Wyrok KIO KIO 3083/23

Treść dokumentu

Pobierz PDF

Sygn. akt:KIO 3083/23

POSTANOWIENIE

z dnia 30 października 2023 r.

Krajowa Izba Odwoławcza - w składzie:

Przewodnicząca: Monika Banaszkiewicz

Członkowie: Elżbieta Dobrenko

   Maria Kacprzyk

Protokolant: Piotr Cegłowski

po rozpoznaniu na posiedzeniu niejawnym z udziałem stron w dniu 30 października 2023 r.w Warszawie odwołania wniesionego do Prezesa Krajowej Izby Odwoławczej w dniu 16 października 2023 r. przez wykonawcę Naukowa i Akademicka Sieć Komputerowa - Państwowy Instytut Badawczy z siedzibą w Warszawie w postępowaniu prowadzonym przez Zakład Ubezpieczeń Społecznychw Warszawie

przy udziale wykonawcy ASSECO Poland S.A. z siedzibą w Rzeszowie, zgłaszającego przystąpienie po postępowania odwoławczego po stronie odwołującego

orzeka:

1.umarza postępowanie odwoławcze;

2.nakazuje zwrot z rachunku Urzędu Zamówień Publicznych na rzecz odwołującego Naukowa i Akademicka Sieć Komputerowa - Państwowy Instytut Badawczy z siedzibą w Warszawie kwoty 15 000 zł 00 gr (słownie: piętnaście tysięcy złotych zero groszy) stanowiącej uiszczony wpis od odwołania.

Stosownie do art. 579 ust. 1 i 580 ust. 1 i 2 ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych (Dz. U. 2023 r. poz. 1605 ze zm.) na niniejsze postanowienie – w terminie 14 dni od dnia jego doręczenia – przysługuje skarga za pośrednictwem Prezesa Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie.

Przewodnicząca:…………………………

...……………………….

…………………………   

Sygn. akt:KIO 3083/23

....

U z a s a d n i e n i e

Zamawiający – Zakład Ubezpieczeń Społecznychw Warszawie – prowadzi z zastosowaniem przepisów ustawy z 11 września 2019 r. prawo zamówień publicznych (Dz. U. z 2023 r. poz.1605 ze zm. dalej: „ustawa Pzp”), w oparciu o przepisy dot. postępowań z dziedziny obronności i bezpieczeństwa w trybie przetargu ograniczonego postępowanie o udzielenie zamówienia publicznego pn.: „Świadczenie usług wsparcia eksploatacji i utrzymania Systemu Bezpieczeństwa Teleinformatycznego ZUS” (znak postępowania 993200.271.37.2023). Wartość zamówienia jest większa niż progi unijne. Ogłoszenie o zamówieniu zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej z dnia 6 października 2023 r. pod numerem nr 2023/S 193-602374.

W dniu 16 października 2023 r. wykonawca Naukowa i Akademicka Sieć Komputerowa - Państwowy Instytut Badawczy z siedzibą w Warszawiewniósł na podstawie art. 505 ust. 1, art. 513 pkt 1, art. 514 ust. 1 oraz 515 ust. 1 pkt 1 ustawy Pzp odwołanie wobec czynności Zamawiającego dotyczących Ogłoszenia o zamówieniu.

Odwołujący zarzucił Zamawiającemu naruszenie przepisów:

1) art. 112 ust. 1 i 2 w zw. z art. 16 Pzp 1 poprzez określenie warunków udziału w postępowaniu w sposób naruszający zasadę proporcjonalności, a także uniemożliwiający ocenę zdolności wykonawców do należytego wykonania zamówienia, oraz opisanie zdolności technicznej i zawodowej wykonawców w sposób nadmiarowy i nieadekwatny do opisanego przedmiotu zamówienia, zwłaszcza poprzez zastosowanie warunków, które nie dotyczą zamówienia, jak również nie wynikają z opisu przedmiotu zamówienia,

2) art. 99 ust. 1 i 4 w zw. z art. 16 ustawy Pzp poprzez opis przedmiotu zamówienia w sposób niepełny, niejasny i niewyczerpujący, utrudniający Odwołującemu sporządzenie wniosku o dopuszczenie do udziału w postępowaniu i, w dalszej kolejności, oferty oraz w sposób utrudniający nieuczciwą konkurencję poprzez brak wskazania w opisie zamówienia niektórych systemów, w tym w szczególności SIEM, oraz ich przedmiotowego powiązania z warunkami zamówienia, określonymi w pkt III 2.3 lit. B ppkt 6 i 7– kwalifikacje techniczne i/lub zawodowe.

