GGI-Veilig

GGI-Veilig helpt gemeenten om hun digitale weerbaarheid te verhogen en hun ICT-infrastructuur veiliger te maken. GGI-Veilig bestaat uit een portfolio van producten en diensten voor operationele informatiebeveiliging. Via GGI-Veilig nemen gemeenten onder meer een actieve monitoring en responsedienst (SIEM/SOC) af voor het bewaken van gedrag en acties op het eigen bedrijfsnetwerk. Ook worden beveiligingsproducten voor de gemeentelijke ICT-infrastructuur afgenomen (zoals firewalls, end-point protection, anti-DDoS). Tot slot kunnen beveiligingsexpertise diensten worden afgenomen.

Doel van dit product

Het bieden van producten en diensten ter bevordering van de digitale weerbaarheid van gemeenten.

Voordelen van GGI-Veilig

Door als gemeenten samen te werken op het gebied van digitale weerbaarheid wordt het gemakkelijker om stapsgewijs de eigen digitale weerbaarheid te verhogen. GGI-Veilig biedt gemeenten een samenhangend producten- en dienstenportfolio aan dat in 2019 collectief verworven is. Dit scheelt gemeenten in aanbestedingskosten en leidt tot lagere kosten voor gebruik van deze producten en diensten. De ingekochte producten en diensten ondersteunen gemeenten bij het kunnen voldoen aan de Baseline Informatiebeveiliging Overheid (BIO).

De IBD is aangesloten op de GGI-veilig Monitoring & Response (SIEM/SOC) dienst. Gemeenten die aansluiten kunnen de securitymeldingen delen met de IBD. De IBD is dan 24/7 direct geïnformeerd als er bij één van de aangesloten gemeenten sprake is van een security-incident. In voorkomend geval kan de IBD niet alleen direct de getroffen gemeente helpen bij het mitigeren/oplossen van het opgetreden security-incident, maar ook alle andere gemeenten van advies voorzien om het optreden ervan bij hen te voorkomen. Daarnaast coördineert de IBD het beheer en de ontwikkeling van de use cases voor algemeen gebruik ter verhoging van de digitale weerbaarheid; dit op basis van zowel het (externe) dreigingsbeeld als ook de analyses van de gedeelde security-informatie.

Contact

Alle gemeenten in Nederland kunnen meedoen aan GGI-Veilig en de meeste gemeenten doen dat. Als uw gemeente geen deelnemer is aan GGI-Veilig, dan kunt u uw gemeente eenvoudig aanmelden. Meer weten over het aanmelden, neem dan contact op met info@scgemeenten.nl.

Niet alle gemeenten zijn zich ervan bewust dat ze deelnemer aan GGI-Veilig zijn en daarmee ook verplichtingen zijn aangegaan. Weet u dat niet zeker, controleer dit dan bij uw afdeling inkoop, op het VNG Forum of neem contact op met het Servicecentrum Gemeenten.

Implementatie van GGI-Veilig en leveranciers

VNG heeft namens een groot aantal gemeenten en gemeentelijke samenwerkingsverbanden de openbare Europese aanbesteding verzorgd om het gewenste producten- en dienstenportfolio te verwerven. Deze aanbesteding heeft geleid tot raamovereenkomsten, waar deelnemende gemeenten gebruik van kunnen maken. In totaal doen ruim 300 gemeenten en gemeentelijke samenwerkingsverbanden mee aan deze aanbesteding. Aanmelden voor deelname kan voor gemeenten nog steeds via info@scgemeenten.nl.

