Zajištění kybernetické bezpečnosti Nemocnice Znojmo

Krátký popis

Účelem veřejné zakázky je zajištění zvýšení kybernetické bezpečnosti a celkové úrovně zabezpečení nemocnice.
Předmětem veřejné zakázky je vytvoření bezpečnostních politik a dalších relevantních směrnic, zdokumentování jednotlivých postupů a zavedení nezbytných bezpečnostních opatření, která dokážou v rychlém časovém horizontu povýšit celkovou bezpečnost, a to zejména prostřednictvím následujících aktivit:
- analytické práce v oblasti bezpečnosti;
- zavedení síťové analýzy;
- realizace perimetrového a centrálních firewallů a Sandbox;
- vybudování public key infrastructure;
- implementace systému pro správu privilegovaných účtů;
- modernizace síťové infrastruktury a WiFi;
- e-mailová brána;
- implementace sytému pro zálohování dat;
- implementace nástroje pro zabezpečení zdravotnických zařízení.
Součástí plnění je dále poskytování služeb podpory a rozvoje.
Podrobné vymezení předmětu veřejné zakázky je v zadávací dokumentaci.
Předmět veřejné zakázky bude spolufinancován z Integrovaného regionálního operačního programu (dále jen „IROP“), 4. výzva IROP - Kybernetická bezpečnost, SC 1.1, registrační číslo projektu CZ.06.01.01/00/22_004/0000076 s názvem „Zajištění kybernetické bezpečnosti v nemocnici Znojmo 1“ a registrační číslo projektu CZ.06.01.01/00/22_004/0000077 s názvem „Zajištění kybernetické bezpečnosti v nemocnici Znojmo 2“.
Příloha č. 7 zadávací dokumentace obsahující popis stávajícího prostředí obsahuje důvěrné informace. Zadavatel poskytne příslušnou část zadávací dokumentace dodavatelům v souladu s ust. § 36 odst. 8 ZZVZ ve spojení s § 96 odst. 2 ZZVZ pouze na základě žádosti a oproti předložení podepsané dohody o ochraně důvěrných informací (dále jen „NDA“). Závazný vzor NDA, tvořící Přílohu č. 6, je uveřejněn současně se zadávací dokumentací na profilu zadavatele k volnému stažení.
NDA předkládaná ze strany dodavatele jako žadatele o část zadávací dokumentace obsahující důvěrné informace musí plně korespondovat s textací závazného vzoru NDA uveřejněného dle předchozího odstavce (místa k doplnění ze strany dodavatele jsou označena jako [DOPLNÍ DODAVATEL]), musí z ní být patrné o kterou přílohu dodavatel žádá a musí být podepsána osobou/osobami oprávněnými zastupovat dodavatele. Pokud NDA bude na základě předchozího zmocnění podepsána jinou osobou než osobou/osobami oprávněnými zastupovat dodavatele, musí být takové zmocnění předloženo společně s NDA.
Rovněž na předložení podepsané NDA se vztahuje povinná elektronická komunikace podle čl. 2 zadávací dokumentace.
Zadavatel následně elektronicky podepsané NDA zašle zpět dodavateli a poskytne důvěrnou část zadávací dokumentace do 3 pracovních dnů od doručení řádně podepsaného návrhu ze strany dodavatele.

