Sygn. akt: KIO 3166/25

WYROK

Warszawa, dnia 12 września 2025 r.

Krajowa Izba Odwoławcza - w składzie:

Przewodniczący:Anna Wojciechowska

Protokolant: Patryk Pazura

po rozpoznaniu na rozprawie w Warszawie w dniu 10 września 2025 r. odwołania wniesionego do Prezesa Krajowej Izby Odwoławczej w dniu 28 lipca 2025 r. przez wykonawcę Trecom Wrocław sp. z o.o. z siedzibą w Warszawie w postępowaniu prowadzonym przez zamawiającego Uniwersytet Opolski z siedzibą w Opolu

orzeka:

1.Oddala odwołanie.

2.Kosztami postępowania obciąża odwołującego wykonawcę Trecom Wrocław sp. z o.o. z siedzibą w Warszawie i

2.1.zalicza w poczet kosztów postępowania odwoławczego kwotę 7500 zł 00 gr (siedem tysięcy pięćset złotych zero groszy) uiszczoną przez wykonawcę Trecom Wrocław sp. z o.o. z siedzibą w Warszawie tytułem wpisu od odwołania, kwotę 3600 zł 00 gr (trzy tysiące sześćset złotych zero groszy) tytułem wynagrodzenia pełnomocnika zamawiającego oraz kwotę 715 zł 30 gr (siedemset piętnaście złotych trzydzieści groszy) tytułem kosztów dojazdu zamawiającego na posiedzenie i rozprawę,

2.2.zasądza od wykonawcy Trecom Wrocław sp. z o.o. z siedzibą w Warszawie na rzecz zamawiającego Uniwersytetu Opolskiego z siedzibą w Opolu kwotę 4315 zł 30 gr (cztery tysiące trzysta piętnaście złotych trzydzieści groszy) stanowiącą uzasadnione koszty strony poniesione tytułem wynagrodzenia pełnomocnika oraz kosztów dojazdu na posiedzenie i rozprawę.

Na orzeczenie - w terminie 14 dni od dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie - Sądu Zamówień Publicznych.

Przewodniczący: …………………………..

Sygn. akt KIO 3166/25

Uzasadnienie

Zamawiający – Uniwersytet Opolski - prowadzi postępowanie o udzielenie zamówienia publicznego w trybie podstawowym bez negocjacji na podstawie art. 275 pkt 1 ustawy z dnia 11 września 2019 r. - Prawo zamówień publicznych (tekst jednolity Dz. U. 2024 r., poz. 1320 z późn. zm. – dalej „ustawa pzp”), pn. „Zakup i dostawa licencji wieczystych do oprogramowania wraz z usługą wdrożenia oraz usługą utrzymania i wsparcia technicznego, nr referencyjny postępowania: D/27/2025”. Ogłoszenie o zamówieniu opublikowane zostało w Biuletynie Zamówień Publicznych w dniu 3 kwietnia 2024 r., za numerem 2025/BZP 00175740.

W dniu 28 lipca 2025 r. odwołanie wniósł wykonawca Trecom Wrocław sp. z o.o. z siedzibą w Warszawie – dalej Odwołujący. Odwołujący wniósł odwołanie wobec:

1) zaniechania odrzucenia z postępowania oferty wykonawcy działającego pod firmą Śląska Grupa Informatyczna sp. z o.o. z siedzibą w Bytomiu (dalej „ŚGI” lub „Wybrany Wykonawca”) zgodnie z żądaniem uznanego przez Zamawiającego w całości odwołaniem z dnia 12 maja 2025 r. z uwagi na niezgodność tej oferty z warunkami zamówienia w zakresie części 2 zamówienia, które to odwołanie zostało w całości uznane przez Zamawiającego przy braku sprzeciwu Wybranego Wykonawcy, który złożył przystąpienie do postępowania odwoławczego wszczętego odwołaniem z 12 maja 2025 r.;

2) bezpodstawnego uznania, że oferta Wybranego Wykonawcy w zakresie części nr 2 pn. Zakup i dostawa licencji wieczystych do oprogramowania systemu zbierania logów i korelacji zdarzeń SIEM, wraz z usługą wdrożenia oraz usługą utrzymania i wsparcia technicznego jest zgodna z warunkami zamówienia oraz wobec zaniechania odrzucenia tej oferty jako niezgodnej z warunkami zamówienia.

Odwołujący zarzucił Zamawiającemu naruszenie:

1. art. 522 ust. 2 ustawy pzp przez zaniechanie odrzucenia z postępowania oferty Wybranego Wykonawcy zgodnie z żądaniem uznanego przez Zamawiającego odwołania z dnia 12 maja 2025 r., tj. żądania odrzucenia oferty Wybranego Wykonawcy z powodu niezgodności jej treści z warunkami zamówienia w zakresie części 2 zamówienia, które to odwołanie zostało w całości uznane przez Zamawiającego przy braku sprzeciwu Wybranego Wykonawcy, który złożył przystąpienie do postępowania odwoławczego wszczętego odwołaniem z 12 maja 2025 r.

2. art. 226 ust. 1 pkt 5 ustawy pzp przez bezpodstawne uznanie, że oferta Odwołującego jest zgodna z warunkami zamówienia, kiedy oferowane przez Wybranego Wykonawcę oprogramowanie Energy Logserver SIEM i SOAR Perpetual nie odpowiada wymaganiom Zamawiającego w ten sposób, że korzysta z oprogramowania typu Open Source pn. Elasticsearch, Logstasch, Kibana i TheHive m.in. w obszarach składowania, parsowania, korelacji logów, algorytmów uczenia maszynowego, co jednoznacznie zostało wykluczone w opisie przedmiotu zamówienia dla Części nr 2 zamówienia (dalej „Zamówienie”).

Odwołujący w oparciu o wyżej wskazane zarzuty wniósł o uwzględnienie odwołania, jak również nakazanie Zamawiającemu:

1) unieważnienia czynności rozstrzygnięcia postępowania w zakresie Zamówienia z dnia 21 lipca 2025 r., tj. unieważnienia czynności uznania za najkorzystniejszą i wyboru oferty wykonawcy Śląska Grupa Informatyczna sp. z o.o.;

2) odrzucenia oferty Wybranego Wykonawcy z uwagi na jej niezgodność z warunkami zamówienia

3) powtórzenia czynności badania i oceny ofert pozostałych w postepowaniu po odrzuceniu oferty ŚGI.

Odwołujący uzasadniając zarzuty odwołania wskazał, że w dniu 7 maja 2025 r. Zamawiający dokonał pierwszego rozstrzygnięcia postępowania w zakresie części nr 2 zamówienia przez wybór oferty ŚGI. Odwołujący zaskarżył to rozstrzygnięcie postępowania zarzucając Zamawiającemu zaniechanie odrzucenia oferty ŚGI mimo jej niezgodności z warunkami zamówienia w zakresie tożsamym z zarzutem opisanym w zarzucie 2 odwołania. Postępowanie odwoławcze wszczęte pierwszym odwołaniem z 12 maja 2025 r. otrzymało sygnaturę akt KIO 1878/25. W dniu 22 maja 2025 r. Zamawiający uznał pierwsze odwołanie na pierwsze rozstrzygnięcie postępowania w zakresie części nr 2 zamówienia w całości. Wybrany Wykonawca, który przystąpił do tamtego postępowania odwoławczego po stronie Zamawiającego, w dniu 28 maja 2025 r. oświadczył, że nie będzie korzystał z prawa do sprzeciwu wobec uznania przez Zamawiającego pierwszego odwołania i nie złożył takiego sprzeciwu. Wobec jasnych oświadczeń Zamawiającego i Przystępującego Krajowa Izba Odwoławcza w dniu 3 czerwca 2025 r. wydała postanowienie o umorzeniu postępowania odwoławczego w sprawie o sygn. akt KIO 1878/25 na podstawie art. 568 pkt 3 ustawy pzp w związku z art. 522 ust. 2 ustawy pzp. Według najlepszej wiedzy Odwołującego postanowienia ww. postanowienie Izby uprawomocniło się. Po unieważnieniu rozstrzygnięcia postępowania z 12 maja 2025 r. Zamawiający wzywał dwukrotnie ŚGI do wyjaśnień treści jego oferty. Zarówno treść wezwań do wyjaśnień treści oferty ŚGI jak i wyjaśnień treści tej oferty nie dotyczyła niezgodności treści oferty Wybranego Wykonawcy, które Odwołujący wskazywał w pierwszym odwołaniu i które ponownie podnosi w zarzucie 2 odwołania. Zatem wyjaśnienia udzielone przez Wybranego Wykonawcę nic nie wniosły w tym zakresie do postępowania i podnoszone zarzuty niezgodności treści oferty Wybranego Wykonawcy z warunkami zamówienia pozostają aktualne w pełnym zakresie.

