Wyrok KIO KIO 452/25
Informacje podstawowe
- Sygnatura
- KIO 452/25
- Organ wydający
- Krajowa Izba Odwoławcza
- Rodzaj dokumentu
- postanowienie
- Data wydania
- 27.02.2025
- Przewodniczący
- Luiza Łamejko
- Sposób rozstrzygnięcia
- umorzone
Zamawiający
- Miejscowość
- Warszawa
Postępowanie
- Tryb postępowania
- przetarg nieograniczony
Kluczowe przepisy ustawy Pzp
Treść dokumentu
Pobierz PDFSygn. akt: KIO 452/25
POSTANOWIENIE
Warszawa dnia 27 lutego 2025 r.
Krajowa Izba Odwoławcza - w składzie:
Przewodniczący:Luiza Łamejko
Anna Kuszel-Kowalczyk
Rafał Malinowski
po rozpoznaniu na posiedzeniu niejawnym bez udziału stron w dniu 27 lutego 2025 r.
w Warszawie odwołania wniesionego do Prezesa Krajowej Izby Odwoławczej w dniu
dniu 6 lutego 2025 r. przez wykonawcę Netia S.A. z siedzibą w Warszawie
w postępowaniu prowadzonym przez Naczelną Dyrekcję Archiwów Państwowych z siedzibą w Warszawie
uczestnik po stronie odwołującego – T-Mobile Polska S.A. z siedzibą w Warszawie
postanawia:
1.Umarza postępowanie odwoławcze,
2.Nakazuje zwrot z rachunku bankowego Urzędu Zamówień Publicznych na rzecz
wykonawcy Netia S.A. z siedzibą w Warszawie kwoty 15 000 zł 00 gr(słownie: piętnaście tysięcy złotych zero groszy) stanowiącej uiszczony wpis od odwołania.
Na orzeczenie - w terminie 14 dni od dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie - Sądu Zamówień Publicznych.
Przewodniczący :………………………………
………………………………
………………………………
Sygn. akt: KIO 452/25
U z a s a d n i e n i e
Naczelna Dyrekcja Archiwów Państwowych z siedzibą w Warszawie (dalej: „Zamawiający”) prowadzi w trybie przetargu nieograniczonego postępowanie o udzielenie zamówienia publicznego pn.: „Świadczenie usługi wdrożenia i utrzymania WAN”. Postępowanie to prowadzone jest na podstawie przepisów ustawy z dnia 11 września 2019 r. - Prawo zamówień publicznych (Dz. U. z 2024 r. poz. 1320), zwanej dalej: „ustawa Pzp”. Ogłoszenie o zamówieniu zostało opublikowane w dniu 27 stycznia 2025 r. w Dzienniku Urzędowym Unii Europejskiej pod pozycją 54279-2025.
W dniu 6 lutego 2025 r. wykonawca Netia S.A. z siedzibą w Warszawie (dalej: „Odwołujący”) wniósł do Prezesa Krajowej Izby Odwoławczej odwołanie zarzucając Zamawiającemu:
- naruszenie art. 441 ustawy Pzp, art. 99 ust. 1, 2 i 4 oraz art. 16 i 17 ust. 1 ustawy Pzp przez opisanie w pkt 21 OPZ prawa opcji, o którym mowa w § 3 projektu Umowy, w sposób nieprecyzyjny, nieproporcjonalny, niejednoznaczny i nieuwzględniający wszystkich wymagań i okoliczności mogących mieć wpływ na sporządzenie oferty i oszacowanie jej kosztów, opisanie cech usług w sposób nieproporcjonalny do wartości i celów przedmiotu zamówienia, a także art. 353¹ Kodeksu cywilnego w zw. z art. 5 oraz art. 487 § 2 Kodeksu cywilnego w zw. z art. 8 ust. 1 ustawy Pzp oraz art. 16 ustawy Pzp przez opisanie w pkt 21 OPZ prawa opcji w sposób naruszający zasady współżycia społecznego i równowagę stron umowy oraz nadmiernie obciążający wykonawcę.
