OR.271.05.2025.PG

ZAPROSZENIE DO ZAPYTANIA OFERTOWEGO 
w ramach Konkursu Grantowego „Cyberbezpieczny Samorząd”, Priorytet II: Zaawansowane usługi cyfrowe, działanie 2.2. – Wzmocnienie krajowego systemu cyberbezpieczeństwa, w ramach Funduszy Europejskich na rozwój cyfrowy 2021-2027 (FERC)
o numerze 02.02-CS.01-001/23/2088/ FERC.02.02-CS.01-001/23/2024
(zamówienie o wartości poniżej 130 000,00 zł)

I. Zamawiający:
GMINA MIASTO CHEŁMNO
Ul. Dworcowa 1, 86-200 Chełmno, NIP 8751003167

II. Tryb udzielenia zamówienia: 
1. Zamówienie nie podlega Ustawie z dnia 11 września 2019 roku Prawo zamówień publicznych (tj. Dz. U. z 2022 roku, poz. 1710 z późn. Zm.) w związku z treścią art. 2 ust. 1 pkt 1 ww. Ustawy.
2. Postępowanie o udzielenie zamówienia publicznego prowadzone jest w oparciu o par §5 Zarządzenia Nr 11/2021 Burmistrza Miasta Chełmna z dnia 27 stycznia 2021 r. z uwzględnieniem zmian w zarządzeniach: nr 21/2021 z dnia 12 lutego 2021 i nr 6/2022 z dnia 25 stycznia 2022 r. w sprawie wprowadzenia regulaminu udzielania zamówień publicznych o wartości nieprzekraczającej kwoty 130 000 złotych netto.

3. Przedmiotowe zaproszenie jest zapytaniem ofertowym w postępowaniu o udzielenie zamówienia o wartości poniżej 130.000 zł (Dz.U.2022.1710 art.2 ust.1 pkt 1), ma formę zapytania ofertowego w rozumieniu ustawy Prawo Zamówień Publicznych oraz nie stanowi zobowiązania do zawarcia umowy w rozumieniu przepisów Kodeksu Cywilnego.
4. Zamawiający nie dopuszcza składania ofert częściowych. 
5. Zamawiający nie dopuszcza składania ofert wariantowych. 
6. Zamawiający przewiduje udzielnie zamówień uzupełniających. 

III. Przedmiot zamówienia:
1. Przedmiotem zamówienia są trzy zadania:
a) Zadanie 1 dotyczy szkolenia z zakresu cyberbezpieczeństwa dla pracowników Urzędu Miasta Chełmna i jednostek podległych.
b) Zadanie 2 – dostarczenie platformy szkoleniowej online dla pracowników Urzędu Miasta oraz jednostek podległych.
c) Zadanie 3 – Szkolenie z zakresu cyberbezpieczeństwa dla kadry kierowniczej w zakresie  istotnych z punktu widzenia polityki bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji.

2. Szczegółowy Opis Przedmiotu Zamówienia:
Zadanie 1
Szkolenie dla pracowników UM oraz jednostek podległych należy przeprowadzić w dwóch grupach szkoleniowych, z czasem trwania min. 4 godziny lekcyjne. Szkolenie musi odbywać się w godzinach pracy urzędu tj.: poniedziałek, wtorek, czwartek do 07:30 do 15:30, w środę od 07:30 do 16:30 oraz w piątek od 07:30 do 14:30. Urząd zapewnia dostęp do Sali z rzutnikiem. 
W ramach szkolenia nie przewidujemy zapewnienia cateringu przez Wykonawcę.
Zakres tematyczny:
a) Ochrona komputera. Podstawowe zasady, filary bezpieczeństwa.
b) Wycieki danych. Jak sprawdzić, czy utraciliśmy swoje dane?
c) Bezpieczne hasło. Ogólne zasady, analiza, metody tworzenia, menedżer haseł.
d) Socjotechnika – manipulacja użytkownikiem. Jakie błędy popełniają pracownicy? Omówienie prawdziwych zdarzeń.
e) Cyberzagrożenia. Na co zwracać uwagę podczas korzystania z sieci?
f) Omówienie popularnych ataków cybernetycznych z zakresu mailingu, SMS-ów, telefonów, komunikatorów internetowych.
g) Bezpieczeństwo płatności internetowych.
h) Bezpieczeństwo mobilne.
i) Złośliwe oprogramowanie. Jak się przed nim chronić?
j) Piractwo komputerowe. Jak nie paść ofiarą oszustów?
k) Najważniejsze wskazówki dotyczące bezpiecznej pracy z komputerem.

