Pořízení softwarového nástroje na správu a auditování ISMS, evidenci aktiv, rizik, zranitelností a hrozeb

Krátký popis

Předmětem plnění veřejné zakázky (dále jen „VZ“) je dodávka a zavedení systému pro správu a auditování ISMS, správu a evidenci aktiv, kybernetických hrozeb, zranitelností, souvisejících rizik a mitigačních opatření. Tento systém musí umožnit efektivní a bezpečné řízení kybernetických hrozeb a zranitelností, hodnocení rizik a implementaci mitigačních opatření. Součástí je také mapování vztahů mezi těmito prvky a tvorba reportů. Systém musí být
v souladu s principy kybernetické bezpečnosti dle ISO/IEC 27001: 2022, ISO/IEC 27002 a NIS2.
Funkce a postupy systému musí zajistit soulad s těmito požadavky a také s prováděcí vyhláškou k novému návrhu Zákona o kybernetické bezpečnosti (Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností) dle § 8 Řízení aktiv, § 9 Řízení rizik a příloh 1, 2 a 3 této vyhlášky. Pokud bude dále v textu zmíněna vyhláška, rozumí se tím vyhláška k novému návrhu Zákona o kybernetické bezpečnosti.

Účastník vypracuje, potvrdí a předá v rámci plnění zakázky dokument potvrzující, že dokončil práce, že dodávka je dokončena, funkční a způsobilá pro zajištění evidence aktiv a správy ISMS pro provoz služeb elektronického zdravotnictví včetně odvětvových referenčních registrů elektronického zdravotnictví, Národního zdravotnického informačního systému (NZIS), Hygienických registrů a dalších provozních systémů. Účastník rovněž provede testování předmětu dodávky a vypracuje, potvrdí a předá v rámci plnění zakázky samostatný dokument potvrzující, že bylo provedeno úspěšné testování dodávky.

Globální pohled
Systém musí podporovat standardní proces řízení aktiv a rizik dle posloupných činností, a to v souladu s aktuální verzí vzorové metodiky pro identifikaci a hodnocení aktiv a hodnocení rizik vydanou Národním úřadem pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“).

Předmět plnění veřejné zakázky bude financován z projektu s názvem „Rozvoj rezortní infrastruktury elektronického zdravotnictví ČR“ vedeném pod registračním číslem projektu: CZ.31.2.0/0.0/0.0/22_033/0007725.

Projekt „Rozvoj rezortní infrastruktury elektronického zdravotnictví ČR“ je financován Evropskou unií z Nástroje pro oživení a odolnost prostřednictvím Národního plánu obnovy ČR.

Popis veřejné zakázky

Předmětem plnění veřejné zakázky (dále jen „VZ“) je dodávka a zavedení systému pro správu a auditování ISMS, správu a evidenci aktiv, kybernetických hrozeb, zranitelností, souvisejících rizik a mitigačních opatření. Tento systém musí umožnit efektivní a bezpečné řízení kybernetických hrozeb a zranitelností, hodnocení rizik a implementaci mitigačních opatření. Součástí je také mapování vztahů mezi těmito prvky a tvorba reportů. Systém musí být
v souladu s principy kybernetické bezpečnosti dle ISO/IEC 27001: 2022, ISO/IEC 27002 a NIS2.
Funkce a postupy systému musí zajistit soulad s těmito požadavky a také s prováděcí vyhláškou k novému návrhu Zákona o kybernetické bezpečnosti (Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností) dle § 8 Řízení aktiv, § 9 Řízení rizik a příloh 1, 2 a 3 této vyhlášky. Pokud bude dále v textu zmíněna vyhláška, rozumí se tím vyhláška k novému návrhu Zákona o kybernetické bezpečnosti.

Účastník vypracuje, potvrdí a předá v rámci plnění zakázky dokument potvrzující, že dokončil práce, že dodávka je dokončena, funkční a způsobilá pro zajištění evidence aktiv a správy ISMS pro provoz služeb elektronického zdravotnictví včetně odvětvových referenčních registrů elektronického zdravotnictví, Národního zdravotnického informačního systému (NZIS), Hygienických registrů a dalších provozních systémů. Účastník rovněž provede testování předmětu dodávky a vypracuje, potvrdí a předá v rámci plnění zakázky samostatný dokument potvrzující, že bylo provedeno úspěšné testování dodávky.