De aanbesteding is per 4 juli 2019 gegund en verdeeld over drie percelen:

  • 1. SIEM/SOC dienstverlening (KPN)
  • 2. Aanvullende security producten/diensten (KPN, Protinus IT en Telindus-ISIT)
  • 3. Expertise diensten (Capgemini, BDO Advisory, KPN, Ordina, IT-Staffing en Protinus IT)

Een uitgebreidere beschrijving van de percelen en de diensten die daarin zijn opgenomen vindt u op de website van Servicecentrum Gemeenten. Het beschrijvend document van de aanbesteding is te vinden op het forum van VNG (community GGI-Veilig). Op dit forum is veel documentatie over GGI-Veilig opgenomen. Zo is naast de uitgebreide beschrijving van het GGI-Veilig portfolio ook informatie opgenomen over de verwervingsprocedures. Voorts zijn er handleidingen, voorbeelden, volwassenheidsmodellen digitale weerbaarheid, webinars, FAQ’s, etc. te vinden. Mocht u hier nog geen toegang toe hebben, dan kunt u die aanvragen op https://forum.vng.nl.

Kennismaking met leveranciers van Aanvullende security producten/diensten

De leveranciers in dit perceel behoeven op dit expertisegebied nog enige introductie: hieronder stellen zij zich in een kort filmpje voor.

Hebt u vragen over GGI-Veilig of wilt u ondersteuning bij het verwerven van een product/dienst dan kunnen de GGI-Veilig implementatieadviseurs u daarbij ondersteunen. Dit kunt u eenvoudig doen door een e-mail te sturen naar ggi@vng.nl

Hebt u vragen over GGI-Veilig of wilt u ondersteuning bij het verwerven van een product/dienst dan kunnen de GGI-Veilig implementatieadviseurs u daarbij ondersteunen. Dit kunt u eenvoudig doen door een e-mail te sturen naar ggi@vng.nl

Bestelprocedure en minicompetities GGI-Veilig

Gemeenten die producten/diensten uit het GGI-Veilig portfolio wensen af te nemen, kunnen contact opnemen met het Servicecentrum Gemeenten.

Leveranciers Verdeeld over de drie percelen zijn verschillende leveranciers gecontracteerd. Meer informatie over hun diensten is te vinden op hun eigen websites. In alfabetische volgorde gaat het om de volgende leveranciers:

BDO

Capgemini

IT-Staffing

KPN

Ordina

Protinus

Telindus

Informatie voor verhogen digitale weerbaarheid

Neem voor het verhogen van uw digitale weerbaarheid kennis van het volwassenheidsmodel digitale weerbaarheid en de ondersteuning vanuit de IBD. Verder is er een analyse gemaakt van de producten en diensten uit de aanbesteding GGI-Veilig die invulling geven aan verplichtingen van de BIO (Baseline Informatiebeveiliging Overheid). Zo stelt de BIO onder meer in het normenkader voor “Verslaglegging en Monitoring” het gebruik van SIEM/SOC verplicht. Ook andere producten en diensten van GGI-Veilig dragen bij aan het kunnen voldoen aan de BIO. Meer hierover is te vinden op het forum van VNG (forum.vng.nl, Community GGI-Veilig).

Vraag & antwoord aanbesteding GGI-Veilig

Als uw gemeente meedoet aan een bepaald perceel en u besluit om een nieuw product of een nieuwe dienst af te nemen dat via dat perceel wordt aangeboden, dan moet u dat afnemen vanuit de raamcontracten GGI-Veilig. Immers, u hebt voor die producten en diensten reeds de markt benaderd via de gemeenschappelijke aanbesteding.

Let op: dit geldt voor nieuwe producten en diensten. Als u al bestaande producten/diensten hebt (zoals bijvoorbeeld een firewall), dan mag u die contractuele verplichting uiteraard eerbiedigen. Dat houdt in dat u de bestaande firewall zo lang kunt gebruiken als volgens dat contract mag. Mocht u daar nog een optie tot verlenging op hebben, dan kunt u op dat moment dus kiezen of u het bestaande contract verlengt, of dat u dat niet doet en overstapt naar een product/dienst vanuit de GGI-Veilig aanbesteding.

In perceel 2 zitten veel verschillende producten en diensten. Het is niet verplicht die allemaal af te nemen. Wanneer u een bepaald product of dienst niet nodig hebt of niet wilt aanschaffen, dan hoeft u dat niet af te nemen.

