KIO 3352/20 WYROK dnia 8 stycznia 2021 roku

Data: 24 lutego 2021

Sygn. akt: KIO 3352/20 

WYROK 

z dnia 8 stycznia 2021 roku 

Krajowa Izba Odwoławcza   -   w składzie: 

Przewodniczący:      Irmina Pawlik 

Protokolant:   

Piotr Kur 

po rozpoznaniu na rozprawie w dniu 4 stycznia 2021 r. w 

Warszawie odwołania wniesionego 

do  Prezesa  Krajowej  Izby  Odwoławczej  w  dniu  16 grudnia  2020  r.  przez  wykonawcę 

allclouds.pl  Spółka  z  ograniczoną  odpowiedzialnością  z  siedzibą  w    Warszawie 

postępowaniu  prowadzonym  przez  zamawiającego  Urząd  Komisji  Nadzoru  Finansowego 

siedzibą w Warszawie 

orzeka: 

1.  oddala 

odwołanie; 

kosztami  postępowania  obciąża  odwołującego  allclouds.pl  Spółka  z  ograniczoną 

odpowiedzialnością  z  siedzibą  w    Warszawie  i  zalicza  w poczet  kosztów  postępowania 

odwoławczego  kwotę  15  000  zł  00  gr  (słownie:  piętnaście  tysięcy  złotych  zero  groszy) 

uiszczoną przez odwołującego tytułem wpisu od odwołania. 

Stosownie  do  art.  198a  i  198b  ustawy  z  dnia  29  stycznia  2004  r.  - 

Prawo  zamówień  

publicznych (t.j. Dz. U. z 2019 r., poz. 1843 ze zm.) w zw. z art. 92 ust. 1 ustawy z dnia 11 

września  2019  r.  Przepisy  wprowadzające  ustawę  –  Prawo  zamówień  publicznych  (Dz.  U. 

z 2019 r., poz. 2020 ze zm.) na niniejszy wyrok - 

w terminie 7 dni od dnia jego doręczenia - 

przysługuje  skarga  za  pośrednictwem  Prezesa  Krajowej  Izby  Odwoławczej  do  Sądu 

Okręgowego w Warszawie. 

 
 
Przewodniczący:      ……………………………….……… 


Sygn. akt: KIO 3352/20 

U z a s a d n i e n i e 

Zamawiający Urząd Komisji Nadzoru Finansowego z siedzibą w Warszawie (dalej jako 

„Zamawiający”)  prowadzi  postępowanie  o udzielenie  zamówienia  publicznego  pn.  „Zakup 

usług  budowy  nowego  systemu  Sandbox’owego”  (nr  ref.  DZA-DZAZZP.2610.48.2020). 

Ogłoszenie  o zamówieniu  zostało  opublikowane  w  Dzienniku  Urzędowym  Unii  Europejskiej 

z dnia 7 grudnia 2020 r. pod numerem 2020/S 238-587649. 

Postępowanie prowadzone jest 

w trybie przetargu  nieograniczonego na podstawie ustawy z dnia 29 stycznia 2004 r. Prawo 

zamówień publicznych (tj. Dz. U. z 2019 r., poz. 1843 ze zm., dalej „ustawa Pzp”). Wartość 

szacunkowa zamówienia przekracza kwoty określone w przepisach wydanych na podstawie 

art. 11 ust. 8 ustawy Pzp.  

W  dniu  16 

grudnia  2020  r.  wykonawca  allclouds.pl  Spółka  z  ograniczoną 

odpowiedzialnością z siedzibą w  Warszawie (dalej jako „Odwołujący”) wniósł odwołanie do 

Prezesa  Krajowej  Izby  Odwoławczej  wobec  treści  specyfikacji  istotnych  warunków 

z

amówienia („SIWZ”). Odwołujący zarzucił Zamawiającemu naruszenie: 

1.  art. 

29  ust.  1  ustawy  Pzp  przez  niejednoznaczny  i  niewyczerpujący  opis  przedmiotu 

zamówienia,  bez  uwzględnienia  wszystkich  wymagań  i  okoliczności  mogących  mieć 

wpływ na sporządzenie oferty; 

art. 29 ust. 2 ustawy Pzp przez opisanie przedmiotu zamówienia w sposób utrudniający 

uczciwą konkurencję; 

art.  29  ust.  3  ustawy  Pzp  przez  opisanie  przedmiotu  zamówienia  przez  wskazanie 

pochodzenia,  źródła,  szczególnego  procesu, który  charakteryzuje wyłącznie producenta 

FireEye,  przez  co  Zamawiający  eliminuje  wykonawców  chcących  zaoferować 

konkurencyjny  produkt  i  nie  jest  to  uzasadnione  specyfiką  przedmiotu  zamówienia 

Zamawiający może opisać przedmiot zamówienia za pomocą  dostatecznie dokładnych 

określeń i może użyć wyrazów „lub równoważny”; 

4.  art.  30  ust.  4  ustawy  Pzp 

przez  zaniechanie  dopuszczenia  rozwiązań  równoważnych 

opisywanych  i  zaniechaniu  użyciu  wyrazów  „lub  równoważne",  zaniechanie  opisania 

warunków równoważności; 

5.  art.  7  ust.  1  ustawy  P

zp  przez  opisanie  przedmiotu  zamówienia,  który  eliminuje 

konkurencję,  bo  bezpodstawnie łączy  przedmiot  zamówienia,  który  można  rozdzielić  do 

innych  postępowań,  i  który  został  jedynie  po  to  połączony,  żeby  uniknąć  konkurencji, 

przez co 

nierówno traktuje wykonawców, jest nieproporcjonalny i nieprzejrzysty; 


6.  art.  5b  i  5f  ustawy  Pzp

,  bo  bezpodstawnie  łączy  przedmiot  zamówienia,  który  można 

rozdzielić,  i  który  został  jedynie  po  to  połączony,  żeby  uniknąć  konkurencji  i  umożliwić 

złożenie oferty wyłącznie na FireEye, co wyklucza innych producentów; 

7.  art.  66  ust.  1,  art.  67  ust.  2  ustawy  Pzp  przez  zaniechanie  przeprowadzenia 

postępowania  z  wolnej  ręki  w  stosunku  do  Apple  i  oddzielnego  postępowania 

konkurencyjnego przetargu nieograniczonego w pozos

tałym zakresie.  

Odwołujący  wniósł  o  uwzględnienie  odwołania  i  nakazanie  Zamawiającemu 

powtórzenia  czynności  określenia  treści  SIWZ  z  uwzględnieniem  żądań  zawartych  w 

uzasadnieniu, a także o obciążenie Zamawiającego kosztami postępowania odwoławczego.  

Uza

sadniając zarzuty Odwołujący wskazał, iż Zamawiający powinien dokonać podziału 

zamówienia  i  wyłączyć  zakres  dotyczący  Mac  OS,  ewentualnie  zmienić  SIWZ  poprzez 

dopuszczenie możliwości emulowania Mac OS o chmurę zamiast na urządzeniu. Odwołujący 

wskazał,  że  Zamawiający  ma  działalność  opartą  głownie  o  rozwiązania  na  platformie 

Microsoft, a komputery działające na systemie Mac OS stanowią zdecydowaną mniejszość. 

Objęcie  jednym  postępowaniem  zakresu  dotyczącego  niszowego  rozwiązania  Mac  OS 

dominującego  Microsoft  uniemożliwia  złożenie  oferty  innym  producentom  niż  FireEye. 

Działanie  Zamawiającego  jest  w  ocenie  Odwołującego  niedozwolonym  łączeniem 

przedmiotu zamówienia w celu uniknięcia stosowania przepisów prawa. Zamawiający nie ma 

obiektywnej  potrzeby  do  prowadz

enia  jednego  postępowania  na  Sandbox  do  systemów 

Microsoft  i  Mac  OS.   

Odwołujący  podkreślił,  że  obecny  kształt  SIWZ  umożliwia  złożenie 

oferty wyłącznie na produkt FireEye (urządzenia 2xEX 3500 plus 2xNX 4500), wygra zatem 

ten  wykonawca,  który  zarezerwuje  sprzedaż  w  FireEye  i  producent  zagwarantuje  mu 

najlepszą  cenę.      Tymczasem  na  rynku  są  inne  produkty,  które  mogą  spełnić  potrzeby 

Zamawiającego  przy  wprowadzeniu  zmian  w  SIWZ,  np.  Cisco,  Lastline,  Check  Point, 

Fortinet,  ewentualnie  SonicWall,  Forcepoint,  McAfee,  ProofPoint,  Symantec.  Liderami  na 

rynku  są  rozwiązania  Fortinet,  Trend  Micro,  Lastline,  Checkpoint,  a  produkt  FireEye  wg 

badań  firmy  NSSlabs  znajduje  się  poniżej  przeciętnej.  Odwołujący  wskazał  także  na 

okoliczność ataków hakerskich na FireEye, wskazując, że produkt tego producenta posiada 

luki  i  nie  jest  bezpieczny,  a  jako  taki  nie  odpowiada  rzeczywistym  potrzebom 

Zamawiającego.  

W zakresie pkt 2f opisu przedmiotu umowy (dalej jako „OPU”), Odwołujący wskazał, iż 

FireEye  jako  jeden  z  niewielu  producen

tów  standardowo  oferuje  licencje  systemów 

operacyjnych.  Większość  innych  producentów  oferuje  licencje  systemów  operacyjnych  za 

dodatkową opłatą. Dodatkowo świadczenia (licencje, usługi) FireEye są w języki angielskim. 

Wersje  angielskie  i  polskie  licencji  i 

warunki  usług  do  licencji  Apple  i  Microsoft  są 

utrzymywane  osobno  i  nie  są  spójne.  Poprawki  oprogramowania  objętego  licencjami 


określonymi  językiem  polskim  są  w  innym  czasie  niż  poprawki  na  język  angielski. 

Zamawiający  wymaga  dostarczenia  licencji  na  systemy  operacyjne,  ale  nie  wymaga  ich  w 

wersji  polskiej,  co  stanowi  wsparcie 

dla  FireEye,  a  także  wskazuje,  że  Zamawiający  kupi 

bezużyteczną  dla  siebie  rzecz.  Zdaniem  Odwołującego  Zamawiający  powinien  wymagać 

zaoferowania  licencji  wyłącznie  w języku  polskim.  W  konsekwencji  Odwołujący  wskazał  na 

konieczność  zmiany  pkt  2  lit  f  OPU  i  nadanie  mu  brzmienia:  „Wykonawca musi  dostarczyć 

licencje  dla  systemów  operacyjnych  maszyn  wirtualnych  na  których  odbywa  się  analiza 

plików oraz programów tam zainstalowanych w języku polskim”. 

W odniesieniu do pkt 3l.a) 

OPU, w zakresie dotyczącym Mac OS, Odwołujący wskazał, 

iż uruchomienie systemu Mac OS na urządzeniach innych niż komputery dostarczane przez 

Apple będzie równoznaczne ze złamaniem warunków licencji oprogramowania Apple. Firma 

App

le nie zezwala na uruchomienie systemu Mac OS na urządzeniach innych niż oferowane 

przez  nią.  Odwołujący  wskazał,  iż  na  rynku  istnieje  tylko  jedno  rozwiązanie  klasy  sandbox 

umożliwiające uruchomienie obrazu systemu Mac OS na urządzeniu (a nie w chmurze) – jest 

to  rozwiązanie  FireEye.    W  systemach  sandbox  np.  Trend  Micro  i  innych  producentów 

można  uruchomić  (emulować)  Mac  OS  wyłącznie  w  chmurze,  a  nie  na  urządzeniu.  Dla 

Zamawiającego nie ma żaden różnic czy uruchomienie (emulacja) następuje na urządzeniu 

czy w chmurze bo 

efekt końcowy jest ten sam. Mac OS jest rzadko stosowany w Polsce, jest 

drogi,  niszowy.  Zauważył,  że  Zamawiający  nie  wskazał  w  SIWZ,  że  posiada  systemy  firmy 

Apple, nie udowod

nił, że potrzebuje, aby sandbox objął również ochroną Mac OS. W ocenie 

Odwołującego  prawdopodobne  jest,  że  Zamawiający  nie  używa  w  ogóle  systemów  Apple 

bieżącej działalności, a zgodnie z art. 29 ust. 1 ustawy Pzp Zamawiający powinien podać 

wszystkie  okoliczności  mogące  mieć  wpływ  na  sporządzenie  oferty.  Odwołujący  wniósł 

nakazanie Zamawiającemu opisania swojego środowiska informatycznego w stosunku, do 

którego ma być dostarczony sandbox, w tym określenia w SIWZ, czy i jakich systemów Mac 

OS  i  Microsoft 

używa  Zamawiający,  w  tym  wskazania  liczby  komputerów  Apple,  liczby 

użytkowników,  rodzaju  systemów:  wersja,  rok.  Wskazał,  iż  Zamawiający  może  używać 

Microsoft  nawet  w  ponad  95%,  a  dopiero  pokazanie  liczb,  danych  przez  Zamawiającego 

pokaże tę proporcję i udowodni jak nieuzasadnione jest mieszanie w jednym postępowaniu 

Apple  (Mac  OS)  z  Microsoftem. 

Ponadto  Odwołujący  wniósł  o  zmianę  pkt  3l.a)  OPU  i 

nadanie  mu  brzmienia:  „Urządzanie  musi  posiadać  zainstalowane  maszyny  wirtualne  na 

których  obywa  się  sandboxing  zawierające:  a)  Obrazy  systemów  operacyjnych  -  minimum: 

Microsoft Windows 7 ( w  wersjach 32 i 64 bit), Microsoft Windows 10 64-bit, Mac OS (przy 

czym Mac OS może być uruchamiany (emulowany) w chmurze zamiast na urządzeniu lub w 

inny  równoważny  sposób).”  Ewentualnie,  w  przypadku  braku  uwzględnienia  tego  żądania 

Odwołujący wniósł o usunięcie Mac OS z tego postanowienia i nadanie temu postanowieniu 


brzmienia: 

„Urządzanie  musi  posiadać  zainstalowane  maszyny  wirtualne  na  których  obywa 

się  sandboxing  zawierające:  a)  Obrazy  systemów  operacyjnych  -  minimum:  Microsoft 

Windows 7 (w wersjach 32 i 64 bit), Microsoft Windows 10 64-bit

”. 

Ponadto w zakresie pkt 3l OPU, odnośnie obrazów systemów operacyjnych Microsoft 

Windows,  licencji  Windows,  MS  Office,  Odwołujący  podniósł,  iż  według  jego  wiedzy 

Zamawiający  ma  zawartą  umowę  Enterprise  Agreement  z  Microsoft  w  wyniku  udzielania 

poprzednich  zamówień  publicznych,  więc  ma  dostęp  do  licencji  Windows  i  MS  Office  we 

własnym zakresie, za które już zapłacił  w ramach innej umowy,  a wymaga dostawy licencji 

Windows oraz MS Office w tym post

ępowaniu. Zdaniem Odwołującego wyeliminowanie tych 

kosztów z postępowania jest w interesie Zamawiającego - aby nie płacił dwa razy za to, za 

co już zapłacił w umowie z Microsoft (w ramach umowy Enterprise Agreement), zawartej w 

wyniku innych postępowań. Zamawiający opisał wymóg jak gdyby nie miał licencji enterprise, 

powinien użyć licencji, które ma. Oczekiwanie dostarczenia dodatkowych licencji Microsoft 

można ocenić jako niegospodarne w tym zakresie i niewygodne dla Odwołującego, ponieważ 

żeby  złożyć  ofertę,  trzeba  również  ustalić  warunki  z  Microsoft  (który  poprzez  swoich 

dystrybutorów może dać różne ceny różnym wykonawcom), co może zaburzyć konkurencję 

uniemożliwić  nam  równe  konkurowanie  w  przetargu.  Tym  samym  wymóg  dostawy  licencji 

Windows oraz MS Of

fice przez Wykonawcę w ramach postępowania dotyczącego sandbox 

jest  nadmiarowy. 

W  ocenie  Odwołującego  rezygnacja  z  dostarczania  obrazów  systemów 

Microsoft  jest  dodatkowo  uzasadniona  tym,  że  obrazy  MS  Windows  dostarczane  są  przez 

wszystkich  producentów  sandbox  w  wersji  angielskiej,  a  Zamawiający  przecież  używa 

Windows w wersji polskiej (co sprawia, że dostarczone obrazy będą bezużyteczne, bo i tak 

Zamawiający będzie używał swoich licencji w języku polskim). Ponadto w przypadku licencji 

OEM-

owych  (których  Zamawiający  wymaga)  zachodzi  ryzyko  wykrycia  przez  malware 

licencji generycznej-

sandboxowej i zastosowania technik unikania (evasion techniques), więc 

nie  jest  to  preferowane  rozwiązanie,  bo  nie  zapewnia  odpowiedniego  bezpieczeństwa. 

