Sygn. akt: KIO 671/25
WYROK
Warszawa, dnia 19 marca 2025 roku
Krajowa Izba Odwoławcza - w składzie:
Przewodnicząca: Katarzyna Prowadzisz
Protokolant: Oskar Oksiński
po rozpoznaniu na rozprawie odwołania wniesionego do Prezesa Krajowej Izby Odwoławczej 24 lutego 2025 roku przez wykonawcę Konica Minolta Business Solutions Polska spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie
w postępowaniu prowadzonym przez zamawiającego Polskie Sieci Elektroenergetyczne Spółka Akcyjna (PSE S.A.) z siedzibą w Konstancinie – Jeziornej
przy udziale wykonawcy po stronie odwołującego Copy.Net.pl P.S. Prosta spółka akcyjna z siedzibą w Warszawie
orzeka:
1.Oddala odwołanie.
2.Kosztami postępowania obciąża wykonawcę Konica Minolta Business Solutions Polska spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie i:
2.1zalicza w poczet kosztów postępowania odwoławczego kwotę 15 000 zł (słownie: dziesięć tysięcy złotych zero groszy) uiszczoną przez wykonawcę wykonawcę Konica Minolta Business Solutions Polska spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie tytułem wpisu od odwołania,
kwotę 3 690 zł 00 gr (słownie: trzy tysiące sześćset dziewięćdziesiąt złotych zero groszy) poniesioną przez wykonawcę Konica Minolta Business Solutions Polska spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie tytułem wynagrodzenia pełnomocnika,
kwotę 3 690 zł 00 gr (słownie: trzy tysiące sześćset dziewięćdziesiąt złotych zero groszy) poniesioną przez zamawiającego Polskie Sieci Elektroenergetyczne Spółka Akcyjna (PSE S.A.) z siedzibą
w Konstancinie – Jeziornej tytułem wynagrodzenia pełnomocnika,
2.2zasądza od wykonawcy Konica Minolta Business Solutions Polska spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie na rzecz zamawiającego Polskie Sieci Elektroenergetyczne Spółka Akcyjna (PSE S.A.) z siedzibą w Konstancinie – Jeziornej kwotę 3 600 zł 00 gr (słownie: trzy tysiące sześćset złotych zero groszy) stanowiącą koszty postępowania odwoławczego poniesione przez zamawiającego Polskie Sieci Elektroenergetyczne Spółka Akcyjna (PSE S.A.)
z siedzibą w Konstancinie – Jeziornej stosownie do wyniku postępowania.
Na orzeczenie - w terminie 14 dni od dnia jego doręczenia - przysługuje skarga
za pośrednictwem Prezesa Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie - sądu zamówień publicznych.
Przewodniczący: ……………………………………….
Sygn. akt: KIO 671/25
U Z A S A D N I E N I E
Zamawiający – Polskie Sieci Elektroenergetyczne Spółka Akcyjna (PSE S.A.)
z siedzibą w Konstancinie – Jeziornej prowadzi postępowanie o udzielnie zamówienia publicznego w trybie przetargu nieograniczonego na: ,,Zakup urządzeń wielofunkcyjnych
i świadczenie kompleksowej usługi wydruków i serwisu urządzeń przez okres 36 miesięcy”,
Ogłoszenie o zamówieniu zostało zamieszczone w Dzienniku Urzędowym Unii Europejskiej dnia 14 stycznia 2025 r., numer 102513-2025.
W dniu 24 lutego 2025 roku Odwołujący działając na podstawie art. 505 ust. 1 w zw. z art. 513 ust. 1 i 2 ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (Dz.U.2024.1320 t. j.; dalej jako: "ustawa” / „PZP”), wniósł odwołanie wobec postanowień Ogłoszenia o zamówieniu (dalej: “Ogłoszenie”) oraz treści Specyfikacji Warunków Zamówienia (dalej: “SWZ”) i załączników do SWZ sporządzonych przez Zamawiającego
w zakresie: II. CZĘŚĆ II SWZ SPECYFIKACJA WARUNKÓW ZAMÓWIENIA („OPZ”): [Zarzut #1]
1) I. Wymagania dotyczące parametrów technicznych Urządzeń, 1. Typ A (Urządzenia wielofunkcyjne z finisherem):, pkt 32 Rejestracja i udostępnianie zdarzeń bezpieczeństwa;
2) I. Wymagania dotyczące parametrów technicznych Urządzeń, 2. Typ B (Urządzenia; wielofunkcyjne bez finishera): pkt 31 Rejestracja i udostępnianie zdarzeń bezpieczeństwa;
3) I. Wymagania dotyczące parametrów technicznych Urządzeń, 3. Typ C (drukarki): pkt 16 Rejestracja i udostępnianie zdarzeń bezpieczeństwa.
Odwołujący zarzucił Zamawiającemu naruszenie:
art. 16 pkt 1-3, art. 99 ust.1,2 oraz ust. 4 oraz art. 17 ust. 1 pkt 2 ustawy przez opisanie przedmiotu zamówienia w sposób niejednoznaczny, nieproporcjonalny do przedmiotu zamówienia, naruszający zasady uczciwej konkurencji i równego traktowania wykonawców, w sposób, który nie ma odzwierciedlenia w uzasadnionych potrzebach zamawiającego, narusza zasadę efektywności, wyłącza możliwość złożenia oferty przez odwołującego,
a także przez innych wykonawców, tzn.: przez wprowadzenie dla wszystkich typów zamawianych urządzeń wymogów w zakresie Rejestracji i udostępniania zdarzeń bezpieczeństwa, podczas gdy takie wymogi przewidziane są również w zakresie oferowanego Systemu Wydruku, co czyni wymóg w zakresie urządzeń nadmiarowym, Zamawiający zaś w sposób niewynikający z jego uzasadnionych potrzeb wprowadza wymagania, które nie zostały wskazane zarówno w poprzednim postępowaniu z 2017 r.,
jak i w RFI z 2024 r., które poprzedzało Postępowanie i które spełnia jeden, góra dwóch producentów wymaganych urządzeń, czym w sposób nieuzasadniony zamawiający ogranicza konkurencję w Postępowaniu do jednego, dwóch producentów urządzeń, nie pozwalając złożyć oferty odwołującemu.
Odwołujący wniósł o:
o nakazanie Zamawiającemu dokonania odpowiedniej modyfikacji treści spornych postanowień, tzn.: przez usunięcie z Wymagań dotyczących parametrów technicznych Urządzeń Typ A,B,C wymagań dot. Rejestracji i udostępniania zdarzeń bezpieczeństwa.
Odwołujący w trakcie rozprawy zmodyfikował treść wniosku przez przedstawienie alternatywnego żądania o treści: usunięcie z wymagań dotyczących parametrów technicznych urządzeń typu A, B, C, wymagań dotyczących „Rejestracji udostępniania zdarzeń bezpieczeństwa” i wprowadzenie zbiorczego wymagania dla wszystkich typów urządzeń w treści: urządzenie pozwala na rejestrację i udostępnienie zdarzeń bezpieczeństwa.
Odwołujący podał, że posiada interes we wniesieniu odwołania, ponieważ jest zainteresowany udziałem w przedmiotowym Postępowaniu i zamierza w nim złożyć ofertę,
a czynności Zamawiającego uniemożliwiają mu udział w Postępowaniu i złożenia konkurencyjnej oferty, czego skutkiem będzie poniesienie przez Odwołującego szkody
w postaci utraty korzyści, jakie osiągnąłby w przypadku uzyskania Zamówienia. Aktualna treść postanowień Ogłoszenia o zamówieniu oraz treść Specyfikacji Warunków Zamówienia (w tym załączników do SWZ), który posiada odpowiednie doświadczenie do realizacji Zamówienia, albo wprost uniemożliwia Odwołującemu dostęp do Zamówienia. Tym samym treść dokumentacji Postępowania narusza zasady uczciwej konkurencji i równego traktowania wykonawców. Uwzględnienie odwołania będzie skutkowało dokonaniem zmiany treści postanowień Ogłoszenia o zamówieniu oraz SWZ (w tym załączników do SWZ),
w wyniku czego Odwołujący będzie mógł złożyć ofertę i ubiegać się o udzielenie zamówienia, co w dalszej kolejności umożliwi Odwołującemu uzyskanie Zamówienia.
