Wyrok KIO 2475/23 z 11 września 2023

1. W dniu 10 sierpnia 2023 r. Zamawiający poinformował uczestników postępowania o wyborze jako najkorzystniejszej oferty Wykonawcy – Innergo Systems Sp. z o.o. W ocenie Odwołującego treść wybranej oferty jest niezgodna z warunkami zamówienia, stosownie do poniższego uzasadnienia.
2. ZARZUTY DOTYCZĄCE ZAOFEROWANEGO PRZEŁĄCZNIKA DOSTĘPOWEGO ZEWNĘTRZNEGO.

3 . W pkt 1.1.załącznika nr 1 do OPZ (III Tomu OPZ) – Specyfikacja techniczna Urządzeń (strona 1),Zamawiający wymagał:

1. Funkcjonalność prywatnego VLAN-u 6 . Wymagania szczegołowe dla urządzeń typu przełącznik zewnętrzny sprecyzowane zostały w pkt 1.1.6 przedmiotowego załącznika (strony 8 – 10), gdzie w pkt 5 tych wymagań lit. h) (strona 9 Załącznika nr 1 do OPZ) znalazło się następujące wymaganie (oznaczone czerwoną czcionką):
2. Zgodnie z treścią złożonego przez wykonawcę Innergo Systems Sp. z o.o. Formularza „Formularz_Zestawienie_Glownych_Elementow_Systemu_WiFi_04-04-2023_09.06.06”, stanowiącego załącznik do formularza ofertowego, wynika, że wskazany wykonawca zaoferował w swojej ofercie jako przełącznik zewnętrzny urządzenie Aruba 4100i, ktore to urządzenie występuje w poz. 3 we wszystkich Oddziałach Celnych objętych przedmiotem zamówienia (oznaczone czerwoną czcionką w przykładowym Oddziale Celnym w Korczowej):
3. Tym samym urządzenie Aruba 4100i jako przełącznik zewnętrzny winno – na dzień złożenia oferty - spełniać wszystkie wymagania wskazane w pkt 1.1.6 Załącznika nr 1 do OPZ, w tym opisany w nb. 7 niniejszego odwołania wymog pkt 5 lit h), a więc „funkcjonalność prywatnego VLAN-u, czyli możliwość blokowania ruchu pomiędzy portami w obrębie jednego VLANu (tzw. porty izolowane) z pozostawieniem możliwości komunikacji z portem nadrzędnym.”
4. Biorąc pod uwagę treść oficjalnej dokumentacji producenta do urządzeń Aruba 4100i, 6000, 6100 i 6200, aktualnej na dzień składania ofert, tj.

4 kwietnia 2023 r., dostępnej pod adresem internetowym hpps://www.arubanetworks.com/techdocs/AOS CX/10.11/HTML/l2_bridging_4100i-6000-61006200/Content/Chp_PVLAN/PVLAN.htm, wymagana przez Zamawiającego funkcjonalność prywatnego VLAN-u (ang.

PrivateVLAN) realizowana jest jedynie przez urządzenie serii Aruba 6200, a nie Aruba 4100i:

1. Dowód: dokumentacja producenta do urządzeń Aruba 4100i, 6000, 6100 i 6200 (wer. ang.), dostępna pod adresem internetowym wskazanym w nb. 11 Załącznik nr 5
2. tłumaczenie na język polski dokumentacji producenta do urządzeń Aruba 4100i, 6000, 6100 i 6200, dostępna pod adresem internetowym wskazanym w nb. 11 Załącznik nr 5 1 6 . Zgodnie ze specyfikacją techniczną dla urządzenia Aruba 4100i dostępną na stronie producenta hpps://www.arubanetworks.com/assets/ds/DS_4100iSwitchSeries.pdf urządzenie to nie posiada wsparcia dla funkcjonalności prywatnego VLAN-u. Brak jest bowiem w specyfikacji technicznej informacji, by urządzenie Aruba 4100i obsługiwało funkcjonalność prywatnego VLAN-u. Podobna sytuacja zachodzi w odniesieniu do urządzenia Aruba 6100, które również nie wspiera funkcji prywatnego VLAN-u i w odniesieniu do którego również brak jest stosowych informacji w specyfikacji technicznej tego modelu przełącznika: hpps://www.arubanetworks.com/assets/ds/DS_6100Series.pdf
3. Jeżeli funkcjonalność prywatnego VLAN-u jest obsługiwana przez dany przełącznik, producent zaznacza ten fakt w specyfikacjach technicznych danego modelu serii przełączników, poprzez przykładową adnotację: “Private VLAN (PVLAN) provides traffic isolaIon between users on the sameVLAN; typically a switch port can only communicate with other ports in the same community and/or an uplink port, regardless of VLAN ID or desInaIon MAC address. This extends network security by restricIng peer-peer communicaIon to prevent variety of malicious aRacks.” (tłumaczenie: „Prywatna sieć VLAN (PVLAN) zapewnia izolację ruchu między użytkownikami w tej samej sieci VLAN;zwykle port przełącznika może komunikować się tylko z innymi portami w tej samej społeczności i/lub portem uplink, niezależnie od identyfikatora sieci VLAN lub docelowego adresu MAC. Rozszerza to bezpieczeństwo sieci, ograniczając komunikację typu peer-to-peer, aby zapobiec rożnym złośliwym atakom”, tak jak to ma miejsce w przypadku innych przełączników, nieoferowanych Innergo Systems Sp. z o.o. w charakterze przełącznika dostępowego zewnętrznego, jak np. model Aruba 6200 czy 6300, ktore wspierają funkcjonalność prywatnego VLAN-u: hpps://www.arubanetworks.com/assets/ds/DS_6200Series.pdf – strona 8 hpps://www.arubanetworks.com/assets/ds/DS_6300Series.pdf – strona 9
4. Dowód: specyfikacja techniczna dla urządzenia Aruba 4100i (wer. ang.), dostępna na stronie producenta pod adresem internetowym wskazanym w nb. 16 Załącznik nr 6
5. tłumaczenie specyfikacji technicznej dla urządzenia Aruba 4100i (wer. pol.) Załącznik nr 6
6. specyfikacja techniczna dla urządzenia Aruba 6100 (wer. ang.), dostępna na stronie producenta pod adresem internetowym wskazanym w nb. 16 Załącznik nr 7
7. tłumaczenie specyfikacji technicznej dla urządzenia Aruba 6100 (wer. pol.) Załącznik nr 7
8. specyfikacja techniczna dla urządzenia Aruba 6200 (wer. ang.), dostępna na stronie producenta pod adresem internetowym wskazanym w nb. 17 Załącznik nr 8
9. tłumaczenie specyfikacji technicznej dla urządzenia Aruba 6200 (wer. pol.) Załącznik nr 8
10. specyfikacja techniczna dla urządzenia Aruba 6300 (wer. ang.), dostępna na stronie producenta pod adresem internetowym wskazanym w nb. 17 Załącznik nr 9
11. tłumaczenie specyfikacji technicznej dla urządzenia Aruba 6300 (wer. pol.) Załącznik nr 9
12. Powyżej wskazana dokumentacja wskazuje na stan istniejący na dzień składania ofert, potwierdzając, że zaoferowane urządzenie (przełącznik Aruba 4100i) nie spełniało wymagań OPZ. Odwołujący jest świadomy, że Zamawiający (lub firma

Innergo Systems Sp. z o.o.) będzie wskazywać, że aktualnie urządzenie to posiada funkcjonalność prywatnego VLAN-u.

Jednak funkcjonalność ta dodana została wraz z wersją oprogramowania 10.12.0006, ktora została wydana dopiero w dniu 31 maja 2023 r. (a zatem już po złożeniu ofert w niniejszym postępowaniu).

1. Odwołujący wskazuje na porównanie funkcjonalności z wykorzystaniem narzędzia producenta (znajdującego się na stronie hRps://feature-navigator.arubanetworks.com/). Dokonane porównanie pomiędzy kolejnymi, bezpośrednio po sobie występującymi wersjami – tj. wersją 10.11.1010 (wydaną w dniu 28 marca 2023 r.) a wersją 10.12.0006 (wydaną w dniu 31 maja 2023 r.) jednoznacznie wskazuje, że urządzenie - przełącznik Aruba 4100i pracując pod kontrolą oprogramowania 10.11.1010 nie posiadało funkcjonalności prywatnego VLAN-u (znak „X” w tabeli przy pozycji „Private VLAN i podpozycjach związanych z Private VLAN”) a funkcjonalność ta została dodana w oprogramowaniu w wersji 10.12.0006 (znak "√" w tabeli przy pozycji „Private VLAN i podpozycjach związanych z Private VLAN”).
2. Dowód: Porównanie funkcjonalności oprogramowania w wersji 10.11.1010 z wersją 10.12.0006 (wer. ang) Załącznik nr 10
3. Tłumaczenie porównania funkcjonalności oprogramowania w wersji 10.11.1010 z wersją 10.12.0006 Załącznik nr 10
4. Rownież sama dokumentacja wersji oprogramowania 10.12.0006 („AOS-CX 10.12.0006 Release Notes 4100i Switch Series”) potwierdza następujące okoliczności:
5. - oprogramowanie to zostało wydane w dniu 31 maja 2023 r.:
6. - w sekcji „Enhancements for 4100i Switches in AOS-CX 10.12.0006” (tłumaczenie: “Udoskonalenia przełączników 4100i w AOS-CX 10.12.0006”) znalazł się zapis:
7. Dokumentacja oprogramowania we wcześniejszej (bezpośrednio poprzedniej) wersji 10.11.1010, potwierdza, że wydana została ona w dniu 28 marca 2023 r. (a zatem była to wersja oprogramowania aktualna na dzień składania oferty).
8. Dowód: Dokument „AOS-CX 10.12.0006 Release Notes 4100i Switch Series” (wer. ang) Załącznik nr 11
9. Tłumaczenie dokumentu „AOS-CX 10.12.0006 Release Notes 4100i Switch Series” (wer. pol) Załącznik nr 11
10. Dokument „AOS-CX 10.11.1010 Release Notes 4100i Switch Series” (wer. ang) Załącznik nr 12
11. Tłumaczenie dokumentu „ AOS-CX 10.11.1010 Release Notes 4100i Switch Series” (wer. pol) Załącznik nr 12
12. Powyższe okoliczności potwierdzają, że firma Innergo Systems Sp. z o.o. złożyła ofertę wskazując urządzenie, które nie spełniało wymagań Zamawiającego, co winno prowadzić do jej odrzucenia zgodnie z art. 226 ust. 1 pkt 5 pzp.

Okoliczności tej nie może zmienić fakt, że zaoferowane urządzenie „nabyło” wymaganą funkcjonalność w toku postępowania przetargowego. Dopuszczenie do sytuacji, w której Wykonawca składa ofertę, która nie spełnia wymagań Zamawiającego, a następnie poprzez szczęśliwy dla niego zbieg okoliczności oferta staje się spełniającą wymagania już po terminie składania ofert i ich otwarciu byłaby naruszeniem zasady równego traktowania Wykonawców, zawartej w art.

16 pzp. Inni, racjonalnie działający Wykonawcy nie mieli podstaw do wskazania w ofercie urządzenia – przełącznika Aruba 4000i (jako niespełniającego wymagań OPZ), co prowadzi do zaburzenia zasad uczciwej konkurencji oraz równego traktowania wykonawców. Nie może zostać uznana za uczciwą konkurencja, w której dochodzi do zmiany parametrów zaoferowanego urządzenia po terminie składania ofert i dzięki tej zmianie oferta, która na dzień jej złożenia winna zostać odrzucona staje się ofertą najkorzystniejszą.

4 3 . Odwołujący wskazuje na brzmienie art. 107 pzp, stanowiącego, że „Jeżeli zamawiający żąda złożenia przedmiotowych środków dowodowych, wykonawca składa je wraz z ofertą”, co oznacza, że weryfikacja poprawności merytorycznej złożonej oferty oraz potwierdzeniu oferowanych właściwości przedmiotu zamówienia winna odbywać się na moment złożenia oferty.

