VYSVĚTLENÍ ZADÁVACÍ DOKUMENTACE Č. 6
VYSVĚTLENÍ ZADÁVACÍ DOKUMENTACE Č. 6
Název veřejné zakázky: | |
Evidenční číslo VZ: | Z2022-009511 |
Druh zadávacího řízení: | Otevřené řízení dle § 56 zákona č. 134/2016 Sb., o zadávání veřejných zakázek („ZZVZ“) |
Zadavatel: Sídlem: Zastoupený: IČO: | Česká republika – Ministerstvo zemědělství Těšnov 65/17, 110 00 Praha 1 – Nové Město Xxx. Xxxxxxxx Xxxxx, ředitel Odboru informačních a komunikačních technologií 00020478 |
Česká republika – Ministerstvo zemědělství jako zadavatel výše uvedené veřejné zakázky obdržel dne
25. 4. 2022 žádost o vysvětlení zadávací dokumentace. Níže uvádíme její úplné znění společně s odpovědí zadavatele.
Otázka č. 1
Ad Zadávací dokumentace, Příloha č. 1 – Závazný text návrhu smlouvy Zadavatel v rámci odst. 14.3 definuje smluvní ustanovení:
„V případě, že by došlo na základě rozvoje ICT infrastruktury a aplikací Objednatele ke změnám nebo úpravám systémů, které jsou předmětem Služeb, oproti jejich stavu v době uzavření této Smlouvy, nebo ke změnám nebo úpravám systémů, které mají dopad i na systémy, které jsou předmětem Služeb, nebudou takovéto úpravy a změny považovány za změnu Služeb dle odst. 17.2 ani změnu Smlouvy dle odst. 30.1 Smlouvy, za předpokladu, že v důsledku změny infrastruktury a aplikací Objednatele nedojde
ke změně požadovaných činností, kvality Služeb ani k navýšení či snížení limitu objemu služby, jak je tento pojem definován v KL a v příloze č. 6, přičemž Poskytovatel bude poskytovat Služby vždy ve vztahu k předmětné upravené infrastruktuře Objednatele.“
Uchazeč žádá Xxxxxxxxxx o vysvětlení, kde je skutečná hranice uváděných změn či úprav systémů, které jsou předmětem Služeb, příp. systémů, které mají dopad i na systémy, které jsou předmětem Služeb, a jak tyto situace tedy předpokládá v rámci této zakázky řešit. Uchazeči se jedná např. o typické změny v hardwaru ICT infrastruktury, rozšíření o další systémy, moduly či aplikace v SAP perimetru, úpravy rozhraní se SZIF apod.
Odpověď zadavatele
Hranice pro využití článku 17.2. smlouvy nastane v případě, že dojde na základě rozvoje ICT infrastruktury a aplikací Objednatele ke změnám nebo úpravám systémů, které jsou předmětem Služeb, oproti jejich stavu v době uzavření této Smlouvy, nebo ke změnám nebo úpravám systémů, které mají dopad i na systémy, které jsou předmětem Služeb a výše popsané změny mají vliv na dostupnost systému SAP (SLA) nebo rozšiřují/snižují objem/kvalitu služeb popsaných v rámci KL a přílohy č. 6. návrhu smlouvy.
Otázka č. 2
Ad Zadávací dokumentace, Příloha č. 1 – Závazný text návrhu smlouvy
Zadavatel v rámci odst. 13.1 definuje smluvní ustanovení:
„Poskytovatel poskytuje k výsledkům poskytovaného plnění, které podléhá akceptaci dle této Smlouvy, záruku za jakost v trvání 24 měsíců ode dne akceptace výsledku plnění. V rámci záruky za jakost dle tohoto odstavce odpovídá Poskytovatel za to, že výsledky poskytovaného plnění budou plně funkční a způsobilé pro použití ke smluvenému účelu, budou odpovídat sjednané funkční a technické specifikaci a parametrům uvedeným v této Smlouvě a budou bez jakýchkoliv vad. Záruka se vztahuje na všechny části výsledků poskytovaného plnění, včetně jeho součástí a příslušenství, stejně jako na produkty třetích stran, které tvoří součást výstupů Služeb. Neoznámení vady bez zbytečného odkladu nemá vliv na uplatnitelnost nároku Objednatele z odpovědnosti Poskytovatele za tyto vady, pokud vady byly oznámeny alespoň před koncem záruční doby.“
Z pohledu Uchazeče není bezpochybně jasné, na jaké výsledky poskytovaného plnění, které podléhají akceptaci, se záruka vztahuje a žádá Xxxxxxxxxx o vysvětlení:
− zda se tento odstavec uplatní jak pro ad hoc služby (v kontextu odst. 18 smlouvy), tak pro paušální služby (v kontextu odst. 11.1 smlouvy),
− zda obdobné podmínky platí i pro stávajícího dodavatele v kontextu výsledků poskytovaného plnění, které podléhá akceptaci, a v případě, že budou zjištěny vady v jim dodávaných plněních, provede jejich odstranění v rámci podmínek záruky daných smlouvou mezi Zadavatelem a stávajícím dodavatelem.
