GGI-Veilig

GGI-Veilig

Met GGI-Veilig verhogen gemeenten hun digitale weerbaarheid en maken hun ICT-infrastructuur veiliger. GGI-Veilig bestaat uit een portfolio van producten en diensten voor operationele informatiebeveiliging. Via GGI-Veilig nemen gemeenten onder meer actieve netwerk monitoring af voor het bewaken van dataverkeer op het eigen bedrijfsnetwerk. Ook worden beveiligingsproducten voor de gemeentelijke ICT-infrastructuur afgenomen (zoals bijvoorbeeld firewalls, anti-DDOS, end-point protection). Tot slot kunnen beveiligingsexpertise diensten worden afgenomen.

Doel van dit product

Het verhogen van de digitale weerbaarheid van gemeenten.

Voordelen van GGI-Veilig

Door als gemeenten samen te werken op het gebied van digitale weerbaarheid wordt het gemakkelijker om stapsgewijs de eigen digitale weerbaarheid te verhogen. GGI-Veilig biedt gemeenten een samenhangend producten- en dienstenportfolio aan dat collectief verworven wordt. Dit scheelt gemeenten in aanbestedingskosten en leidt tot lagere kosten voor gebruik van deze producten en diensten. De ingekochte producten en diensten ondersteunen gemeenten bij het kunnen voldoen aan de Baseline informatiebeveiliging overheid (BIO).

Gemeenten kiezen zelf vanaf welk moment ze welke producten en diensten gebruiken. Een ander voordeel is dat door het gebruik van dit portfolio makkelijker kan worden samengewerkt om de digitale weerbaarheid te versterken. Dit kan onder meer door samen op te trekken bij actieve netwerkmonitoring en door snel maatregelen te kunnen nemen indien een beveiligingsrisico zich voordoet bij een gemeente. De producten en diensten van GGI-Veilig worden ook ingezet om de landelijke infrastructuur van GGI-Netwerk te beschermen.

Implementatie van GGI-Veilig

GGI-Veilig verzorgt namens een groot aantal gemeenten en gemeentelijke samenwerkingsverbanden een openbare Europese aanbesteding om het gewenste producten- en dienstenportfolio te verwerven. Deze aanbesteding leidt tot raamovereenkomsten, waar deelnemende gemeenten gebruik van kunnen maken. In totaal doen ruim 300 gemeenten en gemeentelijke samenwerkingsverbanden mee aan deze aanbesteding.

De aanbesteding is per 4 juli 2019 gegund en verdeeld over drie percelen:

  • Perceel 1: managed SIEM/SOC dienstverlening 
  • Perceel 2: aanvullende security product/dienstverlening 
  • Perceel 3: security expertise services

Een uitgebreidere beschrijving van de percelen en de diensten die daarin zijn opgenomen staan in het beschrijvend document van de aanbesteding.

Bestelprocedure en minicompetities GGI-Veilig

Binnenkort kunnen de gemeenten hun gewenste producten en diensten bestellen. Om er zeker van te zijn dat zowel het bestelproces voor managed SIEM/SOC dienstverlening, als de minicompetities voor de aanvullende security product/dienstverlening en de security expertise services voldoen aan de eisen en wensen van gemeenten, worden deze processen door het Servicecentrum Gemeenten van VNG Realisatie in samenwerking met gemeenten die als eerste willen bestellen ingericht en verfijnd. Gemeenten die producten en diensten uit GGI-Veilig willen afnemen, kunnen contact opnemen met het Servicecentrum Gemeenten over de mogelijkheden.

Nadere informatie voor verhogen digitale weerbaarheid

Neem voor het verhogen van uw digitale weerbaarheid kennis van het volwassenheidsmodel digitale weerbaarheid en de ondersteuning vanuit de IBD. Verder is er een analyse gemaakt van de producten en diensten uit de aanbesteding GGI-Veilig die invulling geven aan verplichtingen van de BIO (Baseline Informatiebeveiliging Overheid, de opvolger van de huidige BIG). Na gunning van de aanbesteding wordt vanuit VNG ondersteuning geboden bij het gebruik van de raamovereenkomsten.

Op 1 januari 2020 is de opvolger van de BIG, de BIO (Baseline Informatiebeveiliging Overheid) van kracht. Doordat gemeenten producten en diensten kunnen afnemen onder GGI-Veilig, kunnen zij gemakkelijker voldoen aan de eisen die de BIO stelt. Zo stelt de BIO onder meer in het nieuwe normenkader voor “Verslaglegging en Monitoring” het gebruik van SIEM/SOC verplicht. Ook andere producten en diensten van GGI-Veilig dragen bij aan het kunnen voldoen aan de BIO.

Veel gestelde vragen aanbesteding GGI-Veilig

Welke verplichting geldt nu precies als we meedoen?

Als uw gemeente meedoet aan een bepaald perceel en u besluit om een nieuw product of een nieuwe dienst af te nemen dat via dat perceel wordt aangeboden, dan moet u dat afnemen vanuit de raamcontracten GGI-Veilig. Immers, u heeft voor die producten en diensten reeds de markt benaderd via de gemeenschappelijke aanbesteding.