1. Powyższe stanowisko potwierdza wyrok Krajowej Izby Odwoławczej z 8 marca 2023 r., sygn. akt KIO 482/23: I„ o ile ustawodawca dopuścił możliwość uzupełnienia takich przedmiotowych środków dowodowych, to uzupełnione dokumenty muszą potwierdzać stan na moment złożenia oferty. Przyjęcie odmiennej interpretacji, jak chciałaby Zamawiający i Przystępujący w analizowanym stanie faktycznym, stałoby w oczywistej sprzeczności z art. 16 ustawy Pzp i wynikającej z niej zasady równego traktowania wykonawców. Dopuszczenie, że wykonawca biorący udział w postępowaniu o udzielenie zamówienia publicznego oferują produkt, którego parametrów nie może potwierdzić na moment złożenia oferty z uwagi na brak stosownej certyfikacji, natomiast może brak taki usunąć przez swego rodzaju „konwalidację” na podstawie art. 107 ust.

2 ustawy Pzp i uzyskanie wymaganych dokumentów po terminie składania ofert byłoby naruszeniem zasady równego traktowania wykonawców. Izba podkreśla, że każdy z wykonawców jest zobowiązany złożyć ofertę zgodną z postanowieniami SWZ oraz potwierdzić zgodność oferowanych produktów w sposób wymagany przez zamawiającego na moment złożenia oferty. (…)”

1. Analogiczna sytuacja występuje w zakresie podmiotowych środków dowodowych – nie budzi bowiem wątpliwości, że „postawione przez zamawiającego warunki udziału w postępowaniu wykonawcy obowiązani są spełniać przez cały czas trwania postępowania, już od wyznaczonego przez zamawiającego dnia składania ofert.” (tak m.in. wyrok Krajowej Izby Odwoławczej z dnia 11 stycznia 2022 r. KIO 3753/21), analogicznie: „Postawione przez zamawiającego warunki udziału w postępowaniu wykonawca ma spełniać przez cały czas trwania postępowania, tj. od wyznaczonego dnia składania ofert.” (Wyrok Krajowej Izby Odwoławczej z dnia 23 lutego 2023 r. KIO 314/23), także: „Warunki udziału w postępowaniu muszą być spełnione na dzień złożenia oferty, a stan ich spełnienia musi trwać przez całe postępowanie.” (Wyrok Krajowej Izby Odwoławczej z dnia 23 maja 2022 r. KIO 1200/22).
2. Sytuacja w niniejszym postępowaniu wykazuje analogię do stanu faktycznego będącego podstawą rozstrzygnięcia we wskazanym wyżej wyroku z dnia 23 maja 2022 r. KIO 1200/22, gdzie Wykonawca na dzień złożenia oferty nie spełniał warunku udziału w postępowaniu (w zakresie ochrony ubezpieczeniowej w zakresie prowadzonej działalności związanej z przedmiotem zamówienia na wymaganą przez zamawiającego sumę gwarancyjną), a do spełnienia tego warunku doszło już po otwarciu ofert, w toku ich badania i oceny. Jak stwierdzono w uzasadnieniu „Z powyższego wynika zatem, iż Przystępujący był ubezpieczony od odpowiedzialności cywilnej w zakresie prowadzonej działalności związanej z przedmiotem zamówienia na wymaganą w SW Z sumę gwarancyjną dopiero w dniu 8 kwietnia 2022 r., tj. 1,5 miesiąca po upływie terminu składania ofert (22 lutego 2022 r.). Jednocześnie zauważyć należy, iż wykonawca ALKOM wraz z ofertą złożył oświadczenie JEDZ stanowiące dowód potwierdzający brak podstaw wykluczenia i spełnianie warunków udziału w postępowaniu na dzień składania ofert”.
3. W niniejszym postępowaniu dochodzi do analogicznej sytuacji, gdyż zawarty w ofercie produkt (przełącznik Aruba 4100i) zaczął spełniać wymagania przetargowe dopiero 31 maja 2023 r., a zatem dopiero po 8 tygodniach od daty składania ofert. Trudno zatem byłoby uzasadnić sytuację, w której zamówienia nie może uzyskać Wykonawca, co do którego w toku postępowania zmieniły się okoliczności podmiotowe, zaś może uzyskać Wykonawca, co do oferty którego w toku postępowania zmieniły się okoliczności przedmiotowe.
4. Sytuacja powyższa wskazuje również, że gdyby Zamawiający dokonał oceny ofert przed dniem 31 maja 2023 r. to bez żadnych wątpliwości byłby zobowiązany do odrzucenia oferty jako niezgodnej z warunkami zamówienia. Tym samym dochodzi do zaburzenia zasady uczciwej konkurencji i równego traktowania Wykonawców – gdyż przyjęcie, że Zamawiający nie naruszył wskazanych przez Odwołującego przepisów prowadziłoby do wniosku, że możliwą jest sytuacja, w której wynik postępowania zmienia się w zależności od momentu dokonania wyboru oferty najkorzystniejszej.
5. Inną możliwością jest przyjęcie, że wykonawca Innergo Systems Sp. z o.o. dysponował nieznaną innym wykonawcom wiedzą co do tego, że w wyniku przyszłych działań producenta przełącznik Aruba 4100i uzyska wymaganą przez

zamawiającego funkcjonalność i dzięki tej wiedzy zdecydował się go zaoferować, co pozwoliło mu uzyskać przewagę konkurencyjną. Jeśli faktycznie doszło do takiej sytuacji, to (abstrahując od wskazanej powyżej okoliczności niespełniania wymagań zamówienia na dzień złożenia oferty) również jest to nie do pogodzenia z zasadami uczciwej konkurencji.

Zgodnie z powszechnie dostępnymi informacjami pochodzącymi od producenta, na dzień składania ofert przełącznik Aruba 4100i nie spełniał wymagań zamówienia w postępowaniu i jego zaoferowanie prowadziło do złożenia oferty niezgodnej z warunkami zamówienia, a tym samym podlegającej odrzuceniu.

1. Funkcjonalność zdalnego port mirroring – RSPAN 5 1 . Wymagania szczegółowe dla urządzeń typu przełącznik zewnętrzny sprecyzowane zostały w pkt 1.1.6 przedmiotowego załącznika (strony 8 – 10), gdzie w pkt 7 tych wymagań lit. d) (strona 9 Załącznika nr 1 do OPZ) znalazło się następujące wymaganie (oznaczone czerwoną czcionką):
2. W ramach opisanego wyżej wymagania, Zamawiający oczekuje funkcjonalności przesyłania ruchu przez dedykowany VLAN w warstwie drugiej do innego urządzenia [z wymagania Zamawiającego – „(...) i przesyłaniu ich do zdalnego urządzenia monitorującego, przez dedykowaną sieć VLAN (zdalny port mirroring – RSPAN lub rownoważny)”]. Natomiast zgodnie z dokumentacją producenta urządzenie Aruba 4100i wspiera mechanizm określany przez Arubę jako port-mirroring (inaczej SPAN lub Local SPAN) i jest to replikowanie ruchu z jednego interfejsu na inny interfejs w ramach tego samego przełącznika, a nie do zdalnego urządzenia . Rożnice między wymaganiem Zamawiającego a funkcjonalnością oferowaną przez urządzenie Aruba 4100i prezentuje poniższe zestawienie:
3. Oferowane rozwiązanie Wymagania Zamawiającego
4. Local SPAN (w urządzeniu Aruba 4100i: Mirroring albo Port Mirroring) RSPAN
5. obserwacja ruchu na określonym porcie przełącznika polegającą na replikowaniu ruchu z jednego portu przełącznika na inny port w ramach tego samego przełącznika zdalna obserwacja ruchu na określonym porcie przełącznika, polegającą na kopiowaniu ruchu z jednego portu przełącznika i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (sieć w warstwie drugiej modelu ISO/OSI, ruch może przechodzić przez wiele przełączników, które przekazują sobie ten VLAN)
6. Fakt braku funkcjonalności RSPAN i oferowanie w urządzeniu Aruba 4100i funkcjonalności Port Mirroring potwierdzają zapisy Monitoring Guide producenta urządzenia (rozdział Mirroring, strona 39), dostępny na stronie hpps://www.arubanetworks.com/techdocs/AOSCX/ 10.11/PDF/monitoring_4100i-6000-6100.pdf zawierające stwierdzenie:

„The traffic replicated using mirroring can be sent to a separate interface on the same switch as the traffic source for analysis or inspecIon.” (tłumaczenie: „Ruch zreplikowany przy użyciu kopii lustrzanej może zostać wysłany do oddzielnego interfejsu na tym samym przełączniku, co źrodło ruchu w celu analizy lub inspekcji.”

1. Brak funkcji RSPAN i posiadanie niespełniającej wymagań Zamawiającego funkcjonalności Port Mirroring potwierdza rownież dostępne na stronie internetowej producenta urządzeń Aruba (hpps://feature-navigator.arubanetworks.com/) narzędzie feature-navigator służące do sprawdzania, jakie funkcjonalności są wspierane przez poszczegolne urządzenia. Wyświetlając funkcjonalności dla urządzenia Aruba 4100i na liście dostępnych i obsługiwanych przez to urządzenie funkcjonalności (w sekcji Feature -> Port), brak jest funkcjonalności RSPAN, dostępna jest natomiast funkcjonalność SPAN i Port Mirroring:
2. Dowód:

Monitoring Guide dla urządzeń 4100i, 6000, 6100 (wer. ang), dostępna na stronie producenta pod adresem internetowym wskazanym w nb.57 Załącznik nr 13

1. Tłumaczenie Monitoring Guide dla urządzeń 4100i, 6000, 6100 (wer. pol) Załącznik nr 13
2. Efekt zastosowanie narzędzia feature-navigator dla urządzenia Aruba 4100i, dostępnego na stronie producenta pod adresem internetowym wskazanym w nb.58. (wer. ang) Załącznik nr 14
3. Tłumaczenie efektu zastosowanie narzędzia feature-navigator dla urządzenia Aruba 4100i Załącznik nr 14
4. Powyższe potwierdza, że także w tym zakresie zaoferowane urządzenie Aruba 4100i jest niezgodne z warunkami zamówienia, co winno skutkować odrzuceniem oferty.
5. ZARZUTY DOTYCZĄCE ZAOFEROWANEGO PRZEŁĄCZNIKA DOSTĘPOWEGO WEWNĘTRZNEGO.
6. W pkt 1.1.załącznika nr 1 do OPZ (III Tomu OPZ) – Specyfikacja techniczna Urządzeń (strona 1), Zamawiający wymagał:
7. Funkcjonalność zdalnego port mirroring– RSPAN 6 9 . Wymagania szczegółowe dla urządzeń typu przełącznik wewnętrzny sprecyzowane zostały w pkt 1.1.5 przedmiotowego załącznika (strony 6 – 8), gdzie w pkt 7 tych wymagań lit. d) (strona 7 Załącznika nr 1 do OPZ) znalazło się następujące wymaganie (oznaczone czerwoną czcionką):

7 1 . Zgodnie z treścią złożonego przez wykonawcę Innergo Systems Sp. z o.o. Formularza „Formularz_Zestawienie_Glownych_Elementow_Systemu_WiFi_04-04-2023_09.06.06”, stanowiącego załącznik do formularza ofertowego, wynika, że wskazany wykonawca zaoferował w swojej ofercie jako przełącznik wewnętrzny urządzenie Aruba 6300M, ktore to urządzenie występuje w poz. 3 w zestawieniu głównych elementów CSZ w Centrum Informatyki Resortu Finansów w Radomiu objętych przedmiotem zamówienia (oznaczone czerwoną czcionką):

1. W ramach opisanego wyżej wymagania, Zamawiający oczekuje funkcjonalności przesyłania ruchu przez dedykowany VLANw warstwie drugiej do innego urządzenia [z wymagania Zamawiającego – „przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, przez dedykowaną sieć VLAN (zdalny port mirroring – RSPAN lub równoważny)”].