Odpověď zadavatele
Článek 13.1. se vztahuje na akceptované výstupy tedy jak paušální dle článku 11.1., tak i ad-hoc plnění dle článku 18. Tyto podmínky platí i pro stávajícího poskytovatele a případné vady zjištěné na předaném plnění lze uplatnit záruka do 24 měsíců od jeho protokolárního předání. Tedy tyto vady jsou na vrub toho, kdo je realizoval, ledaže by dle této nové smlouvy byla změněna funkčnost původního prostředí SAP. Se stávajícím dodavatelem je záruka řešena obdobným způsobem.
Otázka č. 3
Ad Zadávací dokumentace, Příloha č. 1 – Závazný text návrhu smlouvy Zadavatel v rámci odst. 24.4 definuje smluvní ustanovení:
„V případě, že dojde k uzavření nové smlouvy týkající se Služeb nebo jakékoli jejich části s novým poskytovatelem, zavazuje se Poskytovatel po dobu Inicializace služeb podle smlouvy s novým poskytovatelem a dále po skončení účinnosti této Smlouvy poskytovat Objednateli nebo jím určeným třetím stranám veškerou součinnost potřebnou pro účely plynulého a řádného předání a poskytování služeb obdobných Službám či jejich příslušné části novým poskytovatelem, pokud bude naplnění tohoto cíle záviset na znalostech Poskytovatele získaných na základě plnění této Smlouvy. Pro vyloučení pochybností se uvádí, že Poskytovatel je v rámci součinnosti dle tohoto odstavce Xxxxxxx povinen zabezpečit osobní účast příslušných členů realizačního týmu na jednáních s Objednatelem či jím určenými třetími stranami, přičemž tato forma součinnosti může být ze strany Objednatele požadována do uplynutí 6. kalendářního měsíce po měsíci, ve kterém tato Smlouva zanikla. Po uplynutí lhůty dle předchozí věty tohoto odstavce bude součinnost zabezpečována formou emailové či telefonické konzultace po dobu dalších 6 kalendářních měsíců. Poskytovatel se zavazuje tuto součinnost poskytovat s odbornou péčí, bez zbytečného odkladu a zodpovědně. Poskytovatel se zavazuje reagovat na požadavek Objednatele nebo jím určené třetí strany a zahájit poskytování součinnosti dle tohoto odstavce Smlouvy nejpozději do 3 pracovních dnů ode dne doručení takovéhoto požadavku. Smluvní strany se dohodly, že cena za plnění dle tohoto odstavce je součástí ceny za poskytování Paušálních služeb dle této Smlouvy.“
Z pohledu Uchazeče se promítnutí ceny za plnění dle tohoto odstavce tak, aby bylo součástí ceny za poskytování Paušálních služeb dle této Smlouvy, jeví značně netransparentní a žádá Zadavatele o přehodnocení tohoto požadavku tak, aby byl nediskriminační, jednoznačně odhadnutelný,
zohlednitelný v cenových rámcích a současně jednoznačně porovnatelný, příp. aby byl definován limit v počtu člověkodnů, které budou na součinnostní aktivity alokovány.
Odpověď zadavatele
Zadavatel považuje požadavek na součinnost za opodstatněný pro nezbytný exit-plán/přechod na nového poskytovatele a formu nacenění cestou paušálních služeb považuje za adekvátní. Touto povinností k poskytnutí součinnosti je vázán vždy poskytovatel, který službu bude poskytovat dle návrhu smlouvy pro VZ „Zajištění provozu a rozvoje systému SAP – 2022+“ a její případné nedodržení je sankcionováno dle článku 26.8. Předpokládaný rozsah poskytnuté součinnosti za období 6 měsíců po skončení platnosti smlouvy cca 24 MD a v dalších 6-ti měsících cca 12 MD.