Odwołujący w oparciu o wyżej wskazane przepisy sformułował 8 zarzutów:

Zarzut 1 dotyczył Warunków udziału w postępowaniu – kwalifikacji technicznych i/ lub zawodowych. Odwołujący wnosił o zmianę wskazanego w odwołaniu warunku poprzez skrócenie wymaganego minimalnego okresu utrzymywania systemów, o których mowa, do 12 miesięcy – przy czym propozycja Odwołującego była następująca:

B. Wykonawca spełni warunek, jeżeli wykaże, że w okresie ostatnich 5 (pięciu) lat przed upływem terminu składania wniosków o dopuszczenie do udziału w Postępowaniu:

1) przez okres minimum 1 roku należycie utrzymywał lub utrzymuje system DLP - Data Loss Prevention obejmujący co najmniej 20 000 licencji;

2) przez okres minimum 1 roku należycie utrzymywał lub utrzymuje system PAM - Privileged Access Management obejmujący co najmniej 450 licencji;

3) przez okres minimum 1 roku należycie utrzymywał lub utrzymuje system ETD - Enterprise Threat Detection obejmujący co najmniej 20 000 licencji;

4) przez okres minimum 1 roku należycie utrzymywał lub utrzymuje system Anty ATP - Anty Advanced Threat Protection obejmujący co najmniej 20 000 licencji;

5) przez okres minimum 1 roku należycie utrzymywał lub utrzymuje system zapewniający bezpieczeństwo w zakresie rozszyfrowywania ruchu sieciowego ochrony stacji roboczych (oprogramowanie antywirusowe) obejmujący co najmniej 25 000 licencji;

6) przez okres minimum 1 roku należycie utrzymywał lub utrzymuje system SIEM - Security Information and Event Management;

7) przez okres minimum 1 roku należycie utrzymywał lub utrzymuje co najmniej jeden z systemów: DAM – Database Activity Monitoring, SOAR – Security Orchestration, Automation and Respons, WAF – Web Application Firewall.

Zarzut 2 dotyczył warunku udziału w postępowaniu – dla osoby pełniącej funkcję Testerów bezpieczeństwa. Odwołujący wnosił o zmianę warunku poprzez dodanie do pkt 5 następujących certyfikatów - OSCP (Offensive Security Certified Professional lub równoważny

Wykonawca spełni warunek, jeżeli wykaże, że dysponuje lub będzie dysponować osobami skierowanymi przez Wykonawcę do realizacji zamówienia (tj. skierowanymi do realizacji umowy), o odpowiednich kwalifikacjach zawodowych, uprawieniach, doświadczeniu i wykształceniu, odpowiednimi do funkcji, jakie zostaną im powierzone, tj.:

(…)

5) minimum 3 (trzema) osobami do pełnienia funkcji Testerów bezpieczeństwa, które powinny się cechować następującymi kompetencjami:

(…)

c) posiada co najmniej jeden z niżej wymienionych certyfikatów:

- Offensive Security Wireless Professional (OSWP)

- Offensive Security Certified Expert (OSCE),

- Offensive Security Certified Professional (OSCP)

- GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) ,

- eLearnSecurity Web application Penetration Tester (eWPT),

- eLearnSecurity Web application Penetration Tester eXtreme (eWPTX),

- eLearnSecurity Mobile Application Penetration Tester (eMAPT)

lub równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy

Zarzut 3 dotyczył Warunku udziału w postępowaniu – dla osoby pełniącej funkcję Administratora DLP. Odwołujący wnosił o zmianę warunku poprzez wykreślenie III 2.3 lit. D ppkt 10b oraz o skrócenie minimalnego wymaganego okresu administrowania systemem DLP z 2 lat do 1 roku.

Wykonawca spełni warunek, jeżeli wykaże, że dysponuje lub będzie dysponować osobami skierowanymi przez Wykonawcę do realizacji zamówienia (tj. skierowanymi do realizacji umowy), o odpowiednich kwalifikacjach zawodowych, uprawieniach, doświadczeniu i wykształceniu, odpowiednimi do funkcji, jakie zostaną im powierzone, tj.:

10) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora DLP, z których każda powinna cechować się następującymi kompetencjami:

a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 1 rok administrowała systemem DLP – Data Loss Prevention i posiada certyfikat producenta systemu DLP potwierdzający jej kompetencje administratorskie;

b) posiada co najmniej jeden z poniższych certyfikatów:

- Certified Information Systems Auditor (CISA),

- Security+ (CompTIA Security+);

(…)

lub inny równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;(…)

Zarzut 4 dotyczył Warunku udziału w postępowaniu – dla osoby pełniącej funkcję Administratora PAM. Odwołujący wnosił o zmianę warunku poprzez wykreślenie III 2.3 lit. D ppkt 11b oraz skrócenie minimalnego wymaganego okresu administrowania systemem PAM z 2 lat do 1 roku.