Przedmiotem zamówienia w zakresie Części nr 2 jest dostawa licencji wieczystych do oprogramowania systemu zbierania logów i korelacji zdarzeń SIEM wraz z usługą wdrożenia oraz usługą utrzymania i wsparcia technicznego świadczoną przez okres 36 miesięcy od dostarczenia i wdrożenia produktu. Zamawiający opisał szczegółowo przedmiot Zamówienia (w zakresie Części nr 2) w załączniku nr 1B do SWZ pn. Opisy przedmiotu zamówienia (dalej „OPZ”). Zgodnie z ust. 133 rozdziału I pn. Wymagania ogólne OPZ Zamawiający zastrzegł, w odniesieniu do zamawianego oprogramowania, że: System nie może działać w oparciu o oprogramowanie otwarte (ang: open source) w następującym zakresie funkcjonalnym: składowanie, parsowanie, korelacja logów (SIEM) algorytmy uczenia maszynowego. Zamawiający nie zaakceptuje rozwiązania, które wykorzystuje mechanizmy typu open source np.: Elastic Search, OSSIM, Snort, The Hive, AlienVault itd. lub został stworzony przez modyfikację oprogramowania otwartego. Zaoferowane przez Wybranego Wykonawcę oprogramowanie Energy Logserver SIEM opera się - w swoich kluczowych elementach, w tym w zakresie składowania, parsowania, korelacji logów (SIEM) - o oprogramowanie typu open source w postaci narzędzi Elasticsearch, Logstasch i Kibana. Elasticsearch, Logstash i Kibana to zestaw narzędzi open source służący do analizy dużych ilości danych. Elasticsearch jest otwarto źródłowym (open source) silnikiem wyszukiwania i analizy. Logstash dokonuje centralizacji strumieni danych. Natomiast Kibana umożliwia wizualizację danych. Dzięki zestawowi Elasticsearch, Logstash i Kibana możliwe jest gromadzenie, analiza, monitoring i wizualizacja danych w czasie rzeczywistym.

Dowody: artykuł pn. Czym jest Elasticsearch? dostępny na stronie:

https://smartbees.pl/blog/elasticsearch

Artykuł pn. ELK Stack: Wprowadzenie do narzędzia i zrozumienie jego mechanizmu działania dostępny na stronie:

https://boringowl.io/blog/elk-stack-wprowadzenie-do-narzedzia-izrozumienie-jego-mechanizmu-dzialania

Odwołujący wskazał, że działanie oprogramowania Energy Logserver SIEM oparte jest o zestaw narzędzi Elasticsearch, Logstasch i Kibana, o czym świadczy najnowsza dokumentacja tego oprogramowania pn. Energy-Log-Server-7.x Documentation (dalej „Dokumentacja EnergyLogserver”) datowana na 11 lutego 2025 r. i dostępna na stronie producenta pod linkiem: https://kb.energylogserver.com/en/latest/00-00-00-About.html. W Dokumentacji EnergyLogserver hasło Elasticsearch pojawia się 660 razy. Podobnie jest z hasłami Logstash i Kinbana, które w wynikach wyszukiwania w Dokumentacji EnergyLogserver pojawiają się odpowiednio: 659 razy i 537 razy. W rozdziale 5 (Chapter 5) Dokumentacji EnergyLogserver pt. Instrukcja użytkownika (User Manual), podrozdziale 5.1 pt. Wstęp (Introduction) zawarte są trzy podrozdziały wprost odwołujące się do tych komponentów: podrozdział 5.1.1 Elasticsearch, podrozdział 5.1.2 Kibana i podrozdział 5.1.3 Logstash.

W podrozdziale 5.1.1 Elasticsearch Dokumentacji EnergyLogserver wydawca oprogramowania wskazuje w odniesieniu do roli kodu Elasticsearch w oferowanym przez Wybranego Wykonawcę oprogramowaniu: Tłumaczenie podrozdziału 5.1.1. Elasticsearch: „Elasticsearch to rozwiązanie bazodanowe NoSQL, które stanowi serce naszego systemu. Informacje tekstowe wysyłane do systemu, aplikacja i logi systemowe są przetwarzane przez filtry Logstash i kierowane do Elasticsearch. To środowisko przechowywania tworzy, na podstawie otrzymanych danych, ich odpowiedni układ w formie binarnej, nazywany indeksem danych. Indeks jest podany na węzły Elasticsearch implementujące odpowiednie założenia konfiguracji, takie jak: • Indeks replikacji pomiędzy węzłami, • Wskaźnik dystrybucji pomiędzy węzłami. Środowisko Elasticsearch składa się z węzłów: • Węzeł danych – odpowiedzialny za przechowywanie dokumentów w indeksach, • Węzeł główny – odpowiada za nadzór nad węzłami, • Węzeł kliencki - odpowiedzialny za współpracę z klientem. Elementy danych, główne i klienckie można znaleźć nawet w najmniejszych instalacjach Elasticsearch, dlatego często środowisko jest określane mianem klastra, niezależnie od liczby skonfigurowanych węzłów. W klastrze Elasticsearch decyduje, które porcje danych są przechowywane na konkretnym węźle. Układ indeksów, ich nazwa i zestaw pól są dowolne i zależą od sposobu użytkowania systemu. Jest to powszechna praktyka umieścić dane o podobnym charakterze w tym samym typie indeksu, który ma stałą pierwszą część nazwy. Druga część nazwy często pozostaje datą utworzenia indeksu, co w praktyce oznacza, że tworzony jest nowy indeks codziennie. Praktyka ta jest jednak konwencjonalna i każdy indeks może mieć swoją konwencję rotacji, konwencję nazewnictwa, schemat konstrukcji i własny zestaw innych cech. W wyniku przejścia dokumentu przez Indeksy zbudowane są z elementarnych części zwanych fragmentami. Dobrą praktyką jest tworzenie indeksów z liczbą fragmenty, które są wielokrotnością liczby węzłów danych Elasticsearch. Elasticsearch w wersji 7.x ma nową funkcję, tzw. identyfikatory sekwencji, które gwarantują skuteczniejsze i wydajniejsze odzyskiwanie fragmentów. Elasticsearch używa mapowania do opisu pól lub właściwości, jakie mogą posiadać dokumenty danego typu. Z Elasticsearch. Wersja 7.x ogranicza indeksy do jednego typu.”

W podrozdziale 5.1.2 Kibana Dokumentacji EnergyLogserver wydawca oprogramowania wskazuje w odniesieniu do roli narzędzia Kibana w oferowanym przez Wybranego Wykonawcę oprogramowaniu: Tłumaczenie podrozdziału 5.1.2 Kibana: „Kibana umożliwia wizualizację danych Elasticsearch i nawigację po Elastic Stack. Kibana daje Ci wolność wybierz sposób, w jaki chcesz nadać kształt swoim danym. Nie zawsze musisz wiedzieć, czego szukasz. Rdzeń Kibany zawiera klasyczne funkcje: histogramy, wykresy liniowe, diagramy kołowe, diagramy słoneczne i wiele innych. Ponadto możesz używać gramatyki Vega aby zaprojektować Twoje wizualizacje. Wszystkie wykorzystują pełne możliwości agregacji Elasticsearch. Wykonaj zaawansowany analizę szeregów czasowych danych Elasticsearch za pomocą naszych starannie dobranych interfejsów użytkownika. Opisuj zapytania, transformacje i wizualizacje z wyrazistymi, łatwymi do nauczenia się wyrażeniami. Kibana 7.x ma dwie nowe funkcje – nowy tryb „Pełnego ekranu” do przeglądania pulpitów nawigacyjnych oraz nowy tryb „Tylko pulpit nawigacyjny”, który umożliwia administratorom bezpieczne udostępnianie pulpitów nawigacyjnych.”

Natomiast w podrozdziale 5.1.3 Logstash Dokumentacji EnergyLogserver wydawca oprogramowania wskazuje w odniesieniu do roli narzędzia Logstash w oferowanym przez Wybranego Wykonawcę oprogramowaniu: Tłumaczenie: „Logstash to otwarto źródłowy moduł do zbierania danych z możliwością przetwarzania w czasie rzeczywistym. Logstash może dynamicznie ujednolicać dane z różnych źródeł i normalizuj dane w wybranych miejscach docelowych. Oczyścić i zdemokratyzować wszystkie Twoje dane do wykorzystania w różnorodnych zaawansowanych analizach i wizualizacjach. Choć pierwotnie Logstash był pionierem innowacji w zakresie gromadzenia dzienników, jego możliwości wykraczają daleko poza ten przypadek użycia. Każdy typ zdarzenia można wzbogacić i przekształcić za pomocą szerokiej gamy wtyczek wejściowych, filtrujących i wyjściowych, a wiele kodeków natywnych jeszcze bardziej upraszcza proces wchłaniania. Logstash przyspiesza Twoje spostrzeżenia, wykorzystując większą objętość, różnorodność danych. Wersja Logstash 7.x zapewnia natywną obsługę wielu potoków. Te potoki są zdefiniowane w pliku pipelines.yml, który ładowany domyślnie. Użytkownicy będą mogli zarządzać wieloma potokami w ramach Kibany. To rozwiązanie wykorzystuje Elasticsearch umożliwia przechowywanie konfiguracji potoków i bieżącą rekonfigurację potoków Logstash.”