Zadanie 2
Platforma szkoleniowa:

Platforma szkoleniowa powinna być rozwinięciem tematów z zakresu cyberbezpieczeństwa, stosownie do poziomu wiedzy użytkownika – zakres podstawowy dla wszystkich użytkowników jako część obligatoryjna oraz część rozszerzona po pozytywnym uzyskaniu wyniku z części podstawowej. 
a) Dostęp do materiałów szkoleniowych, 
b) Dostęp do testów,
c) Podgląd postępów realizacji użytkowników,
d) Samodzielna rejestracja użytkownika, po otrzymaniu kodu dostępu od Pracodawcy,
e) Certyfikat ukończenia szkolenia.

Zadanie 3 
Szkolenie dla kadry kierowniczej JST należy przeprowadzić w jednej grupie szkoleniowej (sześć osób), z czasem trwania min. 8 godzin lekcyjnych. Szkolenie musi odbywać się w godzinach pracy urzędu tj.: poniedziałek, wtorek, czwartek do 07:30 do 15:30, w środę od 07:30 do 16:30 oraz w piątek od 07:30 do 14:30. Urząd zapewnia dostęp do sali z rzutnikiem. 
W ramach szkolenia Zamawiający zapewnienia catering (gorące/zimne napoje, przekąski oraz obiad – drugie danie).

Zakres tematyczny:
A. Podstawy Prawne i Zarządcze (Kontekst Bezpieczeństwa),
1) Regulacje Prawne Kluczowe dla JST,
· RODO (GDPR): Konsekwencje naruszeń, rola Inspektora Ochrony Danych (IOD), zasady minimalizacji danych i privacy by design.
· Krajowe Ramy Interoperacyjności (KRI): Obowiązki w zakresie minimalnych wymagań bezpieczeństwa systemów teleinformatycznych.
· Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC): Definicja operatora usługi kluczowej (jeśli dotyczy), obowiązki w zakresie zgłaszania incydentów.
2) System Zarządzania Bezpieczeństwem Informacji (SZBI)
·  Wprowadzenie do normy ISO/IEC 27001 (lub innych standardów JST).
· Polityka Bezpieczeństwa Informacji: Rola kadry w jej tworzeniu, zatwierdzaniu i egzekwowaniu.
· Zarządzanie Ryzykiem: Metody identyfikacji, analizy i oceny ryzyk (np. dla krytycznych systemów JST) oraz planowanie działań korygujących.
B. Kluczowe Zagrożenia i Mechanizmy Ochrony (Wiedza Specjalistyczna)
1) Aktualne Trendy Cyberzagrożeń w Sektorze Publicznym:
· Ransomware i Ataki typu DoS/DDoS: Jak działają, case studies z JST w Polsce i na świecie.
· Phishing, Spear Phishing i Inżynieria Społeczna: Rozpoznawanie zaawansowanych ataków celowanych w kadrę zarządzającą (CEO Fraud).
· Ataki na Łańcuch Dostaw (Supply Chain Attacks): Ryzyka związane z outsourcingiem IT i dostawcami oprogramowania.
2) Kluczowe Mechanizmy Ochronne:
·  Zasada Najmniejszych Uprawnień (Least Privilege): Dlaczego jest kluczowa w kontroli dostępu.
· Zabezpieczanie Dostępu Uprzywilejowanego (PAM): Zarządzanie kontami administratorów i członków kadry.
· Uwierzytelnianie Wieloskładnikowe (MFA): Dlaczego MFA powinno być obowiązkowe dla kluczowych systemów.
C. Procedury Operacyjne i Zarządzanie Incydentami (Praktyka i Odpowiedzialność)
1) Zarządzanie Incydentem Bezpieczeństwa:
· Definicja i Klasyfikacja Incydentu: Różnica między naruszeniem a incydentem (np. RODO).
· Procedury Postępowania: Kto, kiedy i w jaki sposób zgłasza incydent? (Rola kadry w szybkim eskalowaniu problemu).
· Współpraca z CSIRT-ami (np. CSIRT NASK/GOV): Obowiązki zgłaszania incydentów w ramach KSC.
2) Ciągłość działania i odtwarzanie po awarii:
· Rola kadry w testowaniu i zatwierdzaniu planów Business Continuity Plan (BCP) i Disaster Recovery Plan (DRP).
· Procedury Tworzenia Kopii Zapasowych (Backup): Weryfikacja, czy kluczowe dane są bezpieczne i możliwe do szybkiego odtworzenia po ataku ransomware.
3) Audyt i Nadzór:
·  Obowiązki kadry w zakresie monitorowania zgodności z politykami i procedurami.
· Interpretacja wyników audytów wewnętrznych i zewnętrznych.
· Kultura Bezpieczeństwa: Budowanie świadomości w zespole i odpowiedzialność kadry za promowanie bezpiecznych praktyk.

