Ogłoszenie o wyniku postępowania
Usługi
Świadczenie usług audytowych na rzecz Starostwa Powiatowego w Dzierżoniowie oraz powiatowych jednostek organizacyjnych

SEKCJA I - ZAMAWIAJĄCY

1.1.) Rola zamawiającego

1.2.) Nazwa zamawiającego: Powiat Dzierżoniowski

1.4) Krajowy Numer Identyfikacyjny: REGON 890717817

1.5) Adres zamawiającego

1.5.1.) Ulica: Rynek 27

1.5.2.) Miejscowość: Dzierżoniów

1.5.3.) Kod pocztowy: 58-200

1.5.4.) Województwo: dolnośląskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL517 - Wałbrzyski

1.5.9.) Adres poczty elektronicznej: starostwo@pow.dzierzoniow.pl

1.5.10.) Adres strony internetowej zamawiającego: https://pow.dzierzoniow.pl/

1.6.) Adres strony internetowej prowadzonego postępowania:

1.7.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - jednostka samorządu terytorialnego

1.8.) Przedmiot działalności zamawiającego: Ogólne usługi publiczne

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Ogłoszenie dotyczy:

Zamówienia publicznego

2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie

2.3.) Nazwa zamówienia albo umowy ramowej:

2.4.) Identyfikator postępowania: ocds-148610-bf9f24b2-18b8-49e5-98a9-c34bcb2e61dd

2.5.) Numer ogłoszenia: 2025/BZP 00426753

2.6.) Wersja ogłoszenia: 01

2.7.) Data ogłoszenia: 2025-09-17

2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Tak

2.9.) Numer planu postępowań w BZP: 2025/BZP 00034487/08/P

2.10.) Identyfikator pozycji planu postępowań:

1.3.2 Przeprowadzenie audytów systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami KRI w Starostwie Powiatowym i jednostkach podległych

2.11.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Tak

2.12.) Nazwa projektu lub programu:

2.13.) Zamówienie/umowa ramowa było poprzedzone ogłoszeniem o zamówieniu/ogłoszeniem o zamiarze zawarcia umowy: Tak

2.14.) Numer ogłoszenia: 2025/BZP 00331711

SEKCJA III – TRYB UDZIELENIA ZAMÓWIENIA LUB ZAWARCIA UMOWY RAMOWEJ

3.1.) Tryb udzielenia zamówienia wraz z podstawą prawną Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy

SEKCJA IV – PRZEDMIOT ZAMÓWIENIA

4.1.) Numer referencyjny: OR.272.24.2025

4.2.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Tak

4.3.1) Wartość zamówienia stanowiącego przedmiot tego postępowania (bez VAT): 118166,67 PLN

