Om oppdraget

For å styrke evnen til å oppdage, varsle og håndtere IT-hendelser skal Statens kartverk (Oppdragsgiver) anskaffe en døgnkontinuerlig (24/7/365) tjeneste for proaktiv sikkerhetsovervåking og støtte til hendelseshåndtering av IT-sikkerhetshendelser i Oppdragsgivers IT-miljø. Dette innebærer å inngå et samarbeid med en leverandør som leverer en tjeneste som ivaretar sikkerhetsovervåking, deteksjon og hendelseshåndtering, hvor sikkerhetspartneren også kan gi Oppdragsgiver rask tilgang på spisskompetanse for bistand ved større sikkerhetshendelser (IRT team). Det etterspørres tjenester som innehar elementer fra ulike kategorier av sikkerhetstjenester slik som MSS (managed security services), SOC (security operations centre), IRT (incident response team) og MDR (managed detection & response)

Det forventes få en proaktiv overvåking, og varsling og delvis håndtering av sårbarheter, og ikke bare reaktiv håndtering ved større uønskede hendelser. Tjenesten som skal anskaffes er cosourcing og sårbarheter og hendelser skal løses i samarbeid med Kartverkets ansatte og delvis i Kartverket infrastruktur.

Kartverket har allerede etablerte sikkerhets- og driftsmiljøer, og anskaffelsen må derfor fokusere på integrasjon, operativ samhandling og videreutvikling.

For mer informasjon se fanene "Konkurransedetaljer" og "Spesifikasjon"

Tjenesteområde

• Sikkerhet, vakthold, vekter 79710000, 79714000
• Systemrådgivning, teknisk rådgivning 72220000
• IT-tjenester, rådgivning, programvareutvikling 72000000
• Programmering 72212732

Tildelingskriterier

Tilbudsstrategi

• Kvalitet teller 85 %. Bruk relevante referanser og beskriv konkret gjennomføring.
• Pris teller 15 %. Prisbildet bør være konkurransedyktig og lett å kontrollere.
• Kvalitet – uvesentlig klimaavtrykk og miljøbelastning (begrunnes under) teller 0 %. Tallfest miljøeffekt, transport, materialvalg og andre målbare tiltak.
• Sjekk tidlig at kvalifikasjonskravene kan dokumenteres uten etterslep.
• Gå gjennom kontrollpunktene i originaldokumentene før det brukes mye tid på tilbudet.

Historikk hos oppdragsgiver

Basert på strukturerte tildelingskunngjøringer i Anbudsradar. Listen kan være ufullstendig der eldre kunngjøringer mangler leverandørdata.

Se full oppdragsgiverprofil for Statens Kartverk

Tidligere tildelinger med samme CPV-kode

• Procurement of a framework agreement for data centre infrastructure and related products.
  01.12.2025Atea AS (Hovedenhet)Ikke oppgitt
• Contract award internal control and quality system
  26.02.2025Datakvalitet ASIkke oppgitt
• Kontraktstildeling - Anskaffelse av rammeavtale på grafiske tjenester, filmproduksjon og visuell rådgivning
  23.08.2024Miksmaster ASIkke oppgitt
• Rekrutteringssystem
  15.03.2024Jobbnorge ASIkke oppgitt
• Recruitment system
  15.03.2024Jobbnorge ASIkke oppgitt
• Recruitment system
  15.03.2024Talentech ASIkke oppgitt

Leverandører oppdragsgiver ofte har tildelt kontrakter til

• Field Geospatial AS14 tildelinger · sist 24.04.2024 · Ikke oppgitt
• HEXAGON GEOSYSTEMS SERVICES NORWAY AS6 tildelinger · sist 22.03.2024 · 3 983 858 kr
• Cowi AS (Hovedenhet)6 tildelinger · sist 24.03.2021 · 8 963 340 kr
• Deloitte AS (hovedenhet)4 tildelinger · sist 28.02.2024 · 7 217 800 kr
• Bsf Swissphoto AS4 tildelinger · sist 15.06.2022 · 2 537 721 kr
• Blom Norway4 tildelinger · sist 15.04.2020 · 8 783 443 kr

Spørsmål du bør vurdere å stille oppdragsgiver

AI-genererte forslag basert på konkurransedokumentene. Still spørsmålene i spørsmålsrunden i konkurransegjennomføringsverktøyet før tilbudsfrist. Vurder selv hvilke som er relevante for ditt tilbud.

