EU agency SESAR (Brussels) seeks help with ICT

Call: Provision of ICT coordination, cyber and information security, quality and information management services

Contracting Authority: Single European Sky ATM Research 3 (SESAR) Joint Undertaking

Total budget €2.200.000 / 4 years

Deadline 31/5

Short description: The purpose of this call is to provide the following services:

  • ICT coordination services;
  • Occasional support services on cyber and information security topics necessary to ensure compliance with regulations, including Regulation (EU) 2019/881 and ENISA instruments, possible future EU regulatory rules and compliance with the SESAR 3 Joint Undertaking Security, Information Management and Documentation Policy (including compliance with Regulation (EU) 2018/1725 (EUDPR);
  • Quality management services covering quality and information management activities appropriate for the maintenance and development of the SESAR 3 Joint Undertaking’s established Quality Management System (QMS) in accordance with its Quality Policy and industry best practice standards (ISO9001, etc.) and for the provision of administrative support for the existing Information Management System (IDMS) hosted on the SharePoint platform with its distributed site manager configuration.

The contract is divided into 3 (completely separate) parts:

Lot1 – Provision of ICT coordination services

Lot 1 will result in a direct service contract.

The services to be provided to the SESAR 3 Joint Undertaking will be performed in English and will include, but not be limited to:

(a) technical expertise: documenting for approval, technical and information strategy development through identification of technical solutions to be implemented; understanding and testing of ICT vendors/providers’ services and their proposed solutions in relation to meeting agreed user needs, system configuration constraints, alignment with Eurocontrol ICT system configuration where appropriate, data protection and security obligations through intervention at architecture, system design and deployment level, as well as support (first and second line);

(b) governance and communication: implementation of the SESAR 3 JU governance rules through preparation and active participation in the QICT, monitoring and reporting on the ICT infrastructure and service implementation to the QICT. Preparation of communication and training activities for users, where necessary;

(c) Supplier management: coordination of ICT activities between the SESAR 3 Joint Undertaking, representing its users, and external ICT suppliers/service providers providing operational services;

(d) service configuration/delivery management: preparation of service agreements, independent verification and measurement of the services provided by the external suppliers/service providers of the SESAR 3 Joint Undertaking ICT services and liaison and communication with the SESAR 3 Joint Undertaking management and users;

(e) Contract management: under the supervision of the SESAR 3 Joint Undertaking, act as technical expert for monitoring SESAR 3 ICT contracts and engage in procurement activities;

(f) project management: to act as technical expert for the SESAR 3 JU ICT project activities, whether the projects are led by external ICT contractors/service providers or result from internal corporate initiatives requiring SESAR 3 JU ICT involvement;

(g) ICT financial management: drafting the annual budget of the SESAR 3 ICT Joint Undertaking in the context of the preparation of the semi-annual work plan and monitoring its consumption through participation in the financial workflows as technical expert of the SESAR 3 Joint Undertaking and in subsequent negotiations with external ICT contractors/service providers;

(h) ICT asset management: maintenance of the inventory and configuration of assets owned/leased by the SESAR 3 Joint Undertaking and lifecycle management of owned and leased assets;

(i) process documentation/implementation, continuous improvement: advising the SESAR 3 Joint Undertaking on service improvement activities, including process documentation;

(j) compliance with the Data Protection Regulation 2018/1725 (EU DPR): full compliance with the data protection rules applicable to SESAR 3 JU, including the preparation of the necessary data protection records in relation to ICT-related processing activities and small-scale Data Protection Impact Assessments (DPIAs) or managing the preparation for large-scale DPIAs, where support from contracted external providers is required. In addition, the Data Protection Officer should be considered a stakeholder in all IT projects and should be involved in facilitating the protection of personal data processed by the relevant IT system. Data protection requirements shall be maintained and reviewed throughout the life cycle of each IT project and the successful bidder shall consult the Data Protection Officer for a full overview of the data protection requirements. All phases of the lifecycle (implementation, drafting, design, development, deployment and maintenance) of the IT system shall comply with the provisions of the EU DPR.

Budget for Lot 1 €940.000

Lot2 – Cyber and Information Security Services

Lot 2 will lead to the conclusion of a framework contract for the provision of services.

