Ogłoszenie o wykonaniu umowy
Usługi
Przeprowadzenie audytu KRI oraz aktualizacja i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji dla Urzędu Miasta Świdnik i jego jednostek organizacyjnych

SEKCJA I - ZAMAWIAJĄCY

1.1.) Nazwa zamawiającego: Gmina Miejska Świdnik

1.3.) Krajowy Numer Identyfikacyjny: REGON 431019359

1.4) Adres zamawiającego

1.4.1.) Ulica: Stanisława Wyspiańskiego 27

1.4.2.) Miejscowość: Świdnik

1.4.3.) Kod pocztowy: 21-040

1.4.4.) Województwo: lubelskie

1.4.5.) Kraj: Polska

1.4.6.) Lokalizacja NUTS 3: PL814 - Lubelski

1.4.7.) Numer telefonu: 81 751 76 02

1.4.9.) Adres poczty elektronicznej: zampub@e-swidnik.pl

1.4.10.) Adres strony internetowej zamawiającego: http://umswidnik.bip.lubelskie.pl

1.5.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - jednostka samorządu terytorialnego

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Identyfikator postępowania: ocds-148610-3603f3f5-4608-432a-861f-e275e5c5aed4

2.2.) Numer ogłoszenia: 2026/BZP 00217918

2.3.) Wersja ogłoszenia: 01

2.4.) Data ogłoszenia: 2026-04-27

SEKCJA III – PODSTAWOWE INFORMACJE O POSTĘPOWANIU W WYNIKU KTÓREGO ZOSTAŁA ZAWARTA UMOWA

3.1.) Charakter zamówienia:

Zamówienie klasyczne - od 130 000 zł, ale o wartości mniejszej niż progi unijne

3.2.) Zamówienie było poprzedzone ogłoszeniem o zamówieniu albo ogłoszeniem o zamiarze zawarcia umowy w BZP lub Dz. Urz. UE: Tak

3.2.1.) Numer ogłoszenia w BZP lub Dz. Urz. UE: 2025/BZP 00304570

3.3.) Czy zamówienie dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej:

Tak

3.4.) Nazwa projektu lub programu:

Przedmiot zamówienia jest finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego (EFRR) w ramach Funduszy Europejskich na Rozwój Cyfrowy 2021-2027, Priorytet II Zaawansowane usługi cyfrowe, Działanie 2.2. Wzmocnienie krajowego systemu cyberbezpieczeństwa

3.5.) Tryb udzielenia zamówienia wraz z podstawą prawną:

Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy

3.6.) Rodzaj zamówienia:

Usługi

3.7.) Nazwa zamówienia:

Przeprowadzenie audytu KRI oraz aktualizacja i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji dla Urzędu Miasta Świdnik i jego jednostek organizacyjnych

3.8.) Krótki opis przedmiotu zamówienia:

1. Zamówienie będzie realizowane na rzecz Urzędu Miasta Świdnik oraz następujących jednostek organizacyjnych:
1) Miejskie Centrum Usług Socjalnych im. Jana Pawła II w Świdniku.
2) Zespół Przedszkoli nr 1 w Świdniku.
3) Zespół Przedszkoli nr 2 w Świdniku.
4) Przedszkole Nr 7 im. Marii Kownackiej w Świdniku.
5) Zespół Szkół Ogólnokształcących Nr 1 Świdnik.
6) Zespół Szkolno-Przedszkolny nr 1 w Świdniku.
7) Szkoła Podstawowa Nr 3 im. Tadeusza Kościuszki.
8) Szkoła Podstawowa nr 5 im. Janusza Kusocińskiego w Świdniku.
9) Zespół Żłobków Miejskich w Świdniku.
10) Straż Miejska w Świdniku.
2. Wykonawca jest zobowiązany do przeprowadzenia w ramach realizacji projektu pn. „Cyberbezpieczny Samorząd” współfinansowanego w ramach środków Unii Europejskiej i budżetu państwa w ramach programu Fundusze Europejskie na Rozwój Cyfrowy 2021-2027, Priorytetu II: Zaawansowane usługi cyfrowe, Działania 2.2. - Wzmocnienie krajowego systemu cyberbezpieczeństwa audytu systemu zarządzania bezpieczeństwem informacji w związku z zapisami w § 19 ust. 2 pkt 14 Rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2024 poz. 773), zwanego dalej „audytem KRI” dla Zamawiającego.
3. Wykonawca jest odpowiedzialny za przeprowadzenie aktualizacji i wdrożenie kompletnego Systemu Zarządzania Bezpieczeństwem Informacji (dalej zwany: SZBI) dla Zamawiającego. Zamawiający zastrzega, że w przypadku jeżeli w poszczególnych jednostkach organizacyjnych System Zarządzania Bezpieczeństwem Informacji nie został opracowany, wówczas Wykonawca jest zobowiązany do opracowania i wdrożenia całego SZBI od podstaw zamiast jego aktualizacji.
4. Zakres audytu systemu bezpieczeństwa informacji obejmie zgodność z kryteriami zawartymi w § 19 ust. 2 ww. rozporządzenia KRI oraz zgodność z wymaganiami normy PN-EN ISO/IEC 27001:2023 dla Zamawiającego.
5. Raport z audytu KRI zostanie podpisany przez audytora dokonującego audyt KRI przy wykorzystaniu kwalifikowalnego podpisu elektronicznego i dostarczony do Zamawiającego w formie elektronicznej.
6. Audyt KRI oraz aktualizacja i wdrożenie SZBI dla Zamawiającego muszą zostać przeprowadzone przez:
1) audytora zewnętrznego posiadającego przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. 2018 poz. 1999) lub;
2) audytora wewnętrznego posiadającego przynajmniej jeden z certyfikatów określonych w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. 2018 poz. 1999) lub będącego audytorem zewnętrznym systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001:2023.
7. Wykonawca w trakcie realizacji zamówienia jest zobowiązany do zapoznania się z częściowo wypełnioną ankietą dojrzałości cyberbezpieczeństwa w zakresie wskazanym przez Zamawiającego oraz uwzględnić w ramach aktualizacji i wdrożenia SZBI planowany w ramach realizacji projektu zakres usprawnień SZBI.
8. Wykonawca po wykonaniu ostatniego audytu KRI jest zobowiązany do uzupełnienia ankiety dojrzałości cyberbezpieczeństwa. Ankietę dojrzałości cyberbezpieczeństwa należy wypełnić w oparciu o aktualny na dzień wypełnienia ankiety wzór ankiety opublikowany na stronie: https://www.gov.pl/web/cppc/cyberbezpieczny-samorzad (załącznik nr 6 - Ankieta Dojrzałości Cyberbezpieczeństwa w Jednostce Samorządu Terytorialnego i Jednostkach Podległych).
9. Wypełnienie ankiety dojrzałości cyberbezpieczeństwa polegać będzie wypełnieniu przez Wykonawcę kolumn H, I z arkusza „Ankieta” dla Zamawiającego na podstawie zebranych przez Wykonawcę danych. Zamawiający nie dopuszcza pozostawienia pustych pól dla określonych powyżej kolumn, w przypadku jeżeli w polu opisowym nie przewiduje się zmian wówczas należy zamieścić odpowiednią informację. Ankieta dojrzałości cyberbezpieczeństwa zostanie podpisana przez audytora dokonującego audyt KRI przy wykorzystaniu kwalifikowalnego podpisu elektronicznego i dostarczona do Zamawiającego w formie elektronicznej.
10. Jednostki samorządu terytorialnego oraz jego jednostki podległe, które biorą udział w projekcie „Cyberbezpieczny Samorząd” są zobowiązane do przesłania do NASK raportu z audytu KRI oraz wypełnionej ankiety dojrzałości cyberbezpieczeństwa. Niezwłocznie po ich przekazaniu przez Wykonawcę dokumenty te zostaną przekazane przez Zamawiającego do Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego (NASK) za pośrednictwem platformy ePUAP. Dane z tej dokumentacji przekazane przez JST do NASK posłużą do opracowania raportu na temat stanu bezpieczeństwa systemów jednostek samorządowych. Wykonawca jest zobowiązany mieć na uwadze także powyżej wskazany cel przeprowadzenia zamówienia i jego przeznaczenie.
11. Wykonawca przy świadczeniu usług jest zobowiązany uwzględnić i zastosować wymagania Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) oraz akty wykonawcze wydane do niej. W przypadku jeżeli w okresie realizacji zamówienia zostanie przyjęta ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw bądź inne przepisy implementujące Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) w polski system prawny Wykonawca ma obowiązek uwzględnić wszystkie ich wymagania przy świadczeniu usług objętych niniejszym zamówieniem zarówno w trakcie realizacji zamówienia jak i w trakcie okresu gwarancji.
12. Wykonawca zrealizuje zamówienie w oparciu o dokumentację, którą Zamawiający dysponuje niezależnie od realizacji przedmiotu umowy i o wyjaśnienia udzielane przez Zamawiającego. W szczególności realizacja przedmiotu umowy przez Wykonawcę nie może być uwarunkowana wytwarzaniem lub uzupełnianiem dokumentów i opracowań przez Zamawiającego w związku z realizacją przedmiotu umowy, tj. Zamawiający nie może być zobowiązany do wypełniania ankiet, kwestionariuszy, sporządzania notatek itp., a informacje niezbędne Wykonawcy do wykonania przedmiotu umowy mogą być pozyskiwane wyłącznie w postaci materiałów źródłowych i wywiadu bezpośredniego.
13. Zamawiający dopuszcza prowadzenie prac związanych z: analizą dokumentacji, opracowaniem dokumentacji i polityk, opracowania raportów poza siedzibą Zamawiającego. Zamawiający nie dopuszcza prowadzenia instruktaży, konsultacji, audytów, analiz stanu istniejącego i określenie stanu faktycznego zabezpieczeń technicznych w formule zdalnej, tj. w postaci on-line lub innej poza siedzibą Zamawiającego.
14. Zamawiający nie dopuszcza aby poszczególne etapy realizacji usługi aktualizacji i wdrożenia SZBI wskazane w dalszej części dokumentu realizowane były w dniach następujących po sobie, Zamawiający zakłada co najmniej 7 dni roboczych przerw pomiędzy etapami. Wymóg dotyczy urzędu i jednostek organizacyjnych biorących udział w projekcie.
15. Zamawiający wymaga aby każdy etap (lub jego część) realizacji usługi aktualizacji i wdrożenia SZBI wskazany w dalszej części dokumentu był realizowany w siedzibie Urzędu i jego jednostkach organizacyjnych w czasie nie krótszym niż jeden dzień roboczy odrębnie dla Urzędu i jednostek organizacyjnych biorących udział w projekcie.
16. Zamawiający wymaga aby każdy audyt był realizowany w siedzibie Urzędu i jego jednostkach organizacyjnych w czasie nie krótszym niż jeden dzień roboczy odrębnie dla Urzędu i jednostek organizacyjnych biorących udział w projekcie.
17. Na wszystkie usługi Wykonawca udzieli gwarancji nie dłużej niż do dnia 31.05.2026 r. polegającej na wprowadzaniu niezbędnych zmian w dokumentacji i aktualizacji na podstawie stwierdzonych przez Zamawiającego niezgodności dokumentacji z bieżącym stanem w okresie gwarancji.
18. Szczegółowy opis przedmiotu zamówienia wraz z określeniem minimalnych wymagań został przedstawiony w Załączniku nr 1 do SWZ – Szczegółowy Opis Przedmiotu Zamówienia (SOPZ).