Odwołujący wniósł o nakazanie Zamawiającemu określenia w SIWZ, czy i do jakich maszyn 

wirtualnych  Microsoft  ma  dostęp  w  ramach  umowy  Enterprise  Agreement  (specyfikacja 

maszyn  wirtualnych,  dat  obowiązywania umowy,  wersji  językowych do  których ma dostęp), 

gdyż  informacja  taka  ma  wpływ  na  sporządzenie  oferty.  Ponadto  Odwołujący  zażądał 

usunięcia pkt a) z pkt 3.l, usunięcia wyrazów  Microsoft Office" z

pkt b) w pkt 3.l; usunięcia 

wyrazów „systemów operacyjnych V z pkt c) w pkt 3.1. Po zmianach pkt 3.l OPU powinien 

mieć treść: „Urządzenie musi posiadać zainstalowane maszyny wirtualne na których obywa 

się  sandboxing  zawierające:  a)  usunięty  b)  Zainstalowane  oprogramowanie  narzędziowe 

minimum  typu:  Adobe  Reader,  Flash  Player  c)  Wszystkie  niezbędne  licencje  do 

zaproponowanego przez oprogram

owania narzędziowego." 


W zakresie pkt 4o OPU Odwołujący wskazał, iż urządzenia analizujące ruch sieciowy 

podłączane do sieci za pomocą TAPów lub analizujące ruch sieciowy ze SPAN portów same 

w  sobie  nie  posiadają  możliwości  blokowania  ruchu  sieciowego.  Odwołujący  zażądał,  aby 

Zamawiający  dopuścił  rozwiązanie,  które  będzie  blokowało  niebezpieczną  komunikację 

poprzez integrację z innymi urządzeniami sieciowymi takimi jak Check Point, Pało Alto, IBM 

Security  NetWork  Protection  czy  TippingPoint.  Odwołujący  zakłada,  że  taki  był  cel 

Zamawiającego,  skoro  dopuścił  zastosowanie  TAPów  i  SPAN  portów.  Odwołujący  wniósł 

zmianę  pkt  4o  OPU  i  nadanie  mu  brzmienia:  „Urządzenie  musi  blokować  dany  ruch 

przypadku  wykrycia  zagrożenia  pochodzącego  z  analizy  sandboxowej.  Blokowanie 

niebezpiecznej  komunikacji  może  nastąpić  przez  integrację  z  innymi  urządzeniami 

sieciowymi które posiada Zamawiający.” 

Odnośnie  pkt  2e  OPU  Odwołujący  wniósł  o  dopuszczenie  przez  Zamawiającego 

dostarczenia  elementów  zarządzania  i  raportowania  w  formie  maszyn  wirtualnych  (virtual 

appliance), z zastrzeżeniem, że wszystkie elementy systemu będą tego samego producenta. 

Zażądał zmiany treści pkt 2e OPU na następującą: „System musi mieć element (pojedynczy 

serwer/interfejs  zarządzający)  zarządzający  z  poziomu  którego  można  zarządzać 

elementami systemu, konfigurować je, przeglądać zdarzenia związane z sandboxingiem oraz 

generować  raporty:  elementy  zarządzania  i  raportowania  mogą  być  dostarczone  w  formie 

maszyn wirtualnych (virtual appliance). 

W  zakresie  pkt  3a 

OPU  Odwołujący  wskazał,  iż  oczekuje,  aby  Zamawiający  dopuścił 

dostarczenie  rozwiązania,  gdzie  urządzenia  mogą  być  dostarczone  jako  zestaw  urządzeń 

podziałem na poszczególne funkcjonalności (np. urządzenia do analizy ruchu pocztowego, 

urządzenia  do  analizy  sandbox,  urządzenia  do  logowania  i  raportowania),  bo  jest  to 

korzystne  dla  Zamawiającego.  Odwołujący  wniósł  o  zmianę  pkt  3a  w  następujący  sposób: 

„Zamawiający  wymaga  dostarczenia,  zainstalowania  i  skonfigurowania  minimum  dwóch 

fizycznych  urządzeń  do  ochrony  kanału  pocztowego  w  sieci  UKNF,  przy  czym  urządzenia 

mogą być dostarczone jako zestaw urządzeń z podziałem na poszczególne funkcjonalności 

(np. urządzenia do analizy ruchu pocztowego, urządzenia do analizy sandbox, urządzenia do 

logowania i raportowan

ia)”. 

W  odniesieniu  do  pkt  3b  OPU  Odwołujący  zażądał,  aby  Zamawiający  zaakceptował 

rozwiązanie,  w  którym  urządzenia  realizujące  sandboxing  będą  dostarczone  w  postaci 

zamkniętej  platformy  sprzętowej  a  inne  elementy  systemu mogą  być  dostarczone  w  formie 

maszyny  wirtualnej  - 

z  zastrzeżeniem,  że  wszystkie  elementy  systemu  będą  tego  samego 

producenta. Odwołujący wniósł o zmianę pkt 3b w następujący sposób: „Elementy Systemu 

odpowiedzialne  za  analizę  wiadomości  email  pod  kontem  zaawansowanej  analizy 

potencjalnie 

niebezpiecznego  kodu  (sandboxing)  muszą  być  dostarczone  w  postaci 


zamkniętej  platformy  sprzętowej.  Zamawiający  dopuszcza,  by  urządzenia  realizujące 

sandboxing  były  dostarczone  w  postaci  zamkniętej  platformy  sprzętowej,  a  inne  elementy 

systemu mogą być dostarczone w formie maszyny wirtualnej - przy czym wszystkie elementy 

systemu będą tego samego producenta.” 

W  zakresie  pkt  3c  OPU  Odwołujący  wskazał  na  brak  danych  odnośnie  liczby 

jednoczesnych sesji http/https oraz liczby użytkowników systemu pocztowego oraz skrzynek 

pocztowych,  którzy  mają  podlegać  ochronie,  co  utrudnia  określenie  przedmiotu  oferty 

zaoferowanie  odpowiedniej  ceny,  a  OPU  w  tym  zakresie  jest  nieokreślony.  Odwołujący 

wniósł o określenie przez Zamawiającego w pkt 3 liczby jednoczesnych sesji http/https oraz 

liczby użytkowników systemu pocztowego oraz skrzynek pocztowych, którzy mają podlegać 

ochronie.  

Niezależnie od powyższego Odwołujący wskazał, iż SIWZ jest sprzeczny z aktualnymi 

rekomendacjami  dotyczącymi  sporządzania  SIWZ  na  systemy  informatyczne,  z  których 

wynika, 

że zakazane jest pośrednie albo bezpośrednie ograniczanie konkurencji. Odwołujący 

wskazał  także  na  sprzeczność  SIWZ  z  orzecznictwem  KIO.  Zamawiający  tak  opisał 

wymagania,  że  faktycznie,  między  innymi,  co  do  Mac  OS  powinien  przeprowadzić  wolną 

rękę  (gdy  wymaga  uruchomienia,  emulacji  na  urządzeniu  zamiast  w  chmurze,  co  jest 

bezpodstawnym wymogiem), a co do reszty: przetarg nieograniczony. Wymóg uruchamiania 

(emulacji)  na  urządzeniu  zamiast  na  chmurze  eliminuje  z  przetargu  innych  producentów. 

Taki  zbiór  wymogów  jaki  zamawiający  opisał  stanowi  niedozwolone  łączenie  w  celu 

promowania FireEye. Zdaniem Odwołującego Zamawiający nie ma obiektywnej potrzeby by 

emulować Mac Os wyłącznie w urządzeniu a nie w chmurze, nie wymagać języka polskiego, 

łączyć  w  jednym  postępowaniu  Mac  OS  (Apple)  i  Microsoft,  bo  to  jest  korzystne  wyłącznie 

dla  FireEye.  Wykonawca  ma  jedynie  uprawdopodobnić,  a  nie  udowodnić  roszczenie. 

Przedmiot  zamówienia  powinien  zostać  opisany  w  taki  sposób,  żeby  dopuszczać  inne 

rozwi

ązania  dostępne  na  rynku  niż  Fireeye.  Zamawiający  nie  ma  uzasadnionej  potrzeby  w 

żądaniu  dostarczenia  licencji,  które  ma  (Microsoft).  Zamawiający  nie  uzasadnił 

wyczerpująco, dlaczego, zdecydował się na wykluczenie innych rynkowych rozwiązań, ciężar 

dowodu 

jest  po  stronie  Zamawiającego.  W  ocenie  Odwołującego  Zamawiający  ma  prawo 

nabyć produkt zaspokajający jego potrzeby, jednak żądane cechy tego produktu muszą być 

uzasadnione jego racjonalnymi potrzebami, a nie nieuzasadnione. Przedmiotem zamówienia 

nie jest 

rozbudowa, nie ma więc żadnego powodu, aby SIWZ rzeczywiście dopuszczało tylko 

jedno  z 

rozwiązań  dostępnych  na  rynku  (rozpracowane  przez  hakerów,  nie  zapewniające 

bezpieczeństwa)  bez  dopuszczenia innych,  bez  racjonalnej  argumentacji,  bez  prawdziwych 

potrzeb. 


Zamawiający  w  dniu  4  stycznia  2021  r.  złożył  pisemną  odpowiedź  na  odwołanie,  w 

której wniósł o oddalenie odwołania w całości jako niezasadnego. 

Zdaniem 

Zamawiającego 

Odwołujący 

sposób 

bezpodstawny 

zarzuca 

Zamawiającemu  brak  kompetencji,  nieznajomość  przepisów  prawa,  a  także  w 

niedopuszczalny  sposób  próbuje  narzucić  Zamawiającemu  rozwiązania  nie  spełniające 

uzasadnionych  potrzeb  Zamawiającego,  samemu  prezentując  brak  rozeznania  w  obszarze 

cyberbezpieczeństwa lub wręcz celowo próbując manipulować faktami, stwierdzeniami oraz 

przytoczonymi  przykładami w  celu wprowadzenia  w  błąd  KIO,  powołując się na  nierzetelne 

opracowania  oraz  źródła  internetowe,  próbując  zdyskredytować  przygotowane  przez 

specjalistów  Zamawiającego  postępowanie.  Odwołujący  realizując  swoje  partykularne 

interesy, tj. w celu sprzedaży produktu/rozwiązania, które posiada w swojej ofercie, ale które 

najwidoczniej nie spełnia w pełnym zakresie wymagań określonych przez Zamawiającego w 

treści  SIWZ,  próbuje  wymusić  na  Zamawiającym  odstąpienie  od  wymagań  podyktowanych 

interesem  publicznym  oraz  uzasadnionymi  i  obiektywnymi  potrzebami  Zamawiającego,  w 

tym w szczególności związanymi z realizacją zadań związanych z kwestiami bezpieczeństwa 

systemu  finansowego  Państwa.  Powyższe  naraża  Zamawiającego  na  ryzyka  naruszenia 

bezpieczeństwa  danych  i informacji,  w  tym  tajemnic  chronionych  przepisami  prawa, 

przetwarzanych w systemach teleinformatycznych Zamawiającego, jak również w systemach 

profesjonalnych  i 

nieprofesjonalnych  uczestników  rynku  finansowego.  Zamawiający  powołał 

się  na  orzecznictwo  KIO  odnoszące  się  do  opisywania  przedmiotu  zamówienia.  Podkreślił, 

że  zgodnie  z  art.  29  ust.  1  ustawy  Pzp,  dokonał  opisania  przedmiotu  zamówienia  w  SIWZ 

sposób jednoznaczny i wyczerpujący, za pomocą dostatecznie dokładnych i zrozumiałych 

określeń,  uwzględniając  wszystkie  wymagania  i  okoliczności  mogące  mieć  wpływ  na 

sporządzenie  oferty.  Opisany  przez  Zamawiającego  przedmiot  zamówienia,  czyni  zadość 

wymogom art. 29 ust 1 ustawy Pzp i w żaden sposób nie utrudnia uczciwej konkurencji. 

Zamawiający  podkreślił,  że  nie  istnieją  na  rynku  rozwiązania  umożliwiające  realizację 

przedmiotu  zamówienia  tylko i  wyłącznie dla systemów  Mac OS  (Apple),  a co za tym  idzie 

Zamawiający  musiałby  wydatkować  kolejne  środki  finansowe  na  rozwiązanie  tożsame 

przedmiotem niniejszego zamówienia, tj. realizujące określone w przedmiocie zamówienia 

zadania,  zarówno  dla  systemów  MS  Windows  jak  i  Mac  OS  (Apple).  Żądane  przez 

Odwołującego  dokonanie  podziału  zamówienia  spowodowałoby  zdublowanie  zakupionego 

rozwiązania  informatycznego  (o  analogicznych  funkcjonalnościach  w  odniesieniu  do 

systemów MS Windows), a co za tym idzie doprowadziłoby do ewidentnej niegospodarności 

nieracjonalnego  gospodarowania  środkami  publicznymi,  ponieważ  wymagałoby  zakupu 

kolej

nych  nowych  urządzeń  lub  rozwiązań  informatycznych  do  obsługi  kanału  pocztowego 

kanału  www  wraz  z  nowym  systemem  zarzadzania,  monitoringu  i  raportowania.  Żądane 


przez  Odwołującego  rozdzielenie  zamówienia  doprowadziłoby  do  sytuacji,  w  której 

Zamawiający  niegospodarnie,  wykorzystując  publiczne  środki  finansowe  zakupiłby  dwa 

rozwiązania  realizujące  te  same  zadania.  Wdrożenie  dwóch  rozwiązań  narusza  zasadę 

celowego  i  racjonalnego  gospodarowania  publicznymi  środkami  finansowymi  także  w 

związku  z  koniecznością  zapewnienia  (rozumianego  jako  zatrudnienie  lub  podnoszenie 

kwalifikacji)  dodatkowych  zasobów  osobowych  związanych  z  utrzymaniem  obu  rozwiązań 

Ponadto  Zamawiający,  realizując  postulaty  Odwołującego,  musiałby  używać  dwóch 

niezgodnych  i niekompatybilnych  ze  s

obą  systemów  pochodzących  od  różnych 

producentów,  służących  do  wykonywania  sandboxingu,  gdyż,  jak  wskazano  już  wcześniej, 

na rynku nie ma rozwiązania dedykowanego tylko i wyłącznie pod analizę systemu Mac OS. 

W tym kontekście co  najmniej  nietrafiona jest także sugestia  Odwołującego,  iż rozwiązanie 

takie Zamawiający miałby kupić w trybie zamówienia z wolnej ręki - nie da się kupić, nawet w 

trybie  niekonkurencyjnym,  czegoś  co  obiektywnie  nie  istnieje.  Zamawiający  musiałby 

stosować  wiele  rozwiązań  mimo,  iż  na  rynku  istnieją  rozwiązania  (co  najmniej  2),  które 

zapewniającą  kompleksową,  jednoczesną  ochronę  maszyn  pracujących  na  systemach  MS 

Windows  i  Mac  OS.  Zamawiający  musiałby  wykonać  szkolenia  z  administrowania  i 

utrzymania tych produktów dla swoich pracowników, zapewniać wsparcie dla tych systemów, 

odnawianie licencji oraz zaangażować dodatkowe zasoby ludzkie do ich efektywnej obsługi. 

Także  przez  pryzmat  bezpieczeństwa  nie  byłoby  między  nimi  takiej  wymiany  i  korelacji 

informacji, jaka ma miejsce w systemie jed

nolitym, pochodzącym od jednego producenta. 

Zamawiający wyjaśnił, że nie ma znaczenia liczba posiadanych urządzeń w kontekście 

wykorzystywanych  na  nich  systemów,  ale  sam  fakt  wykorzystywania  wskazanych  w  opisie 

przedmiotu  zamówienia  różnych  systemów  w  infrastrukturze  teleinformatycznej 

Zamawiającego.  Zamawiający  posiada  także  urządzania  pracujące  pod  kontrolą  Mac  OS 

(a 

nie jedynie Microsoft Windows), które służą do realizacji zadań służbowych (dotyczących 

także  przetwarzania  informacji  prawnie  chronionych)  przez  pracowników  Zamawiającego  i 

dla  nich  również  wymagane  jest  zachowanie  ochrony  na  tak  samo  wysokim  poziomie. 

Wskazał,  iż  szeroko  pojęte  standardy  cyberbezpieczeństwa,  nie  dopuszczają  traktowania 

bezpieczeństwa w aspekcie ilościowym, nawet jedno urządzenie Zamawiającego nie objęte 

ochroną  może  wpłynąć  negatywnie  na  bezpieczeństwo  wszystkich  systemów 

teleinformatycznych  Zamawiającego,  a  także  co  bardzo  istotne  podmiotów  działających  na 

polskim  rynku  finansowym. 

Zamawiający  wskazał  ponadto,  iż  rozpatrywanie  kwestii 

przedmiotowego zamówienia publicznego musi być prowadzone w odniesieniu do ustrojowej 

pozycji i roli Zamawiającego w systemie finansowym Państwa, jego roli w krajowym systemie 

cyberbezpieczeństwa,  a  także  jego  zadań  ustawowych  oraz  specyfiki  pracy.  Zamawiający 

opisał  zadania  Komisji  Nadzoru  Finansowego,  podnosząc,  że  realizuje  szereg  zadań 


wspierających  i  zapewniających  możliwość  wykonywanie  zadań  i  kompetencji  przez  KNF, 

m.in.  prowadząc  stałą  wymianę  informacji,  zarówno  ze  wszystkimi  podmiotami  polskiego 

rynku finansowego, których w ogólnym rozrachunku jest około 1200, jak również z klientami 

tych  instytucji,  tj.  klientami  banków,  instytucji  sektora  ubezpieczeniowego,  kapitałowego, 

SKOK,  KIP  oraz  MIP.  Z  informacji  nadzorczych  posiadanych  przez  Ur

ząd  KNF  wynika,  że 

zarówno  profesjonalni  (rozumiani  jako  podmioty  polskiego  rynku  finansowego),  jak  i 

nieprofesjonalni uczestnicy (tj. klienci) rynku finansowego korzystają z rozwiązań finny Apple. 