4.4.) Rodzaj zamówienia: Usługi

4.5.1.) Krótki opis przedmiotu zamówienia

1. Przedmiotem zamówienia jest świadczenie usług audytowych na rzecz Starostwa Powiatowego w Dzierżoniowie oraz powiatowych jednostek organizacyjnych (łącznie 17 organizacji).
2. Przez powiatowe jednostki organizacyjne, o których mowa w ust. 1, rozumieć należy:
1) Powiatowy Urząd Pracy w Dzierżoniowie,
2) Zarząd Dróg Powiatowych w Dzierżoniowie,
3) Zespół Szkół Nr 1 im. prof. Wilhelma Rotkiewicza w Dzierżoniowie,
4) Zespół Szkół Nr 2 im. prof. Tadeusza Kotarbińskiego w Dzierżoniowie,
5) Zespół Szkół Nr 3 im. Kombatantów Rzeczypospolitej Polskiej w Dzierżoniowie,
6) I Liceum Ogólnokształcące im. Jędrzeja Śniadeckiego w Dzierżoniowie,
7) II Liceum Ogólnokształcące im. Jana Pawła II w Dzierżoniowie,
8) Liceum Ogólnokształcące z Oddziałami Dwujęzycznymi im. Bolesława Chrobrego w Bielawie,
9) Powiatowe Centrum Poradnictwa Psychologiczno-Pedagogicznego i Doradztwa Edukacyjnego w Dzierżoniowie,
10) Powiatowe Centrum Opieki i Wychowania w Pieszycach,
11) Powiatowe Centrum Pomocy Rodzinie i Ochrony Zdrowia w Dzierżoniowie,
12) Powiatowy Ośrodek Wsparcia w Dzierżoniowie,
13) Dom Pomocy Społecznej w Bielawie,
14) Zespół Szkół i Placówek Kształcenia Zawodowego w Bielawie,
15) Specjalny Ośrodek Szkolno-Wychowawczy w Dzierżoniowie,
16) Specjalny Ośrodek Szkolno-Wychowawczy im. ks. Jana Twardowskiego w Piławie Górnej.
3. Wykonawca będzie odpowiadać za przeprowadzenie audytu bezpieczeństwa informacji w Starostwie Powiatowym w Dzierżoniowie i powiatowych jednostkach organizacyjnych, wskazanych w ust. 2, zgodnie z Regulaminem Konkursu Grantowego, o którym mowa w rozdziale 3 ust. 4 SWZ – w tym zgodnie z przepisami rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. poz. 773); audyt musi obejmować co najmniej weryfikację zgodności z kryteriami wskazanymi w § 19 ust. 2 ww. rozporządzenia - zwanego dalej: „KRI” (wraz z testami podatności, o których mowa w § 19 ust. 2 pkt 12 lit. f KRI; Zamawiający wyjaśnia, że ww. testy podatności powinny być przeprowadzone z wykorzystaniem dedykowanego oprogramowania – np. OpenVas lub równoważnego, tj. skanera podatności, które zostały zidentyfikowane i aktualnie mogą być wykorzystane przez atakujących; skaner podatności musi umożliwiać automatyzowaną ocenę podatności– vulnerability assessment; w ramach audytów Wykonawca przeprowadzi skanowanie z uwierzytelnieniem i bez uwierzytelnienia, tzn. w celu weryfikacji wewnętrznych konfiguracji hostów, podatności w oprogramowaniach oraz w celu zidentyfikowania hostów w sieci oraz podatności usług sieciowych).
4. Za przeprowadzenie audytu w danej organizacji rozumieć należy każdorazowo dostarczenie raportu z audytu (w wersji .pdf podpisanej co najmniej przez audytora wiodącego). Raport musi odnosić się do wszystkich audytowanych obszarów.
5. Termin przeprowadzenia audytów w Starostwie Powiatowym w Dzierżoniowie oraz w powiatowych jednostkach organizacyjnych – do 3 miesięcy od dnia zawarcia umowy.
6. W ramach audytów Wykonawca we wszystkich jednostkach objętych zamówieniem (w tym w Starostwie Powiatowym w Dzierżoniowie) przeprowadzi testy socjotechniczne w celu zbadania podatności pracowników na wybrane ataki: phishing, vishing/spoofing, qrishing lub ataki typu BEC (business e-mail compromise) lub piggybacking/tailgating; Zamawiający uzna za wystarczające, jeżeli Wykonawca w danej jednostce przeprowadzi i udokumentuje raportem wybrany rodzaj testu socjotechnicznego. Efektem testów powinno być zwiększenie świadomości zagrożeń personelu i odpowiedniego reagowania w przypadku występowania incydentów. Raporty podlegają niezwłocznemu przekazaniu kierownikom audytowanych organizacji, co należy udokumentować (potwierdzenie przekazania raportu wraz z jego kopią należy przekazać Zamawiającemu najpóźniej wraz z fakturą VAT za realizację usług).
7. Audyty będą obejmować wewnętrzne polityki i procedury bezpieczeństwa informacji i powinny ułatwić zidentyfikowanie słabych obszarów w organizacjach, które następnie będzie można systematycznie zabezpieczać. Audytor, jeżeli uzna to za konieczne, może zaproponować rozwiązania polegające m.in. na aktualizacji stosowanych w organizacjach polityk lub procedur, w tym zaproponować ich wzory (projekty). Audyty powinny odnosić się również do stopnia realizacji zaleceń z poprzedniego audytu (raport z poprzedniego audytu zostanie udostępniony Wykonawcy na jego żądanie).
8. Audyty muszą być przeprowadzone stacjonarnie – w siedzibach audytowanych organizacji. Audyty zostaną zakończone raportem dokumentującym wszystkie audytowane obszary, w tym ich oceny i wydane przez audytora zalecenia.
9. Zamawiający nie ponosi dodatkowych kosztów z tytułu wyżywienia, noclegów oraz kosztów dojazdu kadry realizującej zamówienie.
10. Wykonawca zobowiązany jest do stosowania przepisów BHP zgodnie z obowiązującym prawem.
11. Wykonawca jest zobowiązany do przekazania Zamawiającemu po zakończeniu audytów faktury/rachunku za wykonaną usługę.
12. Wykonawca jest obowiązany do ścisłej współpracy z Zamawiającym w ramach realizacji zamówienia, w tym do natychmiastowego informowania Zamawiającego o zaistniałych problemach i trudnościach oraz obiektywnych ograniczeniach, występujących przy realizacji umowy.
13. Dokumentacja sporządzana na potrzeby przeprowadzenia usług objętych zamówieniem dotyczy wyłącznie uczestników objętych audytem i nie może obejmować danych osób trzecich. W celu realizacji ww. usług zostanie zawarta umowa podpowierzenia przetwarzania danych osobowych pomiędzy Zamawiającym a Wykonawcą. Wzór umowy podpowierzenia przetwarzania danych stanowi załącznik nr 2 do SWZ. Wykonawca, z którym zostanie zawarta umowa o udzielenie zamówienia na realizację usług audytowych, zobowiązany będzie do upoważnienia odpowiednio swojego personelu do przetwarzania danych pracowników powiatowych jednostek organizacyjnych i Starostwa – tj. osób uczestniczących w czynnościach audytowych – zgodnie z wzorem upoważnienia, który jest udostępniony na stronie internetowej: https://www.gov.pl/web/cppc/cyberbezpieczny-samorzad. Wzór odwołania upoważnienia będzie realizowany zgodnie z wzorem odwołania upoważnienia zamieszczonym na ww. stronie internetowej.
14. Dokumenty i materiały sporządzane w wyniku realizacji usług objętych zamówieniem muszą być sporządzane w języku polskim (jakiekolwiek odstępstwa od tej zasady są możliwe wyłącznie za pisemną zgodą Zamawiającego).
15. Rozliczenia za realizację usług będą dokonywane na podstawie prawidłowo wystawionej faktury VAT (faktura będzie wystawiona po wykonaniu całego cyklu audytów). Wykonawca obowiązany jest współdziałać z Zamawiającym w celu zapewnienia wystawiania faktur VAT spójnych z wnioskiem o dofinansowanie zamówienia w ramach Grantu „Cyberbezpieczny Samorząd”.

