramen för eIDAS samarbetsorgan, deltagande i internationella samordnings- och standardiseringsinsatser och bidragande med specialistkompetens inom IT-säkerhet på områden som kryptografi, biometri, intrångssäkerhet, säkerhetsarkitekturer med mera.

Nedan finner leverantören de ska-krav för uppdraget som konsult/erna ska uppfylla.

2.1 Kompetensnivå för uppdraget

Konsulten ska uppfylla minst kompetensnivå 5 enligt nedan.

Kompetensnivå 5

Kunskap – kompetens av högsta rang inom aktuellt område/roll, uppfattas som expert inom kompetensområdet IT Säkerhet.

Erfarenhet – har deltagit i komplexa uppdrag med mycket hög kvalitet. Nivån uppnås normalt tidigast efter 9- 12 års arbete inom aktuellt område/roll

Självständighet – mycket stor

2.2 Kompetenskrav - Specialist kryptografi

Leverantören ska offerera en specialist inom kryptografi.

Specialisten ska var för sig uppfylla följande:

a) Ha stor vana och erfarenhet att verka i ledande befattning och arbeta med mycket hög självständighet

b) Ha kunskaper minst motsvarande 40 högskolepoäng inom matematik

c) Ha kunskaper minst motsvarande 40 högskolepoäng inom programmering

d) Ha djupa matematiska kunskaper om kryptografiska primitiver och funktioner

e) Ha dokumenterad erfarenhet av att konstruera och analysera kryptosystem inom området Digital identitet

f) Ha dokumenterad flerårig erfarenhet av internationell standardisering inom området kryptografiska säkerhetsfunktioner

g) Ha dokumenterad erfarenhet av att genomföra säkerhetsanalyser av komplexa system som byggs upp av kryptografiska säkerhetsfunktioner

h) Ha dokumenterad erfarenhet av att ha arbetat med kryptografiska hårdvarumoduler från olika tillverkare

i) Ha dokumenterad erfarenhet av att i moderna programspråk implementera kryptografiska säkerhetsfunktioner

j) Ha dokumenterad kunskap och erfarenhet att arbetat med att tillämpa och utveckla nya standarder inom området

k) Mycket goda kunskaper i svenska och engelska, i tal och skrift.

Specialisten bör uppfylla följande:

k) Ha mycket god förmåga att kommunicera komplexa frågeställningar och överföra kunskap till kollegor

l) Ha erfarenhet av IT-säkerhetsfrågor i samhällsviktig infrastruktur

m) Ha kunskaper om och erfarenhet av dataskyddsförordningens principer om inbyggt persondataskydd och dataskydd som standard, och hur dessa princip kan omsättas med hjälp av tillämpad kryptografi

n) Ha erfarenhet av produktutveckling som innefattat kryptografiska säkerhetsfunktioner

Kompetensnivå, erfarenheter och kunskaper ska styrkas genom CV, akademisk meritförteckning el. motsvarande. Anbudsgivaren ska även fylla i Erfarenhetbilaga Specialist Kryptografi.

Kvalificeringskrav

2.2.1 Anbudsgivaren ska för varje offererad konsult bifoga CV som visar på uppfyllda ska-krav och eventuella bör-krav

Ingen fil bifogad

Kvalificeringskrav

2.2.2 Anbudsgivaren ska för varje offererad konsult bifoga ifylld bilaga Erfarenhet Specialist kryptografi som visar på uppfyllda ska-krav och eventuella bör-krav

Ingen fil bifogad

Informationsfråga

2.2.3 Anbudsgivaren uppmanas till att ange e-post till offererad konsult/er för att underlätta vid eventuell kallelse för intervju (frivilligt)

Svar

Särskilt kontraktsvillkor

2.3 Referensuppdrag

Anbudsgivaren ska för varje offererad konsult bifoga minst ett (1) eller flera uppdrag för denna upphandling relevanta referensuppdrag som slutförts maximalt tre (3) år före inlämning av avropssvaret.

Referensuppdragen ska visa på:

Ett referensuppdrag som innefattat att konstruera och analysera kryptosystem inom området Digital identitet Ett referensuppdrag som innefattat att genomföra säkerhetsanalyser av komplexa system som byggs upp av kryptografiska funktioner

Ett referensuppdrag som innefattat att implementera kryptografiska säkerhetsfunktioner i mjukvara samt integrationer med kryptografiska hårdvarumoduler

Minst ett referensuppdrag ska ha genomförts på myndighet, region eller kommun. Minst ett referensuppdrag ska ha genomförts av, för detta uppdrag, offererad konsult. Referensuppdraget/en ska omfatta minst 200 timmar.