D. Sesja Praktyczna/Warsztatowa (Scenariusze Decyzyjne)
· Symulacja ataku phishingowego celowanego w skrzynkę e-mail kluczowego urzędnika.
· Decyzja po wykryciu naruszenia RODO (np. wyciek danych osobowych) – kogo poinformować, jakie kroki prawne podjąć w pierwszej kolejności.
· Planowanie odtworzenia systemów po ataku ransomware na krytyczną bazę danych.

3. Szkolenia muszą być przeprowadzone/przygotowane przez Wykonawcę posiadającego niezbędną wiedzę i doświadczenie oraz dysponującego potencjałem technicznym i osobami zdolnymi do wykonania zamówienia.
4. Wykonawca posiada doświadczenie w przeprowadzaniu szkoleń/platformy szkoleniowej – Wykonawca wykaże, że osoba przeprowadzająca szkolenie przeprowadziła co najmniej trzy szkolenia z zakresu cyberbezpieczeństwa w jednostce samorządu terytorialnego w ostatnich trzech latach przed złożeniem oferty (Wykonawca złoży w tym zakresie dokumenty potwierdzające jego wykonanie w postaci referencji, protokołu, itp., nie dotyczy zadania nr 2).
5. Oznaczenie przedmiotu zamówienia wg Wspólnego Słownika Zamówień (CPV):
79632000-3 Szkolenia pracowników
80500000-9 Usługi Szkoleniowe
80510000-2 Usługi szkolenia specjalistycznego

IV.    Termin i miejsce realizacji zamówienia:

Wykonawca jest zobowiązany wykonać szkolenie:
w zakresie cyberbezpieczeństwa dla:
1. Szkolenie stacjonarne dla pracowników: Urzędu Miasta w Chełmnie, Centrum Usług Społecznych oraz Centrum Obsługi Placówek Oświatowych na terenie Urzędu Miasta Chełmna w Sali 102 w terminie listopad/grudzień  2025 r. Łączna grupa osób do przeszkolenia dla zadania nr 1 to: 106 osób (UM 70, COPO – 11; CUS – 25). Szkolenie należy zaplanować w min. 2 grupach szkoleniowych oraz osobno dla zadania 3, gdzie grupa uczestników liczy sześć osób.
2. Platforma szkoleniowa z dostępem dla pracowników: Urzędu Miasta Chełmna, Centrum Usług Społecznych oraz Centrum Obsługi Placówek Oświatowych – łącznie 102 osoby z możliwością dokonywania edycji użytkowników w przypadku zmian kadrowych. Dostęp do platformy na okres od listopada 2025 do  końca maja 2026 r.