Jednocześnie  Zamawiający  wskazał,  iż  zgodnie  z  zapisami  ustawy  o  krajowym  systemie 

cyberbezpieczeństwa  KNF  jako  organ  właściwy  realizuje  szereg  zadań  nadzorczych 

wspierających  wobec  szczególnie  istotnych  z  punktu  widzenia  państwa  polskiego 

podmiotów rynku finansowego, wskazanych ustawą jako Operatorzy Usług Kluczowych. 

Zamawiający  mając  świadomość  swojej  roli  organu  nadzoru  oraz  organu  właściwego 

jak również ryzyka związanego z obszarem cyberbezpieczeństwa, tak zaplanował i prowadzi 

przedmiotowe  postępowanie  przetargowe,  aby  oprócz  ochrony  własnych  zasobów 

infor

macyjnych,  wykazując  dojrzałość  i  świadomość  w  obszarze  cyberbezpieczeństwa, 

ograniczyć  ryzyko  oraz  zapewnić  bezpieczeństwo  i  chronić  również  uczestników  rynku 

finansowego,  tj.  podmioty  rynku  finansowego  oraz  ich  klientów.  W  sytuacji,  w  której 

Zamawiający  zrezygnowałby  z  ochrony  systemów  operacyjnych  Mac  OS  (Apple),  które  są 

wykorzystywane przez niego do działalności operacyjnej i z których to rozwiązań korzystają 

także nadzorowane podmioty rynku finansowego, istnieje prawdopodobieństwo materializacji 

ryzyk

a,  polegającego  na  otrzymaniu  oraz  -  w  wyniku  nie  posiadania  odpowiednie 

infrastruktury  chroniącej  systemy  operacyjne  Mac  OS  (Apple)  -  dalszej  nieświadomej 

dystrybucji  złośliwego  oprogramowania  do  polskich  instytucji  finansowych,  w  wyniku  czego 

Zamawiający mógłby ponieść niepoliczalne straty wizerunkowe i w konsekwencji narazić w/w 

podmioty rynku finansowego na nieokreślone straty zarówno  wizerunkowe, jak i finansowe. 

Zamawiający  przedstawił  także  argumentację  wskazującą  na  istnienie  realnego  zagrożenia 

dla 

systemów Mac OS (Apple) Zamawiający podkreślił, że wymaga dostarczenia systemu do 

ochrony  wszystkich  systemów,  na  jakich  pracują  jego  pracownicy.  W  związku  z  tym 

bezpodstawne  jest  twierdzenie,  że  Zamawiający  połączył  niszowe  rozwiązanie  z 

dominującym,  ponieważ  ochronie  podlegać  ma  każdy  system  używany  przez 

Zamawiającego  Zamawiający  zauważył  także,  że  przedmiot  zamówienia  jest  jednolity  i  nie 

przewiduje różnorodnych świadczeń, które uzasadniałyby podział zamówienia na części. 

Odnosząc  się  do  żądania  dotyczącego  przetwarzania  danych  w  chmurze 

obliczeniowej, 

Zamawiający wskazał, iż jest ono niedopuszczalne nie tylko z punktu widzenia 

obowiązujących  przepisów  oraz  ochrony  interesów  Zamawiającego,  ale  także  interesów 

podmiotów  rynku  finansowego,  na  rzecz  których  Zamawiający  realizuje  zadania  publicznie. 


Z

amawiający  wymienił  rodzaje  informacji  podlegających  ustawowej  ochronie,  które  są 

przetwarzane  w  jego  infrastrukturze

,  wskazując,  iż  gdyby  zrealizować  żądanie 

Odwołującego,  to  informacje  te  musiałby  być  przetwarzane  poza  tą  infrastrukturą,  gdyż 

system  analizujący  m.in.  pocztę  mailową  przetwarzałby  te  dane  i  informacje  (w  tym 

tajemnice  prawnie  chronione)  w  celu  ich  analizy  w  chmurze  obliczeniowej. 

Obowiązujące 

przepisy  prawa 

nie  dają  Zamawiającemu  podstawy  prawnej  do  powierzenia  ich  dalszego 

przetwarzania  przez  podmioty  trzecie.  Ponadto  kwestie  przetwarzania  danych  (w  tym 

tajemnic  prawnie  chronionych)  w  chmurze  obliczeniowej  dotykają  również  kwestii 

umożliwienia  dostępu  do  tych  danych  (w  tym  tajemnic  prawnie  chronionych)  nie  tylko 

dostawcy  oprogramowania  sandbox,  ale 

również  jego  ewentualnym  poddostawcom,  co  z 

punktu  widzenia  prawa  jest  niedopuszczalne. 

Zamawiający  zwrócił  także  uwagę  na 

Narodowe  Standardy  Cyberbezpieczeństwa  -  Standardy  Cyberbezpieczeństwa  Chmur 

Obliczeniowych (SCCO)

, gdzie wskazano, iż ze względu na wrażliwość niektórych informacji 

mogą  być  one  przechowywane  i  przetwarzane  tylko  w środowisku  Rządowej  Chmury 

Obliczeniowej  (Poziom  SCCO3,  do  którego  należy  zaliczyć  informacje  prawnie  chronione, 

wskaz

ane  przez  Zamawiającego).  Zamawiający  wyjaśnił,  że  jednostki  administracji 

publicznej nie mogą przetwarzać tego rodzaju informacji z wykorzystaniem usług publicznych 

chmur  obliczeniowych,  nawet  pod  warunkiem  spełnienia  przez  dostawcę  danych  usług 

organizac

yjnych i technicznych wymagań SCCO, brak jest podstawy prawnej do powierzenia 

przetwarzania krytycznych z punktu widzenia rynku finansowego danych i informacji (w tym 

informacji  prawnie  chronionych)  podmiotom,  które  będą  przetwarzały  te  dane  w  chmurze 

obli

czeniowej, udostępniając je podmiotom realizującym na ich rzecz zadania związane np. z 

utrzymaniem  rozwiązań  chmurowych.  Stąd  celowo,  mając  na  względzie  powyższe, 

Zamawiający  wskazał  na  konieczność  przetwarzania  ww.  danych  i informacji  (w  tym 

informacji  pr

awnie  chronionych)  w  infrastrukturze  Zamawiającego,  a  nie  w rozwiązaniu 

chmurowym.  N

ie  stanowi  to  pozornej  potrzeby  Zamawiającego  ani  nie  służy  ograniczeniu 

konkurencji  - 

tego typu rozwiązania (systemy) istnieją na rynku, a to, że akurat Odwołujący 

nimi n

ie dysponuje nie powinno wpływać na treść SIWZ i wymagania Zamawiającego. 

Zamawiający podniósł, iż zgodnie ze stanem jego wiedzy na rynku istnieją co najmniej 

dwa  rozwiązania  spełniające  wymogi,  co  do  systemów  operacyjnych  zawartych  w  opisie 

przedmiotu  zam

ówienia.  Zamawiający  nie  precyzował  wymogów  pod  kątem  konkretnego 

producenta  systemów,  tylko  w  sposób  rzetelny  i  kompleksowy,  a  także  obiektywny,  opisał 

swoje potrzeby, uwzględniające jego ustawowe zadania, zakres działania, pozycję ustrojową 

oraz  istotną  rolę  w  systemie  finansowym  państwa,  uwzględniając  także  zakres  i  charakter 

danych  i  informacji  (w  tym  informacji  prawnie  chronionych)  przetwarzanych  w  systemach 

teleinformatycznych  Zamawiającego.  Ponadto  zaznaczył,  iż  wskazane  przez  Odwołującego 


urządzenia - 2 sztuki EX 3500 oraz 2 sztuki NX 4500 w ocenie Zamawiającego również nie 

spełniają  wszystkich  wymogów  postawionych  w  opisie  przedmiotu  zamówienia,  ponieważ 

zgodnie z jego zapisami Zamawiający wymagał również obsługi interfejsu API, zarządzania, 

obsługi zdarzeń i generowania raportów. Zdaniem Zamawiającego celem Odwołującego nie 

jest  przeciwdziałanie  ograniczeniu  konkurencji,  które  w  przedmiotowej  sprawie  w  ogóle  nie 

wystąpiło,  tylko  dostosowanie  wymagań  określonych  w  SIWZ  do  systemów  oferowanych 

przez  O

dwołującego.  Zamawiający  zauważył  także,  że  żaden  z  innych  wykonawców  nie 

przystąpił do odwołania po stronie Odwołującego, jak również nie wniósł odwołania, co budzi 

wątpliwości  co  do  prawdziwości  twierdzeń  Odwołującego,  w  szczególności  tych 

sugerujących,  że  taki  opis  przedmiotu  zamówienia  wskazuje  na  produkt  firmy  FireEye  i 

uniemożliwia zaoferowanie rozwiązań przez inne firmy.  

Zamawiający  wskazał  także,  że  nie  precyzował  w  SIWZ  kryteriów  jakościowych 

rozwiązania,  odnoszących  się  czy  pozycjonujących  oferowany  produkt  wobec  innych 

produktów  z  danej  kategorii.  Używanie  w  tym  przypadku  przez  Odwołującego  argumentów 

wskazujących na  wyższość jednego  produktu  nad  drugim  jest  bezzasadne  i  bez  znaczenia 

dla  przedmiotu  sprawy

.  Twierdzenia  Odwołującego,  bez  podania  kontekstu  całego 

zdarzenia, stanowi

ą manipulację faktami. Artykuły wskazane przez Odwołującego pochodzą 

z  pierwszych  dni  po  wykryciu 

incydentu  bezpieczeństwa  przez  firmę  FireEye,  której 

bezpieczeństwo  zostało  naruszone  w  wyniku  działań  cyberprzestępców  wykorzystujących 

lukę  bezpieczeństwa  w oprogramowaniu  firmy  trzeciej,  a  nie  firmy  FireEye.  Firma  FireEye 

stała się  ofiarą  cyberprzestępstwa  tak,  jak  pozostała  nieustalona  na  dzień  dzisiejszy  liczba 

firm,  organizacji  i 

instytucji  rządowych  korzystających  z  zainfekowanego  oprogramowania 

firmy trzeciej  (nie  firmy FireEye)

. Oprócz firmy FireEye ofiarami tego incydentu mogło paść 

około  18  tys.  firm,  organizacji  oraz  instytucji  publicznych  korzystających z  oprogramowania 

firmy  trzeciej  tj.  SolarWinds. 

Zamawiający  zauważył,  że  o  właśnie  firma  FireEye  jako 

pierwsza wykryła przytoczony tu incydent, co świadczy o jej doświadczeniu i zaawansowaniu 

technologicznym  Przytaczany  przez  Odwołującego  incydent  jest  obecnie  uznawany  za 

największy  i najpoważniejszy  incydent  bezpieczeństwa  związany  z  działalnością 

cyberprzestępczą,  które  obecnie  uznawane  jest  za  akt  cyberszpiegostwa,  tj.  atak 

przeprowadzony przez grupę/grupy cyberprzestępcze związane z rządem jednego z państw 

Odnosząc  się  do  wymagania  z  pkt  2f  OPU  Zamawiający  wskazał,  iż  żądanie 

Odwołującego  dostarczenia  licencji  na  systemy  operacyjne  w  języku  polskim  ogranicza 

konkurencję.  Wyjaśnił,  iż  celowo  nie  wskazywał  języka,  w  jakim  mają  być  dostarczone 

obrazy  systemów  operacyjnych  na  potrzeby  emulacji  dla  maszyn  wirtualnych,  aby  nie 

ograniczać konkurencyjności Od wielu lat Zamawiający korzysta z rozwiązania realizującego 

zadania  sanboxingu,  w  którym  używane  są  obrazy  angielskich  systemów  operacyjnych,  na 


których  wykonywana  jest  analiza  danych  na  potrzeby  wykrywania  zagrożeń 

c

yberbezpieczeństwa,  w związku  z  tym  twierdzenie,  że  kupi  „bezużyteczne  elementy”  jest 

nieprawdziwe.  Zdaniem  Zamawiającego  nieprawdziwe  są  także  argumenty,  że 

oprogramowanie  w  języku  polskim  zapewni  bezpieczeństwo  większe,  niż  w  innym  języku. 

Tym  bardziej, 

że,  jak  wskazał  sam  Odwołujący,  poprawki  bezpieczeństwa  dla  języka 

polskiego i innych języków są dostarczane w różnym czasie. Zamawiający podkreślił, że to 

właśnie  poprawki  dla  systemów  polskojęzycznych  dostarczane  są  później,  gdyż  natywnym 

językiem systemu Microsoft Windows jest język angielski.  

W  zakresie  pkt  3l  OPU  Zamawiający  podtrzymał  wcześniejszą  argumentację 

odnoszącą  się  do  systemu  Mac  OS  i  przetwarzania  danych  i  informacji  w  chmurze 

obliczeniowej. Dodał, że argumenty o tym, że rozwiązania firmy Apple są rzadko stosowane 

w  Polsce,  są  drogie  i niszowe,  są  nie  tylko  jedynie  własnym  poglądem  Odwołującego,  nie 

popartym żadnymi dowodami. Zamawiający wskazał, iż dokonał analizy wykorzystania przez 

uczestników  rynku  finansowego,  korzystających  z  rozwiązań  Apple,  zasobów  i  systemów 

informatycznych  Zamawiającego  dostępnych  w  Internecie,  tj.  strony  www  Zamawiającego  i 

dostępnych  dla  uczestników  rynku  finansowego  dedykowanych  systemów.  Statystyki 

wskazują  na  generowanie  przez  systemy  Apple  zapytań  do  systemów  teleinformatycznych 

Zamawiającego  na  poziomie  ok.  12  tys.  zapytań  dziennie  przy  całościowej  liczbie  zapytań 

ok.  300  tys.  dziennie.  Zamawiający  dodał  także,  że  kryteria  ilościowe  w  odniesieniu  do 

kwestii  systemów  bezpieczeństwa nie mają zastosowania  w  przypadku celu realizowanego 

przez  przedmiot  niniejszego  zamówienia,  w  związku  z  tym  postulat  o  wykazanie  liczby 

systemów  Microsoft  i Mac  OS  (Apple)  jest  bezzasadnym  wnioskiem  Odwołującego  -  taka 

informacja  nie  niesie  żadnej  wartości  dodanej,  ani  nie  jest  potrzebna  do  przygotowania 

oferty,  o  czym  podmiot  profesjonalnie  działający  na  danym  rynku  winien  wiedzieć. 

Zamawiający wskazał, iż opis  środowiska informatycznego Zamawiającego zawarty został w 

opisie przedmiotu  zamówienia i  jest  on  wystarczający  do  przygotowania oferty.  Urządzenia 

wykonujące sandboxing powołują na bieżąco maszyny wirtualne i wykonują na nich analizy. 

Rodzaj analizy związany jest wyłącznie z przesyłanymi (otrzymywanymi z zewnątrz) danymi 

(plikami, linkami, stronami www) nie zaś, jak sugeruje Odwołujący, liczbą komputerów, liczbą 

użytkowników,  rodzajem  systemu  MAC  OS/MS  Windows,  czy  tym  bardziej  ich  wersji  i  dat 

wydania.  Kryteria  ilościowe  w  odniesieniu  do  kwestii  systemów  bezpieczeństwa  nie  mają 

zastosowania,  ponieważ  ważne  jest  wykonanie  analizy  plików  dla  wszystkich  urządzeń 

posiadanych  przez  Zamawiającego.  Infekcja  dowolnego  (nawet  pojedynczego)  komputera 

stanowi  nieakceptowalne  z  punktu  widzenia  ochrony  danych  i  informacji  (w  tym  informacji 

prawnie  chronionych)  przetwarzanych  przez  Zamawiającego  ryzyko,  dlatego  wychwycenie 

zainfekowanych plików, w jak największym spektrum, jest z punktu widzenia Zamawiającego 


krytyczne  i  dotyczy  równorzędnie  systemów  Mac  OS  (Apple)  jak  i  Microsoft  Windows. 

Podanie informacji, których żąda Odwołujący nie jest potrzebne do przygotowania i wyceny, 

Odwołujący  wymaga  od  Zamawiającego  ujawnienia  danych  nie  związanych  z 

przedmiotowym postępowaniem. 

