Ogłoszenie o zmianie ogłoszenia
Zakup specjalistycznych szkoleń dla Policji, sprawa nr 293/BF/25/AL

SEKCJA I - ZAMAWIAJĄCY

1.1.) Nazwa zamawiającego: Komenda Główna Policji

1.3.) Krajowy Numer Identyfikacyjny: REGON 012137497

1.4.) Adres zamawiającego:

1.4.1.) Ulica: Puławska 148/150

1.4.2.) Miejscowość: Warszawa

1.4.3.) Kod pocztowy: 02-624

1.4.4.) Województwo: mazowieckie

1.4.5.) Kraj: Polska

1.4.6.) Lokalizacja NUTS 3: PL911 - Miasto Warszawa

1.4.9.) Adres poczty elektronicznej: zamowieniakgp@policja.gov.pl

1.4.10.) Adres strony internetowej zamawiającego: www.policja.pl

1.5.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - organ władzy publicznej - organ administracji rządowej (centralnej lub terenowej)

1.6.) Przedmiot działalności zamawiającego: Porządek i bezpieczeństwo publiczne

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Numer ogłoszenia: 2026/BZP 00160965

2.2.) Data ogłoszenia: 2026-03-18

SEKCJA III ZMIANA OGŁOSZENIA

3.1.) Nazwa zmienianego ogłoszenia:

Ogłoszenie o zamówieniu

3.2.) Numer zmienianego ogłoszenia w BZP: 2026/BZP 00102727

3.3.) Identyfikator ostatniej wersji zmienianego ogłoszenia: 01

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA V - KWALIFIKACJA WYKONAWCÓW

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

5.4. Nazwa i opis warunków udziału w postępowaniu

Przed zmianą:
Zamawiający wymaga wykazania przez Wykonawców spełnienia warunków określonych w art. 112 ust. 2 ustawy Pzp dotyczących:
dysponowania odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia, w tym:
1) w zadaniu nr 1
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 5 lat ciągłej praktyki w DFIR/IR, w tym ≥ 3 lata obsługi incydentów dla instytucji publicznych/sektorów krytycznych/wojskowych lub enterprise,
– ≥ 2 incydenty wieloetapowe (ruch boczny, odzyskiwanie poświadczeń) w ostatnich
36 miesiącach – udział w obsłudze, analizie lub usuwaniu skutków,
– przeprowadzenie ≥ 10 edycji szkoleń DFIR/IR/threat hunting (≥ 4 dni każde), w tym ≥ 3
dla administracji/sektorów krytycznych,
– min. 2 certyfikacje z listy (lub równoważne): GCFA / GREM / GNFA / GCIA / OSCP,
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,
– co najmniej jedna pozytywna wewnętrzna weryfikacja trenerska Wykonawcy: audyt dydaktyczny, test praktyczny z prowadzenia labów, zatwierdzenie przez mentora technicznego
2) w zadaniu nr 2
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 5 lat ciągłej praktyki w DFIR/IR, w tym ≥ 3 lata obsługi incydentów ransomware/cyberwymuszeń dla instytucji publicznych/sektorów krytycznych/wojskowych lub enterprise,
– ≥ 2 incydenty wieloetapowe (ruch boczny, eksfiltracja, szyfrowanie) w ostatnich 36 miesiącach – udział w obsłudze, analizie lub usuwaniu skutków
– Przeprowadzenie ,≥ 10 edycji szkoleń DFIR/IR/threat hunting (≥ 4 dni każde), w tym ≥ 3
dla administracji/sektorów krytycznych (referencje z kontaktem),
– min. 2 certyfikacje z listy (lub równoważne): GCFA / GCFR / GCIH / OSCP / GREM,
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,
3) w zadaniu nr 3
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 5 lat ciągłej praktyki w DFIR/IR, w tym ≥ 3 lata operacyjnej akwizycji danych i triage
(w tym live acquisition) dla instytucji publicznych/sektorów krytycznych/wojskowych
lub enterprise,
– udział w ≥ 2 dużych działaniach akwizycji/triage w ostatnich 36 miesiącach,
– przeprowadzenie ≥ 10 edycji szkoleń z akwizycji/triage/IR (≥ 4 dni każde), w tym ≥ 3 dla administracji/sektorów krytycznych (referencje z kontaktem),
– min. 2 certyfikacje (lub równoważne) z listy: GCFA / GCFE / GNFA / OSCP,
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,
4) w zadaniu nr 4
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 3 lata praktyki w CTI/IR/DFIR/SOC lub w analizie zagrożeń/cyberwywiadzie,
– Udział w ≥ 2 projektach/operacjach CTI (taktycznych/operacyjnych/strategicznych) w ostatnich 24 miesiącach,
– Doświadczenie szkoleniowe: przeprowadzenie ≥ 3 edycji szkoleń min. 3-dniowych
dla SOC/CSIRT/bezpieczeństwa (referencje z kontaktem),
– Co najmniej 1 certyfikat (lub równoważny): GCTI / GCIA / GCIH / CISSP / CEH / CySA+ / Security+.
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,