Natomiast zgodnie z dokumentacją producenta urządzenie Aruba 6300M wspiera analogicznie jak urządzenie Aruba 4100i mechanizm określany przez Arubę jako port-mirroring (inaczej SPAN lub Local SPAN) i jest to replikowanie ruchu z jednego interfejsu na inny interfejs w ramach tego samego przełącznika, a nie do zdalnego urządzenia moitorującego, a ponadto wspiera mechanizm określany przez Arubę jako Remote mirroring endpoint, czyli mechanizm, w którym ruch kopiowany do zdalnego odbiorcy przesyłany jest przez dedykowany tunel L3 i w związku wymaga, aby odbiorca tego ruchu

(urządzenie, do którego ruch jest kierowany) miał możliwość skonfigurowania tego tunelu. Jest to inny mechanizm niż mechanizm przesyłania ruchu poprzez dedykowaną sieć VLAN jakim jest RSPAN, gdyż w przypadku mechanizmu RSPAN po stornie urządzenia odbierającego żadna dodatkowa konfiguracja tunelu nie jest wymagana. Różnice między wymaganiem Zamawiającego a funkcjonalnością oferowaną przez urządzenie Aruba 63100M prezentuje poniższe zestawienie:

1. Oferowane rozwiązanie Wymagania Zamawiającego
2. Local SPAN (w urządzeniu Aruba 6300M: Mirroring albo Port Mirroring) ERSPAN (w urządzeniu Aruba 6300M:

ERSPAN albo remote mirroring endpoint) RSPAN

1. obserwacja ruchu na określonym porcie przełącznika polegającą na replikowaniu ruchu z jednego portu przełącznika na inny port w ramach tego samego przełącznika zdalna obserwacja ruchu na określonym porcie przełącznika, polegającą na kopiowaniu ruchu z jednego portu przełącznika i przesyłaniu ich do zdalnego urządzenia monitorującego poprzez przez dedykowany tunel warstwy trzeciej modelu ISO/OSI (nie dedykowana sieć VLAN, która pracuje w warstwie drugiej modelu ISO/OSI) zdalna obserwacja ruchu na określonym porcie przełącznika, polegającą na kopiowaniu ruchu z jednego portu przełącznika i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (sieć w warstwie drugiej modelu ISO/OSI, ruch może przechodzić przez wiele przełączników, które przekazują sobie ten VLAN)
2. Fakt braku funkcjonalności RSPAN i oferowanie w urządzeniu Aruba 6300M funkcjonalności Port Mirroring potwierdzają zapisy Monitoring Guide producenta urządzenia (rozdział Mirroring, strona 72), dostępny na stronie hpps://www.arubanetworks.com/techdocs/AOSCX/ 10.11/PDF/monitoring_6300-6400.pdf zawierające stwierdzenie: „The traffic replicated using mirroring can be sent to a separate interface on the same switch as the traffic source for analysis or inspec{on. Such a collec{on of interfaces and se|ngs is called a mirror session.” (tłumaczenie: „Ruch zreplikowany przy użyciu kopii lustrzanej może zostać wysłany do oddzielnego interfejsu na tym samym przełączniku, co źrodło ruchu w celu analizy lub inspekcji. Taki zbior interfejsow i ustawień nazywany jest sesją lustrzaną.”
3. Natomiast fakt braku funkcjonalności RSPAN i oferowanie w urządzeniu Aruba 6300M funkcjonalności Remote mirroring endpoint potwierdzają zapisy wyżej wskazanego MonitoringGuide producenta urządzenia (rozdział Mirroring, strona 80), zawierające stwierdzenie:
4. Brak funkcji RSPAN i posiadanie niespełniającej wymagań Zamawiającego funkcjonalności Port Mirroring oraz Remote mirroring endpoint potwierdza również dostępne na stronie internetowej producenta urządzeń Aruba (hpps://featurenavigator.arubanetworks.com/) narzędzie featurenavigator służące do sprawdzania, jakie funkcjonalności są wspierane przez poszczególne urządzenia. Wyświetlając funkcjonalności dla urządzenia Aruba 4100i oraz Aruba 6300M na liście dostępnych i obsługiwanych przez te urządzenia funkcjonalności (w sekcji Feature -> Port), brak jest funkcjonalności RSPAN, dostępna jest natomiast funkcjonalność Port Mirroring i Remote mirroring endpoint (nieobsługiwana przez urządzenie Aruba 4100i):
5. Dowód: Monitoring Guide dla urządzeń 6300, 6400 (wer. ang), dostępna na stronie producenta pod adresem internetowym wskazanym w nb.77 Załącznik nr 15
6. Tłumaczenie Monitoring Guide dla urządzeń 6300, 6400 (wer. pol) Załącznik nr 15
7. Efekt zastosowanie narzędzia feature-navigator dla urządzenia Aruba 4100i oraz 6300M, dostępnego na stronie producenta pod adresem internetowym wskazanym w nb.81. (wer. ang) Załącznik nr 16
8. Tłumaczenie efektu zastosowanie narzędzia feature-navigator dla urządzenia Aruba 4100i oraz 6300M Załącznik nr 16
9. Zatem – jak widać z wykazanych powyżej okoliczności faktycznych – zaoferowane przez Innergo Systems Sp. z o.o. urządzenia są niezgodne z warunkami zamówienia.
10. Pismem z dnia 5 czerwca 2023 r. Odwołujący zwrócił Zamawiającemu uwagę m.in. na nieprawidłowości w ofercie Innergo Systems Sp. z o.o. objęte niniejszym odwołaniem. W reakcji na przedmiotowe pismo Zamawiający w dniu 16 czerwca 2023 r. wystosował do firmy Hewlep Packard Enterprise Polska sp. z o.o. pytania obejmujące następujące zagadnienia:
11. Czy Oprogramowanie Aruba ClearPass zapewnia funkcjonalność analizy stanu stacji końcowych w aspekcie podłączających się do sieci (posture), profilowania urządzeń oraz monitoringu behawioralnego. Jeśli ww. funkcjonalność aktywowana jest konkretną licencją lub dodatkiem programowym, prosimy o informacje o nazwie produktowej takiego elementu.
12. Czy przełącznik Aruba 4100i oraz przełącznik Aruba 6300M umożliwiają zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (zdalny port mirroring – RSPAN lub równoważny).
13. W odpowiedzi na powyższe zapytanie, Zamawiający otrzymał odpowiedź pismem z dnia 21 czerwca 2023 r., w którym stwierdzono, że:
14. Oprogramowanie Aruba ClearPass zapewnia funkcjonalność analizy stanu stacji końcowych w aspekcie podłączających się do sieci, profilowania urządzeń za pomocą licencji Aruba ClearPass Access, Aruba ClearPass OnGuard. Analiza behawioralna w ramach rozwiązania Aruba ClearPass jest realizowana za pomocą Aruba ClearPass Device Insight.
15. Rozwiązanie oparte o przełączniki Aruba 4100i oraz Aruba 6300M umożliwia realizację funkcjonalności pozwalającej na zdalną obserwację ruchu z określonego portu, polegającą na kopiowaniu pojawiających się na nim ramek i ich odbieraniu na zdalnym urządzeniu monitorującym.
16. Dowód: Pismo Odwołującego z dnia 5 czerwca 2023 r. Załącznik nr 17
17. Zapytanie Zamawiającego z dnia 16 czerwca 2023 r. Załącznik nr 18
18. Odpowiedź z dnia 21 czerwca 2023 r. Załącznik nr 19
19. Analiza pytania i udzielonej odpowiedzi wskazuje, że zarzuty zawarte w odwołaniu oraz w piśmie Odwołującego z dnia 05 czerwca 2023 r. pozostają aktualne, co pokazuje zestawienie pytań i odpowiedzi (istotne kwestie zaznaczono kolorami):
20. Pytanie Zamawiającego Odpowiedź 9 5 . Czy Oprogramowanie Aruba ClearPass zapewnia funkcjonalność analizy stanu stacji końcowych w aspekcie podłączających się do sieci (posture), profilowania urządzeń oraz monitoringu behawioralnego. Jeśli ww. funkcjonalność aktywowana jest konkretną licencją lub dodatkiem programowym, prosimy o informacje o nazwie produktowej takiego elementu. Oprogramowanie Aruba ClearPass zapewnia funkcjonalność analizy stanu stacji końcowych w aspekcie podłączających się do sieci, profilowania urządzeń za pomocą licencji Aruba ClearPass Access, Aruba ClearPass OnGuard. Analiza behawioralna w ramach rozwiązania Aruba ClearPass jest realizowana za pomocą Aruba ClearPass Device Insight.
21. Czy przełącznik Aruba 4100i oraz przełącznik Aruba 6300M umożliwiają zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć Rozwiązanie oparte o przełączniki Aruba 4100i oraz Aruba 6300M

umożliwia realizację funkcjonalności pozwalającej na zdalną obserwację ruchu z określonego portu, polegającą na kopiowaniu pojawiających się na VLAN (zdalny port mirroring – RSPAN lubrównoważny). nim ramek i ich odbieraniu na zdalnym urządzeniu monitorującym.

1. W odniesieniu do pytania pierwszego należy zauważyć, że Zamawiający zdał pytanie wyłącznie o funkcjonalności oprogramowania, a nie o funkcjonalność urządzenia Aruba 4100i. W istocie więc, to że oprogramowanie Aruba zapewnia określone możliwości nie oznacza to, że wymagane możliwości zapewnia oferowane urządzenie. Wystarczy bowiem, że w urządzeniu brak jest wymaganych funkcji technicznych.
2. Istotnym jest jednak, że zadane pytanie (i tym samym odpowiedź) dotyczą wyłącznie oprogramowania Aruba ClearPass, a nie zarzucanego przez Odwołującego braku funkcjonalności prywatnego VLAN-u. Pytanie (i odpowiedź) nie obejmują więc całego zarzutu stawianego oferowanemu urządzeniu Aruba 4100i.
3. W odniesieniu do pytania drugiego należy zwrócić uwagę na różnice między zapytaniem i odpowiedzi, oznaczone kolorem czerwonym. W pierwszej kolejności zwraca uwagę początek udzielonej odpowiedzi, w której autor odnosi się nie do możliwości przełączników, lecz rozwiązania opartego o przełączniki, które jest pojęciem zdecydowanie szerszym. Tymczasem wymagania wskazane w Odwołaniu (i piśmie Odwołującego z dnia 05 sierpnia 2023 r.) odnoszą się do przełączników, a nie do rozwiązania opartego o przełączniki.
4. Druga różnica polega na braku w odpowiedzi finalnej części zapytania Zamawiającego, tj. stwierdzenia, że przedmiotowa funkcjonalność jest realizowana „poprzez dedykowaną sieć VLAN (zdalny port mirroring – RSPAN lub równoważny).” Tymczasem brak realizacji wymaganych przez Zamawiającego funkcji właśnie poprzez dedykowaną sieć VLAN (zdalny port mirroring – RSPAN lub równoważny) stanowi istotę stawianych ofercie Innergo Systems Sp. z o.o. zarzutów.
5. Dodatkowo należy wskazać, że jakkolwiek literalnie odpowiedź udzielona została udzielona w imieniu Hawlett Packard Enterprise Polska sp. z o.o., to utor pisma w żaden sposob nie wykazał swojego umocowania do reprezentowania tej firmy. Uznać więc należy, że odpowiedź nie została udzielona w imieniu Hawlett Packard Enterprise Polska sp. z o.o.
6. ZARZUTY DOTYCZĄCE ZAOFEROWANEGO OPROGRAMOWANIA
7. Brak zaoferowania Aruba ClearPass Access, Aruba ClearPass OnGuard, Aruba ClearPass Device Insight
8. Mając na uwadze treść odpowiedzi na pierwsze pytanie Zamawiającego i wskazane w niej rodzaje oprogramowania (nb. 95), które w ocenie autora odpowiedzi są konieczne do realizowania funkcji oprogramowania Aruba ClearPass (Aruba ClearPass Access, Aruba ClearPass OnGuard, Aruba ClearPass Device Insight), należy zauważyć, że w złożonym przez wykonawcę Innergo Systems Sp. z o.o. Formularzu „Formularz_Zestawienie_Glownych_Elementow_Systemu_WiFi_0404- 2023_09.06.06”, stanowiącym załącznik do formularza ofertowego, brak jest informacji, by Innergo Systems Sp. z o.o. zaoferował którąkolwiek z wymienionych licencji, mimo że Zamawiający wymagał podania nazwy oprogramowania.