Oferowane przez Wybranego Wykonawcę oprogramowanie EnergyLogserver w najświeższej, zaoferowanej przez Wybranego Wykonawcę wersji oprogramowania wykorzystuje, a w istocie opiera się na narzędziach typu open source, w tym wprost wykluczonym w rozdziale I ust. 133 OPZ narzędziu Elasticsearch, co stanowi wprost o niezgodności oferty ŚGI z warunkami zamówienia.

Odwołujący podniósł również, że zaoferowane przez Wybranego Wykonawcę oprogramowanie SOAR Perpetual wykorzystuje oprogramowanie typu open source w postaci narzędzia TheHive, którego użycie Zamawiający wprost wykluczył w ust. 133 rozdz. I OPZ. Oprogramowanie SOAR Perpetual opiera się o platformę The Hive do zarządzania incydentami i koordynowania odpowiedzi na zagrożenia, która jest oprogramowaniem open source. W publikacji Energy SOAR User Guide (Instrukcja Użytkowania Energy SOAR), datowanej na 17 kwietnia 2025 r., dostępnej na stronie producenta tego oprogramowania: https://kb.energysoar.com/en/latest/index.html producent wielokrotnie odwołuje się do narzędzia open soure pn. TheHive. Wynik wyszukiwania hasła TheHive to 366 użyć w tej instrukcji. Rozdział 4 pt. Configuration (Konfiguracja) Instrukcji Użytkowania Energy SOAR zawiera podrozdział 4.2 pt. TheHive, opisuje aspekty konfiguracji narzędzia TheHive w toku konfiguracji oprogramowania Energy SOAR jako niezbędnego elementu tego oprogramowania, w tym wskazuje odniesienie do umowy licencyjnej dla narzędzia TheHive. Oferowane przez wybranego wykonawcę oprogramowanie SOAR Perpetual w najświeższej, zaoferowanej przez Wybranego Wykonawcę wersji oprogramowania wykorzystuje na narzędzie open source TheHive, którego możliwości użycia Zamawiający wprost wykluczył w rozdziale I ust. 133 OPZ, co stanowi o niezgodności oferty ŚGI z warunkami zamówienia.

W dniu 3 września 2025 r. Zamawiający złożył odpowiedź na odwołanie, w której wniósł o oddalenie wniesionego odwołania w całości. W złożonej odpowiedzi oraz na rozprawie przedstawił uzasadnienie faktyczne i prawne swojego stanowiska.

Izba ustaliła, co następuje:

Izba ustaliła, że odwołanie czyni zadość wymogom proceduralnym zdefiniowanym w Dziale IX ustawy z dnia 11 września 2019 r. - Prawo zamówień publicznych, tj. odwołanie nie zawiera braków formalnych oraz został uiszczony od niego wpis. Izba ustaliła, że nie zaistniały przesłanki określone w art. 528 ustawy pzp, które skutkowałyby odrzuceniem odwołania.

Izba stwierdziła, że Odwołujący wykazał przesłanki dla wniesienia odwołania określone w art. 505 ust. 1 i 2 ustawy pzp, tj. posiadanie interesu w uzyskaniu danego zamówienia oraz możliwości poniesienia szkody w wyniku naruszenia przez Zamawiającego przepisów ustawy pzp.

Izba ustaliła, że w terminie wynikającym z art. 525 ust. 1 ustawy pzp do postępowania odwoławczego nie zgłosił przystąpienia żaden wykonawca.

Izba postanowiła dopuścić dowody z dokumentacji przedmiotowego postępowania, odwołanie wraz z załącznikami, odpowiedź na odwołanie wraz z załącznikami, stanowisko pisemne oraz dowody złożone przez Odwołującego na posiedzeniu.

Na podstawie tych dokumentów, jak również biorąc pod uwagę oświadczenia, stanowiska i dowody złożone przez strony w trakcie posiedzenia i rozprawy, Krajowa Izba Odwoławcza ustaliła i zważyła:

Odwołanie podlegało oddaleniu.

W zakresie podniesionych zarzutów Izba ustaliła następujący stan faktyczny:

Zgodnie z SWZ:

- „3. Opis przedmiotu postępowania i zamówienia 3.1. Przedmiot zamówienia: Zakup i dostawa licencji wieczystych do oprogramowania wraz z usługą wdrożenia oraz usługą utrzymania i wsparcia technicznego, w podziale na części, tj.:

3.1.1. Część nr 1 - Zakup i dostawa licencji wieczystych na oprogramowanie typu Network Access Control (NAC), wraz z usługą wdrożenia oraz usługą utrzymania i wsparcia technicznego,

3.1.2. Część nr 2 - Zakup i dostawa licencji wieczystych do oprogramowania systemu zbierania logów i korelacji zdarzeń SIEM, wraz z usługą wdrożenia oraz usługą utrzymania i wsparcia technicznego. (…)

3.2. Przedmiot zamówienia w części nr 2 obejmuje dostawę licencji wieczystych do oprogramowania systemu zbierania logów i korelacji zdarzeń SIEM wraz z usługą wdrożenia oraz usługą utrzymania i wsparcia technicznego świadczoną przez okres 36 miesięcy od dostarczenia i wdrożenia produktu. Szczegółowy opis przedmiotu zamówienia zawierają opisy przedmiotu zamówienia stanowiące załączniki nr 1A-1B do SWZ (odpowiednio do części).

3.6. Wykonawca zobowiązany jest wskazać w ofercie dane dotyczące zaoferowanego przedmiotu zamówienia, tj. producenta oprogramowania, nazwę oprogramowania, umożliwiające Zamawiającemu jednoznaczną identyfikację oferowanego przez Wykonawcę przedmiotu zamówienia i mające służyć sprawdzeniu zgodności zaoferowanego przedmiotu zamówienia z wymaganiami wskazanymi w dokumentacji zamówienia. Brak w ofercie informacji umożliwiającej dokonanie jednoznacznej identyfikacji oferowanego przedmiotu zamówienia Zamawiający uzna jako niezgodność oferty z treścią SWZ i odrzuci ofertę na podstawie art. 226 ust. 1 pkt. 5 ustawy. Jeżeli zachodzi taka konieczność i dla jednoznacznego określenia oferowanego przedmiotu zamówienia, wymagane jest wskazanie dodatkowych informacji Wykonawca jest zobligowany do ich wskazania, tak aby nie było dla stron postępowania wątpliwości co do zaoferowanego przedmiotu zamówienia.”

Zgodnie z załącznikiem nr 1B do SWZ: „Opis przedmiotu zamówienia/umowy Część nr 2 Zakup i dostawa licencji wieczystych do oprogramowania systemu zbierania logów i korelacji zdarzeń SIEM, wraz z usługą wdrożenia oraz usługą utrzymania i wsparcia technicznego Przedmiotem zamówienia jest dostawa licencji wieczystych do oprogramowania systemu zbierania logów i korelacji zdarzeń SIEM wraz z usługą wdrożenia oraz usługa utrzymania i wsparcia technicznego świadczoną przez okres 36 miesięcy od dostarczenia i wdrożenia produktu. I. Wymagania ogólne (…) 133. System nie może działać w oparciu o oprogramowanie otwarte (ang: open source) w następującym zakresie funkcjonalnym: składowanie, parsowanie, korelacja logów (SIEM) algorytmy uczenia maszynowego. Zamawiający nie zaakceptuje rozwiązania, które wykorzystuje mechanizmy typu open source np.: Elastic Search, OSSIM, Snort, The Hive, AlienVault itd. lub został stworzony przez modyfikację oprogramowania otwartego. (…) II. Wymagania dotyczące usługi wdrożenia (…) 4. Przygotowanie i dostarczenie dokumentacji powdrożeniowej, tj: a. opisu i schematu wdrożonej architektury i konfiguracji w infrastrukturze Zamawiającego b. instrukcji dla operatora/ analityka bezpieczeństwa; c. instrukcji dla administratora.”