W uzasadnieniu odwołania podano między innymi, że:
Zarzut #1 – Rejestracja i udostępnianie zdarzeń bezpieczeństwa z poziomu urządzenia
Zamawiający wprowadził do OPZ wymogi, które zbiorczo określił jako Rejestracja
i udostępnianie zdarzeń bezpieczeństwa. Co ciekawe owe wymogi postawione są zarówno dla wszystkich typów wymaganych urządzeń: A – pkt 32,B – pkt 31,C – pkt 16:
1) I. Wymagania dotyczące parametrów technicznych Urządzeń, 1. Typ A (Urządzenia wielofunkcyjne z finisherem):, pkt 32 Rejestracja i udostępnianie zdarzeń bezpieczeństwa;
2) I. Wymagania dotyczące parametrów technicznych Urządzeń, 2. Typ B (Urządzenia; wielofunkcyjne bez finishera): pkt 31 Rejestracja i udostępnianie zdarzeń bezpieczeństwa;
3) I. Wymagania dotyczące parametrów technicznych Urządzeń, 3. Typ C (drukarki): pkt 16 Rejestracja i udostępnianie zdarzeń bezpieczeństwa.
jak i dla wymaganego Systemu Wydruku
VI. System Wydruku, 1. Wymagania w zakresie Systemu Wydruku:, Rejestracja i udostępnianie zdarzeń bezpieczeństwa.
Odwołujący wskazał, że obecnie, gro funkcjonalności, które ma do dyspozycji użytkownik urządzeń wielofunkcyjnych, drukarek jest zapewniana przez system wydruku. Tak właśnie jest w przypadku kwestii Rejestracji i udostępniania zdarzeń bezpieczeństwa.
Zamawiający nie wymagał by System wydruku miał być zainstalowany na dostarczonych urządzeniach, a w infrastrukturze Zamawiającego, tym samym w ocenie Odwołującego nie ma racjonalnego powodu by np. dodatkowo wymagać aby Rejestracja i udostępnianie zdarzeń bezpieczeństwa była możliwa zarówno z poziomu Systemu Wydruku,
jak i dodatkowo z poziomu urządzeń dla wszystkich typów wymaganych urządzeń – rozwiązanie stosowane przez producenta Xerox. Zamawiający wraz z urządzeniami kupuje usługę druku, tak więc może określać jakie funkcjonalności powinien posiadać system zarządzania wydrukiem rozumiany standardowo jako połączenie urządzeń typu A,B,C
z oprogramowaniem do zarządzania wydrukiem, jednakże nie powinien wskazywać,
że funkcjonalności dot. Rejestracji i udostępnianie zdarzeń bezpieczeństwa powinny być również dostępne z poziomu dostarczanych urządzeń. Sama zresztą treść wymagań z OPZ dot. Rejestracji i udostępnianie zdarzeń bezpieczeństwa dla urządzeń TYP A, B, C
w podpunkcie - Zakres rejestrowanych rodzajów zdarzeń bezpieczeństwa obejmuje
co najmniej…: zawiera wymóg uruchomienie, wyłączenie systemu lub usług systemu,
co wskazuje na dane dotyczące systemu wydruku i usług, które są oferowane za jego pośrednictwem. To również wskazuje, że wymagania dot. Rejestracji i udostępnianie zdarzeń bezpieczeństwa winny znaleźć się jedynie w wymaganiach odnoszących się
do samego systemu wydruku, nie zaś również dla dostarczanych urządzeń.
Wymagania dot. Rejestracji i udostępniania zdarzeń bezpieczeństwa odnoszące się
do urządzeń typu A,B,C są zatem nadmiarowe, gdyż Zamawiający żąda 2x tego samego – konstruując niemalże identyczne wymagania w zakresie Rejestracji i udostępniania zdarzeń bezpieczeństwa dla urządzeń, jak i dla systemu wydruku, ograniczając przy tym konkurencję w Postępowaniu do jednego lub dwóch producentów urządzeń, w tym na pewno
do urządzeń producenta Xerox. Urządzenia tego producenta posiada obecnie Zamawiający.
Ponadto, trudno taki nadmiarowy sposób ukształtowania wymagań pogodzić z zasadą efektywności, wyrażoną w art. 17 ust.1 pkt. 2 PZP. Zamawiający, bez uzasadnionego powodu, odcina możliwość złożenia oferty przez producentów urządzeń, którzy wybrali sposób rejestracji i udostępniania zdarzeń bezpieczeństwa za pomocą systemu wydruku,
a nie z poziomu urządzeń, co z całą pewnością wpłynie również na ostateczną cenę ofert złożonych w Postępowaniu, demotywując wykonawców takich jak Xerox Polska sp. z o.o.
do złożenia korzystnej cenowo oferty. Taki sposób ukształtowania wymogów nie prowadzi
do uzyskania najlepszych efektów zamówienia w stosunku do poniesionych nakładów.
Pozycja z OPZ Rejestracja i udostępnianie zdarzeń bezpieczeństwa nie była przedmiotem OPZ w poprzednim postępowaniu o udzielenie zamówienia publicznego z 2017 r.
Dowód: Opis Przedmiotu Zamówienia z postępowania z 2017 r. – Załącznik Nr 5 do Odwołania,
które organizował Zamawiający.
Wymagania w zakresie sposobu rejestracji i udostępniania zdarzeń bezpieczeństwa nie znalazły się również w z RFI dla przedmiotowego postępowania, które przeprowadzał Zamawiający w 2024 r.
Dowód: Opis Przedmiotu Zamówienia z RFI – Załącznik Nr 6 do Odwołania.
Zapytanie z RFI w swojej szczegółowości bardzo przypomina opis przedmiotu zamówienia
z obecnego Postępowania. Zatem, niejako w ostatniej chwili, Zamawiający wprowadził
do OPZ rozbudowany katalog wymogów Rejestracja i udostępnianie zdarzeń bezpieczeństwa umiejscawiając go zarówno w pozycji dot. wszystkich typów wymaganych urządzeń, jak i w pozycji dot. wymagań dla systemu wydruku. Skoro RFI nie zawierało tych wymogów, oznacza to, że dla zamawiającego nie były to wymogi istotne, dodatkowo
nie sprawdził on, jak wymagania Rejestracja i udostępnianie zdarzeń bezpieczeństwa wpłyną na konkurencyjność Postępowania. Powyższe potwierdza, że kwestionowane przez Konica Minolta postanowienia OPZ mają charakter nadmiarowy i odcinający, nie wynikają przy tym z uzasadnionych potrzeb Zamawiającego, skutkiem czego nie tylko ograniczają konkurencyjność Postępowania, ale ją wyłączają.
W przypadku zarzutów naruszenia przez zamawiającego przepisów dot. konstrukcji przedmiotu zamówienia określonych w art. 99 PZP oraz art. 16 pkt 1 PZP od wykonawcy składającego odwołanie wymagane jest jedynie uprawdopodobnienie sporządzenia treści SWZ niezgodnie z zasadami określonymi w tych przepisach, a nie udowodnienie. Ciężar dowodu w zakresie sporządzenia treści SWZ w sposób jednoznaczny, zrozumiały, proporcjonalny, wynikający z uzasadnionych potrzeb oraz braku istnienia ograniczenia konkurencji w Postępowaniu spoczywa na zamawiającym, tj. że wskazane przez odwołującego postanowienia dokumentacji Postępowania nie naruszają zasady uczciwej konkurencji i równego traktowania wykonawców. Potwierdzeniem w tym zakresie jest nadal aktualne orzecznictwo Krajowej Izby Odwoławczej.
