SAKO Brno, a.s.

Zadavatel:

SAKO Brno, a.s.

se Xxxxxxxxxx 0000/0, Xxxxxxxx, 000 00 Xxxx

IČO: 60713470

Veřejná zakázka:

„Zajištění kybernetické bezpečnosti společnosti SAKO Brno, a.s.“

nadlimitní veřejná zakázka na služby zadávaná v jednacím řízení s uveřejněním podle ust. § 60 a násl. zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších

předpisů (dále jen „ZZVZ“)

VYSVĚTLENÍ, ZMĚNA NEBO DOPLNĚNÍ ZADÁVACÍ DOKUMENTACE

dle § 98 a 99 ZZVZ

Zadavatel ve věci veřejné zakázky obdržel žádost dodavatele o vysvětlení, změnu nebo doplnění zadávací dokumentace, popřípadě poskytuje vysvětlení, změnu nebo doplnění zadávací dokumentace z vlastního podnětu.

Zadavatel vysvětlení, změnu nebo doplnění zadávací dokumentace uveřejnil včetně přesného znění žádosti na profilu zadavatele.

Vysvětlení zadávací dokumentace č. 1 ze dne 28. 3. 2024

Žádost č. 1 ze dne 22. 3. 2024:

Zadavatel si v čl. 7 kvalifikační dokumentace vyhrazuje možnost provést snížení počtu účastníků, přičemž kritériem pro snížení počtu účastníků je kvalifikace členů realizačního týmu.

a) Přidělí zadavatel podle čl. 7 KD body i za certifikace, které jsou požadovány v čl. 4.4. b) KD, nebo jen za certifikace, které jsou nad rámec prokazované technické kvalifikace?

b) Přidělí zadavatel podle čl. 7 KD body za certifikace na různé technologie, kterými disponuje jedna osoba, kterou účastník prokazuje technickou kvalifikaci?

c) Rozumí účastník správně, že podle čl. 7 KD bude hodnoceno právě šest členů týmu, kterými podle čl. 4.4. b) prokáže technickou kvalifikaci, a že účastník nemůže přidat k těmto šesti členům týmu další osoby (více osob na jednu roli plnící kvalifikační požadavky) za účelem získání vyššího bodového hodnocení podle čl. 7 kvalifikační dokumentace?

d) Jak zadavatel posoudí, zda ve fázi žádosti o účast přiděluje účastníkovi body za technologii, kterou bude v nabídce zadavateli opravdu nabízet?

Informace zadavatele:

ad a) Zadavatel přidělí body pro účely snížení počtu účastníků pouze při předložení certifikací uvedených v čl. 7 kvalifikační dokumentace. Není však vyloučeno, aby certifikát uvedený v čl. 7 sloužil rovněž k prokázání certifikace požadované v technické kvalifikaci u příslušného člena realizačního týmu.

ad b) Pakliže je u příslušného certifikátu uveden požadavek „na nabízenou technologii“, musí se předložené certifikace týkat technologií, které účastník hodlá nabízet v rámci své nabídky. Maximální počet certifikací pro účely snížení počtu účastníků je uveden v tabulce v čl. 7 kvalifikační dokumentace.

ad c) Zadavatel potvrzuje, že lze předložit certifikace pouze ve vztahu k členům realizačního týmu dle odst. 4.4. písm. b) kvalifikační dokumentace. Nelze tedy přidávat další osoby.

ad d) Je odpovědností každého dodavatele, aby dokládal certifikace mající vazbu na nabízenou technologii, pokud je takový požadavek v kvalifikační dokumentaci obsažen. Dodavatel pro účely snižování počtu účastníků v žádosti o účast u jednotlivých certifikátů uvede, jakou technologii uvažuje nabízet, aby mohlo být jednoznačně posouzeno splnění požadavků u příslušné certifikace. Zadavatel v této souvislosti přistoupil k doplnění kvalifikační dokumentace. Aktualizovaná kvalifikační dokumentace tvoří přílohu tohoto vysvětlení, přičemž změny jsou vyznačeny v režimu sledování změn.