Otázka č. 4
Ad Zadávací dokumentace, Příloha č. 1 – Závazný text návrhu smlouvy, Příloha č. 2 – Obecné parametry Služeb
Zadavatel v rámci odst. 6.4 definuje obecné požadavky na předávání a zacházení se zdrojovými kódy. Uchazeč žádá Zadavatele o vysvětlení, jak jsou tyto aktivity nyní zajištěny v kontextu zdrojových kódů v perimetru SAP aplikací.
Odpověď zadavatele
Zdrojové kódy k portálové části (uživatelské GUI) jsou předávány na Git lab MZe a zdrojové kódy od jednotlivých modulů R3x jsou umístěny přímo v aplikaci SAP.
Otázka č. 5
Ad Zadávací dokumentace, Dokumentace k systémům / Dokument „Architektura ERP-SAP na MZe.pdf“
Zadavatel v rámci dokumentu uvádí v kap. 1.3.1 systém SAP ATC (ABAP Test Cockpit). Uchazeči není v kontextu informací v této kapitole a předmětu této veřejné zakázky zcela jasný účel této komponenty a žádá Zadavatele o bližší vysvětlení, aby byly správně pochopeny jak účel, tak funkcionalita.
Odpověď zadavatele
Systém ATC slouží ke sběru statistických dat o objektech ABAP ve vztahu k migraci na technologii XXXX.
Zadavatel dále uvádí, že vzhledem k obecnému způsobu odpovědi (prezentované informace nejsou citlivého charakteru), považuje zadavatel za vhodné tyto údaje týkající se neveřejné části dokumentace uveřejnit všem včetně veřejnosti.
Otázka č. 6
Ad Zadávací dokumentace, Interní dokumentace / HelpDesk / Dokument „Spoluprace_HDMZe.pdf“ Zadavatel v rámci dokumentu uvádí v kap. 1.3:
„Do doby implementace nového HelpDeskového nástroje MZe nebo upgradu stávajícího nástroje (HP Service Manager v. 9.3) probíhá předaní požadavků a veškera komunikace prostřednictvím e-mailů.“
S ohledem na neaktuální datumy v záhlaví dokumentu, příp. jeho metadatech, žádá Xxxxxxx Zadavatele o potvrzení, zda tento stav i po více než 3 letech stále přetrvává, příp. pokud nikoliv o sdělení aktuálně platného stavu a poskytnutí informací o aktualizovaném způsobu využití aplikací typu helpdesk či service desk v kontextu předmětu této veřejné zakázky.
Odpověď zadavatele
Text obsažený v dokumentu „Spoluprace_HDMZe.pdf“ je stále aktuální. Zadavatel neimplementoval plánované komplexní řešení helpdeskového nástroje. Aktuálně jsou hlášení o závadách/výpadcích/požadavcích evidovány zadavatelem ve stávajícím HD nástroji Service Manager a na dodavatele se zasílají emailovou cestou z adresy xxxxxxxx@xxx.xx
Zadavatel dále uvádí, že vzhledem k obecnému způsobu odpovědi (prezentované informace nejsou citlivého charakteru), považuje zadavatel za vhodné tyto údaje týkající se neveřejné části dokumentace uveřejnit všem včetně veřejnosti.
Otázka č. 7
Ad Zadávací dokumentace, Příloha č. 1 – Závazný text návrhu smlouvy – Specifikace služeb – Katalogové listy – ID „SAP-001“
Zadavatel v bodu a) definice služby a požadovaných činností uvádí:
„zajištění dostupnosti a dodržení SLA parametrů provozu a správy Systému (včetně souvisejícího dodržování prahových hodnot monitorovaných SLA parametrů) pro jednotlivá prostředí“.
Uchazeč žádá Zadavatele o vysvětlení, jak bude posuzováno, zda se jedná o chyby plynoucí z nekorektně nastavených parametrů (a tedy v zodpovědnosti Uchazeče) a nebo o problém s HW, který je majetkem Zadavatele?
Odpověď zadavatele
Každá chyba nebo nedostupnost je předmětem individuálního posouzení v rámci měsíčního výkazu dostupnosti SAP (SLA). Infrastrukturní výpadky platformy SAP eviduje zadavatel a od 01/2021 do 01/2022 nebyl zaznamenán výpadek, který by měl vliv na SLA SAP.
Otázka č. 8
Ad Zadávací dokumentace, Příloha č. 1 – Závazný text návrhu smlouvy – Specifikace služeb – Katalogové listy – ID „SAP-001“
Zadavatel v bodu d.1.7) definice služby a požadovaných činností uvádí:
„Zajištění dostupnosti prostřednictvím integrací na ostatní systémy MZe (např. AgriBus, ABO-K)“.