Po przeprowadzeniu posiedzenia i rozprawy z udziałem Stron, na podstawie zebranego materiału w sprawie Krajowa Izba Odwoławcza ustaliła i stwierdziła,
co następuje:
Izba stwierdziła, że nie została wypełniona żadna z przesłanek, o których stanowi art. 528 ustawy z dnia 11 września 2019 r. Prawo zamówień ustawy z 11 września 2019 r. – Prawo zamówień publicznych skutkujących odrzuceniem odwołania. Odwołanie zostało złożone do Prezesa Krajowej Izby Odwoławczej 24 lutego2025 roku od czynności Zamawiającego z dnia 12 lutego 2025 roku. Kopia odwołania została przekazana
w ustawowym terminie Zamawiającemu, co wynika z akt sprawy odwoławczej.
Skład orzekający Izby rozpoznając sprawę uwzględnił akta sprawy odwoławczej, które zgodnie z par. 8 rozporządzenia Prezesa Rady Ministrów z dnia 30 grudnia 2020 roku
w sprawie postępowania przy rozpoznawaniu odwołań przez Krajową Izbę Odwoławczą (Dz. U. z 2020 r. poz. 2453) stanowią odwołanie wraz z załącznikami oraz dokumentację postępowania o udzielenie zamówienia w postaci elektronicznej lub kopię dokumentacji,
o której mowa w § 7 ust. 2, a także inne pisma składane w sprawie oraz pisma kierowane przez Izbę lub Prezesa Izby w związku z wniesionym odwołaniem.
Izba uwzględniła stanowiska prezentowane na rozprawie przez strony postępowania odwoławczego oraz uczestnika postępiania odwoławczego.
Izba uwzględniła stanowisko zawarte przez zamawiającego w piśmie procesowym
z dnia 14 marca 2025 roku „Odpowiedź zamawiającego na odwołanie”, gdzie zamawiający wniósł o oddalenie odwołania w całości. Izba dopuściła dowód załączony do pisma
tj. „Narodowe Standardy Cyberbezpieczeństwa, wyciąg opracowania pn. „NSC 800-53, Zabezpieczenia i ochrona prywatności systemów informacyjnych oraz organizacji”.
Izba uwzględniła również stanowisko zawarte przez zamawiającego w piśmie z dnia 14 marca 2025 roku „Pismo procesowe zamawiającego”, zawierające informacje poufne
i prawnie chroniona tajemnicę zamawiającego. Izba dopuściła dowód załączony do pisma
tj. „Procedura bezpieczeństwa teleinformatycznego w PSE S.A.” – dowód zawiera informacje poufne i prawnie chronioną tajemnicę zamawiającego.
Izba uwzględniła stanowisko odwołującego zawarte w piśmie przewodnim z dnia
17 marca 2025 roku „Pismo procesowe odwołującego”. Izba dopuściła dowody załączone do tego pisma:
- dowód Nr 1 – opis przedmiotu zamówienia dla postępowania Dostawa wraz z utrzymaniem urządzeń wielofunkcyjnych (MFP – Multi-Function Printer) dla Spółek GK PGE wraz z Centralnym Systemem Wydruku - (CSW4), POST/PGE/W/DZ/00388/2023,
- dowód Nr 2 – opis przedmiotu zamówienia dla postępowania Wdrożenie systemu monitorowania i zarządzania wydrukami oraz zakup wielofunkcyjnych urządzeń drukujących wraz z asystą techniczną 6060/ILG 8/16089/04417/22/P,
- dowód Nr 3 – opisu przedmiotu zamówienia dla postępowania o udzielenie zamówienia publicznego na dostawę urządzeń drukujących, prowadzonego w trybie przetargu nieograniczonego, nr sprawy 2021/W001/WP-003352,
- dowód Nr 4 – opisu przedmiotu zamówienia dla postępowania o udzielenie zamówienia publicznego na Zakup usług wydruku., ZP/2024/12/0108/PS
- dowód nr 5 – korespondencji e-mailowej z RFI poprzedzającej przedmiotowe postępowanie, pomiędzy pracownikiem Konica Minolta Business Solutions Polska sp. z o.o., a pracownikiem Polskie Sieci Elektroenergetyczne Spółka Akcyjna.
- dowód nr 6 – oświadczenie producenta z dnia 10 października 2024 roku wraz
z tłumaczeniem przysięgłym na język polski.
Izba ustaliła w zakresie zarzutów odwołania:
Zgodnie z art. 559 ust. 2 ustawy - Uzasadnienie orzeczenia zawiera wskazanie podstawy faktycznej rozstrzygnięcia, w tym ustalenie faktów, które Izba uznała
za udowodnione, dowodów, na których się oparła, i przyczyn, dla których innym dowodom odmówiła wiarygodności i mocy dowodowej, oraz wskazanie podstawy prawnej orzeczenia
z przytoczeniem przepisów prawa.
Izba na wstępie wskazuję, zgodnie z art. 559 ust. 2 ustawy podstawy prawne oraz przytacza przepisy prawa:
- art. 16 pkt 1 ustawy - Zamawiający przygotowuje i przeprowadza postępowanie
o udzielenie zamówienia w sposób:
1) zapewniający zachowanie uczciwej konkurencji oraz równe traktowanie wykonawców;
2) przejrzysty;
3) proporcjonalny.
- art. 17 ust. 2 ustawy - Zamówienia udziela się wykonawcy wybranemu zgodnie
z przepisami ustawy.
- art. 99 ust. 1 ustawy - Przedmiot zamówienia opisuje się w sposób jednoznaczny
i wyczerpujący, za pomocą dostatecznie dokładnych i zrozumiałych określeń, uwzględniając wymagania i okoliczności mogące mieć wpływ na sporządzenie oferty.
- art. 99 ust. 2 ustawy - Zamawiający określa w opisie przedmiotu zamówienia wymagane cechy dostaw, usług lub robót budowlanych. Cechy te mogą odnosić się w szczególności
do określonego procesu, metody produkcji, realizacji wymaganych dostaw, usług lub robót budowlanych, lub do konkretnego procesu innego etapu ich cyklu życia, nawet jeżeli te czynniki nie są ich istotnym elementem, pod warunkiem że są one związane z przedmiotem zamówienia oraz proporcjonalne do jego wartości i celów.
- art. 99 ust. 4 ustawy - Przedmiotu zamówienia nie można opisywać w sposób, który mógłby utrudniać uczciwą konkurencję, w szczególności przez wskazanie znaków towarowych, patentów lub pochodzenia, źródła lub szczególnego procesu, który charakteryzuje produkty lub usługi dostarczane przez konkretnego wykonawcę, jeżeli mogłoby to doprowadzić
do uprzywilejowania lub wyeliminowania niektórych wykonawców lub produktów.
Izba stwierdziła:
Izba na wstępie w zakresie rozpoznania zarzutów odwołania wyjaśnia i podkreśla,
że w postępowaniu odwoławczym Izba dokonuje oceny czynności podjętej przez Zamawiającego w prowadzonym postępowaniu o udzielenie zamówienia publicznego. Zakres czynności jaki podlega ocenie Izby zgodnie odnosi się do prowadzonego postępowania o udzielenie zamówienia publicznego, które rozpoczyna się w chwili ogłoszenia zamówienia i kończy w chwili podpisania umowy, przy czym zawarcie umowy
nie jest częścią postępowania. Z powyższego wynika, że w zakresie czynności zamawiającego w danym postępowaniu o zamówienie Izba nie dokonuje oceny czynności jakie wykraczają poza ten zakres, jak również jakie stanowiły czynności przygotowawcze.
Z chwilą ogłoszenia postępowania o zamówienie zamawiający przedstawia wszelkie swoje wymagania co do przedmiotu zamówienia, jak również co do wszelkich uwarunkowań prowadzonego postępowania w dokumentacji zamówienia oraz ogłoszeniu o zamówieniu.
