Postanowienie KIO 2908/25 z 1 września 2025

Zamawiający – Województwo Lubuskie – Urząd Marszałkowski Województwa Lubuskiego w Zielonej Górze – prowadzi w trybie przetargu nieograniczonego postępowanie o udzielenie zamówienia pn. Wyłonienie Inżyniera Kontraktu do realizacji projektu „ROZW ÓJ E-USŁUG W W OJEW ÓDZTW IE LUBUSKIM – SOC.”

Wartość zamówienia jest większa niż progi unijne. Ogłoszenie o zamówieniu zostało opublikowane w Dzienniku Urzędowym Unii Europejskiego 2 lipca 2025 r. pod numerem 426744-2025.

Wykonawca Perceptus Sp. z o.o. wniósł 14 lipca 2025 r. odwołanie wobec treści ogłoszenia o zamówieniu i specyfikacji warunków zamówienia. Odwołujący zarzucił Zamawiającemu naruszenie przepisów:

1. art. 112 ust. 1 i 2 pkt 4 w zw. z art. 116 ust. 1 w zw. z art. 16 pkt 1, 2 i 3 ustawy Pzp, poprzez sformułowanie warunku udziału w postępowaniu w zakresie zdolności technicznej i zawodowej w odniesieniu do Kierownika Projektu, Specjalisty ds. ochrony informacji, Specjalisty ds. bezpieczeństwa IT oraz Architekta rozwiązań ds. bezpieczeństwa IT w sposób nieproporcjonalny do przedmiotu zamówienia, niezwiązany z przedmiotem zamówienia, nadmierny oraz naruszający zasadę uczciwej konkurencji i równego traktowania wykonawców, tj. poprzez: a.wymaganie w odniesieniu do Kierownika Projektu doświadczenia w roli kierownika projektu o wartości min.
2. 000.000,00 zł brutto (Rozdział XIV ust. 2 pkt 4 ppkt 5 ppkt 1.1 lit. b SW Z) oraz Certyfikatu audytora wiodącego ISO 27001 wydanego przez akredytowaną jednostkę certyfikującą lub równoważny (Rozdział XIV ust. 2 pkt 4 ppkt 1.1 lit. d SWZ); b.wymaganie w odniesieniu do Specjalisty ds. ochrony informacji Poświadczenia Bezpieczeństwa dostępu do informacji niejawnych z klauzulą „poufne” (Rozdział XIV ust. 2 pkt 5 ppkt 1.2 lit. b SWZ); c.wymaganie w odniesieniu do Specjalisty ds. bezpieczeństwa IT certyfikatów: Microsoft Certified: Azure Security Engineer Associate (AZ500) lub równoważny oraz Certified Ethical Hacker (CEH) lub równoważny (Rozdział XIV ust. 2 pkt 5 ppkt 1.4 lit. b i c SWZ);

d.wymaganie w odniesieniu do Architekta rozwiązań bezpieczeństwa IT certyfikatów: Offensive Security Certified Professional (OCSP) lubrównoważny oraz Certified Ethical Hacker (CEH) lub równoważny (RozdziałXIV ust. 2 pkt 4 ppkt 1.5 lit. b i c SWZ); e.brak dopuszczenia łączenia ról w ten sposób, że jedna będzie wskazywana w więcej niż jednej roli lub będzie pełniła więcej niż jedną rolę. Wykonawca musi dysponować łącznie 5 osobami na potwierdzenie spełnienia warunku (Rozdział XIV ust. 2 pkt 5 SWZ); 2.art. 239 ust. 1 w zw. z art. 241 ust. 1-3 w zw. z art. 242 ust. 2 w zw. z art. 16 pkt 1, 2 i 3 ustawy Pzp, poprzez dokonanie opisu kryteriów oceny ofert w zakresie kryterium dodatkowego doświadczenia kluczowego personelu: a.Specjalisty ds. bezpieczeństwa IT i posiadania przez tę osobę dodatkowych certyfikatów: Offensive Security Certified Expert lub równoważny, Licensed Penetration Tester lub równoważny – 20% wagi kryterium (Rozdział XXVII poz. 2 lit. a i b tabeli), b.Architekta rozwiązań bezpieczeństwa IT i posiadania przez tę osobę dodatkowych certyfikatów: Offensive Security Certified Expert lub równoważny oraz GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) lub równoważny - 20% wagi kryterium (Rozdział XXVII poz. 3 lit. a i b tabeli) w sposób niezwiązany z przedmiotem zamówienia oraz w sposób naruszający zasadę uczciwej konkurencji i równego traktowania wykonawców, jak również zasadę proporcjonalności; 3.art. 99 ust. 1, 2, 4 w zw. z art. 16 pkt 1, 2 i 3 ustawy Pzp, poprzez dokonanie opisu przedmiotu zamówienia (OPZ) w sposób nieuwzględniający wszystkich wymagań mających wpływ na przygotowanie oferty, wewnętrznie sprzeczny, uniemożliwiający przygotowanie i wycenę oferty, nieadekwatny, naruszający uczciwą konkurencję oraz sprzeczny ze Studium Wykonalności, w zakresie w jakim Zamawiający określił, że w celu uruchomienia środowiska zapewniającego bezpieczne świadczenie e-usług i działania systemów teleinformatycznych w ramach tworzonego SOC niezbędne jest: a.„Wdrożenie systemów klasy WAF (Web Application Firewall)” (Rozdział 1 ust. 4 OPZ); b.„Wdrożenie systemów klasy PAM (Privileged Access Management)” (Rozdział 1 ust. 5 OPZ); c.Uruchomienie usług obejmujących „cykliczne testy penetracyjne” (Rozdział 1 ust. 8 lit. c OPZ).