Let op: dit geldt voor nieuwe producten en diensten. Als u al bestaande producten/diensten hebt (zoals bijvoorbeeld een firewall), dan mag u die contractuele verplichting uiteraard eerbiedigen. Dat houdt in dat u de bestaande firewall zo lang kunt gebruiken als volgens dat contract mag. Mocht u daar nog een optie tot verlenging op hebben, dan kunt u op dat moment dus kiezen of u het bestaande contract verlengt, of dat u dat niet doet en overstapt naar het product/dienst vanuit de GGI-Veilig aanbesteding.

In perceel 2 zitten veel verschillende producten en diensten. Het is niet verplicht die allemaal af te nemen. Wanneer u een bepaald product of dienst niet nodig heeft of niet wilt aanschaffen, dan hoeft u dat niet af te nemen. 

Tot slot: indien blijkt dat er geen technisch en/of functioneel goede aanbieding gedaan kan worden vanuit GGI-Veilig, dan bestaat de mogelijkheid om buiten deze aanbesteding om een product of dienst te verwerven. 

Hoeveel aanbieders zijn er per perceel?

In perceel 1 is 1 leverancier gekozen voor de SIEM/SOC-dienstverlening. Hierdoor zorgen we dat gemeenten maximaal gebruik kunnen maken van de kennis en expertise van elkaar (bijvoorbeeld door use cases te delen) en zorgen we dat er een sterk gemeentelijke SOC komt.

In perceel 2 zijn 3 leveranciers gekozen die elk alle onderdelen leveren (al dan niet met onder-aanbieders). Als gemeente is het dan mogelijk door middel van een mini-competitie de partij kiezen die het best past bij de lokale situatie en eigen eisen. Dit kan door per product/dienst telkens een mini-competitie te doen zodat u overal de best passende krijgt, of door voor meerdere producten/diensten 1 mini-competitie te doen zodat u 1 partij krijgt die al die producten/diensten levert.

In perceel 3 zijn 6 leveranciers gekozen. Hierdoor maximeren we de kans dat er ook een leverancier is die ook beschikbaar is op het gewenste moment. 

Kan het zijn dat ik niet de aanbieder van mijn voorkeur krijg?

De raamovereenkomsten worden met een beperkt aantal partijen gesloten. Dit doen we om als gemeenten te standaardiseren over de gebruikte producten en om ook commercieel aantrekkelijke aanbiedingen te krijgen. Gevolg is wel dat niet alle aanbieders aangeboden worden. Het kan dus zo zijn dat een bepaalde aanbieder voor een bepaald product/dienst, niet via GGI-Veilig is af te nemen. Gevolg is dat u dan dient over te stappen op een andere aanbieder. 

Let wel: als u een bestaand contract hebt bij een aanbieder, dan wordt dat contract gerespecteerd. Je kunt dat contract dus uitdienen en ook – indien dat volgens dat contract nog kan en mag – verlengen als dat door u verkozen wordt boven overstappen naar de aanbieders via GGI-Veilig.

Wat is de looptijd van de overeenkomsten?

Per perceel worden er raamcontracten afgesloten door de VNG. Die raamcontracten lopen voor vijf jaar (medio 2019 tot medio 2024). Zodra u als gemeente een product of dienst wilt afnemen, dan wordt een nadere overeenkomst gesloten specifiek voor uw gemeente. Deze nadere overeenkomsten hebben voor perceel 1 en 2 een looptijd van vier jaar (vanaf moment van afsluiten van die nadere overeenkomst) en kunnen daarna nog vier keer verlengd worden met de periode van een jaar. Voor perceel 3 is een kortere looptijd mogelijk.

Hoe zit de planning eruit?

Op 4 juli 2019 werd de gunning van GGI-Veilig definitief. De overeenkomsten met de gegunde leveranciers treden na 15 juli, de dag van de contractondertekening, in werking.

  • Perceel 1: Managed SIEM/SOC dienstverlening: gunning van de raamovereenkomst aan KPN en gunning van de wachtkamerovereenkomst met Capgemini.
  • Perceel 2: Aanvullende security producten/diensten: gunning van de raamovereenkomsten met KPN, Protinus IT en Telindus-ISIT en gunning van de wachtkamerovereenkomst met SecureLink.
  • Perceel 3: Security expertise services: gunning van de raamovereenkomsten met Capgemini, BDO Advisory, KPN, Ordina, IT-Staffing en Protinus IT.

De komende periode informeren we u op welke wijze de ondersteuning aan deelnemers wordt vormgegeven en op welke wijze bestellingen gedaan kunnen worden. Heeft u vragen? Neem dan contact op via GGI-Veilig@scgemeenten.nl. Overige vragen over GGI kunt u stellen via ggi@vng.nl.

Wie doet de beoordeling van de aanbiedingen?

De beoordeling van de aanbiedingen wordt gedaan door leden van de expertgroep GGI-Veilig en het projectteam GGI-Veilig. In dat projectteam is ook de IBD vertegenwoordigd.