Uchazeč žádá Zadavatele o potvrzení, zda chápe správně, že se jedná o rozhraní, jejichž výčet je uveden v dokumentu „Architektura ERP-SAP na MZe.pdf“, kapitola 5 Seznam rozhraní na externí systémy.
Odpověď zadavatele
Zadavatel požaduje podporu rozhraní dle přílohy KL SAP 001, blíže specifikovaných v neveřejné příloze
„Architektura ERP-SAP na MZe.pdf“ v kapitole č.5.
Zadavatel dále uvádí, že vzhledem k obecnému způsobu odpovědi (prezentované informace nejsou citlivého charakteru), považuje zadavatel za vhodné tyto údaje týkající se neveřejné části dokumentace uveřejnit všem včetně veřejnosti.
Otázka č. 9
Ad Zadávací dokumentace, Příloha č. 1 – Závazný text návrhu smlouvy – Specifikace služeb – Katalogové listy – ID „SAP-001“
Zadavatel v bodu d.1.13) definice služby a požadovaných činností uvádí:
„Přenos kopie produkčního prostředí do prostředí pro testování a vývoj (na půlroční bázi v rozsahu 10 MD/kopie).“
Uchazeč žádá Xxxxxxxxxx o vysvětlení, jakým způsobem je zabezpečena anonymizace dat.
Odpověď zadavatele
Data nejsou anonymizována, jelikož na testovacím prostředí pracují klíčoví uživatelé SAP, kteří potřebují testovat nové úpravy s reálnými daty a mají přistup i k produkcím (originálním datům).
Otázka č. 10
Ad Zadávací dokumentace, Příloha č. 1 – Závazný text návrhu smlouvy – Specifikace služeb – Katalogové listy – ID „SAP-001“
Zadavatel v bodu d.1.17) definice služby a požadovaných činností uvádí:
„Vytváření, aktualizace, ověřování a testování plánů obnovy na vyžádání.“
Uchazeč s ohledem na nezbytnost reálného odhadu a nacenění žádá Zadavatele o upřesnění četnosti změn těchto plánů, např. za kalendářní rok.
Odpověď zadavatele
Plán obnovy je aktualizován maximálně 1x za rok.
Otázka č. 11
Ad Zadávací dokumentace, Příloha č. 1 – Závazný text návrhu smlouvy – Specifikace služeb – Katalogové listy – ID „SAP-001“
Zadavatel v bodu d.1.18) definice služby a požadovaných činností uvádí:
„Testování funkčnosti obnovy ze zálohy (na měsíční bázi).“
Uchazeč žádá Zadavatele o potvrzení, že skutečně trvá na tom, že každý měsíc bude prováděn test obnovy. Pokud ano, pro jaké produktivní systémy Zadavatele (R3P, BWP, EIP, SOP)?
Uchazeč v této souvislosti rovněž upozorňuje na pravděpodobně nekonzistentní text uvedený v Příloze č. 2 – Obecné parametry služeb, odst. 8, kde Xxxxxxxxx mimo jiné uvádí „Poskytovatel testuje účinnost a úplnost tohoto plánu minimálně jednou za 12 měsíců, nedohodnou-li se smluvní strany jinak“.
Odpověď zadavatele
Bod d.1.18. KL SAP-001 dává zadavateli možnost realizace (cestou poskytovatele) testování obnovy záloh na měsíční bázi. Zároveň je k tomuto v příloze č.2 uvedeno, že komplexní otestovaní procesu
„Disaster Recovery“ planu se realizuje minimálně jednou za 12 měsíců.
Zálohovány jsou tedy veškeré moduly dle přílohy č.5 zadávací dokumentace Landscape (R3P, EIP, BWP, SOP)/PROD a zadavatel požaduje realizovat tento test v souladu s KL SAP-001 1x měsíčně.
Otázka č. 12
Ad Zadávací dokumentace, Příloha č. 1 – Závazný text návrhu smlouvy – Specifikace služeb – Katalogové listy – ID „SAP-001“, bod d.3
Zadavatel v bodu d.3) definice služby a požadovaných činností uvádí:
„Přímá uživatelská podpora garantů a zaměstnanců MZe v rozsahu 40 MD měsíčně (Konzultace, zpracování CK (cílového konceptu) dodavatelem vč. případného nacenění).“
Uchazeč žádá Zadavatele o potvrzení, zda chápe správně, že se v podstatě jedná o vymezení MD, které je třeba alokovat na helpdeskovou podporu klíčových uživatelů MZe? V jiném souboru zadávací dokumentace („incidenty SAP_12_mesicu.xlsx“) Zadavatel uvádí počty incidentů, kterých je dle Uchazeče a jeho zkušeností z obdobně rozsáhlých systémů zdánlivě menší počet. Pokud existuje evidence helpdeskových požadavků, žádá Uchazeč Zadavatele o zveřejnění jejich počtů po modulech/systémech, aby Uchazeč mohl lépe provést alokaci příslušných nákladů.