W zakresie zarzutu (1) naruszenia art. 16 pkt 1-3, art. 99 ust.1,2 oraz ust. 4 oraz art. 17 ust. 1 pkt 2 ustawy przez opisanie przedmiotu zamówienia w sposób niejednoznaczny, nieproporcjonalny do przedmiotu zamówienia, naruszający zasady uczciwej konkurencji
i równego traktowania wykonawców, w sposób, który nie ma odzwierciedlenia
w uzasadnionych potrzebach zamawiającego, narusza zasadę efektywności, wyłącza możliwość złożenia oferty przez odwołującego,
a także przez innych wykonawców, tzn.: przez wprowadzenie dla wszystkich typów zamawianych urządzeń wymogów w zakresie Rejestracji i udostępniania zdarzeń bezpieczeństwa, podczas gdy takie wymogi przewidziane są również w zakresie oferowanego Systemu Wydruku, co czyni wymóg w zakresie urządzeń nadmiarowym, Zamawiający zaś w sposób niewynikający z jego uzasadnionych potrzeb wprowadza wymagania, które nie zostały wskazane zarówno w poprzednim postępowaniu z 2017 r.,
jak i w RFI z 2024 r., które poprzedzało Postępowanie i które spełnia jeden, góra dwóch producentów wymaganych urządzeń, czym w sposób nieuzasadniony zamawiający ogranicza konkurencję w Postępowaniu do jednego, dwóch producentów urządzeń, nie pozwalając złożyć oferty odwołującemu.
- Izba zarzuty 1 odwołania uznała za niezasadny.
Izba ustaliła, że zgodnie z postanowieniami CZĘŚĆ I SWZ WSKAZÓWKI DLA WYKONAWCY Rozdział IV. Przedmiot zamówienia wskazał:
1) Przedmiotem zamówienia jest:
a) zakup urządzeń drukujących (dalej ,,Urządzenia”) wraz z oprogramowaniem (dalej ,,oprogramowanie lub ,,System Wydruku”);
b) świadczenie kompleksowej usługi wydruków i serwisu Urządzeń przez okres 36 miesięcy.
(…)
2) Szczegółowe określenie przedmiotu zamówienia znajduje się w Części II SWZ. W Części II SWZ wskazano również informację o ilości Urządzeń, które zakupi Zamawiający.
(…)
8) Uwaga: Zamawiający informuje, że dokument ,,Procedurą bezpieczeństwa teleinformatycznego w PSE S.A.” załączony do SWZ został zaszyfrowany. W celu uzyskania hasła do odszyfrowania ww. dokumentu Wykonawca zobowiązany jest do złożenia oświadczenia o zachowaniu poufności przez osoby uprawnione do reprezentacji Wykonawcy i osoby uczestniczące w przygotowaniu oferty, zgodnie ze wzorem nr 11 zamieszczonym w Części III SWZ. Wykonawca zobowiązany jest zamieścić ww. oświadczenie na Platformie zakupowej w zakładce ,,Pytania/informacje” wraz dokumentem rejestrowym Wykonawcy, wskazującym osoby uprawnione do reprezentacji Wykonawcy i zasady składania oświadczeń woli i wiedzy w imieniu Wykonawcy. Wykonawca w ww. oświadczeniu zobowiązany jest wskazać adres email, na który należy przekazać hasło do odszyfrowania dokumentu. Na wskazany przez Wykonawcę adres e-mail będzie przesyłane hasło do odszyfrowania dokumentu.
CZĘŚĆ II SWZ - SPECYFIKACJA WARUNKÓW ZAMÓWIENIA
Wymagania dotyczące parametrów technicznych Urządzeń
1. Typ A (Urządzenia wielofunkcyjne z finisherem):
Lp. |
Nazwa funkcji, komponentu |
Wymagane minimalne parametry techniczne |
|
32.
|
Rejestracja i udostępnianie zdarzeń bezpieczeństwa |
1. Urządzenie zapisuje zdarzenia bezpieczeństwa w dedykowanym rejestrze (logu) bezpieczeństwa. 2. Urządzenie posiada odpowiednią przestrzeń do przechowywania logów bezpieczeństwa zgodnie ze zdefiniowanym wymaganym okresem ich przechowywania zapobiegającym utracie informacji o zdarzeniach w wyniku przepełnienia pamięci Urządzenia. 3. Urządzenie posiada zdolność udostępnienia logów bezpieczeństwa w formacie zgodnym z przemysłowym standardem takim, jak CEF lub LEEF lub EVTX (XML). 4. Dzienniki audytowe bezpieczeństwa przenoszone są w określonych odstępach czasowych do innego komponentu agregującego te logi. 5. Urządzenie zapewnia ochronę zarejestrowanych zdarzeń przed modyfikacją, usunięciem lub nieautoryzowanym dostępem. 6. Oznaczenie czasu wystąpienia zdarzenia jest rejestrowane z rozdzielczością co najmniej 1 ms. 7. Każdy wpis w rejestrze zdarzeń bezpieczeństwa zawiera co najmniej: a) oznaczenie daty i czasu zdarzenia (w formacie ISO-8601 dla strefy UTC); b) identyfikację podmiotu (np. konta/użytkownika); c) adres IP hosta lub identyfikator obiektu uzyskującego dostęp do funkcji Urządzenia; d) typ zdarzenia / operacji; e) parametry zdarzenia; f) status operacji. 8. Zakres rejestrowanych rodzajów zdarzeń bezpieczeństwa obejmuje co najmniej: a) udane oraz nieudane próby logowania; b) dostęp do danych chronionych; c) błędy walidacji certyfikatów, podpisów; d) błędy weryfikacji integralności oprogramowania oraz konfiguracji; e) uruchomienie, wyłączenie systemu lub usług systemu; f) zarządzanie uprawnieniami, rolami; g) działania wykonane przez użytkowników uprzywilejowanych. |
2. Typ B (Urządzenia wielofunkcyjne bez finishera):
Lp. |
Nazwa funkcji, komponentu |
Wymagane minimalne parametry techniczne |
|
|
31.
|
Rejestracja i udostępnianie zdarzeń bezpieczeństwa |
1. Urządzenie zapisuje zdarzenia bezpieczeństwa w dedykowanym rejestrze (logu) bezpieczeństwa. 2. Urządzenie posiada odpowiednią przestrzeń do przechowywania logów bezpieczeństwa zgodnie ze zdefiniowanym wymaganym okresem ich przechowywania zapobiegającym utracie informacji o zdarzeniach w wyniku przepełnienia pamięci Urządzenia. 3. Urządzenie posiada zdolność udostępnienia logów bezpieczeństwa w formacie zgodnym z przemysłowym standardem takim, jak CEF lub LEEF lub EVTX (XML). 4. Dzienniki audytowe bezpieczeństwa przenoszone są w określonych odstępach czasowych do innego komponentu agregującego te logi. 5. Urządzenie zapewnia ochronę zarejestrowanych zdarzeń przed modyfikacją, usunięciem lub nieautoryzowanym dostępem. 6. Oznaczenie czasu wystąpienia zdarzenia jest rejestrowane z rozdzielczością co najmniej 1 ms. 7. Każdy wpis w rejestrze zdarzeń bezpieczeństwa zawiera co najmniej: a) oznaczenie daty i czasu zdarzenia (w formacie ISO-8601 dla strefy UTC); b) identyfikację podmiotu (np. konta/użytkownika); c) adres IP hosta lub identyfikator obiektu uzyskującego dostęp do funkcji urządzenia; d) typ zdarzenia / operacji; e) parametry zdarzenia; f) status operacji. 8. Zakres rejestrowanych rodzajów zdarzeń bezpieczeństwa obejmuje co najmniej: a) udane oraz nieudane próby logowania, b) dostęp do danych chronionych, c) błędy walidacji certyfikatów, podpisów, d) błędy weryfikacji integralności oprogramowania oraz konfiguracji, e) uruchomienie, wyłączenie systemu lub usług systemu, f) zarządzanie uprawnieniami, rolami, g) działania wykonane przez użytkowników uprzywilejowanych.