Žádost č. 2 ze dne 22. 3. 2024:

Zadavatel v minimálních technických podmínkách uvádí, že analytické práce budou realizovány minimálně v rozsahu požadavků (viz příloha č. 5 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „VKB“), resp. právního předpisu, který uvedený předpis nahradí v návaznosti na transpozici směrnice Evropského parlamentu a Rady (EU) 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS2).

Dle názoru dodavatele nelze zcela jednoznačně predikovat, jaký bude výsledek transpozice NIS2. Dodavatel žádá o doplnění, že rozsahem se myslí pouze seznam bezpečnostních politik a bezpečnostní dokumentace, resp. jeho ekvivalent v transpozici NIS2. Dále dodavatel navrhuje, aby pro větší právní jistotu zadavatel odkázal potenciální dodavatele na aktuální znění návrhu transpozice NIS2, tedy na návrh nového zákona o kybernetické bezpečnosti a dalších předpisů ve znění před zahájením veřejných konzultací (26. ledna 2023).

Informace zadavatele:

Zadavatel uvádí, že je žádoucí, aby dodavatel dodal analytické práce v rozsahu aktuálně platném v době realizace projektu. Stav implementace NIS2 je ve standardním legislativním procesu a je aktuálně možné se seznámit s návrhem národních předpisů, které v době podání předběžné a finální nabídky již budou dostatečně známy. Rizika spojená s implementací směrnice NIS2 může dodavatel zohlednit ve své nabídce, resp. nabídkové ceně.

Žádost č. 3 ze dne 22. 3. 2024:

Zadavatel v odst. 1.5 smlouvy uvádí, že plnění předmětu smlouvy, a to ve všech jeho fázích a ve všech jeho částech musí splňovat veškeré podmínky dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících předpisů, ve znění pozdějších předpisů (dále jen „ZKB“) a VKB. Dodavatel si dovoluje upozornit, že samotné plnění, které je předmětem veřejné zakázky, nemůže „splňovat“ podmínky VKB a ZKB. Kybernetickou bezpečnost nelze zajistit jednou veřejnou zakázkou, nákupem jednoho zařízení či jedné služby, ani ji považovat za vyřízenou jednorázově.

Kybernetická bezpečnost je disciplína vyžadující soustavnost a spočívá v aplikování celé řady postupů. Plnění proto následně vyžaduje soustavné udržování a případný vývoj v rámci životního cyklu zadavatele a jeho činností (například pokud se začne zabývat novou oblastí podnikání nebo agendy). Proto je následně potřeba i zajistit pravidelné ověřování aktuálnosti plnění, pokud se změnily vnitřní či vnější okolnosti. Plnění dodavatele tak trvale nenahrazuje interní role ani procesy ani nepřenášejí odpovědnost za dodržování opatření a právních předpisů na dodavatele – a podle právních předpisů vedení zadavatele zůstane i nadále odpovědné za samotné dodržování principů kybernetické bezpečnosti a zajištění dostatečných dlouhodobých kapacit (personálních, technických i finančních) umožňujících dosáhnout trvalý soulad s relevantními předpisy a/nebo best pratice.

Informace zadavatele:

Zadavatel si je vědom, že kybernetická bezpečnost nebude „vyřízena“ jednorázově, nicméně dodavatel je povinen jednotlivé části projektu poskytnout tak, aby byly v souladu s VKB a ZKB.

Současně zadavatel připomíná, že v další fázi zadávacího řízení (tj. při přípravě předběžné nabídky) může kvalifikovaný účastník navrhnout úpravy zadávacích (smluvních, event. technických) podmínek určených k projednání se zadavatelem v jednací fázi zadávacího řízení, pokud se zadavatel rozhodne o nabídkách jednat a nezadat zakázku již na základě předběžných nabídek.

Žádost č. 4 ze dne 22. 3. 2024:

Zadavatel v čl. 6 smlouvy stanovuje předávání a převzetí plnění. Xxxxxxx ale vůbec neupravuje předání a převzetí cílového konceptu a jeho akceptaci. Převzetí cílového konceptu závisí zcela na libovůli zadavatele a jeho souhlasu. Dodavatel doporučuje doplnit do návrhu smlouvy způsob předání a převzetí cílového konceptu, způsob stavění a prodloužení lhůt v případě prodlení nebo neposkytnutí součinnosti, a zejména doplnění řešení situace, pokud by k odsouhlasení cílového konceptu nedošlo ani po určité dodatečné lhůtě.

