Servizi di IT System Management e Sicurezza informatica 2

Domanda : 1) Lotto 2 Economica All. Schema offerta economica Con riferimento allo schema di offerta economica per i servizi SOC di monitoraggio in tempo reale di eventi di sicurezza si chiede conferma che il canone annuo debba intendersi corrispondente al prezzo per ENTE per fascia di EPS indicata" 2)Lotto 2 Tecnica Capitolato tecnico, par. 4.2.6 “Servizio di Application Security Testing” Con riferimento al Capitolato tecnico par. 4.2.6 “Servizio di Application Security Testing”, ai fini della corretta definizione del costo del servizio, considerata la sostanziale differenza tra le diverse tipologie di test da effettuare e ai fini della comparabilità delle offerte economiche, si chiede di indicare le percentuali, ancorché indicative, della distribuzione delle attività di testing tra le tre tipologie richieste: sast, dast e sca. 3) Lotto 2 Tecnica Capitolato tecnico, par. 4.2.6 “Servizio di Application Security Testing” Con riferimento al Capitolato tecnico par. 4.2.6 “Servizio di Application Security Testing”, ai fini della corretta definizione del costo del servizio, considerata la sostanziale differenza di impegno uomo in ragione della complessità dell'applicazione su cui eseguire l'attività e ai fini della comparabilità delle offerte economiche, si chiede di indicare le percentuali, ancorché indicative, della distribuzione delle applicazioni oggetto di testing, in base alla complessità delle stesse: bassa (Applicazioni non complesse che consentono la visualizzazione di pagine di contenuto informativo (siti web statici) ); media (Applicazioni costituite da più form (siti web dinamici) e con funzionalità di autenticazione); alta (Applicazioni con funzionalità complesse e di tipo transazionale (ad esempio pagamenti)) 4) Lotto 2 Economica All.5 - Schema di offerta economica Lotto 2 Con riferimento al All.5 - Schema di offerta economica Lotto 2, considerando come l'attività abbia natura puntuale, ovvero realizzandosi tramite un'analisi puntuale del codice in un preciso momento/versione e ai fini della comparabilità delle offerte economiche, si chiede conferma che nel canone annuale indicato come unità di misura per il calcolo del servizio di "Application Security Testing (sistema di test dell'amministrazione o del fornitore) - ORARIO BASE", sia prevista una singola esecuzione di test, di una sola tipologia tra quelle richieste (sast, dast, sac) su una applicazione, nell'anno. In caso contrario, si chiede di indicare il numero di esecuzioni previste per ciascuna applicazione, nell'anno. 5) Lotto 2 Economica All.5 - Schema di offerta economica Lotto 2 Si chiede di confermare che gli enti in perimetro per il servizio "SOC - Monitoraggio in tempo reale di eventi di sicurezza (Base + Continuato, all EPS range)" siano stimati complessivamente in un totale di 221 Enti (60+25+15+3+70+30+15+3), mentre per il servizio di "Incident response & remediation - ORARIO CONTINUATO" la stima degli Enti ammonta a 300. 6) Lotto 2 Tecnica Capitolato tecnico, par. 4.2.7, "Servizi di Incident Response and Remediation" Con riferimento al Capitolato tecnico par. 4.2.7, "Servizi di Incident Response and Remediation", si chiede conferma che tutte le attività di contenimento saranno autorizzate dalla singola Amministrazione Contraente o dettagliate e disciplinate da specifici protocolli di comportamento e/o di workbook di gestione incidenti 7) Lotto 2 Tecnica Capitolato tecnico, par. 4.2.7, "Servizi di Incident Response and Remediation" Con riferimento al Capitolato tecnico par. 4.2.7, "Servizi di Incident Response and Remediation", relativamente a "Inoltre, dovrà svolgere un’attività di supporto [...] in funzione delle informazioni acquisite durante tutte le fasi di gestione dell’incidente", si chiede conferma che l'enforcement tecnologico richiesto si espliciti nella sola definizione del piano di remediation e non prevede l'implementazione delle azioni definite.

Risposta : Quesito 1: Si conferma.

Domanda : All.5 – Schema di offerta economica – Lotto 2 Nella descrizione del servizio di Threat Intelligence presente nel Capitolato Tecnico è indicato che per tale servizio possono essere richiesti APT feed, Threat sharing automatizzata, Asset tracker & data leak. Per una corretta valutazione economica di tale servizio si chiede di specificare: • quale siano le caratteristiche che descrivono concettualmente il “Dominio” come unità di misura del canone; • quale siano esattamente le categorie ed il numero massimo di elementi appartenenti a ciascuna di tali categorie incluse in un dominio.

Risposta :

Si tratta dei domini istituzionali che identificano l’ente e che solo esso può avere, oltre ad altri possibili domini internet registrati per progetti specifici e comunque registrati dall’ente o per conto dell’ente medesimo.

Nel contesto di un servizio di threat intelligence, a titolo indicativo e non esaustivo, sono da considerare ad esempio le seguenti categorie:

- data leak e credential leak relativi agli username e password di utenti dei domini dell’Amministrazione richiedente;

- reputazione dell’Ente ed eventuale inserimento in black-list;

- domini simili ma completamente estranei all’Amministrazione utilizzati per phishing e typosquatting.

Le informazioni relative al numero massimo di elementi saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Si chiede di confermare che, qualora ci siano soluzioni tecnologiche necessarie ad adeguare l'infrastruttura dell'amministrazione al rispetto del GDPR (es. Crittografia dei dati, introduzione di alta affidabilità sui server, infrastrutture di backup, pseudonimizzazione dei dati, etc.) queste saranno a carico dell’Amministrazione che potrà coinvolgere il fornitore quale esecutore di tali servizi aggiuntivi, in compliance con le regole imposte dall’Amministrazione e dal GDPR.

Risposta : Si veda la risposta al chiarimento n. PI174153-23 già pubblicata.

Domanda : Si chiede di confermare che qualora le misure tecniche e organizzative che devono essere implementate dal Fornitore, in materia di GDPR, comportassero oneri aggiuntivi, gli stessi saranno a carico delle singole Amministrazioni.

Risposta :

Si veda la risposta al chiarimento n. PI174153-23 già pubblicata.

Domanda : Con riferimento al capitolato tecnico § 4.2.2 pag. 39 "Servizio di conduzione operativa di apparati e sistemi di sicurezza" e ai chiarimenti PI124741-23, PI124739-23, PI124736-23 si chiede conferma che nell'ambito del servizio non è inclusa la manutenzione.

Risposta : Si conferma.

Domanda : Si chiede conferma che ai fini della determinazione del PREZZO OFFERTO è possibile considerare contratti di durata pluriennale (rif. § 3.1 del disciplinare).

Risposta : Il prezzo offerto per i servizi a canone deve corrispondere al canone annuale, indipendentemente dal fatto che contratto sia annuale o pluriennale.

Domanda : Si chiede di confermare che le singole Amministrazioni si siano dotate di uno strumento per la raccolta dei log di Sistema in accordo con i provvedimenti del Garante della Privacy per la registrazione degli accessi (Logon/Logout) degli Amministratori di Sistema.

Risposta :

Le informazioni richieste potranno essere fornite dalle singole Amministrazioni committenti in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.5 – Schema di offerta economica: per un equo confronto fra i partecipanti, si chiede se sia possibile definire un tetto massimo di riferimento degli EPS per le fasce relative ai Codici Regionali BS0003801 e BS0003805 ( >10.000 EPS).

Risposta : Non è possibile determinare con esattezza un tetto massimo degli EPS per la fascia indicata ( >10.000 EPS) , si consideri, però, che gli Enti in questa fascia dovrebbero essere in numero esiguo e non superare in maniera significativa la soglia indicata.

Domanda : Si chiede di confermare che verranno sottoscritti atti di nomina distinti per ciascuna delle società partecipanti all’RTI che effettueranno il trattamento di dati personali nell'esecuzione del servizio.

Risposta : Si conferma che questa è la regola.

Domanda : Si chiede di confermare che sarà il Titolare del Trattamento ad evadere le richieste degli interessati esercitate ai sensi degli art. 15-23 del GDPR e che al Fornitore verrà richiesto solo un supporto e un’assistenza nella raccolta delle informazioni necessarie all’evasione di tali richieste.

Risposta :

Si conferma quanto disposto negli artt. 15-23 del GDPR e che l’attuazione di tale normativa è competenza dell’Amministrazione committente con il supporto del fornitore ove richiesto.

Domanda : Si chiede di confermare che le misure tecniche e organizzative, in materia di GDPR, che devono essere applicate dal Fornitore sui singoli ordini, saranno fornite dalle singole Amministrazioni o in alternativa individuate congiuntamente con il Fornitore.

Risposta :

Si ricorda che tutte le Pubbliche Amministrazioni della Regione Emilia-Romagna potranno accedere ai servizi offerti dalla Convenzione e che, per gli Ordinativi, le misure tecniche ed organizzative in materia di GDPR, le decisioni e gli oneri connessi, sono di competenza della singola Amministrazione committente.

Domanda : All.5 – Schema di offerta economica – Lotto 2 Relativamente al servizio di Application Security Testing il cui canone annuo viene valutato in “Applicazioni”, si chiede di specificare quali siano i parametri di dimensionamento dell’Unità di misura “Applicazione” (es.: Function Point, linee di codice, numero di moduli, ecc.).

Risposta : Si precisa che per l''unità di misura indicata nello schema di offerta economica "Applicazione" non è necessario dettagliare ulteriormente i parametri di dimensionamento.

Domanda : Quesito 1 - Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2 , par. Offerta Economica - Lotto Numero:2, pag. 3, Servizio "Servizio di Incident response & remediation", si chiede quale sia la differenza tra incidente e segnalazione e quali siano le azioni previste nel caso di sforamento dei parametri indicati. Quesito 2 - Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2 , par. Offerta Economica - Lotto Numero:2, pag. 3, "Servizio di host hardening - ORARIO BASE", si chiede di definire meglio il concetto di DEVICE MODELS. Intuitivamente si potrebbe supporre le diverse tipologie di oggetti ma la numerosità prevista fa pensare che DEVICE MODELS sia il numero degli asset potenzialmente coinvolti. Quesito 3 - Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2 , par. Offerta Economica - Lotto Numero:2, pag. 3, "Servizio di security awareness - ORARIO BASE", si chiede di confermare che la soluzione per l'erogazione del servizio debba essere unicamente prevista dal fornitore (e non le eventuali in uso presso l'Amministrazione). Quesito 4 - Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2 , par. Offerta Economica - Lotto Numero:2, pag. 3, "Servizio di Application Security Testing (sistema di test dell'amministrazione o del fornitore) - ORARIO BASE", si chiede di fornire la numerosità stimata delle diverse tipologie di test per la singola applicazione oggetto del canone annuale. Nel Capitolato Tecnico non sono infatti forniti criteri atti a predefinire l'attività, ma solo la seguente specifica: "Le Amministrazioni potranno richiedere al Fornitore un servizio di analisi del codice sia di applicazioni web-based che mobile, applicazioni Agile e “containerizzate” il cui software (o parte di esso) è di loro proprietà o in riuso, collocate on-premise o in cloud.". Quesito 5 - Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2 , par. Offerta Economica - Lotto Numero:2, pag. 3, "Servizio di Application Security Testing (sistema di test dell'amministrazione o del fornitore) - ORARIO BASE ", si chiede di confermare se, nel caso in cui il sistema di test sia quello del fornitore, il costo della soluzione debba essere incluso o meno nel canone annuale". Quesito 6 - Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2 , par. Offerta Economica - Lotto Numero:2, pag. 3, "Servizio di Vulnerability Management - ORARIO BASE", si chiede di chiarire come verrà gestita la fornitura della soluzione "as a service" proposta dal fornitore in alternativa a quella presente nell'Amministrazione . Quesito 7 - Con riferimento al CAPITOLATO TECNICO, LOTTI 1 e 2, ALLEGATO 3, (RETTIFICATO), par. 4.2.5 Attività di Penetration Test, pag.41, si chiede di confermare che le attività previste verranno effettuate utilizzando le figure professionali (e non quotate come servizio specifico) . Quesito 8 - Con riferimento al CAPITOLATO TECNICO, LOTTI 1 e 2, ALLEGATO 3, (RETTIFICATO), par. 4.2.15 Servizio di Security Advisoring, pag.46, si chiede di confermare se le attività previste verranno effettuate utilizzando le figure professionali o debbano essere ricomprese all'interno del servizio di Monitoring SOC (come si potrebbe evincere dalla lettura del Capitolato Tecnico). Quesito 9 - Con riferimento al CAPITOLATO TECNICO, LOTTI 1 e 2, ALLEGATO 3, (RETTIFICATO), par. 4.2.16.6 Service Desk Sistemistico di Sicurezza Informatica, pag.50, si chiede di confermare che non è prevista una voce esplicita nella tabella di Offerta economica. Analoga considerazione è, in termini generali, estesa a tutte i paragrafi sottostanti il par. 4.2.16 "Servizi di Service e Performance Management".

Risposta : Quesito 1: L’incidente di sicurezza sottende a un evento o serie di eventi che hanno effettivamente impatto negativo sulla sicurezza o sulle performance dei sistemi come la violazione o la minaccia imminente di violazione di una policy di sicurezza informatica, di politiche di utilizzo accettabili o di prassi standard di sicurezza, correlato ad una violazione di dati o informazioni. In base alla tipologia di incidente viene definita una classificazione per severità (che determina gli SLA): BASSA, MEDIA, ALTA indicata nel par. 5.1.2.

Domanda : All.3 Capitolato Tecnico, Par.5.1, pag.53: si chiede di confermare che i servizi richiesti dalle singole Amministrazioni in modalità “presidio on-site” saranno remunerate in funzione dei giorni persona e delle figure che erogheranno (eventualmente in modalità continuativa) tali servizi, secondo gli importi indicati nell’offerta economica. Tale esigenza nasce dal fatto che la valutazione dei costi per una copertura H24 on-site è indirizzata dalla necessità di turnazione delle risorse piuttosto che dall’effort necessario e quindi non confrontabile con i costi di un modello di erogazione del servizio da remoto.

Risposta : Non si conferma quanto riportato nella domanda. Quali servizi siano a canone e quali a giornata/uomo è indicato nella documentazione di gara. La loro modalità di erogazione, ovvero on site o da remoto, è scelta dall'Amministrazione committente.

Domanda : Si chiede di confermare che la metrica "PIATTAFORME", relativa al servizio Sistemi SIEM, SOAR - ORARIO BASE -/ Sistemi SIEM, SOAR - ORARIO CONTINUATO -, sia riferita al numero di componenti (HW e SW) monitorate dal SIEM/SOAR e non al numero di sistemi SIEM/SOAR in uso/da gestire.

Risposta :

Si intende la piattaforma SIEM/SOAR nel suo complesso, indipendentemente dal numero di componenti hardware e software.

Domanda : In riferimento al par. 4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza all’interno dei servizi previsti, si legge: “In particolare, i servizi previsti, a titolo esemplificativo e non esaustivo, sono: - Servizio di gestione dei dispositivi di sicurezza perimetrale: il servizio consente di attuare la politica per la sicurezza sui dispositivi di difesa perimetrale dell’Amministrazione (per es. Firewall, VPN); - Servizi di Next Generation firewall; - Servizi di Web Application firewall” si chiede di specificare cosa si intende per NGF/WAF, quali sono le attività comprese e quali sono le differenze tra i servizi dei primi due punti (servizio di gestione dei dispositivi e NGF).

Risposta :

Le attività sono quelle di gestione delle diverse tipologie di sistemi indicati la cui differenza risiede nelle diverse funzionalità che un Ente ha attivato.

Domanda : DOMANDA 1 In caso di partecipazione di un costituendo RTI, si chiede di confermare che, nel rispetto delle quote di esecuzione complessive indicate in sede di offerta a livello di accordo quadro, sia possibile, nell’ambito dei singoli contratti esecutivi che verranno sottoscritti in attuazione dello stesso: a) modificare le quote di esecuzione di competenza di ciascun componente del RTI rispetto quelle indicate in sede di offerta; b) alla luce della sentenza del 28 aprile 2022 (causa C 642/20), con la quale la Corte di Giustizia dell’Unione Europea ha ritenuto la non conformità alla direttiva 2014/24/UE dell’art. 83, comma 8, del d.lgs. n. 50/2016, laddove prescrive l’obbligo della mandataria del RTI di possedere i requisiti ed eseguire le prestazioni oggetto dell’appalto in misura maggioritaria e, conseguentemente, ha dichiarato che “L’articolo 63 della direttiva 2014/24/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sugli appalti pubblici e che abroga la direttiva 2004/18/CE, deve essere interpretato nel senso che esso osta ad una normativa nazionale secondo la quale l’impresa mandataria di un raggruppamento di operatori economici partecipante a una procedura di aggiudicazione di un appalto pubblico deve possedere i requisiti previsti nel bando di gara ed eseguire le prestazioni di tale appalto in misura maggioritaria”, che la mandataria esegua le attività in misura minoritaria. DOMANDA 2 Chiarimento PI111855-23, Quesito 4: Poiché, nei casi in cui siano previste entrambe le tipologie di presidio (da remoto o on-site), ogni singola Amministrazione si riserva la facoltà di decidere la richiesta di servizi a seconda delle proprie esigenze, si chiede conferma che i servizi erogati da remoto sono da intendersi come fatturati a canone, mentre i servizi erogati on-site sono da intendersi come fatturati a giorni uomo. DOMANDA 3 Rif. All 5. Allegato 3 - § 5. pag. 53 Si chiede conferma che per le voci dalla 9 (Sistemi Firewall, IDS/IPS - ORARIO BASE) alla 16 (Sistemi SIEM, SOAR - ORARIO CONTINUATO) per “piattaforma un'infrastruttura costituita da componenti hardware e software per l'erogazione di servizi informatici tramite interfacce applicative e funzionalità specifiche” si intenda una console, di proprietà del cliente, già attiva per la gestione di un insieme di Sistemi Firewall, SIEM, ecc.

Risposta :

Domanda : In riferimento all'ART. 15 - Fatturazione e pagamenti - Punto 3) Il Fornitore si obbliga a presentare un rendiconto trimestrale di tutte le attività svolte nel corso del periodo di riferimento. Domanda: si chiede di confermare che sia possibile, in accordo con L'Amministrazione Contraente, concordare la modalita' e il periodo di fatturazione.

Risposta :

La fatturazione prevista in Convenzione ha periodicità trimestrale. Le modalità di fatturazione possono essere concordate con la singola Amministrazione per quanto non disposto dalla Legge, dalla Convenzione o da disposizioni interne all'Ente.

Domanda : In merito ai requisiti di capacità tecnica professionale di cui al par. 6.3 pag. 16 del disciplinare, con riferimento alla compilazione della sezione “C: capacità tecniche professionali (Articolo 83, comma 1, lettera c), del codice” del DGUE presente a sistema su SATER si chiede di confermare che nel campo a video denominato “ Valore specifico” debba essere inserito l’importo totale delle referenze possedute dal concorrente e di specificare meglio cosa si intende per “ Valore complessivo” e qual è l’importo richiesto per la corretta compilazione.

Risposta :

Premesso che per ogni referenza/contratto è necessario replicare i campi corrispondenti e che l'importo richiesto è quello fatturato nel triennio precedente la pubblicazione del bando sulla GUUE (per il periodo esatto si veda la risposta al chiarimento n. PI128903-23), l'indicazione è che tale importo venga inserito nel campo denominato "Valore specifico" mentre, nel campo denominato "Valore complessivo" si può riportare l'importo totale del contratto (coincidente o meno con quello fatturato).

Domanda : 4.2.4 Servizio di Vulnerability Management - Il paragrafo 4.2.4 del CT cita due diverse modalita' di erogazione del servizio. La prima prevede la piattaforma VM messa a disposizione da parte dell'Amministrazione Contraente e la seconda messa a disposizione dall'Aggiudicatario. L'All.5 (Schema di Offerta Economica) riporta una singola voce legata al servizio di VM non prevedendo la possibilita' di imputare prezzi diversi per le due casistiche descritte. Si chiede di chiarire come sia possibile remunerare, nel caso di messa a disposizione da parte dell'Aggiudicatario, il costo delle licenze.

Risposta :

Non risulta necessario prevedere nell'offerta economica alcuna distinzione rispetto alle due diverse modalità di erogazione del servizio in questione.

Domanda : 4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza - In riferimento alla frase "Il Fornitore deve garantire la continuità di esercizio degli apparati e sistemi di sicurezza anche a fronte di problemi particolarmente complessi", si chiede di confermare l'interpretazione che il servizio di conduzione operativa possa essere richiesto solo se accompagnato da una richiesta di servizio SOC e non sia possibile richiedere il primo senza il secondo. La deduzione deriva dal fatto che per avere visibilita' sui "problemi particolarmente complessi" sia necessario raccogliere ed analizzare log per effettuare il necessario troubleshooting, attivita' questa prevista e spesata nei servizi di SOC.

Risposta : I servizi in questione sono tra loro indipendenti. Si fa presente che possono sussistere realtà già dotate dell'uno o dell’altro servizio, acquisito attraverso altre convenzioni e non ancora scaduto.

Domanda : 4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza - In riferimento a quanto dichiarato nel documento "Determina di nuova rettifica n.366 del 26-05-2023" ossia "….è stato eliminato qualsiasi riferimento al servizio di manutenzione hardware (non richiesto).." si segnala che nel paragrafo in esame sono ancora presenti riferimenti a manutenzioni. Si chiede di confermare che qualsiasi riferimento a "manutenzioni" nel par. 4.2.2 sia un refuso.

Risposta : Nel paragrafo in questione non si fa riferimento a manutenzione “hardware” quindi non si tratta di un refuso.

Domanda : 5.2.1 Attività di supporto continuativo pag.57 CT - Si chiede di confermare che il supporto specialistico, al pari di quello di conduzione operativa, potra' essere erogato on site e da remoto e che la combinazione sara' concordata direttamente con le stazioni appaltanti durante le fasi di assesment.

Risposta : Si conferma.

Domanda : Con riferimento all’Articolo 24 - Danni, responsabilità civile e polizza assicurativa dello Schema di convenzione si chiede conferma che sarà possibile produrre una o più polizze già nella disponibilità delle aziende raggruppande, integrate e/o modificate affinché siano resi conformi all’appalto.

Risposta : Si conferma.

Domanda : 3) Con riferimento al servizio di Vulnerability Management (Par. 4.2.4 pag. 40) ai fini della corretta definizione del costo del servizio, considerata l'incidenza non trascurabile delle licenza incrementali della piattaforma software, ai fini della comparabilità delle offerte economiche e al fine di consentire la presentazione di una offerta consapevole a garanzia dell’ interesse pubblico alla selezione dell’impresa più idonea e nel rispetto dei principi di buon andamento dell’azione amministrativa e di imparzialità (ex art. 97 Cost.) si chiede di indicare in termini percentuali le Amministrazioni che dispongono di piattaforme atte all'erogazione del servizio.

Risposta :

Si consideri che la Convenzione è rivolta a tutte le Pubbliche Amministrazioni della Regione Emilia-Romagna. L'informazione richiesta sarà resa disponibile in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Con riferimento al servizio di monitoraggio degli eventi di sicurezza (Par. 4.2.1 del CT pag. 37) ai fini della corretta definizione del costo del servizio, considerata l'incidenza non trascurabile delle licenze incrementali relative alla piattaforma di monitoraggio e ai fini della comparabilità delle offerte economiche e al fine di consentire la presentazione di una offerta consapevole a garanzia dell’ interesse pubblico alla selezione dell’impresa più idonea e nel rispetto dei principi di buon andamento dell’azione amministrativa e di imparzialità (ex art. 97 Cost.) si chiede di indicare in termini percentuali anche indicativi le Amministrazioni che dispongono di piattaforme atte all'erogazione del servizio di monitoraggio.

Risposta : Si consideri che la Convenzione è rivolta a tutte le Pubbliche Amministrazioni della Regione Emilia-Romagna. L'informazione richiesta sarà resa disponibile in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.3 - Capitolato tecnico, Par. 4.2.13, pag 44: si chiede di confermare se tra il servizio di serurity awareness che deve essere offerto, è compresa anche l’attività di formazione tramite contenuti erogati attraverso la piattaforma, oppure solamente l’attività di valutazione tramite “phishing simulation attach” per valutare il livello di preparazione raggiunto dal personale. Si chiede di specificare esattamente quali servizi l’ente si attende di ottenere da questa richiesta. Se possibile anche dei razionali in termini quantitativi.

Risposta : Nel servizio di security awareness sono comprese entrambe le attività citate. Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.5 – Schema di offerta economica: si chiedono dettagli su come debba essere quotato il servizio di VULNERABILITY MANAGEMENT, che prevede due scenari distinti di erogazione del servizio, uno con strumenti forniti direttamente dall’Amministrazione e l’altro con fornitura di software da parte del Fornitore (comprensivo quindi di costi di licenze).

Risposta : Si veda la risposta al chiarimento n.PI127741-23 già pubblicata.

Domanda : All.5 – Schema di offerta economica: si chiedono dettagli su come debba essere quotato il servizio di “SOC – MONITORAGGIO…”, che prevede due scenari distinti di erogazione del servizio, uno con strumenti forniti direttamente dall’Amministrazione e l’altro con fornitura di software da parte del Fornitore (comprensivo quindi di costi di licenze).

Risposta : Si veda la risposta al chiarimento n.PI127741-23 già pubblicata.

Domanda : All.5 – Schema di offerta economica: si chiede di confermare che il valore di cui alla colonna “QUANTITA’” sia il volume indicativo nell’ambito del servizio dei complessivi 3 anni, proporzionabile a 1 terzo su base annua

Risposta : Si conferma.

Domanda : All.3 – Capitolato Tecnico, paragrafo 4.2.6, pag. 41 Relativamente al servizio di Application Security Testing valutato in “Applicazioni", si chiede di confermare che siano esclusi dal servizio i test in ambienti “containerizzati”, vista la necessità di ulteriori attività a supporto (ad es. componenti computazionali virtuali, attività progettuali ed ulteriori funzioni specialistiche).

Risposta : Gli ambienti “containerizzati” sono inclusi nel servizio di Application Security Testing.

Domanda : All.3 – Capitolato Tecnico, paragrafo 4.2.6, pag. 41 Relativamente al servizio di Application Security Testing, si chiede di specificare se le attività di test richieste (SAST, DAST, SCA) saranno eseguite negli ambienti di test di pre-produzione, messi a disposizione dell'Amministrazione.

Risposta : Si conferma.

Domanda : All.5 – Schema di offerta economica – Lotto 2 In riferimento all’unità di misura “Device model” in base alla quale viene calcolato il canone annuo del servizio di Servizio di Host Hardening (Orario continuato), si chiede di confermare che tra i device siano esclusi gli apparati elettromedicali.

Risposta : Si conferma.

Domanda : All.5 – Schema di offerta economica – Lotto 2 In riferimento all’unità di misura “Device model” in base alla quale viene calcolato il canone annuo del servizio di Servizio di Host Hardening (Orario continuato), si chiede di confermare che i sistemi considerati siano solo di tipo windows/linux.

Risposta :

Non si conferma, in quanto potranno essere oggetto del servizio altre tipologie di sistemi (es. Android, IoS, MacOS, etc...). Tali informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.5 – Schema di offerta economica – Lotto 2 In riferimento all’unità di misura “Device model” in base alla quale viene calcolato il canone annuo del servizio di Servizio di Host Hardening (Orario continuato), si chiede di specificare quanti apparati/sistemi sono inclusi al massimo in ciascun Device model.

Risposta : Le informazioni richieste saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.4b - Schema di offerta tecnica - Lotto 2 Si chiede di confermare che, a seguito della rettifica della documentazione di gara del 26/05/2023, lo “schema di offerta tecnica” sia rimasto invariato rispetto alla versione presente nella prima emissione della documentazione di gara.

Risposta : Si conferma.