|
|
3. Typ C (drukarki):
Lp. |
Nazwa funkcji, komponentu |
Wymagane minimalne parametry techniczne |
|
16.
|
Rejestracja i udostępnianie zdarzeń bezpieczeństwa |
1. Urządzenie zapisuje zdarzenia bezpieczeństwa w dedykowanym rejestrze (logu) bezpieczeństwa. 2. Urządzenie posiada zdolność udostępnienia logów bezpieczeństwa 3. w formacie zgodnym z przemysłowym standardem takim, jak CEF lub LEEF lub EVTX (XML). 4. Dzienniki audytowe bezpieczeństwa przenoszone są w określonych odstępach czasowych do innego komponentu agregującego te logi. 5. Oznaczenie czasu wystąpienia zdarzenia jest rejestrowane z rozdzielczością co najmniej 10 ms. 6. Każdy wpis w rejestrze zdarzeń bezpieczeństwa zawiera co najmniej: a) oznaczenie daty i czasu zdarzenia (w formacie ISO-8601 dla strefy UTC); b) identyfikację podmiotu (np. konta/użytkownika); c) typ zdarzenia / operacji; d) parametry zdarzenia; e) status operacji. 7. Zakres rejestrowanych rodzajów zdarzeń bezpieczeństwa obejmuje co najmniej: a) udane oraz nieudane próby logowania do panelu administracyjnego, b) uruchomienie, wyłączenie systemu lub usług systemu, c) zarządzanie uprawnieniami, rolami, d) działania wykonane przez użytkowników uprzywilejowanych (zmiany konfiguracji urządzenia).
|
VI. System Wydruku
1. Wymagania w zakresie Systemu Wydruku:
Architektura |
System Wydruku składa się z: 1. układu centralnych serwerów, zarządzających skanowaniem, funkcją drukowania, kolejkowaniem wydruków; 2. opcjonalnych serwerów pomocniczych pełniących funkcje rozliczeniowe, monitorujące; 3. komponentów terminali dostępowych instalowanych przy Urządzeniach drukujących. |
|
Rejestracja i udostępnianie zdarzeń bezpieczeństwa |
1. System Wydruku zapisuje zdarzenia bezpieczeństwa w dedykowanym rejestrze (logu) bezpieczeństwa. 2. System Wydruku posiada odpowiednią przestrzeń do przechowywania logów bezpieczeństwa zgodnie ze zdefiniowanym wymaganym okresem ich przechowywania zapobiegającym utracie informacji o zdarzeniach w wyniku przepełnienia pamięci urządzenia. 3. System Wydruku posiada zdolność udostępnienia logów bezpieczeństwa w formacie zgodnym z przemysłowym standardem takim, jak CEF lub LEEF lub EVTX (XML). 4. Dzienniki audytowe bezpieczeństwa przenoszone są w określonych odstępach czasowych do innego komponentu agregującego te logi. 5. System Wydruku zapewnia ochronę zarejestrowanych zdarzeń przed modyfikacją, usunięciem lub nieautoryzowanym dostępem. 6. System Wydruku zapewnia, że rejestrowany czas zdarzeń w rejestrach bezpieczeństwa, technicznych, biznesowych z wiarygodnego źródła czasu, np. zegara systemu operacyjnego dostarczanego przez Zamawiającego. 7. Oznaczenie czasu wystąpienia zdarzenia jest rejestrowane z rozdzielczością co najmniej 1 ms. 8. Każdy wpis w rejestrze zdarzeń bezpieczeństwa zawiera co najmniej: a) oznaczenie daty i czasu zdarzenia (w formacie ISO-8601 dla strefy UTC); b) identyfikację podmiotu (np. konta/użytkownika); c) adres IP hosta lub identyfikator obiektu uzyskującego dostęp do funkcji urządzenia; d) typ zdarzenia / operacji; e) parametry zdarzenia; f) status operacji. 9. Zakres rejestrowanych rodzajów zdarzeń bezpieczeństwa obejmuje co najmniej: a) udane oraz nieudane próby logowania; b) dostęp do danych chronionych; c) błędy walidacji certyfikatów, podpisów; d) błędy weryfikacji integralności oprogramowania oraz konfiguracji; e) uruchomienie, wyłączenie Systemu Wydruku lub usług Systemu Wydruku; f) zarządzanie uprawnieniami, rolami; g) działania wykonane przez użytkowników uprzywilejowanych. |
|
W zakresie rozpoznania zarzutu 1 odwołania Izba stwierdziła:
Izba na wstępie podkreśla, że zamawiający jest uprawniony do nabycia przedmiotu zamówienia zgodnie ze swoimi potrzebami oraz przedmiotu zamówienia jaki określa
w dokumentacji postępowania, co wynikać może między innymi ze struktury działalności zamawiającego jak również z zakresu jego zadań, lub np. z charakteru podmiotu jakim zamawiający jest – w tym przypadku mamy do czynienia z zamawiającym Polskie Sieci Elektroenergetyczne Spółka Akcyjna (PSE S.A.) z siedzibą w Konstancinie – Jeziornej, który jest przedsiębiorstwem o istotnym znaczeniu dla porządku i bezpieczeństwa publicznego oraz o szczególnym znaczeniu dla polskiej gospodarki.
W związku z powyższym, a co nie było w żaden sposób kwestionowane przez odwołującego, należy wskazać jak podnosił sam zamawiający, że głównymi celami działalności PSE są: (i) zapewnienie bezpiecznej i ekonomicznej pracy Krajowego Systemu Elektroenergetycznego jako części wspólnego, europejskiego systemu elektroenergetycznego, z uwzględnieniem wymogów pracy synchronicznej i połączeń asynchronicznych; (ii) zapewnienie niezbędnego rozwoju krajowej sieci przesyłowej oraz połączeń transgranicznych; (iii) udostępnianie na zasadach rynkowych zdolności przesyłowych dla realizacji wymiany transgranicznej; (iv) tworzenie infrastruktury technicznej dla działania krajowego hurtowego rynku energii elektrycznej. Zamawiający argumentował, że jest operatorem usługi kluczowej w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2024 r., poz. 1077 ze zm., dalej: „Ustawa o KSC”), a więc usługi - która zgodnie z art. 2 pkt 16 Ustawy o KSC - ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienionej w wykazie usług kluczowych. Zamawiający jest podmiotem objętym Krajowym Systemem Cyberbezpieczeństwa (dalej: „KSC”), na który to podmiot ustawodawca nałożył szereg obowiązków, m.in. w zakresie wykorzystywania systemów informacyjnych. Systemy informacyjne w rozumieniu Ustawy o KSC to systemy teleinformatyczne, o którym mowa w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r.
o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2024 r. poz. 1157 ze zm.) wraz z przetwarzanymi w nim danymi w postaci elektronicznej, a zatem zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego w rozumieniu przepisów ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej. Zamawiający wskazał, że niewątpliwie zatem systemem teleinformatycznym jest System Wydruku i wszystkie jego komponenty,
co nie było w żaden sposób kwestionowane przez odwołującego.
Zamawiający wyjaśniał również, że w oparciu o art. 8 Ustawy o KSC, zamawiający jako operator usługi kluczowej - został zobowiązany do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, który ma zapewnić ustawowe wymagania. Natomiast zgodnie z art. 10 ust. 1 Ustawy o KSC zamawiający będący operatorem usługi kluczowej został zobowiązany
do opracowania, stosowania i aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. W oparciu
o art. 10 ust. 2 Ustawy o KSC realizowany musi być przez zamawiającego obowiązek nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. W ramach sprawowania nadzoru nad
tą dokumentacją musi być zagwarantowana dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez nie zadaniami; ochrona dokumentów przed niewłaściwym użyciem lub utratą integralności oraz oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach.
Zgodnie ze stanowiskiem prezentowanym przez zamawiającego, wprowadził zmawiający wewnątrz własnej organizacji dokument pn. „Procedura bezpieczeństwa teleinformatycznego w PSE S.A.” (dalej: „Procedura”).