Wykonawca Śląska Grupa Informatyczna sp. z o.o. zaoferował: Producent oprogramowania Energy Logserver, Nazwa oprogramowania Energy Logserver SIEM + SOAR Perpetual.

Pismem z dnia 23 kwietnia 2025 r. Zamawiający wezwał wykonawcę Śląska Grupa Informatyczna sp. z o.o. do złożenia wyjaśnień w trybie art. 223 ust. 1 ustawy pzp: „W załączniku nr 1B do Specyfikacji warunków zamówienia (SWZ) Zamawiający szczegółowo określił, dla części nr 2, przedmiot zamówienia wskazując m.in. wymagane parametry, funkcjonalności, wyposażenie i komponenty jakie musi posiadać zaoferowane przez Wykonawcę oprogramowanie systemu zbierania logów i korelacji zdarzeń SIEM. W załączonym do oferty Formularzu ofertowym, Wykonawca zaoferował oprogramowanie Energy Logserver SIEM + SOAR Perpetual producenta Energy Logserver jednakże na podstawie wskazanych informacji, weryfikując za pomocą witryny producentów oferowanych systemów, Zamawiający nie może jednoznacznie potwierdzić, że oferowane oprogramowanie/system posiada wszystkie wymagane funkcjonalności / komponenty.

W związku z powyższym należy złożyć wyjaśnienia w zakresie:

1. Z jakich komponentów/modułów składa się oferowany system?

2. Jaki typ bazy danych jest wykorzystywany w celu przechowywania danych przetwarzanych przez system.

3. Czy system pozwala na import podatności CVE z publicznie dostępnych baz danych?

4. Czy system pozwala na synchronizacje z listami referencyjnymi typu Tor Exit Nodes?

5. Z jakimi bazami zagrożeń (Threat Inteligence Feeds) jest zintegrowany oferowany system?

6. Czy i w jakim stopniu oferowany system integruje się z MITRE ATT&CK?

7. Czy system posiada zaimplementowane mechanizmy Machine Learning ?

8. Czy system działa wyłącznie w oparciu o autorskie oprogramowanie producenta, lub jeśli wykorzystuje oprogramowanie otwarte to w zakresie jakich funkcji?

9. W jaki sposób realizowana jest aktualizacja oferowanego systemu?”

Pismem z dnia 24 kwietnia 2025 r. Wykonawca odpowiedział: „1. Z jakich komponentów/modułów składa się oferowany system?

System składa się z poniższych modułów:

Moduł Log Management

Moduł SIEM, w ramach którego:

Wbudowana nierelacyjna baza danych oparta o silnik noSQL,

Sonda sieciowa, która spełnia funkcje przekaźnika logów oraz kolektorów,

Wbudowana w interfejs użytkownika funkcjonalność worker,

Dedykowane agenty.

Moduł SOAR

2. Jaki typ bazy danych jest wykorzystywany w celu przechowywania danych przetwarzanych przez system.

Do przechowywania danych przetwarzanych przez systemy Energy jest wykorzystywana nierelacyjna baza danych oparta o silnik noSQL.

3. Czy system pozwala na import podatności CVE z publicznie dostępnych baz danych?

Tak, system pozwala na import podatności CVE z publicznie dostępnych baz danych. Nie rzadziej niż raz na dobę, system jest wzbogacany nowymi IOC poprzez komunikację z repozytorium producenta. Repozytorium jest zasilane z ogólnodostępnych baz danych o zagrożeniach, w tym serwerami MISP. Może zostać wzbogacony dowolnymi bazami zagrożeń wykorzystywanymi przez Zamawiającego.

https://kb.energylogserver.com/en/latest/13-Integration/13-Integration.html?highlight=ioc#energy-security-feeds

https://kb.energylogserver.com/en/latest/06-SIEM_Plan/06-SIEM_Plan.html?highlight=cve#vulnerability-detection

4. Czy system pozwala na synchronizacje z listami referencyjnymi typu

Tor Exit Nodes?

Tak, system pozwala na synchronizacje z listami referencyjnymi, w tym m.in. Malicious IPs, Bad IPs, Tor Exit Nodes, Bad Hashes, Compromised e-mail addreses. Wykorzystywana jest do tego m.in. integracja z MISP CIRCL LU, możliwa integracja z dowolną listą.

5. Z jakimi bazami zagrożeń (Threat Inteligence Feeds) jest zintegrowany oferowany system?

System jest zintegrowany z MISP CIRCL LU oraz wszystkimi zawartymi w nim listami.

https://kb.energylogserver.com/en/latest/13-Integration/13-Integration.html?highlight=ioc#energy-security-feeds

MISP Default Feeds

6. Czy i w jakim stopniu oferowany system integruje się z MITRE ATT&CK?

System jest zintegrowany z MITRE ATT&CK, metody w nim zawarte są zamapowane w Energy Logserver. System m.in. umożliwia mapowanie zdarzeń na poszczególne techniki oraz zapewnia mechanizmy filtrowania zdarzeń po technikach oraz wyświetla szczegóły związane z danymi technikami.

https://kb.energylogserver.com/en/latest/06-SIEM_Plan/06-SIEM_Plan.html?highlight=mitre#incidents

https://kb.energylogserver.com/en/latest/06-SIEM_Plan/06-SIEM_Plan.html?highlight=mitre#siem-module

https://kb.energylogserver.com/en/latest/06-SIEM_Plan/06-SIEM_Plan.html?highlight=mitre#siem-plan

7. Czy system posiada zaimplementowane mechanizmy Machine Learning ?

System jest wyposażony w moduł Empowered AI, jest to algorytmiczny moduł analityki danych system Energy Logserver. Za pomocą opracowanych modeli i algorytmów uczących się, funkcjonalność pozwana na detekcje anomalii w różnych obszarach danych bezpieczeństwa. Nadrzędnym celem Empowered AI jest wyłuskanie krytycznych incydentów z fali strumieni logów, które przykrywają pojedyncze wpisy.

Funkcjonalność Empowered AI można podzielić na:

- detekcję anomalii w danych liczbowych

- detekcja anomalii wielowymiarowych ciągach liczbowych

- detekcję anomalii w wyrażeniach słownikowych

- budowanie modeli trendów i detekcje anomalii na podstawie odstępstw od zachowania modelu

- automatyczne grupowanie, klastrowanie danych w poszukiwanie zdarzeń podobnych oraz tych odbiegających od pozostałych

- poszukiwanie związków przyczynowo-skutkowych

Empowered AI pozwala na zachowanie wyuczonego modelu w "Bibliotece modeli". Modele można przenosić pomiędzy danymi, a nawet pomiędzy instalacjami Energy Logserver. Logika detekcji w oparciu o model pozwala pracę zarówno z poziomu warstwy zarządzania systemem, jak i na poziomie przyjmowania i korelowania komunikatów wejściowych.

Mechanizm AI działa zarówno na danych surowych, danych pochodzących z profilowania zachowań użytkowników (UBA) jak i również na efekcie działania tradycyjnych reguł alertowych, wspomagając tym samym proces podejmowania decyzji w rozwiązywaniu incydentów.

https://kb.energylogserver.com/en/latest/08-Empowered_AI/08-Empowered-AI.html?highlight=empowered#empowered-ai

8. Czy system działa wyłącznie w oparciu o autorskie oprogramowanie producenta, lub jeśli wykorzystuje oprogramowanie otwarte to w zakresie jakich funkcji?

System Energy Logserver nie działa w oparciu o oprogramowanie otwarte w zakresie składowania, parsowania, korelacji logów, algorytmów uczenia maszynowego, analizy zachowania użytkowników i zasobów (UEBA), mechanizmów reakcji/ scenariuszy reakcji (SOAR). Jednoznacznie zapewniamy, że Energy Logserver nie wykorzystuje mechanizmów typu open source np.: Elastic Search, OSSIM, Snort, The Hive, AlienVault itd. I nie został stworzony przez modyfikację oprogramowania otwartego. Właścicielem licencji całego oferowanego systemy jest jego producent spółka EMCA Software sp. z o.o. co jednoznacznie zostało stwierdzone w dokumentacji produktu https://kb.energylogserver.com/en/latest/00-00-00-About.html „All title and ownership rights to the Product, its entire code, and any copies thereof, including without limitation Copyright, are owned by EMCA Software sp. z o.o.. Any rights not expressly granted are reserved to EMCA Software. All software components, including all modules are maintained by EMCA software and protected with vendor license.„

Tłumaczenie : „Wszystkie prawa własności do Produktu, jego całego kodu i wszelkich jego kopii, w tym bez ograniczeń prawa autorskie, należą do EMCA Software sp. z o.o.. Wszelkie prawa, które nie zostały wyraźnie przyznane, są zastrzeżone dla EMCA Software. Wszystkie komponenty oprogramowania, w tym wszystkie moduły, są utrzymywane przez EMCA Software i chronione licencją dostawcy.„ Jednoznacznie potwierdzamy, że Energy logserver nie zależy od żadnych innych licencji otwartych lub obcych.