• I prisskjemaets punkt 1 for «24/7 sanntidsovervåking og –deteksjon» vises det til at prisen skal inkludere kravet «Komm 1». Kan oppdragsgiver utdype hva «Komm 1» omfatter (omfang, leveranseform, eventuelle responstider og hvordan tiltakene skal dokumenteres)?

  «Komm 1» fremstår som en egen kravspesifikasjon som kan påvirke både bemanning og kostnadsnivå. En avklaring reduserer risiko for feilprising.

  Vedlegg 3 - Prisskjema, kostnadselement 1 (Ref. Krav: Komm 1)
• I prisskjemaets punkt 1 skal prisen også inkludere «løpende varsling av sårbarheter i ht kravet Sårbarhet 1». Hva er minstekravene til «varsling av sårbarheter» i Sårbarhet 1 (f.eks. metode/kildegrunnlag, terskler for alvorlighet, frekvens, kanal/format for varsling, og om varsling skal inkludere forslag til tiltak)?

  Uten presise parametere for Sårbarhet 1 kan leverandøren ikke prise arbeidsomfang og arbeidsflyt riktig.

  Vedlegg 3 - Prisskjema, kostnadselement 1 (Ref. Krav: Sårbarhet 1)
• I prisskjemaets punkt 1 stilles det krav om «Hendelse 1-8, Brudd 1, 2, 3, 4 og 5 samt Sit-1». I Vedlegg 2 «Sjekkliste» beskrives disse temaene, men vi ber om at oppdragsgiver bekrefter nøyaktig hvilke leveranser som ligger i hver enkelt (Hendelse 1-8, Brudd 1-5 og Sit-1) for denne avtalen, og særlig hvilke som forventes som del av 24/7-tjenesten vs. som del av punkt 2 «Bistand til hendelseshåndtering ved behov».

  Konkrete grensedragninger mellom kostnadselement 1 og 2 er avgjørende for korrekt prising og leveranseforventninger.

  Vedlegg 3 - Prisskjema, kostnadselement 1 og 2 (Ref. Krav-lister)
• I prisskjemaets kostnadselement 2 «Bistand til hendelseshåndtering» angis «Beredskapsavtale pr år». Kan oppdragsgiver beskrive hva som inngår i selve beredskapsavtalen (hva leverandøren må ha på plass/tilgjengelig, responstid, omfang av tilgang til spesialister, og hvilke deler som ikke kan faktureres separat)?

  Beredskapsavtale kan være en «fast» kostnad med varierende innhold. Avklaring sikrer at leverandørens kapasitet og prismodell stemmer med kravene.

  Vedlegg 3 - Prisskjema, kostnadselement 2a
• I prisskjemaets kostnadselement 2 vises det til «Tillegg for utrykning til kunden for on-site-hendelseshåndtering». Hva er terskelen/kriteriene for når on-site er utløst, og hvilke geografiske reisevilkår og faktisk reise-/oppholdsomfang kan leverandøren forvente? (Gjelder dette hele Norge og er det forventet spesifikke frister for oppmøte?)

  On-site-utrykninger kan variere kraftig i kostnad. Leverandøren må kjenne utløsningskriterier og praktiske rammer for å prise riktig.

  Vedlegg 3 - Prisskjema, kostnadselement 2c
• I prisskjemaets kostnadselement 3 «Vurdering og rapportering (pris pr. år)» inngår «Visualisering av cybertrusler». Hvilke forventninger har oppdragsgiver til format og innhold (f.eks. månedlige/kvartalsvise dashboards, type visualisering, beslutningsgrunnlag for sikkerhetstiltak, og om dette skal leveres i et bestemt verktøy eller kan leveres som rapport/PowerBI/Cards/likn.)?

