Selectie aanbieder monitoring- en responsdiensten voor gemeente Haarlem

Gemeente Haarlem heeft Emtio gevraagd haar te begeleiden bij een inkooptraject voor de selectie van een leverancier van monitoring- en responsdiensten.

Gemeente Haarlem heeft Emtio gevraagd haar te begeleiden bij een inkooptraject voor de selectie van een leverancier van monitoring- en responsdiensten.

De Vereniging van Nederlandse Gemeenten (VNG) heeft in 2023 een Europese aanbesteding uitgeschreven voor de gunning van zes raamovereenkomsten met leveranciers die monitoring- en responsdiensten aanbieden. De naam van de aanbestedingsprocedure was ‘GGI-Veilig’. Deze werd namens alle 355 Nederlandse gemeenten en 23 gemeenschappelijke samenwerkingsverbanden uitgevoerd. In oktober 2023 zijn de raamovereenkomsten gegund aan Deltics, Ilionx, Orange Cyberdefense, PQR, Tesorion en Thales.

VNG heeft een model ‘Opdrachtomschrijving aanvraag M&R-diensten’ uitgegeven als onderdeel van de aanbestedingsdocumenten, inclusief handreiking. Het is de bedoeling dat gemeenten bij een concrete behoeftestelling en offertetraject dit model invullen en aan de zes leveranciers voorleggen. Omdat dit complexer bleek dan verwacht, heeft gemeente Haarlem Emtio gevraagd dit inkooptraject te begeleiden.

De voorbereiding startte in februari 2025, waarna de aanvraag via TenderNed is uitgezet bij de zes geselecteerde leveranciers.

Gemeente Haarlem

Gemeente Haarlem is in 2018 een ambtelijke samenwerking aangegaan met gemeente Zandvoort. Op IT-gebied betekent dit dat zij gebruikmaken van dezelfde infrastructuur en applicaties. Samen vertegenwoordigen deze gemeenten circa 185.000 burgers. De organisatie bestaat uit 2.750 interne en externe medewerkers, waarvan 100 op de afdeling Informatievoorziening (IV). De infrastructuur is verdeeld over twee datacenters, waarvan de hardware, software en virtualisatie in eigen beheer zijn. Veel applicaties worden on-premise gehost, een deel draait via cloudoplossingen zoals SaaS. De organisatie hanteert een ‘cloud tenzij’-beleid, waarmee zij de komende jaren zoveel mogelijk wil migreren naar cloudomgevingen.

De afdeling Informatievoorziening, die de ICT-voorzieningen voor de organisatie beheert, bestaat uit drie teams: Customer Support, Ontwikkeling & Beheer en Changemanagement & Informatiebeheer.

ICT-infrastructuur

De ICT-infrastructuur van gemeente Haarlem draaide op het moment van schrijven grotendeels binnen twee active-active datacenters, onderling verbonden via snelle glasvezelverbindingen (routed en stretched VLAN). Het eerste datacenter bevindt zich in een extern datacenter, het tweede op een eigen locatie. Een derde locatie bevat enkele witness-systemen. De inrichting is grotendeels virtueel, gebaseerd op VMware. Slechts enkele servers (Commvault-back-up en Oracle) zijn nog fysiek. De gemeente heeft vier hoofdlocaties in Haarlem en Zandvoort, en twaalf middelgrote tot kleine buitenlocaties. Alle locaties zijn verbonden via eigen glasverbindingen.

De werkplekken worden beheerd via Intune en ingericht als ‘zakelijk ingericht device (Windows 11) laptop’, waarbij lokaal vooral gebruik wordt gemaakt van Microsoft 365. Verdere kantoorapplicaties draaien op een VDI-desktop (VMware) infrastructuur binnen de twee datacenters. Haarlem is op het moment van schrijven nog niet volledig overgestapt op SaaS; ongeveer 50% van de applicaties is nog client-server. Het beleid is ‘SaaS tenzij’. Daarbij streeft men naar consolidatie van leveranciers en optimaal gebruik van Microsoft 365 E5-licenties.

Op het moment van schrijven wordt nog gebruikgemaakt van een on-premise Exchange-omgeving. Migratie naar Exchange Online staat gepland. De gemeente is gestart met een PoC Kubernetes-omgeving binnen Azure, opgebouwd via een Azure Landing Zone-architectuur. Microsoft Defender for Cloud is hier onderdeel van.