Domanda : QUESITO 1 Riferimento Modello Offerta economica – Servizio di Security Awareness Si chiede di poter esprimere la quotazione del servizio con prezzi differenti per fasce di utenti in relazione al numero di utenti (per es. 0-1000, 1000-5000, ecc.) QUESITO 2 Riferimento Capitolato tecnico – Servizio di Security Awareness Si chiede di indicare numero minimo e numero massimo di utenti attivabili per ciascuna amministrazione/ente

Risposta : Risposta 1: Si conferma quanto disposto nella documentazione di gara come rettificata con la D.D.n.366/2023;

Domanda : Domanda 1 Rif. Capitolato Tecnico, 4.2.8 - Servizio di User and entity behavior analytics (UEBA), pag. 43 Si chiede conferma che la piattaforma UEBA su cui il fornitore deve erogare i servizi sia di proprietà dell’amministrazione Domanda 2 Rif. Capitolato Tecnico, 4.2.8 - Servizio di User and entity behavior analytics (UEBA), pag. 43 Ove la piattaforma su cui occorre erogare i servizi UEBA debba essere di proprietà del fornitore, al fine di poterla correttamente configurare, si chiede di avere le seguenti informazioni: il numero di utenti per i quali il servizio UEBA dovrà essere erogato. Domanda 3 Rif. Capitolato Tecnico, 4.2.8 - Servizio di User and entity behavior analytics (UEBA), pag. 43 Ove la piattaforma su cui occorre erogare i servizi debba essere di proprietà del fornitore, si chiede conferma che la soluzione da proporre debba essere in grado di monitorare e gestire sia gli eventi generati dai sistemi (Entity Behavior Analytics, che opera analizzando i log prodotti dai sistemi), che i comportamenti degli utenti (User Behavior Analytics, che opera analizzando i comportamenti degli utenti che non generano log). Domanda 4 Rif. All 5. Offerta Economica - Lotto Numero:2 – voce 5 e 6, pag. 3 Si chiede la quantità di apparati WAF da gestire nell’ambito dei canoni dei Sistemi WAF in ORARIO BASE e CONTINUATO in un anno nelle due fasce orarie. Domanda 5 Rif. All 5. Offerta Economica - Lotto Numero:2, - voce 7 e 8 pag. 3 In riferimento ai canoni dei Sistemi SIEM / SOAR ove il sistema da adottare debba essere di proprietà del fornitore, si chiede di conoscere il numero di eventi che il sistema proposto dovrà essere in grado di gestire in un’unità di tempo (ad esempio al secondo), misurato mediamente in un anno. Domanda 6 Si chiede di conoscere quale è l’elenco delle Amministrazioni che hanno aderito alla convenzione derivante dalla precedente gara Intercent CIG 7287025343 (appalto specifico per la fornitura di servizi di IT system management indetto nell’ambito del sistema dinamico di acquisizione – SDA), nonché, per ciascuna di queste, quali e quanti servizi a canone sono attivi allo stato e quali e quanti servizi a gg/uu sono stati richiesti nel corso del precedente periodo contrattuale.

Risposta : 1) Ogni singola Amministrazione si riserva la facoltà di adottare la soluzione di “Servizio di User and entity behavior analytics” (UEBA) che ritiene più idonea, anche su piattaforma del fornitore;

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: si chiede conferma che i servizi di -Vulnerability Assessment -Vulnerability Management -Penetration Test -Application Security Testing -Reportistica -Security advisoring -Service e Performance Management saranno remunerati in funzione dei giorni persona e delle figure che erogheranno tali servizi, secondo gli importi indicati nell’offerta economica.

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : All.5 – Schema di offerta economica: si chiedono i dettagli su come debba essere quotato il servizio SIEM, che prevede due scenari distinti di erogazione del servizio, uno con fornitura del prodotto da parte del Fornitore, l’altro con strumenti forniti dall’Amministrazione.

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023. In relazione al servizio SIEM/SOAR (par.4.2.2 del Capitolato e voci nn.15 e 16 dello schema di offerta economica) si richiede al fornitore di quotare esclusivamente un servizio di conduzione operativa degli apparati e sistemi di sicurezza in produzione presso l’Amministrazione committente.

Domanda : All.3 Capitolato Tecnico: nell’ambito dei Servizi di Manutenzione relativi al Lotto 2, si chiede conferma che le attività di manutenzione attese dal Fornitore non prevedano il costo del rinnovo del contratto manutentivo che sarà in carico all’Amministrazione.

Risposta :

La manutenzione hardware non è richiesta al Fornitore (si veda la documentazione come rettificata dalla D.D.n.366/2023), così come il costo del contratto manutentivo di prodotti di vendor terzi in uso presso le Amministrazioni sarà in carico all'Amministrazione stessa.

Domanda : All.3 Capitolato Tecnico, Par.4.2.2, pag.39: si chiede di fornire indicazioni sul numero di oggetti “SOC - Sistemi e apparati di rete/Firewall “ e “Firewall, IPS, IDS, WAF” attualmente gestiti per le varie Amministrazioni nell’ambito della Convenzione precedentemente stipulata dall’Agenzia e scaduta il 31/12/2022

Risposta :

Si considerino le quantità e i parametri indicati per singola voce nello schema di offerta economica come rettificato con D.D.n.366/2023.

Domanda : "4.2.8 Servizio di User and entity behavior analytics (UEBA) pag. 42 CT - In riferimento al punto ""…UEBA…"" si chiede conferma che e' richiesta l'erogazione di un servizio professionale di analisi del comportamento anomalo di utenti ed entita' da abilitare su piattaforme messe a disposizione delle Amministrazioni ma che non e' prevista la messa a disposizione di nuovi apparati o licenze in carico all'Aggiudicatario"

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ogni singola Amministrazione si riserva la facoltà di adottare la soluzione di “Servizio di User and entity behavior analytics” (UEBA) che ritiene più idonea, su apparati dell'amministrazione o del fornitore. Le informazioni richieste saranno fornite in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del capitolato tecnico.

Domanda : Con riferimento all'All.3 - Capitolato tecnico, par. 4.2.12 Servizio di host hardening, pag. 44, si chiede conferma che il servizio di host hardening si intenda relativo esclusivamente alle politiche e procedure ed eventuali operazioni sui sistemi saranno demandate al Fornitore dei servizi di IT System Management.

Risposta : Si conferma quanto riportato nella domanda, ad eccezione dei sistemi dedicati alla sicurezza per i quali le eventuali operazioni sono demandate al fornitore del servizio di conduzione operativa del Lotto 2 (par.4.2.2), se richiesto.

Domanda : Con riferimento all'All.3 - Capitolato tecnico, par. 4.2 Lotto 2 – Sicurezza Informatica, pag. 37, si chiede se nei futuri contratti di appalto specifico con le Amministrazioni i costi dei sistemi eventualmente necessari per garantire la continuità dell’erogazione dei servizi anche in caso di evento disastroso sono da considerarsi inclusi nel canone indicato nella Convenzione o dovranno essere quantificati separatamente.

Risposta : Premesso che si tratta di ordinativi di fornitura in convenzione e non di contratti di appalto specifico, si ricorda che il Fornitore deve implementare una soluzione, tecnica ed organizzativa, che consenta di garantire il ripristino delle funzionalità al fine di garantire l’erogazione dei servizi ed il rispetto dei requisiti di qualità contrattuali, come previsto in caso di evento disastroso.

Domanda : Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2 , par. Offerta Economica - Lotto Numero:2, pag 3, si chiede se, qualora non siano messe a disposizione dalle Amministrazioni, le infrastrutture necessarie per l'erogazione dei servizi a canone (inclusi strumenti HW e SW e relativi canoni di licenza e manutenzione, ove previsti) debbano essere incluse nel prezzo e, in tal caso come distinguere nell'accordo quadro i casi nei quali non ne sia previsto l'impiego.

Risposta :

Come indicato nel Capitolato il Fornitore deve erogare il servizio, a discrezione dell'Amministrazione committente, secondo una delle due seguenti modalità: 1) mettendo a disposizione una propria piattaforma; 2) utilizzando le piattaforme già eventualmente in utilizzo presso l’Amministrazione committente. Pertanto, non risulta necessario prevedere nell'offerta economica alcuna distinzione.

Domanda : "4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) pag. 35 CT - In riferimento alla frase ""…ogni altra dotazione necessaria, inclusi i cablaggi dalla terminazione di rete del Provider del collegamento ai locali CED dell’Amministrazione qualora se ne presentasse la necessità…"" si chiede conferma dell'interpretazione in base alla quale fa parte della dotazione da fornire a cura dell'Aggiudicatario solo quella inerente i cavi (es. cavi in rame, cavi/patch FO) o quella elettronica (TRX) e che rimane in capo all'Amministrazione la predisposizione dei cavedii e/o le opere murarie "

Risposta : Si conferma.

Domanda : 1) Con riferimento al Capitolato tecnico par. 4.2.4 “Servizio di Vulnerability Management”, si chiede conferma che, nei casi in cui sia prevista la richiesta di fornire “una piattaforma “as a service” dotata di appositi moduli di detection, agenti o dispositivi da installare presso i sistemi dell’Amministrazione”, il costo in termini di licenze debba essere valutato a parte, in fase di assessment, e comunque a carico dell’Amministrazione. In caso di non conferma si richiede di indicare come avvenga la remunerazione nei casi in cui sia prevista la richiesta di fornire alle amministrazioni “una piattaforma “as a service”. 2) Si chiede conferma che le attività di "progettazione, implementazione e messa in esercizio [...] dei cambiamenti alle infrastrutture tecnologiche e/o alle modalità di erogazione dei servizi [...]", di cui al paragrafo 4.2.3 Servizio di Vulnerability Assessment del Capitolato Tecnico siano condotte dall’Amministrazione o terzi da essa designati ad implementare le politiche di sicurezza.

Risposta : 1) Il servizio di Vulnerability Management è a canone (si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica"). Il canone offerto deve essere omni-comprensivo.

Domanda : All.3 Capitolato Tecnico, par. 4.2.2, Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza: si chiede di confermare che, relativamente agli incidenti HW/SW degli apparati, il ruolo del Fornitore del Lotto 2 sia limitato all’ingaggio delle società terze che forniscono servizi di manutenzione hardware e software sui sistemi gestiti.

Risposta :

Con riferimento al par. 4.2.2 in cui è scritto: “Il Fornitore deve garantire la continuità di esercizio degli apparati e sistemi di sicurezza anche a fronte di problemi particolarmente complessi.“, si richiede che la gestione preveda sia l’ingaggio delle società terze che forniscono i servizi di manutenzione, sia il supporto alle medesime e il controllo del completo e corretto ripristino del sistema e dei servizi.

Domanda : All.3 - Capitolato, par.4.2.6, Servizi di Application Security Testing, pag.41: si chiede conferma che tale servizio sia remunerato in gg/persona e che gli strumenti di DAST, SAST e SCA necessari per lo svolgimento del servizio saranno messi a disposizione dall’Amministrazione.

Risposta :

Domanda : All.3 Capitolato Tecnico, par. 4.2.2, Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza: si chiede di confermare che la possibilità di trasformazione del servizio da “as a service”” a quella di gestione di servizi / apparati in produzione presso l’Amministrazione e viceversa, sarà prevista già in fase di assessment e nel conseguente piano di servizi.

Risposta :

Si veda la risposta al chiarimento n. PI111876-23 (quesito n.4) già pubblicata e la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : All.3 Capitolato Tecnico, par. 4.2.2, Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza: si chiede conferma che il ruolo del Fornitore del Lotto 2 sia limitato alle attività di gestione degli ambiti o incident di sicurezza collaborando con l’Amministrazione o altro fornitore per le attività di manutenzioni correttive hardware.

Risposta :

Si conferma. La manutenzione hardware non è richiesta. Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : All.3 Capitolato Tecnico, Par.4.2.8, pag.43: in riferimento al Servizio di User and entity behavior analytics (UEBA) si richiede di confermare che la piattaforma sarà fornita dall’Amministrazione.

Risposta : Ogni singola Amministrazione si riserva la facoltà di adottare la soluzione di “Servizio di User and entity behavior analytics” (UEBA) che ritiene più idonea.

Domanda : All.3 Capitolato Tecnico, Par.4.2.13, pag.35: in riferimento al Servizio di Monitoraggio in tempo reale (SOC) si richiede di confermare che il sistema di accesso ai sistemi dell’Amministrazione sia in carico all’Amministrazione stessa in termini di gestione e configurazione. In caso contrario si chiede di indicare le tecnologie in uso.

Risposta : Si conferma.

Domanda : "L'ALL5 codice BS0003707 richiede di valorizzare la voce ""SOC - Servizio di User and entity behavior analytics (UEBA) - ORARIO CONTINUATO -"". Si chiede di confermare che la valorizzazione deve considerare solo il servizio di gestione/monitoraggio/analisi dei comportamenti ma non e' richiesta la messa a disposizione di tecnologia da parte dell'Aggiudicatario."

Risposta :

Nel caso del Servizio di User and entity behavior analytics (UEBA) - ORARIO CONTINUATO (e ORARIO BASE) per la valorizzazione delle relative voci dell'offerta economica si consideri che può anche essere richiesta la messa a disposizione della tecnologia da parte dell’Aggiudicatario. Si veda, anche, la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : "Nel Capitolato Tecnico all'interno dei servizi definiti ""a canone"" (§ 5.1, pag. 53) e' riportato: ""Il servizio può essere erogato sia in modalità di presidio on site che in modalità remota dal Centro Servizi del Fornitore."" Si chiede di confermare l'interpretazione che eventuali presidi onsite saranno concordati con l'Amministrazione Contraente durante la fase di Assessment iniziale e comunque le risorse professionali in presidio saranno attinte da quelle del supporto specialistico."

Risposta : È facoltà di ogni singola Amministrazione committente decidere la modalità con la quale il Fornitore deve erogare i servizi ma i servizi a canone restano tali a prescindere dalla modalità scelta, come riportato nel par.5.1 del Capitolato.

Domanda : "Il Capitolato Tecnico (§ 4.2.16.1, pag.47) riporta: “In coerenza con i processi in uso presso l’Amministrazione, è richiesto che il Fornitore utilizzi gli strumenti resi disponibili dall’Amministrazione per tracciare le attività a carattere operativo nonché le richieste di informazioni e di segnalazione di disservizio.” Si chiede conferma che, anche in analogia a quanto previsto per il Lotto 1, il Service Desk Sistemistico di Sicurezza Informatica dovrà utilizzare la piattaforma di ticketing (ITSM) messa a disposizione dall’Amministrazione."

Risposta : Si conferma.

Domanda : Si chiede di confermare che dove il Capitolato (§ 4.2.2, pag. 40) riporta: "Laddove l’Amministrazione opti per una gestione degli apparati e dei sistemi on site, per “Conduzione Operativa Apparati e Sistemi di Sicurezza”" si intenda la gestione di piattaforme HW/SW residenti presso l'Amministrazione e non sia richiesto personale di presidio presso l'Amministrazione stessa.

Risposta :

È facoltà di ogni singola Amministrazione committente decidere le modalità con cui il Fornitore deve erogare il servizio di Conduzione Operativa Apparati e Sistemi di Sicurezza, anche, eventualmente, richiedendo personale in presidio presso l'Amministrazione stessa.

Domanda : Con riferimento al lotto 2 (documento di riferimento: Capitolato Tecnico, 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) - pagina 33), nell'ambito del servizio SOC, i processi di gestione incidenti, le modalità di segnalazione allarmi, i template della reportistica, etc. verranno gestiti secondo unica modalità in comune per tutte le amministrazioni oppure saranno differenziati e personalizzati in funzione di ogni singola amministrazione?

Risposta :

È facoltà di ogni singola Amministrazione committente decidere le modalità con cui il Fornitore deve erogare il Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC).

Domanda : Con riferimento alla descrizione del "ServiceDesk Sistemistico di Sicurezza Informatica" (Capitolato Tecnico § 4.2.16.6, pag. 50) si chiede conferma che la funzione descritta dovrà essere erogata dal SOC nella cui descrizione (§ 4.2.1, pag. 33) è riportato "... ricevere, qualificare e gestire richieste di assistenza che potranno generarsi dal sistema di monitoraggio o tramite chiamata sia di personale dell’Amministrazione, sia di Help-desk di società terze che forniscono servizi di manutenzione su sistemi hardware e software utilizzati dall’Amministrazione stessa" e che tale funzione sia, quindi, remunerata all'interno della corrispondente voce dell'All.5.

Risposta :

La funzione descritta di "Service Desk Sistemistico di Sicurezza Informatica" non dovrà essere erogata dal Servizio “SOC - Monitoraggio in tempo reale di eventi di sicurezza”, ma è ricompresa in ciascuna delle voci dell'offerta economica dedicate al Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza (4.2.2) .

Domanda : Rif. Capitolato Tecnico Par. pag. 41, 4.2.6 Servizi di Application Security Testing Si chiede di specificare se la modalità di remunerazione del Servizio sia a gg/uu. Si chiede altresì di confermare che la piattaforma necessaria all’erogazione del servizio sia messa a disposizione dall’Amministrazione contraente.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Il servizio è a canone. L'amministrazione potrebbe anche richiedere al fornitore di mettere a disposizione la piattaforma necessaria all’erogazione del servizio .

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2, - voce 10 pag. 3 In riferimento ai canoni dei SOC - Servizio di threat intelligence / APT-feed / asset tracker & data leak si chiede conferma che le piattaforme necessarie all’erogazione del servizio siano già esistenti.

Risposta :

Il Servizio di threat intelligence / APT-feed / asset tracker & data leak si riferisce a piattaforme non in possesso dell’Ente.

Domanda : Con riferimento all'All.3 - Capitolato tecnico, par. 4.2.6 Servizi di Application Security Testing, pag. 42, si chiede, qualora non fosse messo a disposizione dall'Amministrazione uno strumento per l'esecuzione delle attività di application security testing (SAST, SCA, DAST), dove dovrebbe essere quantificato nello schema di offerta economica del lotto 2 il relativo costo.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : All.3 - Capitolato tecnico.pdf (4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Quesito: Si richiede di indicare se è obbligatorio realizzare un canale VPN ridondato con le amministrazioni. O in alternativa, se la presenza del canale ridondato può rappresentare un elemento tecnico di valutazione positiva della proposta.

Risposta :

Con riferimento al par.4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) la modalità di connessione sarà definita in sede di attivazione del contratto con le Amministrazioni Committenti durante la fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.3 Capitolato Tecnico, Par.4.2.11, pag.43: in riferimento al Servizio di threat intelligence, si richiede se sia possibile avere alcuni dati per il dimensionamento della piattaforma quali VIP, IP, App mobile, domini, etc….

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.3 Capitolato Tecnico, Par.4.2.10, pag.43: in riferimento al Servizio di Digital Forensic, si richiede di confermare che i software per l’erogazione del servizio saranno messi a disposizione dall’Amministrazione.

Risposta :

Per il Servizio di Digital Forensic sono previste giornate/uomo e nulla è dovuto per lo strumento che il Fornitore preferisce utilizzare.

Domanda : All.3 Capitolato Tecnico, Par.4.2.2, pag.38: in riferimento al Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza si richiede la quantità, tipologia e vendor degli apparati da gestire (NGFW, WAF, ecc)

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Le informazioni richieste in merito alle quantità e alle tipologie di apparati saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.3 Capitolato Tecnico, Par.4.2.1, pag.33: in riferimento al Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) si richiede di fornire un numero indicativo di Event Per Second (EPS) e quantità di apparati e tipologie nel perimetro di monitoraggio.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: si chiede di chiarire a cosa corrisponda il valore “Quantità” della voce in offerta economica “Servizio di security awareness - ORARIO BASE”. In particolare se indichi il numero di Utenti target di cui al servizio sopra citato o debba essere interpretato in altro modo.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: si chiede di chiarire a cosa corrisponda il valore “Quantità” della voce in offerta economica “SOC - Servizio di User and entity behavior analytics (UEBA) - (orario Continuato)”. In particolare se indichi il numero di Utenti di cui al servizio sopra citato o debba essere interpretato in altro modo.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: si chiede di confermare che i valori nella colonna “Quantità” delle voci in offerta economica: “SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) (orario Base e Continuato)” “SOC - Servizio di Incident response & remediation (orario Continuato)” “SOC - Servizio di threat intelligence / APT-feed / asset tracker & data leak - (orario Continuato)” indichino il numero di apparati di cui al servizio “Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC)”. In caso contrario si chiede di specificare a cosa corrisponde il valore indicato nella colonna Quantità.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: si chiede di confermare che i valori nella colonna “Quantità” delle voci in offerta economica: “SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) (orario Base e Continuato)” “SOC - Servizio di Incident response & remediation (orario Continuato)” “SOC - Servizio di threat intelligence / APT-feed / asset tracker & data leak - (orario Continuato)” indichino il numero di apparati di cui al servizio “Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC)”.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: si chiede di confermare che le voci in offerta economica: “SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) (orario Base e Continuato)” “SOC - Servizio di Incident response & remediation (orario Continuato)” “SOC - Servizio di threat intelligence / APT-feed / asset tracker & data leak - (orario Continuato)” “SOC - Servizio di User and entity behavior analytics (UEBA) - (orario Continuato)” siano relative al servizio" “Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC)”.

Risposta :

Si tratta di servizi indipendenti fra loro che un’Amministrazione può richiedere o meno.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: si chiede di confermare che per le voci in offerta economica: “Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) (orario Base e Continuato)” “Sistemi WAF (orario Base e Continuato)” “Sistemi SIEM, SOAR (orario Base e Continuato)” i valori nella colonna “Quantità” si riferiscano al numero di apparati da gestire. In alternativa si chiede di specificare a cosa corrisponde il valore indicato nella colonna Quantità.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: si chiede di confermare che le voci in offerta economica: “Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) (orario Base e Continuato)” “Sistemi WAF (orario Base e Continuato)” “Sistemi SIEM, SOAR (orario Base e Continuato)” siano relative al servizio “Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza”

Risposta : Si conferma.

Domanda : All.3 Capitolato Tecnico, Par.4.2.16.6, pag.50: si chiede di confermare che gli utenti che contatteranno il “ServiceDesk Sistemistico di Sicurezza Informatica” saranno unicamente i referenti tecnici delle Amministrazioni contraenti.

Risposta :

Come riportato nel paragrafo 4.2.16.6: “E’ compresa l’assistenza agli utenti per problematiche che riguardano specifici incidenti di sicurezza che coinvolgono le postazioni di lavoro e gli utenti medesimi.”

Domanda : All.3 Capitolato Tecnico, Par.5.2.1, pag.56: si chiede di confermare che per le attività di “Supporto Continuativo” la singola figura professionale si intende impiegata per 220 giorni l’anno.

Risposta : Si conferma.

Domanda : All.3 Capitolato Tecnico, par.5.1.3, pag.55-56: in riferimento al punto relativo alla Reperibilità individuale “(…) pertanto viene prevista una remunerazione differente per la reperibilità di ciascuna figura professionale”, si chiede di indicare dove il valore di tale reperibilità debba essere inserito nell’offerta economica. In caso tale valore venga calcolato in automatico partendo dalla tariffa giornaliera si chiede di indicare la percentuale della stessa.

Risposta : Si veda la risposta al chiarimento n.PI127849-23 già pubblicata.

Domanda : In riferimento ai codici BS0003697 e BS0003698, si chiede di confermare che il modello di erogazione del servizio non preveda la messa a disposizione di risorse in presidio on site in quanto porterebbe ad un dimensionamento delle stesse che non si avvantaggi dell'efficientamento legato ad un servizio centralizzato specie in caso di servizio erogato in h24

Risposta :

È facoltà di ogni singola Amministrazione committente decidere la modalità con la quale il Fornitore deve erogare il Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) e potrebbe essere richiesto on-site il servizio completo in orario continuato.

Domanda : "L'ALL5 codice BS0003707 richiede di valorizzare la voce ""SOC - Servizio di User and entity behavior analytics (UEBA) - ORARIO CONTINUATO -"". In caso sia richiestola messa a disposizione di tecnologia da parte dell'Aggiudicatario, si chiede quale sia la dotazione media o massima richiedibile da una Amministrazione in termini di EndPoint. In sostanza si tratta di fornire licenze per 100 endpoint, per 1000 endpoint o per 3000 endpoint, altro?"

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : "Il Capitolato Tecnico all'interno dei servizi definiti ""a canone"" (§ 5.1, pag. 53) riporta: ""La remunerazione dei servizi è a canone ed è basata sulla dimensione e le caratteristiche dell’infrastruttura tecnologica oggetto del servizio stesso, ovvero è indipendente dal numero e dalla tipologia di risorse professionali impiegate dal Fornitore."" Si segnala che non sono presenti all'interno del CT informazioni per poter determinare anche approssimativamente i seguenti item: 1) la ""dimensione e le caratteristiche dell’infrastruttura tecnologica oggetto del servizio stesso"" 2) il numero di ""risorse professionali impiegate dal Fornitore"" sia nel caso di presidio da remoto sia, ancora piu' oneroso, nel caso di presidio on site 3) qualsiasi servizio di ""conduzione operativa che implichi il noleggio operativo di apparati"" 4) qualsiasi servizio di ""conduzione operativa su apparati dell'Amministrazione Contraente"" Si chiede di fornire informazioni aggiuntive che permettano di stimare seppur indicativamene e a grandi linee, senza alcun impegno di acquisto, il potenziale fabbisogno delle Amministrazioni Contraenti."

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : "Il Capitolato Tecnico al par. 4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza riporta: ""Servizio di telemetria, xDR/EDR e NDR: server, mail, endpoint, reti detection and response;"". In caso sia richiesto l'erogazione di un servizio di conduzione su tecnologia messa a disposizione da parte dell'Aggiudicatario, si chiede quali siano i razionali di dimensionamento (es. 10 pdl, 100 pdl, 1000 pdl) per poter stimare la voce a canone nell'ALL.5 "

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023. In relazione al paragrafo 4.2.2 si richiede al fornitore di quotare esclusivamente un Servizio di Conduzione operativa degli apparati e sistemi di Sicurezza in produzione presso l’Amministrazione committente.

Domanda : "Nel CT ALL3. al par. 4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza e' riportato ""È richiesto al Fornitore di erogare servizi di sicurezza nella modalità “as a service” o comunque in una modalità atta a gestire apparati di sicurezza informatica in produzione presso l’Amministrazione."" e nell'ALL5 e' riportato, alla voce BS0003699, ""Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) - ORARIO BASE"". Se nella modalita ""as a service"" e' richiesto la messa a disposizione di appliance/dispositivi/licenze da parte dell'Aggiudicatario, al fine di formulare un'offerta congrua, si chiede quale sia la possibile dotazione media o massima di una Amministrazione in termini di numerosita' e size di Firewall , numerosita' e size di WAF, numerosita' di licenze EDR/XDR, traffico di rete NDR, EPS o GB/s di log SIEM, licenze SOAR."

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023. In relazione al paragrafo 4.2.2 si richiede al fornitore di quotare esclusivamente un Servizio di Conduzione operativa degli apparati e sistemi di Sicurezza in produzione presso l’Amministrazione committente. Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : In riferimento alla voce BS0003708 Servizio di host hardening - ORARIO BASE: Si chiede di indicare le tipologie di Sistemi Operativi presenti nelle Amministrazioni

Risposta :

Si consideri che tutte le Pubbliche Amministrazioni della Regione Emilia-Romagna potranno accedere ai servizi offerti dalla Convenzione e che informazioni di maggior dettaglio saranno rese disponibili in fase di assessment e definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico. Inoltre, si sottolinea che un elenco è fornito a puro titolo indicativo e non esaustivo nel paragrafo 3.2 del Capitolato Tecnico.

Domanda : "Il CT al par. 4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza recita: ""Questi servizi dovranno poter essere attivati o disattivati dall’Amministrazione, anche in forma modulare e potranno essere altresì trasformati dalla modalità di erogazione “as a service” a quella di gestione di servizi / apparati in produzione presso l’Amministrazione e viceversa"". Qualora la definizione di ""As a Service"" implichi la messa a disposizione di tecnologia (appliance), visto l'impegno finanziario relativo all'acquisto di cespiti da parte dell'Aggiudicatario, si chiede conferma che la trasformazione da una modalita' all'altra preveda un periodo di preavviso almeno di 6 mesi."

