KIO 2908/25

Sygn. akt: KIO 2908/25

POSTANOWIENIE

Warszawa, 1 września 2025 r.

Krajowa Izba Odwoławcza – w składzie:

Przewodnicząca:Anna Chudzik

Protokolant:Adam Skowroński

po rozpoznaniu na posiedzeniu z udziałem stron i uczestników postępowania odwoławczego 1 września 2025 r. w Warszawie odwołania wniesionego do Prezesa Krajowej Izby Odwoławczej 14 lipca 2025 r. przez wykonawcę Perceptus Sp. z o.o. z siedzibą w Zielonej Górze,

w postępowaniu prowadzonym przez Województwo Lubuskie – Urząd Marszałkowski Województwa Lubuskiego w Zielonej Górze,

uczestnik po stronie Zamawiającego: GaMP Sp. z o.o. z siedzibą w Zielonej Górze,

uczestnik po stronie Odwołującego: Innovasec Sp. z o.o. z siedzibą w Warszawie,

postanawia:

1.umorzyć postępowanie odwoławcze,

2.nakazać zwrot z rachunku Urzędu Zamówień Publicznych na rzecz Odwołującego kwoty 13 500 zł 00 gr (słownie: trzynaście tysięcy pięćset złotych zero groszy) stanowiącej 90% wpisu od odwołania.

Na orzeczenie – w terminie 14 dni od dnia jego doręczenia – przysługuje skarga za pośrednictwem Prezesa Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie – Sądu Zamówień Publicznych.

Przewodnicząca:………….…….

‎

‎Sygn. akt: KIO 2908/25

Uzasadnienie

Zamawiający – Województwo Lubuskie – Urząd Marszałkowski Województwa Lubuskiego w Zielonej Górze – prowadzi w trybie przetargu nieograniczonego postępowanie o udzielenie zamówienia pn. Wyłonienie Inżyniera Kontraktu do realizacji projektu „ROZWÓJ E-USŁUG W WOJEWÓDZTWIE LUBUSKIM – SOC.” Wartość zamówienia jest większa niż progi unijne. Ogłoszenie o zamówieniu zostało opublikowane w Dzienniku Urzędowym Unii Europejskiego 2 lipca 2025 r. pod numerem 426744-2025.

Wykonawca Perceptus Sp. z o.o. wniósł 14 lipca 2025 r. odwołanie wobec treści ogłoszenia o zamówieniu i specyfikacji warunków zamówienia. Odwołujący zarzucił Zamawiającemu naruszenie przepisów:

1.art. 112 ust. 1 i 2 pkt 4 w zw. z art. 116 ust. 1 w zw. z art. 16 pkt 1, 2 i 3 ustawy Pzp, poprzez sformułowanie warunku udziału w postępowaniu w zakresie zdolności technicznej i zawodowej w odniesieniu do Kierownika Projektu, Specjalisty ds. ochrony informacji, Specjalisty ds. bezpieczeństwa IT oraz Architekta rozwiązań ds. bezpieczeństwa IT w sposób nieproporcjonalny do przedmiotu zamówienia, niezwiązany z przedmiotem zamówienia, nadmierny oraz naruszający zasadę uczciwej konkurencji i równego traktowania wykonawców, tj. poprzez:

a.wymaganie w odniesieniu do Kierownika Projektu doświadczenia w roli kierownika projektu o wartości min. 20.000.000,00 zł brutto (Rozdział XIV ust. 2 pkt 4 ppkt 5 ppkt 1.1 lit. b SWZ) oraz Certyfikatu audytora wiodącego ISO 27001 wydanego przez akredytowaną jednostkę certyfikującą lub równoważny (Rozdział XIV ust. 2 pkt 4 ppkt 1.1 lit. d SWZ);

b.wymaganie w odniesieniu do Specjalisty ds. ochrony informacji Poświadczenia Bezpieczeństwa dostępu do informacji niejawnych z klauzulą „poufne” (Rozdział XIV ust. 2 pkt 5 ppkt 1.2 lit. b SWZ);

