¿Precisas de la prestación de un servicio de simulacro de incidentes de ciberseguridad «SIC»?

Nombre de la línea de subvenciones

Acuerdo Marco para la prestación de servicios de simulacro de incidentes de Ciberseguridad en el marco del Plan de Recuperación, Transformación y Resiliencia – Financiado por la Unión Europea – NextGenerationEU.

Objetivo, breve descripción

El presente Acuerdo Marco tiene por objeto la selección de empresas especializadas en Ciberseguridad para la prestación de los servicios de simulacros de incidentes de Ciberseguridad, para SPRI-Agencia Vasca de Desarrollo Empresarial (en adelante, “SPRI”), durante el plazo de duración del mismo.

Fecha límite de presentación de ofertas o solicitudes de participación 18/11/2024 10:00

Entidades beneficiarias

Procedimiento de adjudicación: Abierto

Pueden participar en el procedimiento de contratación, las personas naturales o jurídicas, españolas o extranjeras, que tengan plena capacidad de obrar, no estén incursas en prohibición de contratar, no se hallen en situación de conflicto de intereses y que cumplan con los requisitos de solvencia o, en su caso, dispongan de clasificación; y que dispongan de las habilitaciones que, en su caso, se establezcan en la cláusula 21.4 de cláusulas específicas del contrato (si en dicha cláusula se ha indicado que el momento en el que se debe disponer de la/s habilitación/es es “fecha final de presentación de ofertas”).

También pueden participar varias personas que reúnan los requisitos indicados en el párrafo anterior agrupadas en UTE con arreglo a las condiciones previstas legalmente.

Solo pueden participar las personas jurídicas que cumplan con lo dispuesto en el art. 66.1 LCSP, así como las operadoras económicas comunitarias o de Estados signatarios del Acuerdo sobre el Espacio Económico Europeo y las operadoras económicas no comunitarias que cumplan con lo dispuesto respectivamente en los arts. 67 y 68.1 LCSP.

Las operadoras económicas deben disponer de la siguiente solvencia:

• Económica y financiera. Requisito(s): Volumen anual de negocios del licitador que referido al mejor ejercicio dentro de los tres últimos concluidos sea igual o superior a 175.000 euros.

• Técnica o profesional. Requisito(s): Solo podrán tomar parte en el concurso aquellas empresas que acrediten haber ejecutado, durante los últimos tres años, trabajos de igual o similar naturaleza a los que constituyen el objeto del concurso cuyo importe anual acumulado en el año de mayor ejecución sea igual o superior a 122.500 euros.

Proyectos subvencionables

Las tareas que se encomendarán a los adjudicatarios serán todas las necesarias para la gestión y ejecución de simulacros de incidentes de ciberseguridad.

Conocer los objetivos de cada servicio, identificar sus necesidades y definir la tipología de simulacro que mejor se adapte a sus necesidades.

• Colaborar con SPRI en la definición de la tipología de simulacros de incidentes de ciberseguridad.

• Gestionar y ejecutar los simulacros de incidentes de ciberseguridad que organice SPRI en convocatoria abierta a las empresas de la CAE en las instalaciones que SPRI habilite al efecto.

• Gestionar y ejecutar los simulacros de incidentes de ciberseguridad en las empresas que de manera individual así se lo soliciten a SPRI, bien in company, bien en las instalaciones que SPRI habilite al efecto, dentro de la CAE.

• Elaborar informe del resultado de los simulacros realizados, así como propuestas de actuaciones a realizar por las mismas para reducir sus vulnerabilidades.

• Elaboración de informes para SPRI, sobre el resultado de los simulacros realizados.

• Ejecutar la tipología de simulacros de ciberseguridad que le sean solicitados. La tipología será definida y diseñada por SPRI. Se establecerá para cada simulacro el número de horas máximo a imputar de cada uno de los dos perfiles profesionales requeridos en el Acuerdo Marco. La dedicación no superará las 7 horas por persona consultora, hasta un máximo de dos personas, por simulacro.

  • A modo de ejemplo, y sin perjuicio de su necesaria actualización y ajuste a las necesidades que plantee SPRI en cada caso, los simulacros podrán ser de estos tipos:

  • Ransomware

  • Infraestructura crítica

  • Ataques dirigidos

  • Otros

• Se diseñarán tipos de simulacros de manera acorde al tamaño de las empresas, así como a sus sectores de actividad, haciendo especial esfuerzo en diseñar simulacros dirigidos a las pequeñas y medianas empresas, especialmente las de los sectores industriales y de servicios avanzados, así como las del ámbito de la energía.

• Realizar para SPRI acciones de difusión del servicio.

• Las empresas adjudicatarias del acuerdo marco deberán ajustar la ejecución de los simulacros a la metodología que establezca SPRI para cada tipología de simulacro. A modo de ejemplo, se tendrá en cuenta aspectos tales como:

  • Diseñar simulacros específicos para los equipos de dirección, y siempre involucrando en el mismo a los equipos del Area TIC.

  • Los simulacros deben estar dirigidos a equipos de comité de crisis y enfocado a la toma de decisiones.

  • Posibilidad de benchmark y búsqueda de sinergias con las acciones que realizan entidades como INCIBE o ZIUR.

  • Revisar actuaciones dirigidas también a perfiles Técnicos, Role play, etc.

  • Diseñar simulacros con diferentes formatos: simulacro de incidente en una planta productiva mediante juego de rol narrativa (storytelling), simulacros para diferentes perfiles, en formatos con dedicaciones horarias en una o varias sesiones.

• Colaboración con SPRI en el establecimiento y gestión de cuadros de mando del servicio.

• Colaboración con los Clusters en el ámbito de este contrato cuando SPRI así lo solicite.

% de financiación

El presupuesto base de licitación total del contrato es de 3.500.000 euros, más 735.000 euros en concepto de 21% de IVA y se imputa a las siguientes anualidades:

• Año 2025: 3.000.000 euros más IVA.

• Año 2026: 500.000 euros más IVA.

Más información