3.9.) Główny kod CPV: 79212000-3 - Usługi audytu

3.10.) Dodatkowy kod CPV:

79417000-0 - Usługi doradcze w zakresie bezpieczeństwa

SEKCJA IV – PODSTAWOWE INFORMACJE O ZAWARTEJ UMOWIE

4.1.) Data zawarcia umowy: 2025-09-17

4.2.) Okres realizacji zamówienia:

4.3.) Dane wykonawcy, z którym zawarto umowę:

4.3.1.) Nazwa (firma) wykonawcy, któremu udzielono zamówienia (w przypadku wykonawców ubiegających się wspólnie o udzielenie zamówienia – dotyczy pełnomocnika, o którym mowa w art. 58 ust. 2 ustawy): CBI24

4.3.2.) Krajowy Numer Identyfikacyjny: NIP 7123479156

4.3.3.) Ulica: Puławska 4D/10

4.3.4.) Miejscowość: Lublin

4.3.5.) Kod pocztowy: 20-046

4.3.6.) Województwo: lubelskie

4.3.7.) Kraj: Polska

4.4.) Wartość umowy: 141500 PLN

4.5.) Numer ogłoszenia o wyniku postępowania zamieszczonego w BZP lub numer ogłoszenia o udzieleniu zamówienia opublikowanego w Dzienniku Urzędowym Unii Europejskiej: 2025/BZP 00485653/01

SEKCJA V PRZEBIEG REALIZACJI UMOWY

5.1.) Czy umowa została wykonana: Tak

5.2.) Termin wykonania umowy: 2026-03-30

5.3.) Czy umowę wykonano w pierwotnie określonym terminie: Tak

5.4.) Informacje o zmianach umowy

5.4.1.) Liczba zmian: 0

5.5.) Łączna wartość wynagrodzenia wypłacona z tytułu zrealizowanej umowy: 141450,00 PLN

5.6.) Czy umowa została wykonana należycie: Tak

5.7.) Podczas realizacji zamówienia zamawiający kontrolował przewidziane w zawartej umowie wymagania:

w zakresie zatrudnienia na podstawie stosunku pracy, w okolicznościach, o których mowa w art. 95 ustawy