The services to be provided to the SESAR 3 Joint Undertaking will be performed in English and may include, but are not limited to:

(a) Cyber and information security expertise: develop an understanding of the SESAR 3 JU’s ICT and information configuration and related security requirements (data protection, security obligations and organisational needs) in order to develop and maintain the SESAR 3 JU’s cyber security strategy and plan;

(b) Data protection expertise: in order to demonstrate compliance with the regulations applicable to SESAR 3 JU (EU DPR). The Service Provider will contribute significantly to the implementation of large-scale Data Protection Impact Assessments (DPIAs) that could not be carried out with the limited resources available within SESAR 3 JU (e.g. migration of the existing SharePoint platform at the SESAR 3 JU site to a cloud-based SharePoint platform embedded in the MS TEAMS platform). These assessments will analyse, identify and minimise the data protection risks arising from the proposed developments/changes in ICT and information management of the SESAR 3 Joint Undertaking;

(c) ICT business continuity: in close connection with the above mentioned cyber and information security management services, it is necessary to ensure that the ICT business continuity management part of the SESAR 3 JU business continuity plan is up to date. Specifically, that the plan contains an appropriate set of assessed scenarios (involving ICT) of consequences and actions to be taken by the organisation and clear guidance for all those working within or with the SESAR 3 JU should the plan be implemented. The SESAR 3 Joint Undertaking already has such a plan in place since 2016, the responsibility of the selected contractor will start with reviewing, proposing updates and providing content for the SESAR 3 Joint Undertaking to update the plan, including the provision of related training to SESAR 3 staff where appropriate. Based on the above cybersecurity point, the future service provider may also be called upon to perform penetration tests to support the testing of cybersecurity and business continuity measures.

Budget €460.000

Lot 3 – Quality and Information Management Services

The services to be provided to the SESAR 3 Joint Undertaking will be performed in English and will include:

(a) quality management: this service will be implemented in accordance with best practices and standards, including ISO 9001. This includes responsibility for the role of the SESAR 3 Quality Manager, namely promoting a quality culture within the SESAR 3 Joint Undertaking, maintaining the Quality Management System (QMS) in accordance with the SESAR 3 Joint Undertaking Quality Policy and Quality Manual and training staff to raise awareness of process design and management competencies;

(b) Information and document management: this service includes the role of administrator and document manager to maintain the SESAR 3 Joint Undertaking’s information architecture and to provide support, functional and technical advice on the maintenance and development of its information and document management system (IDMS) and to improve the capability to use the European Commission’s HAN applications (Hermes, ARES, NomCom). Budget €800.000

Zakázka: Poskytování služeb koordinace IKT, kybernetické a informační bezpečnosti, řízení kvality a informací

Zadavatel: Společný podnik pro výzkum ATM jednotného evropského nebe 3 (SESAR)

Celkový budget €2.200.000 / 4 roky

Deadline 31/5

Stručný popis: Účelem této výzvy je zajistit následující služby:

— koordinační služby v oblasti IKT;

— příležitostné podpůrné služby týkající se témat kybernetické a informační bezpečnosti, které jsou nezbytné pro zajištění souladu s nařízeními, včetně nařízení (EU) 2019/881 a nástroji agentury ENISA, případnými budoucími pravidly v oblasti regulace EU a souladu s politikou bezpečnosti společného podniku SESAR 3, řízení informací a dokumentace (včetně souladu s nařízením (EU) 2018/1725 (EUDPR);

— služby řízení kvality pokrývající činnosti řízení kvality a informací vhodné pro údržbu a rozvoj zavedeného systému řízení kvality (QMS) společného podniku SESAR 3 v souladu s jeho politikou kvality a normami osvědčených postupů v odvětví (ISO9001 atd.) a pro poskytnutí administrátorské podpory pro stávající systém řízení informací (IDMS) hostovaný na platformě SharePoint s jeho distribuovanou konfigurací manažera pracoviště.

Zakázka je rozdělena na 3 (zcela samostatné) části:

Lot1 – Poskytování koordinačních služeb v oblasti IKT

Položka č. 1 povede k uzavření přímé smlouvy o poskytování služeb.