Odnośnie  pkt  3l  OPU,  w  zakresie  dotyczącym  obrazów  systemów  operacyjnych 

Microsoft  Windows,  licencji  Windows,  MS  Office, 

Zamawiający  wskazał,  iż  w  umowie 

Enterprise  Agreement  nie ma zapisów  umożliwiających wykorzystanie licencji  dla urządzeń 

dostarczonych przez inne podmioty w ramach innych umów, a tylko na urządzania używane 

przez  Zamawiającego.  Na  urządzeniach  sandboxa  maszyny  wirtualne  powoływane  są  za 

każdym  razem  automatycznie  na  dany  czas  analizy,  umowa  Enterprise  Agreement  nie 

obejmuje  swoim  zakresem  tego  typu  używania  licencji.  Ponadto  przywołana  przez 

Odwołującego  umowa  Enterprise  Agreement  dotyczy  obrazów  w  języku  polskim,  a  jak 

wykazano  i  uzasadniono  powyżej  Zamawiający  dopuszcza  też  analizy  sandboxowe  na 

obrazach  angielskojęzycznych.  Według  umowy  zużycie  licencji  musi  być  rejestrowane 

monitorowane,  a  w  przypadku  rodzaju  systemu,  którego  dotyczy  przedmiotowe 

post

ępowanie przetargowe, niemożliwe jest określenie ilości maszyn które będą powoływane 

do życia, gdyż jest to liczba zmienna i  zgodnie z szacunkami Zamawiającego oscyluje ona 

od  0  do  13000  maszyn  wirtualnych  dziennie.  Użycie  maszyn  na  potrzeby  sandboxingu  nie 

zostało  ujęte  w umowie  Enterprise  Agreement,  która  to  umowa  ekspiruje  wcześniej  niż 

planowany  zakup  sytemu  sandboxingu.  Zamawiający  wskazał  także,  iż  licencje musza  być 

dostarczone z uwagi na to, żeby Zamawiający używał produktów zakupionych legalnie i nie 

łamiąc  prawa  autorskiego  w  stosunku  do  produktów,  do  jakich  mają  one  zastosowanie. 

Żądania formułowane 

p

rzez Odwołującego nie stoją w zgodzie z interesem i uzasadnionymi 

obiektywnymi potrzebami Zamawiającego. 

Zdaniem Zamawiającego nie jest uzasadnione także żądanie Odwołującego w zakresie 

wykluczenia pakietu MS Office, ponieważ uniemożliwi w analizie sandboxowej sprawdzenie 

działania  plików  bazujących  na  tym  właśnie  pakiecie  narzędzi  biurowych,  w  związku  z  tym 

spowoduje  drastyczny  spadek  wykrywalności  złośliwego  oprogramowania,  narażając 

Zamawiającego  na  nieakceptowalne  ryzyko.  Takie  działanie  w  ocenie  Zamawiającego 

stanowi próbę wymuszenia ograniczenia przedmiotu zamówienia poprzez eliminacje zapisów 

dot.  pakietu  MS  Office,  którego  zgodnie  z  publicznie  dostępnymi  statystykami  firmy 

Kaspersky, w 

III kwartale 2019 r. dotyczyło 73 % wszystkich cyberataków, gdzie odsetek ten 

w I kwartale 2020 r. wynosił już niemal 75 %

a także świadczy o braku znajomości tematu 

skali zagrożeń cyberbezpieczeństwa przez Odwołującego. Skala ataków na oprogramowanie 

MS  Office  jednoznacznie  wskazuje,  że  eliminacja  tego  zapisu  podważa  sens  wykonywania 


analizy sandboxowej, w której pliki nie są uruchamiane w środowisku najbardziej zbliżonym 

do rzeczywistego.  

Odnośnie  pkt  4o  Zamawiający  wskazał  na  nieprawdziwość  twierdzeń  Odwołującego, 

ponieważ  Zamawiający  zgodnie  z  zapisami  SIWZ  dopuszcza  rozwiązanie  polegające  na 

blokowaniu  ruchu  przez  zastosowanie  innych  elementów  sieciowych  (posiadanych  przez 

Zamawiającego bądź też dostarczonych przez wykonawcę) z zastrzeżeniem, że wykonawca 

wykona  ich  pełną  konfigurację  w  zakresie  tej  funkcjonalności  oraz  dostarczy  wszelkie 

wymagane licencje do realizacji tego zadania. 

Odnośnie  pkt  2e  Zamawiający  wskazał,  iż  zgodnie  z  SIWZ  elementy  związane 

z zar

zadzaniem  i  raportowaniem  mogą  być  dostarczone  w  formie  maszyn  wirtualnych, 

natomiast  pozostałe  elementy  oferowanego  rozwiązania  muszą  być  urządzeniami 

fizycznymi. 

W  zakresie  pkt  3a  Zamawiający  podniósł,  iż  wymaga  dostarczenia  dwóch  fizycznych 

urządzeń  do  ochrony  kanału  pocztowego  pod  względem  sandboxingu,  natomiast  cały 

System  musi  być  zarządzany  oraz  posiadać  raportowanie  i  logowanie  zdarzeń,  wskazane 

szczególności  w  pkt  2e.  opisu  przedmiotu  zamówienia.  W  odniesieniu  do  pkt  3b 

Zamawiający  podtrzymał  prezentowaną  już  argumentację.  Odnośnie  pkt  3c  Zamawiający 

wskazał,  iż  w  opisie  przedmiotu  zamówienia  nie  ma  zapisu  o  SPAN  portach  do  ochrony 

poczty, a w pkt 3. ppkt h. i ppkt d. jest określona ilość skrzynek pocztowych wymaganych do 

ochrony poczty oraz tryb 

pracy MTA wymagany przez Zamawiającego. Wymagania stawiane 

przez  Odwołującego  dotyczące  przedstawienia  ilości  sesji  http/https  w  stosunku  do  analizy 

pocztowej  świadczy  o  braku  wiedzy  technicznej  oraz  budzi  wątpliwości  Zamawiającego  co 

do  rozwiązania,  które  potencjalnie  pragnie  zaoferować  Odwołujący  do  ochrony  skrzynek 

pocztowych  bazującego  na  ilości  sesji  http/https  -  jako  spełniającego  nie  tylko  wymagania 

postawione w SIWZ, ale w ogóle jako narzędzia realizującego skutecznie cele, jakie winien 

realizować system sandboxingu. 

Zamawiający  wskazał  ponadto,  iż  Odwołujący  przytacza  orzecznictwo  KIO,  które  nie 

jest  adekwatne  do  przedmiotu  zamówienia.  Nie  można  mówić  o  połączeniu  w  niniejszym 

postępowaniu zakupu, którego można dokonać w trybie konkurencyjnym z innym zakupem, 

którego  można  dokonać  w  trybie  zamówienia  z  wolnej  ręki,  gdyż  nie  istnieje  system 

sandboxingu,  który  realizowałby  stawiane  mu  cele  wyłącznie  w  odniesieniu  do  systemów 

Mac 

OS,  nie  da  się  kupić,  nawet  w  trybie  niekonkurencyjnym,  czegoś  co  obiektywnie  nie 

istnieje. Zamawiający podkreślił, że Odwołujący próbuje narzucać Zamawiającemu podejście 

do  kwestii  bezpieczeństwa  oraz  rozwiązania  stosowane  w  tym  zakresie,  podczas  gdy  to 

Zamawiający 

odpowiada 

za 

zapewnienie 

bezpieczeństwa 

swoich 

systemów 

teleinf

ormatycznych  i  zna  wymaganie  oraz  ryzyka  ich  dotyczące.  Zamawiający  przy 


przeprowadzaniu  analizy  ryzyka  dot.  bezpieczeństwa  danych  i  informacji  (w  tym  informacji 

prawnie  chronionych)  przetwarzanych  w  systemach  teleinformatycznych  Zamawiającego 

bierze pod u

wagę m.in. zdarzające się w przeszłości incydenty bezpieczeństwa. Biorąc pod 

uwagę,  że w jeden  z  takich  incydentów  bezpieczeństwa (najpoważniejszy  w  ostatnim roku, 

związany  z  danymi  i  informacjami  o  charakterze  sensytywnym)  były  zaangażowane  osoby 

wykonujące  prace  na  rzecz  Odwołującego,  realizującego  umowę  dla  Zamawiającego,  nie 

sposób ograniczać i modyfikować wymagań Zamawiającego w przedmiotowym zakresie pod 

wytyczne wykonawców. Zamawiający wyjaśnił, że przytoczony incydent bezpieczeństwa stał 

się  przedmiotem  zawiadomienia  o  podejrzeniu  popełnienia  przestępstwa  oraz  w  jego 

następstwie postępowania wyjaśniającego prowadzonego przez prokuraturę.   

W  ocenie  Zamawiającego  Odwołujący,  nie  mogąc  najwyraźniej  spełnić  wymogów 

Zamawiającego,  w  sposób  nierzetelny  i  niejasny  próbuje  wymusić  zakup  rozwiązania  nie 

spełniającego  uzasadnionych  potrzeb  Zamawiającego,  podejmując  nawet  próbę 

nieuprawnionego  redefiniowania  tych  potrzeb.  Zamawiający  podkreślił,  że  uwzględnienie 

postulatów  Odwołującego  powodowałoby  niegospodarność  poprzez  zakup  dwóch  różnych 

rozwiązań  pokrywających  się  funkcjonalnościami,  co  skutkowałoby  koniecznością 

wydatkowania dodatkowych środków finansowych na zakup i utrzymanie dwóch rozwiązań, 

zatrudnienie  dodatkowych  osób  do  obsługi  dwóch  systemów  oraz  ich  przeszkolenia. 

Doprowadziłoby  także do  ekspozycji  na  ryzyko cyberataku na  urządzenia Mac OS  (Apple), 

nie  tylko  w  infrastrukturze  Zamawiającego  (co  wygenerowałoby  niepoliczalne  straty 

wizerunkowe oraz finansowe), ale również profesjonalnych i nieprofesjonalnych uczestników 

rynku finansowego (tj. podmioty rynku finansowego oraz ich klientów), którzy narażeni byliby 

na  atak  w  sytuacji,  w  której  Zamawiający  nie  posiadający  narzędzi  do  wykrywania  takich 

ataków,  w toku  realizacji  zadań  ustawowych  doprowadziłby  do  zainfekowania  komputerów 

Mac  OS  (Apple)  zewnętrznych  uczestników  rynku  finansowego  (np.  banków  lub  ich 

klientów). Ponadto doprowadziłoby do naruszenia przepisów prawa w wyniku udostępnienia 

szeregu  tajemnic  oraz  danych  i  informacji  wrażliwych,  przetwarzanych  obecnie  w 

infrastrukturze  teleinformatycznej  Zamawiającego,  podmiotom  zewnętrznym,  które 

przetwarzałyby ww. tajemnice i informacje wrażliwe w chmurze obliczeniowej, udostępniając 

te  zasoby  chmurowe  również  innym  klientom  tych  podmiotów  oraz  nieznanym 

poddostawcom  realizującym  na  rzecz  tych  dostawców  różnego  rodzaju  prace  wspierające. 

Doprowadziłoby  również  w  efekcie  do  faktycznego  ograniczenia  konkurencji  w  sytuacji,  w 

której  Zamawiający  wymagałby  dostarczenia  licencji  na  systemy  operacyjne  tylko  w  języku 

polskim.  A  do  tego  doprowadziłoby  do  wyeliminowania  krytycznej  z  punktu  widzenia 

Zamawiającego  funkcjonalności  analizy  plików  pakietu  MS  Office,  które,  jak  wykazano 

powyżej  opierając  się  na  analizach  firm  zajmujących  się  zwalczaniem  cyberzagrożeń,  są 


głównym  celem  ataków  cyberprzestępców,  co  z  kolei  naraziłoby  Zamawiającego  na  ryzyko 

ataku  i  utraty  bezpieczeństwa  danych  i informacji  (w  tym  informacji  prawnie  chronionych) 

przetwarzanych w systemach teleinformatycznych Zamawiającego. 

Po  przeprowadzeniu 

rozprawy  z  udziałem  Stron  postępowania,  na  podstawie 

zgromadzonego w sprawie 

materiału dowodowego oraz oświadczeń i stanowisk Stron 

postępowania, Krajowa Izba Odwoławcza ustaliła i zważyła, co następuje: 

Mając  na  uwadze  treść  art.  92  ust.  1  ustawy  z  dnia  11  września  2019  r.  Przepisy 

wprowadzające  ustawę  -  Prawo  zamówień  publicznych  (Dz.U.  z  2019  poz.  2020),  zgodnie                   

z  którym  do  postępowań  odwoławczych,  o których  mowa  w  uchylanej  ustawie,  wszczętych                 

i  niezakończonych  przed  dniem  1  stycznia  2021  r.  stosuje  się  przepisy  dotychczasowe,                   

Izba  w  przedmiotowej  sprawie  zastosowała  przepisy  ustawy  z  dnia  29  stycznia  2004  r. 

Prawo zamówień publicznych (t.j. Dz. U. z 2019 r. poz. 1843 ze zm.). 

Izba ustaliła, iż w terminie wynikającym z art. 185 ust. 2 ustawy Pzp do postępowania 

odwoławczego nie zgłosił przystąpienia żaden wykonawca.  

Izba  stwierdziła,  iż  nie  została  wypełniona  żadna  z  przesłanek  skutkujących 

odrzuceniem odwołania na podstawie art. 189 ust. 2 ustawy Pzp i skierowała odwołanie do 

rozpoznania na rozprawie.  

Izba  uznała,  iż  Odwołujący  wykazał  interes  w  uzyskaniu  zamówienia  oraz  możliwość 

poniesienia szkody w związku z ewentualnym naruszeniem przez Zamawiającego przepisów 

ustawy  Pzp,  czym  wypełnił  materialnoprawne  przesłanki  dopuszczalności  odwołania, 

których mowa w art. 179 ust. 1 ustawy Pzp. Mając na względzie, iż Odwołujący deklaruje 

zainteresowanie  przedmiotowym  postępowaniem  jako  podmiot  trudniący  się  usługami 

objętymi  przedmiotem  zamówienia,  Izba  uznała,  iż  sposób  ukształtowania  postanowień 

SIWZ,  w  tym  opisu  przedmiotu  zamówienia,  może  przekładać  się  na  jego  sytuację  w 

postępowaniu i możliwość  złożenia konkurencyjnej  oferty,  a tym  samym  Odwołującemu nie 

sposób odmówić uprawnienia do wniesienia środka ochrony prawnej w postaci odwołania. 

Izba  dopuściła  i  przeprowadziła  dowody  z  dokumentacji  postępowania  o  udzielenie 

zamówienia  przekazanej  przez  Zamawiającego,  w  szczególności  specyfikacji  istotnych 

warunków  zamówienia  i  jej  załączników.  Skład  orzekający  Izby  wziął  pod  uwagę  również 

stanowiska i 

oświadczenia Stron złożone w pismach procesowych (odwołanie, odpowiedź na 

odwołanie)  oraz  ustnie  do  protokołu  posiedzenia  i  rozprawy  w  dniu  4  stycznia  2021  r. 

Ponadto  Izba  dopuściła  i  przeprowadziła  dowody  z dokumentów  przedstawionych  przez 

Strony na rozprawie, tj.: 

I. 

d

owody złożone przez Odwołującego: 

odpis oświadczenia firmy Trend Micro z dnia 28 grudnia 2020 r. 


2.  wydruk  karty  katalogowej  produktu  Deep  Discovery  Analyzer  firmy  Trend  Micro  (wraz 

tłumaczeniem); 

3.  wydruk korespondencji e-

mail pomiędzy Odwołującym a Trend Micro; 

4.  wydruk 

ogłoszenia  o  zamówieniu  z  dnia  6  grudnia  2018  r.  (2018/S  235-536945)  oraz 

SIWZ  dla postępowania prowadzonego przez  Zamawiającego na rozbudowę systemów 

ochrony serwerów posiadanych przez UKNF; 

5.  o

dpis oświadczenia firmy Fortinet Inc. z dnia 28 grudnia 2020 r.; 

6.  wydruk 

ogłoszenia  o  zamówieniu  z  dnia  15  grudnia  2020  r.  (2020/S  244-604807)  oraz 

SIWZ  dla  postępowania  prowadzonego  przez  Zamawiającego  na  zakup  licencji  dla 

systemu NGFW wraz ze wsparciem; 

7.  wydruk 

SIWZ  dla  postępowania  prowadzonego  przez  Zamawiającego  na  wdrożenie 

Systemu DLP (DAL.WZP.2610.4.2019); 

wydruk ze strony https://ezamowienia.ms.gov.pl dotyczący postępowania prowadzonego 

przez  Ministerstwo  Sprawiedliwości  na  dostawę  rozwiązania  informatycznego 

obejmującego funkcjonalność wykrywania i reakcji na zagrożenia, zapewniającą ochronę 

stacji  roboczych  i  serwerów  przed  atakami  oraz  świadczenie  innych  usług  (WZP-421-

10/2020), wydruk opisu przedmiotu zamówienia dla tego postępowania oraz zbiorczego 

zestawienie ofert; 

wydruk  fragmentów  informacji  o  wynikach  kontroli  NIK  „Wykorzystanie  jednolitego  pliku 

kontrolnego w postępowaniach i kontrolach podatkowych”; 

wydruk odpowiedzi Ministra Finansów na interpelację nr 28436; 

wydruk  Komunikatu  KNF  dotyczącego  przetwarzania  przez  podmioty  nadzorowane 

informacji  w  chmurze  obliczeniowej  publicznej  lub  hybrydowej  (ze  zmianą  z  26  marca 

2020 r.); 

12. wydruk licencji ze strony https://apple.com; 

13. wydruk  analizy 

porównawczej  produktów  Trend  Micro  Deep  Discovery  oraz  FireEye 

(wraz z tłumaczeniem); 

wydruki  prezentacji  i  testów  produktów  dokonanych  przez  NSS  Labs  (wraz 

tłumaczeniem); 

wydruk recenzji ze strony www.gartner.com dotyczący oprogramowania typu sandboxing 

(wraz z tłumaczeniem); 

wydruk  artykułu  z  portalu  DarkReading  dotyczący  ataku  hakerskiego  na  FireEye  (wraz 

tłumaczeniem); 

wydruk  artykułu  ze  strony  www.biznes.wprost.pl  „Gigant  od  cyberbezpieczeństwa  padł 

ofiarą hakerów”; 

wydruk  artykułu  ze  strony  www.nytimes.com  dotyczący  ataku  hakerskiego  na  firmę 

FireEye (wraz z tłumaczeniem); 


oświadczenie Fortinet Inc. z dnia 28 grudnia 2020 r. 