Wykonawca spełni warunek, jeżeli wykaże, że dysponuje lub będzie dysponować osobami skierowanymi przez Wykonawcę do realizacji zamówienia (tj. skierowanymi do realizacji umowy), o odpowiednich kwalifikacjach zawodowych, uprawieniach, doświadczeniu i wykształceniu, odpowiednimi do funkcji, jakie zostaną im powierzone, tj.:

11) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora PAM, z których każda powinna cechować następującymi kompetencjami:

a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 1 rok administrowała systemem PAM – Privileged Access Management i posiada co najmniej jeden certyfikat producenta rozwiązań PAM potwierdzający jej kompetencje administratorskie;

b) posiada co najmniej jeden z poniższych certyfikatów:

- Certified Information Systems Auditor (CISA),

- Security+ (CompTIA Security+);

lub inny równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;

(…)

Zarzut 5 dotyczył Warunku udziału w postępowaniu – dla osoby pełniącej funkcję Administratora ETD. Odwołujący wnosił o zmianę warunku poprzez zmianę certyfikatu producenckiego na certyfikat SEP, a także o wykreślenie III 2.3 lit. D pkt 12b oraz skrócenie minimalnego wymaganego okresu administrowania systemem ETD z 2 lat do 1 roku

Wykonawca spełni warunek, jeżeli wykaże, że dysponuje lub będzie dysponować osobami skierowanymi przez Wykonawcę do realizacji zamówienia (tj. skierowanymi do realizacji umowy), o odpowiednich kwalifikacjach zawodowych, uprawieniach, doświadczeniu i wykształceniu, odpowiednimi do funkcji, jakie zostaną im powierzone, tj.:

12) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora ETD, z których każda powinna się cechować następującymi kompetencjami:

a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 1 roku administrowała systemem ETD – Enterprise Threat Detection i posiada co najmniej certyfikat SEP potwierdzający jej kompetencje administratorskie;

b) posiada co najmniej jeden z poniższych certyfikatów:

- Certified Information Systems Auditor (CISA),

- Security+ (CompTIA Security+)

lub inny równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy;

Zarzut 6 dotyczył Warunku udziału w postępowaniu – dla osoby pełniącej funkcję Administratora ANTY ATP. Odwołujący wnosił o zmianę warunku poprzez wykreślenie III 2.3 lit. D pkt 13b oraz skrócenie minimalnego wymaganego okresu administrowania systemem ANTY ATP z 2 lat do 1 roku.

Wykonawca spełni warunek, jeżeli wykaże, że dysponuje lub będzie dysponować osobami skierowanymi przez Wykonawcę do realizacji zamówienia (tj. skierowanymi do realizacji umowy), o odpowiednich kwalifikacjach zawodowych, uprawieniach, doświadczeniu i wykształceniu, odpowiednimi do funkcji, jakie zostaną im powierzone, tj.:

13) minimum 2 (dwoma) osobami do pełnienia funkcji Administratora Anty ATP, z których każda powinna się cechować następującymi kompetencjami:

a) w ciągu ostatnich 36 miesięcy przed dniem składania wniosków o dopuszczenie do udziału w postępowaniu, przez okres co najmniej 1 rok administrowała systemem Anty ATP - Anty Advanced Threat Protection i posiada co najmniej jeden certyfikat producenta rozwiązań Anty ATP potwierdzający jej kompetencje administratorskie;

b) posiada co najmniej jeden z poniższych certyfikatów:

- Certified Information Systems Auditor (CISA),

- Cerified Ethical Hacker (CEH);

- Security+ (CompTIA Security+)

lub inny równoważny certyfikat wystawiony przez podmiot niezależny od Wykonawcy

Zarzut 7 dotyczył Warunku udziału w postępowaniu – dla osoby pełniącej funkcję Specjalisty do spraw cyberbezpieczeństwa. Odwołujący wnosił o zmianę warunku poprzez wykreślenie III 2.3 lit. D pkt 2 lit. c:

Wykonawca spełni warunek, jeżeli wykaże, że dysponuje lub będzie dysponować osobami skierowanymi przez Wykonawcę do realizacji zamówienia (tj. skierowanymi do realizacji umowy), o odpowiednich kwalifikacjach zawodowych, uprawieniach, doświadczeniu i wykształceniu, odpowiednimi do funkcji, jakie zostaną im powierzone, tj.