Odwołujący wniósł o uwzględnienie odwołania i zasądzenie kosztów Postępowania, w tym kosztów zastępstwa procesowego wg norm przypisanych oraz nakazanie Zamawiającemu modyfikacji pkt 21 OPZ, w ten sposób, że zostaną tam doprecyzowane/zmodyfikowane następujące punkty:
1. zmiana pkt 21 ust. 1 w ten sposób, że otrzymałby brzmienie:
„Wykonawca zobowiązuje się do utrzymania urządzeń UTM w punktach styku z siecią WAN/Internet, tak aby zapewniało ona co najmniej:” (…)
a) zmiana pkt 21 ust. 1 lit. a (prawidłowe działanie Usługi WAN) w ten sposób, że otrzymałby brzmienie:
„prawidłowe działania urządzeń UTM w kontekście przesyłania danych do/ z Internetu, zgodnie z politykami bezpieczeństwa Zamawiającego”
b) zmiana pkt 21 ust. 1 lit. b (ochrona sieci WAN przed cyberzagrożeniami) w ten sposób, że otrzymałby brzmienie:
„utrzymanie mechanizmów filtrowania ruchu, detekcji i blokowania zagrożeń (IPS/IDS)”
ewentualnie:
(i) potwierdzenie, że pełna odpowiedzialność za konfigurację urządzeń UTM po stronie Wykonawcy, a mechanizm deszyfrowania HTTPS, spoczywa na Zamawiającym;
(ii) doprecyzowanie, że Zamawiający dostarczy wszelkie niezbędne dane, w szczególności certyfikaty i konfiguracje wstępne, aby umożliwić realizację tego procesu;
(iv) doprecyzowanie, który dokładnie CSIRT (Computer Security Incident Response Team) będzie odpowiedzialny za analizę i raportowanie incydentów związanych z urządzeniami UTM, tj. Czy Zamawiający ma na myśli CSIRT działający w ramach Zamawiającego, czy też inny podmiot, który będzie pełnił tę rolę;
(v) potwierdzenie, że w przypadku incydentów związanych z deszyfrowaniem HTTPS, Wykonawca będzie współpracować z Zamawiającym przy przekazywaniu danych do CSIRT;
(v) zapewnienie, że Wykonawca będzie miał dostęp do pełnych logów zdarzeń bezpieczeństwa generowanych przez urządzenia UTM.
c) zmiana pkt 21 ust. 1 lit. c (codzienna analiza logów i zdarzeń na urządzeniach) w ten sposób, że otrzymałby brzmienie:
„codzienna analiza logów i zdarzeń generowanych przez urządzenia UTM w punktach styku (PS), z wykorzystaniem systemu SIEM Wykonawcy, celem wstępnej identyfikacji potencjalnych incydentów bezpieczeństwa i reakcji na zagrożenia. W ramach dostarczenia urządzeń UTM Zamawiający pozwoli na wprowadzenie konfiguracji umożlwiającej wysyłanie logów z urządzeń UTM w Punktach Styku (PS) do wyżej wspominanego systemu.”