Odpověď zadavatele
Zadavatel uvádí, že se jedná o přímou podporu garantů poskytovanou členy realizačního týmu, kteří jsou schopní se operativně zúčastnit on-site/ (online na vyžádání) jednání, a to nejen s pracovníky MZe, garanty či metodiky oddělení ekonomického informačního systému, ale i při spolupráci s třetími stranami, a to v případě čerpání paušálních služeb, ale i ad-hoc služeb. Výkaz činností pro přímou
uživatelskou podporu existuje, ale Zadavatel ho anonymizoval (u jmen konzultantů a uživatelů MZe) a žlutě označil činnosti, které byly v uvedeném období poskytnuty on-site. Uvedený výkaz je za období 06/2021 jako samostatná příloha DI č. 6
Otázka č. 13
Zadavatel v odst. 18.4 závazného návrhu smlouvy na zajištění provozu a rozvoje systému SAP – 2022+ (dále jen „závazný návrh smlouvy“) uvádí, že akceptuje-li zadavatel jakékoliv plnění bez výhrad, nebude tím dotčeno jeho právo na přiznání práv z případných vad takovéhoto plnění, i pokud je bez zbytečného odkladu nenahlásil. Dodavatel vnímá odst. 18.4 závazného návrhu smlouvy jako dispozitivní úpravu § 2112 odst. 1 zákona č. 89/2012 Sb., občanský zákoník. Odstranění povinnosti notifikace vady má své opodstatnění u jednorázového plnění, kdy výsledkem je hmotná věc. Ovšem v daném případě může nastat situace, kdy zadavatel včas (bez zbytečného odkladu) neoznámí vadu plnění, a neoznámením vady může dojít k vadám dalším, a případně pak i ke vzniku škody, za kterou by byl zcela nespravedlivě dle dikce smlouvy odpovědný dodavatel. Taková situace vrhá dodavatele do značné právní nejistoty. Upraví zadavatel odst. 18.4 závazného návrhu smlouvy tak, aby bylo bez jakýchkoliv pochybností zřejmé, že výše uvedená situace nemůže nastat?
Odpověď zadavatele
Vzhledem ke složitosti systémů je možné v některých případech zjistit vadu až později, tj. i po akceptaci bez výhrad, přičemž je odpovědností Poskytovatele poskytovat zadavateli takové plnění, které je bez vad, přičemž v případě zjištění vad plnění musí nést odpovědnost s tím spojenou. Zadavatel jednající s péčí řádného hospodáře proto ponechává ustanovení odst. 18.4 v původním znění.
Otázka č. 14
Zadavatel v závazném návrhu smlouvy věnuje článek 15. kybernetické bezpečnosti. Dodavatel žádá o vysvětlení následujících nejasností.
Zadavatel požaduje, aby dodavatel dodržoval zásady bezpečnosti informací v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZKB“), a vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VKB“). Bezpečností informací se v souladu se ZKB rozumí zajištění důvěrnosti, integrity a dostupnosti informací, které budou uchovávány, vytvářeny nebo zpracovávány
v rámci plnění dodavatele nebo v systémech, které mají vazbu na plnění dodavatele a v souvislosti s kterými zadavateli vznikají právní povinnosti na základě ZKB (§ 3 tohoto zákona).
Ohledně ZKB a VKB dodavatel namítá, že se nejedná o právní normy obsahující konkrétní zásady, u kterých lze bez dalšího konstatovat, že je dodavatel (resp.) zadavatel dodržuje anebo nedodržuje. Zadavatel je povinen zohlednit požadavky vyplývající ze zavedených bezpečnostních opatření při výběru dodavatele pro jeho informační systém, a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavře. Dodavatel se tedy nemůže zavázat dodržovat zásady bezpečnosti informací dle ZKB a VKB, jelikož tyto normy žádné konkrétní zásady neupravují. Dodavatel tedy žádá zadavatele, aby učinil součástí zadávací dokumentace konkrétní zásady, nebo čl. 15 závazného návrhu smlouvy upravil.