9. W jaki sposób realizowana jest aktualizacja oferowanego systemu?

Aktualizacja Energy Logserver realizowana jest w zgodzie z cyklem zarządzania pakietami systemu Linux. Narzędzia instalacyjne bazują na dostarczanych przez producenta pakietach rpm w odpowiednich wersjach. Jest to jednolity proces zarówno do instalacji jak i aktualizacji oprogramowania. Pakiety nowej wersji mogą być dostarczane do instalacji offline lub przez sieć.”

Zamawiający w dniu 28 kwietnia 2025 r. ponownie wezwał Wykonawcę do złożenia wyjaśnień wskazując: „W zakresie pytania nr 8: „Czy system działa wyłącznie w oparciu o autorskie oprogramowanie producenta, lub jeśli wykorzystuje oprogramowanie otwarte to w zakresie jakich funkcji?” Wykonawca odpowiedział: „System Energy Logserver nie działa w oparciu o oprogramowanie otwarte w zakresie składowania, parsowania, korelacji logów, algorytmów uczenia maszynowego, analizy zachowania użytkowników i zasobów (UEBA), mechanizmów reakcji/ scenariuszy reakcji (SOAR). (…)”

Zamawiający analizując udzielone odpowiedzi m.in. na portalu https://kb.energylogserver.com będącym portalem informacyjnym producenta oprogramowania odnalazł następujące zapisy:

a. W module Installation:

a. Check cluster/indices status and Elasticsearch version …

b. start Elasticsearch service

c. start Logstash service

b. W module User Manual: Elasticsearch is a NoSQL database solution that is the heart of

our system. Text information sent to the system, application, and system logs are processed by

Logstash filters and directed to ……

Ponadto do Zamawiającego wpłynęła informacja od konkurencyjnego Wykonawcy (po udostępnieniu do wglądu Państwa oferty), w której Wykonawca podnosi niezgodność oferowanego oprogramowania Energy Logserver z Opisem przedmiotu zamówienia (OPZ) m.in. również w oparciu o powyżej wskazane informacje dostępne na portalu producenta.

Ponieważ w OPZ (pkt. 133) Zamawiający wskazywał, że wymaga od oferowanego rozwiązania: „System nie może działać w oparciu o oprogramowanie otwarte (ang: open source) w następującym zakresie funkcjonalnym: składowanie, parsowanie, korelacja logów (SIEM) algorytmy uczenia maszynowego. Zamawiający nie zaakceptuje rozwiązania, które wykorzystuje mechanizmy typu open source np.: Elastic Search, OSSIM, Snort, The Hive, AlienVault itd. lub został stworzony przez modyfikację oprogramowania otwartego” należy wyjaśnić w jaki sposób oferowane oprogramowanie Energy Logserver spełnia wymagania pkt. 133 OPZ jeżeli na portalu producenta widnieją zapisy wskazujące na niezgodność oferowanego oprogramowania z OPZ.”

Pismem z dnia 2 maja 2025 r. Wykonawca wyjaśnił: „dotyczy : D-27-2025 - Wez. z art. 223 ust. 1 - of. nr 3 (wezwanie II)

W odpowiedzi na Wezwanie przesyłam jako załącznik odpowiedź producenta systemu.

Ponadto zaznaczam, że fragmenty dokumentacji dostępne w Bazie Wiedzy (https://kb.energylogserver.com ), które mogą wskazywać na obecność nazw takich jak „Elasticsearch” lub „Logstash”, są pozostałością po starszych wersjach systemu, które nie są przedmiotem oferty złożonej w ramach niniejszego postępowania. Informacje te są nieaktualne i zostaną zaktualizowane w najbliższym czasie wg informacji, które posiadamy od producenta rozwiązania. Wersja systemu oferowana Zamawiającemu w ramach przedmiotowego zamówienia nie zawiera żadnych komponentów open source. (…).”

Pismem z dnia 30 kwietnia 2025 r. producent oprogramowania: EMCA Software sp. z o.o. oświadczył: „W odpowiedzi na wątpliwości Zamawiającego dotyczące zgodności systemu Energy Logserver z wymaganiami określonymi w punkcie 133 Opisu Przedmiotu Zamówienia (OPZ), w szczególności w zakresie niewykorzystywania mechanizmów typu open source w obszarach składowania, parsowania, korelacji logów, algorytmów uczenia maszynowego, jednoznacznie oświadczamy, że system Energy Logserver nie korzysta z oprogramowania typu open source (w tym m.in. Elasticsearch, Logstash, OSSIM, Snort, The Hive, AlienVault) w żadnym z wymienionych w OPZ funkcjonalnie krytycznych obszarów, tj.: składowania danych/logów, parsowania danych, korelacji zdarzeń, algorytmów uczenia maszynowego (ML), analiz UEBA, automatyzacji reakcji (SOAR).

Wymienione komponenty typu open source nie są częścią oferowanego rozwiązania. Energy Logserver stanowi w pełni autorskie oprogramowanie stworzone i rozwijane przez EMCA Software sp. z o.o., niebędące modyfikacją ani integracją z narzędziami open source.

Jednocześnie oświadczamy, że cały kod źródłowy systemu jest własnością EMCA Software sp. z o.o. i wszystkie komponenty systemu są objęte licencją producenta. W związku z czym, system Energy Logserver spełnia warunek z pkt. 133 OPZ.

W przypadku dalszych wątpliwości, pozostajemy do dyspozycji Zamawiającego w zakresie przedstawienia dodatkowych wyjaśnień lub dokumentów potwierdzających powyższe oświadczenia.”

Izba ustaliła, że w dniu 7 maja 2025 r. Zamawiający dokonał wyboru oferty wykonawcy: Śląska Grupa Informatyczna sp. z o.o. Na powyższą czynność odwołanie w dniu 12 maja 2025 r. wniósł obecny Odwołujący. Pismem z dnia 22 maja 2025 r. Zamawiający uwzględnił odwołanie w całości. W odpowiedzi na odwołanie Zamawiający wskazał: „Zamawiający po przeanalizowaniu treści zarzutów wskazanych w odwołaniu postanowił uwzględnić zarzuty odwołania w całości. Jednakże należy wskazać, iż Zamawiający nie mógł dokonać czynności zgodnie z żądaniem Odwołującego (w zakresie odrzucenia oferty Przystępującego), ponieważ kwestia ta będzie podlegała ocenie Zamawiającego, której ten dokona w wyniku powtórzenia czynności badania i oceny ofert. (…) Zamawiający uznał zarzuty zawarte w odwołaniu w całości, jednakże dokona czynności w postępowaniu o udzielenie zamówienia publicznego w sposób przewidziany w niniejszym piśmie, kierując się koniecznością zachowania zasad określonych w dyspozycji art. 16 pkt 1) i pkt 2) Ustawy Prawo zamówień publicznych.” Wykonawca Śląska Grupa Informatyczna sp. z o.o., który przystąpił do postepowania odwoławczego po stronie Zamawiającego nie wniósł sprzeciwu wobec uwzględnienia odwołania. Postanowieniem z dnia 3 czerwca 2025 r. Izba na podstawie art. 522 ust. 2 ustawy pzp umorzyła postępowanie odwoławcze. W dniu 12 czerwca 2025 r. Zamawiający unieważnił wybór oferty najkorzystniejszej.

Izba ustaliła, że pismem z dnia 22 maja 2025 r. Zamawiający zwrócił się do producenta oprogramowania - EMCA Software sp. z o.o. o wyjaśnienia wskazując: „W nawiązaniu do otrzymanego od Wykonawcy Śląska Grupa Informatyczna Sp. z o.o. ul. Bażantowa 8, 41-907 Bytom, będącego uczestnikiem ww. postępowania, oświadczenia firmy EMCA Software Sp. z o.o. ul. Wiejska 20, 00-490 Warszawa z dnia 30.04.2025 r. dot. zgodności zaoferowanego przez Wykonawcę oprogramowanie Energy Logserver SIEM + SOAR Perpetual producenta Energy Logserver, z wymaganiami określonymi w Opisie przedmiotu zamówienia Zamawiający prosi o dodatkowe wyjaśnienia i dokumenty potwierdzające. W dniu 12 maja br., konkurencyjny Wykonawca, wniósł Odwołanie do Krajowej Izby Odwoławczej na czynność Wyboru najkorzystniejszej oferty Wykonawcy: Śląskiej Grupy Informatycznej Sp. z o.o. ul. Bażantowa 8, 41-907 Bytom, oferującej oprogramowanie Energy Logserver SIEM + SOAR Perpetual producenta Energy Logserver, które zdaniem Odwołującego jest niezgodne z warunkami zamówienia, ponieważ korzysta z oprogramowania typu Open Source pn. Elasticsearch, Logstasch, Kibana i TheHive m.in. w obszarach składowania, parsowania, korelacji logów, algorytmów uczenia maszynowego.