5) w zadaniu nr 5
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 3 lata praktyki w informatyce śledczej / IR/DFIR (dochodzenia, analiza artefaktów, raportowanie),
– udział w ≥ 2 istotnych dochodzeniach/obsługach incydentów w ostatnich 24 miesiącach
– ≥ 3 edycje szkoleń min. 3-dniowych z forensics/IR (referencje z kontaktem),
– min. 2 certyfikacje (lub równoważne) z listy: GCFA / GCFE / GNFA / OSCP,
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,
– znajomość narzędzi i procedur: akwizycja dysków/RAM (live/offline), write-blockery, analiza artefaktów, timeline, przygotowanie dokumentacji dowodowej
6) w zadaniu nr 6
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 5 lat praktyki w zarządzaniu bezpieczeństwem informacji/ISMS/ryzykiem/zgodnością,
w tym ≥ 2 lata w organizacjach sektora publicznego/regulowanego/krytycznego lub dużych enterprise,
– udział w ≥ 2 projektach wdrożenia/utrzymania ISMS lub audytach zgodności w ostatnich 36 miesiącach,
– przeprowadzenie ≥ 5 edycji szkoleń min. 3-dniowych dla kadr kierowniczych/bezpieczeństwa,
– min. 1 certyfikat (lub równoważny): ISO/IEC 27001 Lead Auditor/Implementer, CISM, CISSP, CISA, CRISC,
– min. 2 certyfikacje z listy (lub równoważne): GCFA / GREM / GNFA / GCIA / OSCP,
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,

Uwaga! Zamawiający przez certyfikaty równoważne rozumie certyfikaty odpowiadające zakresowi wiedzy lub praktyki żądanego certyfikatu oraz potwierdzające ten sam poziom posiadanych kompetencji (wiedza i doświadczenie).

