GGI-Veilig

GGI-Veilig

GGI-Veilig ondersteunt de gemeente bij het verhogen van de digitale weerbaarheid en het veiliger maken van de ICT-infrastructuur. Via GGI-Veilig kunnen gemeenten actieve netwerk monitoring afnemen voor het bewaken van dataverkeer op het eigen bedrijfsnetwerk. Deze actieve netwerk monitoring wordt ook ingezet voor GGI-Netwerk.

Doel van dit product

Het verhogen van de digitale weerbaarheid van gemeenten.

Voordelen van GGI-Veilig

Door als gemeenten samen te werken op het gebied van digitale weerbaarheid wordt het gemakkelijker om stapsgewijs de eigen digitale weerbaarheid te verhogen. GGI-Veilig biedt gemeenten een samenhangend pakket aan voorzieningen die collectief verworven worden. Dit scheelt gemeenten in aanbestedingskosten en leidt tot lagere kosten voor gebruik van die voorzieningen. Gemeenten kiezen zelf vanaf welk moment ze welke voorzieningen gebruiken. Ook kan samengewerkt worden op het gebied van kennisuitwisseling van gemeenten. GGI-Veilig wordt ook ingezet op GGI-Netwerk.

Implementatie van GGI-Veilig

GGI-Veilig bestaat uit het verwerven van een samenhangend portfolio van producten en diensten voor het verhogen van de digitale weerbaarheid. Dit wordt voorzien in drie percelen:

  • Perceel 1: managed SIEM/SOC dienstverlening 
  • Perceel 2: aanvullende security product/dienstverlening 
  • Perceel 3: security expertise services

Een uitgebreidere beschrijving van de percelen en de diensten die daarin zijn opgenomen staan beschreven in het beschrijvend document van de aanbesteding. Let op: dit betreft niet de meest recente versie van het beschrijvend document. Naar aanleiding van het intrekken van de aanbesteding zoals in september 2018 in de markt gezet, wordt dit beschrijvend document momenteel bijgewerkt met de genoemde aanscherping in de normering van de beoordelingssystematiek. Tevens worden de eerder gestelde vragen en antwoorden bij de nota’s van inlichtingen verwerkt. Zodra het nieuwe beschrijvend document gereed is, wordt dit ook hier gepubliceerd.

Neem voor het verhogen van uw digitale weerbaarheid kennis van het volwassenheidsmodel digitale weerbaarheid en de ondersteuning vanuit de IBD. Verder is er een analyse gemaakt van de producten en diensten uit de aanbesteding GGI-Veilig die invulling geven aan verplichtingen van de BIO (Baseline Informatiebeveiliging Overheid, de opvolger van de huidige BIG).

Aanbesteding GGI-Veilig wordt opnieuw in de markt gezet

De in september 2018 gepubliceerde aanbesteding GGI-Veilig is op 9 november ingetrokken. Dit is gedaan nadat vanuit zorgvuldigheid een extra risicoanalyse is uitgevoerd. Hieruit kwam naar voren dat de normering voor de beoordeling van de kwaliteitsvragen verbeterd kan worden zodat inschrijvers beter op de hoogte zijn van de wijze waarop hun aanbiedingen beoordeeld worden. VNG Realisatie wil deze verbeteringen doorvoeren en heeft daarom besloten tot intrekking van de aanbesteding voor de uiterste datum voor het doen van een aanbieding door leveranciers. De komende periode wordt benut om de aanbestedingsstukken te verbeteren met betrekking tot zowel dit aspect, als met betrekking tot de verduidelijkingen en aanscherpingen die middels de nota’s van inlichtingen zijn doorgevoerd. Vervolgens wordt de aanbesteding opnieuw in de markt gezet.

In totaal doen 352 gemeenten en gemeentelijke samenwerkingsverbanden mee aan deze aanbesteding die door VNG is georganiseerd. Dat betekent dat deze partijen straks gebruik kunnen maken van de raamcontracten die worden afgesloten met deze aanbesteding. Naar de huidige verwachting wordt de aanbesteding in de tweede helft van januari 2019 weer in de markt gezet. Gunning van zal dan rond april/mei 2019 zijn. Zodra de exacte data bekend zijn worden deelnemers en leveranciers hierover geïnformeerd. Opgemerkt wordt dat de planning altijd nog kan schuiven indien bijvoorbeeld tijdens de aanbestedingsprocedure gerechtelijke procedures nodig zijn. Het selectieproces wordt gedaan door leden van de gemeentelijke expertgroep GGI-Veilig en het projectteam GGI-Veilig.

Veel gestelde vragen aanbesteding GGI-Veilig

Welke verplichting geldt nu precies als we meedoen?

