Zapytanie ofertowe
Lisewo, dnia 3 września 2025 r.
Znak sprawy: RGiI.271.5/Z.2025.MM
Zapytanie ofertowe
Nazwa przedmiotu zamówienia: Aktualizacja i Wdrożenie Systemów Zarządzania Bezpieczeństwem Informacji, przeprowadzenie audytów KRI oraz szkoleń z cyberbezpieczeństwa dla Gminy Lisewo” w ramach projektu Cyberbezpieczny Samorząd w Gminie Lisewo.
I. Nazwa i adres Zamawiającego:
Gmina Lisewo
ul. Chełmińska 2
86-230 Lisewo
NIP: 875 148 83 60.
II. Informacje ogólne:
1. Postępowanie o udzielenie zamówienia publicznego prowadzone jest z wyłączeniem przepisów ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych w oparciu o § 4 ust. 1 pkt 1 Regulaminu udzielenia zamówień publicznych o wartości mniejszej niż kwota 130 000 zł wprowadzonego Zarządzeniem Nr 19/2021 Wójta Gminy Lisewo z dnia 9 marca 2021 r. zmienionego: Zarządzeniem Nr 28/2021 Wójta Gminy Lisewo z dnia 12 kwietnia 2021 r., Zarządzeniem Nr 23/2023 Wójta Gminy Lisewo z dnia 3 kwietnia 2023 r. oraz Zarządzeniem Nr 34/2024 Wójta Gminy Lisewo z dnia 27 maja 2024 r.
2. Wybrana forma wyboru wykonawcy: zamieszczenie zapytania ofertowego na stronie internetowej zamawiającego.
3. Zamawiający zastrzega sobie prawo do zmiany treści niniejszego zapytania ofertowego do upływu terminu składania ofert. Jeżeli zmiany będą mogły mieć wpływ na treść składanych w postępowaniu ofert, Zamawiający przedłuży termin ich składania.
4. Zamawiający zastrzega sobie prawo unieważnienia niniejszego postępowania bez podania przyczyny na każdym jego etapie, w tym także pozostawienia postępowania bez wyboru ofert.
5. W sprawach nieregulowanych w niniejszym zapytaniu ofertowym i projekcie umowy mają zastosowanie przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny.
III. Opis przedmiotu zamówienia:
1. Przedmiotem zamówienia jest Aktualizacja i Wdrożenie Systemów Zarządzania Bezpieczeństwem Informacji, przeprowadzenie audytów KRI oraz szkoleń z cyberbezpieczeństwa dla Gminy Lisewo.
2. Szczegółowy Opis Przedmiotu Zamówienia stanowi Załącznik Nr 1 do niniejszego Zapytania.
3. Zestawienie ilościowe:
| Lp. | Nazwa | Ilość |
| 1. | Zakup usług aktualizacji i wdrożenia SZBI | 2 szt. |
| 2. | Zakup usług przeprowadzenia audytu zgodności KRI | 4 szt. |
| 3. | Zakup usług szkolenia pracowników z zakresu cyberbezpieczeństwa | 40 osób |
4. Zamówienie będzie realizowane na rzecz 2 instytucji funkcjonujących w Gminie Lisewo, w skład których wchodzi Jednostka Samorządu Terytorialnego w postaci urzędu oraz jednej podległe jej jednostki organizacyjne Gminy Lisewo biorące udział w projekcie „Cyberbezpieczny Samorząd w Gminie Lisewo”, tj.:
a. Urząd Gminy w Lisewie;
b. Centrum Usług Społecznych w Lisewie.
5. Wykonawca jest zobowiązany do przeprowadzenia w poszczególnych latach realizacji projektu pn. „Cyberbezpieczny Samorząd w Gminie Lisewo” współfinansowanego w ramach środków Unii Europejskiej i budżetu państwa w ramach programu Fundusze Europejskie na Rozwój Cyfrowy 2021-2027, Priorytetu II: Zaawansowane usługi cyfrowe, Działania 2.2. - Wzmocnienie krajowego systemu cyberbezpieczeństwa, tj. w roku 2025 i 2026 audytów systemu zarządzania bezpieczeństwem informacji w związku z zapisami w § 19 ust. 2 pkt 14 Rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2024 poz. 773), zwanego dalej „audytem KRI” dla Zamawiającego.