W związku z powyższym Zamawiający prosi o pilne udzielenie wyczerpującej odpowiedzi, o ile możliwe, popartej dowodami w poniżej wskazanym zakresie:

1. Jaka jest aktualna wersja oprogramowania wskazanego w ofercie Wykonawcy, tj. oprogramowanie Energy Logserver SIEM + SOAR Perpetual producenta Energy Logserver oraz czy starsze wersje oprogramowania dalej są oferowane w sprzedaży czy zostają one wycofane?

2. Z czego wynika rozbieżność w informacjach zawartych na stronie kb.energylogserver.com, a tymi w oświadczeniu dotycząca wykorzystywania rozwiązań opensource? Jakiej wersji dotyczą informacje zawarte na stronie WWW oraz czy jest dostępna instrukcja do wersji oferowanej Zamawiającemu?

3. Czy we wcześniejszych wersjach wykorzystywano narzędzia opensource m.in. elasticsearch, logstasch, kibana i thehive , a w nowszej wersji zostaną one zastąpione ? Jeśli tak to jakimi narzędziami zostaną one zastąpione?”

Pismem z dnia 23 maja 2025 r. producent oprogramowania - EMCA Software sp. z o.o. oświadczył: „W odpowiedzi na pismo z dnia 22 maja 2025 r. dotyczące wyjaśnień w zakresie oferowanego przez nas oprogramowania Energy Logserver SIEM i Energy SOAR, uprzejmie przedstawiamy stanowisko producenta – EMCA Software Sp. z o.o. Na wstępie pragniemy potwierdzić, że aktualnie oferowaną i rozwijaną wersją oprogramowania Energy Logserver jest wersja 7.8.0, a wersją narzędzia Energy SOAR – 1.2.2. Starsze wersje produktów zostały wycofane z oferty i nie są już dostępne w sprzedaży. Każda nowa wersja systemu automatycznie zastępuje poprzednie, zgodnie z polityką rozwoju i bezpieczeństwa EMCA Software Sp. z o.o. W odniesieniu do rozbieżności pomiędzy treściami zawartymi na stronie kb.energylogserver.com a treścią oświadczenia złożonego przez naszą firmę, informujemy, że portal Knowledge Base ma charakter informacyjny i pełni funkcję ogólnego przewodnika dla użytkowników. Nie stanowi on dokumentacji technicznej ani oferty handlowej. Ze względu na dynamikę zmian w oprogramowaniu oraz realizację wymagań rynkowych, treści publikowane we wspomnianym portalu nie są każdorazowo aktualizowane równolegle z rozwojem produktu. Zawarte tam informacje mogą zawierać odniesienia do starszych rozwiązań, które obecnie nie są już częścią rozwijanego systemu. Dokumentacja aktualnej wersji systemu jest przekazywana klientom indywidualnie, w formie pliku PDF. Odnosząc się do kwestii komponentów Open Source, potwierdzamy, że we wcześniejszych wersjach systemu były one wykorzystywane. Jednak od wersji 7.4.0, wydanej w dniu 1 sierpnia 2023 roku, wszystkie te komponenty zostały całkowicie zastąpione przez własne rozwiązania autorskie stworzone przez EMCA Software Sp. z o.o. Decyzja ta była podyktowana zmianą modelu licencyjnego rozwiązań Elastic.co, które przestały być dostępne na zasadach Open Source po wprowadzeniu licencji SSPL. Tym samym, obecnie oferowany system nie zawiera żadnych elementów Open Source. Cały kod oprogramowania stanowi wyłączną własność naszej spółki, co zostało jednoznacznie opisane w dokumencie Software License Agreement określającym zasady wykorzystania licencji produktów z rodziny Energy. W trosce o pełną transparentność procesu oraz w celu rozwiania wszelkich wątpliwości, proponujemy zorganizowanie spotkania roboczego, podczas którego przedstawimy działanie systemu w praktyce. Spotkanie to będzie okazją do zadania pytań, zweryfikowania kluczowych aspektów technicznych i funkcjonalnych oraz bezpośredniego zapoznania się z architekturą systemu. Jesteśmy otwarci zarówno na formę zdalną, jak i stacjonarną – pozostajemy do dyspozycji w zakresie uzgodnienia dogodnego terminu. W razie potrzeby udzielenia dodatkowych informacji lub przekazania dokumentów potwierdzających nasze stanowisko, prosimy o kontakt. Zależy nam na pełnej współpracy i transparentności wobec Zamawiającego.”

Zamawiający wezwał Wykonawcę do złożenia wyjaśnień pismami z dnia 18 czerwca 2025 r. oraz 27 czerwca 2025 r. Wyjaśnienia Wykonawca złożył odpowiednio 25 czerwca 2025 r. i 1 lipca 2025 r. W dniu 21 lipca 2025 r. Zamawiający dokonał wyboru oferty najkorzystniejszej wykonawcy Śląska Grupa Informatyczna sp. z o.o.

Przedmiot sporu w niniejszej sprawie sprowadzał się do odpowiedzi na pytanie czy Zamawiający zasadnie w części 2 postępowania dokonał wyboru oferty wykonawcy Śląska Grupa Informatyczna sp. z o.o. nie odrzucając jej za niezgodność z warunkami zamówienia. Odwołujący podnosił, że Zamawiający po uwzględnieniu odwołania z dnia 12 maja 2025 r. i umorzeniu postępowania odwoławczego był zobowiązany dokonać odrzucenia oferty ww. Wykonawcy zgodnie z żądaniami odwołania, a zaniechanie w tym zakresie stanowi naruszenie art. 522 ust. 2 ustawy pzp. Nadto, podnosił jak w odwołaniu z dnia 12 maja 2025 r., że oferta wykonawcy Śląska Grupa Informatyczna sp. z o.o. pozostaje niezgodna z warunkami zamówienia określonymi w pkt I. 133 OPZ (załącznik nr 1B do SWZ), ponieważ zaoferowane przez tego Wykonawcę oprogramowanie działa w oparciu o oprogramowania otwarte w zakresie funkcjonalnym: składowanie, parsowanie, korelacja logów (SIEM) algorytmy uczenia maszynowego. Izba nie podzieliła interpretacji art. 522 ust. 2 ustawy pzp prezentowanej przez Odwołującego, natomiast zarzut dotyczący niezgodności oferty z warunkami zamówienia uznała za nieudowodniony.

Odnosząc się w pierwszej kolejności do zarzutu naruszenia art. 522 ust. 2 ustawy pzp, zgodnie z którym: „Jeżeli uczestnik postępowania odwoławczego, który przystąpił do postępowania po stronie zamawiającego, nie wniesie sprzeciwu co do uwzględnienia w całości zarzutów przedstawionych w odwołaniu przez zamawiającego, Izba umarza postępowanie, a zamawiający wykonuje, powtarza lub unieważnia czynności w postępowaniu o udzielenie zamówienia, zgodnie z żądaniem zawartym w odwołaniu.” Izba w całości podziela pogląd wyrażony w orzecznictwie przywołanym przez Zamawiającego w odpowiedzi na odwołanie. Bezsporne było przy tym w sprawie, że Zamawiający uwzględnił odwołanie z dnia 12 maja 2025 r. wniesione przez Odwołującego w całości, a przystępujący wykonawca Śląska Grupa Informatyczna sp. z o.o. nie zgłosił sprzeciwu wobec uwzględnienia zarzutów, co skutkowało umorzeniem postępowania odwoławczego. Okoliczności te jak podnosił Odwołujący powinny co do zasady skutkować wykonaniem żądań odwołania z dnia 12 maja 2025 r., czyli powtórzeniem czynności badania i oceny ofert oraz odrzuceniem oferty wykonawcy Śląska Grupa Informatyczna sp. z o.o. Odwołujący jednak pominął w prezentowanej interpretacji art. 522 ust. 2 ustawy pzp, że zamawiający przeprowadzając ponowne badanie i ocenę ofert musi podejmować czynności pozostające w zgodności z przepisami prawa. W sytuacji, gdy zamawiający w określonym stanie faktycznym stwierdzi, że wykonanie żądań odwołania prowadziłoby do naruszenia przepisów to jest zobowiązany dokonać czynności odpowiadających prawu. Nie zmienia tej interpretacji podkreślana przez Odwołującego na rozprawie okoliczność, że Zamawiający uwzględniając odwołanie dysponował już oświadczeniem producenta z dnia 30 kwietnia 2025 r., na które się obecnie powołuje wnioskując o oddalenie odwołania. Izba zauważa, że oświadczenie to zostało przekazane Zamawiającemu w wyniku wyjaśnień treści oferty przez wykonawcę Śląska Grupa Informatyczna sp. z o.o. Natomiast w dniu 22 maja 2025 r. Zamawiający zwrócił się bezpośrednio do producenta o wyjaśnienie rozbieżności pomiędzy oświadczeniem z dnia 30 kwietnia 2025 r. a informacjami ze strony internetowej. W tym samym dniu Zamawiający uznając - co wynika z odpowiedzi na odwołanie z dnia 22 maja 2025 r., że konieczna jest ponowna ocena oferty wykonawcy Śląska Grupa Informatyczna sp. z o.o. uwzględnił odwołanie. Odpowiedź producenta datowana jest na 23 maja 2025 r., a więc już po uwzględnieniu odwołania przez Zamawiającego. Ponadto, jak wynika z wezwań do wyjaśnienia treści oferty z dnia 18 czerwca 2025 r. oraz 27 czerwca 2025 r. Zamawiający miał również inne wątpliwości w zakresie zgodności oferty wykonawcy Śląska Grupa Informatyczna sp. z o.o. z warunkami zamówienia niż tylko wynikające z odwołania z dnia 12 maja 2025 r. Zamawiający podejmował więc czynności, które w jego ocenie były zgodne z ustawą pzp i w konsekwencji dokonał ponownego wyboru oferty ww. Wykonawcy.