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023. In relazione al paragrafo 4.2.2 si richiede al fornitore di quotare esclusivamente un Servizio di Conduzione operativa degli apparati e sistemi di Sicurezza in produzione presso l’Amministrazione committente.

Domanda : In riferimento al CT par. 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC), si chiede di confermare l'interpretazione in base alla quale nella voce di ALL5 numero 1 e 2 vanno quotati solo I servizi professionali di monitoraggio (impegno di risorse) mentre gli oneri di piattaforma (SIEM) vanno imputati nelle voci 7, 8.

Risposta :

Le voci relative ai SIEM/SOAR (nn.15 e 16 dopo la rettifica) sono riferite al servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza per gestire apparati di sicurezza informatica in produzione presso le Amministrazioni. Le voci relative al “SOC - Monitoraggio in tempo reale di eventi di sicurezza” (nn.1-10 dopo la rettifica) prevedono l’utilizzo di apparati in uso presso le Amministrazioni o forniti dal Centro Servizi del Fornitore.

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alla voce di listino BS0003709 (Servizio di security awareness - ORARIO BASE) da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alla voce di listino BS0003708 (Servizio di host hardening - ORARIO BASE) da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alla voce di listino BS0003707 (SOC - Servizio di User and entity behavior analytics (UEBA) - ORARIO CONTINUATO) da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alla voce di listino BS0003706 (SOC - Servizio di threat intelligence / APT-feed / asset tracker & data leak - ORARIO CONTINUATO) da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alla voce di listino BS0003705 (SOC - Servizio di Incident response & remediation - ORARIO CONTINUATO) da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alle voci di listino BS0003703 e BS0003704 (Sistemi SIEM, SOAR - ORARIO BASE E ORARIO CONTINUATO). Nella descrizione dell'item è scritto Sistemi SIEM, SOAR, e quindi si chiede conferma che il canone sia riferito ad un singolo appliance, o in alternativa a cosa sia riferirito come metrica il canone da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alle voci di listino BS0003701 e BS0003702 (Sistemi WAF - ORARIO BASE E ORARIO CONTINUATO) . Nella descrizione dell'item è scritto Sistemi WAF, e quindi si chiede conferma che il canone sia riferito ad un singolo WAF, o in alternativa a cosa sia riferirito come metrica il canone da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alle voci di listino BS0003699 e BS0003700 (Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) - ORARIO BASE E ORARIO CONTINUATO). Nella descrizione dell'item è scritto Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR), e quindi si chiede conferma che il canone sia riferito ad un singolo apparato Firewall e/o ad un singola licenza EDR, o in alternativa a cosa si debba riferire il canone da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alle voci di listino BS0003697 e BS0003698 (SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) - ORARIO BASE E ORARIO CONTINUATO). Ad esempio se si ci si riferisca ad una Amministrazione, ad una sede, ad un apparato da monitorare.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : "Il Capitolato Tecnico (§ 7.1, pag. 61) riporta: ""Con riferimento alle attività, relative ai soli apparati per i quali l’Amministrazione richieda il servizio di manutenzione HW, il Fornitore dovrà preliminarmente... determinare il “valore di manutenzione” dell’apparato."" Nel caso in cui il servizio di manutenzione HW rientri all'interno dei servizi richiesti per il Lotto 2, si chiede di specificare la modalità di remunerazione del servizio richiesto a partire dal ""valore di manutenzione"" determinato."

Risposta :

La manutenzione hardware non è richiesta. Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : "Il Capitolato Tecnico (§ 7.1, pag. 61) riporta: ""Con riferimento alle attività, relative ai soli apparati per i quali l’Amministrazione richieda il servizio di manutenzione HW, il Fornitore dovrà preliminarmente... determinare il “valore di manutenzione” dell’apparato."" Si chiede di confermare che il servizio di manutenzione HW non rientri all'interno dei servizi richiesti per il Lotto 2."

Risposta : Si conferma. Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : "Il Capitolato Tecnico (§ 5.1.3, pag. 55) riporta: ""Per le attività di conduzione operativa e di supporto specialistico, l’Amministrazione può richiedere interventi onsite al di fuori del normale orario di lavoro a seguito di malfunzionamenti o eventi collegati alla sicurezza informatica, oppure estensioni temporanee dell’orario di servizio per esigenze contingenti di durata limitata nel tempo che richiedano la piena disponibilità del personale di conduzione e/o di supporto oltre l’orario standard."" Si richiede il modello di remunerazione previsto per gli interventi fuori orario non essendo presente alcuna voce specifica all'interno dell'All.5."

Risposta : Si veda la risposta al chiarimento n.PI127849-23 già pubblicata.

Domanda : "Il Capitolato Tecnico (§ 5.1.3, pag. 55) riporta: ""Il modello di remunerazione previsto per il servizio di reperibilità standard è basato su un canone annuale complessivo calcolato in base ai valori scelti per le variabili già descritte nel dettaglio al paragrafo 5.1.2."" Si chiede di chiarire quali siano le variabili descritte nel par. 5.1.2 e come possano essere declinate all'interno del modello di remunerazione definito nell'All.5."

Risposta :

Si veda la risposta al chiarimento n.PI127849-23 già pubblicata.

Domanda : "Il Capitolato Tecnico all'interno dei servizi definiti ""a canone"" (§ 5.1, pag. 52) riporta: ""Nell’ambito della presente Convenzione sono definite due distinte modalità di presidio del servizio: -Presidio on-site: i servizi sono erogati da personale del Fornitore allocato fisicamente nella sede dell’Amministrazione, quindi con risorse dedicate. Sarà cura dell’Amministrazione mettere a disposizione del fornitore degli strumenti ed i software necessari all’erogazione del servizio. -Presidio remoto: i servizi sono erogati mediante connessione telematica da personale del Fornitore allocato nella propria sede. Nel costo del servizio è inclusa, in particolare, la messa a disposizione del Centro Servizi stesso e degli strumenti in esso presenti e dei software necessari all’erogazione del servizio."" L'erogazione con personale dedicato on-site non consente l'ottimizzazione dell'uso delle risorse e dei relativi costi di un servizio erogato da remoto utilizzando un Centro Servizi. Si richiede, quindi, al fine di formulare la migliore offerta per i servizi richiesti come possano essere distinte le due diverse modalità di erogazione all'interno delle diverse voci previste nell'All.5. "

Risposta :

È facoltà di ogni singola Amministrazione committente decidere la modalità con la quale il Fornitore deve erogare i servizi. Si veda anche la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : Con riferimento ai "Servizi di Application Security Testing" descritti nel Capitolato (§ 4.2.6, pag. 41) si richiede su quale voce dell'All.5 si intendano remunerati e le specifiche metriche previste (es. numero di applicazioni analizzate).

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : "Il Capitolato (§ 4.2.4, pag. 41) riporta: ""Per l’Amministrazione già dotata di un sistema di Vulnerability Management ... si richiede al Fornitore il supporto per la gestione della piattaforma e la predisposizione della reportistica ... Differentemente l’Amministrazione può richiedere al Fornitore la fornitura di una piattaforma “as a service” dotata di appositi moduli di detection, agenti o dispositivi da installare presso i sistemi dell’Amministrazione, con la collaborazione del Fornitore, in grado di raccogliere le informazioni e consentire la produzione dei report nelle stesse modalità sopra riportate."" L'All.5 (Schema di Offerta Economica) non riporta una voce legata al servizio di VM. Nella prima ipotesi, piattaforma dell'Amministrazione, è ipotizzabile l'utilizzo del supporto specialistico con quotazione di giornate/uomo. Si richiede su quale voce dell'All.5 si intenda remunerata la modalità ""as a service"" descritta che richiede un impegno importante sia a livello di servizi professionali che di licenze di piattaforme."

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : "Il Capitolato (§ 4.2.2, pag. 38) riporta: ""E' richiesto al Fornitore di erogare servizi di sicurezza nella modalità “as a service” o comunque in una modalità atta a gestire apparati di sicurezza informatica in produzione presso l’Amministrazione."" Si chiede conferma che i soli servizi ""as a service"" richiedibili dalle Amministrazioni siano quelli che prevedono l'utilizzo di piattaforme centralizzate presso il Centro servizi del fornitore (es. SIEM, SOAR, Threat Intelligence) e che per tutti gli altri servizi riportati (es. Firewall, WAF, etc.) siano da prevedere esclusivamente servizi di Conduzione Operativa che non implichino messa a disposizione di piattaforme HW e SW da installare c/o l'Amministrazione."

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023. In relazione al par.4.2.2 si richiede al fornitore di quotare esclusivamente un Servizio di Conduzione operativa degli apparati e Sistemi di Sicurezza in produzione presso l’Amministrazione committente.

Domanda : Lotto 2 Capitolato tecnico, par. 4.2.7, "Servizi di Incident Response and Remediation" Con riferimento al Capitolato tecnico par. 4.2.7, "Servizi di Incident Response and Remediation", si chiede di confermare che l'attività di isolamento dei "sistemi compromessi […] e gestione corretta dell’analisi forense" venga svolta in modo concordato con l’Amministrazione e coinvolgendo gli altri soggetti deputati alla gestione dell’incidente.

Risposta : Si conferma.

Domanda : "Il Capitolato (§ 4.2.1, pag.33) riporta: ""...il Fornitore deve disporre del servizio SOC all’interno del proprio Centro Servizi per l’Operatività da Remoto, da mettere a disposizione delle Amministrazioni che facciano richiesta di servizi da erogare mediante tale modalità operativa."" Si chiede conferma che il Servizio SOC descritto nel presente paragrafo sia alla base di tutti i servizi descritti nel seguito del Capitolato, al netto dei servizi professionali, e che quindi debba essere richiesto obbligatoriamente dal singolo sottoscrittore per poter accedere a tutti i servizi erogabili dal Centro Servizi da remoto quali Firewall, SIEM, WAF, etc."

Risposta :

Ogni singola Amministrazione si riserva la facoltà di richiedere uno qualsiasi dei servizi riportati nel capitolato tecnico e nello schema di offerta economica. Ad esempio, un' Amministrazione potrebbe richiedere un servizio di Conduzione Operativa e Sistemi di Sicurezza on site pur non avvalendosi dei servizi di un SOC.

Domanda : Con riferimento al lotto 2 (documento di riferimento: Capitolato Tecnico, 5.1.1 Orari del servizio - pagina 54), le attività di "Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC)" che saranno richieste on-site presso le singole amministrazioni, prevedono che sia da svolgersi on-site la sola finestra "Orario Base" oppure potrebbe essere richiesto on-site il servizo completo in H24?

Risposta :

È facoltà di ogni singola Amministrazione committente decidere la modalità con la quale il Fornitore deve erogare i Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC), per cui potrebbe essere richiesto on-site il servizio completo in orario continuato.

Domanda : Con riferimento al lotto 2 (documento di riferimento: Capitolato Tecnico, 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) - pagina 37), le attività di "SOC" da svolgersi mediante SIEM già a disposizione della singola amministrazione, verranno effettuate necessariamente on-site presso sede dell'amministrazione o potranno essere erogate remotamente dal centro servizi del fornitore?

Risposta :

Come riportato nel Paragrafo 5.1: “I servizi di “Monitoraggio sistemi e reti”, “Monitoraggio in tempo reale di eventi di sicurezza” e “Conduzione operativa” possono essere erogati sia in modalità di presidio on site che in modalità remota dal Centro Servizi del Fornitore, a seconda delle preferenze dell’Amministrazione”. Pertanto, è facoltà di ogni singola Amministrazione Committente decidere la modalità, on-site o da remoto, con la quale il Fornitore deve eventualmente erogare i servizi, secondo le specifiche esigenze della committenza.

Domanda : Con riferimento al lotto 2 (documento di riferimento: Capitolato Tecnico, 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) - pagina 34), in relazione alla richiesta "effettuare gestione, verifica, analisi, correlazione, storicizzazione e conservazione a norma delle informazioni raccolte nei file di log delle infrastrutture di sicurezza e di rete e degli allarmi generati", si chiede se la raccolta e storicizzazione su SIEM esterno del fornitore sia da considerarsi valida esclusivamente per il caso di SIEM "as a service", cioè nella casistica in cui l'amministrazione non disponga di un proprio SIEM, o è da attivarsi sempre in parallelo anche in casistiche dove è già presente un SIEM della singola amministrazione che può quindi già provvedere in autonomia a raccolta e storicizzazione degli eventi?

Risposta :

Si conferma che l’interpretazione corretta è che “la raccolta e storicizzazione su SIEM esterno del fornitore sia da considerarsi valida esclusivamente per il caso di SIEM "as a service", cioè nella casistica in cui l'amministrazione non disponga di un proprio SIEM”.

Domanda : Con riferimento al lotto 2 (documento di riferimento: Capitolato Tecnico, 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) - pagina 33), fermo restando i requisiti richiesti in gara per l'erogazione di servizi SOC da remoto (es. tracciatura degli accessi, autenticazione e profilazione utenze, etc.), è possibile ipotizzare che il "Centro Servizi remoto" sia dislocato su più sedi e che quindi le singole amministrazioni possano connettersi a differenti sedi del Centro Servizi?

Risposta :

E' possibile purché ogni singola amministrazione faccia riferimento ad una sola sede del Centro Servizi remoto ed il servizio offerto sia uniforme a prescindere dalle sedi di erogazione di quest’ultimo.

Domanda : Con riferimento al lotto 2 (documento di riferimento: Capitolato Tecnico, 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) - pagina 33), esiste un volume minimo garantito per l'erogazione del servizio SOC già noto in fase di attivazione del servizio? In tal caso è possibile specificarne i volumi (es. numero minimo di amministrazioni già confermate, e/o numero di sorgenti da monitorare, e/o numero di allarmi da gestire, etc.)

Risposta :

Tutte le Pubbliche Amministrazioni della Regione Emilia-Romagna potranno accedere ai servizi offerti dalla convenzione; verranno rese disponibili informazioni di maggior dettaglio in fase di assessment e definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Con riferimento al lotto 2 (documento di riferimento: Capitolato Tecnico, 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) - pagina 33), si prega di specificare se, nel caso di erogazione del servizio "SOC" mediante SIEM già a disposizione presso la singola amministrazione, la gestione applicativa (creazione regole di correlazione, upgrade versione, etc.) e sistemistica (fault HW, modifiche architetturali, evolutive) del tool SIEM siano demandate a chi si aggiudica il servizio SOC oppure alle singole amministrazioni e/o loro altri fornitori

Risposta :

In caso di SIEM già a disposizione presso la singola amministrazione il Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) prevede il solo monitoraggio, il Servizio SIEM/SOAR prevede la Conduzione Operativa della piattaforma. È facoltà di ogni singola Amministrazione committente decidere la modalità con la quale il Fornitore deve erogare i servizi.

Domanda : Con riferimento al lotto 2 (documento di riferimento: Capitolato Tecnico, 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) - pagina 33), l'erogazione del servizio "SOC" prevede che i punti di contatto del SOC in caso di segnalazione siano delle funzioni centrali uniche e comuni per più amministrazioni oppure che vengano contattati singolarmente i point of contact di ogni amministrazione, ovvero anche separatamente i singoli fornitori di ogni amministrazione?

Risposta :

Come riportato nel Capitolato Tecnico l'erogazione del servizio "SOC" prevede in caso di segnalazione di “contattare ed informare costantemente il personale dell'Amministrazione qualora ve ne sia la necessità (sulla base di procedure concordate con l’Amministrazione); gestire in autonomia gli allarmi, contattando eventualmente il personale di fornitori terzi (sulla base di procedure concordate con l’Amministrazione)”, intendendo ogni singola Amministrazione come indipendente dalle altre.

Domanda : Con riferimento all'All.3 - Capitolato tecnico, par. 4.2.3 Servizio di Vulnerability Assessment, pag. 40, si chiede, qualora non fosse messo a disposizione dall'Amministrazione uno strumento per l'esecuzione delle attività di vulnerability assessment, dove dovrebbe essere quantificato nello schema di offerta economica del lotto 2 il relativo costo.

Risposta :

Per il Servizio di Vulnerability Assessment sono previste giornate/uomo e nulla è dovuto per lo strumento che il Fornitore preferisce utilizzare.

Domanda : Con riferimento all'All.3 - Capitolato tecnico, par. 4.2 Lotto 2 – Sicurezza Informatica, pag. 33, si richiede un mapping completo di tutti i servizi/attività previsti nel Lotto 2 rispetto a quanto indicato in All.5 - Schema di offerta economica Lotti 2

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : "Rif. 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) pag. 34 CT - In riferimento alla frase ""...la connessione telematica tra il Centro Servizi e le sedi dell’Amministrazione deve essere realizzata attraverso canale dedicato punto-punto ..."" si chiede conferma che una connessione vpn su Internet con terminazione su Firewall dell'Amministrazione contraente soddisfa il requisito dal momento che in tal caso il canale vpn e' logicamente dedicato (essendo criptato risulta essere dedicato alla comunicazione in corso) e punto-punto (essendo criptato non e' visibile da nessun nodo di rete intermedio)"

Risposta : La modalità di connessione sarà definita in sede di attivazione del contratto con le Amministrazioni Committenti durante la fase di assessment e di definizione del piano di esecuzione dei servizi di cui al capitolo 7 del Capitolato Tecnico. L’ Amministrazione può autorizzare l'impiego di VPN che insistono sulla connettività Internet qualora lo ritenga opportuno.

Domanda : All.3 Capitolato Tecnico, Par.7, pag.59: si chiede di confermare che le attività di “Assessment e definizione del piano di esecuzione dei servizi” saranno remunerate in funzione dei giorni persona e delle figure che erogheranno tali servizi , secondo gli importi indicati nell’offerta economica.

Risposta :

le attività di assessment e definizione del piano di esecuzione dei servizi, come da cap.7 del Capitolato tecnico, sono a titolo non oneroso per le Amministrazioni committenti in quanto attività preliminari alla presa in carico del servizio.

Domanda : All.3 Capitolato Tecnico, Par.4.2.13, pag.44: in riferimento al servizio di Security awareness, ai fini del dimensionamento del sistema, si richiede di indicare il numero di utenze /licenze necessarie.

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.4b - Schema di offerta tecnica - Lotto 2, pag.5: con riferimento al criterio n.10 si chiede di chiarire cosa si intenda per “l’assessment delle competenze e delle abilità delle risorse rispetto ai profili professionali richiesti. “

Risposta :

Si intende la modalità di valutazione (assessment) che mette in campo il fornitore per garantire la formazione, le competenze e le abilità delle risorse professionali che impiegherà per erogare i servizi richiesti.

Domanda : All.3 Capitolato Tecnico, Par.5.1, pag.52: si chiede di confermare che i servizi richiesti dalle singole Amministrazioni in modalità “presidio on-site” saranno remunerate in funzione dei giorni persona e delle figure che erogheranno (eventualmente in modalità continuativa) tali servizi, secondo gli importi indicati nell’offerta economica. Questo in accordo con quanto espresso nei §5.1.3 ove si legge: “il modello di remunerazione è strettamente dipendente dal numero e tipologia di risorse professionali impiegate nell’erogazione del servizio stesso”.

Risposta :

Si conferma quanto riportato nel Capitolato tecnico: i servizi del par. 5.1 sono a canone così come quelli del par. 5.1.3; i servizi specialistici del par. 5.2 sono remunerati in GG/uomo.

Domanda : Documento: All.5 - Schema di offerta economica Lotti 1 e 2 .pdf Rif.: BS0003701 Sistemi WAF - ORARIO BASE - BS0003702 Sistemi WAF - ORARIO BASE - ORARIO CONTINUATO Quesito: Per il servizio Sistemi WAF - ORARIO BASE - si chiede di confermare che la quantità rappresenti il numero di portali da proteggere.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Documento: All.5 - Schema di offerta economica Lotti 1 e 2 .pdf Rif.: BS0003699 Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) -ORARIO BASE - BS0003700 Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) -ORARIO Continuato - Quesito: Per i servizi BS0003699-BS0003700 Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) Si richiede di indicare la unità di misura della quantità: si tratta della stima numero di sistemi FW/IPS e sistemi di gestione Antivirus? in caso affermativo un sistema di gestione AV, pur essendo conteggiato come 1 potrebbe essere installato indistintamente su una sola macchina come su 1000?

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Documento:All.5 - Schema di offerta economica Lotti 1 e 2 .pdf Rif.: BS0003707 - SOC - Servizio di User and entity behavior analytics (UEBA) Quesito: Si richiede di specificare l'unità di misura per il servizio SOC - Servizio di User and entity behavior analytics (UEBA), ad esempio si tratta di un canone annuale per utente monitorato?

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Rif.: Lotto 2 - All.5 - Schema di offerta economica Lotti 1 e 2 .pdf Quesito: Si chiede di specificare se per i servizi a canone, esclusi i servizi BS0003701-BS0003702-BS0003705-BS0003707, il valore riportato nella colonna quantità sia da intendersi come una stima del numero di apparati che si suppone debbano essere gestiti o monitorati nell'arco dei 36 mesi

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Rif.: All.5 - Schema di offerta economica Lotti 1 e 2 .pdf Si chiede di confermare se per i servizi a canone, esclusi i servizi BS0003701-BS0003702-BS0003705-BS0003707, UM sia da intendersi come canone annuo per singolo apparato

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : LOTTO 2 -In riferimento al Servizio di Conduzione operativa degli apparati e sistemi di sicurezza, si chiede di definire meglio la modalità di erogazione "as a service", ovvero di confermare o meno che tale servizio non comprende la messa a disposizione da parte del fornitore degli apparati di sicurezza, del software e delle licenze necessarie ad abilitare i singoli servizi richiesti dall'Amministrazione tra quelli previsti.

Risposta :

Si veda la risposta al chiarimento n. PI111876-23 (quesito n.4) già pubblicata e la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : "Il Capitolato Tecnico (§ 4.2.1, pag.33) riporta: “Da tale Centro, attraverso l’utilizzo degli opportuni strumenti e mediante l’impiego di personale specializzato, il Fornitore dovrà avere la possibilità di operare in collegamento con i sistemi dell’Amministrazione per effettuare tutte le attività previste dal servizio, ad esempio: - controllare costantemente (sulla base delle finestre di erogazione del Servizio concordate con l’Amministrazione) il sistema di monitoraggio per poter intervenire immediatamente in caso di attivazione di allarmi;” Si chiede di chiarire se il SOC avrà il compito di monitorare solo gli eventi di sicurezza o se dovrà monitorare anche gli apparati di sicurezza previsti nel perimetro di gestione per problematiche manutentive attraverso piattaforme di monitoraggio condivise con il Lotto 1."

Risposta :

Si conferma che il Servizio “SOC - Monitoraggio in tempo reale di eventi di sicurezza” avrà il compito di monitorare solo gli eventi di sicurezza.

Domanda : "Il Capitolato Tecnico (§ 4.2.1, pag.33) riporta: “In particolare, il SOC effettua il monitoraggio degli eventi dell’insieme delle risorse IT dell’organizzazione: server, endpoint, reti ed apparati di rete, software di sistema, applicazioni, utenze, ecc…” Al fine di valutare i volumi di gestione si chiede conferma che nella definizione di endpoint non rientrino le PdL degli utenti degli Enti richiedenti."

Risposta :

Il SOC effettua il monitoraggio degli eventi “di sicurezza” (non generici) dell’insieme delle risorse IT dell’Amministrazione incluse le PdL.

Domanda : In riferimento al par. 4.2.12 Servizio di host hardening si chiede di confermare l'interpretazione in base alla quale la frase “eventuali spostamenti in territori considerati non sicuri” intenda l'utilizzo di host in aree con connettivita' non sicura quali per es.hot spot pubblici.

Risposta :

Si conferma. Si può intendere anche l’utilizzo di host in aree con connettività con hot spot pubblici fuori dal controllo della Amministrazioni richiedenti, con conseguente rischio di intercettazione e/o di modifica delle comunicazioni effettuate con tali dispositivi.

Domanda : In riferimento al par. 4.2.12 Servizio di host hardening si chiede di confermare l'interpretazione in base alla quale la frase “eventuali spostamenti in territori considerati non sicuri” significa che eventuali apparati dovranno essere “hardenizzati” prima di eventuali spostamenti in “territori non sicuri”.

Risposta :

Si conferma che l’interpretazione è corretta.

Domanda : Con riferimento all'All.6 - Schema Convenzione Lotti 1 e 2, articolo 15 - Fatturazione e pagamenti, pag. 13 si chiede a quanti giorni siano i termini di pagamento da parte delle Amministrazioni Contraenti.

Risposta :

Si rinvia alla disciplina di riferimento: il D.Lgs. 231/2002, in particolare l’art.4 “termini di pagamento”.

Domanda : Relativamente al paragrafo 4.2.16.6 si chiede di precisare se il Servizio di ServiceDesk Sistemistico di Sicurezza Informatica proposto dovrà gestire direttamente anche le richieste degli Utenti finali o se questa attività sarà sempre mediata dai referenti informatici dell’Amministrazione e dell’IT Security Management.

Risposta :

Come riportato nel Paragrafo 4.2.16.6: “E’ compresa l’assistenza agli utenti per problematiche che riguardano specifici incidenti di sicurezza che coinvolgono le postazioni di lavoro e gli utenti medesimi.”

Domanda : Con riferimento al lotto 2 (documento di riferimento: Capitolato Tecnico, 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) - pagina 33), nell'ambito del servizio "SOC", si chiede di indicare la quantità di amministrazioni che hanno già un proprio SIEM installato e funzionante vs. quantità di amministrazioni che necessitano di un SIEM "as a service" per l'erogazione del servizio SOC

Risposta :

Si consideri che tutte le Pubbliche Amministrazioni della Regione Emilia-Romagna potranno accedere ai servizi offerti dalla Convenzione e vista la loro eterogeneità saranno rese disponibili informazioni di maggior dettaglio solo in fase di assessment e definizione del piano di esecuzione dei servizi di cui al cap. 7 del Capitolato Tecnico.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 - Colonna Valore Base d'asta - Pag.3 Poiché la documentazione di gara riporta esclusivamente il valore della base d’asta complessiva per il lotto 2, al fine di elaborare una proposta economica maggiormente rispondente ai servizi richiesti, si chiede di specificare quali siano i valori a base d’asta per ciascuna voce di offerta.

Risposta : Si conferma la base d'asta complessiva per l'intero lotto, al fine di elaborare una proposta economica rispondente ai servizi richiesti si considerino le quantità e i parametri indicati per singola voce nello schema di offerta economica come rettificato con D.D.n.366/2023.

Domanda : Con riferimento al lotto 2, pagina 3 (documento di riferimento: All.5 - Schema di offerta economica Lotti 1 e 2) per il servizio "SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore)" si prega di specificare a che parametro/caratteristica fa riferimento il valore inserito alla voce "QUANTITA'" (es. numero amministrazioni, numero sorgenti log, numero eventi per secondo, numero allarmi, etc.)

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Con riferimento al lotto 2, voce 13 (documento di riferimento: All.5 - Schema di offerta economica Lotti 1 e 2) si chiede di specificare a cosa fa riferimento la quantità "92" per la quotazione del servizio di Security Awareness

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Con riferimento al lotto 2 (documento di riferimento: All.5 - Schema di offerta economica Lotti 1 e 2), si chiede di specificare per i servizi a canone, qual è l'unità di misura. Inoltre, di specificare le mensilità ed il numero di apparati coinvolti in ciascun canone.

Risposta :

Premesso che i canoni sono annuali. Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Rif. Capitolato Tecnico, Par. 5.1.3 Reperibilità ed interventi fuori orario, pag. 55 Il Capitolato Tecnico dichiara che: “Il modello di remunerazione previsto per il servizio di reperibilità standard è basato su un canone annuale complessivo calcolato in base ai valori scelti per le variabili già descritte nel dettaglio al paragrafo 5.1.2.”. Si chiede di specificare se trattatisi di refuso, in quanto non sono previsti dal Lotto 2 Servizi di Reperibilità Standard. In caso contrario si chiede di specificare i requisiti di tale servizio e come debba essere remunerato, visto che non è presente nell’Offerta Economica.