Popis veřejné zakázky

Účelem veřejné zakázky je zajištění zvýšení kybernetické bezpečnosti a celkové úrovně zabezpečení nemocnice.
Předmětem veřejné zakázky je vytvoření bezpečnostních politik a dalších relevantních směrnic, zdokumentování jednotlivých postupů a zavedení nezbytných bezpečnostních opatření, která dokážou v rychlém časovém horizontu povýšit celkovou bezpečnost, a to zejména prostřednictvím následujících aktivit:
- analytické práce v oblasti bezpečnosti;
- zavedení síťové analýzy;
- realizace perimetrového a centrálních firewallů a Sandbox;
- vybudování public key infrastructure;
- implementace systému pro správu privilegovaných účtů;
- modernizace síťové infrastruktury a WiFi;
- e-mailová brána;
- implementace sytému pro zálohování dat;
- implementace nástroje pro zabezpečení zdravotnických zařízení.
Součástí plnění je dále poskytování služeb podpory a rozvoje.
Podrobné vymezení předmětu veřejné zakázky je v zadávací dokumentaci.
Předmět veřejné zakázky bude spolufinancován z Integrovaného regionálního operačního programu (dále jen „IROP“), 4. výzva IROP - Kybernetická bezpečnost, SC 1.1, registrační číslo projektu CZ.06.01.01/00/22_004/0000076 s názvem „Zajištění kybernetické bezpečnosti v nemocnici Znojmo 1“ a registrační číslo projektu CZ.06.01.01/00/22_004/0000077 s názvem „Zajištění kybernetické bezpečnosti v nemocnici Znojmo 2“.
Příloha č. 7 zadávací dokumentace obsahující popis stávajícího prostředí obsahuje důvěrné informace. Zadavatel poskytne příslušnou část zadávací dokumentace dodavatelům v souladu s ust. § 36 odst. 8 ZZVZ ve spojení s § 96 odst. 2 ZZVZ pouze na základě žádosti a oproti předložení podepsané dohody o ochraně důvěrných informací (dále jen „NDA“). Závazný vzor NDA, tvořící Přílohu č. 6, je uveřejněn současně se zadávací dokumentací na profilu zadavatele k volnému stažení.
NDA předkládaná ze strany dodavatele jako žadatele o část zadávací dokumentace obsahující důvěrné informace musí plně korespondovat s textací závazného vzoru NDA uveřejněného dle předchozího odstavce (místa k doplnění ze strany dodavatele jsou označena jako [DOPLNÍ DODAVATEL]), musí z ní být patrné o kterou přílohu dodavatel žádá a musí být podepsána osobou/osobami oprávněnými zastupovat dodavatele. Pokud NDA bude na základě předchozího zmocnění podepsána jinou osobou než osobou/osobami oprávněnými zastupovat dodavatele, musí být takové zmocnění předloženo společně s NDA.
Rovněž na předložení podepsané NDA se vztahuje povinná elektronická komunikace podle čl. 2 zadávací dokumentace.
Zadavatel následně elektronicky podepsané NDA zašle zpět dodavateli a poskytne důvěrnou část zadávací dokumentace do 3 pracovních dnů od doručení řádně podepsaného návrhu ze strany dodavatele.

Další informace

Dodavatel zahájí plnění veřejné zakázky bezodkladně po nabytí účinnosti smlouvy na plnění veřejné zakázky. Bližší podrobnosti jsou stanoveny v příloze č. 1 zadávací dokumentace.
V případě, že smlouva na plnění veřejné zakázky nebude uzavřena nejpozději do 31. 8. 2024 a v době před uzavřením smlouvy s vybraným dodavatelem zadavatel nezíská zamýšlené rozhodnutí poskytovatele dotace o změně (prodloužení) doby plnění tak, aby plnění bylo provedeno a dokončeno ve lhůtě k tomu určené v obchodních podmínkách (tj. dokončení fáze 1 nejpozději do 14 měsíců od účinnosti smlouvy na plnění veřejné zakázky), bude vybraný dodavatel povinen potvrdit svou schopnost dokončit své plnění (fázi 1) nejpozději do 31. 10. 2025.
Uvedené datum představuje limitní datum realizace projektu dle aktuálních podmínek poskytovatele dotace, neboť fáze 1 musí být dokončena, akceptována, vyfakturována a uhrazena do 2. 12. 2025, pročež s ohledem na obchodní podmínky a stanovenou splatnost faktur zadavatel stanovil limitní datum realizace fáze 1 do 31. 10. 2025.
Za podmínek vyplývajících z tohoto článku (tj. nebude-li dosaženo prodloužení doby plnění rozhodnutím poskytovatele dotace) si zadavatel vyžádá před podpisem smlouvy po účastníkovi zadávacího řízení, jehož nabídka se umístila jako první v pořadí, prohlášení o tom, že účastník bude schopen splnit předmět veřejné zakázky (fázi 1) ve lhůtě do 31. 10. 2025. Pokud účastník nedoloží takové prohlášení, bude zadavatelem v souladu se ZZVZ a zadávacími podmínkami vyloučen z další účasti v zadávacím řízení. Zadavatel je v takovém případě oprávněn postupovat podle ust. § 125 ZZVZ či zadávací řízení zrušit.
Pokud nastane vyloučení vybraného dodavatele na základě skutečností popsaných v předchozím odstavci tohoto článku zadávací dokumentace, nebude zadavatel uplatňovat své právo na plnění z jistoty poskytnuté tímto účastníkem zadávacího řízení a zadavatel bude následně postupovat dle § 41 odst. 6 písm. b) ZZVZ. Obdobně bude postupováno ve vztahu ke každému dalšímu účastníkovi v pořadí.
Služby podpory a rozvoje budou poskytovány po dobu neurčitou.

