KIO 2021/16

Sygn. akt KIO 2021/16 Sygn. akt: KIO 2021/16 WYROK z dnia 14 listopada 2016 r. Krajowa Izba Odwoławcza - w składzie: Przewodniczący: Renata Tubisz Protokolant: Łukasz Listkiewicz po rozpoznaniu na rozprawie w dniu 8 listopada 2016 r. w Warszawie odwołania wniesionego do Prezesa Krajowej Izby Odwoławczej w dniu 24 października 2016 r. przez odwołującego: Integrated Solutions Sp. z o.o. ul. Skierniewicka 10a; 01-230 Warszawa postępowaniu prowadzonym przez zamawiającego: Ministerstwo Finansów ul. Świętokrzyska 12; 00-916 Warszawa z udziałem przystępującego po stronie zamawiającego: Dimension Data Polska Sp. z o.o. ul. Sienna 73; 00-833 Warszawa orzeka 1. uwzględnia odwołanie i nakazuje zamawiającemu unieważnienie czynności wyboru oferty najkorzystniejszej, odrzucenie oferty wykonawcy wybranego, dokonanie ponownego badania, oceny ofert i wyboru oferty najkorzystniejszej. 2. kosztami postępowania obciąża Dimension Data Polska Sp. z o.o. ul. Sienna 73; 00- 833 Warszawa i 2.1. zalicza w poczet kosztów postępowania odwoławczego kwotę 15.000 zł 00 gr (słownie: piętnaście tysięcy złotych zero groszy) uiszczoną przez Integrated Solutions Sp. z o.o. ul. Skierniewicka 10a; 01-230 Warszawa tytułem wpisu od odwołania, 2.2. zasądza od Dimension Data Polska Sp. z o.o. ul. Sienna 73; 00-833 Warszawa kwotę 15.000 zł 00 gr (słownie: piętnaście tysięcy złotych zero groszy) na rzecz Sygn. akt KIO 2021/16 Integrated Solutions Sp. z o.o. ul. Skierniewicka 10a; 01-230 Warszawa stanowiącą koszty postępowania odwoławczego poniesione z tytułu wpisu od odwołania. Stosownie do art. 198a i 198b ustawy z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych (t.j. Dz. U. z 2015 r. poz. 2164 ze zm.) na niniejszy wyrok - w terminie 7 dni od dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie Przewodniczący: …………… Sygn. akt KIO 2021/16 Uzasadnienie W dniu 24.10.2016 r. do Prezesa Krajowej Izby Odwoławczej ul. Postępu 17 a 02-676 Warszawa wniesione zostało odwołanie w postępowaniu prowadzonym przez Zamawiającego: Ministerstwo Finansów ul. Świętokrzyska 12; 00-916 Warszawa zwane dalej „zamawiający”. Odwołanie zostało wniesione przez oferenta Integrated Solutions Sp. z o. o. ul. Skierniewicka 10a; 01-230 Warszawa zwanego dalej „odwołującym”. Ogłoszenie o zamówieniu opublikowane zostało w Dzienniku Urzędowym Unii Europejskiej w dniu 20.04.2016 r. pod numerem 2016/S 077-136424. Postępowanie o udzielenie zamówienia publicznego prowadzone przez zamawiającego w trybie przetargu nieograniczonego dotyczy „Zakupu i wdrożenia systemów bezpieczeństwa dla Infrastruktury Teleinformatycznej Ministerstwa Finansów” oznaczone nr sprawy R/151/I5/DS/B/579. Odwołanie dotyczy części II przedmiotu zamówienia. Wpis od odwołania w wysokości 15.000 zł został wniesiony na rachunek UZP dnia 20.10.2016 roku. Odwołanie wniesiono na zaniechanie dokonania czynności, do której zamawiający był zobowiązany na podstawie ustawy Pzp to jest zaniechania odrzucenia oferty złożonej przez Dimension Data Polska Sp. z o. o. zwanej w toku postępowania odwoławczego „przystępującym po stronie zamawiającego” lub ”wykonawcą wybranym” lub „zgłaszającym sprzeciw”. Naruszenie pzp nastąpiło w postępowaniu o udzielenie