Ogłoszenie o wyniku postępowania
Usługi
Przygotowanie i wdrożenie dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) dla Urzędu Miejskiego Gminy Rawicz oraz jednostek podległych.

SEKCJA I - ZAMAWIAJĄCY

1.1.) Rola zamawiającego

1.2.) Nazwa zamawiającego: GMINA RAWICZ

1.4) Krajowy Numer Identyfikacyjny: REGON 411050729

1.5) Adres zamawiającego

1.5.1.) Ulica: ul. Marszałka Józefa Piłsudskiego 21

1.5.2.) Miejscowość: Rawicz

1.5.3.) Kod pocztowy: 63-900

1.5.4.) Województwo: wielkopolskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL417 - Leszczyński

1.5.9.) Adres poczty elektronicznej: przetargi@rawicz.eu

1.5.10.) Adres strony internetowej zamawiającego: bip.rawicz.pl

1.6.) Adres strony internetowej prowadzonego postępowania:

1.7.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - jednostka samorządu terytorialnego

1.8.) Przedmiot działalności zamawiającego: Ogólne usługi publiczne

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Ogłoszenie dotyczy:

Zamówienia publicznego

2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie

2.3.) Nazwa zamówienia albo umowy ramowej:

2.4.) Identyfikator postępowania: ocds-148610-0ecff763-7f5a-457a-b2f5-f523c5636bc1

2.5.) Numer ogłoszenia: 2025/BZP 00441941

2.6.) Wersja ogłoszenia: 01

2.7.) Data ogłoszenia: 2025-09-25

2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Tak

2.9.) Numer planu postępowań w BZP: 2025/BZP 00044565/07/P

2.10.) Identyfikator pozycji planu postępowań:

1.3.9 Przygotowanie i wdrożenie dokumentacji (SZBI) dla Urzędu Miejskiego Gminy Rawicz oraz jednostek podległych w ramach zadania „Wzmocnienie systemów cyberbezpieczeństwa w Gminie Rawicz”

2.11.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Tak

2.12.) Nazwa projektu lub programu:

2.13.) Zamówienie/umowa ramowa było poprzedzone ogłoszeniem o zamówieniu/ogłoszeniem o zamiarze zawarcia umowy: Tak

2.14.) Numer ogłoszenia: 2025/BZP 00365566

SEKCJA III – TRYB UDZIELENIA ZAMÓWIENIA LUB ZAWARCIA UMOWY RAMOWEJ

3.1.) Tryb udzielenia zamówienia wraz z podstawą prawną Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 2 ustawy

SEKCJA IV – PRZEDMIOT ZAMÓWIENIA

4.1.) Numer referencyjny: ON.2710.14.2025

4.2.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie

4.4.) Rodzaj zamówienia: Usługi

4.5.1.) Krótki opis przedmiotu zamówienia

Przedmiotem zamówienia jest zakup i dostawa sprzętu informatycznego i oprogramowania w ramach zadania „Wzmocnienie systemów cyberbezpieczeństwa w Gminie Rawicz” w ramach projektu Cyberbezpieczny Samorząd zgodnie z zakresem i zapisami wynikającymi z niniejszej SWZ wraz z załącznikami. Szczegółowy opis realizowanych w ramach zamówienia czynności związanych z wykonaniem analizy dokumentacji związanej z bezpieczeństwem informacji obowiązującej u Zamawiającego, która pozwoli na określenie potrzeb związanych z koniecznością dostosowania dokumentacji (punkt numer 1):
1. W ramach wykonywanych prac Wykonawca przeprowadzi kompleksową weryfikację dokumentacji posiadanej przez Zamawiającego w celu stwierdzenia zasadności pozostawienia wybranych elementów dokumentacji i wykonania ich aktualizacji.
2. W ramach wykonanej weryfikacji Wykonawca sporządzi raport dokumentujący rezultaty wykonanej analizy, który będzie zawierał porównanie obecnie posiadanej dokumentacji, zasobów ludzkich procesów i systemów (IT/OT) przez Zamawiającego z oczekiwaniami sformułowanymi w ramach zamówienia.
3. Wykonawca w ramach realizacji procesu przeprowadzi kompleksową analizę aktywów posiadanych przez Zamawiającego, które przedstawi do zatwierdzenia Zamawiającemu w raporcie. Aktywa staną się podstawą opracowywania dokumentacji systemu zarządzania bezpieczeństwem informacji.
4. Wykonawca zobowiązany jest do przygotowania pełnego systemu szacowania ryzyka związanego z bezpieczeństwem informacji, zgodnego z wymaganiami normy ISO/IEC 27001:2022 oraz – opcjonalnie – z wytycznymi ISO/IEC 27005:2022. W szczególności wykonawca powinien:
Opracować i wdrożyć metodykę szacowania ryzyka, zawierającą:
- opis etapu identyfikacji, analizy i oceny ryzyka adekwatny do specyfiki urzędu,
- zdefiniowane kryteria wpływu, prawdopodobieństwa i poziomu ryzyka,
- opis skali ocen i sposobu kwalifikowania ryzyk (akceptowalne / nieakceptowalne),
- zgodność i spójność podejścia w całej organizacji.
Przygotować komplet formularzy i narzędzi, w tym:
- arkusze oceny ryzyka,
- szablony rejestrów ryzyk,
- wzór raportu z oceny ryzyka,
- instrukcję dla właścicieli ryzyk.
Przeprowadzić nadzorowaną ocenę ryzyka, obejmującą:
- wsparcie w identyfikacji zasobów i zagrożeń,
- nadzorowanie analizy ryzyka przeprowadzanej przez wyznaczone osoby (z udziałem Zamawiającego),
- pomoc w dokumentowaniu wyników i zatwierdzeniu oceny ryzyka.
Przygotować harmonogramy i warunki ponownych ocen ryzyka, w tym:
- określenie częstotliwości ocen (np. corocznie lub po zmianach),
- wskazanie sytuacji wyzwalających (np. zmiany systemowe, incydenty, nowe usługi).
Wskazać osoby odpowiedzialne za proces, w tym:
- pełnomocnika SZBI,
- właścicieli ryzyk,
- zapewnienie jasnych wytycznych co do ich ról i odpowiedzialności.
Stworzyć rejestr ocen ryzyka, zawierający:
- identyfikatory aktywów i zagrożeń,
- daty ocen i osób przeprowadzających,
- poziomy ryzyka i decyzje (zaakceptowano / zredukowano / uniknięto),
- historię działań wynikających z ryzyka,
- status aktualności i przeglądów.
Wskazać i opisać środki ochronne wynikające z oceny ryzyka, w tym:
- działania techniczne (np. szyfrowanie, backupy),
- działania organizacyjne (np. aktualizacja procedur, zmiana uprawnień),
- formułowanie planu postępowania z ryzykiem (z klauzuli 6.1.3),
- ustalenie środków ochronnych we współpracy z Zamawiającym.