2) minimum 3 (trzema) osobami do pełnienia funkcji Specjalistów ds. cyberbezpieczeństwa (Integrator Bezpieczeństwa), które powinny się cechować następującymi kompetencjami:

a) posiada co najmniej 36 miesięcy doświadczenia zawodowego w realizacji prac związanych z instalowaniem i serwisowaniem urządzeń i systemów bezpieczeństwa w projekcie/projektach informatycznych o wartości minimum 5 000 000 PLN brutto każdy projekt, polegających na budowie lub rozwoju systemów informatycznych, uzyskanego w ciągu ostatnich 5 lat przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu;

b) posiada co najmniej dwa z niżej wymienionych certyfikatów:

- Certified Information Systems Auditor (CISA),

- Certified Information Security Manager (CISM),

- ISACA’s Certified in Risk and Information Systems Control (CRISC),

- Certified Information Systems Security Professional (CISSP),

- Certified Ethical Hacker (CEH),

- Offensive Security Certified Professional – (OSCP);

lub równoważnych certyfikatów wystawionych przez podmiot niezależny od Wykonawcy;

c) posiada umiejętności zakończone pozytywnym wynikiem egzaminu poświadczającym możliwość realizowania audytów jako audytor wiodący ISO27001;

d) posiada ważne upoważnienie uprawniające do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone”, o których którym mowa w ustawie o ochronie informacji niejawnych;

e) posiada zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych;

Zarzut 8 dotyczył Opisu przedmiotu zamówienia. Odwołujący wnosił o zmianę opisu przedmiotu zamówienia poprzez jego uzupełnienie w obszarze systemów wskazanych powyżej albo usunięcie warunku określonego w Ogłoszeniu III 2.3 lit. B pkt 6 i 7

W dniu 26 października 2023 r. do Prezesa Izby wpłynęła odpowiedź na odwołanie zawierająca oświadczenie zamawiającego o uwzględnieniu w części zarzutów odwołania. Zamawiający oświadczył, że uwzględnia zarzuty numer 1-7, przy czym zarzut nr 5 w części, jednocześnie wnosił o oddalenie odwołania w pozostałym zakresie (zarzut nr 8) i obciążenie odwołującego kosztami postępowania, w tym kosztami zastępstwa procesowego.

Przystąpienie do postępowania odwoławczego po stronie odwołującego w ustawowym terminie zgłosił następujący wykonawca: ASSECO Poland S.A. z siedzibą w Rzeszowie. Strony nie zgłosiły zastrzeżeń co do skuteczności przystąpienia, ani opozycji przeciw przystąpieniu tego wykonawcy do postępowania odwoławczego, w związku z czym Izba postanowiła dopuścić wykonawcę ASSECO Poland S.A. z siedzibą w Rzeszowie do udziału w postępowaniu odwoławczym.

W dniu 27 października 2023 r. do Prezesa Izby wpłynęło oświadczenie odwołującego o wycofaniu odwołania w zakresie zarzutu nieuwzględnionego w całości, jak również w zakresie zarzutu w części nieuwzględnionego przez zamawiającego.

Wobec powyższego postępowanie odwoławcze należało umorzyć, stosownie do dyspozycji art. 522 ust. 3 ustawy Pzp.

O kosztach postępowania orzeczono na podstawie art. 574 i 575 ustawy Prawo zamówień publicznych oraz § 9 ust. 1 pkt 2 lit. b) rozporządzenia Prezesa Rady Ministrów z dnia 30 grudnia 2020 r. w sprawie szczegółowych rodzajów kosztów postępowania odwoławczego, ich rozliczania oraz wysokości i sposobu pobierania wpisu od odwołania (Dz. U. 2020 r. poz. 2437), z którego wynika, że koszty, o których mowa w § 5 pkt 2, znosi się wzajemnie, jeżeli przed otwarciem rozprawy zamawiający uwzględnił w części zarzuty przedstawione w odwołaniu i pozostałe zarzuty zostały przez odwołującego wycofane, a w postępowaniu odwoławczym po stronie zamawiającego nie przystąpił żaden wykonawca albo uczestnik postępowania odwoławczego, który przystąpił po stronie zamawiającego, nie wniósł sprzeciwu wobec uwzględnienia przez zamawiającego w części zarzutów przedstawionych w odwołaniu – w takim przypadku Izba orzeka o dokonaniu zwrotu odwołującemu z rachunku Urzędu kwoty uiszczonej tytułem wpisu.

Przewodnicząca:…………………………

...……………………….

…………………………