Haarlem en Zandvoort beschikken over een redelijk groot OT-netwerk, waaronder verkeersregelinstallaties en Bollard paaltjes. Het gaat om circa 300 devices waar niet veel verkeer overheen gaat. Het centrale beheer op de OT-omgeving zal in de aankomende periode worden geconsolideerd en ondergebracht bij de afdeling IV. Omdat het beheer nog bij een externe leverancier ligt, zijn er nog geen ontwerpen of details bekend.

Er is veel aandacht voor normeringen. Waar deze eerder onderbelicht waren, is inmiddels gestart met CIS-hardeningrichtlijnen en BIO-richtlijnen. De ambitie is om te voldoen aan BIOv2, NIS2 (Cbw), ISO 27001 en OT-normeringen (IEC 62443).

De aanvraag

Gemeente Haarlem was op zoek naar een leverancier voor de M&R dienst voor haar ICT-systemen. De doelen die gemeente Haarlem nastreefde met de M&R-dienstverlening waren in een gefaseerde aanpak:

  • Koppeling van de bestaande EDR-oplossing (Microsoft Defender)
  • Koppeling van overige relevante logbronnen in overleg met de leverancier
  • Oplevering van NDR-, SIEM- en UEBA-oplossingen
  • Mogelijkheid tot on-site First Incident Response
  • Toekomstige monitoring van het OT-netwerk
  • Correlatie tussen events uit diverse logbronnen en bundeling tot logische entiteiten
  • Categorisering en prioritering van beveiligingsgebeurtenissen
  • Meldingen en opvolgingsadviezen
  • Ondersteuning bij het voorkomen van false positives
  • Toepassing van mandaatverlening

Doelen op het gebied van SOC-dienstverlening waren:

  • Beter inzicht in cyberbedreigingen op de totale IT-omgeving
  • Verkorten van time to detect en time to respond bij incidenten
  • Gezamenlijke aanpak bij incidenten tussen leverancier en gemeente

De Microsoft Defender-suite diende behouden te blijven als EDR-oplossing, beheerd door de gemeente zelf.

De fasering werd uitgesplitst in meerdere jaren, met ruimte voor opschaling en afschaling:

Fase 1 (2025):

  • SOC/SIEM
  • EDR (VDI- en FAT-clients)
  • Servers (Windows/Linux)
  • Identities (AD en Azure AD)
  • DNS/DHCP
  • Firewalls (Fortinet/Check Point) en IPS
  • First incident response op locatie

Fase 2 (optioneel, 2026):

  • NDR (netwerkcomponenten: switches, access points)
  • Smartphones en tablets

Fase 3 (optioneel, 2027):

  • ICS/SCADA/IoT/IACS
  • UEBA
  • SOAR

Gemeente Haarlem wenste Fase 2 en Fase 3 hierin als optionele onderdelen aangeboden te krijgen.

Werkzaamheden Emtio

Voor dit offertetraject heeft Emtio:

  • In overleg met materiedeskundigen van gemeente Haarlem de functioneel-technische aanvraag opgesteld
  • Het gunningsmodel ontworpen en uitgewerkt, met de volgende documenten:
    • Kwaliteitsdocumenten:
      • Oplossingsvoorstel
      • Implementatieplan
      • SLA
    • Prijsuitvraag:
      • Offertemodel voor 48 maanden inclusief optionele diensten
  • Een meervoudig onderhandse procedure in TenderNed ingericht
  • De zes leveranciers uitgenodigd en het inkoopproces volledig digitaal via TenderNed laten verlopen
  • Een voorstel voor een proof of concept opgesteld
  • De gehele procedurele uitvoering verzorgd
  • Het beoordelingsmodel opgesteld en juridisch en inhoudelijk begeleid
  • Het model ‘nadere overeenkomst’ op naam gesteld

Planning

De offerteproces is geheel conform planning uitgevoerd:

Datum Activiteit
21 maart 2025 Verzending offerteaanvraag
7 mei 2025 Deadline indienen offertes
16 mei 2025 Voorlopige gunning
19 mei – eind juli Doorlopen proof of concept
Eind juli 2025 Finale gunning en ondertekening overeenkomst

Eind juli 2025 is de opdracht gegund aan Tesorion Operations B.V. Daarmee is de procedure succesvol en naar tevredenheid van gemeente Haarlem afgerond.