Informace zadavatele:

Zadavatel uvádí, že se předpokládá projednání cílového konceptu („každý cílový projekt bude projednán s Objednatelem v souladu s postupem dle přílohy č. 1 Smlouvy“). Zadavatel aktuálně trvá na stávajícím znění obchodních podmínek.

Žádost č. 5 ze dne 22. 3. 2024:

Zadavatel v odst. 6.3.3 smlouvy popisuje proces zadávání a akceptace části fáze 2 odpovídající službám rozvoje s tím, že zadavatel stanovuje povinnost dodavatele předložení rámcové analýzy na náklady dodavatele. Přitom není stanoveno, co se stane v případě, že zadavatel neschválí bezvadnou rámcovou analýzu, přestože si její vypracování sám objednal. Mnohdy může být pro zadavatele cennou informací i výstup, na jehož základě zadavatel služby rozvoje neobjedná. Dodavatel se může dostat do situace, kdy bude zdarma vypracovávat pro zadavatele rámcové analýzy, a zadavatel si služby rozvoje rozmyslí, případně je provede interně, nebo je zadá jinému dodavateli. Dodavateli by v případě předložené bezvadné rámcové analýzy měla náležet alespoň minimální kompenzace, která by pokryla jeho náklady.

Informace zadavatele:

Zadavatel považuje sjednaný proces zadávání služeb rozvoje za standardní a aktuálně trvá na stávajícím znění obchodních podmínek.

pokud se zadavatel rozhodne o nabídkách jednat a nezadat zakázku již na základě předběžných nabídek.

Žádost č. 6 ze dne 22. 3. 2024:

Zadavatel v odst. 11.3 smlouvy uvádí, že zaplacením smluvní pokuty není jakkoliv dotčen nárok zadavatele na náhradu škody včetně případné újmy nemajetkové; nárok na náhradu škody je zadavatel oprávněn uplatnit vedle smluvní pokuty v plné výši. Dle názoru dodavatele je takový požadavek nepřiměřený. Nelze po dodavateli spravedlivě požadovat, aby nesl odpovědnost za případnou škodu v plné výši. Nelze z podstaty věci dopředu odhadnout, jak vysoká případná škoda mohla být. Důvodová zpráva k občanskému zákoníku na str. 569 uvádí, že rozsah náhrady škody podmiňuje její předvídatelnost. Dle názoru dodavatele nemůže být výše škody v daném případě předvídatelná a může být zcela nepřiměřená míře rizika, kterou je dodavatel ochoten na sebe převzít při plnění veřejné zakázky.

Požadavek na nijak nelimitovanou náhradu škody může být nepřiměřený hodnotě veřejné zakázky. Tím dochází k porušení zásady přiměřenosti uvedené v § 6 ZZVZ. Dodavatel nemůže dopředu výši škody předvídat a toto riziko musí promítat do nabídkové ceny.

Dodavatel má za to, že ke stanovení neomezené odpovědnosti za škodu neopravňují zadavatele ani charakter, hodnota a význam zajišťovaných povinností, ani vzájemný poměr hodnoty zajišťovaného závazku a výše škody. Dodavatel apriori nepředpokládá, že bude porušovat své povinnosti ze smlouvy, ovšem přesto má dodavatel za to, že je neomezená náhrada škody nepřiměřená. Dodavatel apeluje na zadavatele, aby ještě zvážil funkci náhrady škody při posuzování přiměřenosti výše náhrady škody a přihlédl k celkovým okolnostem úkonu, jeho pohnutkám a účelu, který byl zadavatelem sledován.

Dodavatel upozorňuje zadavatele, že jedinou možností dodavatele jakožto řádného hospodáře je navýšit tzv „risk budget“ na co nejvyšší možnou částku (jelikož nezná výši případné škody). Náklady na tento risk budget bude rozprostřen do nabídkové ceny. Zadavatel si musí být vědom toho, jaká maximální škoda by mohla teoreticky vzniknout, a jako řádný hospodář by mohl škodu limitovat výši s dostatečně velkou rezervou, která by měla odpovídat výši pojištění, kterou zadavatel po dodavateli požaduje.