Izba stwierdza w tym miejscu, że zgodnie ze stanowiskiem przedstawionym powyżej jak również z informacjami zawartymi w SWZ (Rozdział IV pkt 8) odwołujący miał możliwość pozyskania dostępu do ww. Procedury, która stanowi integralna część SWZ oraz miał możliwość zapoznania się z tym dokumentem po złożeniu stosowanego oświadczenia,
co najmniej od 14 lutego 2025 roku, tj. od publikacji ogłoszenia oraz dokumentów zamówienia. Nie uczynił tego. Dopiero w dniu 14 marca 2025 roku (piątkę) przesłał
do zamawiającego w godzinach popołudniowych – zgodnie z wymaganiem określonym
w SWZ - oświadczenie o zachowaniu poufności przez osoby uprawnione do reprezentacji wykonawcy i osoby uczestniczące w przygotowaniu oferty, zgodnie ze wzorem nr 11 zamieszczonym w Części III SWZ. Choć odwołujący cofnął w trakcie przebiegu postępowania odwoławczego wniosek o zobowiązanie zamawiającego do przekazania odwołującemu pełnej treści ww. Procedury, to nawiązywał do treści tego dokumentu wnosząc o jego zbadanie przez Izbę.
Izba stwierdza w tym miejscu, że odwołujący nie oparł swojego odwołania na całości materiału, tj. dokumentów jakie w ramach tej procedury o udzielnie zamówienia publicznego winien brać pod uwagę. Odwołujący nie występując o przekazanie Procedury w terminie
na wniesienie odwołania w zakresie postanowień SWZ i ogłoszenia o zamówieniu pozbawił się możliwości odnoszenie się do dokumentu Procedury jak również oceny dokumentacji SWZ w kontekście postanowień Procedury.
Podkreślić należy, że odwołujący pomija fakt istotny, a na który zwrócił w szczególności uwagę zamawiający w trakcie rozprawy, że System Wydruku stanowi osobny komponent,
a Urządzenia, o których mowa w SWZ nie są częścią Systemu Wydruku. Zamawiający podał również, że urządzenia drukujące (Urządzenia) nie są częścią systemu nazwanego w Części II SWZ „Systemem Wydruku”, lecz to nie oznacza, że nie stanowią komponentu żadnego systemu informacyjnego i mogą być wyłączone z obowiązku rejestrowania zdarzeń bezpieczeństwa, które ich dotyczą. Stwierdzić należy w tym miejscu, że odwołujący
nie zakwestionował powyższego wskazania. Tym samym w ocenie Izby, mając na uwadze, że odwołujący nie zapoznał się z całością dokumentacji (co jest faktem bezspornym),
bo nie zapoznał się z Procedurą, Izba stwierdza, że uznaje stanowisko zamawiającego
w tym zakresie za zasadne. Znamienne jest również to, że powyższego stanowiska zamawiającego nie zakwestionował uczestnik postępowania odwoławczego, który jak stwierdził, pozyskał ww. Procedurę (w wyniku zmian właścicielskich podmiotu Procedura została pozyskana przez podmiot przed przekształceniem) oraz nie przedstawiał żadnej argumentacji w tym zakresie.
Uwzględniając powyższe wynika zatem, że co do wymagań dotyczących funkcjonalności „Rejestracja i udostępnianie zdarzeń bezpieczeństwa” odnosi je zamawiający
do poszczególnych wskazanych w Części II SWZ – Specyfikacja warunków zamówienia wydzielonych osobno wymagań w zakresie Systemu Wydruku oraz wymagań w zakresie Urządzeń. Natomiast Urządzenia nie stanowią części komponentu jakim jest System Wydruku. Zatem istota wprowadzenia przez zamawiającego w zakresie opisu technicznego Urządzeń wymagania funkcjonalności „Rejestracja i udostępnianie zdarzeń bezpieczeństwa” nie opiera się na bezrefleksyjnym powtórzeniu wymagań i wskazania ich dwukrotnie w SWZ, lecz na realizacji obowiązków jakie nakładają na zamawiającego wcześniej wskazane przepisy ustawy o KSC oraz wdrożony system zarządzania bezpieczeństwem w systemie informacyjnym. W odniesieniu do wskazanego przez odwołującego argumentu odnoszącego się do tego, że zamawiający nie wymagał by System wydruku miał być zainstalowany
na dostarczonych urządzeniach, a w infrastrukturze zamawiającego wymaga wskazania,
że potwierdza to, że System Wydruku stanowi osobne oprogramowanie (odrębne) zgodnie
z definicją Systemu Wydruku, na co zwrócił uwagę zamawiający. Dodatkowo należy zwrócić uwagę, że zamawiający określił zarówno, a nie jak twierdzi odwołujący dodatkowo, funkcjonalność „Rejestracja i udostępnianie zdarzeń bezpieczeństwa” zarówno dla Urządzeń jak i dla Systemu Wydruku. Wskazanie odwołującego prowadzi do wniosku, że nie rozróżnia odrębności oprogramowania Systemu Wydruku od wymagań określonych odrębnie dla Urządzeń uznając, że wymagania te są nadmiarowe i niezasadne. Przy czym uzasadnienie zamawiającego w tym zakresie sprowadza się do twierdzenia opartego na wskazaniu producenta, który w ocenie odwołującego spełnia te wymagania, co potwierdza to realność rozwiązania jakiego oczekuje zamawiający, natomiast argumentacja zamawiającego oparta o przyjęte u zamawiającego zasady bezpieczeństwa systemów informacyjnych zgodnie ze stanowiskiem zamawiającego z rozprawy potwierdzają zasadność przyjętego w SWZ rozwiązania. Zaznaczyć należy, że odwołujący nie wnosił przez 14 marca br.
o udostępnienie Procedury i nie zapoznała się z jej treścią. W Części II SWZ został wprowadzony podział wymagań na specyfikację urządzeń drukujących oraz „System Wydruku”, a w jego opisie architektury podano, że jego integralną część stanowią jedynie „komponenty terminali dostępowych instalowanych przy urządzeniach drukujących”, a nie same urządzenia drukujące. Zamawiający podkreślał również, że zamawiany system informacyjny składa się z Systemu Wydruków oraz systemów poszczególnych urządzeń drukujących. W konsekwencji wymagania w odniesieniu do „Rejestracja i udostępnianie zdarzeń bezpieczeństwa”, które zostały zawarte w Częścią II SWZ „Rejestracja
i udostępnianie zdarzeń bezpieczeństwa” w tabelach dla każdego z Urządzeń, odnoszą się do zdarzeń występujących na tych Urządzeniach, natomiast wymagania w zakresie „Rejestracja i udostępnianie zdarzeń bezpieczeństwa” w Systemie Wydruku dotyczą zdarzeń występujących w Systemie Wydruku, do którego – co wielokrotnie podkreślał zamawiający – urządzenia drukujące nie należą.