zamówienia publicznego na „Zakup i wdrożenie systemów bezpieczeństwa dla Infrastruktury Teleinformatycznej Ministerstwa Finansów”. Podstawę wniesienia odwołania stanowił art. 180 ust. 1 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych, zwanej dalej „ustawą Pzp” lub „pzp”. Odwołujący posiada interes w uzyskaniu zamówienia, ponieważ na część II zamówienia złożone zostały dwie oferty w tym oferta odwołującego oraz wykonawcy wybranego/przystępującego w sprawie. Sygn. akt KIO 2021/16 W związku powyższym jest podmiotem uprawnionym do złożenia środka ochrony prawnej w rozumieniu art. 179 ust. 1 pzp. Zarzuty odniesione do art. 89 ust. 1 pkt 2) pzp - poprzez zaniechanie odrzucenia oferty złożonej przez wykonawcę wybranego, pomimo tego, iż treść jego oferty nie odpowiada treści specyfikacji istotnych warunków zamówienia (SIWZ). Zarzut odwołujący precyzuje do nie spełnienia wymagań opisanych w SIWZ w odniesieniu do systemu kontrolowanego dostępu do zasobów sieciowych (SKD). W związku z przedstawionymi zarzutami odwołujący żąda: unieważnienia wyboru oferty najkorzystniejszej, odrzucenia oferty złożonej przez wykonawcę wybranego, dokonania ponownej czynności badania i oceny ofert, dokonania ponownej czynności wyboru oferty najkorzystniejszej. O wyborze najkorzystniejszej oferty zamawiający powiadomił wykonawców w dniu 14.10.2016 r. Wobec czego termin na wniesienie odwołania, o którym mowa w art. 182 ust. 1 pkt 1) pzp odwołujący dochował wnosząc odwołanie w dniu 24 października 2016 roku. W tym samym dniu kopię odwołania przesłał zamawiającemu. Odwołanie nie podlega odrzuceniu w myśl art.189 ust.2 pzp Przedstawiając uzasadnienie faktyczne przywołano załącznik nr 7 do umowy - Opis środowiska zamawiającego Systemu kontrolowanego dostępu do zasobów sieciowych - w tabeli 2 - Lista urządzeń zamawiającego, wskazał listę urządzeń, z którymi będzie współpracował oferowany system SKD (System kontrolowanego dostępu do zasobów sieciowych), przy czym dla urządzeń końcowych (klienckich) zamawiający wskazał, iż system będzie działał z następującymi urządzeniami:1) komputery PC pracujące pod kontrolą systemu Windows 7/8/10 w liczbie 2300 sztuk,2) Drukarki sieciowe w liczbie 250 sztuk, 3)Telefony VoIP AASTRA 67571 IP Phone w liczbie 50 sztuk, 4) Tablety z systemem operacyjnym Windows 8/10, Android, iOS w liczbie 400 sztuk , 5)Smartfony/telefony GSM z systemem operacyjnym Windows Phone/10, Android, iOS w liczbie 400 sztuk, co wskazuje na sumaryczną liczbę urządzeń końcowych systemu SKD wynoszącą 3400 sztuk Jednocześnie Zamawiający w załączniku nr 3 Załącznika E do SIWZ Wzory umów dla Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych (SKD)” w tabeli 1, wierszu 18, str. 57, wymaga by system SKD zapewnił obsługę minimum 3500 sztuk sprzętów jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika końcowego. Sygn. akt KIO 2021/16 Jednocześnie Zamawiający w załączniku "D" do SIWZ (wykaz cech oferowanych produktów) w pkt II - System kontrolowanego dostępu do zasobów sieciowych (SKD) - w wierszu lp. 9 - wskazał jednoznacznie, iż system, cyt: "SKD dynamicznie i automatycznie musi rozpoznawać rodzaj oraz producenta sprzętu i na tej podstawie przydzielać do odpowiedniego profilu