Globální pohled
Systém musí podporovat standardní proces řízení aktiv a rizik dle posloupných činností, a to v souladu s aktuální verzí vzorové metodiky pro identifikaci a hodnocení aktiv a hodnocení rizik vydanou Národním úřadem pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“).

Předmět plnění veřejné zakázky bude financován z projektu s názvem „Rozvoj rezortní infrastruktury elektronického zdravotnictví ČR“ vedeném pod registračním číslem projektu: CZ.31.2.0/0.0/0.0/22_033/0007725.

Projekt „Rozvoj rezortní infrastruktury elektronického zdravotnictví ČR“ je financován Evropskou unií z Nástroje pro oživení a odolnost prostřednictvím Národního plánu obnovy ČR.

Seznam a stručný popis podmínek

Účastník prokáže splnění profesní způsobilosti dle ust. § 77 ZZVZ předložením:
a) výpisu z obchodního rejstříku nebo jiné obdobné evidence, pokud jiný právní předpis zápis do takové evidence vyžaduje;
b) dokladu o oprávnění k podnikání – zejména dokladu prokazujícího příslušné živnostenské oprávnění vztahující se k předmětu veřejné zakázky, tedy Výroba, obchod a služby neuvedené v přílohách 1 až 3 živnostenského zákona. Obor činnosti: Poskytování software, poradenství v oblasti informačních technologií, zpracování dat, hostingové a související činnosti a webové portály či obdobné činnosti související s předmětem plnění

Seznam a stručný popis výběrových kritérií

Splnění technické kvalifikace prokazuje účastník prokázáním splnění níže uvedených kritérií technické kvalifikace. Zadavatel může považovat technickou kvalifikaci za neprokázanou, pokud prokáže, že účastník má protichůdné zájmy, které by mohly negativně ovlivnit plnění veřejné zakázky.

Technickou kvalifikaci dle § 79 odst. 2 písm. b) ZZVZ prokáže účastník, který předloží seznam dodávek, které svým předmětem odpovídají předmětu této veřejné zakázky, poskytnutých účastníkem za poslední 3 roky před zahájením zadávacího řízení včetně uvedení ceny, doby jejich poskytnutí a identifikace objednatele.

Účastník předloží seznam dodávek ve formě čestného prohlášení podepsaného osobou oprávněnou účastníka zastupovat. V souladu s § 79 odst. 3 ZZVZ platí, že významná zakázka je realizována v posledních 3 letech, byla-li v tomto období dokončena. Z dokumentů musí být patrné splnění níže vymezené úrovně kvalifikačního předpokladu.

Účastník v seznamu uvede alespoň 2 zakázky obdobného charakteru jako je předmět plnění této veřejné zakázky, které poskytl v posledních 3 letech před zahájením zadávacího řízení o minimální hodnotě 1.000.000,00 Kč bez DPH.

Minimálně v 1 z těchto zakázek poskytoval současně technickou podporu a školení v posledních 3 letech před zahájením zadávacího řízení.

Účastník v nabídce předloží platný certifikát ISO/IEC 27001 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací dle § 79 odst. 2 písm. l) ZZVZ, který bude prokazovat zavedení příslušných systému v organizaci účastníka, a to pro dodávky i služby, které jsou předmětem plnění veřejné zakázky. Smyslem požadavku zadavatele je plné zabezpečení důvěrnosti, integrity a dostupnosti informací. Základním cílem zadavatele je chránit svá informační aktiva, aby se informace nedostaly do nesprávných rukou nebo aby nedošlo k jejich ztrátě. Požadovaný certifikát musí být platný po celou dobu plnění předmětu veřejné zakázky účastníkem. V případě, že dané plnění bude plněno prostřednictvím poddodavatele, musí požadovaný doklad poddodavatel předložit také.

Dodávkou obdobného charakteru a rozsahu odpovídající předmětu plnění veřejné zakázky se rozumí taková dodávka, jejíž předmět spočíval v poskytnutí plnění, a to v rozsahu obdobném dle článku 2. 1 zadávací dokumentace a dle Přílohy č. 3 Smlouvy o dílo.

Přesné informace o lhůtě (lhůtách) pro přezkumné řízení

Podmínkou pro podání návrhu k ÚOHS je podání námitek k Zadavateli, které je nutné doručit do 15 dnů ode dne, kdy se stěžovatel dozvěděl o domnělém porušení zákona Zadavatelem, nejpozději však do uzavření smlouvy nebo do chvíle, kdy se soutěž o návrh považuje po výběru návrhu za ukončenou.