c.wymaganie w odniesieniu do Specjalisty ds. bezpieczeństwa IT certyfikatów: Microsoft Certified: Azure Security Engineer Associate (AZ500) lub równoważny oraz Certified Ethical Hacker (CEH) lub równoważny (Rozdział XIV ust. 2 pkt 5 ppkt 1.4 lit. b i c SWZ);

d.wymaganie w odniesieniu do Architekta rozwiązań bezpieczeństwa IT certyfikatów: Offensive Security Certified Professional (OCSP) lub równoważny oraz Certified Ethical Hacker (CEH) lub równoważny (Rozdział XIV ust. 2 pkt 4 ppkt 1.5 lit. b i c SWZ);

e.brak dopuszczenia łączenia ról w ten sposób, że jedna będzie wskazywana w więcej niż jednej roli lub będzie pełniła więcej niż jedną rolę. Wykonawca musi dysponować łącznie 5 osobami na potwierdzenie spełnienia warunku (Rozdział XIV ust. 2 pkt 5 SWZ);

2.art. 239 ust. 1 w zw. z art. 241 ust. 1-3 w zw. z art. 242 ust. 2 w zw. z art. 16 pkt 1, 2 i 3 ustawy Pzp, poprzez dokonanie opisu kryteriów oceny ofert w zakresie kryterium dodatkowego doświadczenia kluczowego personelu:

a.Specjalisty ds. bezpieczeństwa IT i posiadania przez tę osobę dodatkowych certyfikatów: Offensive Security Certified Expert lub równoważny, Licensed Penetration Tester lub równoważny – 20% wagi kryterium (Rozdział XXVII poz. 2 lit. a i b tabeli),

b.Architekta rozwiązań bezpieczeństwa IT i posiadania przez tę osobę dodatkowych certyfikatów: Offensive Security Certified Expert lub równoważny oraz GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) lub równoważny - 20% wagi kryterium (Rozdział XXVII poz. 3 lit. a i b tabeli)

w sposób niezwiązany z przedmiotem zamówienia oraz w sposób naruszający zasadę uczciwej konkurencji i równego traktowania wykonawców, jak również zasadę proporcjonalności;

3.art. 99 ust. 1, 2, 4 w zw. z art. 16 pkt 1, 2 i 3 ustawy Pzp, poprzez dokonanie opisu przedmiotu zamówienia (OPZ) w sposób nieuwzględniający wszystkich wymagań mających wpływ na przygotowanie oferty, wewnętrznie sprzeczny, uniemożliwiający przygotowanie i wycenę oferty, nieadekwatny, naruszający uczciwą konkurencję oraz sprzeczny ze Studium Wykonalności, w zakresie w jakim Zamawiający określił, że w celu uruchomienia środowiska zapewniającego bezpieczne świadczenie e-usług i działania systemów teleinformatycznych w ramach tworzonego SOC niezbędne jest:

a.„Wdrożenie systemów klasy WAF (Web Application Firewall)” (Rozdział 1 ust. 4 OPZ);

b.„Wdrożenie systemów klasy PAM (Privileged Access Management)” (Rozdział 1 ust. 5 OPZ);

c.Uruchomienie usług obejmujących „cykliczne testy penetracyjne” (Rozdział 1 ust. 8 lit. c OPZ).

Odwołujący wniósł o nakazanie Zamawiającemu dokonania następujących zmian postanowień ogłoszenia o zamówieniu i SWZ:

1.modyfikacji Rozdziału XIV ust. 2 pkt 5 ppkt 1.1 lit. b i d SWZ (i odpowiednich postanowień Ogłoszenia o zamówieniu) – wymagań w odniesieniu do Kierownika Projektu w ten sposób, że:

a.doświadczenie w roli kierownika projektu będzie dotyczyło projektu o wartości min. 5.000.000,00 zł brutto;

b.wykreślone zostanie z wymaganie posiadania „Certyfikatu audytora wiodącego ISO 27001 wydanego przez akredytowaną jednostkę certyfikującą lub równoważny” lub ewentualnie powiększony zostanie zespół o jedną osobę audytora z ww. certyfikatem;