Referensuppdragen ska ha genomförts på ett för uppdragsgivaren tillfredsställande sätt.

Med tillfredsställande sätt avses:

• god tillgänglighet – att det varit lätt att nå kontakt-/nyckelpersoner

• att kompetens har levererats i förhållande till vad som utlovats

• att uppdraget har utförts enligt uppdragsbeskrivning och på ett tillfredsställande sätt

Digg kan komma att kontrollera referensuppdraget och i de fall Xxxx inte har kunnat nå referensperson efter ett flertal försök, ger det oss möjlighet att förkasta anbudet.

Leverantören ska fylla i bilagan Referensuppdrag Expertkompetens inom kryptografi så att det tydligt framgår att kraven ovan uppfylls.

Kvalificeringskrav

2.3.1 Anbudsgivaren ska bifoga ett eller flera referensuppdrag i bilagan Referensuppdrag exopertkompetens inom kryptografi så att kraven ovan uppfylls

Ingen fil bifogad

2.4 Uppdragsstart

Uppdraget ska starta så snart säkerhetsskyddsklassningen är genomförd, dock senast 2024-09-02, om inte annat överenskommes.

2.5 Stationeringsort

Arbetet utförs på distans med undantag för fysiska möten som Digg kallar till. Dessa möten kan antingen ske i Sundsvall eller Stockholm.

I anbudet ska anges vilken stationeringsort som konsulten kommer att utgå ifrån.

Alla resor beordrade av Digg bokas av Diggs kundtjänst enligt vår policy för tjänsteresor och möten.

2.5.1 Ange konsultens stationeringsort

Svar

2.6 Språk

All muntlig och skriftlig kommunikation mellan Digg och leverantören ska vara på svenska.

2.7 Underleverantör

Om underleverantör ska nyttjas för detta uppdrag, så ska bilagan "Förteckning underleverantör" fyllas i.

2.7.1 Ska underleverantörer nyttjas för uppdraget?

Ja Nej

Informationsfråga

2.7.2 Om underleverantör nyttjas ska bilagan "Förteckning underleverantör" bifogas.

Ingen fil bifogad

2.8 Säkerhetsskyddsavtal

Detta uppdrag kräver säkerhetsskyddsavtal nivå tre (3), säkerhetsklass två (2).

Digg har med anledning av detta följande krav på leveransen.

Säkerhetsklass 2 innebär att såväl konsult som dennes eventuella partner kontrolleras av SÄPO. Leverans av konsulttjänster ska ske inom Sveriges gränser, om inte annat överenskommits.

Utrustning från Digg ska användas, annan utrustning medges inte, om inte annat överenskommits. Konsult ska vara svensk medborgare och anbudsgivare ansvar för att offererad konsult klarar en säkerhetsprövning.

3 Anbudsutvärdering

Anbuden kommer att utvärderas enligt principen ekonomiskt med fördelaktigt.

De svar som anbudsgivaren lämnar i bilagan "Erfarenhetsbilagan Expertkompetens kryptografi" kommer att utvärderas främst avseende innehållet, men även avseende förmågan att svara på frågorna på ett tydligt, koncist och ändamålsenligt sätt utifrån mottagarens behov. Det betyder att anbudsgivaren måste säkerställa att relevant information kommer med, samtidigt som det inte alltid är en fördel att skriva så långt som möjligt.

3.1 Villkor för pris

I leverantörens pris ska resor till och från stationeringsort, restid, logi, traktamente ingå. Resor beordrade av Xxxx ersätts och under förutsättning att Diggs policy för tjänsteresor och möten följs.

Timpris för Expertkompentes kryptografi

1

Antal

Pris/Timme

SEK

Maxpris: 2 000 SEK

3.2 Utvärderingsmodell

Digg använder sig av mervärdesmodell för utvärdering av anbud.

Mervärdesmodellen bygger på principen att tilldelningskriterier värderas och ges ett ekonomiskt värde i kronor. I utvärderingen poängsätts uppfyllnad av kriterier utifrån en angiven skala, baserat på det mervärde som det aktuella kriteriet ger. Erhållen poäng viktas sedan enligt angiven vikt för kriteriet. Mervärdet av respektive uppfyllt kriterium summeras och subtraheras från det framräknade anbudspriset. Resultatet av uträkningen blir anbudets

jämförelsetal

Jämförelsetal = Anbudspris - avdrag för uppfyllda kriterier utöver pris (mervärdet)

Utvärderingsmodellen bygger på att de tre anbudsgivare med lägst jämförelsetal kallas till intervju.