V. Kryteria i sposób oceny oferty:

1. Przy wyborze oferty do realizacji Zamawiający będzie się kierował kryterium:
a) Cena – 80%;
b) Zakres oferowanego materiału – 20%.
2. Cenę za wykonanie zamówienia należy podać w formularzu oferty.
3. Cena winna obejmować wszelkie koszty niezbędne do zrealizowania zamówienia. Wykonawca sporządzając ofertę powinien przewidzieć wszelkie okoliczności mogące mieć wpływ na cenę.
4. W sytuacji gdy cena najkorzystniejszej oferty będzie znacząco przewyższała środki zabezpieczone przez Zamawiającego w budżecie, Zamawiający zastrzega sobie możliwość przeprowadzenia dodatkowych negocjacji z Wykonawcą który złoży najkorzystniejszą ofertę.
5. W przypadku gdy wybrany Wykonawca odstąpi od podpisania umowy z Zamawiającym, możliwe jest podpisanie przez Zamawiającego umowy z kolejnym Wykonawcą, który w postępowaniu uzyskał kolejną najwyższą liczbę punktów. 
6. Zamawiający może w toku badania i oceny ofert żądać od Oferentów dodatkowych wyjaśnień dotyczących treści złożonych ofert. 
7. Zamawiający wyjaśni i poprawi w formularzu ofertowym: 
a) oczywiste omyłki pisarskie, 
b) oczywiste omyłki rachunkowe, z uwzględnieniem konsekwencji rachunkowych dokonanych poprawek, 
c) inne omyłki polegające na niezgodności oferty z opisem zawartym w zapytaniu ofertowym niepowodujące istotnych zmian w treści oferty. 
8. Zamawiający zastrzega sobie prawo do unieważnienia postępowania bez dokonania wyboru żadnej z ofert, bez podania przyczyny, na każdym etapie prowadzonego postępowania. Z tytułu unieważnienia postępowania, Wykonawcy nie przysługuje żadne roszczenie wobec Zamawiającego. 

VI. Warunki udziału:

O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy:
1. Posiadają uprawnienia do wykonywania określonej działalności lub czynności, jeżeli przepisy prawa nakładają obowiązek ich posiadania;
2. Posiadają wiedzę i doświadczenie oraz dysponują odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia;
3. Znajdują się w sytuacji ekonomicznej i finansowej zapewniającej wykonanie zamówienia;
4. Nie zalegają z uiszczaniem podatków, opłat lub składek na ubezpieczenie społeczne lub zdrowotne, z wyjątkiem przypadków, gdy uzyskali oni przewidziane prawem zwolnienie, odroczenie, rozłożenie na raty zaległych płatności lub wstrzymania w całości wykonania decyzji właściwego organu.

VII.  Podstawy wykluczenia:

Z postępowania o udzielenie zamówienia Zamawiający wykluczy Wykonawcę:
1. Który jest powiązany z Zamawiającym osobowo lub kapitałowo. Przez powiązania kapitałowe lub osobowe rozumie się wzajemne powiazania między beneficjentem lub osobami upoważnionymi do zaciągania zobowiązań w imieniu beneficjenta lub osobami wykonującymi w imieniu beneficjenta czynności związane z przygotowaniem i przeprowadzeniem procedury wyboru Wykonawcy, polegające w szczególności na:
a) Uczestniczeniu w spółce jako wspólnik spółki cywilnej lub spółki osobowej,
b) Posiadaniu co najmniej 10% udziałów lub akcji,
c) Pełnieniu funkcji członka organu nadzorczego lub zarządzającego, prokurenta, pełnomocnika,
d) Pozostawaniu w związku małżeńskim, w stosunku pokrewieństwa lub powinowactwa w linii prostej, pokrewieństwa drugiego stopnia lub powinowactwa drugiego stopnia w linii bocznej lub w stosunku przysposobienia, opieki lub kurateli.
2. o których mowa w art. 7 ust. 1 ustawy z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz. U. 2022 r., poz. 835).