ewentualnie:
potwierdzenie, że Zamawiający udostępni Wykonawcy system do codziennej analizy logów
i zdarzeń oraz, że Zamawiający przeznaczy co najmniej 4 osobodni na analizę logów
w miesiącu w systemie Zamawiającego w ramach konsultacji;
d) zmiana pkt 21 ust. 1 lit. d (analiza) zgłaszanych podatności i przypadków podejrzanego ruchu widocznych w logach pobieranych na styku WAN z Internetem w ten sposób, że otrzymałby brzmienie:
„analiza zgłaszanych podatności oraz przypadków podejrzanego ruchu widocznych w logach pobieranych na styku WAN z Internetem. Biorąc pod uwagę, że prawie 90% ruchu w sieci internet jest szyfrowana i bez deszyfrowania nie będzie możliwe pełne zidentyfikowanie podejrzanych działań, analiza zostanie realizowana wyłącznie w ramach konsultacji inżynierskich, określonych w liczbie osobodni (MD), zgodnie z odrębnymi ustaleniami pomiędzy Zamawiającym a Wykonawcą”
ewentualnie:
potwierdzenie, że analiza podatności i podejrzanego ruchu będzie realizowana w ramach konsultacji inżynierskich, określonych w liczbie osobodni;
e) zmiana pkt 21 ust. 1 lit. e (analiza informacji o potencjalnych incydentach i w przypadku ich potwierdzenia przygotowywanie wkładu do raportów do CSIRT (w zakresie wymaganym obowiązującymi w przepisami), w ten sposób, że otrzymałby brzmienie:
„analiza informacji o potencjalnych incydentach generowanych przez urządzenia UTM
w punktach styku (PS) oraz, w przypadku potwierdzenia ich wystąpienia, przygotowywania wkładu do raportów przekazywanych do CSIRT, zgodnie z obowiązującymi przepisami” wraz z:
(i) potwierdzeniem, że odpowiedzialność za dostarczenie danych niezbędnych do raportowania incydentów, w tym z urządzeń UTM, spoczywa po stronie Zamawiającego;
(ii) potwierdzeniem, że przygotowanie wkładów będzie realizowane w ramach konsultacji inżynierskich, określonych w liczbie osobodni;
(iv) doprecyzowaniem, do jakie CSIRT będą przesyłane raporty dotyczące incydentów.
f) zmiana pkt 21 ust. 1 lit. f (wdrażanie zaleceń dotyczących cyberbezpieczeństwa
w szczególności z CSIRT) w ten sposób, że otrzymałby brzmienie:
„wdrażanie zaleceń dotyczących cyberbezpieczeństwa, w szczególności zaleceń wynikających z wytycznych CSIRT, z zastrzeżeniem, że Wykonawca będzie miał odpowiednią procedurę i zasoby, aby zapewnić realizację aktualizacji bez narażania bezpieczeństwa innych urządzeń i systemów Zamawiającego, o ile dotyczą one urządzeń UTM w Punktach Styku (PS). W poniższym zakresie:”
ewentualnie:
(i) doprecyzowanie zaleceń dotyczących cyberbezpieczeństwa, które będą miały być wdrażane;
(ii) wskazanie, które konkretnie zalecenia z zakresu cyberbezpieczeństwa (w tym z CSIRT) będą wdrażane;
(iii) potwierdzenie, że wszelkie zalecenia wynikające z wytycznych CSIRT będą przekazywane Wykonawcy wraz z harmonogramami wdrożenia oraz wskazaniem priorytetów;
(iv) potwierdzenie, że wszystkie dodatkowe wymagania sprzętowe lub licencyjne wynikające z zaleceń CSIRT będą realizowane w ramach odrębnych ustaleń, jeśli nie zostały przewidziane w pierwotnym zakresie umowy;
g) zmiana pkt 21 ust. 1 lit. g bieżącą aktualizację oprogramowania urządzeń w ten sposób, że otrzymałby brzmienie:
„bieżącą aktualizację oprogramowania urządzeń do zalecanych przez producenta
i wykonawce wersji oprogramowania”
” Wykonawca zobowiązuje się do bieżącej aktualizacji oprogramowania urządzeń UTM do wersji zalecanych przez producenta oraz Wykonawcę przy założeniu, że”
(i) Wykonawca będzie miał odpowiednią procedurę i zasoby, aby zapewnić realizację aktualizacji bez narażania bezpieczeństwa innych urządzeń i systemów Zamawiającego;
(ii) potwierdzeniu która ze stron ustali harmonogram aktualizacji oprogramowania
h) zmiana pkt 21 ust. 1 lit. h (bieżące dokonywanie na wniosek Zamawiającego zleconych zmian konfiguracji, np. w celu zmian w organizacji sieci, zmian adresacji, konfiguracji VPN itd.) w ten sposób, że otrzymałby brzmienie:
„bieżące dokonywanie na wniosek Zamawiającego okresowych weryfikacji konfiguracji i reguł w ilości nie więcej niz 5 osobodni w każdym miesiącu (z tym, że niewykorzystane osobodni nie przechodzą na koljne miesiące) w okresie obowiązywania umowy”
ewentualnie:
doprecyzowanie, jak często będą wymagane zmiany konfiguracji (np. zmiany w adresacji sieci, konfiguracji VPN, itp.) i w jakiej ilości roboczogodzin będą one realizowane przez Wykonawcę;
2) zmiana pkt 21 ust. 2 (w zakresie działań utrzymaniowych, które mają być wykonywane
w trybie 24/7/365, przy założeniu czasu reakcji nie dłuższego niż 1 godzina i niezwłocznej realizacji działań); w ten sposób, że otrzymałby brzmienie:
„Działania utrzymaniowe będą wykonywane w trybie 24/7/365, przy czym czas reakcji na zgłoszone incydenty nie będzie dłuższy niż 1 godzina, a rozpoczęcie działań naprawczych nastąpi niezwłocznie po przyjęciu zgłoszenia. Strony doprecyzują szacunkową liczbę zgłoszeń (zleceń) utrzymaniowych, które mogą wystąpić w skali miesiąca lub kontraktu.”