4.5.3.) Główny kod CPV: 72150000-1 - Usługi doradztwa w zakresie audytu komputerowego oraz sprzętu komputerowego

4.5.4.) Dodatkowy kod CPV:

72240000-9 - Usługi analizy systemu i programowania

72254100-1 - Usługi w zakresie testowania systemu

72266000-7 - Usługi doradcze w zakresie oprogramowania

72810000-1 - Usługi audytu komputerowego

72246000-1 - Usługi doradcze w zakresie systemów

79417000-0 - Usługi doradcze w zakresie bezpieczeństwa

SEKCJA V ZAKOŃCZENIE POSTĘPOWANIA

5.1.) Postępowanie zakończyło się zawarciem umowy albo unieważnieniem postępowania: Postępowanie/cześć postępowania zakończyła się zawarciem umowy

SEKCJA VI OFERTY

6.1.) Liczba otrzymanych ofert lub wniosków: 3

6.1.3.) Liczba otrzymanych od MŚP: 3

6.1.4.) Liczba ofert wykonawców z siedzibą w państwach EOG innych niż państwo zamawiającego: 0

6.1.5.) Liczba ofert wykonawców z siedzibą w państwie spoza EOG: 0

6.1.6.) Liczba ofert odrzuconych, w tym liczba ofert zawierających rażąco niską cenę lub koszt: 0

6.1.7.) Liczba ofert zawierających rażąco niską cenę lub koszt: 0

6.2.) Cena lub koszt oferty z najniższą ceną lub kosztem: 56457,00 PLN

6.3.) Cena lub koszt oferty z najwyższą ceną lub kosztem: 201739,68 PLN

6.4.) Cena lub koszt oferty wykonawcy, któremu udzielono zamówienia: 56457,00 PLN

6.5.) Do wyboru najkorzystniejszej oferty zastosowano aukcję elektroniczną: Nie

6.6.) Oferta wybranego wykonawcy jest ofertą wariantową: Nie

SEKCJA VII WYKONAWCA, KTÓREMU UDZIELONO ZAMÓWIENIA

7.1.) Czy zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie zamówienia: Nie

7.2.) Wielkość przedsiębiorstwa wykonawcy: Mały przedsiębiorca

7.3.) Dane (firmy) wykonawcy, któremu udzielono zamówienia:

7.3.1) Nazwa (firma) wykonawcy, któremu udzielono zamówienia: IMNS Polska Sp. z o.o.

7.3.2) Krajowy Numer Identyfikacyjny: 8971678341

7.3.4) Miejscowość: Wrocław

7.3.6.) Województwo: dolnośląskie

7.3.7.) Kraj: Polska

7.4.) Czy wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcom?: Nie

SEKCJA VIII UMOWA

8.1.) Data zawarcia umowy: 2025-09-12

8.2.) Wartość umowy/umowy ramowej: 56457,00 PLN

8.3.) Okres realizacji zamówienia albo umowy ramowej: 110 dni