Dále se dle čl. 15 závazného návrhu smlouvy má dodavatel zavázat poskytnout zadavateli veškerou součinnost nezbytnou k tomu, aby zadavatel řádně naplňoval právní povinnosti stanovené ZKB, VKB, vyhláškou č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, ve znění pozdějších předpisů. Tato vyhláška neobsahuje žádné právní povinnosti, které by měl zadavatel (natož dodavatel) naplňovat.
Zejména se dodavatel má zavázat poskytnout zadavateli součinnost směřující k zavedení a provádění bezpečnostních opatření podle uvedených právních předpisů. Pojem „veškerá nezbytná součinnost“ je příliš extenzivní v situaci, kdy konkrétní povinnosti dané ZKB a VKB zřejmě nezná ani sám zadavatel. Povinnosti a opatření podle z právních předpisů nelze vyčíst, jelikož se liší podle toho, v jaké roli podle ZKB se dodavatel a zadavatel nacházejí. Opatření se liší podle povahy informačního nebo komunikačního systému a neexistuji tak žádná univerzální opatření a povinnosti platná pro všechny role ZKB a pro všechny informační nebo komunikační systémy.
Podle § 4 odst. 4 ZKB platí, že orgány a osoby uvedené v § 3 jsou povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Správce systému, tedy ten, kdo určuje jeho účel a podmínky jeho provozování, je v postavení toho, kdo má mít všechny informace o tom, jaká konkrétní bezpečnostní opatření mají být ve vztahu k systému ze strany provozovatele systému zavedena, neboť pouze správce systému má dostatek informací k tomu, aby mohl bezpečnostní požadavky definovat, a vždy nese odpovědnost za jejich realizaci (cit.
„PROVOZOVATEL INFORMAČNÍHO NEBO KOMUNIKAČNÍHO SYSTÉMU podle § 2 písm. g) zákona o
kybernetické bezpečnosti, Verze 3.1, xxx.xxxxx.xx).
Pokud zadavatel nestanoví konkrétní bezpečnostní opatření, pak porušuje ustanovení § 36 odst. 3 věta první zákona č. 134/2016 Sb., o zadávání veřejných zakázek, v platném znění (dále jen „ZZVZ“), jelikož nestanovil zadávací podmínky veřejné zakázky v podrobnostech nezbytných pro účast dodavatele v zadávacím řízení. Jednotlivé dodavatelé mohou dojít k odlišným závěrům a definovat požadovanou součinnost v různém rozsahu, a zadavatel tak obdrží vzájemně neporovnatelné nabídky. Jelikož zadavatel jako povinná osoba nestanovil konkrétní opatření, pak porušuje ustanovení § 36 odst. 3 věta druhá, jelikož přenáší odpovědnost za správnost a úplnost zadávacích podmínek na dodavatele.
Pokud zadavatel jako povinná osoba nestanovil konkrétní opatření, a bude v průběhu plnění veřejné zakázky požadovat po dodavatele zdarma další plnění s odkazem na odst. 15, pak zadavatel porušuje ustanovení § 36 odst. 3 věta druhá, jelikož přenáší odpovědnost za správnost a úplnost zadávacích podmínek na dodavatele.
Na základě výše uvedeného žádá dodavatel, aby zadavatel specifikoval systém, kterého se určení významným dodavatelem týká a dále aby specifikoval konkrétní bezpečností opatření a zakalkuloval cenu za jejich naplňování do předpokládané hodnoty veřejné zakázky (kupř. vyhrazenou změnou závazku ve smyslu § 100 ZZVZ), nebo aby podal další vysvětlení zadávací dokumentace, kde by ze závazného návrhu smlouvy odstranil povinnosti uvedené v čl. 15.