Risposta :

Si veda la risposta al chiarimento n.PI127849-23 già pubblicata.

Domanda : "5.1.3 Reperibilità ed interventi fuori orario pag. 56 CT Intervento on site fuori orario - Si chiede di indicare la modalita' di remunerazione dell'intervento on site fuori orario."

Risposta :

Si veda la risposta al chiarimento n.PI127849-23 già pubblicata.

Domanda : In relazione al file “All.5 - Schema di offerta economica Lotti 1 e 2“ si chiede di esplicitare la relazione tra i valori delle colonne “UM Oggetto dell’Iniziativa” e “Quantità”; ad es. nella voce 1 del lotto 1, la Quantità pari a 246 a cosa si riferisce?

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Rif. Capitolato Tecnico, Par. 5.1.2 Classificazione dei sistemi, livello di criticità e livello di severità, pag. 54 & Par. 9.1 SLA, pag. 67 Il Capitolato Tecnico dichiara che: “tutti i sistemi di sicurezza (Lotto 2) sono considerati con il livello di criticità “Sistema Mission Critical” e che la loro disponibilità deve essere garantita > 99,8%.” Nella successiva Tabella n. 5 vengono indicati i livelli di servizio in caso di “Malfunzionamento nella conduzione dei sistemi”. Visto che il Fornitore del Lotto 2 non ha il controllo completo della filiera tecnologica, si chiede di confermare che dovranno essere rispettati i Livelli di Servizio della Tabella n. 5, al netto dei tempi di intervento legati ai Livelli di Servizio concordati tra l’Amministrazione ed il Fornitore dei Servizi di Manutenzione Hardware e Software, che non sono oggetto del Lotto 2 della presente Convenzione.

Risposta : Si conferma.

Domanda : Rif. Capitolato Tecnico Par. 4.2.4 pag. 41. Servizio di Vulnerability Management Nel capitolato è scritto che: ”..l’Amministrazione può richiedere al Fornitore la fornitura di una piattaforma “as a service” dotata di appositi moduli di detection, agenti o dispositivi da installare presso i sistemi dell’Amministrazione, con la collaborazione del Fornitore, in grado di raccogliere le informazioni e consentire la produzione dei report nelle stesse modalità sopra riportate.” Si chiede di specificare come tale Servizio “as a service” debba essere valutato economicamente nella tabella dell’Offerta Economica mancando una voce specifica come servizio a canone.

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Capitolato tecnico Pag. 40 e segg., 4.2.3 Servizio di Vulnerability Assessment Nel Capitolato è richiesto al Fornitore la pianificazione e l’esecuzione dei test di vulnerabilità concordati con l’Amministrazione e da essa supervisionati. I test verranno effettuati con cadenza periodica al fine di verificare il livello di efficacia delle Politiche di Sicurezza. Si chiede di confermare che la piattaforma per l’esecuzione del servizio in oggetto sia messa a disposizione dall’Amministrazione. Qualora questo non fosse possibile si chiede di confermare che l’eventuale costo (in termini di licenze e hardware) sarà a carico dell’Amministrazione stessa visto che il servizio è remunerato in modalità giorni/uomo.

Risposta :

Per il Servizio di Vulnerability Assessment sono previste giornate/uomo e nulla è dovuto per lo strumento che il Fornitore preferisce utilizzare.

Domanda : Capitolato tecnico Pag. 38 e segg., 4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza Nel capitolato è scritto che: “Questi servizi dovranno poter essere attivati o disattivati dall’Amministrazione, anche in forma modulare e potranno essere altresì trasformati dalla modalità di erogazione “as a service” a quella di gestione di servizi / apparati in produzione presso l’Amministrazione e viceversa.” Si chiede di confermare che l’eventuale trasformazione del servizio da “as a service” (ossia da Presidio Remoto e remunerato a canone) a quella presso l’Amministrazione (ossia Presidio On-Site e remunerata a giornate/uomo) sarà oggetto di apposita rinegoziazione preventiva tra le parti.

Risposta :

Il servizio in questione è a canone. Si richiede al fornitore di quotare esclusivamente un Servizio di Conduzione operativa degli apparati e Sistemi di Sicurezza in produzione presso l’Amministrazione committente. Si veda anche la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : Capitolato tecnico Pag. 38 e segg., 4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza Nel Capitolato è richiesto al Fornitore di erogare servizi di sicurezza nella modalità “as a service” o comunque in una modalità atta a gestire apparati di sicurezza informatica in produzione presso l’Amministrazione. …. Si chiede di confermare che sulle piattaforme tecnologiche dell’Amministrazione (oggetto del servizio di conduzione) siano attivi contratti di manutenzione hardware e software compresivi di tutti i moduli necessari e per tutto il periodo di erogazione del servizio. In caso contrario si chiede di confermare che l’Amministrazione si farà carico dell’eventuale costo per l’attivazione di tali contratti al fine di consentire al fornitore di erogare correttamente il servizio e di rispettare gli SLA contrattuali.

Risposta :

Si veda la risposta al chiarimento n. PI111876-23 (quesito n.4) già pubblicata e la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : Capitolato tecnico Pag 57 – 58, paragrafo 5.2.2 Supporto a Richiesta Si chiede conferma che l’erogazione delle attività di Assessment rientri nei Servizi di Supporto Specialistico, da attivare come attività a Richiesta; tali attività saranno quindi erogate in base alle richieste della Stazione Appaltante e fatturate secondo le tariffe professionali a giorno uomo previste.

Risposta :

L’attività di assessment, come da cap.7 del Capitolato tecnico, è a titolo non oneroso per le Amministrazioni committenti in quanto attività preliminare alla presa in carico del servizio.

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2, voce 13 pag. 3 In riferimento al servizio di security awareness si chiede conferma che la quantità espressa indichi il numero di amministrazioni su cui erogare il servizio in un anno; a tal proposito si chiede il numero medio di utenti per amministrazione fruitori di tale Servizio.

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2, voce 12 pag. 3 In riferimento ai canoni Host Hardening si chiede conferma che la quantità espressa indichi il numero di Host su cui intervenire.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2, -voce 11 pag. 3 In riferimento ai canoni User and Entity Behavior Analytics (UEBA) si chiede conferma che la quantità espressa indichi il numero di piattaforme di User and Entity Behavior Analytics (UEBA) da gestire in un anno.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2, - voce 10 pag. 3 In riferimento ai canoni SOC - Servizio di threat intelligence / APT-feed / asset tracker & data leak - ORARIO CONTINUATO si chiede conferma che la quantità indicata rappresenti il numero di legal entity (es. comune di Faenza, Regione Emilia Romagna, ecc.) da gestire in un anno, in caso contrario si chiede di specificare a cosa faccia riferimento la quantità.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2, pag. 3 Si chiede conferma che per tutti i canoni per i quali sia prevista operatività in orario base ed in orario continuato, gli apparti / sistemi da gestire in orario base siano diversi da quelli da gestire in orario continuato.

Risposta : Come indicato nella risposta al chiarimento n.PI127739-23 le quantità indicate sono distinte le une dalle altre rappresentando differenti fabbisogni (ad esempio un' Amministrazione ha espresso una preferenza per l’orario base piuttosto che per l’orario continuato (o viceversa)), in questo senso gli apparati/sistemi da gestire sono diversi.

Domanda : Capitolato Tecnico - 7.1 Assessment - Si chiede di indicare su quale voce imputare, in offerta economica, il "valore di manutenzione" dell'apparato, relativamente al seguente passaggio:"Con riferimento alle attività, relative ai soli apparati per i quali l’Amministrazione richieda il servizio di manutenzione HW, il Fornitore dovrà preliminarmente, individuare gli eventuali: • apparati che, alla data prevista per l’Avvio dei Servizi, risulteranno “End Of Support” da parte del Produttore, e per i quali il Fornitore si avvarrà della facoltà di non prestare il servizio di manutenzione; • verificare se sia già nota la futura data di “End Of Support” dell’apparato e, in caso contrario, formulare le proprie previsioni basate sul ciclo di vita di apparati di stessa tipologia e produttore; • determinare il “valore di manutenzione” dell’apparato."

Risposta : La manutenzione hardware non è richiesta. Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : "7.1 Assessment pag.61 - In riferimento alla frase ""...ai soli apparati per i quali l’Amministrazione richieda il servizio di manutenzione HW dell’apparato…"" qualora sia chiesto all'Aggiudicatario l'onere di rinnovare le fee manutentive con il vendor si chiede di specificare la voce dell'All5 con la quale sara' remunerato il costo sostenuto.."

Risposta : La manutenzione hardware non è richiesta. Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : "7.1 Assessment pag.61 - In riferimento alla frase ""...ai soli apparati per i quali l’Amministrazione richieda il servizio di manutenzione HW dell’apparato…"" si chiede di confermare che e' a cura dell'Aggiudicatario il solo onere di conduzione sistemistica (es. Gestione RMA, sostituzione apparato e sua installazione/riconfigurazione a valle della sostituzione, supporto professionale) ma rimane a cura dell'Amministrazione il pagamento delle fee manutentive al vendor di tecnologia"

Risposta :

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2, - voce 9 pag. 3 In riferimento ai canoni dei servizi SOC - Servizio di Incident response & remediation si chiede conferma che la quantià riportata indichi il numero massimo di eventi da gestire in un anno.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2, - voce 7 e 8 pag. 3 In riferimento ai canoni dei Sistemi SIEM / SOAR – si chiede conferma che le quantità presenti in ORARIO BASE e CONTINUATO indichino il numero di piattaforme SIEM/SOAR da gestire in un anno.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2, - voce 7-8 pag. 3 -note In riferimento ai canoni dei Sistemi SIEM / SOAR -ORARIO BASE e in ORARIO CONTINUATO si chiede conferma che tali piattaforme siano già esistenti

Risposta :

Si richiede al fornitore di quotare esclusivamente un Servizio di Conduzione operativa degli apparati e Sistemi di Sicurezza in produzione presso l’Amministrazione committente.

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2,- voce 5 e 6 pag. 3 Per gli apparati di tipo WAF da gestire in ORARIO BASE e CONTINUATO, si chiede il relativo numero di change medio annuo.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2 – voce 5 e 6, pag. 3 Si chiede conferma che le quantità riferita ai canoni dei Sistemi WAF da gestire in ORARIO BASE e CONTINUATO in un anno, indichino il numero complessivo di istanze web gestite dagli apparati WAF nelle suddette fasce orarie.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2 – voce 3 e 4, pag. 3 Per i Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) in ORARIO BASE e CONTINUATO, si chiede il numero di change medio annuo per tipologia.

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2 – voce 3 e 4, pag. 3 Per i Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) in ORARIO BASE e CONTINUATO, si chiede il numero di EndPoint protetti da Antivirus da gestire in un anno.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2 – voce 3 e 4, pag. 3 Per i Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) in ORARIO BASE e CONTINUATO, si chiede la suddivisione per tipologia.

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2 – voce 1, pag. 3 Per i servizi SOC - monitoraggio in tempo reale di eventi di sicurezza in orario base e continuato di indicare il numero di EPS (Eventi Per Secondo) medio annuo

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Rif. All 5. Offerta Economica - Lotto Numero:2 – voce 1, pag. 3 Pagina:3 - Offerta Economica - Lotto Numero:2 Si chiede conferma che la quantità 455 riferita ai canoni del servizio “SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) - ORARIO BASE” indichi il numero totale di fonti di eventi di sicurezza;

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Q1: Nel disciplinare, al par. 3.1 DURATA, è riportato che: “La data di scadenza degli Ordinativi di fornitura, comunque, non potrà essere superiore alla data di scadenza, originaria o eventualmente rinnovata, della Convenzione stessa.”. Si chiede di confermare che la durata degli ordinativi di fornitura da parte di un’Amministrazione deve in ogni caso rientrare nella durata della Convenzione, cioè nei 36 mesi, laddove non rinnovata. Q2: All. 5 - Schema di Offerta Economica – Lotto Numero 2 In relazione al codice regionale BS0003697/8, SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) - ORARIO BASE/ORARIO CONTINUATO – non viene data nessuna indicazione in relazione alla metrica del servizio, ad esempio in termini di Device Equivalenti /anno, metrica adottata nelle ultime Convenzioni CONSIP a cui il bando fa riferimento. Si chiede di dettagliare la metrica da utilizzare per il dimensionamento del servizio. Q3: All. 5 - Schema di Offerta Economica – Lotto Numero 2 In relazione al codice regionale BS0003699/700, Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) - ORARIO BASE/ORARIO CONTINUATO – non viene data nessuna indicazione in relazione alla metrica del servizio, ad esempio in termini di Throughput/anno, metrica adottata nelle ultime Convenzioni CONSIP a cui il bando fa riferimento. Si chiede di dettagliare la metrica da utilizzare per il dimensionamento del servizio. Q4: All. 6 - Schema di Offerta Economica – Lotto Numero 2 In relazione al codice regionale BS0003701/2, Sistemi WAF- ORARIO BASE/ORARIO CONTINUATO – non viene data nessuna indicazione in relazione alla metrica del servizio, ad esempio in termini di Throughput http/anno, metrica adottata nelle ultime Convenzioni CONSIP a cui il bando fa riferimento. Si chiede di dettagliare la metrica da utilizzare per il dimensionamento del servizio. Q5: All. 6 - Schema di Offerta Economica – Lotto Numero 2 In relazione al codice regionale BS0003703/4, Sistemi SIEM, SOAR ORARIO BASE/ORARIO CONTINUATO – non viene data nessuna indicazione in relazione alla metrica del servizio, ad esempio in termini di Device Equivalenti /anno, metrica adottata nelle ultime Convenzioni CONSIP a cui il bando fa riferimento. Si chiede di dettagliare la metrica da utilizzare per il dimensionamento del servizio. Q6: All. 6 - Schema di Offerta Economica – Lotto Numero 2 In relazione al codice regionale BS0003705, SOC - Servizio di Incident response & remediation ORARIO CONTINUATO – non viene data nessuna indicazione in relazione alla metrica del servizio, ad esempio in termini di Device Equivalenti /anno, metrica adottata nelle ultime Convenzioni CONSIP a cui il bando fa riferimento. Si chiede di dettagliare la metrica da utilizzare per il dimensionamento del servizio. Q7: All. 6 - Schema di Offerta Economica – Lotto Numero 2 In relazione al codice regionale BS0003706, SOC - Servizio di threat intelligence / APT-feed / asset tracker & data leak - ORARIO CONTINUATO – non viene data nessuna indicazione in relazione alla metrica del servizio, ad esempio in termini di Data-Feed/anno, metrica adottata nelle ultime Convenzioni CONSIP a cui il bando fa riferimento. Si chiede di dettagliare la metrica da utilizzare per il dimensionamento del servizio. Q8: All. 6 - Schema di Offerta Economica – Lotto Numero 2 In relazione al codice regionale BS0003707, SOC - Servizio di User and entity behavior analytics (UEBA) – ORARIO CONTINUATO – non viene data nessuna indicazione in relazione alla metrica del servizio, ad esempio in termini di Device Equivalenti /anno, metrica adottata nelle ultime Convenzioni CONSIP a cui il bando fa riferimento. Si chiede di dettagliare la metrica da utilizzare per il dimensionamento del servizio. Q9: All. 6 - Schema di Offerta Economica – Lotto Numero 2 In relazione al codice regionale BS0003708, Servizio di host hardening - ORARIO BASE -– non viene data nessuna indicazione in relazione alla metrica del servizio. Si chiede di dettagliare la metrica da utilizzare per il dimensionamento del servizio. Q10: All. 6 - Schema di Offerta Economica – Lotto Numero 2 In relazione al codice regionale BS0003709, Servizio di Security Awareness - ORARIO BASE -– non viene data nessuna indicazione in relazione alla metrica del servizio. Si chiede di dettagliare la metrica da utilizzare per il dimensionamento del servizio.

Risposta : 1) Si conferma, nel caso in cui la Convenzione non venisse rinnovata la durata massima degli Ordinativi coinciderà con la data di scadenza (originaria) della Convenzione.

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2 - Si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alla voce di listino BS0003707 (SOC - Servizio di threat intelligence / APT-feed / asset tracker & data leak - ORARIO CONTINUATO) da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2 - Si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alla voce di listino BS0003706 (SOC - Servizio di Incident response & remediation - ORARIO CONTINUATO -) da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : "Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, Si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alla voce di listino BS0003705 (SOC - Servizio di Incident response & remediation - ORARIO CONTINUATO) da esprimere in offerta."

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alle voci di listino BS0003703 e BS0003704 (Sistemi SIEM, SOAR - ORARIO BASE E ORARIO CONTINUATO). Nella descrizione dell'item è scritto Sistemi SIEM, SOAR, e quindi si chiede conferma che il canone sia riferito ad un singolo apparato, o in alternativa a cosa sia riferirito come metrica il canone da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2,- Si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alle voci di listino BS0003703 e BS0003704 (Sistemi SIEM, SOAR - ORARIO BASE E ORARIO CONTINUATO). Nella descrizione dell'item è scritto Sistemi SIEM, SOAR, e quindi si chiede conferma che il canone sia riferito ad un singolo apparato, o in alternativa a cosa sia riferirito come metrica il canone da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2 - Si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alle voci di listino BS0003701 e BS0003702 (Sistemi WAF - ORARIO BASE E ORARIO CONTINUATO) . Nella descrizione dell'item è scritto Sistemi WAF, e quindi si chiede conferma che il canone sia riferito ad un singolo WAF, o in alternativa a cosa sia riferirito come metrica il canone da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2, si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alle voci di listino BS0003699 e BS0003700 (Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) - ORARIO BASE E ORARIO CONTINUATO). Nella descrizione dell'item è scritto Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR), e quindi si chiede conferma che il canone sia riferito ad un singolo apparato, o in alternativa cosa debba includere il canone da esprimere in offerta.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Relativamente al documento All_5_-_Schema_di_offerta_economica_Lotti_1_e_2 - Si chiede di specificare a quale unità di misura sia riferito il canone annuale unitario relativo alle voci di listino BS0003697 e BS0003698 (SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) - ORARIO BASE E ORARIO CONTINUATO). Ad esempio se si ci si riferisca ad una Amministrazione, ad una sede, ad un apparato da monitorare.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : 5.2.1 Attività di supporto a richiesta pag.57 CT - Si chiede di confermare che il supporto specialistico potra' essere erogato on site e da remoto e che la combinazione sara' concordata direttamente con le stazioni appaltanti.

Risposta : Si conferma.

Domanda : 5.2 Supporto Specialistico pag.56 CT - Si chiede conferma che il servizio di Supporto Sistemistico citato sara' remunerato attraverso l'attivazione di gg/uomo stimate dal Fornitore ed approvate dall'Amministrazione.

Risposta : Si conferma.

Domanda : "5.1.3 Reperibilità ed interventi fuori orario pag. 56 CT Reperibilità individuale - In riferimento alla frase ""...Per tale servizio, il modello di remunerazione è strettamente dipendente dal numero e tipologia di risorse professionali impiegate nell’erogazione del servizio stesso, pertanto viene prevista una remunerazione differente per la reperibilità di ciascuna figura professionale..."" si segnala che nell'All5 e' presente la sola voce ""Security specialist con reperibilità H24"" e non piu' figure professionali in reperibilita' come lascia intendere la parte finale della frase riportata. Si chiede di confermare che l'unica figura in reperibilita' sara' il security Specialist."

Risposta :

Per la reperibilità e gli interventi fuori orario nell’ambito del paragrafo 5.1.3, “Reperibilità ed interventi fuori orario”, non è richiesta la quotazione nell'offerta economica. Nei casi nei quali si renderà necessaria, l’Amministrazione richiederà una quotazione apposita al Fornitore sulla base di parametri quantitativi forniti nella specifica richiesta. In ogni caso, tale quotazione non potrà superare le percentuali di aumento previste dai contratti collettivi nazionali di lavoro per il lavoro fuori orario feriale e festivo. Tale percentuale di aumento è da applicare alle voci di costo giornaliero per orario lavorativo normale per singola figura professionale previste nello Schema di offerta economica. Il Security specialist con reperibilità H24 è richiesto espressamente per rafforzare la postura di Sicurezza di un Ente che abbia richiesto, in particolare, un servizio di monitoraggio H24.

Domanda : 4.2.16.4 Supporto al Processo di Service Asset & Configuration Management - Si chiede di condividere una tabella che fornisca un'idea di massima della numerosita' delle Organizzazioni (per es. suddivise in piccole, medie, grandi) esprimendo per queste tipologie un perimetro di massima su cui condurre il security assessment.

Risposta :

Considerando l’eterogeneità delle Amministrazioni committenti che potranno usufruire della Convenzione, le informazioni richieste saranno fornite in fase di assessement e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : "4.2.16.4 Supporto al Processo di Service Asset & Configuration Management - In riferimento alla frase ""...Ad inizio fornitura, è richiesto al Fornitore un security assessment…omissis…"" - Si chiede di confermare che il servizio sara' remunerato attraverso l'attivazione di gg/uomo stimate dal Fornitore (sulla base del perimetro concordato con l'Amministrazione) prima della fase di Assessment ed approvate dall'Amministrazione stessa."

Risposta :

L’attività di assessment, come da cap.7 del Capitolato tecnico, è a titolo non oneroso per le Amministrazioni committenti in quanto attività preliminare alla presa in carico del servizio.

Domanda : 4.2.12 Servizio di host hardening pag. 44 CT - Si chiede alla stazione appaltante di condividere una tabella che fornisca un'idea di massima della numerosita' delle Organizzazioni (per es. suddivise in piccole, medie, grandi) esprimendo per queste tipologie un ordine di grandezza della cardinalita' dei potenziali IP dei Server oggetto del servizio

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : "4.2.13 Servizio di security awareness pag. 44 CT - In riferimento alla frase ""...Il Fornitore dovrà mettere a disposizione un sistema integrato con il quale eseguire simulazioni e testing e valutare conoscenze inerenti argomenti specifici sulla sicurezza informatica per i quali coinvolgere tutto il personale, oltre a quello IT..."" Al fine di quotare in maniera puntuale il sistema piu' adeguato, si chiede alla stazione appaltante di condividere una tabella che fornisca un'idea di massima della numerosita' delle Organizzazioni (per es. suddivise in piccole, medie, grandi) esprimendo per queste tipologie un ordine di grandezza della cardinalita' dei potenziali fruitori (es. piccole<200 utenti, .. etc) che potrebbero richiedere il servizio"

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : "4.2.12 Servizio di host hardening pag. 44 CT - In riferimento al punto ""…host Hardening…"" - Si chiede conferma che e' richiesta l'erogazione di un servizio professionale consulenziale che garantisca, sfruttando piattaforme ed infrastrutture messe a disposizione dalle Amministrazioni, la sicurezza delle configurazioni ma che non e' prevista la messa a disposizione di apparati o licenze in carico all'Aggiudicatario"

Risposta : Si conferma.

Domanda : 4.2.11 Servizio di threat intelligence pag. 43 CT - Si chiede alla stazione appaltante di condividere una tabella che fornisca un'idea di massima della numerosita' delle Organizzazioni (per es. suddivise in piccole, medie, grandi) esprimendo per queste tipologie un ordine di grandezza del numero di domini medio sul quale prevedere il servizio

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : 4.2.8 Servizio di User and entity behavior analytics (UEBA) pag. 42 CT - Si chiede alla stazione appaltante di condividere una tabella che fornisca un'idea di massima della numerosita' delle Organizzazioni (per es. suddivise in piccole, medie, grandi) esprimendo per queste tipologie un ordine di grandezza della cardinalita' dei potenziali server (es. piccole<50 server) delle Amministrazioni nonche' degli utenti interessati dal servizio.

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : "4.2.8 Servizio di User and entity behavior analytics (UEBA) pag. 42 CT - In riferimento al punto ""…UEBA…"" si chiede conferma che il servizio in esame e' richiesto solo per la componente server mentre e' da escludere per la componenti pdl/endpoint"

Risposta :

Stante quanto riportato nel paragrafo 4.2.8 del capitolato tecnico sono da ricomprendersi anche le pdl/endpoint in quanto strumenti abitualmente utilizzati dagli utenti e quindi necessari a riconoscere gli schemi di comportamento abitualmente adottati dagli stessi.

Domanda : 4.2.6 Servizi di Application Security Testing pag. 41 CT - Si chiede di indicare la voce dell'All5 con la quale sara' remunerato il costo vivo delle licenze dei Software che il fornitore dovra' mettere a disposizione.

Risposta :

Nel caso del servizio di Application Security Testing (con sistema del fornitore) dovrà essere proposto un unico canone omni-comprensivo. Si veda, anche, la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : "4.2.6 Servizi di Application Security Testing pag. 41 CT - Si chiede conferma che il servizio di AST sara' remunerato attraverso l'attivazione di gg/uomo stimate dall'Aggiudicatario (sulla base del perimetro concordato con l'Amministrazione) durante la fase di Assessment ed approvate dall'Amministrazione stessa. In caso negativo, dal momento che Il CT non indica alcun parametro (anche di massima) sul quale basarsi per dimensionare il servizio, si chiede alla stazione appaltante di condividere una tabella che fornisca un'idea di massima della numerosita' delle Organizzazioni (per es. suddivise in piccole, medie, grandi) esprimendo per queste tipologie un ordine di grandezza dei security testing attivabili dalle amministrazioni"

Risposta : Il servizio è a canone. Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : 4.2.5 Servizio di Penetration test pag. 41 CT - Si chiede di indicare la voce dell'All5 con la quale sara' remunerato il costo vivo delle licenze dei Software di PT che l'Aggiudicatario dovra' mettere a disposizione.

Risposta :

Per il Servizio di Penetration test sono previste giornate/uomo e nulla è dovuto per lo strumento che il Fornitore preferisce utilizzare.

Domanda : "4.2.5 Servizio di Penetration test pag. 41 CT - Si chiede conferma che il servizio di PT sara' remunerato attraverso l'attivazione di gg/uomo stimate dall'Aggiudicatario (sulla base del perimetro concordato con l'Amministrazione) durante la fase di Assessment ed approvate dall'Amministrazione stessa. In caso negativo, dal momento che Il CT non indica alcun parametro (anche di massima) sul quale basarsi per dimensionare il servizio, si chiede alla stazione appaltante di condividere una tabella che fornisca un'idea di massima della numerosita' delle Organizzazioni (per es. suddivise in piccole, medie, grandi) esprimendo per queste tipologie un ordine di grandezza della cardinalita' dei potenziali Server interni (es. piccole<50 Server, .. etc) e dei servizi Web Based esposti"

Risposta :

Si conferma. Per il Servizio di Penetration test sono previste giornate/uomo e nulla è dovuto per lo strumento che il Fornitore preferisce utilizzare.

Domanda : 4.2.4 Servizio di Vulnerability Management pag. 41 CT - Si chiede di indicare la voce dell'All5 con la quale sara' remunerato il costo vivo delle licenze della piattaforma di VM che il fornitore dovra' mettere a disposizione..

Risposta :

Nel caso del servizio di Vulnerability Management (con sistema del fornitore) dovrà essere proposto un unico canone omni-comprensivo. Si veda, anche, la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : "4.2.4 Servizio di Vulnerability Management pag. 41 CT - Si chiede conferma che il servizio professionale di Vulnerability Management sara' remunerato attraverso l'attivazione di gg/uomo stimate dall'Aggiudicatario (sulla base del perimetro concordato con l'Amministrazione) durante la fase di Assessment ed approvate dall'Amministrazione stessa. In caso negativo, dal momento che Il CT non indica alcun parametro (anche di massima) sul quale basarsi per dimensionare il servizio, si chiede alla stazione appaltante di condividere una tabella che fornisca un'idea di massima della numerosita' delle Organizzazioni (per es. suddivise in piccole, medie, grandi) esprimendo per queste tipologie un ordine di grandezza della cardinalita' dei potenziali IP privati (es. piccole<200 IP, .. etc) e IP pubblici"

Risposta :

Il servizio è a canone. Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : 4.2.3 Servizio di Vulnerability Assessment pag. 40 CT - Si chiede di indicare la voce dell'All5 con la quale sara' remunerato il costo vivo delle licenze della piattaforma di VA che l'Aggiudicatario dovra' mettere a disposizione per l'erogazione del servizio.