Intervjun, tillsammans med börkraven resulterar i ett avdrag som görs mot timpriset. Anbudsgivaren med lägst jämförelsetal vinner uppdraget.

Anbudet med det lägsta jämförelsetalet (kan vara ett negativt tal) är det anbud som har det bästa förhållandet mellan pris och kvalitet och som kommer att tilldelas avtal. I den händelse två eller flera anbud efter utvärderingen erhållit samma jämförelsetal, kommer vinnande anbud att vara det anbud som erhöll högst mervärde vid utvärderingen. Om även därefter två eller flera anbud skulle ha samma mervärde kommer ett lottningsförfarande att genomföras

Innan ett anbud kan gå vidare till utvärdering kontrolleras att ställda ska-krav uppfylls utifrån det anbudslämnaren angett i anbudet..

3.2.1 Utvärderingskriterier

Utvärderingen kommer att ske i två steg.

Steg 1:

Inledningsvis bedöms Erfarenhetsbilagan Specialist avseende den offererade konsultens erfarenhet som anbudsgivaren angett i anbudet.

Kompetens: Erfarenhet, utifrån uppfyllande av bör-krav i bilagan "Erfarenhet Specialistkompetens kryptografi".

Totalt mervärde, steg 1: 350 kr

Steg 2:

Digg kommer att kalla upp till tre (3) leverantörer, de som har högst uppfyllnad av mervärdena (bör-kraven) till intervju.

Vid intervjun av konsulten bedöms konsultens insikt och förståelse för uppdraget, vilket sker enligt den skala som framgår av punkt 3.2.1.6.

Det anbud som efter steg 2 har erhållit det lägsta jämförelsetalet (timpris minus avdrag för uppfyllelse av bör-krav) är det ekonomiskt mest fördelaktiga anbudet, och kommer att antas

Intervjuer kommer preliminärt att ske under vecka 23 torsdag den 27 juni via Skype.

Om konsulten inte kan delta så innebär det att mervärdet för intervjun blir 0 kr.

Om en konsult får 0 i betyg på intervjun så förkastas anbudet. Om detta sker kommer vi att kalla den anbudsgivare som står näst på tur till intervju.

Utvärderingskriterie 2: Intervju 1000 kr

Under intervjun kommer vi att beakta konsultens förståelse för uppdraget samt personliga egenskaper.

De utvärderingskriterier som leverantören uppfyllde vid anbudsutvärderingen ska uppfyllas under hela avropsavtalets löptid.

Totalt mervärde (steg 1 och 2): 1 350 kr

De svar, beskrivningar, garantier, utfästelser m.m. som leverantören lämnar avseende "tilldelningskriterier" kommer att utgöra en del av avtalet mellan leverantören och Digg och innebär ett konkret åtagande för leverantören under hela avtalstiden.

3.2.1.1 Ha mycket god förmåga att kommunicera komplexa frågeställningar och överföra kunskap till kollegor

Ja (−100 SEK)

Nej (0 SEK)

3.2.1.2 Erfarenhet av IT-säkerhetsfrågor i samhällsviktig infrastruktur

Ja (−50 SEK)

Nej (0 SEK)

3.2.1.3 Ha kunskaper om och erfarenhet av dataskyddsförordningens principer om inbyggt persondataskydd och dataskydd som standard, och hur dessa principer kan omsättas med hjälp av tillämpad kryptografi

Ja (−100 SEK)

Nej (0 SEK)

3.2.1.4 Ha erfarenhet av produktutveckling som innefattat kryptografiska säkerhetsfunktioner

Ja (−100 SEK)

Nej (0 SEK)

3.2.1.5 Intervju av konsult

Inget mervärde (0 SEK)

Mervärde (−250 SEK)

Stort mervärde (−500 SEK)

Mycket stort mervärde (−1 000 SEK)

3.2.1.6 Intervju med konsulten

Vid intervjun kommer Xxxx att säkerställa att de uppgifter som lämnats i CV och Erfarenhetsbilagan är korrekta. Intervjun kommer att utvärderas utifrån konsultens förståelse för uppdraget och förmågan att klargöra målbilden, stor vikt kommer att läggas på konsultens kommunikationsförmåga.

Frågorna som bland annat kommer att ställas under intervjun är:

Beskriv din kompetens och erfarenhet inom kryptografi?

Vilka är de största riskerna som du ser inom kryptografi vid framtagandet av en statlig e-legitimation? Varför vill du arbeta med kryptografi för den statliga e-legitimationen?

Varför passar du till det här uppdraget?

Digg kommer även att säkerställa att de i detta anbud lämnade uppgifterna i CV, Erfarenhetsbilaga och referensuppdrag stämmer.