Izba podkreśla, że zgodnie z Częścią II SWZ w tabelach dla każdego z Urządzeń,
w kolumnie Wymagane minimalne parametry techniczne zamawiający określił wymagania dla funkcjonalności „Rejestracja i udostępnianie zdarzeń bezpieczeństwa”, przy czym odwołujący nie odnosił się w odwołaniu do tych parametrów technicznych z osobna (nawet ich nie przytacza choćby właśnie przez odwołanie się do nazwy kolumny) i nie kwestionuje
ich wartości jako takich. Całość tych wymagań zawarta w opisie technicznym jest kwestionowania jako żądanie przez zamawiającego w odniesieniu do „Rejestracja
i udostępnianie zdarzeń bezpieczeństwa” w odniesieniu do Urządzeń. Podnoszona w czasie rozprawy argumentacja wydaje się wykracza poza stanowisko zawarte w odwołaniu,
a na pewno w zakresie dokonywania przez Izbę weryfikacji ww. postanowień
co do parametrów technicznych zawartych w SWZ dla poszczególnych Urządzeń
w zestawieniu z Procedurą. Nie jest zadaniem Izby zastępowanie odwołującego
w czynnościach oceny dokumentów w zakresie porównania, bowiem to na odwołującym ciąży taki obowiązek skoro podnosił, że opisanie przedmiotu zamówienia nie znajduje odzwierciedlenia w uzasadnionych potrzebach zamawiającego. Podkreślić ponownie należy w tym miejscu, że to odwołujący nie wystąpił do zamawiającego o udostępnienie Procedury, choć w pełni był do tego uprawniony. Jednocześnie Izba podkreśla w tym miejscu, że nie można rozpatrywać zarzutu odwołania z pominięciem argumentacji zamawiającego odnoszącej się do Procedury co wynika z tego, że zamawiający jest operatorem usługi kluczowej – co nie było kwestionowane przez odwołującego – a co za tym idzie obowiązany jest do wprowadzania i stosowania wynikających z przepisów powszechnie obowiązujących odpowiednich procedur bezpieczeństwa. Tym samym to odwołujący powinien był wykazać,
o ile taką argumentację chciał podnosić, bo nie ma jej w odwołaniu, że wymagania
w zakresie Urządzeń w odniesieniu do wskazanych w kolumnie Wymagane minimalne parametry techniczne dla „Rejestracja i udostępnianie zdarzeń bezpieczeństwa” nie wynikają z uzasadnionych potrzeb zamawiającego. To odwołujący również, o ile chciałby podnosić taką argumentację, musiałby wykazać, że wymagania w zakresie odrębnego uregulowania dla funkcjonalności „Rejestracja i udostępnianie zdarzeń bezpieczeństwa” dla Systemu Wydruku oraz dla Urządzeń nie odpowiadają ukształtowanym regulacjom związanym
z cyberbezpieczeństwem systemu informacyjnego obowiązującego zamawiającego,
a znajdujących swoje uregulowania w Procedurze. Zamawiający w odpowiedzi na odwołanie jednoznacznie podał, że kwestionowane przez odwołującego wymagania w przede wszystkim stanowią implementację postanowień Procedury w zakresie dotyczącym obowiązku monitorowania każdego z komponentów nowopowstałego systemu i stosowania podstawowych scenariuszy monitorowania bezpieczeństwa „Systemów Informacyjnych PSE”. Zamawiający wyjaśnił, że sformułowanie „system” jest określeniem dość powszechnym i posiada wiele znaczeń zależnych od kontekstu jego użycia, natomiast
w Procedurze zostało ono szczegółowo zdefiniowane. Zdaniem zamawiającego zamawiany system informacyjny składa się zatem z Systemu Wydruków oraz systemów poszczególnych urządzeń drukujących. Oznacza to, że urządzenia mają rejestrować własne zdarzenia bezpieczeństwa.
Zestawiając zarzut odwołania z pierwotnym wnioskiem zawartym w odwołaniu jednoznacznie można stwierdzić, że odwołujący chciał wykreślenia całości parametrów dla Urządzeń
w odniesieniu do „Rejestracja i udostępnianie zdarzeń bezpieczeństwa”. Izba stwierdza,
że jest to określona funkcjonalność jaka ma zostać zapewniona zamawiającemu,
a jej zdefiniowanie znajduje się kolumnie parametrów technicznych. Podkreślić należy w tym miejscu, że sam odwołujący w treści odwołania wielokrotnie posługiwał się określeniem „funkcjonalność” odnosząc się do „Rejestracja i udostępnianie zdarzeń bezpieczeństwa” Tym samym, zgodnie z powyższymi ustaleniami odwołujący chciał wykreślenia powyższej funkcjonalności w całości. Takie działanie niewątpliwie prowadziłoby do uniemożliwienia zamawiającemu realizacji polityki bezpieczeństwa systemów informacyjnych, do jakiego jest obowiązany i jaki realizuje na podstawie Procedury, co wynika z prezentowanego w pismach stanowiska. Odwołujący nie wykazał się znajomością Procedury, a co za tym idzie nie wykazał, że wykreślenie z Częścią II SWZ Wymagania dotyczące parametrów technicznych Urządzeń „Rejestracja i udostępnianie zdarzeń bezpieczeństwa” pozwoli zamawiającemu
na realizację jego obowiązków, a w konsekwencji realizację uzasadnionych potrzeb zamawiającego. Uzupełnienie wniosku odwołującego nie zmienia w ocenie Izby oceny
w zakresie zarzutu, bowiem nadal nie wykazał odwołujący, że stanowisko jakie prezentuje odpowiada Procedurze zamawiającego, bez której nie sposób odnosić się do przyjętego opisu przedmiotu zamówienia, a która stanowi integralną cześć dokumentacji jako załącznik do SWZ.
W ocenie Izby zamawiający uzasadnił racjonalności przedstawionego wymagania w Części
II SWZ Wymagania dotyczące parametrów technicznych Urządzeń „Rejestracja
i udostępnianie zdarzeń bezpieczeństwa” oraz jednoznacznie uzasadnił konieczność wprowadzenia tych wymagań zgodnie z uzasadnionymi potrzebami zamawiającego. Dodatkowo Izba zaznacza, że odwołanie oparte na niepełnym materiale źródłowym (dokumentacji) nie pozwala na uznanie racjonalności stwierdzeń odwołującego. Bez znaczenia dla rozpoznania sprawy pozostają dowody nr 1 – 4 odwołującego, bowiem rozwiązania techniczne jakie przyjmowane są u innych zamawiających nie są żadną wytyczną dla oceny zasadność kształtowania wymagań przedmiotowych w tym postępowaniu o zamówienie. Przenosząc tamte regulacje i dokonując oceny wymagań zamawiającego w tym postępowaniu przez pryzmat tamtych regulacji doprowadzilibyśmy
do pozbawienia prawa zamawiającego określenia przedmiotu zamówienia jak również,
do konieczności oceny zasadności dokonania opisu przedmiotu zamówienia przez innych zamawiającego, a która nie jest przedmiotem odwołania. Dowody te świadczą tylko tyle,
że inni zamawiający, w innych postępowaniach przewidzieli inne wymagania, w tym nie stawiają wymagań w zakresie rejestracja i udostępnianie zdarzeń bezpieczeństwa
w odniesieniu do dostarczanych urządzeń, ale w żaden sposób nie dowodzą tego, że w tym postępowaniu zmawiający w sposób nieprawidłowy, niezgodny z własnymi potrzebami określił wymagania w Części II SWZ Wymagania dotyczące parametrów technicznych Urządzeń „Rejestracja i udostępnianie zdarzeń bezpieczeństwa”. Podkreślić należy,
w ocenie Izby, że kwestia Procedury jest indywidualnym odniesieniem każdego podmiotu obowiązanego do stosowania zasad bezpieczeństwa systemów informacyjnych. Izba podkreśla również wskazaną przez zamawiającego argumentację z odwołaniem się
do stosowania u zamawiającego, zgodnie z ustawą o KSC Narodowych Standardów Cyberbezpieczeństwa, a które stanowią zbiór rekomendacji standaryzujących rozwiązania zabezpieczające w sieciach i systemach informacyjnych. Zamawiający wyjaśnił, że korzysta z opracowania pn. „NSC 800-53, Zabezpieczenia i ochrona prywatności systemów informacyjnych oraz organizacji”, w tym Rozdział trzeci – zabezpieczenia
w kategorii si – integralność systemu i informacji, pkt SI-4 Monitorowanie systemu,
co stanowiło dla zamawiającego bazę do przygotowania wymagań zawartych w SWZ. W tym zakresie odwołujący nie poczynił żadnej argumentacji, chociaż dostęp do tego dokumentu nie jest w żaden sposób reglamentowany, więcej został stosowny wyciąg załączony
do pisma zamawiającego.
Izba uznaje również za bezprzedmiotowy dla rozpoznania zarzutu odwołania dowód nr 5.