Tot slot: indien blijkt dat er geen technisch en/of functioneel goede aanbieding gedaan kan worden vanuit GGI-Veilig, dan bestaat de mogelijkheid om buiten deze aanbesteding om een product of dienst te verwerven.

Hebt u vragen hierover neem dan contact op met het Servicecentrum Gemeenten of met de implementatieadviseurs.

Hoeveel aanbieders zijn er per perceel?

In perceel 1 is 1 leverancier gekozen voor de SIEM/SOC-dienstverlening. Hierdoor zorgen we dat gemeenten maximaal gebruik kunnen maken van de kennis en expertise van elkaar (bijvoorbeeld door use cases te delen) en zorgen we dat er een sterk gemeentelijk SOC komt. In perceel 2 zijn 3 leveranciers geselecteerd die elk alle onderdelen leveren (al dan niet met onder-aanbieders) en in perceel 3 zijn 6 leveranciers geselecteerd. Hierdoor maximeren we de kans dat er ook een leverancier is die beschikbaar is op het gewenste moment. Als gemeente selecteert u door middel van een minicompetitie de partij die het best past bij de lokale situatie en eigen eisen. Dit kan door per product/dienst telkens een minicompetitie te doen zodat u overal de best passende oplossing krijgt, of door voor meerdere producten/diensten 1 mini-competitie te doen zodat u 1 partij krijgt die al die producten/diensten levert.

Kan het zijn dat ik niet de aanbieder van mijn voorkeur krijg?

De raamovereenkomsten zijn met een beperkt aantal partijen gesloten. Dit doen we om als gemeenten te standaardiseren over de gebruikte producten en om ook commercieel aantrekkelijke aanbiedingen te krijgen. Gevolg is wel dat niet alle producten/diensten aangeboden worden. Het kan dus zo zijn dat een bepaald product/dienst niet via GGI-Veilig is af te nemen. Gevolg is dat u dan dient over te stappen op een ander product/dienst. Let wel: als u een bestaand contract hebt bij een aanbieder, dan wordt dat contract gerespecteerd. Je kunt dat contract dus uitdienen en ook – indien dat volgens dat contract nog kan en mag – verlengen als dat door u verkozen wordt boven overstappen naar de aanbieders via GGI-Veilig.

Wat is de looptijd van de overeenkomsten?

Per perceel zijn er raamcontracten afgesloten door de VNG. Die raamcontracten lopen voor vijf jaar (medio 2019 tot medio 2024). Zodra u als gemeente een product of dienst wilt afnemen, dan wordt een nadere overeenkomst specifiek voor uw gemeente gesloten. Deze nadere overeenkomsten hebben voor perceel 1 en 2 een looptijd van vier jaar (vanaf moment van afsluiten van die nadere overeenkomst) en kunnen daarna nog vier keer verlengd worden met de periode van een jaar. Voor perceel 3 is een kortere looptijd mogelijk.

Hoe ziet de gunning van de aanbesteding eruit?

De gunning van GGI-Veilig is definitief. Per Perceel is de gunning als volgt:

  • Perceel 1: Managed SIEM/SOC dienstverlening: gunning van de raamovereenkomst aan KPN.
  • Perceel 2: Aanvullende security producten/diensten: gunning van de raamovereenkomsten aan KPN, Protinus IT en Telindus-ISIT.
  • Perceel 3: Security expertise services: gunning van de raamovereenkomsten aan Capgemini, BDO Advisory, KPN, Ordina, IT-Staffing en Protinus IT.

Wie heeft de beoordeling van de aanbiedingen gedaan?

De beoordeling van de aanbiedingen is gedaan door leden van de expertgroep GGI-Veilig en het projectteam GGI-Veilig. In dat projectteam was ook de IBD vertegenwoordigd.

 

Meer Vragen en Antwoorden per perceel zijn te vinden op het forum van VNG (forum.vng.nl, Community GGI-Veilig). Als u hier nog geen toegang toe hebt, dan kunt u die aanvragen op het forum.