II. 

d

owody złożone przez Zamawiającego: 

1.  wydruk 

artykułu  ze  strony  www.crn.pl  „Zaawansowana  ochrona  przed  zagrożeniami 

z Juniper 

Networks”; 

2.  wydruk  informacji 

ze  strony  www.joesecurity.org  dotyczących  produktu  JoeSandbox 

Complete (wraz z 

tłumaczeniem); 

3.  wydruk  informacji 

ze  strony  www.joesecurity.org  dotyczących  produktu  JoeSandbox 

Ultimate (wraz z 

tłumaczeniem); 

4.  wydruk  dokumentu  doty

czącego urządzenia ATP (Advanced Threat Prevention) Juniper 

Networks (wraz z tłumaczeniem oznaczonych fragmentów); 

5.  wydruk 

artykułu  ze  strony  www.joesecurity.org  „Głęboka  analiza  złośliwego 

oprogramowania”; 

6.  wydruk  raportu  ze  strony  https://securelist.com    - 

raport  firmy  Kaspersky  „Ewolucja 

zagrożeń IT w III kwartale 2019 r. Statystyki (wraz z tłumaczeniem); 

7.  wydruk  raportu  ze  strony  https://securelist.com    - 

raport  firmy  Kaspersky  „Ewolucja 

zagrożeń IT I kwartał 2020 r. Statystyki (wraz z tłumaczeniem); 

8.  wydru

k  artykułu  ze  strony  www.reuteurs.com  „Microsoft  twierdzi,  że  znalazł  złośliwe 

oprogramowanie w swoich systemach” (wraz z tłumaczeniem); 

wydruk  raportu  ze  strony  www.fireeye.com  dotyczącego  ataków  hakerskich  (wraz 

tłumaczeniem); 

10. wydruk raportu ze strony  www.prod-

blog.avira.com o zagrożeniach ze strony złośliwego 

oprogramowania: statystyki i trendy w III kwartale 2020 r. (wraz z tłumaczeniem); 

wydruk  artykułu  ze  strony  www.businessinsider.in  dotyczący  ataków  hakerskich  za 

pośrednictwem oprogramowania SolarWinds (wraz z tłumaczeniem); 

wydruk artykułu ze strony www.safetydetectives.com „Statystyki, trendy i fakty dotyczące 

złośliwego oprogramowania i wirusów 2020” (wraz z tłumaczeniem); 

wydruk artykułu ze strony www.wiadomosci.onet.pl dotyczący ataków hakerskich; 

wydruk 

dokumentu 

Narodowe 

Standardy 

Cyberbezpieczeństwa. 

Standardy 

Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO) v.1.00 – luty 2020.  

wydruk  raportu  „Krajobraz  bezpieczeństwa  polskiego  Internetu.  Raport  roczny  2019 

działalności CERT Polska.” 

Jako 

oświadczenie  własne  Zamawiającego  uzupełniające  jego  stanowisko  Izba 

potraktowała dokument opracowany przez Zamawiającego pn. „Analiza ruchu do sieci UKNF 

urządzeń pracujących na systemie Mac Os z dnia 10.11.2020 r.” 


Izba ustaliła, co następuje: 

Na  pod

stawie  dokumentacji  postępowania  przekazanej  przez  Zamawiającego  Izba 

ustaliła,  iż  ogłoszenie  o zamówieniu  zostało  opublikowane  w  Dzienniku  Urzędowym  Unii 

Europejskiej z dnia 7 grudnia 2020 r. pod numerem 2020/S 238-587649. W tym samym dniu 

Zamawiający zamieścił na stronie internetowej SIWZ wraz z załącznikami. 

Zgodnie  z  pkt  3  SIWZ  p

rzedmiotem  zamówienia  jest  dostawa  wraz  z  wdrożeniem 

systemu  zapewniającego  ochronę  przed  zaawansowanymi  atakami  oraz  atakami (APT)  dla 

sieci  Zamawiającego  („System”).  W  zakresie  Przedmiotu  zamówienia  Wykonawca:  

dostarczy licencje, o których mowa w pkt 2 lit. f Opisu Przedmiotu Umowy („OPU”); dostarczy 

sprzęt fizyczny, w tym: minimum dwa fizyczne urządzenia do ochrony kanału pocztowego w 

sieci UKNF, o których mowa w pkt 3 OPU;   minimum dwa fizyczne urządzenia do ochrony 

ruchu sieci Internet, o których mowa w pkt 4 OPU; wdroży System, o którym mowa w pkt. 2 

OPU;  

zapewni serwis gwarancyjny oraz wsparcie producenta na zainstalowany sprzęt przez 

okres 36 miesięcy od daty podpisania protokołu odbioru, o którym mowa w § 2 ust 2 Umowy, 

zakresie, o którym mowa w pkt 7 OPU; zapewni wsparcie techniczne na wdrożony System 

w trybie 24/7 (o którym mowa w pkt. 6 OPU), od daty podpisania protokołu odbioru, o którym 

mowa  w  §  2  ust.  3  Umowy,  do  ostatniego  dnia  wsparcia;    przeprowadzi  szkolenie  dla  7 

pracowników Zamawiającego, na zasadach określonych w pkt 8 OPU. Szczegółowe warunki 

realizacji  zamówienia  określone  zostały  w  Załączniku  nr  2  do  SIWZ.  Załącznikiem  nr  2  do 

SIWZ  jest  Projekt  Umowy,  a 

załącznik  nr  1  do  Projektu  Umowy  stanowi  Opis  Przedmiotu 

Umowy.  

W OPU zawarto m.in. 

następujące wymogi: 

Pkt 2 

– Wymagania ogólne: 

e)  System  musi  mieć  element  (pojedynczy  serwer/interfejs  zarządzający)  zarządzający 

poziomu  którego  można  zarządzać  elementami  systemu,  konfigurować  je,  przeglądać 

zdarzenia związane z sandboxingiem oraz generować raporty.  

f) Wykonawca musi dostarczyć wszystkie niezbędne licencje do działania zaproponowanego 

Systemu, w tym również licencje dla systemów operacyjnych maszyn wirtualnych na których 

odbywa się analiza plików oraz programów tam zainstalowanych.  

Pkt 3 

– Zapewnienie ochrony kanału pocztowego: 

a) 

Zamawiający  wymaga  dostarczenia,  zainstalowania  i  skonfigurowania  minimum  dwóch 

fizycznych urządzeń do ochrony kanału pocztowego w sieci UKNF.  

b) 

Elementy  Systemu  odpowiedzialne  za  analizę  wiadomości  email  pod  kontem 

zaawansowanej  analizy  potencjalnie  niebezpiecznego  kodu  (sandboxing)  musz

ą  być 

dostarczone  w  postaci  zamkniętej  platformy  sprzętowej.  Zamawiający  nie  dopuszcza 


d

ostarczenia urządzenia w formie maszyny wirtualnej.  

c) 

Zamawiający wyklucza analizę próbki z wiadomości email w chmurze.  

d) Zamawiający wymaga pracy w Trybie MTA (Message Transfer Agent). 

h) Urządzenie musi zapewniać ochronę co najmniej 1500 skrzynek pocztowych. 

l) 

Urządzanie  musi  posiadać  zainstalowane  maszyny  wirtualne  na  których  obywa  się 

sandboxing zawierające:  

a) 

Obrazy systemów operacyjnych - minimum: Microsoft Windows 7 ( w wersjach 32 i 64 

bit), Microsoft Windows 10 64-bit, Mac OS;  

b)  Zainstalowane op

rogramowanie narzędziowe minimum typu: Microsoft Office, Adobe 

Reader, Flash Player;  

c) 

Wszystkie  niezbędne  licencje  do  zaproponowanych  przez  Wykonawcę  systemów 

operacyjnych i oprogramowania narzędziowego.  

Pkt 4 

– Zapewnienie ochrony kanału www: 

c) Urządzenie musi posiadać możliwość wpięcia w infrastrukturę Zamawiającego w trybie in-

line,  poprzez  zastosowanie  danych  pochodzących  ze  SPAN  portu  urządzeń  sieciowych 

Zamawiającego lub inny umożliwiający pełną ochronę kanału WWW.

o) 

Urządzenie  musi  blokować  dany  ruch  w  przypadku  wykrycia  zagrożenia  pochodzącego 

z analizy sandboxowej.  

Izba zważyła, co następuje: 

Biorąc pod uwagę zgromadzony  w sprawie materiał dowodowy, poczynione ustalenia 

faktyczne oraz orzekając w granicach zarzutów zawartych w odwołaniu, Izba stwierdziła, że 

odwołanie nie zasługuje na uwzględnienie.  

Odwołujący postawił zarzuty naruszenia art. 29 ust. 1-3, art. 30 ust. 4, art. 7 ust. 1, art. 

5b i 5f oraz art. 66 ust. 1 i 67 

ust. 2 ustawy Pzp. Przywołując ich treść należy wskazać, że 

zgodnie z art. 7 ust. 1 ustawy Pzp 

Zamawiający przygotowuje i przeprowadza postępowanie 

o udzielenie  zamówienia  w  sposób  zapewniający zachowanie uczciwej  konkurencji  i  równe 

traktowanie  wykonawców  oraz  zgodnie  z  zasadami  proporcjonalności  i przejrzystości.    Art. 

29 us

t. 1 ustawy Pzp stanowi, iż przedmiot zamówienia opisuje się w sposób jednoznaczny 

wyczerpujący, za pomocą dostatecznie dokładnych i zrozumiałych określeń, uwzględniając 

wszystkie wymagania i okoliczności mogące mieć wpływ na sporządzenie oferty. Wedle ust. 

2  tego  przepisu  przedmiotu  zamówienia  nie  można  opisywać  w  sposób,  który  mógłby 

utrudniać uczciwą konkurencję. Z kolei zgodnie z ust. 3 przedmiotu zamówienia nie można 

opisywać  przez  wskazanie  znaków  towarowych,  patentów  lub  pochodzenia,  źródła  lub 

szc

zególnego  procesu,  który  charakteryzuje  produkty  lub  usługi  dostarczane  przez 

konkretnego  wykonawcę,  jeżeli  mogłoby  to  doprowadzić  do  uprzywilejowania  lub 


wyeliminowania  niektórych  wykonawców  lub  produktów,  chyba  że  jest  to  uzasadnione 

specyfiką przedmiotu zamówienia i zamawiający nie może opisać przedmiotu zamówienia za 

pomocą  dostatecznie  dokładnych  określeń,  a  wskazaniu  takiemu  towarzyszą  wyrazy  „lub 

równoważny.”  Z  kolei  art.  30  ust.  4  ustawy  Pzp  opisując  przedmiot  zamówienia  przez 

odniesienie  do  norm,  europejskich  ocen  technicznych,  aprobat,  specyfikacji  technicznych  i 

systemów referencji technicznych, o których mowa w ust. 1 pkt 2 i ust. 3, zamawiający jest 

obowiązany  wskazać,  że  dopuszcza  rozwiązania  równoważne  opisywanym,  a  odniesieniu 

takiemu towarzy

szą wyrazy "lub równoważne".  

Zgodnie  z  art.  5b  pkt  1  ustawy  Pzp  z

amawiający  nie  może  w  celu  uniknięcia 

stosowania  przepisów  ustawy  łączyć  zamówień,  które  odrębnie  udzielane  wymagają 

zastosowania  różnych  przepisów  ustawy.  Zgodnie  z  art.  5f  ustawy  Pzp  jeżeli  przedmiot 

zamówienia  nie  może  zostać  podzielony,  w  szczególności  ze  względów  technicznych, 

organizacyjnych, ekonomicznych lub celowościowych, do udzielenia zamówienia stosuje się 

przepisy dotyczące tego rodzaju zamówienia, który odpowiada jego głównemu przedmiotowi. 

Art. 66 ust. 1 ustawy Pzp odnosi się do udzielenia zamówienia z wolnej ręki, wskazując, iż 

zamówienie  z  wolnej  ręki  to  tryb  udzielenia  zamówienia,  w  którym  zamawiający  udziela 

zamówienia  po  negocjacjach  tylko  z  jednym  wykonawcą.  Art.  67  ust.  2  ustawy  Pzp  odnosi 

się do obowiązku zawiadamia Prezesa Urzędu o wszczęciu, podając uzasadnienie faktyczne 

i  prawne  zastosowania  trybu  udzielenia  zamówienia,  wobec  czego  Izba  stwierdziła,  że 

zamiarem Odwołującego było powołanie się na art. 67 ust. 1 regulujący przypadki, w których 

możliwe jest udzielenie zamówienia z wolnej ręki.  

Izba  zważyła,  że  zasadniczą  podstawą  faktyczną  ww.  zarzutów  była  okoliczność 

połączenia  w  ramach  jednego  postepowania  usługi  budowy  systemu  sandboxingu 

obejmującego swym zakresem ochronę systemu operacyjnego Microsoft Windows i systemu 

Mac Os, przy równoczesnym  niedopuszczeniu możliwości emulowania Mac OS w chmurze, 

co w ocenie Odwołującego wskazywało na preferowanie przez Zamawiającego rozwiązania 

jednego producenta (FireEye) i ograniczenie konkurencji. P

owyższych okoliczności dotyczył 

także punkt 2.1 uzasadnienia odwołania, w ramach którego kwestionowano wymóg z pkt 3la) 

OPU  (tj.  wym

óg,  aby  urządzenie  posiadało  zainstalowane  maszyny  wirtualne,  na  których 

odbywa się sandboxing, zawierające obrazy systemu operacyjnego Mac Os), wobec czego 

Izba 

uznała za zasadne odniesienie się do powyższych kwestii w sposób łączny.  

W ocenie Izby Odwołujący nie wykazał, aby sposób ukształtowania postanowień OPU 

przez Zamawiającego naruszać miał wskazane powyżej przepisy prawa. 

Na wstępie należy wskazać, iż sporządzenie opisu przedmiotu zamówienia jest jedną 

najważniejszych  czynności  związanych  z  przygotowaniem  postępowania  o  udzielenie 


zamówienia publicznego. Czynność ta stanowi obowiązek Zamawiającego, ale jednocześnie 

jego  uprawnienie,  bowiem  odzwierciedla  rzeczywiste  potrzeby  Zamawiającego  w  danym 

postępowaniu. To Zamawiający ma prawo, wyznaczając cel, jaki zamierza zrealizować, tak 

określić  przedmiot  zamówienia,  aby  opisać  go  adekwatnie  do  wyznaczonego  celu, 

zachowując  jednocześnie  obiektywizm  i  precyzję  w  formułowaniu  swoich  potrzeb. 

Zamawiający  zobowiązany  jest    ponadto  respektować  art.  29  ust.  2  ustawy  Pzp,  który 

zakazuje  

dokonywania opisu przedmiotu zamówienia w sposób dyskryminujący, przy czym 

podkreślenia  wymaga,  że  powyższa  norma  nie  może  być  równoważona  z  obowiązkiem 

wyeliminowania  z  opisu  przedmiotu  zamówienia  uzasadnionych  wymagań,  które  dla 

wykonawcy  mogą  stanowić  źródło  ewentualnych  niedogodności  czy  potrzeby  stworzenia 

nowych  rozwiązań  dostosowanych  do  realizacji  konkretnego  zamówienia  (podobnie  m.in. 

wyrok KIO z 28 stycznia 2019 r., KIO 26/19, wyrok KIO z dnia 22 lipca 2019 r., sygn. akt KIO 

Odwołujący  nie  podnosił,  aby  treść  OPU  w  przywołanym  powyżej  aspekcie  była 

niejedno

znaczna,  niewyczerpująca,  czy  też,  że  nie  została  sformułowana  za  pomocą 

dostatecznie dokładnych i zrozumiałych określeń lub nie uwzględniała wszystkich wymagań 

okoliczności  mogących  mieć  wpływ  na  sporządzenie  oferty,  wobec  czego  nie  sposób 

stwierdzić,  aby  sporządzenie opisu przedmiotu  zamówienia naruszało art.  29  ust.  1  ustawy 

Pzp. Postanowienia OPU nie budziły po stronie Odwołującego wątpliwości interpretacyjnych, 

było przez niego zrozumiałe. Odwołujący nie wykazał także, aby sposób ukształtowania OPU 

m

ógłby  wpływać  w  sposób  nieuzasadniony  obiektywnymi  potrzebami  Zamawiającego  na 

ograniczenie  konkurencji. 