Seznam a stručný popis výběrových kritérií

Předložení seznamu významných zakázek, v němž budou uvedeny alespoň následující údaje:
a) název objednatele,
b) předmět významné zakázky,
c) doba realizace (dokončení) významné zakázky,
d) finanční objem významné zakázky, je-li dále požadován,
e) kontaktní osoba objednatele, u které bude možné realizaci významné zakázky ověřit, vč. kontaktního e-mailu a telefonu

Ze seznamu významných zakázek musí jednoznačně vyplývat, že dodavatel v uvedeném období (tj. v posledních 3 letech před zahájením zadávacího řízení) realizoval alespoň tyto významné zakázky:
1. 1 významnou zakázku, jejímž předmětem byla dodávka (vč. implementace) nebo rozšíření existující síťové infrastruktury, a to ve finančním objemu minimálně 6 mil. Kč bez DPH,
2. 3 významné zakázky, jejichž předmětem (každé z nich) byla dodávka/implementace systému zálohování dat, a to ve finančním objemu minimálně 6 mil. Kč bez DPH / zakázka,
3. 3 významné zakázky, jejichž předmětem (každé z nich) byla dodávka/implementace systému pro správu privilegovaných účtů, a to ve finančním objemu minimálně 3 mil. Kč bez DPH / zakázka.
4. 2 významné zakázky, jejichž předmětem (každé z nich) byla dodávka/ implementace alespoň jednoho perimetrového nebo alespoň jednoho centrálního firewallu , a to ve finančním objemu minimálně 6 mil. Kč bez DPH / zakázka, přičemž alespoň jedna zakázka dle tohoto bodu zahrnovala dodávku/implementaci do zdravotnického zařízení poskytujícího akutní lůžkovou péči a současně poskytujícího péči pacientům v režimu 24/7 a současně využívajícího zdravotnické přístroje (prostředky) připojené do nemocniční sítě a nemocničního informačního systému.
5. 2 významné zakázky, jejichž předmětem (každé z nich) byla tvorba bezpečnostní dokumentace a procesů, analýzy rizik, analýzy dopadů a plánu obnovy dle vyhlášky č. 82/2018 Sb., vyhláška o kybernetické bezpečnosti, případně dle jiného rovnocenného zahraničního předpisu, a to ve finančním objemu minimálně 1 mil. Kč bez DPH / zakázka.
Není-li stanoveno jinak, kvalifikaci rovněž splní dodavatel v případě, že se jedná o významné zakázky zahájené dříve než v posledních 3 letech před zahájením zadávacího řízení, pokud byly v takových posledních 3 letech dokončeny, nebo pokud probíhaly i po zahájení zadávacího řízení, nebo pokud stále probíhají, za předpokladu splnění výše uvedených parametrů ke dni konce lhůty pro prokázání kvalifikace (tj. řádné dokončení příslušné části významné zakázky, která naplňuje požadavky zadavatele na reference).
Za předpokladu, že některé významné referenční zakázky budou naplňovat parametry více výše uvedených požadavků zadavatele dle jednotlivých bodů, zadavatel požaduje, aby účastník zadávacího řízení disponoval nejméně tolika významnými zakázkami, kolik je požadováno u každého bodu (tj. splnění shora uvedených bodů kvalifikace lze v rámci příslušné významné (referenční) zakázky kombinovat, tzn. lze použít při naplnění všech podmínek určitou referenci pro naplnění více kritérií technické kvalifikace současně při zachování předložení minimálního požadovaného počtu referencí u každého bodu