Odpověď zadavatele
Zadavatel chápe, že ZKB a VKB obsahuje převážně obecné zásady, zároveň však uvádí, že obsahuje i konkrétní požadavky kybernetické bezpečnosti. Příkladem může být §19 VKB odstavec (5). Dále Zadavatel uvádí, že pojem „dodržovat zásady bezpečnosti informací v souladu se zákonem č. 181/2014 Sb.“ mají za cíl dosáhnout chování Dodavatele dle nejlepší praxe v oblasti kybernetické bezpečnosti, právě však v souladu s povinnými závazky dle ZKB a VKB, které na Zadavatele dopadají. Může se tedy jednat o spolupráci při kybernetických bezpečnostních incidentech, zachování fyzické bezpečnosti, poskytování součinnosti při auditu a v případě požadavků na provoz a rozvoj systému takovým způsobem ze strany Dodavatele, které neodporují, ale naopak naplňují požadavky ZKB a VKB. Cílem Zadavatele tedy není v rámci této VZ nadstandartní požadavek na zajištění kybernetické bezpečnosti mimo předmět smlouvy a mimo požadavky související s předmětem smlouvy, ale v souladu s jejím plněním. Nad to Zadavatel uvádí, že součástí zadávací dokumentace je v příloze č. 3 (Přehled dokumentace) Interní dokumentace, která uvádí zcela konkrétní požadavky z oblasti kybernetické bezpečnosti sepsané ve směrnicích, metodických pokynech, standardech apod. Další konkrétní požadavky z oblasti provozní bezpečnosti např. na činnosti spojené s profylaxí, udržování aktuálního SW, kontrola logů, návrh a provádění opatření vyplývajících z monitoringu a profylaktických činností, zálohování a obnova dat, návrh a implementace schválených nápravných opatření vycházejících z nálezů v rámci bezpečnostních incidentů, analýza vhodnosti a potřebnosti implementace dostupné aktualizace, jsou uvedeny u konkrétních katalogových listů v Příloze č. 1 (specifikace Služeb) Smlouvy. Nad to jsou konkrétní opatření a postupy vyžadovány v „Interní dokumentaci“ zadavatele, např:
Bezpečnost
a) SRBI Směrnice k řízení bezpečnosti informací MZe
b) SSRD ISMS Směrnice k systému řízení dokumentace ISMS MZe
c) SKRA Směrnice ke klasifikaci a řízení aktiv MZe
d) SBLZ Směrnice k bezpečnosti lidských zdrojů MZe
e) SFBBP Směrnice k fyzické bezpečnosti a bezpečnosti prostředí MZe
f) BIT Směrnice k řízení bezpečnosti informačních a komunikačních technologií MZe
g) SSI Směrnice ke správě incidentů MZe
h) SRK Směrnice pro řízení kontinuity činností
i) SZSBP Směrnice k zajištění shody s bezpečnostními požadavky MZe
j) SHR Směrnice pro hodnocení rizik kybernetické bezpečnosti
k) SBBP_Směrnice pro budování bezpečnostního povědomí
l) SPZD Slovník pojmů a zkratek MZe
m) VZ ISMS Vzory a záznamy MZe
n) ZSBIU Základní směrnice bezpečnosti informací pro uživatele
o) BPI Bezpečnostní politika informací MZe
p) SSB Standard systémové bezpečnosti
q) Správa a monitoring privilegovaných účtů – PIM - Uživatelská dokumentace
r) Metodický_pokyn_k_nastaveni_serverů_pro_PIM
s) Metodický pokyn k užívání přístupových serverů MZe
t) Standard k zajištění bezpečnostního monitoringu ICT-v2_0
u) Metodický_pokyn_k_nastaveni_serverů_pro_SIEM-v1
v) Metodický pokyn k předávání přístupových údajů
w) Minimální požadavky na kryptografické prostředky – aktuální
dokument: (xxxxx://xxx.xxxxx.xx/xxxxxxxx/xxxxxx_xxxxx/Xxxxxxxxxxxxxx_xxxxxxxxxx
_doporuceni_v1.0.pdf)
Ostatní metodiky a směrnice
a) Metodický pokyn k užívání přístupových serverů MZe
Zadavatel pro vyloučení pochybností uvádí, že vybraný Dodavatel bude provozovatelem a zároveň významným dodavatelem (systému SAP) podle § 2 písm. n) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti). Zadavatel proto povede dodavatele v evidenci významných dodavatelů v souladu s § 8 vyhlášky o kybernetické bezpečnosti.
Otázka č. 15
Zadavatel v odst. 19.9 závazného návrhu smlouvy stanovil, že poskytovatel se zavazuje nahradit Objednateli majetkovou újmu v plné výši. Dle názoru dodavatele je takový požadavek nepřiměřený. Nelze po dodavateli spravedlivě požadovat, aby nesl odpovědnost za případnou škodu v plné výši, kterou nelze dopředu odhadnout. Dle názoru dodavatele nemůže být výše škody v daném případě předvídatelná, a může být zcela nepřiměřená míře rizika, kterou je dodavatel ochoten na sebe převzít při plnění veřejné zakázky.
Požadavek na nijak nelimitovanou náhradu škody je zcela zjevně nepřiměřený hodnotě veřejné zakázky. Tím dochází k porušení zásady přiměřenosti uvedené v § 6 ZZVZ. Dodavatel nemůže dopředu výši škody předvídat a toto riziko musí promítat do nabídkové ceny.