Risposta :

Per il Servizio di Vulnerability Assessment sono previste giornate/uomo e nulla è dovuto per lo strumento che il Fornitore preferisce utilizzare.

Domanda : "4.2.3 Servizio di Vulnerability Assessment pag. 40 CT - Si chiede conferma che il servizio professionale di Vulnerability Assessment sara' remunerato attraverso l'attivazione di gg/uomo stimate dall'Aggiudicatario (sulla base del perimetro concordato con l'Amministrazione) durante la fase di Assessment ed approvate dall'Amministrazione stessa. In caso negativo, dal momento che Il CT non indica alcun parametro (anche di massima) sul quale basarsi per dimensionare il servizio, si chiede alla stazione appaltante di condividere una tabella che fornisca un'idea di massima della numerosita' delle Organizzazioni (per es. suddivise in piccole, medie, grandi) esprimendo per queste tipologie un ordine di grandezza della cardinalita' dei potenziali IP privati (es. piccole<200 IP, .. etc) e IP pubblici"

Risposta :

Si conferma, per il Servizio di Vulnerability Assessment sono previste giornate/uomo e nulla è dovuto per lo strumento che il Fornitore preferisce utilizzare.

Domanda : 4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza Voce 3 ALL5 - Si chiede conferma che il potenziale servizio di conduzione operativa di telemetria sia da considerare esclusivamente per le componenti Server e sia escluso per le componenti endpoint.

Risposta :

Si conferma che il servizio di conduzione operativa di telemetria riguarda apparati e sistemi di sicurezza che possono effettuare il monitoraggio di endpoint. Si esclude la conduzione operativa di componenti endpoint.

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza pag. 38 CT - In riferimento alla frase ""...in una modalità atta a gestire apparati di sicurezza informatica in produzione presso l’Amministrazione"" si chiede di avere visibilita' sulle piu' diffuse tecnologie Firewall, WAF, EDR, Content Filtering, SIEM, SOAR…etc delle Amministrazioni e che potenzialmente potranno essere oggetto del servizio di conduzione operativa."

Risposta :

Le tecnologie in utilizzo alle Amministrazioni saranno definite in sede di attivazione del contratto con le Amministrazioni Committenti durante la fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza Voce 3, 4, 5, 6, 7 e 8 dell' All5 - Il servizio di conduzione operativa puo' essere richiesto: 1) dalle piccole Amministrazioni (es. Comuni con pochi utenti, Server e servizi) 2) dalle medie Aziende Sanitarie 3) dalle grandi Ammnistrazioni come Regioni, Comuni Capoluogo, etc (con necessita' di segregazione di rete, con molti servizi esposti e non, con molti utenti da proteggere durante la loro navigazione). In sostanza vi e' una grande variabilita' fra le dotazioni che potrebbero essere richieste al variare della grandezza delle Amministrazioni. Al contempo la documentazione di gara non fornisce elementi utili al dimensionamento di tali dotazioni (es. appliance, licenze, ...etc) Al fine di riuscire a fornire una valorizzazione economica congrua si chiede alla stazione appaltante di condividere una tabella che fornisca un'idea di massima della % di canoni attribuibili alle Organizzazioni suddivise in piccole, medie, grandi indicando il parametro scelto per la suddivisione in categorie (es. numero di utenti, numerosita' di server, numero di Firewall e relative funzionalita', ..etc)."

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica". Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza pag. 39 CT - In riferimento al punto ""...Servizio di Threat Sharing…"" si chiede conferma che e' richiesta l'erogazione di un servizio professionale di gestione/conduzionema che non preveda la messa a disposizione in comodato d'uso di apparati o licenze in carico all'Aggiudicatario. "

Risposta :

Si veda la risposta al chiarimento n.PI127677-23 già pubblicata.

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza pag. 39 CT - In riferimento al punto ""...Servizio telemetria, xDR/EDR e NDR…"" si chiede conferma che e' richiesta l'erogazione di un servizio professionale di gestione/conduzione ma che non preveda alcuna fornitura di nuovi apparati o licenze in carico all'Aggiudicatario"

Risposta : Si veda la risposta al chiarimento n.PI127677-23 già pubblicata.

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza pag. 39 CT - In riferimento al punto ""...Servizio SOAR…"" si chiede conferma che e' richiesta l'erogazione di un servizio professionale di gestione/conduzione ma che non preveda la messa a disposizione in comodato d'uso di apparati o licenze in carico all'Aggiudicatario. "

Risposta : Si veda la risposta al chiarimento n.PI127677-23 già pubblicata.

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza pag. 39 CT - In riferimento al punto ""...Servizio SIEM…"" si chiede conferma che e' richiesta l'erogazione di un servizio professionale di gestione/conduzione ma che non preveda la messa a disposizione in comodato d'uso di apparati o licenze in carico all'Aggiudicatario. "

Risposta : Si veda la risposta al chiarimento n.PI127677-23 già pubblicata.

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza pag. 39 CT - In riferimento al punto ""...Servizio IDS/IPS…"" si chiede conferma che e' richiesta l'erogazione di un servizio professionale di gestione/conduzione ma che non preveda la messa a disposizione in comodato d'uso di apparati o licenze in carico all'Aggiudicatario. "

Risposta : Si veda la risposta al chiarimento n.PI127677-23 già pubblicata.

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza pag. 39 CT - In riferimento al punto ""… Servizio di Content Filtering.."" si chiede conferma che e' richiesta l'erogazione di un servizio professionale di gestione/conduzione ma che non preveda la messa a disposizione in comodato d'uso di apparati o licenze in carico all'Aggiudicatario. "

Risposta : Si veda la risposta al chiarimento n.PI127677-23 già pubblicata.

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza pag. 39 CT - In riferimento al punto ""…Servizi di Web Application firewall.."" si chiede conferma che e' richiesta l'erogazione di un servizio professionale di gestione/conduzione ma che non preveda la messa a disposizione in comodato d'uso di apparati o licenze in carico all'Aggiudicatario. "

Risposta :

Domanda : 1) Con riferimento all'All.3 'Capitolato tecnico' par.4.2.2, dal momento in cui viene richiesta un'erogazione di soluzioni as a service come Firewall, Antivirus ecc, si richiede di specificare il perimetro e le baseline di riferimento --|-- 2) Con riferimento all'All.3 'Capitolato tecnico' par.4.2.16.5, nel processo di Capacity Management si intende la gestione degli strumenti messi in campo per l'erogazione del SOC o in generale di tutta l'infrastruttura di sicurezza? (Firewall, EDR ecc) --|-- 3) Con riferimento all'All.3 'Capitolato tecnico' par.5.1, la presenza di una figura on-site è mandatoria anche per il solo Lotto 2? --|-- 4) Con riferimento all'All.3 'Capitolato tecnico' par.5.1, nel caso in cui la figura on-site fosse mandatoria anche per il solo Lotto 2, si prega si specificare in quali sedi è prevista la sua presenza --|-- 5) Con riferimento all'All.3 'Capitolato tecnico', ipotizzando un dimensionamento basato su postazioni di lavoro e server (fisici e virtuali) a quali fasce sareste interessati? Es. 200-300, 400-500 --|-- 6) Con riferimento all'All.3 'Capitolato tecnico' si richiede di quantificare le PDL (PC) e i server (fisici e virtuali) totali a perimetro --|-- 7) Con riferimento all'All.3 'Capitolato tecnico' par.9.1, con la voce 'Avvio dei servizi' si intende l'inizio delle attività di startup necessarie per l'erogazione del servizio, o l'avvio effettivo del servizio --|-- 8) Con riferimento all'All.3 'Capitolato tecnico' par.9.1 tab. 6, viene specificato come KPI 'Indicazione contromisure da applicare e risoluzione reattiva di incidente di sicurezza' dato che la risoluzione può dipendere dall'incidente di sicurezza e dalla relativa gravità, cosa si intende per 'risoluzione reattiva di incidente di sicurezza'? --|-- 9) Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2, a cosa sono riferite le quantità indicate nelle diverse voci? Es. la quantità 455 riferita alla voce 'SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) - ORARIO BASE --' a cosa si riferisce? --|--' 10) Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2, i numeri riportati nella colonna 'QUANTITA'', sono da considerarsi come limite massimo inclusi nel progetto o puramente indicativi? Nel caso fossero indicativi, qual è il numero massimo da considerare all'interno del perimetro del servizio richiesto? --|-- 11) Con riferimento all'All.3 'Capitolato tecnico' par.4.2.16.6, Il Service Desk sistemistico di Sicurezza, verrà chiamato in causa solo per eventi riferiti all'ambito della Cyber Security o in generale a qualsiasi evento legato alla Sicurezza (quindi ad esempio eventi legati a firewall, antivirus, antispam ecc)? --|--

Risposta : 1) Si richiede al fornitore di quotare esclusivamente un Servizio di Conduzione operativa degli apparati e Sistemi di Sicurezza in produzione presso l’Amministrazione committente. Il perimetro e le baseline deriveranno dal servizio di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del capitolato tecnico;

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza pag. 39 CT - In riferimento al punto ""…Servizi di Next Generation firewall.."" si chiede conferma che e' richiesta l'erogazione di un servizio professionale di gestione/conduzione ma che non preveda la messa a disposizione in comodato d'uso di apparati o licenze in carico all'Aggiudicatario. "

Risposta :

Si richiede al fornitore di quotare esclusivamente un Servizio di Conduzione operativa degli apparati e Sistemi di Sicurezza in produzione presso l’Amministrazione committente.

Domanda : "4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza pag. 38 CT - In riferimento alla frase ""...È richiesto al Fornitore di erogare servizi di sicurezza nella modalità “as a service” …"" si chiede conferma dell'interpretazione in base alla quale la modalita' ""as a service"" preveda un servizio professionale di gestione/conduzione ma che non preveda la messa a disposizione in comodato d'uso di apparati o licenze in carico all'Aggiudicatario. "

Risposta :

Si veda la risposta al chiarimento n. PI111876-23 (quesito n.4) già pubblicata e la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Voce 1 e 2 dell' All5 - In riferimento al numero di canoni/annui, al fine di dimensionare in maniera congrua il servizio in esame si chiede alla stazione appaltante di condividere una tabella che fornisca un'idea di massima della % di canoni attribuibili alle Organizzazioni suddivise in piccole, medie, grandi indicando il parametro scelto per la suddivisione in categorie (es. numero di utenti, numero di EPS medio, etc)

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : All.6 - Schema di Convenzione lotti 1 e 2 Tenendo conto dei valori quantitativi riportati nello schema di offerta economica del lotto 2, si richiede una stima sul numero di Amministrazioni che potranno accedere alla convenzione.

Risposta : Si vedano le risposte ai chiarimenti n.PI140235-23 e n.PI126097-23 già pubblicate e si consideri, comunque, che tutte le Pubbliche Amministrazioni della Regione Emilia-Romagna potranno accedere ai servizi offerti dalla Convenzione.

Domanda : All.3 - Capitolato tecnico.pdf (4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza) Quesito: Laddove l’Amministrazione opti per una gestione degli apparati e dei sistemi "on site", si richiede di conoscere le informazioni di cui al punto precendente, in modo da poter quantificare i costi del servizio e della presenza onsite da parte dei tecnici del fornitore.

Risposta :

Le informazioni richieste saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.3 - Capitolato tecnico.pdf (4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza) Quesito: In assenza del dato precedente, si chiede quali altri dati dimensionali possono essere utilizzati per quantificare e per consentire un confronto uniforme delle proposte economiche dei diversi fornitori partecipanti.

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : All.3 - Capitolato tecnico.pdf (4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza) Quesito: Si richiede di fornire i dati dimensionali del licensing dei prodotti indicati, e la lista dei prodotti stessi per ciascuna amministrazione candidata all'erogazione del servizio. Es. Amministrazione 1, antivirus, 200 endpoint.

Risposta :

Le informazioni richieste saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.3 - Capitolato tecnico.pdf (4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza) Quesito: In caso di erogazione di moduli “as a service", si prevede di dover fornire licenze e apparati alle amministrazioni? In caso positivo si può indicare la numerosità e i parametri di dimensionamento degli stessi, insieme ai requisiti funzionali? In caso contrario, si tratta di fornire una console web per consentire all'utente finale di poter visualizzare gli allarmi?

Risposta :

Si veda la risposta al chiarimento n. PI111876-23 (quesito n.4) già pubblicata e la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : All.3 - Capitolato tecnico.pdf (4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Quesito: Nel caso in cui sia necessario utilizzare "le piattaforme già eventualmente in utilizzo presso l’Amministrazione", si richiede se è possibile prevedere una integrazione delle stesse con degli automatismi con la piattaforma SOC del fornitore.

Risposta :

Il Capitolato Tecnico non prevede modelli ibridi o integrazioni applicative tra i sistemi di monitoraggio del Fornitore e quello già eventualmente in essere presso l’Amministrazione committente.

Domanda : All.3 - Capitolato tecnico.pdf (4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Quesito: Nel caso in cui sia necessario utilizzare "le piattaforme già eventualmente in utilizzo presso l’Amministrazione", si richiede di indicare le tecnologie CMDB, ticketing, e SIEM in uso

Risposta :

Le informazioni richieste saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.3 - Capitolato tecnico.pdf (4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Quesito: Si richiede di indicare il numero massimo di collegamenti VPN da realizzare per poter raccogliere i log dalle amministrazioni

Risposta :

Si consideri che tutte le Pubbliche Amministrazioni della Regione Emilia-Romagna potranno accedere ai servizi offerti dalla Convenzione e che informazioni di maggior dettaglio saranno rese disponibili solo in fase di assessment e definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.3 - Capitolato tecnico.pdf (4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Quesito: Si chiede conferma che le amministrazioni siano dotate di terminatori VPN con protocollo IPSEC, e che pertanto non è necessario fornire apparecchiature, ma solo concordare i parametri di configurazione del tunnel IPSEC.

Risposta :

Le informazioni richieste saranno rese disponibili e la modalità di connessione sarà definita in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2 , par. Offerta Economica - Lotto Numero:2, pag 3, si chiede se le QUANTITA' espresse per ORARIO BASE e ORARIO CONTINUATO si intendano cumulative per il servizio indicato (ad esempio l'ORARIO CONTINUATO include le quantità indicate per l'ORARIO BASE) oppure debbano essere erogate separatamente (ad esempio le quantità espresse per SOC - Monitoraggio in tempo reale in ORARIO BASE sono indipendenti da quelle erogate in ORARIO CONTINUATO).

Risposta : Le quantità indicate sono distinte per singola voce, o in altri termini, per rispondere all'esempio fatto in domanda, sono indipendenti le une dalle altre.

Domanda : Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2 , par. Offerta Economica - Lotto Numero:2, pag 3, si chiede di chiarire la metrica di riferimento per il dimensionamento dei servizi a CANONE.

Risposta : Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : Con riferimento all'All.5 - Schema di offerta economica Lotti 1 e 2 , par. Offerta Economica - Lotto Numero:2, pag 3, si chiede quale sia l'esatta unità di misura di riferimento delle QUANTITA' specificate per i servizi a CANONE (esempio giorni uomo, ore, numero di incidenti, eventi).

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : "Capitolato tecnico par. 4.2 - Al fine di predisporre l’offerta tecnico-economica più vantaggiosa per la Stazione Appaltante, in relazione al contesto specifico di gara, si ritiene necessario disporre delle medesime informazioni a disposizione della Stazione Appaltante e dell’attuale detentore del servizio, anche per assicurare una simmetria informativa tra gli operatori economici partecipanti alla gara. Inoltre, visto che la SA per il calcolo della base d’asta ha preso a riferimento le ultime convenzioni Consip, come indicato al par. 3 del Progetto Tecnico, si ritiene altresì necessario conoscere quali sono le metriche ed eventualmente le fasce delle suddette convenzioni Consip utilizzate per il calcolo della BA del presente bando di gara Pertanto, relativamente al lotto 2, facendo riferimento alle metriche presenti nelle convenzioni Consip di riferimento e nel rispetto delle norme per la tutela della concorrenza e del mercato, si chiede: 1. Per il ""Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC)"", di indicare il numero medio di EPS per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; 2. Per il ""Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza"" di indicare: a. Relativamente ai Servizi di Next Generation firewall, il Throughput/anno medio per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; b. Relativamente ai Servizi di Web Application firewall, il Throughput/anno medio per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; c. Relativamente al Servizio di Content Filtering, il numero medio di utenze per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; d. Relativamente al Servizio di Content Security (antivirus, antimalware, anti-ransomware, il numero medio di utenze per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; e. Relativamente al Servizio IDS (Intrusion Detection System) / IPS (Intrusion Prevention System), il Throughput/anno medio per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; f. Relativamente al Servizio SIEM, il numeromedio di EPS per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; g. Relativamente al Servizio SOAR - Security Orchestration, Automation, and Response, il numero medio di utenti per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; h. Relativamente al Servizio di telemetria, xDR/EDR e NDR, il numero medio di endpoint per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; i. Relativamente al Servizio di Threat Sharing, il numero medio di domini per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; 3. Per i ""Servizi di Incident Response and Remediation”, di indicare il numero medio di asset per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; 4. Per il “Servizio di User and entity behavior analytics (UEBA)”, di indicare il numeromedio di entità per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; 5. Per il “Servizio di threat intelligence” di indicare: a. Relativamente al Servizio APT feed di indicare il numero medio di Feed/anno per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; b. Relativamente al servizio Threat sharing, il numero medio di domini per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; c. Relativamente al servizio Asset tracker & data leak, di indicare il numero medio di asset per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; 6. Per il “Servizio di host hardening”, di indicare il numeromedio di host per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; 7. Per il “Servizio di security awareness”, di indicare il numero medio di utenze per P.A. considerato dalla Stazione Appaltante per il calcolo della Base d'Asta; Inoltre, per i servizi “Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza” e “Servizio di Vulnerability Management, dove è le PP.AA. possono optare per l’erogazione in modalità “as a service” o in modalità di conduzione operativa degli apparati in produzione presso l’amministrazione, si chiede di indicare il peso percentuale per entrambe le modalità di erogazione considerato dalla SA per il calcolo della BA. Si rappresenta che solo la fornitura da parte della SA delle informazioni più id dettaglio alla base della determinazione della BA consentono agli operatori economici di poter formulare un’offerta congrua e consapevole per l’esecuzione dell’AQ oggetto della presente gara e consentire alla SA di poter valutare la serietà, la sostenibilità e la realizzabilità dell’offerta tecnico-economica presentata."

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023. Ulteriori informazioni saranno rese disponibili dalla singola Amministrazione committente in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Con riferimento al Capitolato Tecnico par. 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC), si chiede di confermare che una connessione VPN su Internet sia da considerarsi come canale dedicato punto-punto

Risposta :

Con riferimento al Paragrafo 4.2.1 si dichiara che: “…la connessione telematica tra il Centro Servizi e le sedi dell’Amministrazione deve essere realizzata attraverso canale dedicato punto-punto a costo del Fornitore. Nessun onere potrà essere ascritto all’Amministrazione…“. La modalità di connessione sarà definita in sede di attivazione del contratto con le Amministrazioni Committenti durante la fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico. L’ Amministrazione può autorizzare l'impiego di VPN che insistono sulla connettività Internet qualora lo ritenga opportuno.

Domanda : Con riferimento al Capitolato Tecnico par. 7.2 Piano di Esecuzione dei Servizi, Si chiede conferma che le prestazioni di servizio erogate in gg/uu le cui quantità sono concordate in maniera presuntiva nel piano economico post assessement, siano fatturabili sulla base del raggiungimento degli obiettivi e alla consegna dei deliverable concordati in fase di assessment

Risposta : Si conferma.

Domanda : All.3 - Capitolato tecnico.pdf Quesito: Si richiede di indicare la numerosità delle amministrazioni candidate ad utilizzare il servizio

Risposta :

Tutte le Pubbliche Amministrazioni della Regione Emilia-Romagna potranno accedere ai servizi offerti dalla Convenzione. Comunque, si veda anche la risposta al chiarimento n.PI140235-23 già pubblicata.

Domanda : All.3 - Capitolato tecnico.pdf (4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Quesito: Si richiede di indicare il numero totale complessivo di endpoint presenti nella totalità delle infrastrutture in scope

Risposta :

Le informazioni richieste saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.3 - Capitolato tecnico.pdf (4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Quesito: Si richiede di indicare delle fasce di dimensionamento delle possibili amministrazioni e quante amministrazioni ricadono in quelle fasce in termini di endpoint (PC+Server) presenti. Le fasce su cui si richiede un conteggio sono: Piccola (0-99 endpoint), Media (100-499), Grande (499-1999), Molto Grande (>2000)

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023, in particolare l'all.5 "Schema di offerta economica".

Domanda : All.3 - Capitolato tecnico.pdf (4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Quesito: Si richiede di indicare le possibili fonti log presenti presso le pubbliche amministrazioni (sistemi operativi, firewall, IDS/IPS, antivirus, mail security, web gateway, WAF)

Risposta :

Le informazioni richieste saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : Documento All.3 - Capitolato tecnico.pdf -4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Quesito: Si richiede di fornire gli elementi minimi per poter quantificare il canone del servizio, come per esempio Eventi al secondo di picco oppure gbyte per day

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : All. 3 Capitolato Tecnico Paragrafo 4.2 Si chiede di confermare che le attività oggetto del Lotto 2 non prevedano il rilascio di certificazioni, né svolgimento di attività riservata a soggetti in possesso di abilitazione/iscrizione a specifici albi.

Risposta : Si conferma.

Domanda : All. 3 Capitolato Tecnico Paragrafo 4.2 Con riferimento ai servizi in oggetto ed in particolare per le attività di penetration test e verifiche di sicurezza, vista la peculiarità di tali servizi, si chiede di confermare che: a. saranno identificate le vulnerabilità nell’ambito dell’esecuzione dei test e che queste possano non corrispondere a tutte le minacce/vulnerabilità alla sicurezza o alla rete dell’Agenzia e/o delle Amministrazioni contraenti o di altre loro strutture, asset; b. non sia richiesto al Fornitore di garantire che saranno evitate intrusioni nelle reti/sistemi dell’Agenzia e/o delle Amministrazioni contraenti o qualsivoglia danno ad essi o ad altre strutture, asset o applicazioni dell’Agenzia e/o delle Amministrazioni contraenti.

Risposta :

a) b) In fase di assessment sarà cura dell'Amministrazione fornire, ove presente, o definire assieme al Fornitore, la procedura di gestione delle vulnerabilità. Essa può trovare applicazione in tutti i casi in cui emergano vulnerabilità a seguito di Vulnerability Assessment e Penetration Test sui sistemi ed applicazioni dell’Amministrazione stessa.

Domanda : All. 3 Capitolato Tecnico – Lotto 2 - Art. 4.2.5 Attività di Penetration Test e Art. 4.2.6 Servizi di Application Security Testing I servizi di Penetration Test e Application Security Testing, descritti rispettivamente nei §§ 4.2.5 e 4.2.6, prevedono lo svolgimento di verifiche e gestione della sicurezza, attività di penetration test su reti e/o sistemi dell’Agenzia e/o delle Amministrazioni contraenti o di terzi, eventualmente da svolgersi in ambienti predisposti su reti e/o sistemi dell’Agenzia e/o delle Amministrazioni contraenti o di terzi. Si chiede di confermare che l’Agenzia e/o le Amministrazioni contraenti rilasceranno al Fornitore preventiva autorizzazione scritta a tal fine, anche ai sensi dell’art. 50 del codice penale e anche per conto di eventuali terzi (quali titolari, gestori o fornitori di servizi sui cui sistemi essa accede).

Risposta :

Sarà cura di ogni Amministrazione che richiede i servizi di Penetration Test e Application Security Testing sottoscrivere assieme al fornitore Manleve/Regole di ingaggio.

Domanda : All. 3 Capitolato Tecnico Paragrafo 4.2 Con riferimento ai servizi di security si chiede di confermare che la determinazione e la verifica delle procedure aziendali, delle politiche e dei requisiti di sicurezza, dei requisiti normativi e di compliance, e delle istruzioni citate nella documentazione di gara sono in capo all’Agenzia e/o alle Amministrazioni contraenti che le metteranno a disposizione del Fornitore.

Risposta :

Si conferma che verranno rese disponibili tali informazioni di maggior dettaglio solo in fase di assessment e definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico per ciascuna Pubblica Amministrazione interessata.

Domanda : All.5 Schema di offerta economica, Offerta Economica - Lotto 2, pag. 3 All.3 - Capitolato tecnico, Paragrafi 4.2.3 e 4.2.4, 4.2.5 e 4.2.6 pagine 40-42 I seguenti servizi descritti nel Capitolato Tecnico • Vulnerability Assessment (§ 4.2.3), • Vulnerability Management (§ 4.2.4), • Penetration Testing (§ 4.2.5), • Application Security Testing (§ 4.2.6), attualmente non sono esplicitati come singola voce di servizio “a canone” nello schema di offerta economica. Si chiede di confermare che tali servizi sono remunerati tramite le voci “a giornata” presenti nel file di offerta economica.

Risposta :

Domanda : All.3 - Capitolato tecnico, Paragrafi 4.2.1 e 4.2.2, pag. 33/38 Al fine del corretto dimensionamento dei servizi a canone, si chiede di specificare i valori massimi delle seguenti voci: a. numero massimo di "Events per second" (EPS) e GB/day da gestire; b. numero massimo e tipi di data source; c. numero massimo di allarmi giornalieri/mensili/annuali da prevedere; d. numero massimo di Endpoint da proteggere; e. numero massimo e tipologie di dispositivi da sottoporre a protezione; f. data throughput massimo; g. numero massimo di policy da implementare.

Risposta :

Si veda la documentazione come rettificata dalla D.D.n.366/2023. Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 -Servizio di security awareness - ORARIO BASE Codice regionale: BS0003709 - Pag.3 Per il dimensionamento del servizio, si chiede di specificare il numero di utenti incluso nel canone. Alternativamente, si chiede di indicare l’unità di misura di riferimento.

Risposta : L’unità di misura da adottare per la formulazione della offerta economica è l'Utente. Si veda la documentazione come rettificata dalla D.D.n.366/2023. Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap. 7 del Capitolato Tecnico.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 - Servizio di host hardening - ORARIO BASE – Codice regionale: BS0003708 Pag.3 Per il dimensionamento del servizio, si chiede di specificare il numero di host incluso nel canone.

Risposta :

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 - Servizio di User and entity behavior analytics (UEBA) - ORARIO CONTINUATO – Codice regionale: BS0003707 Pag.3 Per il dimensionamento del servizio, si chiede di specificare il numero di utenti incluso nel canone. Alternativamente, si chiede di indicare l’unità di misura di riferimento.

Risposta :

L’unità di misura di riferimento da adottare per la formulazione della offerta economica è l'Utente. Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 - Servizio di threat intelligence / APT-feed / asset tracker & data leak - ORARIO CONTINUATO Codice regionale: BS0003706 - Pag.3 Per il dimensionamento del servizio, si chiede di specificare: a. il numero di data feed da analizzare inclusi nel canone di gestione; b. l’unità di misura da adottare.

Risposta :

a) Le informazioni richieste saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap. 7 del Capitolato Tecnico.

b) L’unità di misura da adottare per la formulazione della offerta economica è il Dominio. Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 - SOC - Servizio di Incident response & remediation - ORARIO CONTINUATO Codice regionale: BS0003705 - Pag.3 Per un corretto dimensionamento del servizio, si chiede di indicare il numero di security incident stimati nel mese suddivisi, se possibile, per tipologie e criticità.

Risposta : Il servizio va considerato su un canone annuale che preveda un max di 3 incidenti e 5 segnalazioni/anno. Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Ulteriori informazioni saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 Sistemi WAF - ORARIO BASE - e Orario continuato Codici regionali: BS0003701 e BS0003702 - Pag.3 Si chiede di specificare: a. il numero di apparati inclusi nel canone di gestione; b. le caratteristiche degli apparati da gestire (ad esempio, throughput, prodotto , vendor, ecc.)