Služby, které budou poskytnuty společnému podniku SESAR 3, budou prováděny v angličtině a budou mimo jiné zahrnovat:

a) technickou odbornost: dokumentování ke schválení, vývojová technická a informační strategie prostřednictvím určení technických řešení, která mají být zavedena; porozumění a testování služeb dodavatelů/poskytovatelů IKT a jejich navrhovaných řešení v souvislosti s uspokojováním dohodnutých uživatelských potřeb, omezení konfigurace systému, případné sladění s konfigurací systému IKT organizace Eurocontrol, povinnosti v oblasti ochrany údajů a bezpečnosti prostřednictvím zásahu na úrovni architektury, návrhu systému a jeho zavedení, jakož i podpory (první a druhá linie);

b) správu a komunikaci: provádění pravidel řízení společného podniku SESAR 3 prostřednictvím přípravy a aktivní účasti ve výboru QICT, monitorování infrastruktury IKT a realizace služeb a podávání zpráv o nich výboru QICT. V případě potřeby příprava komunikačních a školicích činností pro uživatele;

c) řízení dodavatelů: koordinace činností v oblasti IKT mezi společným podnikem SESAR 3, zastupujícím jeho uživatele, a externími dodavateli/poskytovateli služeb v oblasti IKT, kteří poskytují provozní služby;

d) konfiguraci služby/řízení dodávky: příprava dohod o službách, nezávislé ověřování a měření služeb poskytovaných externími dodavateli/poskytovateli služeb v oblasti IKT společného podniku SESAR 3 a navazování kontaktů s vedením a uživateli společného podniku SESAR 3 a komunikace s nimi;

e) řízení zakázek: pod dohledem společného podniku SESAR 3 jednat jako technický odborník pro monitorování zakázek v oblasti IKT společného podniku SESAR 3 a zapojit se do činností týkajících se zadávacích řízení;

f) projektové řízení: vystupování jako technický odborník pro projektové činnosti v oblasti IKT společného podniku SESAR 3 bez ohledu na to, zda jsou projekty vedeny externími dodavateli / poskytovateli služeb v oblasti IKT nebo zda vyplývají z interních podnikových iniciativ vyžadujících zapojení IKT společného podniku SESAR 3;

g) finanční řízení IKT: návrh ročního rozpočtu společného podniku SESAR 3 v oblasti IKT v souvislosti s přípravou pololetního pracovního plánu a monitorováním jeho spotřeby prostřednictvím účasti na finančních pracovních postupech jako technický odborník společného podniku SESAR 3 a na následných jednáních s externími dodavateli / poskytovateli služeb v oblasti IKT;

h) správu aktiv IKT: vedení seznamu a konfigurace aktiv vlastněných/pronajatých společných podnikem SESAR 3 a správa životního cyklu vlastních a pronajatých aktiv;

i) procesní dokumentaci / realizaci, neustálé zlepšování: poradenství pro společný podnik SESAR 3 týkající se činností zlepšování služeb, včetně procesní dokumentace;

j) soulad s nařízením o ochraně údajů 2018/1725 (EU DPR): plné dodržování pravidel ochrany údajů platných pro společný podnik SESAR 3, včetně přípravy nezbytných záznamů o ochraně údajů v souvislosti s činnostmi zpracování souvisejících s IKT a posouzení vlivu na ochranu osobních údajů malého rozsahu (DPIA) nebo řízení přípravy na posouzení dopadu na ochranu údajů velkého rozsahu, pokud je nutná podpora ze strany smluvních externích poskytovatelů. Kromě toho by měl být pověřenec pro ochranu osobních údajů považován za zúčastněný subjekt všech projektů v oblasti IT a měl by být zapojen do usnadnění ochrany osobních údajů zpracovávaných příslušným systémem IT. Požadavky na ochranu údajů jsou udržovány a přezkoumávány během celého životního cyklu každého projektu v oblasti IT a úspěšný uchazeč konzultuje s pověřencem pro ochranu osobních údajů úplný přehled požadavků na ochranu údajů. Všechny fáze životního cyklu (zavádění, vypracování, návrh, vývoj, nasazení a údržba) systému IT musí být v souladu s ustanoveními nařízení EU DPR.