  Rapportering/visualisering kan være alt fra enkel status til omfattende analyseproduksjon. Det påvirker bemanning og kostnadsstruktur.

  Vedlegg 3 - Prisskjema, kostnadselement 3 (Ref. krav: visualisering/periodisk rapportering)
• I prisskjemaets kostnadselement 4 «medieovervåkning» skal oppdragsgiver varsles ved medieoppslag som kan berøre kundens verdier. Kan oppdragsgiver presisere hvilke «verdier» som omfattes, hvilke kilder/kanaler som skal overvåkes (f.eks. nyhetsmedier, blogger, sosiale medier), og hvilke alvorlighets- eller relevanskriterier som avgjør om et oppslag skal klassifiseres som varslingsverdig?

  Uten avklarte relevanskriterier og kildeomfang blir kostnaden for medieovervåkning vanskelig å estimere og kan gi uønsket støy (falske varsler).

  Vedlegg 3 - Prisskjema, kostnadselement 4 (Sit 4)
• Avtalen oppgir at «Oppdragsgiver eier beslutninger med høy risiko» (produksjonsstans, større segmentering, permanente brannmur-endringer, nedstenging av tjenester) og at leverandøren må kunne handle raskt under forhåndsgodkjente rammer. Kan oppdragsgiver beskrive hvordan «forhåndsgodkjente rammer» konkret er formulert (hvilke tiltak leverandøren kan iverksette uten særskilt godkjenning, og hvilke tiltak krever eksplisitt godkjenning) – og hvordan dette knyttes til hendelser i praksis?

  Dette styrer responstider, kompetanse og risiko for misforståelser. Leverandøren må vite hva som kan gjøres «on the fly» kontra hva som stopper opp og venter på godkjenning.

  Bilag 1: Kundens beskrivelse av oppdraget, «Gjennomgående forutsetninger» (punkt 1 og 2)
• I Avtalens punkt 2.5 og Bilag 3 er oppstart satt til 11.12.2026, og avtaleperioden er oppgitt som 2 år med opsjoner til total mulig avtalelengde 8 år. Kan oppdragsgiver bekrefte hvilke opsjoner som kan utløses (2+2+2 år) og om alle opsjoner utløses «automatisk» slik det står i bilaget, samt om oppsigelsesfrist før fornyelsestidspunktet (3 måneder) gjelder likt for begge parter?

  Opsjonsmekanismen påvirker leverandørens planlegging, bemanningskostnader og kontraktens økonomiske risiko.

  Bilag 3 - Prosjekt- og fremdriftsplan (Oppstart / tidsramme og opsjoner), samt sSA-O avtalens punkt 4. Varighet, avbestilling og midlertidig stans
• Avtalens punkt 7.1/7.2 og Bilag 1 med generelle sikkerhetskrav krever bl.a. ISO 27001-liknende styringssystem, rapportering av sikkerhetsbrudd, og relevant dokumentasjon for sikkerhetsklarering ved behov. For denne SOC/MDR/IRT-leveransen: kan oppdragsgiver presisere om leverandøren må tilby 24/7-personell som kan sikkerhetsklareres (og i så fall på hvilket nivå), og hvordan dette håndteres praktisk dersom enkeltpersoner ikke kan klareres før oppstart?

  Sikkerhetsklarering kan være tidskritisk for et 24/7-team. Avklaring er nødvendig for å forstå leveranseplan og risiko i oppstart og bemanning.

  Bilag 1 - Bilag – Generelle sikkerhetskrav til leverandører (Del I krav 5, 8, 9 og Del II krav 6), samt ssa-o_bilag (punkt 7.4 Leverandørklarering)

Konkurransedokumenter

Dokumentpakken er hentet automatisk fra ARTIFIK og samlet som ZIP-fil.

Registrer interesse i den opprinnelige dokumentportalen hvis konkurransen er aktuell. Da får du endringer, spørsmål og svar og eventuell supplerende informasjon direkte fra oppdragsgiver.

Åpne original dokumentportal

Egen dokumentvisning og automatisk dokumentanalyse rulles ut per dokumentportal. Originaldokumentene gjelder alltid ved tilbudsarbeid.