Risposta :

Le informazioni richieste saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico. Comunque, si veda anche la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) ORARIO BASE - ORARIO CONTINUATO Codici regionali: BS0003699 e BS0003700 - Pag.3 Si chiede di specificare: a. il numero di apparati (nelle aree di sistemi indicati) inclusi nel canone di gestione; b. nel caso di Telemetria, il numero di Endpoint (server, Client) inclusi nel canone di gestione; c. nei casi di Firewall e IDS/IPS, le caratteristiche degli apparati da gestire (ad esempio, throughput , prodotto, ecc.).

Risposta :

Le informazioni richieste saranno rese disponibili in fase di assessment e di definizione del piano di esecuzione dei servizi di cui al cap.7 del Capitolato Tecnico. Comunque, si veda anche la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) - ORARIO BASE --e ad ORARIO CONTINUATO Codici regionali: BS0003697 e BS0003698 – Pag.3 Si chiede di confermare che: a. nei prezzi del canone non siano inclusi i costi di licenze e dell’infrastruttura per la piattaforma SIEM; b. la metrica di valutazione del canone sia per GB o per EPS; eventualmente specificare altra grandezza.

Risposta :

a) Come da capitolato l’Amministrazione ha facoltà di richiedere al fornitore di erogare il servizio in due modalità: utilizzando le piattaforme già eventualmente in utilizzo presso l’Amministrazione o mettendo a disposizione una propria (del fornitore) piattaforma, nel primo caso il canone non include i costi di licenze e dell’infrastruttura, nel secondo caso il canone è omni-comprensivo.

b) La metrica di valutazione è EPS con suddivisione in 4 fasce. Si veda la documentazione come rettificata dalla D.D.n.366/2023.

Domanda : Riferimento: All.3 - Capitolato tecnico.pdf - Par 5.1 Servizi a Canone Quesito: Nel paragrafo 5.1 del capitolato tecnico si indica che :"...La remunerazione dei servizi è a canone ed è basata sulla dimensione e le caratteristiche dell’infrastruttura tecnologica oggetto del servizio stesso, ovvero è indipendente dal numero e dalla tipologia di risorse professionali impiegate dal Fornitore...." E' possibile specificare nel dettaglio come quanto sopra espresso abbia un impatto sulla determinazione del prezzo complessivo del servizio per la singola amministrazione, a partire dai prezzi unitari definiti in offerta economica per i servizi a canone? Ad esempio, per "SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) - ORARIO BASE --" si chiede di confermare che il prezzo complessivo del servizio verrà ottenuto moltiplicando il valore offerto per il canone mensile, per il numero di mesi contrattualizzati e per il numero di apparati per cui viene richiesto il monitoraggio.

Risposta : Si veda la documentazione oggetto di rettifica, in particolare il Disciplinare, il Capitolato tecnico e lo Schema di offerta economica. Ad esempio, il canone annuale per il servizio "SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) - ORARIO BASE è stato suddiviso in 4 fasce a seconda del numero di EPS. Quindi, il costo complessivo del servizio sarà il prodotto del prezzo offerto, corrispondente al canone annuale (non il valore offerto che è il prodotto di PxQ, si veda in merito il Disciplinare al cap.16), per il numero di anni richiesti dall'Amministrazione committente.

Domanda : All.3 – Capitolato Tecnico, paragrafo 5, pag. 52 Nella tabella dei servizi richiesti nel Lotto 2, per il servizio di Servizio di Incident Response & Remediation non è indicata la modalità di erogazione / remunerazione. Si chiede di confermare che la modalità di erogazione per tale servizio sia da intendersi “a canone” come riportato nell’All.5 schema di offerta economica.

Risposta : Si conferma.

Domanda : Si chiede cortesemente dove sia da inserire l'eventuale dichiarazione di subappalto.

Risposta : L'eventuale dichiarazione di subappalto va inserita nel DGUE, parte II, lett. D.

Domanda : All.3 - Capitolato tecnico, Paragrafo 4.2.1, pag. 34 Si richiede conferma che sia possibile utilizzare la connessione ad Internet, ove presente sulle sedi delle Amministrazioni aderenti alla convenzione.

Risposta :

La modalità di connessione sarà definita in sede di attivazione del contratto con le Amministrazioni Committenti durante la fase di assessment e di definizione del piano di esecuzione dei servizi di cui al capitolo 7 del capitolato tecnico. L’ Amministrazione può autorizzare l'impiego di VPN che insistono sulla connettività Internet qualora lo ritenga opportuno.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 Sistemi SIEM, SOAR - ORARIO BASE - e ORARIO CONTINUATO Codici regionali: BS0003703 e BS0003704 - Pag.3 Si chiede di specificare: a. il numero di apparati inclusi nel canone di gestione; b. le caratteristiche degli apparati da gestire (ad esempio, numero di GB, EPS, prodotto, vendor, ecc).

Risposta : Con riferimento alle voci Sistemi SIEM, SOAR (orario base e continuato) si vedano lo Schema di offerta economica, il Capitolato tecnico (in particolare pagg.52-53) ed il Disciplinare come rettificati.

Domanda : QUESITO 1 CAPITOLATO TECNICO 4.1.6.5 Supporto al Processo Capacity Management DOMANDA Si chiede di precisare se il "Supporto al Processo Capacity Management" possa essere erogato interamente da remoto, con l'invio di personale sul posto solo per lo svolgimento di attività tecniche non assolvibili diversamente. QUESITO 2 CAPITOLATO TECNICO 4.2.16.6 ServiceDesk Sistemistico di Sicurezza Informatica DOMANDA Si chiede di precisare se il "Service Desk Sistemistico di sicurezza informatica" possa essere erogato interamente da remoto. QUESITO 3 ALLEGATO A – FIGURE PROFESSIONALI 1. Premessa DOMANDA A pag. 5 si legge che "Le certificazioni richieste devono essere valide, mantenute valide per tutta la durata della fornitura e comunque non più vecchie di 3 anni.". Si chiede di confermare che saranno comunque considerate valide tutte le certificazioni che sono rilasciate senza alcuna data di scadenza, anche se la data di conseguimento è anteriore a tre anni. QUESITO 4 ALLEGATO A – FIGURE PROFESSIONALI 1.1 ICT OPERATION MANAGER; 1.2 ENTERPRISE ARCHITECT; 1.3 SYSTEM ARCHITECT; 1.4 SYSTEM ADMINISTRATOR SENIOR; 1.5 SYSTEM ADMINISTRATOR MIDDLE; 1.6 SYSTEM ADMINISTRATOR JUNIOR; 1.7 DATABASE ADMINISTRATOR SENIOR; 1.8 DATABASE ADMINISTRATOR JUNIOR; DOMANDA In considerazione del fatto che le certificazioni Microsoft MCSA e MCSE sono da considersi obsolete, si chiede alla Stazione Appaltante di indicare delle certificazioni ed esse equivalenti. QUESITO 5 ALLEGATO 5 - SCHEMA DI OFFERTA ECONOMICA LOTTI 1 E 2 Offerta Economica - Lotto Numero:1; Offerta Economica - Lotto Numero:2 DOMANDA "Si chiede di confermare che per tutte le voci in cui la cella della colonna ""UM OGGETTO INIZIATIVA"" è valorizzata come ""CANONE"", il corrispondente valore nella colonna ""PREZZO OFFERTO PER UM IVA ESCLUSA ( 2 dec. )"" deve essere identico a quello indicato nella corrispondente colonna "VALORE OFFERTO ( 2 dec. )" e deve rappresentare il canone annuale (IVA esclusa) relativo allo svolgimento del servizio per l'intero complesso (non frazionabile) degli apparati il cui conteggio è indicato nella colonna ""QUANTITA'""."

Risposta : Quesiti 1 e 2: È facoltà di ogni singola Amministrazione committente decidere in fase di assessment la modalità on-site o da remoto;

Domanda : QUESITO 1 CAPITOLATO TECNICO 4.2.16.2 Supporto al Processo di Incident e Problem Management Si chiede di precisare se il "Supporto al Processo di Incident e Problem Management" possa essere condotto interamente da remoto, con l'invio di personale sul posto solo per lo svolgimento di attività tecniche non assolvibili diversamente. QUESITO 2 CAPITOLATO TECNICO 4.2.16.2 Supporto al Processo di Incident e Problem Management DOMANDA Si chiede di indicare se la piattaforma di gestione della "knowledge base", alla quale si fa riferimento a pag. 48 sia messa a disposizione dall'Amministrazione Committente o se debba essere fornita dall'Aggiudicatario. QUESITO 3 CAPITOLATO TECNICO 4.2.16.2 Supporto al Processo di Incident e Problem Management Si chiede di indicare se il "sistema di Log Management", al quale si fa riferimento a pag. 48, sia messo a disposizione dall'Amministrazione Committente o se debba essere fornito dall'Aggiudicatario. Nel caso in cui fosse fornito dall'Amministrazione si chiede di comunicare di quale prodotto e versione si tratti. QUESITO 4 CAPITOLATO TECNICO 4.2.16.4 Supporto al Processo di Service Asset & Configuration Management Si chiede di indicare se il "CMDB", al quale si fa riferimento a pag. 49, sia messo a disposizione dall'Amministrazione Committente o se debba essere fornito dall'Aggiudicatario. Nel caso in cui fosse fornito dall'Amministrazione si chiede di comunicare di quale prodotto e versione si tratti. QUESITO 5 CAPITOLATO TECNICO 4.2.16.5 Supporto al Processo Capacity Management Si chiede di precisare se il "Supporto al Processo Capacity Management" possa essere erogato interamente da remoto, con l'invio di personale sul posto solo per lo svolgimento di attività tecniche non assolvibili diversamente.

Risposta : Quesito 1: È facoltà di ogni singola Amministrazione Committente decidere la modalità, on-site o da remoto, con la quale il Fornitore deve eventualmente erogare la funzione di Supporto al Processo di Incident e Problem Management, secondo le specifiche esigenze della committenza;

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2, pag. 3 Si richiede di specificare per ciascun servizio a canone quali siano i razionali adottati per la stima dei quantitativi (elementi inclusi in ciascun singolo canone di gestione).

Risposta :

Si veda la documentazione oggetto di rettifica, in particolare lo schema di offerta economica del Lotto 2. Le quantità stimate per ogni voce sono rapportate al parametro indicato nella colonna “Note di Agenzia” del medesimo schema.

Domanda : QUESITO 1 CAPITOLATO TECNICO 4.2.6 Servizi di Application Security Testing DOMANDA Si chiede di indicare se le piattaforme a supporto dei test DAST, SAST, SCA richiesti dal Capitolato sono già nella diponibilità dell'Ammnistrazione o se dovrà fornirle l'Aggiudicatario. Nel caso in cui dovrà essere quest' ultimo a doverle mettere a disposizione, si chiede di indicare come rappresentare i relativi costi nell'Offerta Tecnica e come verranno valutati gli strumenti proposti ai fini dell'attribuzione del punteggio tecnico. QUESITO 2 CAPITOLATO TECNICO 4.2.7 Servizi di Incident Response and Remediation DOMANDA Si chiede di chiarire a quale "Team" si fa riferimento nella frase "Tra le azioni di competenza del Team figurano ...". Più precisamente si chiede se si faccia riferimento al "personale deputato al servizio di Incident Response" o al "team IT (system e/o client)". QUESITO 3 CAPITOLATO TECNICO 4.2.7 Servizi di Incident Response and Remediation DOMANDA Allo scopo di comprendere la suddivisione delle responsabilità tra personale del "Team IT" (Lotto 1) e quello del servizio di "Incident Response" (Lotto 2), alla luce del fatto che le attività devono essere svolte "di concerto" tra i due team (pag. 42), si chiede alla Stazione Appaltante di Predisporre una tabella RACI che evidenzi le attività richieste nel servizio al paragrafo 4.2.7 e come debbano essere ripartite tra i citati Team e tra gli altri stakeholder. QUESITO 4 CAPITOLATO TECNICO 4.2.7 Servizi di Incident Response and Remediation DOMANDA Si chiede di specificare quali siano gli "opportuni strumenti" che dovranno essere utilizzati dal Fornitore per "isolare i sistemi compromessi (ad esempio da malware)" e se detti strumenti debbano essere forniti dall'Aggiudicatario. Nel caso in cui dovrà essere quest ultimo a doverli mettere a disposizione, si chiede di indicare come rappresentare i relativi costi nell'Offerta Tecnica e come verranno valutati gli strumenti proposti ai fini dell'attribuzione del punteggio tecnico. QUESITO 5 CAPITOLATO TECNICO 4.2.8 Servizio di User and entity behavior analytics (UEBA) DOMANDA "Si chiede di specificare quali siano le ""piattaforme ed algoritmi, nonché di intelligenza artificiale, al fine di identificare in modo automatico schemi di comportamento anomalo di utenti o di altre componenti dell’infrastruttura ITi"" che dovranno essere utilizzate dal Fornitore per erogare il ""Servizio di User and entity behavior analytics (UEBA)"" e se dette piattaforme debbano essere fornite dall'Aggiudicatario. Nel caso in cui dovrà essere quest ultimo a doverle mettere a disposizione, si chiede di indicare come rappresentare i relativi costi nell'Offerta Tecnica e come verranno valutate le piattaforme proposte ai fini dell'attribuzione del punteggio tecnico."

Risposta : Quesito 1 Ogni singola Amministrazione si riserva la facoltà di adottare la soluzione di “Servizi di Application Security Testing” che ritiene più idonea. Le informazioni richieste deriveranno dalla fase di assessment e di definizione del piano di esecuzione dei servizi di cui al capitolo 7 del capitolato tecnico. Si ricorda che la documentazione tecnica deve essere priva, a pena di esclusione, di qualsivoglia indicazione (diretta e/o indiretta) all’offerta economica (come da cap.15 del Disciplinare). Per i criteri di valutazione si rinvia al Disciplinare e allo Schema di offerta tecnica (All.4a e 4b).

Domanda : QUESITO 1 CAPITOLATO TECNICO 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) DOMANDA Si chiede di confermare che per assicurare la continuità operativa della "connessione telematica tra il Centro Servizi e le sedi dell’Amministrazione" (pag. 34) è ammesso l'impiego di VPN che insistono sulla connettività Internet esistente dell'Amministrazione solo ed esclusivamente per assicurare la ridondanza del "canale dedicato punto-punto" richiesto dal Capitolato Tecnico. QUESITO 2 CAPITOLATO TECNICO 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) DOMANDA Il Capitolato Tecnico prevede che il Fornitore, a richiesta dell'Amministrazione, fornisca una "piattaforma di monitoraggio degli eventi di sicurezza dotata di appositi moduli di detection, agenti o dispositivi da installare presso i sistemi dell’Amministrazione". Si chiede di confermare che per suddetta piattaforma di monitoraggio s'intende un SIEM o, comunque, una piattaforma il cui scopo esclusivo è quello di raccogliere (e costodire a norma: Log Management) gli eventi generati dai controlli di sicurezza posti in essere sui sistemi e servizi dell'Amministrazione (es. Firewall, Antivirus, DLP, IDS, ecc.), di arricchirne il contenuto informativo con i dati di Threat Intelligenge e di contesto, di correlarli tra loro e con i log operativi. Non risulta quindi a carico dell'Aggiudicatario la fornitura di licenze, canoni o oltre oneri relativi alla fornitura di dispositivi di sicurezza che saranno scelti liberamente dall'Amministrazione committente e dei cui costi si farà carico la medesima. QUESITO 3 CAPITOLATO TECNICO 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) DOMANDA Ai fini della "analisi e verifica dei livelli di sicurezza complessiva dell’architettura e della valutazione di eventuali azioni di perfezionamento della security" in carico al SOC, si chiede se al Fornitore è data la possibilità d'installare una soluzione di Vulnerability Assessment e Management all'interno della rete dell'Ammnistrazione con lo scopo di monitorare quotidianemente lo stato delle vulnerabilità presenti sulla infrastruttura e di proporre gli adeguati piani di trattamento. In caso affermativo si chiede di indicare se il costo di detta piattaforma debba essere ricompreso nel canone di servizio e se sia ammessa una soluzione tecnica che prevede una console di gestione su cloud pubblico (in Italia). QUESITO 4 CAPITOLATO TECNICO 4.2.2 Servizio di Conduzione Operativa di Apparati e Sistemi di Sicurezza DOMANDA Si chiede di chiarire cosa s'intenda per "erogare servizi di sicurezza nella modalità “as a service”" e se detta modalità preveda anche la fornitura di prodotti/licenze/subscription, ecc. unitamente ai servizi di gestione erogati dal Fornitore. In caso affermativo si chiede di elencare a quali prdotti/servizi di sicurezza di mercato si faccia riferimento, di chiarire come i relativi costi debbano essere esposti nell'Offerta Economica e quali criteri di valutazione saranno utilizzati per l'attribuzione del punteggio tecnico in funzione delle soluzioni proposte per ciascun ambito di protezione. QUESITO 5 CAPITOLATO TECNICO 4.2.4 Servizio di Vulnerability Management DOMANDA Al fine di valutare le competenze richieste per l'erogazione dei servizi previsti dal Capitolato si chiede di indicare quale sia lil "sistema di Vulnerability Management" adottato dall'Amministrazione e al quale si fa riferimento nel Paragrafo 4.2.4.

Risposta : Quesito 1: Con riferimento al Paragrafo 4.2.1 si dichiara che: “…la connessione telematica tra il Centro Servizi e le sedi dell’Amministrazione deve essere realizzata attraverso canale dedicato punto-punto a costo del Fornitore. Nessun onere potrà essere ascritto all’Amministrazione…“. La modalità di connessione sarà definita in sede di attivazione del contratto con le Amministrazioni Committenti durante la fase di assessment e di definizione del piano di esecuzione dei servizi di cui al capitolo 7 del Capitolato Tecnico. L’ Amministrazione può autorizzare l'impiego di VPN che insistono sulla connettività Internet qualora lo ritenga opportuno;

Domanda : All.3 - Capitolato tecnico, Paragrafo 4.2.1, pag. 34 Si richiede conferma che tutte le Amministrazioni che potranno aderire alla convenzione siano collegate tra loro tramite una rete geografica dedicata / MPLS.

Risposta :

Le Amministrazioni committenti sono in generale collegate alla rete geografica Lepida che è una rete pubblica, omogenea e unitaria, ad alta affidabilità. Ogni Amministrazione ha connessioni private dedicate per collegare le proprie sedi.

Domanda : ALLEGATO 6 SCHEMA DI CONVENZIONE LOTTI 1 e 2 Art. 14 comma 4 pag. 13 Si chiede conferma che le revisioni dei prezzi non sono applicate ai contratti stipulati antecedentemente tali revisioni (con riferimento ai servizi ancora da erogare).

Risposta : Si veda quanto riportato nell'art.14, comma 4 dello schema di Convenzione rettificato.

Domanda : Riferimento: All.3 - Capitolato tecnico.pdf - 'Par 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) Nel paragrafo 4.2.1 del capitolato tecnico si indica che :"....Il SOC del Fornitore deve rispettare inoltre le seguenti regole: la connessione telematica tra il Centro Servizi e le sedi dell’Amministrazione deve essere realizzata attraverso canale dedicato punto-punto a costo del Fornitore...." Si chiede conferma che il canale dedicato punto-punto possa essere inteso come un collegamento VPN tra il Centro Servizi e le sedi dell’Amministrazione Cliente.

Risposta :

Si veda la risposta al chiarimento n.PI111871-23 (quesito n.5) già pubblicata.

Domanda : QUESITO 1 CAPITOLATO TECNICO 4.2.13 Servizio di security awareness Si chiede di confermare che il "Servizio di security awareness" sarà diretto agli utenti dell'Amministrrazione committente che non hanno competenze, ruoli, responsabilità specifici in ambito security. Si tratta di azioni di sensibilizzazione periodica e non di formazione specialistica diretta a personale tecnico. QUESITO 2 CAPITOLATO TECNICO 4.2.14 CyberSecurity & Privacy Legal Advisor Si chiede di indicare se l'attività di "CyberSecurity & Privacy Legal Advisor" debba prevedere anche competenze sulla normativa relativa al Perimetro Nazionale di Sicurezza Cibernetico - PSNC (Decreto-legge 21 settembre 2019, n. 105, convertito nella legge 18 novembre 2019, n. 133 e successivi decreti attuativi). QUESITO 3 CAPITOLATO TECNICO 4.2.14 CyberSecurity & Privacy Legal Advisor In considerazione della specificità della materia e dell'interdisciplinarietà necessaria, si chiede di confermare che la "figura professionale del Cyber security and Privacy legal advisor" prevista nell'attività di " CyberSecurity & Privacy Legal Advisor" può essere rappresentata anche da un team di professionisti e non da una singola persona. QUESITO 4 CAPITOLATO TECNICO 4.2.16 Servizi di Service e Performance Management Si chiede di precisare se i "Servizi di Service e Performance Management" possano essere erogati interamente da remoto, con l'invio di personale sul posto solo per lo svolgimento di attività tecniche non assolvibili diversamente. QUESITO 5 CAPITOLATO TECNICO 4.2.16.1 Gestione delle Richieste e delle Segnalazioni Con riferimento al Paragrafo 4.2.16.1 del Capitolato Tecnico si chiede alla Stazione Appaltante di indicare prodotti/versioni degli "strumenti resi disponibili dall’Amministrazione per tracciare le attività a carattere operativo nonché le richieste di informazioni e di segnalazione di disservizio". Si chiede inoltre di chiarire se detti "strumenti" siano integrati (o debbano esserlo" con quelli previsti allo stesso scopo per il Lotto 1. Si chiede altresì di comunicare se sia ammessa l'integrazione di detti "strumenti" con quelli che il Fornitore ha in uso presso il proprio Centro Servizi e, in caso, quali siano i possibili scenari d'integrazione che l'Amministrazione ritenga praticabili nel rispetto delle proprie policy.

Risposta : Quesito 1: Si tratta di azioni di sensibilizzazione su argomenti relativi alla sicurezza informatica per i quali coinvolgere tutto il personale, oltre a quello IT, cui possono essere erogate azioni più specifiche (es. amministratori di sistema, sviluppatori);

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 Sistemi SIEM, SOAR - ORARIO BASE - e ORARIO CONTINUATO Codici regionali: BS0003703 e BS0003704 - Pag.3 Si chiede di confermare che nei prezzi del canone dei servizi SIEM e SOAR non siano inclusi i costi di licenze e manutenzione.

Risposta : Si conferma.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 Sistemi WAF - ORARIO BASE - e Orario continuato Codici regionali: BS0003701 e BS0003702 - Pag.3 Si chiede di confermare che nei prezzi del canone del servizio WAF non siano inclusi i costi di licenze e manutenzione.

Risposta : Si conferma.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 Sistemi Firewall, IDS/IPS, Antivirus e di telemetria (xDR o EDR, NDR) ORARIO BASE - ORARIO CONTINUATO Codici regionali: BS0003699 e BS0003700 - Pag.3 Si chiede di confermare che nei prezzi del canone non siano inclusi i costi di licenze e manutenzione.

Risposta : Si conferma.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 SOC - Monitoraggio in tempo reale di eventi di sicurezza (su apparati dell'amministrazione o del fornitore) - ORARIO BASE --e ad ORARIO CONTINUATO Codici regionali: BS0003697 e BS0003698 – Pag.3 Si chiede di indicare quale sia l’orario di servizio previsto per il monitoraggio degli eventi.

Risposta :

Si faccia riferimento al paragrafo 5.1.1 “Orari del servizio” del Capitolato tecnico.

Domanda : QUESITO 1 CAPITOLATO TECNICO 4.1.6.4 Supporto al Processo di Service Asset & Configuration Management DOMANDA Si chiede di indicare se il "CMDB", al quale si fa riferimento a pag. 30, sia messo a disposizione dall'Amministrazione Committente o se debba essere fornito dall'Aggiudicatario. Nel caso in cui fosse fornito dall'Amministrazione si chiede di comunicare di quale prodotto e versione si tratti. QUESITO 2 CAPITOLATO TECNICO 4.1.6.6 ServiceDesk Sistemistico DOMANDA Si chiede di precisare se il "Service Desk Sistemistico" possa essere erogato interamente da remoto. QUESITO 3 CAPITOLATO TECNICO 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) DOMANDA Si chiede di confermare che il "Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC)" deve essere erogato esclusivamente da remoto attraverso il Centro Servizi del Fornitore. QUESITO 4 CAPITOLATO TECNICO 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) DOMANDA Si chiede di confermare che tutti gli addetti del SOC devono relazionarsi esclusivamente in lingua italiana con il personale dell'Amministrazione Committente. QUESITO 5 CAPITOLATO TECNICO 4.2.1 Servizio di Monitoraggio in tempo reale di eventi di sicurezza (SOC) DOMANDA Si chiede di confermare che per la realizzazione della "connessione telematica tra il Centro Servizi e le sedi dell’Amministrazione" (pag. 34) non è ammesso l'utilizzo di VPN che insistono sulla connettività Internet esistente dell'Amministrazione. Si chiede altresì di confermare che per la realizzazione di detta connessione sono ammesse tutte le tecnologie disponibili, a patto che rispettino le "prestazioni e affidabilità adeguate" previste dal Capitiolato Tecnico.

Risposta : Quesito 1: Con riferimento al paragrafo 4.1.6.4, lo strumento “CMDB” può essere già presente presso l’Amministrazione, ma rimane facoltà dell’Amministrazione stessa richiedere al fornitore di offrire una propria soluzione. Il tipo di prodotto e versione, eventualmente già presente presso le Amministrazioni Committenti, saranno oggetto della fase di assessment e definizione del piano di esecuzione dei servizi di cui al Capitolo 7 del Capitolato Tecnico.

Domanda : QUESITO 1 CAPITOLATO TECNICO 4.1.6.1 Gestione delle Richieste e delle Segnalazioni DOMANDA Si chede di precisare se per la "Gestione delle Richieste e delle Segnalazioni" sia ammessa una soluzione tecnica che preveda la integrazione applicativa tra la piattaforma di ticketing dall'Amministrazione committente e quella che il Fornitore utilizza presso il proprio Centro Operativo remoto. In caso affermativo si chiede di indicare quali modalità d'integrazione siano disponibili sul lato della piattaforma dell'Amministrazione. QUESITO 2 CAPITOLATO TECNICO 4.1.6.2 Supporto al Processo di Incident e Problem Management DOMANDA Si chiede di precisare se il "Supporto al Processo di Incident e Problem Management" possa essere condotto interamente da remoto, con l'invio di personale sul posto solo per lo svolgimento di attività tecniche non assolvibili diversamente. QUESITO 3 CAPITOLATO TECNICO 4.1.6.2 Supporto al Processo di Incident e Problem Management DOMANDA Si chiede di indicare se la piattaforma di gestione della "knowledge base", alla quale si fa riferimento a pag. 29, sia messa a disposizione dall'Amministrazione Committente o se debba essere fornita dall'Aggiudicatario. QUESITO 4 CAPITOLATO TECNICO 4.1.6.2 Supporto al Processo di Incident e Problem Management DOMANDA Si chiede di indicare se il "sistema di Log Management", al quale si fa riferimento a pag. 29, sia messo a disposizione dall'Amministrazione Committente o se debba essere fornito dall'Aggiudicatario. Nel caso in cui fosse fornito dall'Amministrazione si chiede di comunicare di quale prodotto e versione si tratti. QUESITO 5 CAPITOLATO TECNICO 4.1.6 Servizi di Service e Performance Management DOMANDA Si chiede di comunicare se, per l'esecuzione e la standardizzazione dei processi ITIL di gestione, la Stazione Appaltante metterà a disposizione del Fornitore una piattaforma di IT Service Management o altri strumenti di supporto. In caso affermativo si chiede di elencare prodotti/versioni e descrivere le funzionalità di detti strumenti e se sia ammessa (e con quali modalità) l'eventuale integrazione con analoghe piattaforme che il Fornitore potrà utilizzare per la gestione da remoto dei succitati processi.