Seznam a stručný popis výběrových kritérií

Osvědčení o vzdělání (je-li požadováno) a odborné kvalifikaci fyzických osob, odpovědných za poskytování služeb
Zadavatel požaduje u každé osoby předložit vždy:
• profesní životopis, z něhož bude vyplývat splnění požadavků zadavatele (u referenční zkušenosti, je-li níže požadována, uvede dodavatel údaje, z nichž bude ověřitelné splnění požadavku, a to včetně kontaktních údajů na objednatele takové zakázky, tedy kontaktního e-mailu a telefonu),
• údaj o tom, zda je osoba v pracovněprávním či jiném vztahu k dodavateli (v takovém případě uvede dodavatel v jakém),
• doklady, z nichž bude vyplývat splnění požadavků zadavatele na vzdělání či odbornou způsobilost (příslušný doklad o vzdělání / osvědčení / oprávnění, je-li níže vyžadováno).

Dodavatel předloží doklady o odborné kvalifikaci pro následující osoby:
1. vedoucí realizačního týmu (projektový manažer)
• je držitelem certifikátu z oblasti projektového řízení – např. PMP (Project Management Professional) nebo PRINCE2:PRACTITIONER nebo IPMA:C anebo ekvivalentu uvedených certifikátů od jiné oprávněné osoby,
• vedl (byl v pozici vedoucího) v posledních 5 letech před zahájením zadávacího řízení minimálně 3 zakázky v oblasti kybernetické bezpečnosti ve finančním objemu zakázky min. 5 mil. Kč bez DPH/každá zakázka,
• má alespoň 5 let praxe za posledních 7 let před zahájením zadávacího řízení v oblasti kybernetické bezpečnosti (tato praxe musí vyplynout z profesního životopisu, kdy v každém příslušném roce dokládané praxe musela osoba vykázat alespoň jednu zkušenost v požadované oblasti; jedna zkušenost může být započítána i v rámci dvou (i více) let, a to za předpokladu, že v příslušném roce bylo plnění poskytováno alespoň po dobu 3 měsíců).

2. Bezpečnostní architekt
• je držitelem platné certifikace v oblasti řízení bezpečnosti informací na úrovni CompTIA Security+ nebo CISSP (Certified Information Systems Security Professional), případně obdobné certifikace,
• má alespoň 4 roky praxe za posledních 7 let před zahájením zadávacího řízení v oblasti kybernetické bezpečnosti (tato praxe musí vyplynout z profesního životopisu, kdy v každém příslušném roce dokládané praxe musela osoba vykázat alespoň jednu zkušenost v požadované oblasti; jedna zkušenost může být započítána i v rámci dvou (i více) let, a to za předpokladu, že v příslušném roce bylo plnění poskytováno alespoň po dobu 3 měsíců).

3. Architekt síťové bezpečnosti
• v posledních 5 letech před zahájením zadávacího řízení realizoval (byl členem realizačního týmu) minimálně 2 významné zakázky v oblasti kybernetické bezpečnosti,
• má alespoň 4 roky praxe za posledních 7 let před zahájením zadávacího řízení v oblasti architektury síťové bezpečnosti (tato praxe musí vyplynout z profesního životopisu, kdy v každém příslušném roce dokládané praxe musela osoba vykázat alespoň jednu zkušenost v požadované oblasti; jedna zkušenost může být započítána i v rámci dvou (i více) let, a to za předpokladu, že v příslušném roce bylo plnění poskytováno alespoň po dobu 3 měsíců).