Jedynie w pkt I. ppkt 5 Formularza, zawierającego Zestawienie głównych elementów CSZ w Centrum Informatyki Resortu Finansów w Radomiu (oznaczane czcionką czerwoną) wykonawca wskazał ogólnie na grupę programów Aruba Clearpass, lecz bez konkretyzacji jakie oprogramowanie konkretnie oferuje:

1. Jeśli zatem przyznać rację autorowi odpowiedzi, że wykonawca winien zaoferować oprogramowania Aruba ClearPass Access, Aruba ClearPass OnGuard, Aruba ClearPass Device Insight, wykonawca nie wskazał w ofercie, że takie oprogramowanie oferuje, a zatem treść przedmiotowej oferty jest niezgodna z warunkami zamówienia. Zwrócić także należy uwagę, że w polu „Szacowana liczba licencji” wykonawca wskazał liczbę 2 – co uniemożliwia zaoferowanie wskazanych wyżej co najmniej 3 produktów.

Zamawiający w pisemnej odpowiedzi na odwołanie z dnia 4 września 2023 r. wnosił o oddalenie odwołania w całości.

Zamawiający wskazał, że:

Stan Faktyczny.

1. Zamawiający prowadzi postępowanie o udzielenie zamówienia w trybie przetargu nieograniczonego.

Przedmiotem zamówienia jest dostawa i wdrożenie Systemu Wi-Fi na przejściach granicznych wraz z Centralnym Systemem Zarządzania, (numer referencyjny postępowania: PN/71/22/GDYP).

W zakresie zamówienia podstawowego przedmiotem zamówienia jest wykonanie dostaw i usług na rzecz Zamawiającego w zakresie wdrożenia Systemu Wi-Fi na przejściach granicznych dla 24 lokalizacji wraz z Centralnym Systemem Zarządzania, spełniającego wymagania OPZ, stanowiącego TOM III SW Z. Celem zamówienia jest zbudowaniem

jednolitego Systemu. Mając na uwadze, że powstanie jednolity, spójny, homogeniczny system informatyczny ze strukturą hierarchiczną i możliwością zarządzania wszystkimi lokalizacjami (przejścia graniczne) z poziomu CIRF konieczne jest zapewnienie na każdym etapie spójności i jednolitości rozwiązań.

1. Postępowanie wszczęto w dniu 30.12.2022 r. poprzez przekazanie ogłoszenia o zamówieniu Urzędowi Publikacji Unii Europejskiej, które opublikowane zostało w Dz. Urz. UE: 2023/S 003006714 w dniu 04.01.2023 r.
2. Termin składania ofert upłynął w dniu 4.04.2023 r. Do upływu tego terminu wpłynęło 5 ofert.
3. W dniu 10.08.2023 r. Zamawiający opublikował oraz przesłał Wykonawcom informację o wyborze najkorzystniejszej oferty za którą została uznana oferty wykonawcy Innegro.
4. W dniu 21.08.2023 r. Odwołujący złożył odwołanie.

Uzasadnienie stanowiska Zamawiającego w zakresie zarzutu dot. przełącznika dostępowego zewnętrznego (funkcjonalność prywatny VLAN).

Zamawiający stoi na stanowisku, że zgłoszony zarzut dotyczący funkcjonalności w zakresie prywatnego VLAN jest chybiony, co oznacza, że podlega on oddaleniu.

Przystępując do jego omówienia, wyjaśnić należy, że pomiędzy Stronami nie ma sporu co do treści wymagania opisanego w Załączniku nr 1do OPZ w pkt 1.1.6 w ppkt 5 lit. h) (str. 9), dotyczącego urządzenia typu przełącznik zewnętrzny, jak również co do tego, że wykonawca Innegro zaoferował przełącznik zewnętrzny producenta Aruba Model 4100i.

Dowód: - treści wymagania opisanego w Załączniku nr 1 do OPZ w pkt 1.1.6 w ppkt 5 lit. h) (str. 9), dotycząca urządzenia typu przełącznik zewnętrzny, w dokumentacji Postępowania, - treści oferty wykonawcy Innergo zawarta w Formularzu „Zestawienie głównych elementów Systemu Wi-Fi” (Formularz 2.2.), w dokumentacji Postępowania.

Osią sporu w zakresie postawionego zarzutu jest to, czy zaoferowane urządzenie spełniało wymagania Zamawiającego opisane w Załączniku nr 1 do OPZ w pkt 1.1.6 w ppkt 5 lit. h) dotyczące prywatnego VLAN-u w chwili złożenia oferty przez Przystępującego, tj. w dniu 4.04.2023 r. (dzień, w którym upływał termin składania ofert).

Na gruncie niniejszego Postępowania, należy podkreślić, że nie budzi wątpliwości fakt, że oferowane przez wykonawców rozwiązania już w chwili złożenia oferty musiały spełniać wymagania Zamawiającego postawione w SW Z. Bezsporne jest także stwierdzenie, że nie można było uznać za spełniającą wymagania SW Z oferty, w ramach której Wykonawca zaoferował rozwiązanie, które dopiero na etapie oceny ofert lub po zawarciu umowy uzyskuje cechy lub funkcjonalności zgodne z wymaganiami Zamawiającego.

Nie budzi żadnych wątpliwości Zamawiającego, że zaoferowany przez wykonawcę Innegro przełącznik zewnętrzny producenta Aruba model 4100i już w chwili złożenia oferty, tj. w dniu 4.04.2023 r. spełniał wymagania Zamawiającego opisane w Załączniku nr 1 do OPZ w pkt 1.1.6 w ppkt 5 lit. h) w zakresie możliwość realizacji funkcjonalności prywatnego VLAN.Powyższą okoliczność Zamawiający ustalił na etapie oceny ofert na podstawie informacji zawartych na stronach internetowych producenta Aruba. Zamawiający zwraca uwagę, że kwestionowana przez Odwołującego funkcjonalność dostępna była już wersji oprogramowania 10.11, która została wydana (release day) w dniu 28.03.2023 r., a więc jeszcze przed złożeniem oferty przez Innergo i przed upływem terminu składania ofert.

Dowód: - AOS-CX 10.11.1010 Release Notes 4100i Switch Series, str. 5 W toku badania i oceny ofert Zamawiający ustalił, że informacja o obsłudze prywatnego VLAN (PVLAN) znajduje się w rozdziale „Security” (tłumaczenie: bezpieczeństwo) na stronie 6 specyfikacji przełącznika 4100i dostępnej pod adresem Tłumaczenie: Prywatna sieć VLAN (PVLAN) zapewnia izolację ruchu między użytkowników w tej samej sieci VLAN; zazwyczaj port przełącznika może tylko komunikować się tylko z innymi portami w tej samej społeczności i/lub portem uplink, niezależnie od VLAN ID lub docelowego adresu MAC. Rozszerza to bezpieczeństwo sieci poprzez ograniczenie komunikacji peer-peer, aby zapobiec różnorodnym złośliwym atakom.

Dowód: ARUBA CX 4100i SWITCH SERIES – data sheet, str. 6, dostępny pod adresem: https://www.arubanetworks.com/assets/ds/DS_4100iSwitchSeries.pdf Powyższe ustalenie dotyczące wersji 10.11 oprogramowania dla przełącznika 4100i potwierdzają także informacje zawarte na stronie producenta Aruba dostępne pod adresem:

10000/Content/Chp_PVLAN/PVLAN.htm , gdzie wprost wskazano, że ww. wersja oprogramowania 10.11 umożliwia obsługę PVLAN.

Tłumaczenie fragmentu powyżej zaznaczonego na żółto: Funkcja prywatnej sieci VLAN (PVLAN) partycjonuje sieć VLAN, grupując wiele zestawów portów, które wymagają izolacji ruchu warstwy 2, w niezależne poddomeny rozgłoszeniowe.

Sieć VLAN, która jest partycjonowana, jest określana jako podstawowa sieć VLAN, a poddomeny wyodrębnione z tej podstawowej sieci VLAN są określane jako podrzędne sieci VLAN. Te podrzędne sieci VLAN są również zwykłymi sieciami VLAN, składającymi się z podgrupy portów oryginalnej sieci VLAN i identyfikowanymi przez unikalny identyfikator VLAN ID.

W zależności od zapewnionego poziomu izolacji, podrzędne sieci VLAN mogą być dalej klasyfikowane jako izolowane i społecznościowe sieci VLAN. Ruch w domenie podrzędnej będzie widoczny wewnątrz domeny PVLAN, a gdy ruch opuści domenę PVLAN, przejdzie tylko do podstawowej sieci VLAN.

Maksymalna ilość instancji Maksymalna ilość instancji Seria przełącznika podstawowego VLAN podrzędnego VLAN 32 8 4100i D owód: - informacje zawarte na stronie internetowej producenta Aruba dostępnej pod adresem: 930010000/Content/Chp_PVLAN/PVLAN.htm Producent Aruba w powyżej przywołanym dokumencie wyjaśnia, że prywatny VLAN (PVLAN) składa się z instancji podstawowych i podrzędnych VLAN. Natomiast zaoferowany przez Innergo przełącznik 4100i obsługuje 32 VLAN podstawowe i 8 VLAN podrzędne.W ocenie Zamawiającego, tak opisana konfiguracja VLAN

potwierdza, że przełącznik 4100i posiada funkcjonalność prywatnego VLAN.

Tym samym chybiony jest argument Odwołującego zawarty w pkt 26 odwołania, w którym wskazano, że „funkcjonalność ta, dodana została wraz z wersją oprogramowania 10.12.0006, która została wydana dopiero w dniu 31 maja 2023 r. (a zatem już po złożeniu ofert w Postępowaniu)”.

Powyższemu ustaleniu wprost przeczy powyżej przywołana dokumentacja zamieszczona na stronach internetowych producenta Aruba. Oznacza to, że zaoferowane urządzenie wcale nie nabyło wymaganej funkcjonalności w toku prowadzonego Postępowania, a posiadało ją na moment składania ofert. Biorąc pod uwagę powyższe ustalenia brak jest podstaw do uznania, że oferta Innergo nie spełnia wymagania określonego w Załączniku nr 1 do OPZ w pkt 1.1.6 w ppkt 5 lit. h).

Jedynie dodatkowo należy wskazać, że zgodnie z postanowieniami SWZ TOM I IDW pkt 15.17 wykonawca ubiegający się o udzielenie zamówienia, zobowiązany był złożyć ofertę, którą stanowił:

1. wypełniony Formularz „Oferta” (Formularz 2.1.),
2. wypełniony Formularz „Zestawienie głównych elementów Systemu Wi-Fi” (Formularz 2.2.) - zwany dalej „Zestawieniem elementów”, który został przygotowany przez Zamawiającego i załączony do SW Z. W treści wzoru „Zestawieniem elementów” Zamawiający w zakresie urządzenia wymagał podania danych takich danych jak:

„Nazwa urządzenia (Producent, model)”.

Dowód: - treść SWZ TOM I IDW w pkt 15.17, w dokumentacji Postępowania, - wzór Formularza „Zestawienie głównych elementów Systemu Wi-Fi” (Formularz 2.2.), w dokumentacji Postępowania.

Powołana treść SW Z prowadzi do wniosku, że Zamawiający nie wymagał podania przez wykonawcę danych dotyczących wersji oprogramowania. Rezygnacja z podania powyższych informacji jest uzasadniona tym, że Zamawiający, z uwagi na długi okres realizacji zamówienia przewidywał, że przed odbiorem końcowym i tak konieczne będzie dokonanie aktualizacji oprogramowania na przełącznikach,. Powyższy wymóg Zamawiający ustanowił postanowieniami SW Z w Tom III OPZ w rozdziale VIII w pkt 13)Wykonawca zobowiązany będzie przed podpisaniem Protokołu Odbioru ostatniej lokalizacji do aktualizacji oprogramowania układowego (firmware) wszystkich dostarczonych i uruchomionych Urządzeń w każdej lokalizacji oraz dostarczonego środowiska programowego do najnowszej wspieranej wersji zalecanej przez producenta Rozwiązania. Brak wykonania aktualizacji, o której mowa w zdaniu poprzednim skutkować będzie brakiem odbioru przez Zamawiającego ostatniej lokalizacji oraz traktowane będzie jako zwłoka Wykonawcy w terminie wdrożenia i uruchomienia tej lokalizacji.