6. Audyt musi spełniać wymagania Regulaminu Konkursu Grantowego pn. “Cyberbezpieczny Samorząd” Priorytet II: Zaawansowane usługi cyfrowe Działanie 2.2. - Wzmocnienie krajowego systemu cyberbezpieczeństwa Fundusze Europejskie na Rozwój Cyfrowy 2021-2027.
7. Wykonawca jest odpowiedzialny za przeprowadzenie aktualizacji i wdrożenie kompletnego Systemu Zarządzania Bezpieczeństwem Informacji (dalej zwany: SZBI) dla Zamawiającego.
8. Zakres audytu systemu bezpieczeństwa informacji każdorazowo obejmie zgodność z kryteriami zawartymi w § 19 ust. 2 ww. rozporządzenia KRI oraz zgodność z wymaganiami normy PN-EN ISO/IEC 27001:2023 dla Zamawiającego.
9. Raport z audytu KRI zostanie każdorazowo podpisany przez audytora dokonującego audyt KRI przy wykorzystaniu kwalifikowalnego podpisu elektronicznego i dostarczony do Zamawiającego w formie elektronicznej.
10. Audyt KRI oraz aktualizacja i wdrożenie SZBI dla Zamawiającego muszą zostać przeprowadzone przez:
a. audytora zewnętrznego posiadającego przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. 2018 poz. 1999) lub;
b. audytora wewnętrznego posiadającego przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. 2018 poz. 1999) lub będącego audytorem zewnętrznym systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001:2023.
11. Wykonawca jest zobowiązany w trakcie realizacji przedmiotu zamówienia posługiwać się osobami tylko z odpowiednim doświadczeniem, tj. nie krótszym niż 2 letnie doświadczenie w obszarze świadczonej przez daną osobę usługi na rzecz Zamawiającego.
12. Wykonawca w trakcie realizacji zamówienia jest zobowiązany do zapoznania się z częściowo wypełnioną ankietą dojrzałości cyberbezpieczeństwa w zakresie wskazanym przez Zamawiającego oraz uwzględnić w ramach aktualizacji i wdrożenia SZBI planowany w ramach realizacji projektu zakres usprawnień SZBI.
13. Wykonawca po wykonaniu ostatniego audytu KRI jest zobowiązany do uzupełnienia ankiety dojrzałości cyberbezpieczeństwa. Ankietę dojrzałości cyberbezpieczeństwa należy wypełnić w oparciu o aktualny na dzień wypełnienia ankiety wzór ankiety opublikowany na stronie: https://www.gov.pl/web/cppc/cyberbezpieczny-samorzad (załącznik nr 6 - Ankieta Dojrzałości Cyberbezpieczeństwa w Jednostce Samorządu Terytorialnego i Jednostkach Podległych).
14. Wypełnienie ankiety dojrzałości cyberbezpieczeństwa polegać będzie na wypełnieniu przez Wykonawcę kolumn H, I z arkusza „Ankieta” dla Zamawiającego na podstawie zebranych przez Wykonawcę danych. Zamawiający nie dopuszcza pozostawienia pustych pól dla określonych powyżej kolumn, w przypadku jeżeli w polu opisowym nie przewiduje się zmian wówczas należy zamieścić odpowiednią informację. Ankieta dojrzałości cyberbezpieczeństwa zostanie podpisana przez audytora dokonującego audyt KRI przy wykorzystaniu kwalifikowalnego podpisu elektronicznego i dostarczona do Zamawiającego w formie elektronicznej.
15. Jednostki samorządu terytorialnego oraz jego jednostki podległe, które biorą udział w projekcie „Cyberbezpieczny Samorząd” są zobowiązane do przesłania do NASK raportu z audytu KRI oraz wypełnionej ankiety dojrzałości cyberbezpieczeństwa. Niezwłocznie po ich przekazaniu przez Wykonawcę dokumenty te zostaną przekazane przez Zamawiającego do Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego (NASK) za pośrednictwem platformy ePUAP. Dane z tej dokumentacji przekazane przez JST do NASK posłużą do opracowania raportu na temat stanu bezpieczeństwa systemów jednostek samorządowych. Wykonawca jest zobowiązany mieć na uwadze także powyżej wskazany cel przeprowadzenia zamówienia i jego przeznaczenie.