4. Síťový specialista
• je držitelem platné certifikace Aruba Certified Switching Prof. (ACSP) a Aruba Certified Design Expert (ACDX) případně ekvivalent daných certifikátů od jiného výrobce na dodávanou technologii,
• má alespoň 4 roky praxe za posledních 7 let před zahájením zadávacího řízení v oblasti síťové infrastruktury (tato praxe musí vyplynout z profesního životopisu, kdy v každém příslušném roce dokládané praxe musela osoba vykázat alespoň jednu zkušenost v požadované oblasti; jedna zkušenost může být započítána i v rámci dvou (i více) let, a to za předpokladu, že v příslušném roce bylo plnění poskytováno alespoň po dobu 3 měsíců).

5. Specialista na firewally
• je držitelem technické certifikace prokazující pokročilé znalosti v oblasti návrhu, optimalizace a údržby na nabízenou technologii (např. Fortinet NSE 4, Check Point Certified Security Expert případně ekvivalent daných certifikátů od jiných výrobců na dodávanou technologii),
• v posledních 5 letech před zahájením zadávacího řízení realizoval (byl členem realizačního týmu) minimálně 2 významné zakázky, které naplňují požadavky dle odst. 6.4 písm. a) bodu 4, vyjma požadavku na dobu realizace (nemusí se přitom jednat o identickou referenční zakázku, kterou dodavatel prokazuje splnění kvalifikace dle odst. 6.4. písm. a) bod 4 zadávací dokumentace),
• má alespoň 4 roky praxe za posledních 7 let před zahájením zadávacího řízení v oblasti kybernetické bezpečnosti (tato praxe musí vyplynout z profesního životopisu, kdy v každém příslušném roce dokládané praxe musela osoba vykázat alespoň jednu zkušenost v požadované oblasti; jedna zkušenost může být započítána i v rámci dvou (i více) let, a to za předpokladu, že v příslušném roce bylo plnění poskytováno alespoň po dobu 3 měsíců).

6. Specialista na ochranu privilegovaného přístupu
• je držitelem platné existující expertní certifikace prokazující technické znalosti v oblasti nasazení systému pro ochranu privilegovaných účtů na nabízenou technologii (např. CyberArk Sentry, BeyondTrust PasswordSafe Administrator, případně ekvivalent daných certifikátů od jiného výrobce na dodávanou technologii),
• má alespoň 4 roky praxe za posledních 7 let před zahájením zadávacího řízení v oblasti kybernetické bezpečnosti (tato praxe musí vyplynout z profesního životopisu, kdy v každém příslušném roce dokládané praxe musela osoba vykázat alespoň jednu zkušenost v požadované oblasti; jedna zkušenost může být započítána i v rámci dvou (i více) let, a to za předpokladu, že v příslušném roce bylo plnění poskytováno alespoň po dobu 3 měsíců).

Zadavatel stanoví, že realizační tým, prostřednictvím kterého účastník prokazuje kvalifikaci, musí tvořit min. 5 osob, přičemž každá pozice musí být obsazena jiným členem týmu vyjma pozice vedoucího realizačního týmu, kterou může současně zastávat i jiný člen realizačního týmu.

Přesné informace o lhůtě (lhůtách) pro přezkumné řízení

Podmínkou pro podání návrhu k ÚOHS je podání námitek k Zadavateli, které je nutné doručit do 15 dnů ode dne, kdy se stěžovatel dozvěděl o domnělém porušení zákona Zadavatelem, nejpozději však do uzavření smlouvy nebo do chvíle, kdy se soutěž o návrh považuje po výběru návrhu za ukončenou.