Informace zadavatele:

Zadavatel aktuálně trvá na stávajícím znění odst. 11.3 obchodních podmínek, přičemž je otázkou dodavatele, jak si případné riziko zohlední ve své nabídce (nabídkové ceně).

pokud se zadavatel rozhodne o nabídkách jednat a nezadat zakázku již na základě předběžných nabídek.

Žádost č. 7 ze dne 22. 3. 2024:

Zadavatel v odst. 13. 4. písm. c) smlouvy uvádí jako důvod k odstoupení situaci, kdy dojde k významné změně kontroly nad dodavatelem nebo změny kontroly nad zásadními aktivy využívanými dodavatelem k plnění dle této Smlouvy ve smyslu písm. n) přílohy č. 7 VKB. Dodavatel upozorňuje zadavatele, že příloha č. 7 k VKB v písm. n) právo jednostranně odstoupit od smlouvy v případě významné změny kontroly skutečně obsahuje, ale povinnost zakomponovat toto ustanovení do smlouvy s dodavatelem má zadavatel pouze v případě, že je tato oblast relevantní ve smyslu ustanovení § 8 odst. 1 písm. f) VKB.

Smyslem ustanovení písm. n) přílohy č. 7 VKB je zajistit, aby v případě změny ovládání nedošlo k ohrožení bezpečnosti. Dodavatel ovšem i při změně ovládání bude povinen splňovat všechny náležitosti VKB (a ZKB). Dodavatel tedy žádá, aby zadavatel na základě výše uvedeného odstranil ze smlouvy odst. 13. 4. písm. c).

Dodavatel se tak může dostat do situace, kdy důsledkem běžné (v případě vyšší moci třeba i vynucené) změně ovládání zadavatel odstoupí od smlouvy. Může dojít k neškodným změnám ve vlastnických strukturách, zejména u společností, jejichž akcie jsou či mohou být obchodovány na regulovaném trhu. S ohledem na to lze za významnou změnu považovat pouze:

a) změnu, která má dopad na schopnost dodavatele poskytovat služby, a

b) změnu v ovládání, vlastnictví zásadních aktiv nebo oprávnění nakládat s těmito aktivy ve prospěch osoby, jež nemá nebo jejíž skutečný majitel nemá místo pobytu či sídlo v některém ze států Evropské unie, Evropského hospodářského prostoru, Organizace pro hospodářskou spolupráci a rozvoj či Severoatlantické aliance v souladu s Varováním NÚKIB před hrozbou v oblasti kybernetické bezpečnosti spočívající v použití technických nebo programových prostředků, které nepochází ze států Evropské unie, Evropského hospodářského prostoru, Organizace pro hospodářskou spolupráci a rozvoj či Severoatlantické aliance, pro implementaci technologií umožňujících požadovanou úroveň přímého měření typu B, C1, C2 nebo C3 dle vyhlášky č. 359/2020 Sb., o měření elektřiny ze dne 30. 5. 2022.

Informace zadavatele:

Zadavatel aktuálně trvá na stávajícím znění obchodních podmínek, přičemž nepředpokládá, že by uvedený důvod pro odstoupení měl být využíván v případech jakékoliv (pro oblast kybernetické bezpečnosti irelevantní) změny.

Žádost č. 8 ze dne 22. 3. 2024:

Zadavatel v odst. 13. 8 smlouvy uvádí, že dodavatel je oprávněn výpověď využít nejdříve po uplynutí 5 let od zahájení fáze 2 etapy 2. Dle názoru dodavatele je toto ustanovení nepřiměřené, a dochází k porušení zásady přiměřenosti uvedené v § 6 ZZVZ, jelikož zadavatel může smlouvu vypovědět již po dvou letech. Doba 5 let je u zajišťování kybernetické bezpečnosti neúměrně dlouhá doba, kdy se situace na trhu může zcela změnit, a inflační doložka nemůže v takto dlouhém časovém horizontu dostačovat jako kompenzace (může dojít k novým bezpečnostním hrozbám, k nové legislativě apod.) Dodavatel navrhuje zkrácení této doby alespoň na 30 měsíců.