Námitky proti úkonům oznamovaným v dokumentech, které je Zadavatel povinen podle zákona uveřejnit či odeslat stěžovateli, musí být doručeny Zadavateli do 15 dnů od jejich uveřejnění či doručení stěžovateli.
Pokud je v zadávacím řízení stanovena lhůta pro podání žádostí o účast, musí být námitky proti podmínkám vztahujícím se ke kvalifikaci dodavatele doručeny Zadavateli nejpozději do skončení této lhůty.
Pokud je v zadávacím řízení stanovena lhůta pro podání nabídek, musí být námitky proti zadávacím podmínkám doručeny Zadavateli nejpozději do skončení této lhůty. Námitky proti obsahu výzvy k podání nabídek v dynamickém nákupním systému nebo při zadávání veřejné zakázky na základě rámcové dohody musí být zadavateli doručeny nejpozději do konce lhůty pro podání nabídek. V soutěži o návrh musí být námitky proti soutěžním podmínkám doručeny nejpozději do konce lhůty pro podání návrhů. Zadavatel může v zadávací dokumentaci nebo soutěžních podmínkách stanovit, že námitky podle § 242 odst. 3 nebo 4 zákona lze podat nejpozději 72 hodin před skončením lhůt podle § 242 odst. 3 nebo 4 zákona.

Námitky proti dobrovolnému oznámení o záměru uzavřít smlouvu podle § 212 odst. 2 zákona musí být doručeny Zadavateli do 30 dnů od uveřejnění tohoto oznámení.

Zadavatel je povinen námitky vyřídit do 15 dnů. Návrh je nutné doručit ÚOHS i Zadavateli do 10 dnů ode dne, v němž stěžovatel obdržel rozhodnutí, kterým Zadavatel námitky odmítnul nebo do 25 dnů od odeslání námitek, pokud Zadavatel o námitkách nerozhodl.

Po uzavření smlouvy na veřejnou zakázku či rámcové dohody lze podat pouze návrh na uložení zákazu plnění smlouvy, a to i bez předchozího podání námitek. Návrh na uložení zákazu plnění smlouvy doručí navrhovatel ÚOHS a ve stejnopisu Zadavateli do 30 dnů ode dne, kdy Zadavatel uveřejnil oznámení o uzavření smlouvy způsobem podle § 212 odst. 2 zákona s uvedením důvodu pro zadání veřejné zakázky bez uveřejnění oznámení o zahájení zadávacího řízení, předběžného oznámení nebo výzvy k podání nabídek ve zjednodušeném podlimitním řízení, nejpozději však do 6 měsíců od uzavření této smlouvy. Návrh na uložení zákazu plnění smlouvy podle § 254 odstavce 1 písm. d) zákona doručí navrhovatel ÚOHS a ve stejnopisu Zadavateli do 30 dnů ode dne, kdy Zadavatel uveřejnil oznámení o uzavření smlouvy na základě rámcové dohody podle § 137 zákona nebo oznámení o uzavření smlouvy v dynamickém nákupním systému podle § 142 zákona, nejpozději však do 6 měsíců od uzavření této smlouvy.

Ve lhůtě pro doručení návrhu je navrhovatel povinen složit na účet ÚOHS kauci ve výši 1 % z nabídkové ceny navrhovatele za celou dobu plnění veřejné zakázky nebo za dobu prvních čtyř let plnění v případě smluv na dobu neurčitou, nejméně však ve výši 50 000 Kč, nejvýše ve výši 10 000 000 Kč. V případě, že navrhovatel nemůže stanovit celkovou nabídkovou cenu, je povinen složit kauci ve výši 100 000 Kč. V případě návrhu na uložení zákazu plnění smlouvy je navrhovatel povinen složit kauci ve výši 200 000 Kč. Jde-li o řízení o přezkoumání postupu pro zadávání koncesí, je navrhovatel povinen ve lhůtě pro doručení návrhu složit na účet ÚOHS kauci ve výši 1 % z předpokládané hodnoty koncese uveřejněné ve Věstníku veřejných zakázek nebo na profilu Zadavatele, nejméně však ve výši 50 000 Kč, nejvýše ve výši 10 000 000 Kč. V případě, že Zadavatel neuveřejní ve Věstníku veřejných zakázek nebo na profilu Zadavatele předpokládanou hodnotu koncese, je navrhovatel povinen složit kauci ve výši 100 000 Kč. V případě návrhu na uložení zákazu plnění koncesní smlouvy je navrhovatel povinen složit kauci ve výši 200 000 Kč.