Dowód: - treść SWZ TOM III OPZ w rozdziale VIII w pkt 13) na str. 9, w dokumentacji Postępowania.

Mając na uwadze powyższe ustalenia przyjąć należy, że brak było jakiegokolwiek uzasadnienia, aby wykonawcy na etapie składania ofert podawali wersję oprogramowania dla zaoferowanych w postępowaniu przełączników. Zamawiający dokonując badania i oceny oferty wykonawcy Innergo w aspekcie zaoferowanego przełącznika zewnętrznego ustalił, że w złożonej ofercie wykonawca ten podał wszystkie dane wymagane przez Zamawiającego. Wykonawca podał wszystkie wymagane treścią SW Z dane, tj. „Zestawienie głównych elementów Systemu Wi-Fi”, tj. nazwę urządzenia (Przełącznik zewnętrzny), producenta (Aruba) oraz model (4100i). Brak jest zatem podstaw aby kwestionować szczegółowość Formularza „Zestawienie głównych elementów Systemu Wi-Fi” (Formularz 2.2.), co nieudolnie próbuje podważać Odwołujący.

Dowód: - treść Formularza „Zestawienie głównych elementów Systemu Wi-Fi” (Formularz 2.2.) złożonego przez wykonawcę Innerga, w dokumentacji Postępowania.

W konsekwencji stwierdzić należy, że zarzut naruszenia przez Zamawiającego art. 226 ust. 1 pkt 5 ustawy Pzp, zgłoszony przez Odwołującego, jest niezasadny i podlega oddaleniu.

Uzasadnienie stanowiska Zamawiającego w zakresie zarzutu dot. przełącznika dostępowego zewnętrznego z uwagi na brak funkcjonalności zdalnego port mirroring – RSPAN - nie spełnia wymagania „zdalności”.

Zamawiający stoi na stanowisku, że zarzut dotyczący funkcjonalności zdalnego port mirroring – RSPAN – nie spełnia wymagania „zdalności” - w przełączniku zewnętrznym jest chybiony, co oznacza, że podlega on oddaleniu.

Przede wszystkim zauważenia wymaga, że Strony są zgodne co do ustaleń stanu faktycznego w zakresie brzmienia wymagania dotyczącego funkcjonalności związanej z zarządzaniem i monitorowaniem opisanej w Załączniku nr 1 do OPZ w pkt 1.1.6 w ppkt 7 lit. d) dla przełącznika zewnętrznego, o treści:

„d) implementacja mechanizmu SPAN PORT lub analogiczna funkcjonalność; przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (zdalny port mirroring – RSPAN lub równoważny)”.

Dowód: - treść wymagania opisanego w Załączniku nr 1do OPZ w pkt 1.1.6 w ppkt 7 lit. d) (str. 9), dotyczącego urządzenia typu przełącznik zewnętrzny, w dokumentacji Postępowania.

Analizę zacytowanego wymagania należy rozpocząć od tego, że Zamawiający wyraźnie i wprost opisał swoje wymagania w tym zakresie precyzując, że przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN. Tym samym z zamieszczonego opisu jednoznacznie wynika na osiągnięciu jakiej funkcjonalności, względem opisanych przełączników, Zamawiającemu zależało. Na kanwie powyższego logicznym i w

pełni uzasadnionym jest stwierdzenie, że określenia wskazujące na konkretne rozwiązania, takie jak: zdalny port mirroring, RSPAN - podane w nawiasie - należało traktować jako przykładowe rozwiązania. Za przyjęciem takiej tezy przemawia to, że Zamawiający dopuścił rozwiązania równoważne, bowiem posłużył się określeniem „lub równoważne”. Takie ukształtowanie wymagań pozwalało wykonawcom w złożonych ofertach bazować nie tylko na rozwiązaniu zdalny port mirroring, czy też RSPAN, ale wykorzystać rozwiązania wobec nich równoważne.

W toku badania i oceny ofert Zamawiający w dniu 16.06.2023 r. zwrócił się do producenta Aruba o wyjaśnienie czy: Czy przełącznik Aruba 4100i oraz przełącznik Aruba 6300M umożliwiają zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (zdalny port mirroring – RSPAN lub równoważny).

W odpowiedzi na przedmiotowe zapytanie producent w dniu 21.06.2023 r. potwierdził, że zaoferowany przełącznik 4100i posiada wymaganą w Załączniku nr do OPZ funkcjonalność:umożliwia realizację funkcjonalności pozwalającej na zdalną obserwację ruchu z określonego portu, polegającą na kopiowaniu pojawiających się na nim ramek i ich odbieraniu na zdalnym urządzeniu monitorującym.

Dowód: - pismo z dnia 16.06.2023 r., znak: CIRF.DZ1.272.88.2022.GDYP.32, w aktach Postępowania, - pismo HPE Aruba Networking z dnia 21.06.2023 r., w dokumentacji Postępowania.

Wyłącznie na marginesie Zamawiający wskazuje, że nie sposób zgodzić się z twierdzeniami Odwołującego, jakoby treścią SW Z w ramach prowadzonego Postępowania ograniczył zastosowane rozwiązania wyłącznie do RSPAN. Tego rodzaju twierdzenia Odwołującego nie znajdują odzwierciedlenia w wymaganiach OPZ, w szczególności w brzemieniu wymagania dotyczącego funkcjonalności związanej z zarządzaniem i monitorowaniem opisanej w Załączniku nr 1 do OPZ w pkt 1.1.6 w ppkt 7 lit. d) dla przełącznika zewnętrznego. Odwołujący dokonując interpretacji wymagań Zamawiającego wydaje się nie traktować ich jako całości, a skupia się na treści podanej przez Zamawiającego w nawiasie, którą należy traktować jako pomocniczą, służebną względem głównego trzonu wymagania, które stanowiło jego opis.

Podsumowując argumentację przedstawioną wyżej, stwierdzić należy, że zarzut zgłoszony przez Odwołującego jest niezasadny i podlega oddaleniu.

Uzasadnienie stanowiska Zamawiającego w zakresie zarzutu dot. przełącznika dostępowego wewnętrznego z uwagi na brak funkcjonalności zdalnego port mirroring – RSPAN – brak dedykowanej sieci VLAN.

Zamawiający stoi na stanowisku, że zarzut dotyczący funkcjonalności zdalnego port mirroring – RSPAN – brak dedykowanej sieci VLAN - w przełączniku wewnętrznym jest chybiony, co oznacza, że podlega on oddaleniu.

Przede wszystkim zauważenia wymaga, że Strony są zgodne co do ustaleń stanu faktycznego w zakresie brzmienia wymagania dotyczącego funkcjonalności związanej z zarządzaniem i monitorowaniem opisanej w

Załączniku nr 1 do OPZ w pkt 1.1.5 w ppkt 7 lit. d) dla przełącznika wewnętrznego, o treści:

„d) implementacja mechanizmu SPAN PORT lub analogiczna funkcjonalność; przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (zdalny port mirroring – RSPAN lub równoważny)”.

Dowód: - treści wymagania opisanego w Załączniku nr 1 do OPZ w pkt 1.1.5 w ppkt 7 lit. d) (str. 7), dotyczącego urządzenia typu przełącznik wewnętrzny, w dokumentacji Postępowania.

Analizę zacytowanego wymagania należy rozpocząć od tego, że Zamawiający wyraźnie i wprost opisał swoje wymagania w tym zakresie precyzując, że przełącznik musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN. Tym samym z zamieszczonego opisu jednoznacznie wynika na osiągnięciu jakiej funkcjonalności, względem opisanych przełączników, Zamawiającemu zależało. Na kanwie powyższego logicznym i w

pełni uzasadnionym jest stwierdzenie, że określenia wskazujące na konkretne rozwiązania, takie jak: zdalny port mirroring, RSPAN - podane w nawiasie - należało traktować jako przykładowe rozwiązania. Za przyjęciem takiej tezy przemawia to, że Zamawiający dopuścił rozwiązania równoważne, bowiem posłużył się określeniem „lub równoważne”. Takie ukształtowanie wymagań pozwalało wykonawcom w złożonych ofertach bazować nie tylko na rozwiązaniu zdalny port mirroring, czy też RSPAN, ale wykorzystać rozwiązania wobec nich równoważne.

Zwrócenia uwagi wymaga, że Odwołujący w zakresie przełącznika 6300M nie kwestionuje spełnienia samego wymagania w zakresie posiadania funkcjonalności: zdalnej obserwacji ruchu na określonym porcie, polegającej na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, a wyłącznie podważa wymóg przesyłania poprzez dedykowaną sieć VLAN. Tymczasem w toku badania i oceny ofert Zamawiający ustalił, że w przypadku tego przełącznika istnieje techniczna możliwość realizacji przesyłu poprzez dedykowaną sieć VLAN, zgodnie z wymaganiami SW Z. Zostało to ustalone przez Zamawiającego w oparciu o dostępną na stronach producenta specyfikację techniczną przełącznika. Zauważyć przy tym należy, że pomimo braku wskazania wprost danej funkcjonalności w specyfikacji technicznej, jest ona możliwa do konfiguracji.

Jednocześnie nie sposób zgodzić się ze stwierdzeniami Odwołującego, jakoby treścią SW Z w ramach prowadzonego postępowania ograniczył zastosowane rozwiązania wyłącznie do RSPAN. Tego rodzaju twierdzenia Odwołującego nie znajdują odzwierciedlenia w wymaganiach OPZ, w szczególności w brzmieniu wymagania dotyczącego funkcjonalności związanej z zarządzaniem i monitorowaniem opisanej w Załączniku nr 1 do OPZ w pkt 1.1.5 w ppkt 7 lit. d) dla przełącznika wewnętrznego.

Odwołujący dokonując interpretacji wymagań Zamawiającego wydaje się nie traktować ich jako całości, a skupia się na treści podanej przez Zamawiającego w nawiasie, którą należy traktować jako pomocniczą, służebną względem głównego trzonu wymagania, które stanowiło jego opis.

Zamawiający wymagał funkcjonalności zdalnej obserwację ruchu na określonym porcie, polegającej na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN, a RSPAN jest tylko jedną z możliwości realizacji tej funkcjonalności wymienionej w przywołanym powyżej punkcie OPZ. Co więcej, treść SWZ pozostawia dowolność wykonawcy, w jakiej warstwie przesył ten ma być realizowany, bowiem Zamawiający w żadnym miejscu nie zdefiniował warstw przesyłu.

Podsumowując, także ten zarzut, jako niepotwierdzony, wymaga oddalenia.

Dodatkowo, w zakresie pkt IV i V niniejszego pisma, Zamawiający zwraca uwagę, że analiza odpowiedzi producenta Aruba nie może stanowić dowodu na potwierdzenie tez zawartych w odwołaniu, bowiem producent w sformułowaniu odpowiedzi posiada pełną swobodę (nie wiąże go żadna procedura). Słusznie, w ocenie Zamawiającego, producent wskazuje, iż rozwiązanie oparte o przełączniki Aruba 4100i oraz Aruba 6300M zapewnia wymagane przez Zamawiającego funkcjonalności, bowiem zważyć należy, iż urządzenia tego typu nie funkcjonują samodzielnie i w oderwaniu od wbudowanego oprogramowania oraz innych elementów. Co więcej, w odpowiedzi producenta należy interpretować w kontekście pytania Zamawiającego, które wprost odwoływało się do konkretnych urządzeń (zaoferowanych przez Innergo) z uwzględnieniem opisu wymagań podanych w OPZ i posiadało następujące brzmienie: Czy przełącznik Aruba 4100i oraz przełącznik Aruba 6300M umożliwiają zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (zdalny port mirroring – RSPAN lub równoważny).W związku z tym za nieprawidłowe należy uznać „wyrywanie” z kontekstu pojedynczych słów i stwierdzeń producenta i nadawanie im przez Odwołującego własnego znaczenia, z pominięciem treści pytania zadanego przez Zamawiającego.