Informace zadavatele:

Zadavatel považuje předmětné ujednání za standardní a aktuálně trvá na stávajícím znění. Není přitom vyloučeno, že v případě významných/nepředvídaných změn mohou smluvní strany reagovat na nastalé okolnosti změnou závazku za podmínek dle § 222 ZZVZ.

Žádost č. 9 ze dne 22. 3. 2024:

Zadavatel rozdělil plnění předmětu smlouvy do čtyř etap.

Podle Best Practices je analýza na prvním místě a až po jejím zpracování následují nápravná opatření. Návrh smlouvy dává dle čl. 3.2 analytické práce až do 2. etapy.

Ve většině analýz, kde je definované nastavení nebo zlepšení „řízení přístupu na síti“, jsou tyto akce s vysokou prioritou, zatímco smlouva je řadí do poslední etapy pod vyhrazenou změnu závazku.

Nebylo by z pohledu řádného hospodáře efektivnější začít GAP analýzou proti NIS2, přičemž pokračovat v projektu bude možné podle analýzou dodaných preferencí na vybraných systémech s vybranými funkcemi?

Informace zadavatele:

Zadavatel s ohledem na své potřeby a již provedené dílčí analýzy prostředí a nutnosti aplikace konkrétních bezpečnostních opatření trvá na stávající etapizaci plnění dle obchodních podmínek.

Žádost č. 10 ze dne 22. 3. 2024:

V popisu aktuálního stavu jsou zmíněné relevantní prvky pro sken známých zranitelností v rozsahu vyšších desítek, max. velmi nízkých stovek. V kvalifikacích je požadovaná reference na 2 zakázky, každá s min. 1000 zařízeními.

S ohledem na markantní rozdíl se účastník táže, jaké jsou předpokládané cíle pro skeny známých zranitelností? Resp. nedošlo v počtu požadovaných zařízení u reference na skeny zranitelností k záměně?

Informace zadavatele:

Zadavatel uvedené prověřil a potvrzuje, že kvalifikační požadavky jsou nastaveny správně ve vazbě na předmět plnění veřejné zakázky. Další specifikace cílů bude obsažena v cílovém konceptu.

Žádost č. 11 ze dne 22. 3. 2024:

V příloze č. 3 ZD se v kapitole 3.1 Firewall technologie je požadovaná plná inspekce 2,5 Gbps. Aktuální konektivita do internetu je 100Mbps. Budeme-li předpokládat, že při chránění vnitřních segmentů sítě budou všichni uživatelé kontinuálně konzumovat pásmo (jako při sledování SD videa), tak suma chráněného provozu lehce přesahuje ½ Gbps.

S ohledem na markantní rozdíl se dodavatel táže, jaké jsou předpokládané typy provozu uvnitř sítě? Respektive jestli se předpokládá násobný nárust počtu uživatelů?

Tyto parametry vnímáme jako relevantní pro efektivní výběr firewallu.

Informace zadavatele:

V kontextu požadavku na segmentaci zadavatel trvá na stávajících požadavcích. Naopak lze dle předpokladů zadavatele očekávat do budoucna i nárůst parametrů.

Žádost č. 12 ze dne 22. 3. 2024:

V příloze č. 3 ZD se v kapitole 7 Nástroj pro řízení přístupu na síti je napsáno “Lze využít např. Windows Network Policy Server”. V textu dále (kapitola 7.1 Požadované použití je) se NPS již bere jako mandatorní požadavek.

Vyžaduje tedy zadavatel řešení s využití NPS nebo jsou možná jiná řešení?

Informace zadavatele:

Zadavatel uvádí, že jsou možná i jiná rovnocenná řešení. Zadavatel pro vyloučení pochybností přistupuje k úpravě technické specifikace. Aktualizovaná verze technické specifikace tvoří přílohou vysvětlení, přičemž změny jsou vyznačeny v režimu sledování změn.