Po zmianie:
Zamawiający wymaga wykazania przez Wykonawców spełnienia warunków określonych w art. 112 ust. 2 ustawy Pzp dotyczących:
dysponowania odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia, w tym:
1) w zadaniu nr 1
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 5 lat ciągłej praktyki w DFIR/IR, w tym ≥ 3 lata obsługi incydentów dla instytucji publicznych/sektorów krytycznych/wojskowych lub enterprise,
– ≥ 2 incydenty wieloetapowe (ruch boczny, odzyskiwanie poświadczeń) w ostatnich
36 miesiącach – udział w obsłudze, analizie lub usuwaniu skutków,
– przeprowadzenie ≥ 10 edycji szkoleń DFIR/IR/threat hunting (≥ 4 dni każde), w tym ≥ 3
dla administracji/sektorów krytycznych,
– min. 2 certyfikacje z listy (lub równoważne): GCFA / GREM / GNFA / GCIA / OSCP,
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,
– co najmniej jedna pozytywna wewnętrzna weryfikacja trenerska Wykonawcy: audyt dydaktyczny, test praktyczny z prowadzenia labów, zatwierdzenie przez mentora technicznego
2) w zadaniu nr 2
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 5 lat ciągłej praktyki w DFIR/IR, w tym ≥ 3 lata obsługi incydentów ransomware/cyberwymuszeń dla instytucji publicznych/sektorów krytycznych/wojskowych lub enterprise,
– ≥ 2 incydenty wieloetapowe (ruch boczny, eksfiltracja, szyfrowanie) w ostatnich 36 miesiącach – udział w obsłudze, analizie lub usuwaniu skutków
– Przeprowadzenie ,≥ 10 edycji szkoleń DFIR/IR/threat hunting (≥ 4 dni każde), w tym ≥ 3
dla administracji/sektorów krytycznych,
– min. 2 certyfikacje z listy (lub równoważne): GCFA / GCFR / GCIH / OSCP / GREM,
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,
3) w zadaniu nr 3
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 5 lat ciągłej praktyki w DFIR/IR, w tym ≥ 3 lata operacyjnej akwizycji danych i triage
(w tym live acquisition) dla instytucji publicznych/sektorów krytycznych/wojskowych
lub enterprise,
– udział w ≥ 2 dużych działaniach akwizycji/triage w ostatnich 36 miesiącach,
– przeprowadzenie ≥ 10 edycji szkoleń z akwizycji/triage/IR (≥ 4 dni każde), w tym ≥ 3 dla administracji/sektorów krytycznych,
– min. 2 certyfikacje (lub równoważne) z listy: GCFA / GCFE / GNFA / OSCP,
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,
4) w zadaniu nr 4
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 3 lata praktyki w CTI/IR/DFIR/SOC lub w analizie zagrożeń/cyberwywiadzie,
– Udział w ≥ 2 projektach/operacjach CTI (taktycznych/operacyjnych/strategicznych) w ostatnich 24 miesiącach,
– Doświadczenie szkoleniowe: przeprowadzenie ≥ 3 edycji szkoleń min. 3-dniowych
dla SOC/CSIRT/bezpieczeństwa,
– Co najmniej 1 certyfikat (lub równoważny): GCTI / GCIA / GCIH / CISSP / CEH / CySA+ / Security+.
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,

5) w zadaniu nr 5
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 3 lata praktyki w informatyce śledczej / IR/DFIR (dochodzenia, analiza artefaktów, raportowanie),
– udział w ≥ 2 istotnych dochodzeniach/obsługach incydentów w ostatnich 24 miesiącach
– ≥ 3 edycje szkoleń min. 3-dniowych z forensics/IR ,
– min. 2 certyfikacje (lub równoważne) z listy: GCFA / GCFE / GNFA / OSCP,
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,
– znajomość narzędzi i procedur: akwizycja dysków/RAM (live/offline), write-blockery, analiza artefaktów, timeline, przygotowanie dokumentacji dowodowej
6) w zadaniu nr 6
a) trenerem wiodącym tj. co najmniej jedną osobą posiadającą następujące kompetencje:
– ≥ 5 lat praktyki w zarządzaniu bezpieczeństwem informacji/ISMS/ryzykiem/zgodnością,
w tym ≥ 2 lata w organizacjach sektora publicznego/regulowanego/krytycznego lub dużych enterprise,
– udział w ≥ 2 projektach wdrożenia/utrzymania ISMS lub audytach zgodności w ostatnich 36 miesiącach,
– przeprowadzenie ≥ 5 edycji szkoleń min. 3-dniowych dla kadr kierowniczych/bezpieczeństwa,
– min. 1 certyfikat (lub równoważny): ISO/IEC 27001 Lead Auditor/Implementer, CISM, CISSP, CISA, CRISC,
– min. 2 certyfikacje z listy (lub równoważne): GCFA / GREM / GNFA / GCIA / OSCP,
– znajomość języka PL lub EN – na poziomie pozwalającym na płynne prowadzenie zajęć, w tym w zakresie języka technicznego,