Risposta : Quesito 1: Il paragrafo 4.1.6.1 non prevede l’integrazione applicativa tra la piattaforma di ticketing dell’Amministrazione committente e quella del Fornitore;

Domanda : Per partecipare alla gara Lotto 2 è richiesta la certificazione UNI EN ISO 9001:2015 nel settore della sicurezza informatica. Si chiede se sia equipollente il possesso della predetta certificazione senza la specializzazione nel settore richiesto e il possesso della certificazione ISO/IEC 27001:2013.

Risposta : La certificazione ISO 9001:2015 richiesta, come da par.6.3 del Disciplinare, deve ricomprendere attività pertinenti ai servizi oggetto della fornitura. Si veda anche la risposta al chiarimento n.PI140712-23 già pubblicata. Inoltre, si ricorda che è possibile l'avvalimento come da par.7 del Disciplinare.

Domanda : In riferimento al Disciplinare (Par. 6.3 REQUISITI DI CAPACITÀ TECNICA E PROFESSIONALE - Lotto 2 - Lettera B), si chiede conferma della validità di una valutazione di conformità del proprio sistema di gestione della qualità alla norma UNI EN ISO 9001:2015 nei settori 33 e 35.

Risposta : Si conferma a condizione che la certificazione ISO 9001:2015, come da par.6.3 del Disciplinare, ricomprenda attività pertinenti ai servizi oggetto della fornitura.

Domanda : All.6 - Schema Convenzione Lotti 1 e 2: in riferimento all’art. 30 della Convenzione, si chiede di confermare che il Fornitore, mediante la stipula della Convenzione non avrà accesso a dati personali e pertanto non dovrà essere nominato Responsabile del trattamento dei dati, mentre solo successivamente sarà nominato Responsabile del trattamento da parte delle singole Amministrazioni contraenti in relazione ai singoli Ordinativi di fornitura. In caso contrario, si chiede gentilmente di fornire l’atto di nomina che dovrà essere sottoscritto dall’aggiudicatario ove quest’ultimo debba essere nominato Responsabile del trattamento dei dati ai sensi della presente Convenzione.

Risposta :

Si veda la risposta al chiarimento n. PI127838-23 già pubblicata.

Domanda : All.6 - Schema Convenzione Lotti 1 e 2: in relazione all’art. 24 della Convenzione, si chiede di confermare che la copertura assicurativa richiesta si debba presentare in fase di ricezione dell’Ordinativo di fornitura con la singola Amministrazione contraente e non in sede di stipula della Convenzione.

Risposta : La polizza assicurativa per la responsabilità civile di cui al punto h) delle premesse e all'art.24 dello schema di Convenzione deve essere presentata dal fornitore aggiudicatario prima della stipula della Convenzione.

Domanda : Si chiede di fornire il numero delle Amministrazioni che hanno attualmente aderito alla Convenzione precedentemente stipulata dall’Agenzia e scaduta il 31/12/2022.

Risposta :

Le Amministrazioni che hanno aderito alla precedente Convenzione IT System Management sono in numero di 50, tra queste la Regione Emilia-Romagna (e sue aziende, agenzie e società), le Aziende sanitarie, diversi Comuni e Unioni di Comuni, alcune Province e Università regionali.

Domanda : L’All. 4b (Schema di offerta tecnica) riporta: “La relazione/offerta tecnica… non potrà superare le 30 facciate (sono escluse dal computo la copertina e l’indice ed inclusi eventuali testi grafici, le immagini e le eventuali schede tecniche).” Si chiede di chiarire come possono essere escluse dal computo delle facciate eventuali testi grafici e immagini riportati all’interno dei contesti specifici nelle singole sezioni del documento.

Risposta : Si conferma quanto riportato nell' all.4b (Schema di offerta tecnica), ovvero che nel computo delle 30 facciate sono inclusi i testi grafici, le immagini e le schede tecniche (e le pagine che li contengono). Si veda anche la risposta al chiarimento n.PI125372-23 già pubblicata.

Domanda : Con riferimento all'articolo 30, comma 6 dello Schema di Convenzione si chiede di confermare se sia previsto o meno il trattamento dei dati personali in relazione all’esecuzione della Convenzione. In caso positivo, si chiede l’invio dell’atto di nomina predisposto da codesta Stazione Appaltante

Risposta :

Si conferma che il Fornitore sarà nominato Responsabile del trattamento dei dati da parte delle Amministrazioni Contraenti in relazione ai singoli Ordinativi di Fornitura, mentre non sono previsti trattamenti di dati in relazione alla stipula ed esecuzione della presente Convenzione.

Domanda : ALLEGATO 6 SCHEMA DI CONVENZIONE LOTTI 1 e 2 Art 14 comma 5 pag. 13 Si chiede conferma se, in caso di mancanza di pubblicazione dei costi standard, il parametro di riferimento sarà la variazione media dell’indice ISTAT generale dei prezzi al consumo per famiglie di operai ed impiegati in Italia, al netto tabacco (indice F.O.I) come indicato al paragrafo 5 o la differenza tra l’indice Istat dei prezzi al consumo per le famiglie di operai e impiegati, al netto dei tabacchi (c.d. FOI) disponibile al momento della richiesta revisione e quello corrispondente al mese/anno di sottoscrizione del contratto come indicato al paragrafo 2 dello stesso articolo.

Risposta : Il parametro di riferimento sarà quello indicato al comma 2 dell'art.14. Il comma 5 è da considerarsi un refuso.

Domanda : ALLEGATO 6 SCHEMA DI CONVENZIONE LOTTI 1 e 2 Art. 14 comma 2 pag. 12 Si chiede conferma che in caso la richiesta di aggiornamento dei prezzi sia istruita sulla base della variazione dei prezzi standard rilevati dall’ANAC o degli elenchi dei prezzi rilevati dall’ISTAT o dell’indice FOI, non esiste una soglia minima sotto alla quale non viene riconosciuto l’adeguamento dei prezzi.

Risposta :

Premesso che, come stabilito all'art.14 dello schema di Convenzione Lotti 1 e 2, l'adeguamento dei prezzi può essere concesso previa richiesta del fornitore e relativa istruttoria da parte dell'Agenzia, si conferma che non c'è una soglia minima.

Domanda : Schema di Convenzione - Articolo 9 - Obbligazioni specifiche del Fornitore In merito alla possibile richiesta dell’Agenzia o delle singole Amministrazioni di presentare il libro unico del lavoro, si chiede di confermare che la richiesta sarà relativa unicamente alle risorse del Fornitore impiegate nell’Ordinativo di riferimento.

Risposta : La richiesta del libro unico del lavoro avanzata dalle singole Amministrazioni sarà relativa alle risorse del Fornitore impiegate nell’Ordinativo di riferimento, ma un'eventuale richiesta avanzata dall'Agenzia potrebbe riguardare anche le risorse impiegate nell'intera fornitura.

Domanda : Si chiede di confermare che, alla luce della sentenza della Corte di Giustizia (C 642/20 del 28 aprile 2022) dove si afferma che l’art. 83, comma 8 del D.lgs. 50/2016 osta rispetto all’art. 63 della Direttiva 2014/24/UE, l’impresa mandataria di un RTI non è obbligata a possedere i requisiti previsti nel bando di gara e ad eseguire le prestazioni di tale appalto in misura maggioritaria rispetto alle altre parti del raggruppamento.

Risposta : Si conferma. La mandataria non deve più possedere i requisiti ed eseguire le prestazioni in misura maggioritaria.

Domanda : In riferimento al § 14.5 - Documentazione ulteriore per i soggetti associati , pag. 30 – 31 del Disciplinare di gara, si chiede di confermare che la dichiarazione richiesta da parte di ciascun concorrente per i raggruppamenti temporanei o consorzi ordinari o GEIE non ancora costituiti sia da considerarsi ricompresa nel punto 14 lett. a) e b) dell’All.1a - Domanda di partecipazione.

Risposta : Si conferma.

Domanda : In riferimento al Par. 8 "Subappalto" si chiede di chiarire se occorra indicare, oltre alle parti del servizio/fornitura, anche la quota complessiva massima che si intende eventualmente affidare in subappalto.

Risposta : Non occorre indicare la quota complessiva massima che si intende eventualmente affidare in subappalto. Si ricorda. però che, come riportato nel Disciplinare al par.8: "Non può essere affidata in subappalto l'integrale esecuzione della Convenzione".

Domanda : Con riferimento all'art. 8 "Subappalto" del Disciplinare, si chiede di confermare che sia sufficiente, in caso di ricorso al subappalto, indicare nella parte II, sezione D, del DGUE la sola attività principale ad esempio per il lotto 2 "Servizi di sicurezza informatica" con la relativa quota.

Risposta :

In caso di ricorso al subappalto non è sufficiente indicare genericamente i servizi oggetto del Lotto e non è necessario indicare la relativa quota. Invece, è necessario riportare puntualmente i servizi o le parti di servizio che si intende subappaltare, come disposto nell’art.105, comma 4, lett.c del D.Lgs.n.50/2016 e nel Disciplinare di gara al par.8. Inoltre, si ricorda, come riportato sempre nel par.8 del Disciplinare, che: "Non può essere affidata in subappalto l’integrale esecuzione della Convenzione".

Domanda : All.4b - Schema di offerta tecnica - Lotto 2: si chiede se sia possibile prevedere un capitolo iniziale di Premessa, che sia escluso dal computo delle 30 facciate totali.

Risposta : Qualsiasi premessa è da considerarsi inclusa nel computo delle 30 facciate totali.

Domanda : Quesito 1: In relazione a quanto indicato al capitolo 6.3 REQUISITI DI CAPACITÀ TECNICA E PROFESSIONALE del Disciplinare di Gara, si chiede di confermare che per “triennio precedente la pubblicazione del bando sulla GUUE” si intendano i 3 anni solari precedenti alla data di pubblicazione della Gara. Quesito 2: In relazione a quanto indicato al capitolo “3.1 DURATA “ del disciplinare di Gara , si richiede di confermare che gli ordinativi per i servizi a canone emessi dalle singole Aziende Sanitarie/Amministrazioni, dovendo avere durata minima di un anno e scadere al più entro la scadenza della Convenzione stessa, possano essere emessi al più tardi entro un anno dalla scadenza della Convenzione Quesito 3: Si chiede conferma che le attività oggetto di Convenzione siano finanziabili tramite l'utilizzo di fondi erogati dal PNRR Quesito 4:Per i profili indicati nell’ All.3a Profili professionali, si richiede conferma che il titolo di studio “Laurea” è da intendersi come "almeno il possesso del titolo laurea triennale" Quesito 5: In merito a quanto indicato nell’ All.3a Profili professionali "Le certificazioni richieste devono essere valide, mantenute valide per tutta la durata della fornitura e comunque non più vecchie di 3 anni", si richiede di confermare che siano valide le certificazioni che per loro stessa natura non scadono (es. ITIL) ancorché conseguite prima dei 3 anni. Quesito 6:In merito a quanto indicato nel Disciplinare di Gara, par 17.4, "METODO PER IL CALCOLO DEI PUNTEGGI", si chiede conferma che la formula riportata faccia riferimento unicamente al calcolo del punteggio tecnico e che con il termine "peso criterio di valutazione" si intenda il punteggio massimo del criterio discrezionale presente nelle tabelle del par. 17.1. Quesito 7: In relazione a quanto indicato nel Disciplinare di Gara, par 17.3, "METODO DI ATTRIBUZIONE DEL COEFFICIENTE PER IL CALCOLO DEL PUNTEGGIO DELL'OFFERTA ECONOMICA" si chiede conferma che il punteggio economico attribuito al concorrente è ottenuto moltiplicando il coefficiente “Ci” presente nella formula del "ribasso massimo non lineare" per il punteggio massimo economico indicato nella tabella del par. 17 e a quale cifra decimale il valore ottenuto sarà arrotondato. Si chiede altresì conferma che l'offerta migliore sarà quella che otterrà il punteggio totale più alto ottenuto sommando il punteggio economico e il punteggio tecnico Quesito 8: In relazione a quanto indicato nell’ All.4b - Schema di offerta tecnica - Lotto 2, si chiede conferma che sono escluse dal computo delle 30 facciate dell'offerta Tecnica eventuali presentazioni delle aziende offerenti.

Risposta : Quesito n.1: Nel Disciplinare di gara, al par.6.3, per “triennio precedente la pubblicazione del bando sulla GUUE” si intende il periodo effettivamente precedente, ovvero quello che va dal 24/03/2023 (data di pubblicazione sulla GUUE del bando) a ritroso fino al 24/03/2020;

Domanda : QUESITO 1 CAPITOLATO TECNICO 4.1.2.11 Gestione Piattaforme di Posta Elettronica DOMANDA Ai fini della Responsabilità Contrattuale si chiede di esplicitare cosa debba essere inteso per "adeguate misure di sicurezza" in riferimento alle attività che il Fornitore deve svolgere per la corretta gestione delle Piattaforme di Posta Elettronica. QUESITO 2 CAPITOLATO TECNICO 4.1.3 Servizi di Conduzione Operativa Reti DOMANDA Si chiede di precisare se i "Servizi di Conduzione Operativa reti" possano essere erogati interamente da remoto, con l'invio di personale sul posto solo per lo svolgimento di attività tecniche non assolvibili diversamente. QUESITO 3 CAPITOLATO TECNICO 4.1.4 Servizi di Sviluppo e Integrazione Architetture e Sistemi DOMANDA Si chiede di precisare se i "Servizi di Sviluppo e Integrazione Architetture e Sistemi" possano essere erogati interamente da remoto, con l'invio di personale sul posto solo per lo svolgimento di attività tecniche non assolvibili diversamente. QUESITO 4 CAPITOLATO TECNICO 4.1.5 Servizi di Rete: progettazione e sviluppo DOMANDA Si chiede di precisare se i "Servizi di Rete: progettazione e sviluppo" possano essere erogati interamente da remoto, con l'invio di personale sul posto solo per lo svolgimento di attività tecniche non assolvibili diversamente. QUESITO 5 CAPITOLATO TECNICO 4.1.6 Servizi di Service e Performance Management DOMANDA Si chiede di precisare se i "Servizi di Service e Performance Management" possano essere erogati interamente da remoto, con l'invio di personale sul posto solo per lo svolgimento di attività tecniche non assolvibili diversamente.

Risposta : Quesito 1: Con riferimento al Paragrafo 4.1.2.11 e in particolare alla richiesta: “garantire adeguate misure di sicurezza al fine di evitare usi impropri dei Server che fanno parte del Sistema preposto al servizio di posta elettronica“, si intende che nel servizio di Conduzione Operativa devono essere messe in campo quelle attività che ricomprendono l’implementazione di protocolli sicuri di comunicazione delle e-mail, la configurazione corretta ed aggiornata dei filtri antispam ed antivirus, il controllo degli allegati, l’applicazione di policy specifiche, quali la disattivazione dell’anteprima automatica dei file allegati ecc.

Domanda : QUESITO 1 CAPITOLATO TECNICO 4.1.1 Servizi di Monitoraggio Sistemi e Reti DOMANDA Si chede di precisare se per l'erogazione dei "Servizi di Monitoraggio Sistemi e Reti - NOC" sia ammessa una soluzione tecnica che preveda la integrazione applicativa tra la piattaforma di Monitoraggio dei sistemi e delle applicazioni già in essere presso l’Amministrazione committente e quella che il Fornitore utilizza presso il proprio NOC remoto, anche solo per il rilancio degli allarmi. In caso affermativo si chiede di indicare quali modalità d'integrazione siano disponibili per la piattaforma in essere dell'Amministrazione e se tra esse sia anche prevista la possibilità d'installare agenti sui sistemi da monitorare e/o collettori di metriche nella rete dell'Amministrazione committente. QUESITO 2 CAPITOLATO TECNICO 4.1.2.2 Gestione Piattaforme Elaborative DOMANDA Ai fini della esecuzione della "verifica periodica delle fonti di pubblicazione dei bollettini di sicurezza per le tecnologie in uso presso l'Amministrazione ed esecuzione periodica dell’aggiornamento dei sistemi per la rimozione delle vulnerabilità di sicurezza" si chiede di chiarire se al Fornitore è data la possibilità d'installare una soluzione di Vulnerability Assessment e Management all'interno della rete dell'Ammnistrazione con lo scopo di monitorare quotidianemente lo stato delle vulnerabilità presenti sulle piattaforme elaborative e di predisporre gli adeguati piani di trattamento. In caso affermativo si chiede di indicare se il costo di detta piattaforma debba essere ricompreso nel canone di servizio e se sia ammessa una soluzione tecnica che prevede una console di gestione su cloud pubblico (in Italia). QUESITO 3 CAPITOLATO TECNICO 4.1.2.2 Gestione Piattaforme Elaborative DOMANDA Al fine di valutare il costi relativi ai test di DR si chiede di indicare in modo anonimo le Amministrazioni oggi dotate di DR, per ciascuna di esse i servizi in DR e il numero di test l'anno che storicamente vengono effettuati. QUESITO 4 CAPITOLATO TECNICO 4.1.2.5 Gestione dello Storage DOMANDA Si chiede di chiarire cosa s'intenda per "politiche di gestione VTL4". QUESITO 5 CAPITOLATO TECNICO 4.1.2.11 Gestione Piattaforme di Posta Elettronica DOMANDA Il Capitiolato Tecnico, alla pag. 22, prevede che il Fornitore svolga il compito di "effettuare il controllo antivirus ed anti-spamming sui sistemi coinvolti ed attivare, le eventuali azioni di contrasto" così come quello di "garantire adeguate misure di sicurezza al fine di evitare usi impropri dei Server che fanno parte del Sistema preposto al servizio di posta elettronica". Stanti le richieste sopraelencate, si chiede di comunicare se le soluzioni anti-spam, antivirus (ed in generale tutte quelle ritenute adeguate alla protezione della posta elettronica e dei sistemi che ne garantiscono l'esecuzione) debbano essere fornite dall'aggiudicatario. In caso affermativo si chiede di indicare come debba presentato nell'offerta economica il costo di dette soluzioni e come le loro caratteristiche e prestazioni vengano valutate ai fini dell'attribuzione del punteggio tecnico.

Risposta : Quesito 1: Il Capitolato Tecnico della Convenzione non prevede modelli ibridi o integrazioni applicative tra i sistemi di monitoraggio del Fornitore e quello già eventualmente in essere presso l’Amministrazione committente.

Domanda : In riferimento all'Allegato 6 - Schema Convenzione Lotti 1 e 3 (Paragrafo 8.9 - Condizioni della fornitura e limitazione di responsabilità), si richiede di prevedere l'obbligo per l'Agenzia, nonché per le Amministrazioni contraenti, di comunicare preventivamente, fissando un termine dilatorio a tal fine, la volontà di procedere alle verifiche di cui al Paragrafo 8.9 dell'Allegato 6.

Risposta : Si conferma quanto previsto nello schema di Convenzione Lotti 1 e 2.

Domanda : In riferimento all'Allegato 6 - Schema Convenzione Lotti 1 e 2 (Paragrafo 8 - Condizioni della fornitura e limitazione di responsabilità), si richiede, conformemente alla prassi nel settore "Information and Communication Technologies", l'introduzione di una limitazione della responsabilità del Fornitore commisurata al valore degli Ordinativi emessi, fatto salvo quanto disposto dall'art. 1229 cod. civ..

Risposta : Si conferma quanto previsto nello schema di Convenzione Lotti 1 e 2.

Domanda : In riferimento all'Allegato 6 - Schema Convenzione Lotti 1 e 4 (Paragrafo 8.9 - Condizioni della fornitura e limitazione di responsabilità), si richiede di prevedere che l'Agenzia, nonché le Amministrazioni contraenti, nell'effettuare le verifiche di cui al Paragrafo 8.9 dell'Allegato 6, non si avvalga di operatori economici diretti concorrenti di mercato del Fornitore.

Risposta : L'Agenzia nonché le Amministrazioni contraenti effettueranno le verifiche di cui al Paragrafo 8.9 dell'Allegato 6 nel rispetto della normativa vigente e di quanto previsto nello schema di Convenzione.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: si chiede di confermare che il valore da indicare nella colonna “IMPORTO PER ATTUAZIONE SICUREZZA” e “IMPORTO OPZIONI” sia 0 (zero).

Risposta : Si veda la risposta al chiarimento n. PI124753-23 già pubblicata.

Domanda : Il Disciplinare (§15, pag.32) riporta: "All’offerta deve essere allegato un indice riepilogativo degli elaborati." Si chiede conferma che si tratti di un refuso. In caso contrario si chiede di specificare cosa si intenda con "indice riepilogativo degli elaborati" e in quale parte della sezione offerta tecnica debba essere caricato.

Risposta : Non si tratta di refuso. L'indice riepilogativo degli elaborati serve semplicemente a riepilogare i documenti presentati (es. Relazione tecnica e Segreti tecnici e commerciali) e va caricato nella colonna "Relazione tecnica". Si veda anche la risposta al chiarimento n. PI127784-23.

Domanda : Con riferimento a quanto previsto ai § 5 – Requisiti generali e § 6 – Requisiti speciali e mezzi di prova, pag. 15-16 del Disciplinare di gara, sulla verifica del possesso dei requisiti di carattere generale e tecnico-organizzativo comprovabili mediante il Fascicolo Virtuale (FVOE), si chiede di chiarire se il caricamento nel Fascicolo Virtuale (FVOE) dei documenti a comprova debba avvenire prima della presentazione dell’offerta o successivamente a richiesta della S.A.

Risposta :

Il caricamento dei documenti a comprova del possesso dei requisiti di capacità tecnica-professionale avviene dopo la presentazione dell'offerta previa richiesta della S.A. Si veda anche quanto riportato al par. 23 del Disciplinare di gara: "L'aggiudicazione diventa efficace all'esito positivo della verifica del possesso dei requisiti prescritti dal presente Disciplinare".

Domanda : Disciplinare di gara par. 6.3 REQUISITI DI CAPACITÀ TECNICA E PROFESSIONALE - Si chiede di confermare che sul sistema Intercent – ER, nella parte del DGUE relativa alla sezione dei requisiti di capacità tecnica – professionale, debbano essere compilati esclusivamente i campi - Attività svolta dall'Operatore Economico (oggetto) - Valore specifico (Importo) - Data inizio e data Fine (periodo di esecuzione) - Nome del committente, senza che il sistema identifichi i restanti campi come obbligatori, rilevando un errore.

Risposta :

Per il sistema sono obbligatori solo i campi con asterisco. Comunque, si ricorda che è sempre possibile rivolgersi al Call Center (i contatti telefonici sono indicati al par.1.3 del Disciplinare) per un qualsiasi problema tecnico relativo alla predisposizione della documentazione sulla piattaforma.

Domanda : Con riferimento al Disciplinare di Gara, par 15 "CONTENUTO DELLA BUSTA “OFFERTA TECNICA”, si chiede di chiarire se l'indice riepilogativo degli elaborati da allegare all'offerta tecnica è da intendersi come documento separato rispetto ai documenti previsti dai punti a, b, c.

Risposta : L'indice riepilogativo degli elaborati può essere un documento separato o essere incluso nella relazione tecnica.

Domanda : All.4b – Schema Offerta tecnica Lotto 2 In deroga a quanto prescritto nello schema di offerta tecnica, relativamente alla dimensione del carattere da utilizzare per l’Offerta Tecnica, si chiede di confermare che per le tabelle e gli schemi esplicativi si possa utilizzare un carattere con dimensione inferiore a quella minima prevista (11 pt) garantendone comunque la leggibilità.

Risposta : Si conferma.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 - Pag.3 Si chiede di chiarire se nel calcolo del “PREZZO OFFERTO PER UM IVA ESCLUSA” debba essere considerato anche il valore del “IMPORTO PER ATTUAZIONE SICUREZZA”.

Risposta : Si veda la risposta al chiarimento n.PI124753-23 già pubblicata.

Domanda : QUESITO 1 CAPITOLATO TECNICO 4.1.1 Servizi di Monitoraggio Sistemi e Reti DOMANDA Si chiede di indicare se sia ammissibile un'offerta di "Servizi di Monitoraggio Sistemi e Reti - NOC" che preveda la sola erogazione da remoto tramite un Centro Servizi del Fornitore. QUESITO 2 CAPITOLATO TECNICO 4.1.1 Servizi di Monitoraggio Sistemi e Reti DOMANDA Si chiede di confermare che per "sistema di monitoraggio installato presso l’Amministrazione" (pag.11) s'intende una piattaforma di raccolta delle informazioni relative allo stato di funzionamento dei sistemi e dei servizi dell'Amministrazione sottoposti a monitoraggio, avente lo scopo d'inviare suddette rilevazioni ad una piattaforma centrale presso il Fornitore che le raccoglie, le storicizza e che gestisce gli allarmi e la consultazione delle metriche. QUESITO 3 CAPITOLATO TECNICO 4.1.1 Servizi di Monitoraggio Sistemi e Reti DOMANDA Si chiede di confermare che per la realizzazione della "connessione telematica tra il Centro Servizi e le sedi dell’Amministrazione" (pag. 11) non è ammesso l'utilizzo di VPN che insistono sulla connettività Internet esistente dell'Amministrazione. Si chiede altresì di confermare che per la realizzazione di detta connessione sono ammesse tutte le tecnologie disponibili, a patto che rispettino le "prestazioni e affidabilità adeguate" previste dal Capitolato Tecnico. QUESITO 4 CAPITOLATO TECNICO 4.1.1 Servizi di Monitoraggio Sistemi e Reti DOMANDA Si chiede di confermare che per assicurare la continuità operativa della "connessione telematica tra il Centro Servizi e le sedi dell’Amministrazione" (pag. 11) è ammesso l'impiego di VPN che insistono sulla connettività Internet esistente dell'Amministrazione solo ed esclusivamente per assicurare la ridondanza del "canale dedicato punto-punto" richiesto dal Capitolato Tecnico. QUESITO 5 CAPITOLATO TECNICO 4.1.1 Servizi di Monitoraggio Sistemi e Reti DOMANDA Al fine di valutare i costi relativi ai collegamenti punto-punto previsti dal Capitolato, si chiede di elencare tutte le sedi (anche di DR e con i relativi indirizzi) in cui le Amministrazioni Committenti hanno apparati e servizi che rientrano le perimetro dei "Servizi di monitoraggio Sistemi e Reti".

Risposta : Quesito 1: Non è ammissibile un’offerta di “Servizi di Monitoraggio Sistemi e Reti – NOC” che preveda la sola erogazione da remoto tramite un Centro Servizi del Fornitore.

Domanda : QUESITO 1 CAPITOLATO TECNICO 5.1 Servizi a canone DOMANDA Si chiede di confermare che il "Servizio di monitoraggio sistemi e reti" e il "Servizio di Monitoraggio in tempo reale di eventi di sicurezza" possono essere erogati sia in modalità "on-site" e sia "da remoto" sulla base delle preferenze del fornitore. QUESITO 2 CAPITOLATO TECNICO 5.1 Servizi a canone DOMANDA Si chiede di confermare che i "servizi a canone" sono solo i seguenti: "Servizio di monitoraggio sistemi e reti", "Servizio di Monitoraggio in tempo reale di eventi di sicurezza”, "conduzione operativa sistemi”, “conduzione operativa reti”, “conduzione operativa di apparati e sistemi di sicurezza” QUESITO 3 ALL.5 - SCHEMA DI OFFERTA ECONOMICA LOTTI 1 E 2 Offerta Economica - Lotto Numero:1; Offerta Economica - Lotto Numero:2 DOMANDA Si chiede di indicare a quali servizi illustrati nel Capitolato Tecnico (par. 4.1.1, par. 4.1.2 e sottoparagrafi, par. 4.1.3, par. 4.1.4, par. 4.1.5, par. 4.1.6 e sottoparagrafi, par. 4.2.1, par. 4.2.2, par. 4.2.3, par. 4.2.4, par. 4.2.5, par. 4.2.6. par. 4.2.7. par. 4.2.8., par. 4.2.9, par. 4.2.10, par. 4.2.11, par. 4.2.12, oar. 4.2.13, par. 4.2.14, par. 4.2.15, par. 4.2.16 e sottoparagrafi) corrispondono le voci elencate nella colonna "DESCRIZIONE CODICE REGIONALE" presente nella schema di offerta economica per entrambi i lotti. QUESITO 4 CAPITOLATO TECNICO 5.1 Servizi a canone DOMANDA Con riferimento alle definizioni di "presidio on-site" e "presidio remoto" di cui al par. 5.1 "Servizi a canone" del Capitolato Tecnico, si chiede di indicare quale tipologia di presidio sia ammessa per ciascuna voce presente nella colonna "DESCRIZIONE CODICE REGIONALE" dello schema di offerta economica per i lotti 1 e 2 e per le quali il campo "UM OGGETTO INIZIATIVA" sia valorizzato come "CANONE". Nei casi in cui siano previste entrambe le tipologie di presidio, si chiede di chiarire se la scelta sia in capo all'offerente. QUESITO 5 CAPITOLATO TECNICO 4.1.1 Servizi di Monitoraggio Sistemi e Reti DOMANDA Con riferimento al "sistema di “monitoraggio ed allarmistica” si chiede di chiarire se esso corrisponda ad un sistema fornito dall'Amministrazione destinataria del servizio di "Monitoraggio Sistemi e Reti" o se, invece, corrisponda ad un sistema fornito dall'aggiudicatario ed il cui costo deve essere incluso nel canone di servizio.