Uzasadnienie stanowiska Zamawiającego w zakresie zarzutu zaoferowania oprogramowania zapewniającego realizację wymagań w zakresie przedmiotu zamówienia.

Zamawiający uznaje zgłoszony zarzut za całkowicie bezzasadny, a tym samym za taki, który powinien podlegać oddaleniu.

Na wstępie Zamawiający podnosi, że w zakresie rozpoznania zasadności zgłoszonego zarzutu istotnym jest odwołanie się do wymagań Zamawiającego w zakresie katalogu informacji, które wykonawca zobowiązany był podać w ofercie w Formularzu pt. Zestawienie elementów - w odniesieniu do oprogramowania (Formularz 2.2). Otóż, wykonawca zobowiązany był podać następujące dane takie jak: nazwa oprogramowania, jego producent i ilość oferowanych licencji.

Dowód: - wzór Formularza „Zestawienie głównych elementów Systemu Wi-Fi” (Formularz 2.2.), w dokumentacji Postępowania.

Wykonawca Innergo w złożonej ofercie w niniejszym formularzu w zakresie Zestawienia głównych elementów CSZ w Centrum Informatyki Resortu Finansów w Radomiu wskazał, że oferuje oprogramowanie o Nazwie Aruba Clearpass, którego producentem jest Aruba w ilości 2 sztuki licencji.

Dowód: - treść Formularza „Zestawienie głównych elementów Systemu Wi-Fi” (Formularz 2.2.), w dokumentacji Postępowania.

Na kanwie powyższego nie budzi zatem żadnych wątpliwości, że wykonawca Innergo w złożonej ofercie zastosował się do wymagań Zamawiającego i podał wszystkie żądane przez niego informacje.

Nie ma racji Odwołujący twierdząc, że Wykonawca w treści swojej oferty powinien wyspecyfikować konkretne licencje, tj. Aruba Clearpass Akcess, Aruba Clearpass OnGuard, Aruba ClearPass Device Insight, bowiem wykonawca zobowiązany był do wskazania: nazwy oprogramowania i jego producenta, co też uczynił.

W tym miejscu wyjaśnić należy, że oprogramowanie Aruba ClearPass składa się z 3 elementów, co znajduje potwierdzenie w dokumentacji producenta dostępnej pod adresami: https://www.arubanetworks.com/resource/clearpass-solution-overview/ https://www.arubanetworks.com/resource/clearpass-policy-manager-data-sheet/

• gdzie wprost wskazano jakie elementy składają się na zaoferowane oprogramowanie ClearPass.

D owód: - SOLUTION OVERVIEW Aruba Clearpass Network Access Control dostępny pod adresem: https://www.arubanetworks.com/resource/clearpass-solution-overview/; - DATA SHEET ARUBA CLEARPASS POLICY MANAGER dostępny pod adresem: https://www.arubanetworks.com/resource/clearpass-solution-overview/.

Sposób wypełnienia formularza oferty, z punktu widzenia SW Z, jest wystarczający do identyfikacji oprogramowania, co było celem Zamawiającego. Oznacza to, że w sytuacji, gdy wykonawca Innergo zastosował się do wymagań Zamawiającego, określonych w SW Z prawidłowo je wypełniając, to nie sposób uznać, że jego oferta podlega podrzuceniu na podstawie art. 226 ust. 1 pkt 5 Pzp z uwagi na niezgodność w warunkami zamówienia.

Na końcu Zamawiający odniesie się do zarzutu, jakoby Przystępujący zaoferował jedynie 2 licencje, co uniemożliwia zaoferowanie wskazanych w ofercie 3 produktów (pkt 106 odwołania). Zamawiający wyjaśnia, że wykonawca Innergo zaoferował następujące urządzenia:

2.

Nazwa urządzenia: Mobility Conductor Hardware 2 Appliance Producent: Aruba Model: ARUBA MOBILITY CONDUCTOR Dowód: - treść Formularza „Zestawienie głównych elementów Systemu Wi-Fi” (Formularz 2.2.) wykonawcy Innergo (str. 1), w dokumentacji Postępowania.

Z tego też względu konieczne było zaoferowanie dwóch sztuk licencji Aruba Clearpass (każda ze wskazanych licencji składająca się z 3 elementów obsługuje jedno ww. urządzenie), co wykonawca Innergo uczynił. Tym samym zaoferowane licencje odpowiadały ilości zaoferowanych urządzeń, co było wystarczające dla spełnienia wymagań SWZ.

Biorąc pod uwagę powyższe ustalenia stwierdzić należy, że zarzut zgłoszony przez Odwołującego jest niezasadny i podlega oddaleniu.

Konkludując, Zamawiający stoi na stanowisku, że prawidłowo przeprowadził czynność badania i oceny ofert, która zaowocowała wyborem jako najkorzystniejszej oferty wykonawcy Innergo, która wbrew twierdzeniom Odwołującego spełnia wymagania SWZ, a tym samym nie podlega odrzuceniu.

Oznacza to, że nie znajdują potwierdzenia zarzuty zgłoszone w odwołaniu, polegające na naruszeniu przez Zamawiającego art. 226 ust. 1 pkt 5 ustawy Pzp w zw. z art. 16 ustawy Pzp, oraz art. 239 ust. 1 i 2 ustawy Pzp. Mając powyższe na uwadze, wnoszę jak na wstępie.

Stan faktyczny ustalony przez Izbę:

W dniu 21 sierpnia 2023 r. wykonawcy wspólnie ubiegający się o udzielenie zamówienia: T4B sp. z o.o. z siedzibą w Warszawie, Atende S.A. z siedzibą w Warszawie wnieśli odwołanie zarzucając naruszenie przepisów przez Zamawiającego: (1) naruszenie art. 226 ust. 1 pkt 5 pzp w zw. z art. 16 pzp poprzez zaniechania odrzucenia oferty wykonawcy Innergo Systems Sp. z o.o. ul. Odrowąża 15, 03-310 Warszawa; w sytuacji gdy treść przedmiotowej oferty jest niezgodna z warunkami zamówienia, w odniesieniu do: a) przełącznika dostępowego zewnętrznego: i. z uwagi na brak funkcjonalności prywatnego VLAN-u na dzień składania ofert, a uwzględnienie zmiany, ktora zaszła w tym zakresie po złożeniu i otwarciu ofert, co prowadzi do naruszenia zasady uczciwej konkurencji i równego traktowania Wykonawców; ii. z uwagi na brak funkcjonalności zdalnego port mirroring – RSPAN; b) przełącznika dostępowego wewnętrznego z uwagi na brak funkcjonalności zdalnego port mirroring – RSPAN; c) zaoferowanego oprogramowania z uwagi na brak zaoferowania oprogramowania zapewniającego realizację wymagań przedmiotu zamowienia (tj. co najmniej: Aruba ClearPass Access, Aruba ClearPass OnGuard, Aruba ClearPass Device Insight); (2) naruszenie art. 239 ust. 1 i 2 pzp, poprzez dokonanie wyboru oferty wykonawcy Innergo Systems Sp. z o.o. ul.

Odrowąża 15, 03-310 Warszawa, ktora nie jest najkorzystniejszą ofertą w świetle kryteriów oceny ofert określonych w dokumentach zamówienia, tj. oferty nieprzedstawiającej najkorzystniejszego stosunku jakości do ceny zamówienia, gdyż najkorzystniejszą ofertą jest oferta Odwołującego, a oferta Innergo Systems Sp. z o.o. winna zostać odrzucona.

W wyniku wniesionego odwołania przez wykonawców wspólnie ubiegających się o udzielenie zamówienia: T4B sp. z o.o. z siedzibą w Warszawie, Atende S.A. z siedzibą w Warszawie, Zamawiający pismem wniesionym do Krajowej Izby Odwoławczej w dniu 4 września 2023 r. (pismo z dnia 4 września 2023 r.) wnosił o oddalenie odwołania w całości.

Do postępowania odwoławczego po stronie Zamawiającego skutecznie przystąpił wykonawca Innergo Systems Sp. z o.o. z siedzibą w Warszawie.

Izba stwierdziła, że ww. wykonawca zgłosił przystąpienie do postępowania w ustawowym terminie, wykazując interes w rozstrzygnięciu odwołania na korzyść Zamawiającego.

Stan prawny ustalony przez Izbę:

Zgodnie z art. 226 ust. 1 pkt 5 ustawy PZP, Zamawiający odrzuca ofertę, jeżeli jej treść jest niezgodna z warunkami zamówienia.

Zgodnie z art. 239 ustawy PZP:

1. Zamawiający wybiera najkorzystniejszą ofertę na podstawie kryteriów oceny ofert określonych w dokumentach zamówienia.
2. Najkorzystniejsza oferta to oferta przedstawiająca najkorzystniejszy stosunek jakości do ceny lub kosztu lub oferta z najniższą ceną lub kosztem.

Zgodnie z art. 16 ustawy PZP, zamawiający przygotowuje i przeprowadza postępowanie o udzielenie zamówienia w sposób:

1. zapewniający zachowanie uczciwej konkurencji oraz równe traktowanie wykonawców; 2)przejrzysty; 3)proporcjonalny.

II.KIO 2578/23:

W dniu 21 sierpnia 2023 r. wykonawca Konwerga Sp. z o.o. z siedzibą w Poznaniu wniósł odwołanie od niezgodnych z przepisami Ustawy czynności Zamawiającego podjętych w postępowaniu tj.:

A. czynności odrzucenia oferty Odwołującego jako niezgodnej z SWZ, B. czynności wyboru oferty złożonej przez wykonawcę Innergo Systems sp. z o.o. jako najkorzystniejszej C. decyzji Zamawiającego o odtajnieniu części informacji skutecznie zdaniem Odwołującego zastrzeżonych jako tajemnica przedsiębiorstwa przesłanych przez niego w dniu 14.04.2023 i 17.05.2023 jako wyjaśnienia rażąco niskiej ceny oraz w dniu 19.05.2023 jako wyjaśnienia techniczne w zakresie złożonej oferty.

Odwołujący zarzucił naruszenie przepisów przez Zamawiającego:

A. naruszenie art. 226 ust.1 pkt 5 Ustawy poprzez bezpodstawne odrzucenie oferty Odwołującego, pomimo, że jej treść odpowiada SIWZ B. naruszenie art. 239 ust. 1 Ustawy poprzez dokonanie wyboru oferty nie najkorzystniejszej C. naruszenie art. 18 ust. 3 ustawy PZP w zw. z art. 11 ust. 2 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j, Dz.U. z 2020 r. poz.1983 ze zm.).

Odwołujący wnosił o uwzględnienie odwołania i nakazanie Zamawiającemu:

A. unieważnienie czynności odrzucenia oferty Odwołującego B. unieważnienie czynności wyboru oferty najkorzystniejszej C. powtórzenia czynności badania ofert w celu wyboru oferty najkorzystniejszej.

D. unieważnienia czynności odtajnienia dokumentów zastrzeżonych jako tajemnica przedsiębiorstwa.

Odwołujący wskazał, że:

A. Odrzucenie oferty Odwołującego W piśmie z dnia 10.08.2023 informującym o wyborze oferty najkorzystniejszej Zamawiający poinformował o odrzuceniu oferty Odwołującego na podstawie art. 226 ust 1 pkt 5 Ustawy jako niezgodnej z warunkami zamówienia. Niezgodności te zostały określone przez Zamawiającego jako:

I Niezgodność oferty z wymaganiami CSZ:

1. Telemetria
2. Ochrona przed atakami sieciowymi na sieć bezprzewodową
3. Mechanizmy bezpieczeństwa (posture, profilowanie urządzeń)
4. Analiza widma częstotliwościowego oraz wyświetlanie analizy spektrum dla access-pointów II. Niezgodność oferty z wymaganiami dla lokalizacji:
5. Funkcjonalność WIPS
6. Ochrona przed atakami sieciowymi na sieć bezprzewodową
7. Analiza widma częstotliwościowego oraz wyświetlanie analizy spektrum dla access-pointów Ze względu na fakt, iż zarówno argumentacja Zamawiającego jak i argumentacja Odwołującego punktach I.2 i II.2 jak i I.4 i II.3 są identyczne (Zamawiający przekopiował zarówno treść zarzutów jak i uzasadnień), a ich rozdzielnie wynika wyłącznie z układu zapisów w SW Z, to będą one w dalszej części uzasadnienia omawiane łącznie.