Námitky proti úkonům oznamovaným v dokumentech, které je Zadavatel povinen podle zákona uveřejnit či odeslat stěžovateli, musí být doručeny Zadavateli do 15 dnů od jejich uveřejnění či doručení stěžovateli.
Pokud je v zadávacím řízení stanovena lhůta pro podání žádostí o účast, musí být námitky proti podmínkám vztahujícím se ke kvalifikaci dodavatele doručeny Zadavateli nejpozději do skončení této lhůty.
Pokud je v zadávacím řízení stanovena lhůta pro podání nabídek, musí být námitky proti zadávacím podmínkám doručeny Zadavateli nejpozději do skončení této lhůty. Námitky proti obsahu výzvy k podání nabídek v dynamickém nákupním systému nebo při zadávání veřejné zakázky na základě rámcové dohody musí být zadavateli doručeny nejpozději do konce lhůty pro podání nabídek. V soutěži o návrh musí být námitky proti soutěžním podmínkám doručeny nejpozději do konce lhůty pro podání návrhů. Zadavatel může v zadávací dokumentaci nebo soutěžních podmínkách stanovit, že námitky podle § 242 odst. 3 nebo 4 zákona lze podat nejpozději 72 hodin před skončením lhůt podle § 242 odst. 3 nebo 4 zákona.

Námitky proti dobrovolnému oznámení o záměru uzavřít smlouvu podle § 212 odst. 2 zákona musí být doručeny Zadavateli do 30 dnů od uveřejnění tohoto oznámení.

Zadavatel je povinen námitky vyřídit do 15 dnů. Návrh je nutné doručit ÚOHS i Zadavateli do 10 dnů ode dne, v němž stěžovatel obdržel rozhodnutí, kterým Zadavatel námitky odmítnul nebo do 25 dnů od odeslání námitek, pokud Zadavatel o námitkách nerozhodl.

Po uzavření smlouvy na veřejnou zakázku či rámcové dohody lze podat pouze návrh na uložení zákazu plnění smlouvy, a to i bez předchozího podání námitek. Návrh na uložení zákazu plnění smlouvy doručí navrhovatel ÚOHS a ve stejnopisu Zadavateli do 30 dnů ode dne, kdy Zadavatel uveřejnil oznámení o uzavření smlouvy způsobem podle § 212 odst. 2 zákona s uvedením důvodu pro zadání veřejné zakázky bez uveřejnění oznámení o zahájení zadávacího řízení, předběžného oznámení nebo výzvy k podání nabídek ve zjednodušeném podlimitním řízení, nejpozději však do 6 měsíců od uzavření této smlouvy. Návrh na uložení zákazu plnění smlouvy podle § 254 odstavce 1 písm. d) zákona doručí navrhovatel ÚOHS a ve stejnopisu Zadavateli do 30 dnů ode dne, kdy Zadavatel uveřejnil oznámení o uzavření smlouvy na základě rámcové dohody podle § 137 zákona nebo oznámení o uzavření smlouvy v dynamickém nákupním systému podle § 142 zákona, nejpozději však do 6 měsíců od uzavření této smlouvy.

Ve lhůtě pro doručení návrhu je navrhovatel povinen složit na účet ÚOHS kauci ve výši 1 % z nabídkové ceny navrhovatele za celou dobu plnění veřejné zakázky nebo za dobu prvních čtyř let plnění v případě smluv na dobu neurčitou, nejméně však ve výši 50 000 Kč, nejvýše ve výši 10 000 000 Kč. V případě, že navrhovatel nemůže stanovit celkovou nabídkovou cenu, je povinen složit kauci ve výši 100 000 Kč. V případě návrhu na uložení zákazu plnění smlouvy je navrhovatel povinen složit kauci ve výši 200 000 Kč. Jde-li o řízení o přezkoumání postupu pro zadávání koncesí, je navrhovatel povinen ve lhůtě pro doručení návrhu složit na účet ÚOHS kauci ve výši 1 % z předpokládané hodnoty koncese uveřejněné ve Věstníku veřejných zakázek nebo na profilu Zadavatele, nejméně však ve výši 50 000 Kč, nejvýše ve výši 10 000 000 Kč. V případě, že Zadavatel neuveřejní ve Věstníku veřejných zakázek nebo na profilu Zadavatele předpokládanou hodnotu koncese, je navrhovatel povinen složit kauci ve výši 100 000 Kč. V případě návrhu na uložení zákazu plnění koncesní smlouvy je navrhovatel povinen složit kauci ve výši 200 000 Kč.