Odwołujący wniósł o nakazanie Zamawiającemu dokonania następujących zmian postanowień ogłoszenia o zamówieniu i SWZ:

1. modyfikacji Rozdziału XIV ust. 2 pkt 5 ppkt 1.1 lit. b i d SW Z(i odpowiednich postanowień Ogłoszenia o zamówieniu) – wymagań w odniesieniu do Kierownika Projektu w ten sposób, że: a.doświadczenie w roli kierownika projektu będzie dotyczyło projektu o wartości min. 5.000.000,00 zł brutto; b.wykreślone zostanie z wymaganie posiadania „Certyfikatu audytora wiodącego ISO 27001 wydanego przez akredytowaną jednostkę certyfikującą lub równoważny” lub ewentualnie powiększony zostanie zespół o jedną osobę audytora z ww. certyfikatem; 2.modyfikacji Rozdziału XIV ust. 2 pkt 5 ppkt 1.2 lit. b SW Z (i odpowiednich postanowień Ogłoszenia o zamówieniu) – wymagań dotyczących Specjalisty ds. ochrony informacji w ten sposób, że wykreślone zostanie ww. wymaganie posiadania Poświadczenia Bezpieczeństwa dostępu do informacji niejawnych z klauzulą „poufne”, ewentualnie w przypadku nieuwzględnienia ww. żądania – określenie, że cały zespół wykonawcy określony w Rozdziale XIV ust. 2 pkt 5 SWZ powinien legitymować się ww. Poświadczeniem Bezpieczeństwa; 3.modyfikacji Rozdziału XIV ust. 2 pkt 5 ppkt 1.4 lit. b i c SW Z (i odpowiednich postanowień Ogłoszenia o zamówieniu) – wymagań dotyczących Specjalisty ds. bezpieczeństwa IT w te sposób, że dotychczasowe wymagania w zakresie certyfikatów zostaną wykreślone; 4.modyfikacji Rozdziału XIV ust. 2 pkt 5 ppkt 1.5 lit. b i c SW Z (i odpowiednich postanowień Ogłoszenia o zamówieniu) – wymagań dotyczących Architekta rozwiązań bezpieczeństwa IT w ten sposób, że certyfikat Offensive Security Certified Professional (OCSP) lub równoważny zostanie zastąpiony certyfikatem CompTIA Security + lub równoważny, a certyfikat Certified Ethical Hacker (CEH) lub równoważny zostanie wykreślony z wymagań; 5.modyfikacji Rozdziału XIV ust. 2 pkt 5 SW Z w ten sposób, że nie jest dopuszczalne łączenie roli Kierownika Projektu z inną funkcją, natomiast pozostałe funkcje mogą podlegać łączeniu, a ponadto, że dopuszczalne jest, aby pozostali członkowie zespołu łącznie spełniali wszystkie wymagania w zakresie doświadczenia, kwalifikacji oraz certyfikatów;
2. modyfikacji kryterium oceny ofert z Rozdziału XXVII poz. 2lit. a i b tabeli SW Z (i odpowiednich postanowień Ogłoszenia o zamówieniu) w ten sposób, że wymaganie wobec Specjalisty ds. bezpieczeństwa IT certyfikatu Offensive Security Certified Expert lub równoważny zostanie wykreślone i zastąpione certyfikatem CompTIA Security+ lub równoważny, natomiast wymaganie certyfikatu Licensed Penetration Tester zostanie zastąpione certyfikatem BlueTeam Level 1 (BTL1) lub równoważny; 7.modyfikacji Rozdziału XXVII poz. 3 lit. a i b tabeli SW Z (i odpowiednich postanowień Ogłoszenia o zamówieniu) w ten sposób, że wymaganie wobec Architekta rozwiązań bezpieczeństwa IT certyfikatu Offensive Security Certified lub równoważny zostanie zastąpiony certyfikatem CompTIA CyberSecurity Analyst -CySa+ lub równoważny, natomiast wymaganie Certyfikatu GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) lub równoważny zostanie zastąpione Certyfikatem CompTIA Security Analytics Professional – CASP lub równoważny; 8.wykreślenie Rozdziału 1 ust. 4, 5 oraz 8 lit. c OPZ.

Odwołujący 29 sierpnia 2025 r. przekazał do akt sprawy oświadczenie o cofnięciu odwołania w całości. Wobec powyższego postępowanie odwoławcze – zgodnie z art. 568 pkt 1 ustawy Pzp – należało umorzyć.

O kosztach postępowania odwoławczego orzeczono stosownie do art. 557 ustawy Pzp i § 9 ust. 1 pkt 3 lit. a z 2020 r. poz. 2437), nakazując zwrot na rzecz Odwołującego kwoty 13.500 zł stanowiącej 90% uiszczonego wpisu.

Przewodnicząca

……………………