Budget pro lot 1 €940.000

Lot2 – Služby kybernetické a informační bezpečnosti

Položka č. 2 povede k uzavření rámcové smlouvy o poskytování služeb.

Služby, které budou poskytnuty společnému podniku SESAR 3, budou prováděny v angličtině a mohou mimo jiné zahrnovat:

a) odborné znalosti v oblasti kybernetické a informační bezpečnosti: rozvíjet chápání konfigurace IKT a informací společného podniku SESAR 3 a souvisejících bezpečnostních požadavků (ochrana údajů, bezpečnostní povinnosti a organizační potřeby) s cílem vytvořit a udržovat strategii a plán kybernetické bezpečnosti společného podniku SESAR 3. Poté systematicky monitorovat a hodnotit připravenost na hrozby, zajistit, aby byla zavedena zmírňující opatření, byly k dispozici vhodné scénáře obnovy a zaměstnanci a dodavatelé společného podniku SESAR 3 byli náležitě vyškoleni;

b) odborné znalosti v oblasti ochrany údajů: s cílem prokázat soulad s předpisy platnými pro společný podnik SESAR 3 (nařízení EU DPR). Poskytovatel služeb významně přispěje k provádění rozsáhlých posouzení vlivu na ochranu osobních údajů (DPIA), která by nemohla být provedena s omezenými zdroji dostupnými v rámci společného podniku SESAR 3 (např. přechod stávající platformy SharePoint na místě společného podniku SESAR 3 na platformu SharePoint v cloudu, zabudovanou do platformy MS TEAMS). Tato posouzení budou analyzovat, identifikovat a minimalizovat rizika v oblasti ochrany údajů vyplývající z navrhovaného vývoje / změn v řízení IKT a informací společného podniku SESAR 3;

c) kontinuitu provozu v oblasti IKT: v úzkém spojení s výše uvedenými službami řízení kybernetické a informační bezpečnosti je nutné zajistit aktuálnost části plánu řízení kontinuity provozu v oblasti IKT společného podniku SESAR 3. Konkrétně pak, že plán obsahuje vhodný soubor posuzovaných scénářů (zahrnujících IKT) důsledků a opatření, které musí organizace přijmout, a jasné pokyny pro všechny osoby pracující v rámci společného podniku SESAR 3 nebo spolupracujících s ním, pokud by měl být plán proveden. Společný podnik SESAR 3 má již takový plán od roku 2016, odpovědnost vybraného zhotovitele započne přezkumem, navržením aktualizací a poskytnutím obsahu pro společný podnik SESAR 3, který tento plán zaktualizuje, včetně případného poskytnutí souvisejícího školení zaměstnanců společného podniku SESAR 3. Na základě výše uvedeného bodu kybernetické bezpečnosti může být budoucí poskytovatel služeb rovněž vyzván k provedení penetračních testů na podporu testování opatření v oblasti kybernetické bezpečnosti a kontinuity provozu.

Budget €460.000

Lot 3 – Služby řízení kvality a informací

Služby, které budou poskytnuty společnému podniku SESAR 3, budou prováděny v angličtině a budou zahrnovat:

a) řízení kvality: tato služba bude realizována v souladu s osvědčenými postupy a normami, včetně normy ISO 9001. To zahrnuje odpovědnost za plnění úlohy manažera kvality společného podniku SESAR 3, konkrétně prosazování kultury kvality v rámci společného podniku SESAR 3, udržování systému řízení kvality (QMS) v souladu s příručkou společného podniku SESAR 3 o politice kvality a kvalitě a školení zaměstnanců zaměřené na zvýšení povědomí o kompetencích v oblasti tvorby procesů a jejich řízení;

b) řízení informací a dokumentů: tato služba zahrnuje plnění úlohy administrátora a správce dokumentů s cílem udržovat informační strukturu společného podniku SESAR 3 a poskytovat podporu, funkční a technické poradenství v oblasti údržby a vývoje jeho informačního systému a systému řízení dokumentů (IDMS) a zlepšit schopnost používat aplikace Evropské komise HAN (Hermes, ARES, NomCom). Budget €800.000