Artikel 56, § 3, 4° van het decreet van 22 december 2017 over het lokaal bestuur stelt dat het college van burgemeester en schepenen bevoegd is voor het voeren van de plaatsingsprocedure, de gunning en de uitvoering van overheidsopdrachten.
De bepalingen van de opdrachtdocumenten ‘2019/HFB/OP/52630’ (technische omschrijving, contractuele bepalingen, …) en de daarvoor gegunde offertes van de hogergenoemde firma’s voor perceel 3 voldoen aan de noden en wensen van de stad Antwerpen (Interne Audit).
Gelet op het voormelde, lijkt het opportuun dat de stad Antwerpen gebruik maakt van perceel 3 van deze opdracht ‘2019/HFB/OP/52630’ om voornoemde basis- en aanvullende veiligheidsaudits te laten uitvoeren met een cofinanciering door de Vlaamse Overheid en AG Stedelijk Onderwijs.
De gemeenschappelijke aankoopcentrale startte hiervoor het dossier GAC_2021_01742 op.
Volgens de bepalingen van de opdrachtdocumenten worden deelopdrachten geplaatst via een cascadesysteem waarbij eerst contact wordt opgenomen met de eerst geplaatste auditfirma (zie hogervermeld rangschikking).
De stad Antwerpen nam daarom contact op met de eerste gerangschikte firma, Deloitte Consulting & Advisory BV en sprak met deze auditfirma o.a. de inhoud, de uitvoeringstermijn en de prijs van de basis- en aanvullende ICT-veiligheidsaudits af, conform de bestelbrieven in bijlage.
Op 4 maart 2020 gunde de Vlaamse Overheid (Agentschap Facilitair Bedrijf, Afdeling Aankoopcentrale en Overheidsopdrachten) perceel 3 ‘Operationele audit bij de lokale besturen of in een interbestuurlijke context’ van de opdracht 2019/HFB/OP/52630 ‘Ondersteuning bij de uitvoering van auditopdrachten of zelfstandig uitvoeren van auditopdrachten’, aan volgende firma’s op basis van de hierna vermeld rangschikking (cascadevolgorde):
De Vlaamse Overheid treedt voor deze opdracht op als aankoopcentrale voor o.m. de lokale overheden in Vlaanderen.
Perceel 3 van deze opdracht werd gesloten op 12 mei 2020 en heeft een looptijd van vier jaar.
In het kader van perceel 3 van deze opdracht 2019/HFB/OP/52630, biedt de Vlaamse Overheid nu aan alle lokale besturen bijkomende ondersteuning aan om de meest prioritaire risico’s rond cyberveiligheid aan te pakken. Deze ondersteuning wordt gegroepeerd onder het programma ‘Cyberveilige gemeenten’ waarbij o.a. een cofinanciering door de Vlaamse Overheid wordt voorzien voor het uitvoeren van een ICT-veiligheidsaudit en eventueel aanvullende auditwerkzaamheden in alle lokale besturen.
Interne Audit voert jaarlijks een risicoanalyse uit die de basis vormt voor de auditplanning. Op basis van deze risicoanalyse werd informatieveiligheid geïdentificeerd als top-10 risico binnen de groep stad Antwerpen. De coronacrisis versterkte de digitale werking van de groep stad Antwerpen en verscherpt de risico’s in dit verband. Informatiebeveiliging op punt zetten en periodiek testen is belangrijk om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te kunnen garanderen. Daarom werd een ICT-veiligheidsaudit opgenomen in de auditplanning voor 2021.
Stad Antwerpen wenst haar Digitale Werkplek, wat een algemene term is voor alle apparatuur en software noodzakelijk om medewerkers hun dagdagelijkse taken te laten uitvoeren, te onderwerpen aan een beveiligingsaudit. Het uitvoeren van een beveiligingsaudit biedt de kans om zwakten in de informatiebeveiliging en het netwerk te ontdekken. Voor de uitvoering van deze beveiligingsaudit wenst de stad Antwerpen in het kader van het programma ‘Cyberveilige gemeenten’ van de Vlaamse Overheid beroep te doen op perceel 3 van de opdracht 2019/HFB/OP/52630 van de Vlaamse Overheid.