ewentualnie:
wskazanie szacunkowej liczby zleceń, które mogą wystąpić w skali miesiąca/kontraktu;
3) zmiana pkt 21 ust. 3 (w zakresie raportowanie incydentów, które będzie dokonywane
w terminach i zakresie określonych przepisami obowiązującymi w okresie trwania incydentów) w ten sposób, że otrzymałby brzmienie:
„Raportowanie incydentów będzie dokonywane w terminach i zakresie określonymi przepisami obowiązującymi w okresie trwania incydentów. Zamawiający doprecyzuje: (i) jakie rodzaje incydentów mają być raportowane, (ii) jaki dokładnie zakres informacji musi zawierać raport (w tym dane z urządzeń UTM w PS), (iii) jakie są konkretne terminy raportowania zgodnie z obowiązującymi przepisami.”
ewentualnie:
doprecyzowanie jakiego rodzaju incydenty Zamawiający ma na myśli, jaki zakres raportowania jest wymagany oraz jakie są konkretne terminy raportowania zgodnie
z obowiązującymi przepisami;
4) zmiana pkt 21 ust. 4 w zakresie zleconych zmian konfiguracji, które mają być wykonywane w terminie do 3 dni roboczych w ten sposób, że otrzymałby brzmienie:
„Zlecone zmiany konfiguracji urządzeń UTM będą wykonywane w terminie do 3 dni roboczych”. Pod warunkiem, że zostanie:
(i)wskazane jaką liczbę zleceń zmiany konfiguracji Zamawiający przewiduje w ciągu miesiąca;
(ii) doprecyzowane, czy Zamawiający przewiduje wykorzystanie równoległych systemów, które umożliwiłyby prawidłową klasyfikację, separację i analizę incydentów przez dedykowanego inżyniera.
Przystąpienie do postępowania odwoławczego po stronie Odwołującego zgłosił wykonawca T-Mobile Polska S.A. z siedzibą w Warszawie.
W dniu 24 lutego 2025 r. Zamawiający złożył oświadczenie, że w całości uznaje zarzuty odwołania.
Wobec powyższych ustaleń, Krajowa Izba Odwoławcza stwierdziła, że zachodzą przesłanki do wydania postanowienia o umorzeniu postępowania odwoławczego na podstawie art. 522 ust. 1 ustawy Pzp.
O kosztach postępowania odwoławczego Izba orzekła na podstawie art. 557 i 575 ustawy Pzp w zw. z § 9 ust. 1 pkt 2 lit. a) rozporządzenia Prezesa Rady Ministrów w sprawie szczegółowych rodzajów kosztów postępowania odwoławczego, ich rozliczania oraz wysokości i sposobu pobierania wpisu od odwołania z dnia 30 grudnia 2020 r.
(Dz. U. z 2020 r. poz. 2437), nakazując dokonanie na rzecz Odwołującego zwrotu
z rachunku Urzędu Zamówień Publicznych kwoty uiszczonej tytułem wpisu.
Przewodniczący :………………………………
………………………………
………………………………