VIII. Sposób przygotowania oferty:

1. Wykonawca może złożyć tylko jedną ofertę obejmującą poszczególne zadania. Wybór zadania jest fakultatywny. Złożenie przez Wykonawcę więcej niż 1 oferty, skutkuje odrzuceniem wszystkich ofert złożonych przez tego Wykonawcę.
2. Ofertę należy sporządzić na formularzu ofertowym stanowiącym załącznik nr 1. do niniejszego zapytania ofertowego oraz załączyć proponowany zakres szkolenia/platformy szkoleniowej (ramowy program szkolenia), z podaniem jednostek godzinowych.
3. Treść oferty musi być zgodna z wymaganiami Zamawiającego określonymi w dokumentach zamówienia.
4.  Oferta winna być sporządzona w języku polskim w wersji elektronicznej pod rygorem nieważności. 
5. Formularz ofertowy oraz dokumenty sporządzone przez Wykonawcę powinny być podpisane przez osoby upoważnione do składania oświadczeń woli w imieniu Wykonawcy.
6. Wykonawca dołączy do oferty wskazane dokumenty potwierdzające przeprowadzenie szkolenia z zakresu cyberbezpieczeństwa dla minimum trzech jednostek samorządu terytorialnego w ostatnich trzech latach przed złożeniem oferty (referencje, protokół odbioru, itp.).
7. Wykonawca ponosi wszelkie koszty związane z przygotowaniem i złożeniem oferty.
8. Nie przewiduje się zwrotu kosztów udziału w postępowaniu.
9. Termin związania ofertą wynosi 30 dni.
10. Wykonawca informuje Zamawiającego o informacjach zawartych w ofercie stanowiących tajemnicę przedsiębiorstwa.
11. Oferty będą przyjmowane wyłącznie w wersji elektronicznej. Zamawiający wymaga aby oferta była opatrzona podpisem elektronicznym osoby upoważnionej do reprezentowania Wykonawcy (profilem zaufanym, podpisem osobistym lub certyfikatem kwalifikowanym).
12.  Ofertę należy zabezpieczyć przed otwarciem (hasłem) archiwum (zip. rar. 7z.). Hasło do otwarcia pliku należy wysłać na adres Email: informatyk@chelmno.pl, odrębną wiadomością najpóźniej w dniu terminu składania ofert od godziny 10:01 do  godziny 12:00. Po tym czasie oferty zostaną uznane jako nieważne, złożone po terminie.

IX.    Miejsce i termin złożenia ofert:

1. Ofertę należy złożyć w terminie do 28.10.2025 r. do godziny 10:00 za pośrednictwem:
poczty elektronicznej w formie e-mail: informatyk@chelmno.pl
2. O wynikach postępowania Zamawiający powiadomi pisemne, mailowo lub telefonicznie wyłącznie Wykonawcy, który złożył najkorzystniejszą ofertę. Zamawiający prześle zlecenie na wykonanie usług w zakresie.
3. Niniejsze postępowanie nie stanowi zobowiązania do zawarcia umowy w rozumieniu przepisów Kodeksu Cywilnego.
4.Komunikacja z Zamawiającym odbywa się wyłącznie przy pomocy poczty elektronicznej na adres: informatyk@chelmno.pl.

Odpowiedź na pytanie z dnia 24.10.2025 r. - Zamawiający dopuszcza składanie ofert na fakultatywnie wybrane zadania - pełna treść odpowiedzi w załączeniu.