Sam  fakt,  że  wprowadzenie  postulowanych  przez  Odwołującego 

zmian  w  SIWZ,  umożliwiałyby  Odwołującemu  złożenie  oferty  w przedmiotowym 

postępowaniu,  nie  jest  wystarczający  do  stwierdzenia,  że  Zamawiający  naruszył  przepisy 

ustawy  Pzp.  Podkreślenia  wymaga,  iż  okoliczność,  że  nie  wszystkie  produkty  dostępne  na 

rynku  odpowiadają  wymaganiom  OPU,  nie  stanowi  dostatecznej  podstawy  do  uznania,  że 

przedmiot  zamówienia  został  opisany  w  sposób,  który  mógłby  utrudniać  uczciwą 

konkurencję, a tym bardziej podstawy takiej nie stanowi fakt, że Odwołujący współpracuje z 

producentami,  którzy  nie  mają  rozwiązań,  jakie  zakupić  chce  Zamawiający.  Ponadto 

stwierdzić  należy,  iż  okoliczność  że  art.  29  ust.  2  ustawy  Pzp  wskazuje  na  możliwość 

utrudniania  konkurencji,  a  nie  utrudnienie  konkurencji  (a  zatem  na  prawdopodobieństwo 

wystąpienia  naruszenia  konkurencji,  a  nie  konieczność  wystąpienia  tego  naruszenia),  nie 

zmienia  faktu,  że  zgodnie  z art.  190  ust.  1  ustawy  Pzp  obowiązkiem  Odwołującego  jest 

udowodnienie  okoliczności  wskazanych  w  przepisie,  którego  naruszenie  zarzucane  jest 

Zamawiającemu.  To  na  Odwołującym  spoczywał  zatem  ciężar  wykazania  tej  potencjalnej 

możliwości  wystąpienia  utrudniania  konkurencji,  Odwołujący  zaś  -  zamiast  skupić  się  na 


wykazaniu,  że  sposób  ukształtowania  wymagań  OPU  naruszać  może  konkurencję  - 

przedstawił  argumentację  wskazującą,  że  potrzeby  Zamawiającego  można  zaspokoić 

inaczej,  tj.  dopuszczając  rozwiązanie  możliwe  do  dostarczenia  przez  Odwołującego  bądź 

rozdzielając przedmiot zamówienia tak, aby Odwołujący w jednej z części mógł złożyć ofertę.  

Za  bezzasadną  Izba  uznała  argumentację  Odwołującego  odnoszącą  się  do 

konieczności podziału przedmiotowego zamówienia na części w taki sposób, aby wyłączyć z 

jego zakresu ochronę urządzeń pracujących na systemie operacyjnym Mac OS. Nie znalazło 

potwierdzenia 

zawarte  w  odwołaniu  stwierdzenie,  iż  Zamawiający  nie  posiada  systemów 

Mac  OS  i 

prawdopodobnie  w  ogóle  ich  nie  używa  –  Zamawiający  okoliczność  przeciwną 

wykazał  w toku  postępowania  odwoławczego.  Zamawiający  wyjaśnił,  że  posiada  w  swojej 

infrastrukturze  urządzenia  pracujące  pod  kontrolą  Mac  OS,  które  służą  do  realizacji  zadań 

służbowych  (także  przetwarzania  informacji  prawnie  chronionych),  a  ponadto  –  co  również 

ma  istotne  znaczenie 

–  z  rozwiązań  firmy  Apple  korzystają  uczestnicy  rynku  finansowego 

nadzorowani  przez  Zamawiającego.  Analiza  przeprowadzona  przez  Zamawiającego 

wykazała,  iż  systemy  Apple  generują  ok  12 000  zapytań  dziennie  do  systemów 

informatycznych  Zamawiającego.  Co  istotne,  sam  Odwołujący  własnej  tezie  zaprzeczył 

przedstawiając  jako  dowód  specyfikację  istotnych  warunków  zamówienia  dla  postępowania 

pn.  „Wdrożenie  Systemu  DLP”,  która  pośrednio  potwierdza,  że  Zamawiający  dysponuje 

systemami operacyjnymi Mac OS.  

W  ocenie  Izby 

fakt,  że  urządzeń  w  infrastrukturze  informatycznej  Zamawiającego 

pracujących  pod  kontrolą  Microsoft  Windows  jest  więcej  nie  powoduje,  że  równorzędna 

ochrona dla urządzeń z systemem Mac OS przed złośliwym oprogramowaniem nie stanowi 

uzasadnionych  potrzeb  Zamawiającego.  Zamawiający  istnienie  takich  potrzeb  uzasadnił 

wyjaśniając  m.in.,  że  bezpieczeństwa  systemu  informatycznego  nie  należy  traktować 

aspekcie  ilościowym,  gdyż  nawet  jedno  urządzenie  nie  objęte  należytą  ochroną  przed 

złośliwym oprogramowaniem może negatywnie wpłynąć na bezpieczeństwo całego systemu 

informatycznego 

Zamawiającego, a pośrednio także nadzorowanych przez KNF podmiotów. 

Odwołujący  nie  odparł  twierdzeń  Zamawiającego,  iż  rezygnacja  z  ochrony  systemów  Mac 

OS,  które  są  wykorzystywane  przez  Zamawiającego  w działalności  operacyjnej  i  z  których 

korzystają  nadzorowane  przez  KNF  podmioty  rynku  finansowego,  prowadzić  może  do 

powstania  ryzyka,  polegającego  na  otrzymaniu  złośliwego  oprogramowania  i  jego  dalszej 

nieświadomej  dystrybucji  przez  Zamawiającego  do  instytucji  finansowych.  Zamawiający 

przedstawił  także  argumentację  i  dowody  potwierdzające  fakt  działania  złośliwego 

oprogramowania atakującego systemy Mac OS i istnienie realnego zagrożenia tego rodzaju 

atakami  (raport  Avira,  raport  CERT). 

Mając  powyższe  na  względzie,  oczekiwanie 


Zamawiającego  dostarczenia  równorzędnej  ochrony  systemom  operacyjnym  Microsoft 

Windows i Mac OS w ocenie Izby uznać należy za uzasadnione.  

Odwołujący  nie  zaprzeczył  także  twierdzeniom  Zamawiającego,  że  przedmiot 

zamówienia  ma  charakter  jednorodny  –  dostarczone  rozwiązanie  ma  w  jak  najszerszym 

zakresie zapewniać ochronę systemów informatycznych Zamawiającego, w ramach których 

przetwarzane  są  zasoby  informacyjne  dotyczące  istotnego  z  punktu  widzenia  ochrony 

interesów  państwa  obszaru  stabilności  rynku  finansowego.  Odwołujący  nie  kwestionował 

także  stanowiska  Zamawiającego,  że  na  rynku  nie  istnieje  produkt,  który  umożliwiałby 

sandboxing  tylko  i  wyłącznie  dla  systemów  Mac  OS.  Powyższa  okoliczność  powoduje  zaś, 

że  konieczność  podzielenia  przedmiotu  zamówienia  oznaczałaby  dla  Zamawiającego,  dla 

którego niezbędne jest także zapewnienie ochrony systemów Mac OS, konieczność zakupu 

dwóch  rozwiązań  realizujących  te  same  zadania  –  tj.  wdrożenia  systemu  zapewniającego 

ochronę  przed  zaawansowanymi  zagrożeniami  dla  systemu  Microsoft  Windows  oraz 

systemu 

zapewniającego  ochronę  przed  zaawansowanymi  zagrożeniami  dla  systemu 

Microsoft  Windows 

i  Mac  Os.  Izba  za  wiarygodne  uznała  stanowisko  Zamawiającego,  że 

takie  działanie  pociągałoby  za  sobą  nie  tylko  zwiększenie  wydatkowania  środków 

publicznych, 

koszty  zapewnienia  wsparcia  dla  tych  systemów,  odnawiania  licencji, 

zapewnienia zasobów ludzkich do ich obsługi, przeszkolenia pracowników z administrowania 

obu systemów, ale także ryzyko niekompatybilności obu systemów mogących pochodzić od 

różnych  producentów,  trudności  technicznych  w  konfiguracji  i  obsłudze.  Odwołujący  nie 

odniósł się do technicznych aspektów rozdzielenia systemu ochrony przed zaawansowanymi 

zagrożeniami  na  poszczególne  elementy  i  wpływu  takiego  podziału  na  zachowanie 

wymaganych funkcjonalności i prawidłowość działania systemu jako całości. 

W  ocenie  Izby 

analiza  zarzutów  odwołania  prowadzi  do  wniosku,  że  celem 

Odwołującego  było  dostosowanie  wymagań  do  oferowanych  przez  niego  produktów,  a  nie 

konwalidacja  niezgodnych  z  prawem  działań  lub  zaniechań  Zamawiającego.  Żądania 

Odwołującego  zmierzające  do  podzielenia  przedmiotu  zamówienia  na  części  czy  też  –  jak 

podniesiono  na  rozprawie 

–  uczynienia  wymagania  w  zakresie ochrony systemów  Mac OS 

wymagan

iem  opcjonalnym,  dodatkowo  punktowanym  w  kryteriach  oceny  ofert,  były 

oderwane  od 

rzeczywistych,  uzasadnionych  potrzeb  Zamawiającego.  Za  całkowicie 

nieuzasadnione  w 

świetle  powyższych  okoliczności  uznać  należy  twierdzenia,  że 

Zamawiający w zakresie Mac OS mógłby udzielić zamówienia z wolnej ręki czy też udzielić 

zamówienia  w  ogóle  bez  stosowania  ustawy  Pzp.  To  właśnie  skorzystanie  przez 

Zamawiającego z ww. instytucji mogłoby z dużym prawdopodobieństwem zostać uznane za 

naruszenie  przepisów  ustawy  Pzp,  w  szczególności  art.  5b  pkt  2  ustawy  Pzp  poprzez 


dokonanie  podziału  zamówienia  na  odrębne  zamówienia  w  celu  uniknięcia  łącznego 

szacowania ich wartości. 

Podobnie  Izba  nie 

uznała  za zasadne  żądania,  aby  Zamawiający  dopuścił  możliwość 

emulowania 

obrazów  systemu  Mac  OS  w  chmurze.  Argumentacja  przedstawiona  w 

odwołaniu w powyższym zakresie sprowadzała się do wskazania, że uruchomienie systemu 

Mac  OS  na  urządzeniach  innych  niż  Apple  będzie  równoznaczne  ze  złamaniem  warunków 

licencji oprogramowania Apple, podczas gdy 

dla Zamawiającego nie ma żadnego znaczenia 

czy uruchomienie nastąpi w chmurze czy na urządzeniu, gdyż efekt końcowy jest ten sam. 

ocenie  Izby  Odwołujący  nie  wykazał  prawdziwości  tych  twierdzeń,  w  szczególności 

okoliczności,  że  przetwarzanie  części  informacji  pochodzących  z  systemu  informatycznego 

Zamawiającego  w  chmurze  obliczeniowej  pozostawać  miałoby  bez  wpływu  na  kwestię 

bezpieczeństwa  informacji  administrowanych  przez  Zamawiającego.  Po  pierwsze 

a

rgumentacja  odwołania  w  ogóle  nie  odnosi  się  do  kwestii  bezpieczeństwa  informacji 

przetwarzanych  w  chmurach  obliczeniowych,  czy  to  publicznych,  hybrydowych  czy 

prywatnych  i  różnic  w stosunku  do  przetwarzania  tych  danych  w  infrastrukturze 

i

nformatycznej  danego  podmiotu.  Po  drugie  całkowicie  abstrahuje  ona  od  roli 

Zamawiającego w realizowaniu zadań związanych z bezpieczeństwem finansowym państwa 

oraz  od  istotnego  ryzyka,  jakie  wiąże  się  z niezapewnieniem  wymaganej  ochrony 

informacjom przetwar

zanym przez Zamawiającego, w tym informacjom prawnie chronionym, 

które  Zamawiający  wylistował  szczegółowo  na  stronie  8-9  odpowiedzi  na  odwołanie. 

Realizacja postulatu Odwołującego sprowadzałaby się do konieczności przetwarzania części 

tych  informacji  poza 

infrastrukturą Zamawiającego, w chmurze, co kłóci się z wymaganiami 

obowiązkami,  jakie  na  Zamawiającego  nakładają  przepisy  prawa  i  ustalone  w  zakresie 

cyberbezpieczeństwa  standardy.  Na  powyższe  szczegółowo  zwracał  uwagę  Zamawiający 

odpowiedzi na odwołanie i na rozprawie.  

Jak wynika z treści Standardów Cyberbezpieczeństwa Chmur Obliczeniowych (który to 

dokument został złożony przez Zamawiającego jako dowód) odbiorcami tego dokumentu są 

m.in.  jednostki  administracji  publicznej  planujące  wykorzystanie  lub  korzystające  z 

rządowych lub publicznych usług przetwarzania w modelach chmur obliczeniowych, a zatem 

także Zamawiający (w sytuacji podjęcia decyzji o korzystaniu z usług przetwarzania danych 

chmurach  obliczeniowych,  bowiem  jak  podnosił  Zamawiający,  na  chwilę  obecną  z  tego 

rodzaju  rozwiązań  nie  korzysta).  SCCO  określa  m.in.  poziomy  wymagań  bezpieczeństwa 

determinujące  stosowanie  poszczególnych  modeli  chmur  obliczeniowych  ustalane  przez 

korelację wrażliwości lub poziomu poufności informacji  oraz poziomu potencjalnego wpływu 

zdarzenia  powodującego  utratę  poufności,  integralności  lub  dostępności  tych  informacji; 

Wyróżnione zostały  cztery  Poziomy Wymagań  Bezpieczeństwa:  SCCO1  –  niekontrolowane 


informacje  nieklasyfikowane,  SCCO2 

–  kontrolowane  informacje  urzędowe,  SCCO3  – 

kontrolowane wrażliwe informacje urzędowe, SCOO4 – informacje niejawne. Odwołujący nie 

kwestionował okoliczności, że zgodnie z wytycznymi SCCO określone informacje mogą być 

przetwarzane  tylko  w  środowisku  Rządowej  Chmury  Obliczeniowej.  Odwołujący  sam 

przyznał  na  rozprawie,  że  wymóg  ten  dotyczy  informacji,  o  których  mowa  w  punkcie  3  i  4 

tabeli  na  str.  9  SCCO  (kontrolowane  wrażliwe  informacje  urzędowe  oraz  informacje 

niejawne), 

polemizował  jedynie  z  zakresem  informacji,  które  mogą  być  przetwarzane  w 

chmurze  obliczeniowej,  podnosząc,  że  mogą  w  ten  sposób  być  przetwarzane 

niekontrolowane  informacje  nieklasyfikowane  i  kontrolowane  informacje  urzędowe. 

Powyższa  okoliczność  wskazuje,  że  nawet  jeśli  nie  całość,  to  część  informacji 

przetwarzanych przez 

Zamawiającego ze względu na ich wrażliwość nie może być w ogóle 

przetwarzana  w  chmurach  obliczeniowych,  za  wyjątkiem  Rządowej  Chmury  Obliczeniowej. 

Nie  ma  przy  tym,  w  ocenie  Izby,  znaczenia  podnoszony  przez  Odwołującego  fakt,  że  do 

chmury  wysyłane  byłyby  tylko  te  pliki,  które  zostały  rozpoznane  jako  niebezpieczne  i  plik 

byłby  tam  dostępny  tylko  kilkadziesiąt  godzin,  po  czym  byłby  usuwany.  Sam  Odwołujący 

potwierdził  na  rozprawie,  że  aby  zweryfikować  pliki  musiałyby  one  być  nie  tylko 

przetransferowane na chmu

rę, ale tam odszyfrowane. 

Odwołujący  pominął  także  aspekt,  że  już  dla  poziomu  SCCO2  –  kontrolowane 

informacje  urzędowe,  stawiane  są  dodatkowe  restrykcyjne  wymagania,  w  tym  m.in. 

dopuszczalność  przetwarzania  wyłącznie  w  centrach  danych  polskich  jurysdykcji, 

konieczność  posiadania  przez  personel  poświadczenia  bezpieczeństwa  na  poziomie 

„poufne”  i  powyższych  wymogów  nie  odniósł  do  realiów  przedmiotowego  postępowania. 