16. Wykonawca przy świadczeniu usług jest zobowiązany uwzględnić i zastosować wymagania Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) oraz akty wykonawcze wydane do niej. W przypadku jeżeli w okresie realizacji zamówienia zostanie przyjęta ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw bądź inne przepisy implementujące Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) w polski system prawny Wykonawca ma obowiązek uwzględnić wszystkie ich wymagania przy świadczeniu usług objętych niniejszym zamówieniem zarówno w trakcie realizacji zamówienia jak i w trakcie okresu gwarancji.
17. Wykonawca zrealizuje zamówienie w oparciu o dokumentację, którą Zamawiający dysponuje niezależnie od realizacji przedmiotu umowy i o wyjaśnienia udzielane przez Zamawiającego. W szczególności realizacja przedmiotu umowy przez Wykonawcę nie może być uwarunkowana wytwarzaniem lub uzupełnianiem dokumentów i opracowań przez Zamawiającego w związku z realizacją przedmiotu umowy, tj. Zamawiający nie może być zobowiązany do wypełniania ankiet, kwestionariuszy, sporządzania notatek itp., a informacje niezbędne Wykonawcy do wykonania przedmiotu umowy mogą być pozyskiwane wyłącznie w postaci materiałów źródłowych i wywiadu bezpośredniego.
18. Zamawiający dopuszcza prowadzenie prac związanych z: analizą dokumentacji, opracowaniem dokumentacji i polityk, opracowania raportów poza siedzibą Zamawiającego. Zamawiający nie dopuszcza prowadzenia instruktaży, konsultacji, audytów, analiz stanu istniejącego i określenie stanu faktycznego zabezpieczeń technicznych w formule zdalnej, tj. w postaci on-line lub innej poza siedzibą Zamawiającego.
19. Zamawiający nie dopuszcza aby poszczególne etapy realizacji usługi aktualizacji i wdrożenia SZBI wskazane w dalszej części dokumentu realizowane były w dniach następujących po sobie, Zamawiający zakłada co najmniej 7 dni roboczych przerw pomiędzy etapami. Wymóg dotyczy urzędu i jednostek organizacyjnych biorących udział w projekcie.
20. Zamawiający wymaga aby każdy etap (lub jego część) realizacji usługi aktualizacji i wdrożenia SZBI wskazany w dalszej części dokumentu był realizowany w siedzibie Urzędu i jednostkach organizacyjnych w czasie nie krótszym niż jeden dzień roboczy odrębnie dla Urzędu i jednostek organizacyjnych biorących udział w projekcie.
21. Zamawiający wymaga aby każdy audyt był realizowany w siedzibie Urzędu i jednostkach organizacyjnych w czasie nie krótszym niż jeden dzień roboczy odrębnie dla Urzędu i jednostek organizacyjnych biorących udział w projekcie.
22. Na wszystkie usługi Wykonawca udzieli gwarancji do dnia 30.06.2026 r. polegającej na wprowadzaniu niezbędnych zmian w dokumentacji i aktualizacji na podstawie stwierdzonych przez Zamawiającego niezgodności dokumentacji z bieżącym stanem w okresie gwarancji.
IV. Termin wykonania zamówienia
Termin realizacji zamówienia biegnie od dnia zawarcia umowy nie dłużej niż do dnia 31.03.2026 r., z zastrzeżeniem, że:
1) aktualizacja i wdrożenie SZBI zostanie przeprowadzona od dnia zawarcia umowy nie później niż do dnia 31.03.2026 r.
2) audyt KRI zostanie przeprowadzony od dnia zawarcia umowy:
- pierwszy audyt nie później niż do dnia 30.11.2025 r.
- drugi audyt nie później niż do dnia 31.03.2026 r.
3) przeprowadzenie szkolenia pracowników z zakresu cyberbezpieczeństwa zostaną przeprowadzone od dnia zawarcia umowy:
- pierwsza tura szkoleń nie później niż do dnia 30.11.2025 r.
- druga tura szkoleń nie później niż do dnia 31.03.2026 r.
V. Przygotowanie ofert wraz z załącznikami:
Oferty należy składać w formie pisemnej na formularzu ofertowym stanowiącym Załącznik nr 3 do niniejszego zapytania.