Zaznaczenia wymaga, że wbrew twierdzeniom Odwołującego, skutkiem niewykonania żądań odwołania z dnia 12 maja 2025 r. nie może być niejako automatyczne uwzględnienie przez Izbę obecnie wniesionego odwołania i nakazanie realizacji żądań poprzedniego odwołania. Zaakceptowanie takiej wykładni art. 522 ust. 2 ustawy pzp prowadziłoby do usankcjonowania przez Izbę czynności w postępowaniu, które w przypadku merytorycznego rozpoznania zarzutów mogłyby okazać się nieprawidłowe, naruszające przepisy ustawy. Konsekwencją niewykonania żądań odwołania jest uprawnienie wykonawcy do wniesienia kolejnego środka ochrony prawnej i merytoryczne rozpoznanie przez Izbę zarzutów na co wskazuje dyspozycja art. 527 ustawy pzp: „Na czynność zamawiającego wykonaną zgodnie z treścią wyroku Izby lub sądu, albo, w przypadku uwzględnienia zarzutów przedstawionych w odwołaniu, którą wykonał zgodnie z żądaniem zawartym w odwołaniu, odwołującemu oraz wykonawcy wezwanemu zgodnie z art. 524 nie przysługują środki ochrony prawnej.” oraz art. 528 pkt 5 ustawy pzp: „Izba odrzuca odwołanie, jeżeli stwierdzi, że: (…) 5) odwołanie dotyczy czynności, którą zamawiający wykonał zgodnie z treścią wyroku Izby lub sądu lub, w przypadku uwzględnienia zarzutów przedstawionych w odwołaniu, którą wykonał zgodnie z żądaniem zawartym w odwołaniu.” Odwołujący pomimo niewykonania żądań odwołania nie zostaje więc pozbawiony możliwości ponownego kwestionowania czynności w postępowaniu, gdyż w takim przypadku odwołanie nie podlega odrzuceniu. Nie jest też tak jak podnosił Odwołujący, że prezentowana wyżej interpretacja powoduje, że regulacja dotycząca uwzględnienia odwołania i nakazująca wykonanie żądań odwołania pozostaje regulacją „martwą”. W praktyce, niejednokrotnie żądania odwołania są realizowane przez zamawiającego uwzględniającego odwołanie. Odmienne działania zamawiających wynikają wyłącznie z przekonania o działaniu zgodnie z przepisami ustawy, do czego zamawiający są zobowiązani. Izba nie uwzględniła więc zarzutu o charakterze formalnym naruszenia art. 522 ust. 2 ustawy pzp oraz wniosku wykonania żądań poprzednio wniesionego odwołania i rozpoznała obecnie wniesione odwołanie merytorycznie.

Przechodząc więc do zarzutu naruszenia art. 226 ust. 1 pkt 5 ustawy pzp wskazania wstępnie wymaga, że zgodnie z dyspozycją tego przepisu: „1. Zamawiający odrzuca ofertę, jeżeli: (…) 5) jej treść jest niezgodna z warunkami zamówienia.” Natomiast w myśl art. 7 pkt 29 ustawy pzp: „Ilekroć w niniejszej ustawie jest mowa o: 29) warunkach zamówienia – należy przez to rozumieć warunki, które dotyczą zamówienia lub postępowania o udzielenie zamówienia, wynikające w szczególności z opisu przedmiotu zamówienia, wymagań związanych z realizacją zamówienia, kryteriów oceny ofert, wymagań proceduralnych lub projektowanych postanowień umowy w sprawie zamówienia publicznego.” Podkreślić należy, że zamawiający aby odrzucić ofertę na podstawie przywołanego przepisu jest zobowiązany przeprowadzić analizę porównawczą treści oferty oraz warunków zamówienia (w szczególności, co do zakresu, ilości, jakości, warunków realizacji i innych elementów istotnych dla wykonania zamówienia ale również wymagań proceduralnych lub projektowanych postanowień umownych), które stanowią merytoryczne postanowienia oświadczeń woli odpowiednio: zamawiającego, który w szczególności przez opis przedmiotu zamówienia precyzuje i uszczegóławia, jakiego świadczenia oczekuje po zawarciu umowy w sprawie zamówienia publicznego, oraz wykonawcy, który zobowiązuje się do wykonania tego świadczenia w razie wyboru złożonej przez niego oferty (zdefiniowanej w art. 66 kodeksu cywilnego) jako najkorzystniejszej. Dokonanie takiego porównania przesądza o tym, czy treść złożonej w postępowaniu oferty odpowiada warunkom zamówienia w rozumieniu art. 7 pkt 29 ustawy pzp. Niezgodność treści oferty z warunkami zamówienia zachodzi więc, gdy zawartość merytoryczna złożonej w danym postępowaniu oferty nie odpowiada ukształtowanym przez zamawiającego i zawartym w SWZ wymaganiom. Istotnym jest, że niezgodność oferty z warunkami zamówienia musi po pierwsze być oczywista i niewątpliwa, czyli zamawiający musi mieć pewność co do niezgodności oferty z jego oczekiwaniami, przy czym postanowienia SWZ powinny być jasne i klarowne (tak też: wyrok z dnia 22 września 2020 roku, sygn. akt: KIO 1864/20; wyrok z dnia 20 stycznia 2020 roku, sygn. akt: KIO 69/20). Po drugie, odrzucenie oferty nie może nastąpić z błahych, czysto formalnych powodów nie wpływających na treść złożonej oferty, jak również, gdy zamawiający ma możliwość poprawienia błędów jakie zawiera oferta.

Przenosząc powyższe na kanwę niniejszej sprawy wskazać należy, że Odwołujący podjął próbę wykazania, że oferowane przez wykonawcę Śląska Grupa Informatyczna sp. z o.o. oprogramowanie: Energy Logserver SIEM + SOAR Perpetual nie odpowiada warunkom zamówienia w zakresie w jakim w elementach: składowania, parsowania, korelacji logów (SIEM) opiera się o oprogramowanie typu open source w postaci narzędzi Elasticsearch, Logstasch i Kibana, a w odniesieniu do SOAR Perpetual o oprogramowanie TheHive. Odwołujący w odwołaniu powoływał się na dokumentacje z dnia 11 lutego 2025 r. dostępne na stronie internetowej - portalu Knowledge Base i podnosił, że podrozdziały 5.1.1, 5.1.2. oraz 5.1.3. dla Energy Logserver wprost wskazują na oprogramowania typu open source: Elasticsearch, Kibana, Logstash, a dla SOAR Perpetual w pkt. 4.2. dokumentacja z dnia 17 kwietnia 2025 r. odwołuje się do narzędzia open soure pn. TheHive. Na rozprawie Odwołujący omówił przeprowadzoną analizę przedstawioną w stanowisku pisemnym odwołującą się do informacji pochodzących z ww. Portalu wskazując na wersję najnowszą dokumentu z 9 września 2025 r. Odwołujący podnosił, że jakkolwiek została ona zmieniona w porównaniu z dostępną na moment wniesienia odwołania i brak jest bezpośrednich odniesień do narzędzi typu open source, to poszczególne elementy, opisy i reguły prowadzą w sposób pośredni do takich narzędzi, w tym w zakresie reguł korelacyjnych do rozwiązania open source – Wazuh, co dalej świadczy o niezgodności oferty ŚGI z warunkami zamówienia. Odwołujący argumentował, że mimo usunięcia przez producenta z najnowszej wersji dokumentacji Energy Logserver wszystkich określeń dotyczących wykorzystania technologii otwarto - źródłowych, czyli głównie nazw: Elastic Search, Logstash, Kibana itp., nadal widoczne są zrzuty ekranu obrazujące interfejs systemu Energy Logserver wykorzystujący otwarcie wspominane narzędzia. Zdaniem Izby, powyższe twierdzenia nie są wystarczające dla stwierdzenia niezgodności oferty z warunkami zamówienia, dlatego zarzut należało oddalić.