Należy przez to rozumieć, że uzasadnienie do punktu I.1 dotyczy także punktu II.2, a uzasadnienie do punktu I.4 dotyczy także punktu II.3.

Uzasadnienie Odwołującego odnoszące się wszystkich zarzutów w sekcji A (dalej przywoływane jako „A.0”) Zamawiający w uzasadnieniu nie spełniania zapisów SW Z powołuje się na dokumentację oprogramowania, które nie zostało zaoferowane przez Odwołującego. Dotyczy to oprogramowania Cisco DNA Advantage oraz Cisco ISE Premier.

Odwołujący potwierdza, że wskazane przez Zamawiającego oprogramowanie spełnia wymagania SW Z, ale nie może to stanowić dowodu na to, że oprogramowanie zaoferowane przez Odwołującego w wersjach niższych czyli Cisco DNA Essentials oraz Cisco ISE Advantage nie spełniają wymogów SW Z. Oczywistym jest, że oprogramowanie w wyższej wersji posiada wszystkie funkcjonalności oprogramowania w wersji niższej, a ponadto posiada cały szereg dodatkowych funkcjonalności.

Na stronie producenta znajduje się opis systemów: “Cisco DNA Advantage is our premium tier that gives you the advantage of the latest innovative features. All the features mentioned in the Cisco DNA Essentials section are included in Advantage.”

Tłumaczenie:

„Cisco DNA Advantage to nasz poziom premium, który zapewnia przewagę w postaci najnowszych innowacyjnych funkcji.

Wszystkie funkcje wymienione w sekcji Cisco DNA Essentials są zawarte w Advantage.”

Źródło: https://www.cisco.com/c/en/us/products/collateral/software/dna-software-ebook-cte.html Dowód 1: Podręcznik oprogramowania Cisco DNA (adres: https://www.cisco.com/c/en/us/products/collateral/software/dna-software-ebook-cte.html) Nie można zatem uznać za dowód na niespełnienie wymagań SW Z poprzez powoływanie się na spełnianie wymagań przez wyższą wersję oprogramowania. Zamawiający dokonując oceny oferty Odwołującego powinien zatem oceniać spełnianie wymogów zawartych w SW Z przez ofertę Odwołującego. Zatem całość argumentacji Zamawiającego odnosząca się do produktów nie stanowiących oferty Odwołującego należy uznać za nie dotyczącą kwestii spornych.

Jednocześnie zgodnie z art. 99 ust. 1 i 2 zamawiający określa parametry minimalne dotyczące przedmiotu zamówienia.

Profesjonalny wykonawca powinien zaoferować produkty i usługi, które spełniają wymagania minimalne. Ze względu na fakt, iż w postępowaniu publicznym głównym kryterium oceny ofert jest cena, Wykonawca powinien zaoferować produkty i usługi, które spełniają wymagania minimalne w 100%, ale nie ma obowiązku spełniania tych wymagań w stopniu wyższym, zwłaszcza jeżeli prowadziłoby do zwiększenia ceny, a co w efekcie przyczyniłoby się do obniżenia oceny oferty.

Krajowa Izba Odwoławcza w wyroku z dnia 26 kwietnia 2022 r. w sprawie KIO 917/22 wskazała, że „aby zamawiający był uprawniony odrzucić ofertę na podstawie przywołanego przepisu jest zobowiązany przeprowadzić analizę porównawczą treści oferty oraz warunków zamówienia (w szczególności, co do zakresu, ilości, jakości, warunków realizacji i innych elementów istotnych dla wykonania zamówienia), które stanowią merytoryczne postanowienia oświadczeń woli odpowiednio: zamawiającego, który w szczególności przez opis przedmiotu zamówienia precyzuje i uszczegóławia, jakiego świadczenia oczekuje po zawarciu umowy w sprawie zamówienia publicznego, oraz wykonawcy, który zobowiązuje się do wykonania tego świadczenia w razie wyboru złożonej przez niego oferty (zdefiniowanej w art. 66 kodeksu cywilnego) jako najkorzystniejszej. Dokonanie takiego porównania przesądza o tym, czy treść złożonej w postępowaniu oferty odpowiada warunkom zamówienia. Niezgodność treści oferty z warunkami zamówienia zachodzi więc, gdy zawartość merytoryczna złożonej w danym postępowaniu oferty nie odpowiada ukształtowanym przez zamawiającego i zawartym w SW Z wymaganiom. Istotnym jest, że niezgodność oferty z warunkami zamówienia musi po pierwsze być oczywista i niewątpliwa, czyli zamawiający musi mieć pewność co do niezgodności oferty z jego oczekiwaniami, przy czym postanowienia SW Z powinny być jasne i klarowne (tak też: wyrok z dnia 22 września 2020 roku, sygn. akt: KIO 1864/20; wyrok z dnia 20 stycznia 2020 roku, sygn. akt: KIO 69/20). Po drugie, odrzucenie oferty nie może nastąpić z błahych, czysto formalnych powodów nie wpływających na treść złożonej oferty, jak również gdy zamawiający ma możliwość poprawienia błędów jakie zawiera oferta.”

Ponadto Odwołujący podkreśla, że profesjonalizm wykonawcy (art. 355 K. c.) nie uchyla reguł wykładni z art. 65 § 1 K. c.

Co więcej, zamawiający jest również podmiotem profesjonalnym, od którego wymagana jest szczególna staranność wyrażająca się większą zapobiegliwością, rzetelnością, dokładnością w działaniu, dokładnością w prowadzeniu postępowania, w tym wyjaśnień i zadawaniu odpowiednich pytań wykonawcom w toku postępowania. Ustawa nakłada na Zamawiającego konkretne obowiązki i rygory postępowania. W sytuacji gdy, zamawiający otrzymuje oświadczenie wykonawcy w odpowiedzi na własne oświadczenie, które nie odpowiada Zamawiającemu, zawsze ocena takiej odpowiedzi powinna następować w kontekście własnego postępowania — należytej staranności w prowadzeniu wyjaśnień.

Reasumując zgodnie z utrwalonym orzecznictwem Krajowej Izby Odwoławczej niezgodność oferty z warunkami zamówienia musi być oczywista i niewątpliwa, przy czym postanowienia SWZ powinny być jasne i klarowne.

I.1 Niezgodność oferty z zapisami SWZ z zakresie telemetrii Zgodnie z Tomem III SWZ - OPZ zał. 1 pkt 2.1, Wymagania ogólne dla systemu CSZ, L.p. 33 Zamawiający wymagał:

„System musi posiadać funkcjonalność telemetrii (…)” oraz zgodnie z Tomem III SWZ - OPZ zał. 1 pkt 2.1, Wymagania ogólne dla systemu CSZ, L.p. 34 Zamawiający wymagał:

„Musi posiadać narzędzie pozwalające na monitoring wydajności sieci wraz z: a) zbieraniem informacji o aplikacjach w sieci i parametrach ich działania b) analizą, którzy użytkownicy generują najwięcej ruchu, z jakich korzystają aplikacji oraz jakie jest ich wykorzystanie”.

Analiza dowodów Zamawiającego Zamawiający uzasadnił niezgodność oferty z zapisami SWZ lakonicznie:

„W ramach badania oferty Konwerga Zamawiający ustalił, że licencja Network Essentials dostarczona wraz z urządzeniami (co dodatkowo Konwerga potwierdziła w wyjaśnieniach z dnia 19.05.2023 r.) i funkcjonalność w niej zawarta nie spełnia ww. wymagań w zakresie telemetrii, co zostało ustalone na podstawie danych technicznych zwartych na stronie internetowej producenta Cisco - https://www.cisco.com/c/m/en_us/products/software/dna-subscriptionwireless/en-sw-sub-matrix-wireless.html” Treść wskazanego przez Zamawiającego dokumentu znajduje się w Załączniku nr 1 (Porównanie funkcjonalności Cisco DNA) do niniejszego odwołania.

Dalsze uzasadnienie nie dotyczy zaoferowanej przez Odwołującego wersji oprogramowania Cisco DNA Essentials, a więc nie będzie podlegać analizie (uzasadnienie zawarto w części A.0).

Ze wskazanego przez Zamawiającego dokumentu wcale nie wynika, iż funkcjonalność telemetrii nie została zaoferowana, a Zamawiający nie przytoczył żadnego fragmentu wskazanego tekstu mającego stanowić potwierdzenie jego tezy. Co więcej, ze wskazanego dokumentu wynika wprost, iż funkcjonalność telemetrii jest oferowana w rozwiązaniu Odwołującego, tj. całego CSZ wyposażonego m.in. w oprogramowanie Cisco DNA Essentials.

Dowód 2: Dokument „Porównanie funkcjonalności Cisco DNA” - Załącznik nr 1

Uzasadnienie Odwołującego

Odwołujący potwierdza, iż zaoferowane przez niego oprogramowanie zarządzające Cisco DNA Essentials zawiera funkcjonalność telemetrii i na dowód przywołuje zapisy dokumentu wskazanego przez Zamawiającego stanowiącego Załącznik nr 1 do niniejszego odwołania.

Rysunek 1 - Porównanie funkcjonalności licencji w zakresie telemetrii Tłumaczenie:

1. „Cisco DNA Software Wireless Feature Matrix” „Oprogramowanie Cisco DNA bezprzewodowe, matryca funkcjonalności”
2. “Perpetual software, compatible with Cisco DNA Essentials subscription license” “Oprogramowanie wieczyste, zgodne z licencją subskrypcyjną Cisco DNA Essentials”
3. „Telemetry and visibility Model-driven telemetry lets you monitor your network by streaming data from network devices, continuously providing near-real-time access to operational statistics” „Telemetria i widoczność Telemetria oparta na modelach pozwala monitorować sieć poprzez strumieniowe przesyłanie danych z urządzeń sieciowych, dostarczając w sposób ciągły dostęp w czasie zbliżonym do rzeczywistego do statystyk operacyjnych.”
4. “Client health dashboard Displays operational status of every client connected to Cisco DNA Center, with suggested remediation for any issues, managed by Cisco DNA Center.”

„Pulpit nawigacyjny stanu klienta Wyświetla stan operacyjny każdego klienta podłączonego do Cisco DNA Center, z sugerowanymi środkami zaradczymi dla wszelkich problemów, którymi zarządza przez Cisco DNA Center."

1. “Application health dashboard Displays overall health of all applications on the network, with special section for business-relevant application issues and suggested remediation, managed by Cisco DNA Center.” „Pulpit nawigacyjny stanu aplikacji Wyświetla ogólny stan wszystkich aplikacji w sieci, ze specjalną sekcją dotyczącą problemów związanych z aplikacjami biznesowymi i sugerowane środki zaradcze, zarządzane przez Cisco DNA Center.”
2. “Wireless Sensor dashboard Shows overall tests, connectivity statistics, and top wireless issues discovered by Cisco Aironet® Active Sensors. Tests include DHCP, DNS, host reachability, RADIUS, email, Microsoft Exchange Server, web, FTP, and a complete IP SLA for data throughput speed, latency, jitter, and packet loss. Provides guided remediation for any test failures.”

„Panel sensora bezprzewodowego Pokazuje ogólne testy, statystyki łączności i najważniejsze problemy z siecią bezprzewodową wykryte przez aktywne czujniki Cisco Aironet®. Testy obejmują DHCP, DNS, osiągalność hosta, RADIUS, poczta e-mail, Microsoft Exchange Server, W W W, FTP i pełna umowa SLA IP dotycząca przepustowości danych prędkość, opóźnienie, jitter i utratę pakietów. Zapewnia wskazówki zaradcze w przypadku niepowodzeń testów."