VI. Miejsce oraz termin składania ofert:
1. Oferty przygotowane zgodnie z wymaganiami należy składać:
1) w formie podpisanych i zabezpieczonych hasłem skanów (format DOC, PDF lub JPG) wymaganych w zapytaniu dokumentów przy użyciu poczty elektronicznej na adres Zamawiającego: mackowska@lisewo.com z tytułem wiadomości: „Oferta na Aktualizację i Wdrożenie Systemów Zarządzania Bezpieczeństwem Informacji, przeprowadzenie audytów KRI oraz szkoleń z cyberbezpieczeństwa dla Gminy Lisewo – nie otwierać przed 15.09.2025 r. godz. 10:30.”.
Hasło do otwarcia załączonych plików należy wysłać na adres: mackowska@lisewo.com do godz. 10:15 w dniu 15.09.2025 r.
2) w zamkniętych i opisanych kopertach: „Oferta na Aktualizację i Wdrożenie Systemów Zarządzania Bezpieczeństwem Informacji, przeprowadzenie audytów KRI oraz szkoleń z cyberbezpieczeństwa dla Gminy Lisewo – nie otwierać przed 15.09.2025 r. godz. 10:30.” (koperta nie powinna zawierać żadnych innych oznaczeń) - osobiście lub za pośrednictwem poczty, posłańca w siedzibie zamawiającego: Urząd Gminy w Lisewie ul. Chełmińska 2, 86-230 Lisewo.
2. Termin składania ofert upływa dnia 15 września 2025 r. o godz. 10:00.
3. Oferty przesłane, złożone lub dostarczone po tym terminie nie będą rozpatrywane i zostaną komisyjnie zniszczone bez otwierania.
4. Otwarcie ofert bez udziału Oferentów nastąpi w dniu 15 września 2025 r. o godz. 10:30.
5. Termin związania ofertą wynosi 30 dni tj. do dnia 14 października 2025 r. włącznie.
VII. Kryteria oceny ofert:
1. Jedynym kryterium wyboru prawidłowo złożonej oferty jest cena.
2. Cena ofertowa ma charakter ryczałtowy i musi uwzględniać wszystkie należne Wykonawcy elementy wynagrodzenia wynikające z tytułu realizacji przedmiotu zamówienia, w tym wszystkie wymagania niniejszego zapytania oraz obejmować wszelkie koszty bezpośrednie i pośrednie, jakie poniesie Wykonawca z tytułu prawidłowego i terminowego wykonania całości przedmiotu zamówienia, zysk oraz wszelkie wymagane przepisami podatki i opłaty.
VIII. Osoba uprawniona do porozumiewania się z Wykonawcami:
Osobami upoważnionymi do kontaktowania się z wykonawcami są:
- insp. ds. zamówień publicznych i planowania Pani Monika Maćkowska, email: mackowska@lisewo.com tel. 667 832 542,
- Informatyk Pan Michał Lewandowski, email: m.lewandowski@lisewo.com tel. 730 729 010.
IX. Ochrona danych osobowych:
Na podstawie art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 4 maja 2016 r., str. 1 oraz Dz.Urz. UE L 127 z 23 maja 2018 r., str. 2) – zwanego dalej jako RODO informujemy, że: Administratorem danych osobowych jest Wójt Gminy Lisewo. Możesz się z nim kontaktować w następujący sposób:
- listownie na adres siedziby: Urząd Gminy w Lisewie, ul. Chełmińska 2, 86 – 230 Lisewo,
- e-mailowo: urzadgminy@lisewo.com,
- telefonicznie: 56 676 86 14.
Do kontaktów w sprawie ochrony Twoich danych osobowych został także powołany inspektor ochrony danych, z którym możesz się kontaktować wysyłając e-mail na adres: iod@lisewo.com.