Jedynie  w  zakresie  poziomu 

SCCO1  wymagania  są  obniżone,  niemniej  ten  poziom 

informacji  nie  obejmuje  informacji  prawnie  chronionych,  a  takimi  w  znacznej  mierze 

dysponuje  Zamawiający  (tajemnice  zawodowe  -  informacje,  o  których  mowa  w  ustawie  o 

obrocie instrumentami finansowymi,   o giełdach towarowych,  o funduszach  inwestycyjnych, 

w  Prawie  bankowym,  w 

ustawie  o  usługach  płatniczych,  o  spółdzielczych  kasach 

oszczędnościowo  –  kredytowych;  informacje  poufne,  o których  mowa  w  ustawie  o  obrocie 

instrumentami  finansowymi;  tajemnica  bankowa,  o  której  mowa  w  Prawie  bankowym, 

tajemnica 

ubezpieczeniowa,  o  której  mowa  w  ustawie  o działalności  ubezpieczeniowej  i 

reasekuracyjnej;  dane  osobowe;  tajemnica  skarbowa,  o 

której  mowa  w  Ordynacji 

podatkowej; 

tajemnica przedsiębiorstwa, o której mowa w ustawie o zwalczaniu nieuczciwej 

konkurencji; 

tajemnica  ubezpieczeń  społecznych  z  ustawy  o systemie  ubezpieczeń 

społecznych;  tajemnica  statystyki  sektora  bankowego,  o  której  mowa  w  ustawie  o 

Narodowym  Banku  Polskim;  tajemnica  statystyczna,  o 

której  mowa  w  ustawie  o statystyce 

publicznej, 

tajemnica Komitetu Stabilności Finansowej, o której mowa w ustawie o nadzorze 


makroostrożnościowym  nad  systemem  finansowym  i  zarządzaniu  kryzysowym  w systemie 

finansowym;  inne  tajemnic

e  chronione  na  podstawie  powszechnie  obowiązujących 

przepisów  prawa.).  Izba  za  wiarygodną  uznała  argumentację  Zamawiającego,  iż  kwestia 

przetwarzania  danych  wrażliwych  i  tajemnic  prawnie  chronionych  jest  niezwykle  istotna 

perspektywy  zadań  realizowanych  przez  KNF.  Zamawiający  powoływał  się  na  brak 

podstawy  prawnej  do  powierzenia  przetwarzania  istotnych  z  punktu  widzenia  rynku 

finansowego  danych  i  informacji  (w  tym  informacji  prawnie  chronionych)  podmiotom,  które 

będą je przetwarzały w chmurze obliczeniowej, udostępniając je  podmiotom realizującym na 

ich  rzecz  zadania  związane  np.  z utrzymaniem  rozwiązań  chmurowych,  a  Odwołujący 

argumentacji tej nie odparł.  

Mając  na  uwadze  powyższe  Izba  podzieliła  stanowisko  Zamawiającego,  iż 

przedmiotowy wymóg przetwarzania danych i informacji w infrastrukturze Zamawiającego nie 

stanowi jego pozornej potrzeby, lecz ma zagwarantow

ać bezpieczeństwo przetwarzania tych 

danych  i  informacji

,  ze  szczególnym  uwzględnieniem  informacji  prawnie  chronionych. 

Odwołujący  okoliczności  przeciwnych  nie  wykazał.  Zdaniem  składu  orzekającego 

Odwołujący swoją narracją próbuje narzucić Zamawiającemu rozwiązania nieadekwatne do 

jego  rzeczywistych  potrzeb,  jednocześnie  nie  wykazując  za  pomocą  twierdzeń  i  dowodów, 

aby  z 

perspektywy  bezpieczeństwa  informacji,  jakimi  Zamawiający  zarządza,  w  tym 

interesów  podmiotów  rynku  finansowego,  na  rzecz  których  Zamawiający  realizuje  zadania 

publiczne,  nie  było  różnicy  czy  emulacja  obrazów  systemów  Mac  OS  następuje  na 

urządzeniu czy w chmurze.  

Bez 

zasadniczego  wpływu  na  ocenę  przedmiotowego  przypadku  pozostaje 

podnoszona  przez  Odwołującego  okoliczność,  iż  inni  zamawiający  stosują  rozwiązania 

chmurowe, 

ponieważ Izba dokonuje oceny działań i zaniechań Zamawiającego w oparciu o 

dokumenty konkretnego zamówienia i potrzeby istniejące po stronie konkretnego podmiotu - 

Zamawiającego,  a  nie  podmiotów  trzecich.  Sam  fakt,  że  część  instytucji  decyduje  się  na 

wdrożenie  rozwiązań  informatycznych  z  wykorzystaniem  chmur  obliczeniowych  nie 

powoduje,  że  do  takiego  działania  zobowiązany  miałby  być  także  Zamawiający  -  inne  są 

bowiem potrzeby różnych zamawiających, innego rodzaju dane są przez nich przetwarzane, 

stosowane  są  innego  rodzaju  polityki  bezpieczeństwa,  różna  jest  posiadana  przez  nich 

infrastruktura  informatyczna

,  wreszcie  inne  mogą  być  decyzje  strategiczne  w  zakresie 

cyberbezpieczeństwa.  W  konsekwencji  nie  miały  znaczenia  dla  rozstrzygnięcia  złożone 

przez  Odwołującego  w  tym  zakresie  dowody  z  dokumentacji  postępowania  prowadzonego 

przez Ministerstwo Sprawiedliwości.   

Za 

niepotwierdzające tez odwołania Izba uznała dowody w postaci wyciągu z informacji 

o  wynikach  kontroli  NIK  oraz  odp

owiedzi  Ministra  Finansów  na  interpelację  nr  28436  – 


dowody te 

potwierdzają jedynie okoliczność, że przyjęto określone rozwiązanie gwarantujące 

bezpieczeństwo  przy  przesyłaniu  danych  w  postaci  plików  JPK  w  warunkach  korzystania 

usług  chmury  publicznej  Microsoft  Azure.  Ponadto,  jak  słusznie  zauważył  Zamawiający, 

dowodu  stanowiącego  wyciąg  z  informacji  o  wynikach  kontroli  NIK  wprost  wynika,  że 

rozkodowanie  i  analiza  treści  plików  JPK  jest  możliwa  tylko  w  ramach  infrastruktury 

informatycznej  Centrum  Inform

atyki  Resortu  Finansów  (CIRF).  Tym  samym  chmura 

obliczeniowa  wykorzystywana  jest  wyłącznie  do  transferu  zaszyfrowanych  danych. 

Potwierdza to treść ww. odpowiedzi na interpelację, gdzie wskazano, iż „JPK transferowane 

przez  przedsiębiorców  poprzez  chmurę  publiczną  są  w  postaci  zaszyfrowanej  kluczem 

publicznym  (…).  Odszyfrowanie  możliwe  jest  wyłącznie  w  środowisku  CIRF  z 

wykorzystaniem  chronionego  klucza  prywatnego  MF.  Zaszyfrowane  pliki  JPK  po 

zakończeniu transferu danych do CIRF, w żaden sposób nie są przechowywane w chmurze 

publicznej”.  Sytuacji  tej  nie  sposób  zatem  porównywać  z  realiami  przedmiotowego 

zamówienia, kiedy to w celu dokonana analizy w środowisku sandbox dane musiałyby zostać 

w  chmurze  odszyfrowane  i 

przetwarzane  oraz  przez  jakiś  czas  w  tej  chmurze 

przechowywane.  O  braku  istnienia  uzasadnionych  potrzeb  po  stronie 

Zamawiającego  nie 

świadczy także fakt, że KNF opublikował komunikat dotyczący przetwarzania przez podmioty 

nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Komunikat ten 

stanowi wytyczne dla podmiotów nadzorowanych przez KNF (sektora prywatnego), a nie dla 

instytucji publicznych, w tym samego Zamawiającego.  

Za  niewykazane  Izba  uznała  ponadto  twierdzenia  Odwołującego,  jakoby  opis 

przedmiotu  umowy  pośrednio  wskazywać  miał  na  rozwiązanie  konkretnego  producenta  – 

firmy FireEye. 

Odwołujący na tę okoliczność nie złożył w zasadzie żadnych dowodów, poza 

oświadczeniami  dwóch  producentów  –  Trend  Micro  i  Fortinet,  z  których  wynikało,  że  te 

podmioty  nie  posiadają  produktu  spełniającego  wymaganie  Zamawiającego  w  zakresie 

systemów  Mac  OS,  a  taki  wymóg  wskazuje  na  konkurencyjny  produkt  -  FireEye. 

Przedstawione  przez  Odwołującego  oświadczenia  nie  są  w  ocenie  Izby  wystarczające  do 

potwierdzenia  tezy,  że  tylko  jeden  produkt  spełnia  wymagania  Zamawiającego,  mając  na 

uwadze okoliczność, że oświadczenia obu producentów mają dokładanie to samo brzmienie 

i ten sam format, 

są to podmioty z którymi współpracuje Odwołujący i które pośrednio także 

pozostają  zainteresowane  zmianą  SIWZ  w sposób,  który  umożliwi  złożenie  ofert  na  ich 

produkty 

(powyższe  wynika  wprost  z  treści  tych  oświadczeń  oraz  korespondencji  mailowej 

prowadzonej przez Odwołującego z Trend Micro).  

Izba  miała  ponadto  na  względzie,  iż  Odwołujący  wskazał  w  odwołaniu  na  szereg 

prod

ucentów  rozwiązań  typu  sandbox,  jednocześnie  poprzestając  na  gołosłownej  tezie,  że 

produkty  tych  producentów  mogłyby  spełniać  potrzeby  Zamawiającego,  gdyby 


zmodyfikowano  SIWZ

.  Odwołujący  nie  przedstawił  żadnej  argumentacji  ani  dowodów 

wskazujących,  że  inne  rozwiązania  dostępne  na  rynku  nie  spełniają  wymagań 

Zamawiającego.  Odwołujący  poprzestał  na  lakonicznym  stwierdzeniu,  że  na  rynku  istnieje 

tylko jedno  rozwiązanie klasy  sandbox, które  umożliwia uruchomienie obrazu systemu  Mac 

OS,  a  nie  w  chmurze,  przy  czym  tezy  tej  nawet  nie  uprawdopod

obnił. Z kolei Zamawiający 

złożył na rozprawie dowody wskazujące na okoliczności przeciwne - mające potwierdzać, że 

sporne  wymagania  w 

zakresie  Mac  OS  spełniają  chociażby  produkty  Juniper  Networks 

(Juniper  Advanced  Threat  Prevention)  oraz  JOESecurity  (Joe  Sandbox  Complete  i  Joe 

Sandbox  Ultimate).  P

rawdziwości  tych  twierdzeń  Odwołujący  nie  podważył.  Poza  ogólnym 

stwierdzeniem,  że  ww.  produkty  nie  spełniają  wymagań  OPU,  Odwołujący  nie  przedstawił 

żadnych  dalszych  argumentów  i  nie  wyjaśnił,  których  konkretnie  wymagań  wskazanych 

przez  Zamawiającego  produkty  miałyby  nie  spełniać. W  szczególności  zaś  Odwołujący  nie 

kwestionował okoliczności, na którą powołał się Zamawiający, a mianowicie, że rozwiązania 

ww.  producentów  spełniają wymóg  w  zakresie  uruchomienia obrazów  systemu  Mac OS  na 

urządzeniu.  Powyższe  poddaje  w  wątpliwość  także  zasadność  twierdzeń  Odwołującego,  iż 

firma  Apple  nie  zezwala  na  uruchomienie  systemu  Mac  OS  na  urządzeniach  innych  niż  te 

oferowane  przez  Apple, 

skoro  część  producentów,  w  tym  ww.  producenci  wskazani  przez 

Zamawiającego  oraz  wskazywany  przez  Odwołującego  FireEye,  oferują  wymaganą  przez 

Zamawiającego  funkcjonalność  uruchomienia  obrazów  systemu  Mac  OS  na  urządzeniu,  a 

zatem 

założyć należy, że posiadają niezbędne do tego licencje. Odwołujący nie referował do 

kwestii 

możliwości  nabycia  stosownej  licencji  od  Apple  ani  ewentualnych  trudności  czy 

kosztów z tym związanych.  

Mając  powyższe  na  względzie,  bez  znaczenia  dla  przedmiotowej  sprawy  pozostaje 

argumentacja  Odwo

łującego  odnosząca  się  do  jakości  rozwiązania  producenta  FireEye 

ataków  hakerskich,  jakie  miały  miejsce  na  tę  firmę,  a  także  prymatu  rozwiązań  innych 

producentów  nad  rozwiązaniem  FireEye.  W  konsekwencji  za  nieprzydatne  dla 

rozstrzygnięcia  Izba  uznała  składane  przez  Odwołującego  na  ww.  okoliczności  dowody  w 

postaci 

wydruków  analiz  porównawczych  produktów,  prezentacji  i  testów  produktów 

dokonanych  przez  NSS  Labs,  recenzji  ze  strony  www.gartner.com  oraz  artykułów 

dotyczących  ataków  hakerskich.  Nadto  argumentacja  Odwołującego  kwestionująca 

bezpieczeństwo  produktu  FireEye  jawi  się  jako  niewiarygodna  w  świetle  informacji  i 

dowodów  przedstawionych  przez  Zamawiającego,  wskazujących  na  okoliczność,  iż 

cyberprzestępcy  wykorzystali  lukę  w  oprogramowaniu  firmy  trzeciej  (SolarWings),  a  nie 

FireEye, na skalę tych ataków (ok. 18 000 firm i instytucji publicznych), jak i  na udział firmy 

FireEye  w  wykryciu incydentu i  dalszych działaniach  związanych  z  jego badaniem.

Nie  ma 

także  znaczenia  dla  rozstrzygnięcia  okoliczność  dowodzona  przez  Odwołującego  na 


rozprawie za pomocą dowodów z dokumentacji postępowań prowadzonych przez UKNF, tj. 

że  Zamawiający  korzystał  już  w  jakimś  zakresie  z produktów  Trend  Micro  i  Fortinet,  że 

posiada  on  wiedzę  na  temat  tych  rozwiązań  czy  też  że  posiada  wiedzę  w  zakresie 

szyfrowania informacji. 

Powyższe nie wpływa na sposób ukształtowania postanowień OPU w 

przedmiotowym  postępowaniu,  które  determinowane  są  uzasadnionymi  potrzebami 

Zamawiającego,  tym  bardziej,  że  postępowania  te  dotyczyły  innych  obszarów  niż  obecnie 

prowadzone.  

Przechodząc do omówienia dalszych zarzutów Izba wskazuje, co następuje. 

Za  niepotwierdzony 

Izba  uznała  zarzut  odnoszący  się  do  pkt  2f  OPU    (pkt  1 

uzasadnienia odwołania dotyczącego postulowanych zmian w OPU).  

Po pierwsze nie sp

osób uznać za zasadną argumentacji Odwołującego odnoszącej się 

do 

wymogu  dostarczenia  przez  wykonawcę  wszystkich  niezbędnych  licencji  do  działania 

systemu

, w tym licencji dla systemów operacyjnych maszyn wirtualnych. Oczywistym wydaje 

się,  że  Zamawiający  oczekując  wdrożenia  systemu  ochrony  przed  zaawansowanymi 

zagrożeniami  wymagał  będzie  także  dostawy  licencji  niezbędnych  do  działania  tego 

systemu, co gwarantuje jego użytkowanie bez naruszania praw własności intelektualnej osób 

trzecich.    Odwołujący  nie  przedstawił  szczegółowej  argumentacji  mającej  wskazywać  na 

okoliczność,  że  tego  rodzaju  wymóg  narusza  przepisy  ustawy  Pzp,  w  szczególności,  że 

mógłby  on  potencjalnie  ograniczać  konkurencję.  Nie  złożył  także  żadnych  dowodów  na 

poparcie  postawionej  w  odwołaniu  tezy,  że  niewielu  producentów  standardowo  oferuje 

licencje  systemów  operacyjnych,  a  większość  czyni  to  za  dodatkową  opłatą.  Nie  wyjaśnił 

także  jak  ta  okoliczność  miałaby  wpływać  na  możliwość  złożenia  w  postępowaniu 

konkurencyjnej  oferty,  uwzględniającej  koszty  wymaganych  licencji.  Argumentacja 

Odwołującego  nie  koresponduje  ponadto  z  postawionym  żądaniem,  Odwołujący  z  jednej 

strony  zwraca  bowiem  uwagę  na  okoliczność,  że  większość  producentów  oferuje  licencje 

systemów operacyjnych za dodatkową opłatą, a z drugiej strony nie domaga się zmiany pkt 

2f OPU w zakresie dotyczącym wymagania dostarczenia licencji dla systemów operacyjnych 

maszyn wirtualnych.  