Žádost č. 13 ze dne 22. 3. 2024:

Zadavatel požaduje mimo jiného IPAM. Na základě zkušeností dodavatele se klasické IPAM nástroje jeví jak o nerelevantní pro síť s cca 200 IP adresami. Typicky se správa adresního prostoru v takových případech řeší v rámci managementu na firewallu. dodavatel se tedy táže, je možné pro IPAM využít management na firewallu, pokud budou splněné požadované vlastnosti vyjma bodu “Integrovaná evidence”, kterou v plném rozsahu zastane "Nástroj pro sběr a korelaci událostí a logů"?

Informace zadavatele:

Zadavatel s ohledem na své potřeby požaduje dedikované IPAM řešení.

Žádost č. 14 ze dne 22. 3. 2024:

K částí týkající se implementace PKI žádá dodavatel následující zpřesnění:

a) Existuje v současnosti PKI proces a je popsaný nebo se jedná o zavedení nového procesu na základě technické implementace PKI?

b) Kolikavrstvá architektura je pro PKI vyžadována?

c) Jaké jsou HW požadavky na implementaci jednotlivých komponent PKI (HSM moduly, certifikační autority apod)?

Informace zadavatele:

Zadavatel k jednotlivým dotazům uvádí následující:

ad a) v současnosti takový proces neexistuje;

ad b) je požadována minimálně dvouvrstvá architektura;

ad c) požadavky vyplývají z VKB a ZKB, případně též z doporučení NÚKIB v oblasti kryptografických prostředků (dostupné zde: xxxxx://xxxxx.xxx.xx/xx/xxxxxxxxxx/xxxxxxxxxx/0000-xxxxxxxxxx-x-xxxxxxx-xxxxxxxxxxxxxxxx- prostredku-verze-3-0/).

Žádost č. 15 ze dne 22. 3. 2024:

Zadavatel požaduje v příloze č. 3 ZD dodávku výpočetního clusteru, kde mj. uvádí že „V případě, že bude řešení postaveno na nových technologických prvcích, se kterými nemá zadavatel zkušenosti, bude součástí dodávky i proškolení IT personálu.“ Dále uvádí, že: „Řešení musí být rozšiřitelné na min. 30 nodů v jednom clusteru.“

a) Může zadavatel specifikovat, se kterými technologickými prvky má zadavatel zkušenost?

b) Požaduje zadavatel vzhledem k příloze č. 5 ZD opravdu řešení, které může obsahovat 30 nodů v jednom clusteru?

c) Jestliže zadavatel uvádí „min. 30 nodů v jednom clusteru“, kolik je maximální hodnota?

Informace zadavatele:

Zadavatel zvážil dotaz tazatele a požaduje proškolení bez ohledu na typ technologických prvků. Zadavatel v této souvislosti přistupuje k úpravě technické specifikace. Aktualizovaná verze technické specifikace tvoří přílohou vysvětlení, přičemž změny jsou vyznačeny v režimu sledování změn.

Zadavatel požaduje řešení, které je dostatečně škálovatelné. Zadavatel přitom neomezuje maximální hodnotu.

Současně zadavatel připomíná, že v další fázi zadávacího řízení může účastník navrhnout úpravy a o podmínkách jednat, pokud se zadavatel rozhodne o nabídkách jednat a nezadat zakázku na základě předběžných nabídek.

V souvislosti s vysvětlením, změnou nebo doplněním zadávací dokumentace a ve vazbě na § 98 odst. 4 ZZVZ zadavatel prodlužuje lhůtu pro podání žádostí o účast, a to následovně:

Konec lhůty pro podání žádostí o účast:

Datum:

16. 4. 2024

Hodina:

10:00

Přílohy:

- Kvalifikační dokumentace ve znění vysvětlení č. 1

- Příloha č. 3 zadávací dokumentace (technická specifikace) ve znění vysvětlení č. 1

V Brně dle data elektronického podpisu

Xxx. Xxxxx Xxxxxxxxx

Digitální podpis: 28.03.2024 13:19

MT Legal s.r.o., advokátní kancelář

(podepsáno elektronicky)

Document Metadata

Table of Contents

SAKO Brno, a.s.

Document Metadata