De ICT-veiligheidsaudit bestaat uit twee delen:
De basisaudit is bedoeld om inzicht te bieden in kwetsbaarheden en risico’s op zowel interne als externe systemen. Er worden technische testen zoals een kwetsbaarheidsscan en wachtwoordsterkte test uitgevoerd op vooraf bepaalde systemen. De basisaudit wordt uitgevoerd overeenkomstig het minimumkader opgelegd door Audit Vlaanderen. Hieromtrent zal voorafgaandelijk aan de uitvoering van de bestelling ook nog een afsprakennota worden ingevuld.
De basisaudit ICT-veiligheid wordt besteld onder voorwaarde van het verkrijgen van cofinanciering door de Vlaamse Overheid (2/3 van de totale prijs te betalen door de Vlaamse Overheid).
In het kader van de aanvullende audit worden volgende auditwerkzaamheden voorzien: Technische testen om de doeltreffendheid van de informatieveiligheid van de digitale werkplek van stad Antwerpen te beoordelen: phishing security test + architectuur review + VPN review + werkplek security review.
De aanvullende audit ICT-veiligheid wordt besteld onder voorwaarde van het verkrijgen van cofinanciering (50% van de totale prijs te betalen door de Vlaamse Overheid). Bijkomend zal AG Stedelijk Onderwijs deelnemen aan de phishing security test en de VPN review en hiervoor 50% van de kosten dragen (na cofinanciering door de Vlaamse Overheid).
De totale kostprijs bedraagt voor de basisaudit 5.504,46 euro (incl. BTW) en voor de aanvullende audit 43.324,00 euro (incl. BTW).
De facturatie gebeurt op basis van cofinanciering tussen de Vlaamse Overheid en de stad Antwerpen. De Vlaamse overheid betaalt rechtstreeks zijn deelfacturen aan de auditfirma, nadat de stad Antwerpen de prestaties goedkeurt.
Voor de basis audit betaalt de Vlaamse Overheid via cofinanciering 2/3 van de kostprijs. Van de totale prijs van de basis audit van 5.504,46 euro (incl. BTW) betaalt de Vlaamse Overheid aldus 3.669,64 euro (incl. BTW) en 1.834,82 euro (incl. BTW) zal aan de stad Antwerpen worden gefactureerd.
Voor de aanvullende audit betaalt de Vlaamse Overheid 50% van de kostprijs. Bijkomend draagt AG Stedelijk Onderwijs bij in de kosten voor 2 werkpakketten van de aanvullende audit voor een totale kostprijs van 5.032,00 euro (excl. BTW). Van de totale prijs van de aanvullende audit van 43.324,00 euro (incl. BTW) betaalt de Vlaamse Overheid aldus 21.662,00 euro (incl. BTW), 21.662,00 euro (incl. BTW) zal aan de stad Antwerpen worden gefactureerd en 5.032,00 euro (excl. BTW) zal aan AG Stedelijk Onderwijs worden door gefactureerd.
Het college neemt kennis van de opdracht ‘2019/HFB/OP/52630’ van de Vlaamse Overheid en van de bijhorende gunningsbeslissing voor het perceel 3 aan de volgende firma’s, volgens de hierna vermeld rangschikking (cascadevolgorde):
Het college keurt goed dat deelopdrachten worden geplaatst, op perceel 3 van de opdracht ‘2019/HFB/OP/52630’ van de Vlaamse Overheid, gelet op de in het bestek van deze opdracht voorziene mogelijkheid voor de stad Antwerpen om er gebruik van te maken.
Het college keurt de bestelbrieven in bijlage van 17 juni 2021 met de firma Deloitte Consulting & Advisory BV voor een bedrag van 1.834,82 euro (incl. BTW) voor de basisaudit en voor een bedrag van 21.662,00 euro (incl. BTW) voor de aanvullende audit, goed.
De financieel directeur verleent zijn visum en regelt de financiële aspecten als volgt:
Omschrijving | Bedrag | Boekingsadres | Bestelbon |
Basis en aanvullende audit inzake ICT-veiligheid Deloitte Consulting & Advisory (BV) Luchthaven Brussel Nationaal 1 J 1930 Zaventem Ondnr. BE 0474 429 572 Reknr.BE38 4377 5059 9172 |
23.496,82 EUR, btw inbegrepen |
budgetplaats: 5240000000 budgetpositie: 613 functiegebied: 2SBS010501A00000 subsidie: SUB_NR fonds: INTERN begrotingsprogramma: 2SA080114 budgetperiode: 2100 |
4005456571 |