2.modyfikacji Rozdziału XIV ust. 2 pkt 5 ppkt 1.2 lit. b SWZ (i odpowiednich postanowień Ogłoszenia o zamówieniu) – wymagań dotyczących Specjalisty ds. ochrony informacji w ten sposób, że wykreślone zostanie ww. wymaganie posiadania Poświadczenia Bezpieczeństwa dostępu do informacji niejawnych z klauzulą „poufne”, ewentualnie w przypadku nieuwzględnienia ww. żądania – określenie, że cały zespół wykonawcy określony w Rozdziale XIV ust. 2 pkt 5 SWZ powinien legitymować się ww. Poświadczeniem Bezpieczeństwa;

3.modyfikacji Rozdziału XIV ust. 2 pkt 5 ppkt 1.4 lit. b i c SWZ (i odpowiednich postanowień Ogłoszenia o zamówieniu) – wymagań dotyczących Specjalisty ds. bezpieczeństwa IT w te sposób, że dotychczasowe wymagania w zakresie certyfikatów zostaną wykreślone;

4.modyfikacji Rozdziału XIV ust. 2 pkt 5 ppkt 1.5 lit. b i c SWZ (i odpowiednich postanowień Ogłoszenia o zamówieniu) – wymagań dotyczących Architekta rozwiązań bezpieczeństwa IT w ten sposób, że certyfikat Offensive Security Certified Professional (OCSP) lub równoważny zostanie zastąpiony certyfikatem CompTIA Security + lub równoważny, a certyfikat Certified Ethical Hacker (CEH) lub równoważny zostanie wykreślony z wymagań;

5.modyfikacji Rozdziału XIV ust. 2 pkt 5 SWZ w ten sposób, że nie jest dopuszczalne łączenie roli Kierownika Projektu z inną funkcją, natomiast pozostałe funkcje mogą podlegać łączeniu, a ponadto, że dopuszczalne jest, aby pozostali członkowie zespołu łącznie spełniali wszystkie wymagania w zakresie doświadczenia, kwalifikacji oraz certyfikatów;

6.modyfikacji kryterium oceny ofert z Rozdziału XXVII poz. 2 lit. a i b tabeli SWZ (i odpowiednich postanowień Ogłoszenia o zamówieniu) w ten sposób, że wymaganie wobec Specjalisty ds. bezpieczeństwa IT certyfikatu Offensive Security Certified Expert lub równoważny zostanie wykreślone i zastąpione certyfikatem CompTIA Security+ lub równoważny, natomiast wymaganie certyfikatu Licensed Penetration Tester zostanie zastąpione certyfikatem BlueTeam Level 1 (BTL1) lub równoważny;

7.modyfikacji Rozdziału XXVII poz. 3 lit. a i b tabeli SWZ (i odpowiednich postanowień Ogłoszenia o zamówieniu) w ten sposób, że wymaganie wobec Architekta rozwiązań bezpieczeństwa IT certyfikatu Offensive Security Certified lub równoważny zostanie zastąpiony certyfikatem CompTIA CyberSecurity Analyst -CySa+ lub równoważny, natomiast wymaganie Certyfikatu GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) lub równoważny zostanie zastąpione Certyfikatem CompTIA Security Analytics Professional – CASP lub równoważny;

8.wykreślenie Rozdziału 1 ust. 4, 5 oraz 8 lit. c OPZ.

Odwołujący 29 sierpnia 2025 r. przekazał do akt sprawy oświadczenie o cofnięciu odwołania w całości. Wobec powyższego postępowanie odwoławcze – zgodnie z art. 568 pkt 1 ustawy Pzp – należało umorzyć.

O kosztach postępowania odwoławczego orzeczono stosownie do art. 557 ustawy Pzp i § 9 ust. 1 pkt 3 lit. a z 2020 r. poz. 2437), nakazując zwrot na rzecz Odwołującego kwoty 13.500 zł stanowiącej 90% uiszczonego wpisu.

Przewodnicząca:……………………