Na powyższym fragmencie zaznaczono jedynie ogólną funkcjonalność telemetrii.

Z powyższego dokumentu wprost wynika, iż funkcjonalność telemetrii została zaoferowana i jest ona zgodna z zaoferowanym systemem zarządzania Cisco DNA Essentials funkcjonującym w ramach CSZ. Spełnianie wymogu ogólnego („System musi posiadać funkcjonalność telemetrii”) potwierdza fragment:

„Telemetria i widoczność Telemetria oparta na modelach pozwala monitorować sieć poprzez strumieniowe przesyłanie danych z urządzeń sieciowych, dostarczając w sposób ciągły dostęp w czasie zbliżonym do rzeczywistego do statystyk operacyjnych."

Z powyższego zapisu wprost wynika, iż Cisco DNA Essentials posiada funkcjonalność telemetrii, co potwierdza odpowiedni symbol „√” w sekcji „Network Essentials”, która zgodnie z zaznaczonym nagłówkiem zawarta jest w licencji Cisco DNA Essentials (zapis „Oprogramowanie wieczyste, zgodne z licencją subskrypcyjną Cisco DNA Essentials”).

Z kolei spełnianie wymogu w zakresie szczegółowym:

„Musi posiadać narzędzie pozwalające na monitoring wydajności sieci wraz z: a) zbieraniem informacji o aplikacjach w sieci i parametrach ich działania b) analizą, którzy użytkownicy generują najwięcej ruchu, z jakich korzystają aplikacji oraz jakie jest ich wykorzystanie”. potwierdzają funkcjonalności pulpitu:

„Pulpit nawigacyjny stanu aplikacji Wyświetla ogólny stan wszystkich aplikacji w sieci, ze specjalną sekcją dotyczącą problemów związanych z aplikacjami biznesowymi i sugerowane środki zaradcze, zarządzane przez Cisco DNA Center."

Pulpit nawigacyjny umożliwia wyświetlenie stanu wszystkich aplikacji w sieci, parametry ich działania a także sugeruje środki zaradcze. Natomiast dodatkowo pulpity nawigacyjne stanu klienta oraz sensora bezprzewodowego dostarczają cały szereg informacji o ruchu generowanym przez użytkowników.

Dowód 3: Dokument „Porównanie funkcjonalności Cisco DNA” - Załącznik nr 1

Podsumowanie Z przedstawionych dowodów wprost wynika, iż funkcjonalność telemetrii została zaoferowana i jest ona zgodna z zaoferowanym systemem zarządzania Cisco DNA Essentials funkcjonującym w ramach CSZ. Dotyczy to zarówno wymogu ogólnego (Tom III SW Z - OPZ zał. 1 pkt 2.1, Wymagania ogólne dla systemu CSZ, L.p. 33) jak i wymagań szczegółowych (Tom III SW Z - OPZ zał. 1 pkt 2.1, Wymagania ogólne dla systemu CSZ, L.p. 34). Zamawiający nie przedstawił żadnych dowodów, które świadczyłyby przeciwnie.

I.2 Niezgodność oferty z zapisami SWZ w zakresie ochrony przed atakami sieciowymi na sieć bezprzewodową Zgodnie z Tom III SW Z - OPZ zał. 1 pkt 1.1.4, Wymagania szczegółowe dla kontrolerów sieci bezprzewodowej – lokalne, Lp. 12, Zamawiający wymagał:

„Kontroler musi posiadać funkcje Bezpieczeństwa: a) Detekcja i identyfikacja lokalizacji obcych punktów dostępowych (rogue AP). Automatyczna klasyfikacja obcych urządzeń i możliwość ich blokowania poprzez wysyłanie odpowiednio spreparowanych pakietów; b) Identyfikacja sieci Adhoc; c) Identyfikacja anomalii sieciowych; d) Ochrona przed atakami sieciowymi na sieć bezprzewodową, np. DoS, Management Frame Flood, fake AP; e) Identyfikacja błędów konfiguracji klientów WLAN; Identyfikacja podszywania się pod autoryzowane punkty dostępowe”.

Analiza dowodów Zamawiającego cz. 1 Zamawiający uzasadnił niezgodność oferty z zapisami SWZ:

„W ramach badania oferty Konwerga Zamawiający ustalił, że zaoferowana oprogramowanie Cisco DNA na licencji Essentials nie spełnia ww. wymagania ochrony przed atakami sieciowymi na sieć bezprzewodową, np. DoS, co zostało ustalone na podstawie informacji zawartych na stronie internetowej producenta Cisco https://www.cisco.com/c/m/en_us/products/software/dna-subscription-wireless/en-sw-sub-matrix-wireless.html” Treść wskazanego przez Zamawiającego dokumentu znajduje się w Załączniku nr 1 (Porównanie funkcjonalności Cisco DNA) do niniejszego odwołania. Nie wiadomo jednak, który fragment miałby potwierdzać tezę Zamawiającego, gdyż nie zacytował on nawet najkrótszego fragmentu, ani nie wskazał miejsca, w którym takie potwierdzenie mogłoby się znaleźć.

We wskazanym dokumencie nigdzie nie występuje słowo DoS, więc nie wiadomo na jakiej podstawie Zamawiający doszedł do takiego wniosku (na marginesie – sformułowanie to także nie występuje w odniesieniu do wersji Advantage).

Dowód 4: Dokument „Porównanie funkcjonalności Cisco DNA” - Załącznik nr 1

Uzasadnienie Odwołującego cz. 1

W tym miejscu Odwołujący zwraca uwagę na dokładne brzmienie tego wymogu:

„Ochrona przed atakami sieciowymi na sieć bezprzewodową, np. DoS, Management Frame Flood, fake AP” Ponadto Odwołujący zwraca uwagę, iż wymóg ten dotyczył kontrolerów sieci bezprzewodowej, co zostało wyrażone wprost. Dla Odwołującego nie budziło zatem wątpliwości, że kontroler wśród różnych funkcji bezpieczeństwa powinien posiadać ochronę przed atakami na sieć bezprzewodową, których przykłady podał Zamawiający i wśród których znalazło się sformułowanie „DoS”. Odwołujący zwraca uwagę, iż Zamawiający nie użył sformułowań typu „w tym”, „minimum”, „co najmniej”, „zawierające” itp., które w sposób jednoznaczny oznaczałyby bezwzględną konieczność zapewnienia tej funkcjonalności. Oznacza to, iż Zamawiający oczekiwał, iż kontroler będzie zapewniał ochronę przed atakami na sieć bezprzewodową różnego rodzaju.

Na wstępie jednak należy rozstrzygnąć czym jest ochrona przed atakami sieciowymi na sieć bezprzewodową DoS.

Na stronie Ministerstwa Spraw Wewnętrznych i Administracji w zakładce „Cyberbezpieczeństwo” znajdują się następujące definicje pojęcia DoS (https://www.gov.pl/web/mswia/cyberbezpieczenstwo):

„DoS (denial of service; dosłownie: odmowa usługi) - atak, którego skutkiem jest uniemożliwienie dostępu do usługi na serwerze (na przykład skorzystania ze strony www) DDoS (distributed denial of service) - atak DoS przeprowadzany z wielu źródeł jednocześnie” Dowód 5: Definicja pojęcia DoS Ministerstwa Spraw Wewnętrznych i Administracji (źródło: (https://www.gov.pl/web/mswia/cyberbezpieczenstwo) Ponadto na stronie NASK znajduje się następująca definicja (https://www.nask.pl/pl/aktualnosci/oferta/ofertatelekomunikacyjn/bezpieczenstwo/2662,DDoS-Attack-Protection.html ):

„Usługa ochrony przed atakami typu DDoS służy do zabezpieczenia łącza Klienta przed skutkami rozległych ataków wolumetrycznych Definicja DDoS (Distributed Denial of Service) to rozproszony atak na systemy komputerowe lub usługę sieciową uniemożliwiający poprawne działanie poprzez zajęcie wszystkich wolnych zasobów."

Dowód 6:

Definicja pojęcia DoS NASK (źródło: https://www.nask.pl/pl/aktualnosci/oferta/oferta( telekomunikacyjn/bezpieczenstwo/2662,DDoS-Attack-Protection.html) Ponadto na stronach Urzędu Komisji Nadzoru Finansowego znajduje się obszerny dokument poświęcony DoS, a zatytułowany „Dobre praktyki w zakresie przeciwdziałania atakom DDoS” (źródło:7.pdf), który załączono do niniejszego odwołania jako Załącznik nr 4 Dobre_praktyki_w_zakresie_przeciwdziaania_atakom_DDoS_77247 Na wstępie czytamy w nim:

„Jednym z popularnych rodzajów działań cyberprzestępców wymierzonych w atrybut dostępności są ataki na tzw. odmowę usługi (ang. Denial of Service, DoS) oraz Distributed Denial of Service (DDoS).

W uproszczeniu, ataki DDoS można scharakteryzować jako ataki powodujące czasową niedostępność systemów teleinformatycznych i usług Organizacji świadczonych drogą elektroniczną. Często ataki DDoS bezpośrednio wpływając na atrybut dostępności powodują również wpływ na atrybuty integralności oraz poufności danych, generując wysokie ryzyko ich utraty przez Organizację.”

Dalej dokument omawia szereg różnych metod zapobiegania atakom DoS. Na końcu dokumentu znajduje się następujące podsumowanie:

„Nie istnieją gotowe, kompleksowe rozwiązania ani jedna uniwersalna metoda ochrony przed atakami typu DDoS.

Budowanie infrastruktury odpornej na ataki nie może być sprowadzone wyłącznie do kupienia gotowego produktu czy usługi, lecz powinno być systemowym podejściem do zaprojektowania całego łańcucha technologicznego odpowiedzialnego za dostarczenie ostatecznej usługi, tworząc wielowarstwową ochronę Organizacji zgodnie z zasadą defence in depth.

Faktyczna, wypadkowa odporność organizacji na atak jest sumą zastosowanych rozwiązań i technik przeciwdziałania z wykorzystaniem maksymalnej dostępnej dla Organizacji liczby opisanych powyżej rozwiązań i technik oraz uwzględnieniem potencjalnego wpływu najsłabszego ogniwa.”

Powyższe wnioski potwierdzają, że nie istnieje coś takiego jak pełna ochrona przed atakami sieciowymi na sieć bezprzewodową DoS. Zatem niektóre rozwiązania będą realizowały pewne wybrane funkcje. Należy tutaj zwrócić uwagę, że Zamawiający nie zdefiniował jaką konkretną ochronę przed atakami DoS miał zaoferować Wykonawca, a poprzedzenie jej sformułowaniem „na przykład” nie pozostawiało wątpliwości, iż nie była ona kluczowa dla działania całego systemu będącego przedmiotem dostawy. Na marginesie należy zauważyć, że zgodnie z dokumentem dołączonym do SW Z o

nazwie „Zalacznik_nr_8_-_Opis_aktualnego_srodowiska_WAN_RF_22-03-2023_13.28.54”, Zamawiający dysponuje narzędziami, które będą współpracowały z dostarczaną infrastrukturą podnosząc odporność całości systemu CIRF na ataki typu DoS. Świadczy o tym fragment:

„Na Urządzeniach bezpieczeństwa sieci WAN zostały wydzielone Strefy Bezpieczeństwa (ang. Zones). Każda ze stref stanowi fizyczny lub logiczny (VLAN) obszar sieci złożony z hostów (komputerów, serwerów, drukarek i innych urządzeń sieciowych). Ruch pomiędzy Strefami bezpieczeństwa jest możliwy i nadzorowany wyłącznie za pomocą mechanizmów zaimplementowanych na Urządzeniach bezpieczeństwa."

Wskazanymi Urządzeniami bezpieczeństwa są m.in. firewall’e, które Zamawiający prezentował w trakcie wizji lokalnych na obiektach.