Uwaga! Zamawiający przez certyfikaty równoważne rozumie certyfikaty odpowiadające zakresowi wiedzy lub praktyki żądanego certyfikatu oraz potwierdzające ten sam poziom posiadanych kompetencji (wiedza i doświadczenie).
Zamawiający wyjaśnia, że za certyfikat równoważny zostanie uznany certyfikat, który łącznie spełnia następujące warunki:
1.Jest potwierdzony formalnym egzaminem końcowym (testowym i/lub praktycznym), którego zaliczenie stanowi warunek uzyskania certyfikatu.
2.Obejmuje zagadnienia z obszaru bezpieczeństwa teleinformatycznego, w szczególności co najmniej dwa z poniższych zakresów:
 reagowanie na incydenty bezpieczeństwa,
 analiza zagrożeń lub analiza ruchu sieciowego,
 analiza złośliwego oprogramowania lub artefaktów systemowych,
 testy penetracyjne lub analiza podatności,
 zarządzanie bezpieczeństwem informacji.
3.Nie stanowi wyłącznie potwierdzenia uczestnictwa w szkoleniu.
4.Nie jest ograniczony wyłącznie do obsługi jednego, konkretnego produktu lub narzędzia informatycznego.
5.Jest ważny na dzień składania dokumentów.
Ocena równoważności będzie dokonywana na podstawie dokumentacji przedstawionej przez Wykonawcę, w szczególności opisu zakresu merytorycznego oraz sposobu weryfikacji kompetencji.
Zamawiający wyjaśnia, że równoważność certyfikatu będzie oceniana w odniesieniu do zakresu kompetencji objętych wymaganiem określonym w OPZ, a nie w odniesieniu do jednego, konkretnego certyfikatu z listy.
Oznacza to, że przedstawiony certyfikat musi potwierdzać kompetencje odpowiadające zakresowi wiedzy i umiejętności wymaganych dla danego zadania, zgodnie z profilem kompetencyjnym określonym w OPZ.
Ocena równoważności będzie dokonywana na podstawie zakresu merytorycznego certyfikatu, sposobu weryfikacji kompetencji (egzamin) oraz poziomu potwierdzanych umiejętności.
Zamawiający dopuszcza certyfikaty wydawane przez inne krajowe lub międzynarodowe organizacje, pod warunkiem że spełniają łącznie kryteria równoważności określone w OPZ oraz w udzielonych wyjaśnieniach.
W szczególności certyfikat musi potwierdzać analogiczny zakres kompetencyjny, być weryfikowany formalnym egzaminem oraz nie stanowić wyłącznie potwierdzenia uczestnictwa w szkoleniu.
Zamawiający dopuszcza przedstawienie opisu programu certyfikacji (w szczególności: syllabus, zakres egzaminu, sposób weryfikacji kompetencji, poziom kwalifikacji) w celu wykazania równoważności.
Zamawiający nie przewiduje zamkniętego katalogu certyfikatów uznawanych za równoważne.
Ocena równoważności będzie dokonywana każdorazowo indywidualnie, na podstawie przedstawionej dokumentacji oraz w odniesieniu do kryteriów określonych w OPZ i udzielonych wyjaśnieniach.

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA VIII - PROCEDURA

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.1. Termin składania ofert

Przed zmianą:
2026-03-23 09:30

Po zmianie:
2026-03-25 09:30

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.3. Termin otwarcia ofert

Przed zmianą:
2026-03-23 10:00

Po zmianie:
2026-03-25 10:00

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.4. Termin związania ofertą

Przed zmianą:
2026-04-21

Po zmianie:
2026-04-23