Szczegółowy opis realizowanych w ramach zamówienia czynności związanych z przedstawieniem Zamawiającemu raportu dokumentującego rezultaty wykonanej analizy (punkt numer 2):
1. Wykonawca opracuje raport zgodnie z wymaganiami określonymi w ramach punktu 1 niniejszego zamówienia, który będzie miał formę pisemną oraz odwoływał się do wybranych punktów norm.
2. Raport zostanie omówiony w siedzibie Zamawiającego, przy czym przewiduje się jedynie możliwość zorganizowania spotkania stacjonarnego, w którym ze strony Wykonawcy wezmą udział osoby wskazane w wykazie osób stanowiącym załącznik do zamówienia.
3. Wykonawca jest zobowiązany do udokumentowania spotkania oraz zgłaszanych uwag Zamawiającego w formie załącznika do raportu, a następnie wykorzystania w ramach opracowywania dokumentacji systemu zarządzania bezpieczeństwem informacji.

Szczegółowy opis realizowanych w ramach zamówienia czynności związanych z wdrożeniem dokumentacji systemu zarządzania bezpieczeństwem informacji (punkt numer 3):
1. W ramach wykonywanych prac Wykonawca zapewni zgodność dokumentacji z poniższymi wymaganiami:
a. rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych;
b. ustawa z dnia z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa wraz z nowelizacjami ustawy, które zostaną dokonane w czasie realizacji zamówienia;
c. rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
d. wymagania norm ISO 27001, a w szczególności PN-EN ISO/IEC 27001, PN-ISO/IEC 27002, PN-ISO-27005 i w oparciu o główne założenia norm ISO 31000 w zakresie zarządzania ryzykiem oraz PN-EN ISO 22301 w zakresie ciągłości działania;
e. wymagania regulaminu konkursu grantowego oraz umowy o powierzenie grantu zawartej w ramach projektu „Cyberbezpieczny Samorząd”.

4.5.3.) Główny kod CPV: 72222000-7 - Usługi w zakresie systemów informacji lub strategicznej analizy technologicznej oraz usługi w zakresie planowania

SEKCJA V ZAKOŃCZENIE POSTĘPOWANIA

5.1.) Postępowanie zakończyło się zawarciem umowy albo unieważnieniem postępowania: Postępowanie/cześć postępowania zakończyła się zawarciem umowy

SEKCJA VI OFERTY

6.1.) Liczba otrzymanych ofert lub wniosków: 6

6.1.3.) Liczba otrzymanych od MŚP: 6

6.1.4.) Liczba ofert wykonawców z siedzibą w państwach EOG innych niż państwo zamawiającego: 0

6.1.5.) Liczba ofert wykonawców z siedzibą w państwie spoza EOG: 0

6.1.6.) Liczba ofert odrzuconych, w tym liczba ofert zawierających rażąco niską cenę lub koszt: 0

6.1.7.) Liczba ofert zawierających rażąco niską cenę lub koszt: 0

6.2.) Cena lub koszt oferty z najniższą ceną lub kosztem: 93480 PLN

6.3.) Cena lub koszt oferty z najwyższą ceną lub kosztem: 553500 PLN

6.4.) Cena lub koszt oferty wykonawcy, któremu udzielono zamówienia: 93480 PLN

6.5.) Do wyboru najkorzystniejszej oferty zastosowano aukcję elektroniczną: Nie

6.6.) Oferta wybranego wykonawcy jest ofertą wariantową: Nie

SEKCJA VII WYKONAWCA, KTÓREMU UDZIELONO ZAMÓWIENIA

7.1.) Czy zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie zamówienia: Nie

7.3.) Dane (firmy) wykonawcy, któremu udzielono zamówienia:

7.3.1) Nazwa (firma) wykonawcy, któremu udzielono zamówienia: FIB.CODE S. z o.o.

7.3.2) Krajowy Numer Identyfikacyjny: 6372208421

7.3.3) Ulica: RYNEK 29

7.3.4) Miejscowość: OLKUSZ

7.3.5) Kod pocztowy: 32-300

7.3.6.) Województwo: małopolskie

7.3.7.) Kraj: Polska

7.4.) Czy wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcom?: Nie

SEKCJA VIII UMOWA

8.1.) Data zawarcia umowy: 2025-09-25

8.2.) Wartość umowy/umowy ramowej: 93480 PLN

8.3.) Okres realizacji zamówienia albo umowy ramowej: 4 miesiące