Izba zauważa, że Zamawiający w dokumentach zamówienia nie wymagał przedłożenia wraz z ofertą przedmiotowych środków dowodowych potwierdzających zgodność oferowanego oprogramowania z warunkami zamówienia. Wykonawcy byli zobowiązani do wskazania w ofercie wyłącznie nazwy i producenta oprogramowania tak aby możliwa była identyfikacja produktu. Zamawiający nie żądał również próbki oprogramowania ani nie przewidział prezentacji produktu. Nie wymagał, aby informacje dotyczące oferowanego oprogramowania pozwalające na weryfikację zgodności z warunkami zamówienia były ogólnodostępne, w tym na stronach internetowych. Zamawiający oceniając oferty zdecydował się polegać na oświadczeniu i zobowiązaniu wykonawcy do realizacji zamówienia zgodnie z wymaganiami. Dokumenty zamówienia w takim kształcie wiążą zarówno Zamawiającego jak i wykonawców składających oferty w postępowaniu. W konsekwencji, ciężar dowodu wykazania, że zaoferowane przez ŚGI oprogramowanie nie spełnia wymagań opisu przedmiotowego zamówienia obciążał Odwołującego i zdaniem Izby Odwołujący temu obowiązkowi nie podołał.

Izba zwraca uwagę, że jakkolwiek Odwołujący dokonał szczegółowej analizy dokumentacji oprogramowania Energy Logserver przedstawionej na Portalu Knowledge Base wskazującej pośrednio na narzędzia open source to Odwołujący nie wykazał w sposób niewątpliwy, że oprogramowanie tam przedstawione stanowi produkt zaoferowany przez ŚGI w przedmiotowym postępowaniu, w tym, że dane tam wskazane są wiążące, aktualne i kompletne, a nie stanowią wyłącznie wskazówek dotyczących oprogramowania. Odwołujący, co wynika z wypowiedzi prezentowanych na rozprawie, przedstawił szereg przypuszczeń i wątpliwości w zakresie spełnienia wymagania z pkt I. 133 OPZ, w tym odnoszących się do dokonywanych zmian informacji o oprogramowaniu przedstawianych na Portalu. Jak już Izba wskazała na wstępnie, odrzucenie oferty za niezgodność z warunkami zamówienia może nastąpić wyłącznie w sytuacji, gdy jest ona pewna i niewątpliwa. W orzecznictwie Izby wielokrotnie podkreśla się, że informacje zamieszczane na stronach internetowych nie mogą stanowić wiarygodnego źródła w zakresie specyfikacji produktów, gdyż często przedstawiają błędne bądź nieaktualne dane. Dlatego Izba za Zamawiającym uznała, że okoliczności na jakie powoływał się Odwołujący a wynikające z danych zamieszczonych na Portalu: Baza Wiedzy są niewystarczające dla uznania, że oprogramowanie zaoferowane przez ŚGI nie jest zgodne z pkt I.133 OPZ. Izba za wiarygodne uznała oświadczenia producenta oprogramowania, z których wynika, że: „system Energy Logserver nie korzysta z oprogramowania typu open source (w tym m.in. Elasticsearch, Logstash, OSSIM, Snort, The Hive, AlienVault) w żadnym z wymienionych w OPZ funkcjonalnie krytycznych obszarów, tj.: składowania danych/logów, parsowania danych, korelacji zdarzeń, algorytmów uczenia maszynowego (ML), analiz UEBA, automatyzacji reakcji (SOAR). Wymienione komponenty typu open source nie są częścią oferowanego rozwiązania. Energy Logserver stanowi w pełni autorskie oprogramowanie stworzone i rozwijane przez EMCA Software sp. z o.o., niebędące modyfikacją ani integracją z narzędziami open source. Jednocześnie oświadczamy, że cały kod źródłowy systemu jest własnością EMCA Software sp. z o.o. i wszystkie komponenty systemu są objęte licencją producenta.” oraz że: „W odniesieniu do rozbieżności pomiędzy treściami zawartymi na stronie kb.energylogserver.com a treścią oświadczenia złożonego przez naszą firmę, informujemy, że portal Knowledge Base ma charakter informacyjny i pełni funkcję ogólnego przewodnika dla użytkowników. Nie stanowi on dokumentacji technicznej ani oferty handlowej. Ze względu na dynamikę zmian w oprogramowaniu oraz realizację wymagań rynkowych, treści publikowane we wspomnianym portalu nie są każdorazowo aktualizowane równolegle z rozwojem produktu. Zawarte tam informacje mogą zawierać odniesienia do starszych rozwiązań, które obecnie nie są już częścią rozwijanego systemu.”

Dalej podnieść należy, że Odwołujący przyznał, że praktyka jest taka, że instrukcje użytkowania są przekazywane wraz z dostawą oprogramowania. Zostało to przewidziane przez Zamawiającego w pkt II.4 OPZ i wynika z oświadczenia producenta, że: „Dokumentacja aktualnej wersji systemu jest przekazywana klientom indywidualnie, w formie pliku PDF.” Zdaniem Izby potwierdza to, że opublikowane na stronie: Baza Wiedzy dane stanowią wyłącznie wskazówki, a klienci bazują na instrukcji przekazywanej wraz z produktem. Odnosząc się do argumentacji Odwołującego o sprzeczności oświadczenia producenta, że wszystkie komponenty open source (dotyczące obszaru parsowania czy składowania logów), w tym Elasticsearch czy Kibana zostały począwszy od wersji 7.4.0 zastąpione rozwiązaniami autorskimi z okolicznością, że dokumentacje dostępne na Portalu w wersji 7.4.0., 7.4.1., 7.4.2., 7.4.3., 7.5.0., 7.6.0., 7.7.0. zawierają nawiązania do komponentów otwarto - źródłowych Izba zaznacza, że może to świadczyć o tym, że informacje podawane na Portalu zawierają błędy i nie są aktualizowane, a niekoniecznie o tym, że producent oświadczył nieprawdę. Odwołujący podnosił na rozprawie, że zna produkt zaoferowany przez ŚGI, nie przedstawił jednak żadnych dowodów, pochodzących bezpośrednio od producenta, z których wynikałoby, że oprogramowanie zaoferowane przez ŚGI nie spełnia wymagań Zamawiającego.

Izba wzięła więc pod uwagę, że zarówno z wyjaśnień Wykonawcy jak i oświadczeń producenta oprogramowania wynika, że zaoferowany produkt nie wykorzystuje w zakresie wskazanym w pkt I.133 OPZ narzędzi typu open – source. Dowody i argumentację Odwołującego bazującą na informacjach ze stron internetowych Izba uznała za niewystarczającą dla stwierdzenia niezgodności oferty ŚGI z warunkami zamówienia.

W konsekwencji Izba oddaliła odwołanie w całości, dlatego orzeczono jak w sentencji.

O kosztach postępowania odwoławczego orzeczono stosownie do jego wyniku na podstawie art. 575 oraz art. 574 ustawy pzp, a także w oparciu o przepisy § 5 pkt 1 i 2 lit. a i b oraz § 8 ust. 2 pkt 1 rozporządzenia Prezesa Rady Ministrów z dnia 30 grudnia 2020 r. w sprawie szczegółowych rodzajów kosztów postępowania odwoławczego, ich rozliczania oraz wysokości i sposobu pobierania wpisu od odwołania (Dz. U. z 2020 r., poz. 2437 ze zm.) zaliczając na poczet niniejszego postępowania odwoławczego koszt wpisu od odwołania uiszczony przez Odwołującego, koszty wynagrodzenia pełnomocnika Zamawiającego oraz koszty dojazdu Zamawiającego na posiedzenie i rozprawę oraz zasądzając od Odwołującego na rzecz Zamawiającego koszty wynagrodzenia pełnomocnika w wysokości 3600,00 zł oraz koszty dojazdu na posiedzenie i rozprawę w wysokości 715,30 zł na podstawie spisu kosztów złożonego przez Zamawiającego na rozprawie.

Przewodniczący: ………………………………