1. Twoje dane osobowe przetwarzane będą na podstawie:
1) art. 6 ust. 1 lit b) i c), art. 9 ust. 2 lit. g) i art. 10 RODO, w celu realizacji obowiązku prawnego ciążącego na administratorze tj. udzielenia zamówienia publicznego, jak również w celu zawarcia umowy między zamawiającym a wykonawcą, której przedmiotem jest usługa, dostawa lub robota budowlana oraz jej realizacji (też umowa o podwykonawstwo), a także udokumentowania postępowania o udzielenie zamówienia publicznego i jego archiwizacji;
2) art. 6 ust. 1 lit a) RODO na podstawie zgody. Zgoda jest wymagana, gdy uprawnienie do przetwarzania danych osobowych nie wynika wprost z przepisów prawa, a przekażesz administratorowi z własnej inicjatywy więcej danych niż jest to konieczne dla załatwienia Twojej sprawy (tzw. działanie wyraźnie potwierdzające).
2. Twoje dane osobowe możemy ujawniać, przekazywać i udostępniać wyłącznie podmiotom uprawnionym na podstawie obowiązujących przepisów prawa są nimi m.in. osoby lub podmioty, którym udostępniona zostanie dokumentacja zamówienia publicznego, właściciele platformy zakupowej, na której prowadzone będzie postępowanie o udzielenie zamówienia publicznego*, podmioty świadczące usługi bankowe, telekomunikacyjne oraz inne podmioty, gdy wystąpią z takim żądaniem oczywiście w oparciu o stosowną podstawę prawną. Pracownikom oraz współpracownikom administratora.
3. Twoje dane osobowe możemy także przekazywać podmiotom, które przetwarzają je na zlecenie administratora tzw. podmiotom przetwarzającym, są nimi m.in. podmioty świadczące usługi informatyczne i inne jednakże przekazanie Twoich danych nastąpić może tylko wtedy, gdy zapewnią one odpowiednią ochronę Twoich praw.
4. Twoje dane osobowe przetwarzane będą do czasu istnienia podstawy do ich przetwarzania, w tym również przez okres przewidziany w przepisach dotyczących przechowywania i archiwizacji dokumentacji, i tak:
1) przez okres 5 lat dla dokumentacji zamówień publicznych. Okres przechowywania liczony jest od 1 stycznia roku następnego od daty zakończenia sprawy;
2) przez okres 10 lat dla umów cywilno-prawnych wraz z dokumentacją dotyczącą ich realizacji, niezależnie od trybu w jakim zostały zawarte. Okres przechowywania liczony jest od 1 stycznia roku następnego od daty zakończenia sprawy;
3) w zakresie danych, gdzie wyraziłeś zgodę na ich przetwarzanie, do czasu cofnięcie zgody, nie dłużej jednak niż do czasu wskazanego w pkt 1.
5. W związku z przetwarzaniem danych osobowych przez administratora masz prawo do:
1) dostępu do treści danych na podstawie art. 15 RODO;
2) sprostowania lub uzupełnienia danych osobowych na podstawie art. 16 RODO;
3) usunięcia danych, na podstawie art. 17 RODO, jeżeli:
a) wycofasz zgodę na przetwarzanie danych osobowych,
b) dane osobowe przestaną być niezbędne do celów, dla których zostały zebrane lub dla których były przetwarzane,
c) dane są przetwarzane niezgodnie z prawem.
4) ograniczenia przetwarzania danych na podstawie art. 18 RODO;
5) cofnięcia zgody w dowolnym momencie. Cofnięcie zgody nie wpływa na przetwarzanie danych dokonywane przez administratora przed jej cofnięciem.
6. Podanie Twoich danych:
1) jest wymogiem ustawy na podstawie, której działa administrator związanym z udziałem w postępowaniu o udzielenie zamówienia publicznego. Jeżeli odmówisz podania Twoich danych lub podasz nieprawidłowe dane, administrator nie będzie mógł zrealizować celu do jakiego zobowiązują go przepisy prawa;
2) jest wymogiem umownym. Jeżeli nie podasz nam swoich danych osobowych nie będziemy mogli podpisać i realizować z Tobą umowy;
3) jest dobrowolne w zakresie zgody, która może być cofnięta w dowolnym momencie.
7. Przysługuje Ci także skarga do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych - Warszawa ul. Stawki 2, gdy uznasz, iż przetwarzanie Twoich danych osobowych narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.
8. Dane nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym również w formie profilowania.
9. Administrator nie przekazuje danych osobowych do państwa trzeciego lub organizacji międzynarodowych.
Zastępca Wójta Gminy Lisewo
Joanna Grabowska
