Postanowienie KIO 452/25 z 27 lutego 2025

1. Umarza postępowanie odwoławcze, 2.Nakazuje zwrot z rachunku bankowego Urzędu Zamówień Publicznych na rzecz ​ wykonawcy Netia S.A. z siedzibą w Warszawie kwoty 15 000 zł 00 gr (słownie: piętnaście tysięcy złotych zero groszy) stanowiącej uiszczony wpis od odwołania.

Na orzeczenie - w terminie 14 dni od dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie - Sądu Zamówień Publicznych.

Przewodniczący

……………………………… ……………………………… ………………………………

Sygn. akt

KIO 452/25

Naczelna Dyrekcja Archiwów Państwowych z siedzibą w Warszawie (dalej: „Zamawiający”) prowadzi w trybie przetargu nieograniczonego postępowanie o udzielenie zamówienia publicznego pn.: „Świadczenie usługi wdrożenia i utrzymania WAN”. Postępowanie to prowadzone jest na podstawie przepisów ustawyz dnia 11 września 2019 r. - Prawo zamówień publicznych (Dz. U. z 2024 r. poz. 1320), zwanej dalej: „ustawa Pzp”. Ogłoszenie o zamówieniu zostało opublikowane w dniu 27 stycznia 2025 r. w Dzienniku Urzędowym Unii Europejskiej pod pozycją 54279-2025.

W dniu 6 lutego 2025 r. wykonawca Netia S.A. z siedzibą w Warszawie (dalej: „Odwołujący”) wniósł do Prezesa Krajowej Izby Odwoławczej odwołanie zarzucając Zamawiającemu: - naruszenie art. 441 ustawy Pzp, art. 99 ust. 1, 2 i 4 oraz art. 16 i 17 ust. 1 ustawy Pzp przez opisanie w pkt 21 OPZ prawa opcji, o którym mowa w § 3 projektu Umowy, w sposób nieprecyzyjny, nieproporcjonalny, niejednoznaczny i nieuwzględniający wszystkich wymagań i okoliczności mogących mieć wpływ na sporządzenie oferty i oszacowanie jej kosztów, opisanie cech usług w sposób nieproporcjonalny do wartości i celów przedmiotu zamówienia, a także art. 353¹ Kodeksu cywilnego w zw. z art. 5 oraz art. 487 § 2 Kodeksu cywilnego w zw. z art. 8 ust. 1 ustawy Pzp oraz art. 16 ustawy Pzp przez opisanie w pkt 21 OPZ prawa opcji w sposób naruszający zasady współżycia społecznego i równowagę stron umowy oraz nadmiernie obciążający wykonawcę.

Odwołujący wniósł o uwzględnienie odwołania i zasądzenie kosztów Postępowania, w tym kosztów zastępstwa procesowego wg norm przypisanych oraz nakazanie Zamawiającemu modyfikacji pkt 21 OPZ, w ten sposób, że zostaną tam doprecyzowane/zmodyfikowane następujące punkty:

1. zmiana pkt 21 ust. 1 w ten sposób, że otrzymałby brzmienie:

„Wykonawca zobowiązuje się do utrzymania urządzeń UTM w punktach styku z siecią WAN/Internet, tak aby zapewniało

ona co najmniej:” (…) a) zmiana pkt 21 ust. 1 lit. a (prawidłowe działanie Usługi WAN) w ten sposób, że otrzymałby brzmienie:

„prawidłowe działania urządzeń UTM w kontekście przesyłania danych do/ z Internetu, zgodnie z politykami bezpieczeństwa Zamawiającego” b) zmiana pkt 21 ust. 1 lit. b (ochrona sieci WAN przed cyberzagrożeniami) w ten sposób, że otrzymałby brzmienie:

„utrzymanie mechanizmów filtrowania ruchu, detekcji i blokowania zagrożeń (IPS/IDS)” ewentualnie: (i) potwierdzenie, że pełna odpowiedzialność za konfigurację urządzeń UTM po stronie Wykonawcy, a mechanizm deszyfrowania HTTPS, spoczywa na Zamawiającym; (ii) doprecyzowanie, że Zamawiający dostarczy wszelkie niezbędne dane, w szczególności certyfikaty i konfiguracje wstępne, aby umożliwić realizację tego procesu; (iv) doprecyzowanie, który dokładnie CSIRT (Computer Security Incident Response Team) będzie odpowiedzialny za analizę i raportowanie incydentów związanych z urządzeniami UTM, tj. Czy Zamawiający ma na myśli CSIRT działający w ramach Zamawiającego, czy też inny podmiot, który będzie pełnił tę rolę; (v) potwierdzenie, że w przypadku incydentów związanych z deszyfrowaniem HTTPS, Wykonawca będzie współpracować z Zamawiającym przy przekazywaniu danych do CSIRT; (v) zapewnienie, że Wykonawca będzie miał dostęp do pełnych logów zdarzeń bezpieczeństwa generowanych przez urządzenia UTM. c) zmiana pkt 21 ust. 1 lit. c (codzienna analiza logów i zdarzeń na urządzeniach) w ten sposób, że otrzymałby brzmienie:

„codzienna analiza logów i zdarzeń generowanych przez urządzenia UTM w punktach styku (PS), z wykorzystaniem systemu SIEM Wykonawcy, celem wstępnej identyfikacji potencjalnych incydentów bezpieczeństwa i reakcji na zagrożenia. W ramach dostarczenia urządzeń UTM Zamawiający pozwoli na wprowadzenie konfiguracji umożlwiającej wysyłanie logów z urządzeń UTM w Punktach Styku (PS) do wyżej wspominanego systemu.” ewentualnie: potwierdzenie, że Zamawiający udostępni Wykonawcy system do codziennej analizy logów i​ zdarzeń oraz, że Zamawiający przeznaczy co najmniej 4 osobodni na analizę logów ​ miesiącu w systemie Zamawiającego w ramach konsultacji; w d) zmiana pkt 21 ust. 1 lit. d (analiza) zgłaszanych podatności i przypadków podejrzanego ruchu widocznych w logach pobieranych na styku WAN z Internetem w ten sposób, że otrzymałby brzmienie:

„analiza zgłaszanych podatności oraz przypadków podejrzanego ruchu widocznych w logach pobieranych na styku WAN z Internetem. Biorąc pod uwagę, że prawie 90% ruchu w sieci internet jest szyfrowana i bez deszyfrowania nie będzie możliwe pełne zidentyfikowanie podejrzanych działań, analiza zostanie realizowana wyłącznie w ramach konsultacji inżynierskich, określonych w liczbie osobodni (MD), zgodnie z odrębnymi ustaleniami pomiędzy Zamawiającym a Wykonawcą” ewentualnie: potwierdzenie, że analiza podatności i podejrzanego ruchu będzie realizowana w ramach konsultacji inżynierskich, określonych w liczbie osobodni; e) zmiana pkt 21 ust. 1 lit. e (analiza informacji o potencjalnych incydentach i w przypadku ich potwierdzenia przygotowywanie wkładu do raportów do CSIRT (w zakresie wymaganym obowiązującymi w przepisami), w ten sposób, że otrzymałby brzmienie:

„analiza informacji o potencjalnych incydentach generowanych przez urządzenia UTM ​ punktach styku (PS) oraz, w przypadku potwierdzenia ich wystąpienia, przygotowywania wkładu do raportów w przekazywanych do CSIRT, zgodnie z obowiązującymi przepisami” wraz z: (i) potwierdzeniem, że odpowiedzialność za dostarczenie danych niezbędnych do raportowania incydentów, w tym z urządzeń UTM, spoczywa po stronie Zamawiającego; (ii) potwierdzeniem, że przygotowanie wkładów będzie realizowane w ramach konsultacji inżynierskich, określonych w liczbie osobodni; (iv) doprecyzowaniem, do jakie CSIRT będą przesyłane raporty dotyczące incydentów. f) zmiana pkt 21 ust. 1 lit. f (wdrażanie zaleceń dotyczących cyberbezpieczeństwa ​ szczególności z CSIRT) w ten sposób, że otrzymałby brzmienie: w „wdrażanie zaleceń dotyczących cyberbezpieczeństwa, w szczególności zaleceń wynikających z wytycznych CSIRT, z zastrzeżeniem, że Wykonawca będzie miał odpowiednią procedurę i zasoby, aby zapewnić realizację aktualizacji bez narażania bezpieczeństwa innych urządzeń i systemów Zamawiającego, o ile dotyczą one urządzeń UTM w Punktach Styku (PS). W poniższym zakresie:” ewentualnie: (i) doprecyzowanie zaleceń dotyczących cyberbezpieczeństwa, które będą miały być wdrażane; (ii) wskazanie, które konkretnie zalecenia z zakresu cyberbezpieczeństwa (w tym z CSIRT) będą wdrażane; (iii) potwierdzenie, że wszelkie zalecenia wynikające z wytycznych CSIRT będą przekazywane Wykonawcy wraz z harmonogramami wdrożenia oraz wskazaniem priorytetów; (iv) potwierdzenie, że wszystkie dodatkowe wymagania sprzętowe lub licencyjne wynikające z zaleceń CSIRT będą realizowane w ramach odrębnych ustaleń, jeśli nie zostały przewidziane w pierwotnym zakresie umowy; g) zmiana pkt 21 ust. 1 lit. g bieżącą aktualizację oprogramowania urządzeń w ten sposób, że otrzymałby brzmienie:

„bieżącą aktualizację oprogramowania urządzeń do zalecanych przez producenta i​ wykonawce wersji oprogramowania” ” Wykonawca zobowiązuje się do bieżącej aktualizacji oprogramowania urządzeń UTM do wersji zalecanych przez producenta oraz Wykonawcę przy założeniu, że” (i) Wykonawca będzie miał odpowiednią procedurę i zasoby, aby zapewnić realizację aktualizacji bez narażania bezpieczeństwa innych urządzeń i systemów Zamawiającego; (ii) potwierdzeniu która ze stron ustali harmonogram aktualizacji oprogramowania h) zmiana pkt 21 ust. 1 lit. h (bieżące dokonywanie na wniosek Zamawiającego zleconych zmian konfiguracji, np. w celu zmian w organizacji sieci, zmian adresacji, konfiguracji VPN itd.) w ten sposób, że otrzymałby brzmienie:

„bieżące dokonywanie na wniosek Zamawiającego okresowych weryfikacji konfiguracji i reguł w ilości nie więcej niz 5 osobodni w każdym miesiącu (z tym, że niewykorzystane osobodni nie przechodzą na koljne miesiące) w okresie obowiązywania umowy” ewentualnie: doprecyzowanie, jak często będą wymagane zmiany konfiguracji (np. zmiany w adresacji sieci, konfiguracji VPN, itp.) i w jakiej ilości roboczogodzin będą one realizowane przez Wykonawcę;

1. zmiana pkt 21 ust. 2 (w zakresie działań utrzymaniowych, które mają być wykonywane ​ trybie 24/7/365, przy założeniu czasu reakcji nie dłuższego niż 1 godzina i niezwłocznej realizacji działań); w ten w sposób, że otrzymałby brzmienie:

„Działania utrzymaniowe będą wykonywane w trybie 24/7/365, przy czym czas reakcji na zgłoszone incydenty nie będzie dłuższy niż 1 godzina, a rozpoczęcie działań naprawczych nastąpi niezwłocznie po przyjęciu zgłoszenia. Strony doprecyzują szacunkową liczbę zgłoszeń (zleceń) utrzymaniowych, które mogą wystąpić w skali miesiąca lub kontraktu.” ewentualnie: wskazanie szacunkowej liczby zleceń, które mogą wystąpić w skali miesiąca/kontraktu;

1. zmiana pkt 21 ust. 3 (w zakresie raportowanie incydentów, które będzie dokonywane ​ terminach i zakresie określonych przepisami obowiązującymi w okresie trwania incydentów) w ten sposób, że w otrzymałby brzmienie:

„Raportowanie incydentów będzie dokonywane w terminach i zakresie określonymi przepisami obowiązującymi w okresie trwania incydentów. Zamawiający doprecyzuje: (i) jakie rodzaje incydentów mają być raportowane, (ii) jaki dokładnie zakres informacji musi zawierać raport (w tym dane z urządzeń UTM w PS), (iii) jakie są konkretne terminy raportowania zgodnie z obowiązującymi przepisami.” ewentualnie: doprecyzowanie jakiego rodzaju incydenty Zamawiający ma na myśli, jaki zakres raportowania jest wymagany oraz jakie są konkretne terminy raportowania zgodnie z​ obowiązującymi przepisami;

1. zmiana pkt 21 ust. 4 w zakresie zleconych zmian konfiguracji, które mają być wykonywane w terminie do 3 dni roboczych w ten sposób, że otrzymałby brzmienie:

„Zlecone zmiany konfiguracji urządzeń UTM będą wykonywane w terminie do 3 dni roboczych”. Pod warunkiem, że zostanie: (i)wskazane jaką liczbę zleceń zmiany konfiguracji Zamawiający przewiduje w ciągu miesiąca; (ii) doprecyzowane, czy Zamawiający przewiduje wykorzystanie równoległych systemów, które umożliwiłyby prawidłową klasyfikację, separację i analizę incydentów przez dedykowanego inżyniera.

Przystąpienie do postępowania odwoławczego po stronie Odwołującego zgłosił wykonawca T-Mobile Polska S.A. z siedzibą w Warszawie.

W dniu 24 lutego 2025 r. Zamawiający złożył oświadczenie, że w całości uznaje zarzuty odwołania.

Wobec powyższych ustaleń, Krajowa Izba Odwoławcza stwierdziła, że zachodzą przesłanki do wydania postanowienia o umorzeniu postępowania odwoławczego na podstawie art. 522 ust. 1 ustawy Pzp.

O kosztach postępowania odwoławczego Izba orzekła na podstawie art. 557 i 575 ustawy Pzp w zw. z § 9 ust. 1 pkt 2 lit. a) rozporządzenia Prezesa Rady Ministrów w sprawie szczegółowych rodzajów kosztów postępowania odwoławczego, ich rozliczania oraz wysokości i sposobu pobierania wpisu od odwołania z dnia 30 grudnia 2020 r. (​ Dz. U. z 2020 r. poz. 2437), nakazując dokonanie na rzecz Odwołującego zwrotu z​ rachunku Urzędu Zamówień Publicznych kwoty uiszczonej tytułem wpisu.

Przewodniczący

……………………………… ……………………………… ………………………………