Dodavatel se seznámil s odpovědí zadavatele na dotaz č. 1 uveřejněný v rámci vysvětlení zadávací dokumentace č. 5 ze 19. 4. 2022. Předně si dodavatel dovoluje upozornit zadavatele, že skutečnost, že ustanovení je zadavatelem ve smlouvách standardně užívané, nelze považovat za relevantní argument. Tazatel poměrně vyčerpávajícím způsobem vysvětluje zadavateli, proč je požadavek na neomezenou náhradu případné škody naopak v rozporu s jednáním s péčí řádného hospodáře. Zadavatel uvádí, že povinností zadavatele jednajícího s péčí řádného hospodáře je zajistit pokrytí eventuálních škod, jež by mu mohly vzniknout z porušení smluvního vztahu. Dodavatel tedy navrhuje zadavateli, aby stanovil maximální výši škody, která může vzniknout, a vytvořil limit podle svého vlastního uvážení, nikoliv podle návrhu dodavatele. Dodavatel upozorňuje zadavatele, že pokud nedokáže odhadnout výši škody zadavatel, tím méně jí může odhadnout dodavatel. V takovém případě by zadavatel v rámci soudního řízení náhradu škody beztak nevymohl (což by bylo v rozporu s jednáním s péčí řádného hospodáře). Důvodová zpráva k občanskému zákoníku totiž na str. 569 uvádí, že rozsah náhrady škody podmiňuje její předvídatelnost.
Dodavatel má tedy za to, že ke stanovení neomezené odpovědnosti za škodu neopravňují zadavatele ani charakter, hodnota a význam zajišťovaných povinností, ani vzájemný poměr hodnoty zajišťovaného závazku a výše škody. Dodavatel apriori nepředpokládá, že bude porušovat své povinnosti ze smlouvy, ovšem přesto má dodavatel za to, že je neomezená náhrada škody nepřiměřená. Dodavatel apeluje na zadavatele, aby ještě zvážil funkci náhrady škody při posuzování přiměřenosti výše náhrady škody a přihlédl k celkovým okolnostem úkonu, jeho pohnutkám a účelu, který byl zadavatelem sledován.
Odpověď zadavatele
V návaznosti na požadavek tazatele na limitaci výše náhrady škody zadavatel uvádí, že občanský zákoník, na jehož důvodovou zprávu se tazatel v otázce odvolává, stanoví v § 2913, že poruší-li strana povinnost ze smlouvy, nahradí škodu z toho vzniklou druhé straně nebo i osobě, jejímuž zájmu mělo splnění ujednané povinnosti zjevně sloužit. Zároveň občanský zákoník tamtéž jako omezující podmínku stanoví, že povinnosti k náhradě se škůdce zprostí, prokáže-li, že mu ve splnění povinnosti ze smlouvy dočasně nebo trvale zabránila mimořádná nepředvídatelná a nepřekonatelná překážka vzniklá nezávisle na jeho vůli. Předvídatelnost je tedy dle tohoto ustanovení pojmem relevantním ve vztahu k překážce bránící splnění povinnosti ze smlouvy, nikoli k předvídatelnosti samotné škody. Je též třeba zdůraznit, že v předmětném ustanovení odst. 19.9 Smlouvy jsou výslovně ošetřeny možné škody způsobené právními vadami plnění, zejména v situaci úspěšného uplatnění autorskoprávních nároků
3. osob., jehož důsledky mohou být pro zadavatele různých stupňů závažnosti, tedy i velmi závažných. Případné dopady na Poskytovatele z jeho eventuální odpovědnosti za újmu, resp. snížení míry jeho rizika při plnění veřejné zakázky, jsou ze značné části ošetřeny institutem povinného pojištění odpovědnosti Poskytovatele za újmu ve smyslu čl. 8. Smlouvy. Zadavatel je toho názoru, že předmětné ustanovení odst. 19.9 Smlouvy je v souladu se zákonem a s požadavky kladenými na zadavatele jako na subjekt, jenž musí jednat s péčí řádného hospodáře, a proto zadavatel ponechává z těchto důvodů dané ustanovení beze změny.
S ohledem na charakter vysvětlení zadávací dokumentace se zadavatel rozhodl prodloužit lhůtu pro podání nabídek. Nabídky je tak možné podat do 9. 5. 2022 do 11:00.
Seznam příloh: výkaz_06_2021
V Praze dne 28. 4. 2022
Ing. Xxxxxxxx
Digitálně podepsal Xxx. Xxxxxxxx Xxxxx
Velas
Datum: 2022.04.28
18:18:58 +02'00'
Česká republika – Ministerstvo zemědělství
Xxx. Xxxxxxxx Xxxxx
ředitel Odboru informačních a komunikačních technologií