Als uw gemeente meedoet aan een bepaald perceel en u besluit om een nieuw product of een nieuwe dienst af te nemen dat via dat perceel wordt aangeboden, dan moet u dat afnemen vanuit de raamcontracten GGI-Veilig. Immers,  u heeft voor die producten en diensten reeds de markt benaderd via de gemeenschappelijke aanbesteding.

Let op: dit geldt voor nieuwe producten en diensten. Als u al bestaande producten/diensten hebt (zoals bijvoorbeeld een firewall), dan mag u die contractuele verplichting uiteraard eerbiedigen. Dat houdt in dat u de bestaande firewall zo lang kunt gebruiken als volgens dat contract mag. Mocht u daar nog een optie tot verlenging op hebben, dan kunt u op dat moment dus kiezen of u het bestaande contract verlengt, of dat u dat niet doet en overstapt naar het product/dienst vanuit de GGI-Veilig aanbesteding.

In perceel 2 zitten veel verschillende producten en diensten. Het is niet verplicht die allemaal af te nemen. Wanneer u een bepaald product of dienst niet nodig heeft of niet wilt aanschaffen, dan hoeft u dat niet af te nemen. 

Tot slot: indien blijkt dat er geen technisch en/of functioneel goede aanbieding gedaan kan worden vanuit GGI-Veilig, dan bestaat de mogelijkheid om buiten deze aanbesteding om een product of dienst te verwerven. 

Hoeveel aanbieders worden er per perceel gekozen?

In perceel 1 wordt 1 leverancier gekozen voor de SIEM/SOC dienstverlening. Hierdoor zorgen we dat gemeenten maximaal gebruik kunnen maken van de kennis en expertise van elkaar (bijvoorbeeld door use cases te delen) en zorgen we dat er een sterk gemeentelijke SOC komt.

In perceel 2 worden 3 leveranciers gekozen die elk alle onderdelen leveren (al dan niet met onder-aanbieders). Als gemeente is het dan mogelijk door middel van een mini-competitie de partij kiezen die het best past bij de lokale situatie en eigen eisen. Dit kan door per product/dienst telkens een mini-competitie te doen zodat u overal de best passende krijgt, of door voor meerdere producten/diensten 1 mini-competitie te doen zodat u 1 partij krijgt die al die producten/diensten levert.

In perceel 3 worden 6 leveranciers gekozen, waaronder ook enkele brokers. Hierdoor maximeren we de kans dat er ook een leverancier is die ook beschikbaar is op het gewenste moment. 

Kan het zijn dat ik niet de aanbieder van mijn voorkeur krijg?

De raamovereenkomsten worden met een beperkt aantal partijen gesloten. Dit doen we om als gemeenten te standaardiseren over de gebruikte producten en om ook commercieel aantrekkelijke aanbiedingen te krijgen. Gevolg is wel dat niet alle aanbieders aangeboden worden. Het kan dus zo zijn dat een bepaalde aanbieder voor een bepaald product/dienst, niet via GGI-Veilig is af te nemen. Gevolg is dat u dan dient over te stappen op een andere aanbieder. 

Let wel: als u een bestaand contract hebt bij een aanbieder, dan wordt dat contract gerespecteerd. Je kunt dat contract dus uitdienen en ook – indien dat volgens dat contract nog kan en mag – verlengen als dat door u verkozen wordt boven overstappen naar de aanbieders via GGI-Veilig.

Wat is de looptijd van de overeenkomsten?

Per perceel worden er raamcontracten afgesloten door de VNG. Die raamcontracten lopen voor vijf jaar (medio 2019 tot medio 2024). Zodra u als gemeente een product of dienst wilt afnemen, dan wordt een nadere overeenkomst gesloten specifiek voor uw gemeente. Deze nadere overeenkomsten hebben voor perceel 1 en 2 een looptijd van vier jaar (vanaf moment van afsluiten van die nadere overeenkomst) en kunnen daarna nog vier keer verlengd worden met de periode van een jaar. Voor perceel 3 is een kortere looptijd mogelijk.

Hoe zit de planning eruit?

De verwachting is dat de aanbesteding in de tweede helft van januari 2019 weer in de markt wordt gezet. Vervolgens is er een periode waarin leveranciers de stukken tot zich kunnen nemen en vragen kunnen stellen. Na beantwoording van de vragen door de expertgroep GGI-Veilig en het projectteam van GGI-Veilig kunnen leveranciers hun aanbieding doen. Indien er geen vertragingen ontstaan in het proces, dan vind de definitieve gunning rond april/mei 2019 plaats. 

Wie doet de beoordeling van de aanbiedingen?

De beoordeling van de aanbiedingen wordt gedaan door leden van de expertgroep GGI-Veilig en het projectteam GGI-Veilig. In dat projectteam is ook de IBD vertegenwoordigd.