W ocenie Izby korespondencja jaka została przedstawiona w ramach tego dowodu nie stanowi żadnej wytycznej dla obowiązku kształtowania przez zamawiającego opisu przedmiotu zamówienia. Z korespondencji tej wynika, że informacje pozyskane w procesie RFI „posłużą zamawiającemu w oszacowaniu kosztów ewentualnego przeprowadzenia postępowania oraz weryfikacji rynku potencjalnych wykonawców” przy wskazanych założeniach. Przy czym jednoznacznie również było wskazane, że informacje przedstawiane przez podmioty są „wstępną, niewiążącą informacją”. W ocenie Izby z dokumentu tego wynika tyle, że zamawiający skorzystał z biznesowych rozwiązań charakterystycznych
na ryku ale nie znajdujących swojego uzasadnienia w ramach prowadzonego postępowania o zamówienie. Podkreślenia wymaga, że wymiana informacji odbywała się w marcu 2023 roku, natomiast postępowanie o zamówienie, którego postanowienia podlegają ocenie
w ramach zarzutów odwołania zostało ogłoszone 14 marca 2025 roku. Powyższe korespondencja dowodzi jedynie tego, że w tamtym czasie, czyli w roku 2023 zostały pozyskane przez zmawiającego określone informacje od podmiotów, do których kierował zapytanie, w odniesieniu do wyceny leasingu urządzeń wielofunkcyjnych. Nie ma powyższe żadnego wpływu na opis wymagań zamawiającego w ramach prowadzonego postępowania. W zakresie szacowania wartości zamówienia nie były podnoszone zarzuty.
W odniesieniu do dowodu nr 6 Izba wskazuje, że oświadczenie to zapewnia odwołującemu prawo reprezentacji producenta oraz składania oświadczeń dotyczących kwestii technicznych produktów Konica Minolta. Jednakże w zakresie opisanego przez zamawiającego przedmiotu zamówienia z uwzględnieniem Procedury oraz przewidzianych zasad bezpieczeństwa systemów informacyjnych oświadczenie to staje się bezprzedmiotowe. Odwołujący nie wykazał bowiem, że wymagania zamawiającego
co do wymagania w zakresie Urządzeń - w Części II SWZ Wymagania dotyczące parametrów technicznych Urządzeń „Rejestracja i udostępnianie zdarzeń bezpieczeństwa” są nadmiarowe w odniesieniu do obowiązującej zamawiającego regulacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Zamawiający wyjaśniał w trakcie rozprawy wielokrotnie, że kluczowym jest odniesienie regulacji zawartych w Procedurze. Podkreślał również, że zgodnie
z SWZ Systemu wydruku nie uwzględnia urządzeń. Tym samym urządzenia zostały opisane osobno i osobne są dla nich wymagania.
W ocenie Izby zamawiający potwierdził uzasadnione potrzeby ukształtowanych wymagań
co do Części II SWZ Wymagania dotyczące parametrów technicznych Urządzeń „Rejestracja i udostępnianie zdarzeń bezpieczeństwa”, a wynikające z obowiązujących zamawiającego standardów i Procedury, oraz przygotowanej z uwzględnieniem wymagań
co do bezpieczeństwa systemów informacyjnych SWZ. Zamawiający nieprzerwanie podnosił,
że opis jaki zawarł w SWZ stanowi implementację postanowień Procedury obowiązującej
u zmawiającego w zakresie dotyczącym obowiązku monitorowania każdego z komponentów nowopowstałego systemu i stosowania podstawowych scenariuszy monitorowania bezpieczeństwa „Systemów Informacyjnych PSE”.
Ugruntowanym w orzecznictwie jest stanowisko, że: „zakaz opisywania przedmiotu zamówienia w sposób, który mógłby utrudniać uczciwą konkurencję, nie oznacza konieczności nabycia przez zamawiającego dostaw, usług czy robót budowlanych nieodpowiadających jego potrzebom, zarówno co do jakości, funkcjonalności, jak
i wymaganych parametrów technicznych. Oznacza jedynie, że zamawiający powinien dopuścić konkurencję między wykonawcami mogącymi spełnić postawione wymogi
w odniesieniu do przedmiotu zamówienia bez ograniczania dostępu do niego” (wyrok z dnia 15 listopada 2011 r. sygn. akt ). „Prawie nigdy nie jest bowiem możliwe określenie znaczenia warunków udziału w postępowaniu czy opisanie przedmiotu zamówienia, który w ten czy inny sposób nie uniemożliwia części wykonawców w ogóle złożenia oferty, a niektórych stawia w uprzywilejowanej pozycji” (tak wyrok z dnia 24 czerwca 2010 r. sygn. akt ; wyrok z dnia 20 czerwca 2013 r. sygn.. akt ; wyrok z dnia 21 listopada 2024 roku sygn. akt 4038/24). Przy czym należy podkreślić, że odwołujący, na którym ciąży obowiązek udowodnienia swoich twierdzeń, nie podołał w tym postępowaniu wykazaniu, że oczekiwania zamawiającego, nie stanowią uzasadnionej potrzeby zamawiającego. Izba w pełni podziela stanowisko wyrażone
w wyroku z dnia 10 sierpnia 2022 roku sygn. akt , gdzie podano, że: „Pomimo konieczności zachowania uczciwej konkurencji zamawiający ma prawo tak opisać przedmiot zamówienia aby uwzględnione zostały jego rzeczywiste potrzeby. To zamawiający jest bowiem gospodarzem postępowania o udzielenie zamówienia. To zamawiający wie jaki cel chce osiągnąć i charakteryzuje go, przygotowując opis przedmiotu zamówienia. Celem tak przygotowanego opisu przedmiotu zamówienia jest umożliwienie zaspokojenia potrzeb zamawiającego w warunkach konkurencji, nie zaś umożliwienie wzięcia udziału
w postępowaniu wszystkim wykonawcom działającym w danej branży".
Mając na uwadze powyższe Izba nie stwierdziła naruszenia przez zamawiającego podnoszonych z zarzucie odwołania przepisów, jak również nie stwierdziła, że przedmiot zamówienia został opisany w sposób nieproporcjonalny, naruszający zasady uczciwej konkurencji i równego traktowania wykonawców. W ocenie Izby odwołujący również
nie wykazał, że opis przedmiotu zamówienia jest niejednoznaczny i nie wskazał
na te okoliczności, które o niejednoznaczności opisu przedmiotu zamówienia by świadczyły. Izba uznała, że zgodnie ze stanowiskiem zamawiającego wykazał on, że przedmiot zamówienia znajduje odzwierciedlenie w uzasadnionych potrzebach zamawiającego oraz nie stwierdziła Izba naruszenia zasady efektywności. Podkreślić należy, że zarzut odwołania podnoszony był przez odwołującego z pominięciem treści Procedury, o którą nie zwrócił się odwołujący mając do tego prawo na podstawie SWZ.
Koszty:
Izba oddaliła odwołanie.
Zgodnie z art. 557 ustawy z 2019 r., w wyroku oraz w postanowieniu kończącym postępowanie odwoławcze Izba rozstrzyga o kosztach postępowania odwoławczego.
O kosztach postępowania odwoławczego orzeczono na podstawie art. 557 ustawy
z 11 września 2019 r. Prawo zamówień publicznych oraz w oparciu o przepisy § 5 pkt 1 pkt 2 lit. b oraz § 8 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 30 grudnia 2020 r.
w sprawie szczegółowych rodzajów kosztów postępowania odwoławczego, ich rozliczania oraz wysokości i sposobu pobierania wpisu od odwołania (Dz. U. z 2020 r. poz. 2437).
Wobec powyższego orzeczono jak w sentencji wyroku.
Przewodnicząca: ……………………………………….
Otrzymuj raz w tygodniu aktualne informacje
o zmianach w prawie oraz komentarzach ekspertów
Otrzymasz darmowy e-book w prezencie!
„Podpis zaufany i podpis osobisty – najważniejsze informacje o podpisach elektronicznych w PZP"