Risposta : Quesito 1: Come riportato nel Paragrafo 5.1: “I servizi di “Monitoraggio sistemi e reti”, “Monitoraggio in tempo reale di eventi di sicurezza” e “Conduzione operativa” possono essere erogati sia in modalità di presidio on site che in modalità remota dal Centro Servizi del Fornitore, a seconda delle preferenze dell’Amministrazione”. Pertanto, è facoltà di ogni singola Amministrazione Committente decidere la modalità, on-site o da remoto, con la quale il Fornitore deve eventualmente erogare i servizi, secondo le specifiche esigenze della committenza.

Domanda : Con riferimento al comma 7 dell’art. 15 pag 13 di cui all’All.6 - Schema di Convenzione Lotti 1 e 2 si chiede alla S.A. di confermare che, in caso di ritardo nei pagamenti dovuti alle singole Amministrazioni, potranno essere applicati interessi di mora secondo quanto previsto dall’art. 5 del D.lgs n. 231/2002. In caso negativo, si chiede alla S.A. di indicare il riferimento normativo applicabile nel caso di ritardo nei pagamenti dovuti alle singole Amministrazioni.

Risposta :

Il D.Lgs. n. 231/2002 si applica nelle transazioni commerciali tra imprese e P.A. a fronte di ritardi dei pagamenti (ossia oltre i 30 giorni o 60 giorni nei casi previsti dalla specifica normativa di settore) per cessioni di beni o prestazioni di servizi effettuati regolarmente e non oggetto di reclami, contestazioni o contenzioso. Sono fatte salve le norme contenute in disposizioni di carattere speciale in quanto prevalenti.

Domanda : "Il Disciplinare (§15.1, pag.33) riporta: ""La ditta concorrente deve quindi allegare su SATER una dichiarazione in formato elettronico, firmata digitalmente e denominata “Segreti tecnici e commerciali”, nella sezione “Offerta tecnica”,…"" Si chiede di indicare sotto quale voce della sezione indicata debba essere caricato il documento."

Risposta : Nella colonna denominata "Segreti tecnici e commerciali" della busta tecnica.

Domanda : Con riferimento alle indicazioni contenute in “All.4 – Schema di offerta tecnica”, fermo restando, come prescritto, l’utilizzo del font Arial dimensione 11 per la redazione dell’Offerta Tecnica, si chiede la possibilità di utilizzare nell’ambito di tabelle e grafiche un font di dimensione inferiore a 11, garantendone in ogni caso la totale leggibilità.

Risposta : Si conferma.

Domanda : Facendo riferimento al Par. 7 “Avvalimento” del disciplinare di gara si chiede di confermare che a pag. 19 il rimando al paragrafo 6 per i requisiti richiesti da parte dell’ausiliaria sia un refuso e che il riferimento corretto sia al paragrafo 5.

Risposta : Si conferma. Trattasi di un refuso. Il riferimento corretto è al par.5 "Requisiti generali".

Domanda : All.6 - Schema Convenzione Lotti 1 e 2: -art.2 comma d: si richiede di fornire lo schema del documento “Ordinativo di Fornitura” (o un facsimile) per permettere al fornitore di prenderne visione.

Risposta : Si veda la risposta al chiarimento n. PI111824-23 (quesito n.5) già pubblicata.

Domanda : Rif. Capitolato Tecnico, Par. 9. LOTTI 1 - 2. QUALITA’ E LIVELLI DEI SERVIZI, pag. 63 & Rif. All.6 - Schema Convenzione Lotti 1 e 2, Articolo 15 - Fatturazione e pagamenti Il Capitolato Tecnico dichiara che: “Il Fornitore dovrà produrre ed inviare all’Amministrazione, con cadenza trimestrale e in corrispondenza di ciascun trimestre di fatturazione e all’indirizzo di posta elettronica da essa indicato, un report con i dati relativi ai livelli di servizio, effettivamente conseguiti, per ciascuno dei tre mesi cui il report si riferisce, nell’ambito del contratto di fornitura.” Nello schema di Convenzione all’articolo 15 viene dichiarato che: “Il Fornitore si obbliga a presentare un rendiconto semestrale di tutte le attività svolte nel corso del periodo di riferimento. Il rendiconto deve essere approvato dal Referente dell’Amministrazione al fine di autorizzare l’emissione della relativa fattura, entro 5 giorni dal ricevimento dello stesso.” Si chiede di specificare se il periodo di fatturazione sia trimestrale oppure semestrale.

Risposta : Si veda la risposta al chiarimento n.PI115481-23 già pubblicata.

Domanda : Schema di Convenzione – Articolo 7 - Durata Viste le previsioni secondo cui: • “Gli Ordinativi di fornitura emessi dalle singole Amministrazioni contraenti avranno durata minima annuale e massima di 36 mesi per i servizi a canone a far data dalla loro emissione”; • “La data di scadenza/la durata degli Ordinativi di fornitura, comunque, non potrà essere superiore alla data di scadenza/la durata, originaria o eventualmente rinnovata, della Convenzione stessa”; si chiede di chiarire se gli Ordinativi di fornitura che prevedano servizi a canone debbano essere emessi entro e non oltre 12 mesi antecedenti la data di scadenza della Convenzione e che, pertanto, il Fornitore non potrà accettare Ordinativi emessi dopo tale termine.

Risposta :

Premesso che il Fornitore è tenuto ad accettare gli Ordinativi emessi fino all’ultimo giorno di durata della Convenzione e a fornire i relativi servizi fino a tale data, come è riportato nella documentazione di gara, gli ordinativi scadono con la scadenza della Convenzione. Questo vale anche per gli ordinativi che prevedono servizi a canone, che di norma devono avere durata minima annuale. Si precisa, però, che, se necessario, ad esempio perché residuano meno di dodici mesi alla scadenza della Convenzione, è possibile emettere Ordinativi per frazione di anno.

Domanda : Schema di Convenzione - Art. 18-Penali In caso di inadempimenti contrattuali che danno luogo all’applicazione di penali, al fine di consentire al Fornitore di esercitare il proprio diritto di difesa, si chiede cortesemente di ampliare il termine per comunicare per iscritto le proprie deduzioni da 2 a 5 giorni lavorativi dalla contestazione della penale.

Risposta : Si conferma il termine di due giorni previsto nello schema di Convenzione all'art.18.

Domanda : Schema di Convenzione – Articolo 6 – Modalità di esecuzione Al fine di poter documentare in maniera più approfondita le motivazioni, si chiede cortesemente se sia possibile ampliare il termine da 2 a 5 giorni lavorativi per la comunicazione da parte del Fornitore dell’impossibilità di eseguire, in tutto o in parte, la prestazione dei servizi oggetto dell’Ordinativo di Fornitura.

Risposta : Si conferma il termine di due giorni previsto nello schema di Convenzione all'art.6.

Domanda : Schema di Convenzione -Articolo 5 - Utilizzo della Convenzione Al fine di consentire ai concorrenti di poter stimare l’impegno richiesto e formulare un’offerta congrua e consapevole, si chiede cortesemente di indicare l’elenco delle Amministrazioni contraenti che potranno aderire alla Convenzione oggetto di gara e i relativi fabbisogni, in conformità con la giurisprudenza sull’adesione ai contratti quadro. Ciò consentirebbe inoltre al Fornitore di individuare i soggetti che possano legittimamente utilizzare la Convenzione.

Risposta : La L.R. n.11/2004 e ss.mm.ii (consultabile sulla banca dati Demetra) stabilisce all'art.21, comma 3 quali sono i soggetti obbligati ad utilizzare le Convenzioni-quadro e al comma 4 quali sono quelli che ne hanno facoltà. I fabbisogni stimati sono rappresentati dalle quantità indicate nello schema di offerta economica (all.5).

Domanda : Schema di Convenzione - Articoli 15 – Fatturazione e pagamenti Si chiede di confermare che in caso di aggiudicazione della gara da parte di RTI, la fatturazione sarà pro-quota e il pagamento ad ogni impresa membro del RTI, fermo restando che ciascuna impresa si impegna ad indicare in fattura tutti i dati richiesti dal contratto.

Risposta :

In relazione alla fatturazione nell’ambito di un RTI, per quanto non stabilito nello schema di Convenzione (art.15), si rinvia alla normativa in vigore e a quanto stabilito con il Principio di diritto n.17 del 17 dicembre 2018 dall’Agenzia delle Entrate.

Domanda : Allegato 6 - Schema di convenzione - Articolo 15 - Fatturazione e pagamenti - Si chiede di confermare che il periodo di fatturazione sia di sei mesi come indicato nell'articolo 15: "Il Fornitore si obbliga a presentare un rendiconto semestrale di tutte le attività svolte nel corso del periodo di riferimento. Il rendiconto deve essere approvato dal Referente dell’Amministrazione al fine di autorizzare l’emissione della relativa fattura, entro 5 giorni dal ricevimento dello stesso.". Nel capitolato tecnico, CAP 9, è riportato:" Il Fornitore dovrà produrre ed inviare all’Amministrazione, con cadenza trimestrale e in corrispondenza di ciascun trimestre di fatturazione e all’indirizzo di posta elettronica da essa indicato, un report con i dati relativi ai livelli di servizio, effettivamente conseguiti, per ciascuno dei tre mesi cui il report si riferisce, nell’ambito del contratto di fornitura."

Risposta : Si veda la risposta al chiarimento n.PI115481-23 già pubblicata.

Domanda : Si richiede di confermare che, in caso di partecipazione in costituenda ATI, l’imposta di bollo per la domanda di partecipazione sia dovuto dalla sola mandataria, pur essendo richiesta una domanda di partecipazione per ogni impresa del RTI.

Risposta : Si veda la risposta al quesito n.PI141394-23 già pubblicato.

Domanda : Disciplinare di gara par 9 “Garanzia provvisoria” - In riferimento al paragrafo 9 “Garanzia provvisoria”, in caso di garanzia bancaria e assicurativa, si chiede di confermare che la garanzia debba essere conforme allo schema tipo approvato con decreto del Ministro dello sviluppo economico del conforme allo Schema Tipo 1.1 di cui al D.M. 16.09.2022, n. 193 e non, come riportato nel Disciplinare di gara, allo schema tipo del 19 gennaio 2018 n. 31.

Risposta :

Si conferma. Il riferimento allo schema tipo del 19 gennaio 2018 n. 31 è un refuso.

Domanda : Disciplinare di gara All. 1 Domanda di partecipazione - Si chiede di confermare che la domanda di partecipazione possa essere presentata disgiuntamente da ogni società appartenente al medesimo RTI costituendo.

Risposta : Si conferma.

Domanda : "Disciplinare di gara par. 6.3 REQUISITI DI CAPACITÀ TECNICA E PROFESSIONALE - Si chiede di confermare che, ai fini del soddisfacimento del requisito da capacità tecnica professionale, a) in caso di partecipazione al Lotto 1, possano essere considerati servizi analoghi i servizi di IT System management; b) in caso di partecipazione al Lotto 2, possano essere considerati servizi analoghi i servizi di sicurezza informatica. "

Risposta :

Si conferma che al par.6.3 del Disciplinare con il termine “gara” contenuto nell'espressione " ... servizi analoghi a quelli della presente procedura di gara" si intende il "lotto".

Quindi: in caso di partecipazione al Lotto 1 sono considerati analoghi i servizi di IT System management; in caso di partecipazione al Lotto 2 sono considerati analoghi i servizi di sicurezza informatica.

Domanda : Ai fini dell'assolvimento dell'imposta di bollo dovuta per la partecipazione alla gara si chiede di confermare che, in caso di partecipazione in costituendo RTI, sia sufficiente un unico versamento di importo pari a € 16 da parte della mandataria.

Risposta : Si conferma.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 - Colonna importo attuazione, importo opzioni - Pag.3 Si chiede di chiarire concettualmente il significato delle colonne "IMPORTO PER ATTUAZIONE SICUREZZA" ed " IMPORTO OPZIONI" e di indicare i parametri da utilizzare per la loro valorizzazione.

Risposta :

Tali colonne non devono essere valorizzate.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 - Pag.3 Si chiede di confermare se l'importo nella colonna " VALORE OFFERTO" è calcolato automaticamente moltiplicando il valore della colonna "PREZZO OFFERTO PER UM IVA ESCLUSA" per il valore della colonna “QUANTITA'”.

Risposta : Si conferma, come indicato nel Disciplinare di gara al par.16.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2 - Pag.3 Si chiede di confermare che l’unità di misura del canone riportato nella colonna “UM OGGETTO INIZIATIVA” sia da intendersi come canone annuale, così come indicato nella tabella di remunerazione dei servizi riportata nel Disciplinare di gara a pag. 34.

Risposta : Si conferma.

Domanda : All.5 - Schema di offerta economica Lotti 1 e 2: Schema per il Lotto 2, pag. 3 Si richiede di confermare che le colonne “VALORE A BASE D'ASTA IVA ESCLUSA”, “IMPORTO PER ATTUAZIONE SICUREZZA” e “IMPORTO OPZIONI” non siano da compilare per la redazione dell'offerta economica.

Risposta : Si conferma.

Domanda : Disciplinare di gara All.1° Domanda di partecipazione - In riferimento al punto 8 della domanda di partecipazione ove si legge “di essere in possesso del PARTICIPANT ID PEPPOL (…)”, si chiede di confermare che lo stesso sia da intendersi come possesso del codice NSO Nodo Smistamento Ordini.

Risposta :

Non si conferma. Il Participant ID Peppol è l’identificativo univoco sulla rete Peppol che rappresenta l’indirizzo elettronico a cui vengono associate le tipologie di documento che il soggetto è in grado di ricevere. Preferibilmente il soggetto (es. Operatore economico o PA) ha uno e un solo Participant ID PEPPOL, ottenuto la prima volta che viene registrato sulla rete. Il Participant ID Peppol è diverso dal codice NSO. In Italia per il Participant ID PEPPOL sono in uso le seguenti codifiche:

• 0211: ITpartitaIVA (per operatori economici)
• 0210: CodiceFiscale (per operatori economici)
• 0201: CodiceIPA (per Pubbliche Amministrazioni)

Oltre a queste, sono ammesse le codifiche internazionali elencate nella codelist dei Participant Identifier Schemes pubblicata da PEPPOL.

Per ulteriori chiarimenti invitiamo a consultare la pagina di FAQ della Peppol Authority italiana Agid https://peppol.agid.gov.it/it/chi-siamo/faq/

Domanda : Facendo riferimento al paragrafo 9 Lotti 1-2 “Qualità e livelli dei servizi” pag. 63 dell’All.3 Capitolato Tecnico si chiede alla S.A. di confermare che la fatturazione avrà cadenza trimestrale e che, pertanto, la richiesta di rendicontazione semestrale e successiva autorizzazione all’emissione della fattura riportata nell’Articolo 15 “Fatturazione e pagamenti” comma 3 pag. 13 dell’All.6 – Schema di Convezione Lotti 1 e 2, sia da considerarsi un refuso.

Risposta :

Si conferma che la rendicontazione e la relativa fatturazione sono trimestrali come riportato nel Capitolato tecnico (cap.9) e che nell’art.15, comma 3 dello schema di Convenzione dove è scritto “semestrale” trattasi di un refuso.

Domanda : Riferimento: All.5 - Schema di offerta economica Lotti 1 e 2 .pdf - 'Schema di offerta per Lotto 2 Quesito: In riferimento ai servizi a canone del Lotto 2, per una corretta determinazione dei prezzi unitari offerti, si chiede di confermare che l’unità di misura utilizzata (UM) sia il canone mensile.

Risposta :

L’unità di misura (UM) utilizzata per i servizi a canone di entrambi i Lotti 1 e 2 è il canone annuale.

Domanda : Si chiede di confermare che, in caso di partecipazione di un concorrente ad uno dei due lotti, ad esempio al lotto 1 (in forma individuale o associata), è consentita la partecipazione all’altro lotto (esempio lotto 2) di una società che si trovi in una situazione di controllo di cui all’articolo 2359 del Codice civile o in una qualsiasi relazione (es: società interamente controllata), anche di fatto con la società partecipante al primo lotto. Resta inteso che in caso in cui le due società si aggiudichino entrambi i lotti verrà aggiudicato solo il Lotto 1, in virtù della maggiore rilevanza economica dello stesso, come indicato nel disciplinare a pagina 11 art. 3.

Risposta : Si conferma.

Domanda : QUESITO 1 BANDO DI GARA Sezione II: Oggetto ... II.2.7) Durata del contratto d’appalto, dell’accordo quadro o del sistema dinamico di acquisizione: la Convenzione avrà la durata di 36 mesi decorrenti dalla sottoscrizione Il contratto d’appalto è oggetto di rinnovo: Si, la Convenzione è rinnovabile per ulteriori 12 mesi. Disciplinare 3.2 OPZIONI E RINNOVI La Convenzione potrà essere rinnovata fino ad ulteriori 24 mesi, su comunicazione scritta dell’Agenzia, nell’ipotesi in cui alla scadenza del termine, non sia stato esaurito l’importo massimo spendibile, previsto per ogni singolo lotto" DOMANDA Si prega di chiarire la durata dell'opzione che sembra diversa nel Bando e nel Disciplinare QUESITO 2 ALL.6 - SCHEMA CONVENZIONE LOTTI 1 E 2 Articolo 15 - Fatturazione e pagamenti DOMANDA Si chiede conferma che è prevista l'anticipazione del 20% in accordo all'Art. 35 del Codice QUESITO 3 ALL.6 - SCHEMA CONVENZIONE LOTTI 1 E 2 "Articolo 15 - Fatturazione e pagamenti ... 2. Il pagamento dei corrispettivi di cui al precedente articolo è effettuato delle Amministrazioni Contraenti in favore del Fornitore, sulla base delle fatture emesse da queste ultime conformemente alle modalità previste dalla normativa, anche secondaria, vigente in materia, nonché dal presente Atto. 3. Il Fornitore si obbliga a presentare un rendiconto semestrale di tutte le attività svolte nel corso del periodo di riferimento. Il rendiconto deve essere approvato dal Referente dell’Amministrazione al fine di autorizzare l’emissione della relativa fattura, entro 5 giorni dal ricevimento dello stesso." DOMANDA 1. Si chiede informazioni circa la ""normativa, anche secondaria"" 2. Si chiede verifica del punto 3, che altresì rimanda il pagamento della stazione appaltante fino a 6mesi rispetto al costo sostenuto dal concorrente " QUESITO 4 ALL.6 - SCHEMA CONVENZIONE LOTTI 1 E 2 "Articolo 15 - Fatturazione e pagamenti ... 4. I pagamenti saranno effettuati ai sensi di legge." DOMANDA Si prega di specificare i termini di pagamento delle fatture QUESITO 5 DISCIPLINARE "23. AGGIUDICAZIONE E STIPULA DELLA CONVENZIONE ... L’aggiudicatario è altresì tenuto ad effettuare tutte le operazioni necessarie, ad esso richieste dall’Agenzia, al fine della predisposizione del negozio elettronico, attraverso il quale le Amministrazioni contraenti procederanno ad emettere gli Ordinativi di fornitura." DOMANDA Si chiede bozza degli "Ordinativi di fornitura"

Risposta : Risposta a Quesito 1: Si conferma che le Convenzioni potranno essere rinnovate fino ad ulteriori 24 mesi. Vedasi anche la risposta al chiarimento n. PI112792-23. Comunque, in occasione della proroga dei termini è stato rettificato il refuso contenuto nel Bando di gara.

Domanda : Si chiede di confermare se un Operatore Economico possa utilizzare, per la esecuzione di tutte o parte delle prestazioni contrattuali, una società dalla stessa controllata, soggetta all’esercizio dell’attività di direzione e coordinamento da parte del predetto Operatore Economico (attività che si estrinseca nell’impartire direttive e nell’applicare apposite procedure di Gruppo dirette a indirizzarne la gestione e a garantirne il controllo), fermi restando il possesso in capo alla suddetta società dei requisiti di ordine generale e la permanenza in capo al predetto Operatore Economico della titolarità del rapporto contrattuale nonché della integrale responsabilità per la regolare esecuzione delle prestazioni subaffidate. Si chiede, quindi, di confermare che, al ricorrere delle anzidette condizioni, non essendo configurabile nessuna alterità sostanziale tra il del predetto Operatore Economico e la società controllata, l’affidamento a quest’ultima delle prestazioni non è configurabile come subappalto e non soggiace quindi alle limitazioni previste dall’art. 105 del d.lvo n. 50/2016, ivi comprese quelle relative al valore massimo subaffidabile. “Visto il disposto dell’art. 105 comma 3 lettera c-bis) del D.Lgs. n. 50/2016 e s.m.i., si chiede di confermare che non integra subappalto l’affidamento di attività/prestazioni, anche non aventi natura accessoria e non rese nei confronti dei soggetti affidatari, da parte di un Operatore Economico concorrente ad una società terza con la quale è in essere un contratto continuativo di cooperazione, sottoscritto in data antecedente alla indizione della presente procedura selettiva.”

Risposta : Risposta al quesito 1: Non si conferma, poiché si configura come subappalto anche l’affidamento di prestazioni contrattuali ad imprese in situazioni di controllo o collegamento ex art. 2359 c.c. con l’aggiudicatario. D’altro canto, si ricorda che i casi che non costituiscono subappalto sono individuati dall’art.105, comma 3 del D.Lgs.n.50/2016.

Domanda : Si chiede di confermare che sia ammessa la comprova del requisito di cui al punto a) del paragrafo 6.3 REQUISITI DI CAPACITÀ TECNICA E PROFESSIONALE – Lotto 2 (Disciplinare di gara) anche mediante dichiarazione rilasciata da un ente terzo, quale la società di revisione addetta al controllo contabile del concorrente, attestante il fatturato annuo per servizi di Cybersecurity (Sicurezza Informatica), con l’indicazione del: periodo di esecuzione, contratto, oggetto, e importo, per servizi analoghi a quelli della presente procedura di gara.

Risposta : Si conferma quanto previsto per la comprova dei requisiti al par.16.3 del Disciplinare.

Domanda : Nel Disciplinare di gara capitolo 3.2 è indicato che “La Convenzione potrà essere rinnovata fino ad ulteriori 24 mesi così come indicato nello Schema di Convenzione all’Articolo 7 – Durata. Nel Bando invece al punto II.2.7) viene riportato che “la Convenzione è rinnovabile per ulteriori 12 mesi”. Si chiede di precisare la durata del possibile rinnovo.

Risposta : Si conferma che entrambe le Convenzioni (lotto 1 e lotto 2) potranno essere rinnovate fino ad ulteriori 24 mesi, come indicato in tutta la documentazione di gara ad eccezione del Bando in cui, per un refuso, è stata riportata una diversa durata massima dell'eventuale rinnovo.

Domanda : Si chiede di confermare che un soggetto che non abbia partecipato alla Gara possa svolgere il ruolo di subappaltatore per un lotto (per esempio Lotto1), pur essendo legato da vincoli di cui all’art. 2359 cc con altro soggetto che abbia, invece, partecipato e/o si sia aggiudicato l’altro lotto (per esempio Lotto2) della Gara.

Risposta :

Il criterio, in base al quale la Stazione appaltante ha ritenuto che gli operatori economici aggiudicatari dei due lotti in gara debbano essere soggetti distinti, non legati da alcun vincolo (come disposto al par. 3 del Disciplinare), è quello contenuto anche in varie certificazioni ISO e denominato Segregation of Duties (SOD), ovvero “Segregazione dei compiti”, che rappresenta per un’Amministrazione un elemento fondamentale della gestione sostenibile del rischio e dei controlli interni. L’Agenzia Intercent-ER, nello specifico, ha inteso tenere distinte le attività di gestione, monitoraggio e sviluppo dei sistemi dalle attività inerenti alla sicurezza dei medesimi.

Pertanto, a prescindere dalla partecipazione o meno di un soggetto alla procedura di gara (in uno qualsiasi dei due lotti), non sarà ammissibile il subappalto su un lotto (per esempio il Lotto 1) ad un operatore economico che sia legato dai vincoli di cui all’art. 2359 c.c. (o altro vincolo di cui al par.3 del Disciplinare di gara) con l'operatore economico che si sia aggiudicato l’altro lotto (per esempio il Lotto 2), così come non saranno autorizzati, durante la fase di esecuzione, subappalti stipulati con il medesimo operatore economico, terzo rispetto agli aggiudicatari, aventi ad oggetto sia le attività del Lotto 1 che quelle del Lotto 2 per la stessa Amministrazione.

Invece, sarà ammissibile il subappalto su un lotto (per esempio il Lotto 1) ad un operatore economico che sia legato dai vincoli di cui all’art. 2359 c.c. (o altro vincolo di cui al par.3 del Disciplinare di gara) con l'operatore economico che abbia solo partecipato all’altro lotto (per esempio il Lotto 2) senza esserselo aggiudicato.

Domanda : Si chiede di chiarire, in relazione al par.9 “Garanzia provvisoria” del Disciplinare di gara, l’importo della cauzione richiesto, in caso di partecipazione ad entrambi i lotti, in quanto i seguenti due periodi sembrano in contraddizione tra loro: 1) "Stante il vincolo di aggiudicazione previsto, per l’operatore economico che partecipa ad entrambi i Lotti il valore della garanzia è commisurato a quello del solo lotto aggiudicabile, ovvero il Lotto 1". 2) "In caso di partecipazione a più lotti sono prestate tante distinte ed autonome garanzie provvisorie e impegni al rilascio della definitiva quanti sono i lotti cui si intende partecipare ovvero la concorrente può prestare un’unica cauzione cumulativa, purché nella medesima siano indicati specificatamente i lotti cui si partecipa ed i relativi importi".

Risposta :

Si chiarisce che nel periodo di cui al punto 1) della domanda: “Stante il vincolo di aggiudicazione previsto, per l’operatore economico che partecipa ad entrambi i Lotti il valore della garanzia è commisurato a quello del solo lotto aggiudicabile, ovvero il Lotto 1” si fa riferimento al valore della garanzia definitiva, nel caso in cui l’operatore economico che partecipi ai due lotti risulti primo in graduatoria in entrambi (visto che al medesimo operatore economico potrà essere aggiudicato solo il Lotto 1 come stabilito al par.3 del Disciplinare di gara).

Pertanto, si conferma e si ribadisce quanto previsto nel Disciplinare di gara al periodo di cui al punto 2) della domanda, ovvero che:

In caso di partecipazione a più lotti (rectius Lotti 1 e 2) sono prestate tante distinte ed autonome garanzie provvisorie e impegni al rilascio della definitiva quanti sono i lotti cui si intende partecipare ovvero la concorrente può prestare un’unica cauzione cumulativa, purché nella medesima siano indicati specificatamente i lotti cui si partecipa ed i relativi importi (rectius € 1.300.000,00 per il Lotto 1 ed € 600.000,00 per il Lotto 2).