Żądanie  Odwołującego  sprowadza  się  wyłącznie  do  wprowadzenia  wymogu,  że  ww. 

licencje  dla  systemów  operacyjnych  maszyn  wirtualnych  powinny  być  w  języku  polskim, 

uzasadnionego  tym,  że  wymaganie  to  wspiera  produkt  FireEye,  który  nie  posiada  wersji 

polskojęzycznej.  Powyższe  twierdzenie  nie  zostało  przez  Odwołującego  wykazane,  nie 

przedstawiono  na  tę  okoliczność  żadnych  dowodów.  Odwołujący  nie  wskazał  także,  aby  w 

tym  zakresie  miało  dojść  do  naruszenia  jakichkolwiek  przepisów  –  wręcz  przeciwnie,  jak 

słusznie  zauważył  Zamawiający,  to  zmiana  postanowień  OPU  zgodnie  z  żądaniem 

odwołania  przez  wprowadzenie  wymogu  dostarczenia  licencji  w  języku  polskim,  zamiast 


wpłynąć  pozytywnie  na  konkurencję,  mogłaby  ją  ograniczyć.  Również  twierdzenie 

Odwołującego  o  tym,  że  produkt  z  licencją  anglojęzyczną  miałby  być  dla  Zamawiającego 

bezużyteczny, nie zostało niczym poparte ani szerzej wyjaśnione. Sam Odwołujący tezie tej 

pośrednio  zaprzeczył  wskazując,  że  wersje  angielskie  i  polskie  licencji  są  utrzymywane 

osobno,  nie  są  spójne,  a  poprawki  w  języku  polskim  są  w  innym  czasie  niż  poprawki  w 

języku  angielskim.  (przy  czym  Odwołujący  nie  kwestionował  twierdzeń  Zamawiającego,  że 

poprawki  w  języku  polskim  wprowadzane  są  później  niż  w  wersjach  anglojęzycznych). 

Argumentacja  Odwołującego  o  bezużyteczności  oprogramowania  objętego  licencją 

anglojęzyczną  jawi  się  jako  bezzasadna  także  w zestawieniu  z  faktem,  iż  Zamawiający  od 

wielu lat korzysta z rozwiązania używającego obrazy angielskich systemów operacyjnych, na 

których  wykonywana  jest  analiza  danych  na  potrzeby  wykrywania  zagrożeń 

cyberbezpieczeństwa, na co wskazano w odpowiedzi na odwołanie i co nie było sporne. 

Za  niewykazany  Izba  uznała  także  zarzut  dotyczący  pkt  3l  OPU  (pkt  2  uzasadnienia 

odwołania).  Do  pkt  3la),  tj.  wymogu,  aby  urządzenie  posiadało  zainstalowane  maszyny 

wirtualne,  na  których  odbywa  się  sandboxing,  zawierające  obrazy  systemu  operacyjnego 

Mac  Os,  Izba  odniosła  się  już  we  wcześniejszej  części  uzasadnienia.  Natomiast  za 

bezzasadne Izba uznała także stanowisko Odwołującego odnoszące się do wymogu z pkt. 3l 

OPU  w 

zakresie  dotyczącym  dostarczenia  licencji  Windows  i  MS  Office.  W  ocenie  Izby 

domaganie się usunięcia przedmiotowego wymogu stanowiło przejaw próby ukształtowania 

przedmiotu  zamówienia  w  sposób  bardziej  dogodny  dla  Odwołującego.  Na  powyższe 

wskazał  sam  Odwołujący  twierdząc,  że  „oczekiwanie  dostarczenia  licencji  jest  niewygodne 

dla wykonawcy, 

ponieważ żeby złożyć ofertę musi ustalić warunki z Microsoft.” Nie taki jest 

jednak 

cel  postępowania  odwoławczego  -  postępowanie  to  służy  wyeliminowaniu 

potencjalnych naruszeń prawa,  a  nie kształtowaniu postanowień  SIWZ w  sposób korzystny 

dla 

wykonawców. Odwołanie nie powinno prowadzić do negocjacji treści postanowień SIWZ 

pod  pretekstem  rzekomych  naruszeń  przepisów.  Dodatkowe  trudności  istniejące  po  stronie 

wykonawcy  nie  stanowią  okoliczności  wskazującej  na  naruszenie  przepisów  ustawy  Pzp. 

Od

wołujący  w  tym  zakresie  nie  przedstawił  jakiejkolwiek  konstruktywnej  argumentacji,  za 

taką nie może być bowiem uznane lakoniczne wskazanie na fakt, że Microsoft przez swoich 

dystrybutorów może dać różne ceny różnym wykonawcom.  

Bezzasadne  jest  także  twierdzenie  jakoby  działanie  Zamawiającego  miało  być 

niegospodarne  z  uwagi  na  zawarcie  przez  Zamawiającego  umowy  Enterprise  Agreement 

Microsoft.  Odwołujący  nie  wyjaśnił  jak  fakt  posiadania  przez  Zamawiającego  określonych 

licencji  miałby  wpływać  na  realizację  przedmiotowego  zamówienia,  a  nadto  jego  teza 

postawiona  została  w  oderwaniu  od  rzeczywistego  stanu  faktycznego.  Jak  wskazywał 

Zamawiający  umowa  Enterprise  Agreement  nie  zawiera  postanowień  umożliwiających  jej 


wykorzystanie  dla  urządzeń  dostarczanych  przez  inne  podmioty,  nie  obejmuje  użycia 

maszyn  na  potrzeby  sandboxingu,  wygasa  wcześniej  niż  planowany  zakup  systemu 

sandboxingu.  Odwołujący  do  stanowiska  tego  nie  odniósł  się.  W  ocenie  Izby  twierdzenie 

Odwołującego,  jakoby  działanie  Zamawiającego  miało  być  niegospodarne,  stanowi  kolejną 

próbę  narzucenia  Zamawiającemu  takiego  rozwiązania,  jakie  z perspektywy  Odwołującego 

byłyby optymalne przy konstruowaniu oferty, przy jednoczesnym pominięciu uzasadnionych 

potrzeb istniejących po stronie Zamawiającego w tym względzie.  

Izba wskazuje także na bezzasadność żądania wykreślenia z OPU wymogu posiadania 

przez urządzenia maszyn wirtualnych, na których odbywa się sandboxing, zainstalowanego 

oprogramowania  narzędziowego  minimum  typu  Microsoft  Office,  które  dodatkowo  nie 

ko

responduje z treścią zarzutu. Jak wskazał Zamawiający realizacja postulatu Odwołującego 

uniemożliwiłoby  w  analizie  sandboxowej  sprawdzenie  plików  bazujących  na  tym  właśnie 

pakiecie  narzędzi  biurowych  i  spowodowałoby  znaczny  spadek  wykrywalności  złośliwego 

oprogramowania  narażając  Zamawiającego  na  ryzyko  i  podważając  sens  dokonywania 

analizy  sandboxowej. 

Zamawiający  przedstawił  informacje  poparte  dowodami,  obrazujące 

skalę  zagrożeń  dla  produktów  Microsoft,  w  szczególności  Microsoft  Office,  którego  w 

ostatnim 

czasie dotyczyło 73-75% wszystkich cyberataków, ja i fakt, że większość złośliwego 

oprogramowania  jest  przesyłana  za  pośrednictwem  poczty  elektronicznej.  Odwołujący  nie 

przedstawił jakichkolwiek argumentów, które pozwalałaby poddać w wątpliwość uzasadnione 

potrzeby  Zamawiającego  w  powyższym  aspekcie.  Z  kolei  podniesione  w  odwołaniu 

lakoniczne  twierdzenia  o  ryzyku  wykrycia  przez  malware  licencji  generycznej  sandboxowej 

zastosowania  technik  unikania,  mające  wskazywać  na  rzekomy  brak  zapewnienia 

odpowiednie

go  bezpieczeństwa  przez  zamawiane  rozwiązanie,  nie  zostały  przez 

Odwołującego ani szerzej rozwinięte, ani poparte dowodami, a jako takie nie wykazywały tez 

odwołania. 

Odnosząc  się  do  postanowień  OPU,  których  dotyczyły  punkty  3-7  uzasadnienia 

odwołania,  przede  wszystkim  należy  podkreślić  wagę,  jaką  dla  wyniku  postępowania  ma 

sposób  skonstruowania  podstaw  faktycznych  stawianych  zarzutów.  Nie  jest  wystarczające 

zwrócenie uwagi na istnienie określonego problemu, czy proste zasygnalizowanie, że pewien 

wymóg może nie być do końca uzasadniony albo że możliwe są także inne rozwiązania, lecz 

niezbędne  jest  przedstawienie  argumentacji,  jak  te  okoliczności  przekładają  się  na 

naruszenie przepisów  prawa,  w  tym  dlaczego świadczyć  mają one  o spełnieniu  wszystkich 

przesłanek wskazanych w treści przepisu, którego naruszenie zamawiającemu się zarzuca. 

Sam  fakt,  że  być  może  zasadne  byłoby  dopuszczenie  przez  Zamawiającego  pewnych 

rozwiązań nie przesądza o tym, że doszło do naruszenia prawa. Tymczasem argumentacja 

przedstawiona  p

rzez  Odwołującego  w  omawianym  zakresie  była  nad  wyraz  lakoniczna  i  w 


żaden  sposób  nie  wyjaśniała,  dlaczego  wymagania  wskazane  w postanowieniach  OPU, 

których  dotyczyły  punkty  3-7  uzasadnienia  odwołania,  naruszać  miałyby  przepisy  ustawy 

Pzp, w szczególności art. 29 ust. 1-3 OPZ. W odwołaniu przedstawiono jedynie ogólne, nie 

poparte  szerszym  uzasadnieniem,  postulaty  wprowadzenia  modyfikacji  w  SIWZ,  przy  czym 

Odwołujący  nie  wyjaśnił  nawet  dlaczego  wprowadzone  miałyby  zostać  zmiany  określonej 

treści i dlaczego takie właśnie zmiany prowadziłyby do konwalidacji sprzecznych z prawem 

działań lub zaniechań Zamawiającego. Ponadto Odwołujący nie podjął na rozprawie żadnej 

polemiki  ze  stanowiskiem  Zamawiającego  przedstawionym  w  odpowiedzi  na  odwołanie  w 

zakresie tych zar

zutów.   

Zarzut 

dotyczący pkt 4o OPU (pkt 3 uzasadnienia odwołania) sprowadzał się wyłącznie 

do  niczym  nieuzasadnionego  postulatu  dopuszczenia  rozwiązania,  które  będzie  blokowało 

niebezpieczną  komunikację  poprzez  integrację  z  innymi  urządzeniami  sieciowymi,  które 

posiada  Zamawiający.  Odwołujący  nie  przedstawił  szczegółowej  argumentacji  w tym 

przedmiocie,  zwłaszcza  w  kontekście  tego,  jak  zaniechanie  zarzucane  Zamawiającemu 

miałoby  naruszać  prawo,  co  przesądza  o  bezzasadności  zarzutu.  Na  jego  bezzasadność 

wsk

azuje także fakt, iż – jak wyjaśniono w odpowiedzi na odwołanie -  SIWZ dopuszcza tego 

rodzaju  rozwiązanie,  czemu  Odwołujący  na  rozprawie  nie  zaprzeczał.  Z  analogicznych 

względów za nieuzasadniony Izba uznała zarzut dotyczący pkt 2e OPU (pkt 4 uzasadnienia 

odwołania),  który  ograniczał  się  do  wniosku  o  dopuszczenia  przez  Zamawiającego 

dostarczania  elementów  zarządzania  i  raportowania  w  formie  maszyn  wirtualnych, 

zastrzeżeniem, że wszystkie elementy systemu będą tego samego producenta. Zarzut ten 

nie  zawiera  podstawy  faktycznej,  a  jedynie  wniosek,  k

tóry  nie  został  poparty  żadną 

argumentacją.  Ponadto,  jak  wskazał  Zamawiający  w  odpowiedzi  na  odwołanie,  zgodnie 

SIWZ elementy związane z zarządzaniem i raportowaniem mogą być dostarczone w formie 

maszyn wirtualn

ych, do czego Odwołujący w ogóle się nie odniósł i czego nie kwestionował. 

Podobnie rzecz się ma jeśli chodzi o zarzut dotyczący pkt 3a OPU (pkt 5 uzasadnienia 

odwołania)  –  w  tym  przypadku  Odwołujący  wyraził  wyłącznie  własne  oczekiwanie,  aby 

Zamawiający  dopuścił  dostarczenie  zestawu  urządzeń  z  podziałem  na  poszczególne 

funkcjonalności,  gdyż  „jest  to  korzystne  dla  Zamawiającego”.  Odwołujący  nawet  nie  podjął 

próby  wytłumaczenia  dlaczego  proponowana  zmiana  miałaby  być  dla  Zamawiającego 

korzystna,  nie  mówiąc  już  o  konieczności  wyjaśnienia  dlaczego  przewidziane  w  SIWZ 

wymaganie  miałoby  w  ogóle  naruszać  przepisy  ustawy  Pzp.  Również  za  przedstawienie 

jedynie  własnego  postulatu  uznać  należy  żądanie  określenia  w  pkt  3b  OPU  (pkt  6 

uzasadnienia  odwołania),  że  Zamawiający  zaakceptuje  rozwiązanie,  w  którym  urządzenia 

realizujące sandboxing będą dostarczane w postaci zamkniętej platformy sprzętowej, a inne 

elementy  systemu  mogą  być  dostarczone  w  formie  maszyny  wirtualnej.  W  odwołaniu  brak 


jest  jakiejkolwiek  argumentacji  na 

poparcie  tak  sformułowanego  żądania,  na  rozprawie  zaś 

Odwołujący  do  tej  kwestii  nie  odnosił  się,  nie  polemizował  także  ze  stanowiskiem 

Zamawiającego przedstawionym w odwołaniu.  

Z kolei 

zarzut wskazany w pkt 7 uzasadnienia odwołania odnosi się do postanowienia 

pkt  3c  OPU  o  innej  treści  niż  jego  rzeczywiste  brzmienie.  Przywołana  przez  Odwołującego 

treść  ww.  postanowienia  nie  znajduje  się  w  OPU.  Pkt  3c  brzmi:  „Zamawiający  wyklucza 

analizę próbki z wiadomości email w chmurze” i nie odnosi się do kwestii możliwości wpięcia 

infrastrukturę Zamawiającego w trybie in-line poprzez zastosowanie danych pochodzących 

ze  SPAN  portu  urządzeń  sieciowych.  Tego  rodzaju  wymóg  wprowadzono  w  pkt  4c  OPU 

odnoszącym  się  jednak  do  zapewnienia  ochrony  kanału  www,  a  nie  ochrony  kanału 

pocztowego,  do  którego  referuje  pkt  3  OPU  i  do  którego  odnosił  się  Odwołujący.  Ponadto 

Odwołujący  w  żaden  sposób  nie wyjaśnił  do  czego niezbędna jest mu wiedza co do  liczby 

jednoczesnych sesji http/https oraz 

liczby użytkowników systemu pocztowego oraz skrzynek 

pocztowych  podlegających  ochronie,  nie  wytłumaczył  jak  żądane  informacje  wpływają  na 

kwestię jednoznaczności opisu przedmiotu zamówienia czy możliwość kalkulacji ceny oferty. 

Oczekiwanie 

Odwołującego  w  zakresie  podania  liczny  skrzynek  pocztowych  podlegających 

ochronie jest tym bardziej niezrozumiałe, jeśli weźmie się pod uwagę fakt, że Zamawiający 

punkcie  3h  określił  minimalną  ilość  skrzynek  pocztowych,  dla  których  urządzenie  ma 

zapewniać  ochronę.  Odwołujący  nie  odniósł  się  ani  do  powyższej  okoliczności,  ani  do 

stanowiska  Zamawiającego,  który  w odpowiedzi  na  odwołanie  wskazywał  na  wynikający 

z OPU 

wymóg trybu pracy Message Transfer Agent.  

Biorąc pod uwagę wszystko powyższe Izba stwierdziła, iż nie zostały wykazane zarzuty 

wskazujące  na  opisanie  przedmiotu  zamówienia  w  sposób  niejednoznaczny 

niewyczerpujący,  bez  uwzględnienia  wszystkich  wymagań  i  okoliczności  mogących  mieć 

wpływ na sporządzenie oferty, czy też w sposób utrudniający uczciwą konkurencję i poprzez 

wskazanie  pochodzenia,  źródła,  szczególnego  procesu,  który  charakteryzuje  wyłącznie 

producenta  FireEye  (art.  29  ust.  1-3  ustawy  Pzp).  Z  kolei  wskazany  w  petitum 

odwołania 

zarzut  naruszenia  art.  30  ust  4  ustawy  Pzp 

przez  zaniechanie  dopuszczenia  rozwiązań 

równoważnych    i  opisania  warunków  równoważności  nie  został  nawet  w uzasadnieniu 

odwołania omówiony. W świetle szczegółowo omówionych powyżej okoliczności bezzasadne 

okazały  się  także  zarzuty  odnoszące  się  do  zaniechania  podziału  zamówienia  na  części 

wyłączenia do odrębnego postępowania zakresu dotyczącego Mac OS. 

W  tym  stanie  rzeczy 

Izba  uznała,  że  odwołanie  podlega  oddaleniu  w  całości  i  na 

podstawie art. 192 ust. 1 ustawy Pzp 

orzekła jak w sentencji. 


O  kosztach  postępowania  odwoławczego  orzeczono  stosownie  do  jego  wyniku  na 

podstawie  art.  192  ust.  9  i  10  ustawy  Pzp  oraz 

§    3  pkt  1  Rozporządzenia  Prezesa  Rady 

Ministrów  z  dnia  15  marca  2010  r.  w sprawie  wysokości  i sposobu  pobierania  wpisu  od 

odwołania  oraz  rodzajów  kosztów  w postępowaniu  odwoławczym  i  sposobu  ich  rozliczania 

(t.j. Dz. U. z 2018 r. poz. 972). 

Przewodniczący:      ……………………………….……… 


wiper-pixel