zdefiniowanego wcześniej w SKD, w szczególności musi zapewniając co najmniej: dynamiczną klasyfikację każdego sprzętu, który jest podłączany so sieci LAN MF ", po czym zamawiający wymienia wraz ze szczegółowym opisem realizacji celu wszystkie funkcjonalności jakie ma realizować SKD.Odwołujący we wniesionym odwołaniu na szczególną uwagę zwrócił na pierwsze z wymagań w brzmieniu cyt: "dynamiczną klasyfikację każdego sprzętu, który jest podłączany do sieci LAN MF (automatyczne rozpoznawanie sprzętu, wg. "sygnatur" - SKD musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz "identyfikowanie i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika", a także pozostałe wymagania wskazane w lp. 9 ww. załącznika. Według twierdzeń odwołującego dla realizacji tych wymagań niezbędne jest wyposażenie systemu SKD w dodatkową licencję/subskrypcję Cisco ISE Endpoint Plus Subscription License, zwaną dalej „Plus", w liczbie odpowiadającej maksymalnej liczbie przyłączanych urządzeń do sieci zamawiającego, która według zamawiającego wynosi nie mniej niż 3400 sztuk. Realizacja ww. funkcjonalności przez system SKD z wykorzystaniem wyłącznie podstawowych licencji typu „Base” (L-ISE-BSE-3500 Cisco Identity Services Engine 3500 EndPoint Base License) w liczbie 3500 sztuk, które zaoferował wykonawca wybrany - stanowiącą część składową oferty tego Wykonawcy, tabela, Ip. 13 - nie jest możliwa do zrealizowania, tj. nie spełnia opisanych wymagań zamawiającego. Zdaniem odwołującego powyższe wskazuje, że treść oferty złożonej przez wykonawcę wybranego nie odpowiada treści SIWZ. Odwołujący zwrócił uwagę, że wykonawca wybrany zaoferował zaledwie 250 licencji „Plus" (L-ISE-PLS-S-250) - Szczegółowa specyfikacja oferowanego systemu SKD stanowiącą część składową oferty tegoż Wykonawcy, tabela, lp. 14 - przy jednoczesnym zaoferowaniu 3500 licencji „Base" lp. 13. Odwołujący uważa, że tak skonfigurowany system nie będzie w stanie realizować opisanych wyżej wymagań zamawiającego, dla więcej niż 250 jednocześnie podłączonych do niego urządzeń (tj. zaledwie nieco ponad 7% z ogólnej liczby jaką planuje podłączyć zamawiający w swojej sieci LAN nadzorowanej przez SKD. Dla realizacji wszystkich opisanych wyżej wymagań SIWZ wymagane jest zastosowanie dla nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna" dzięki wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu sieciowego z jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP, czytników kodów Sygn. akt KIO 2021/16 kreskowych itp. system ma do czynienia, a po ich zidentyfikowaniu będzie możliwe przypisanie odpowiadających im, zdefiniowanych polityk bezpieczeństwa. Reasumując odwołujący stwierdza, żeby zrealizować wszystkie opisane wyżej wymagania zamawiającego, w szczególności „dynamiczną klasyfikację każdego sprzętu, który jest podłączany do sieci LAN MF (automatyczne rozpoznawanie sprzętu, wg. "sygnatur" - SKD musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika” - wymagane jest zapewnienie licencji „Plus" dla wszystkich urządzeń jakie będą podpięte do sieci zamawiającego tj. co najmniej 3400 licencji w modelu subskrypcyjnym, co wynika z liczby urządzeń jaką posiada zamawiający i planuje włączyć do sieci kontrolowanej przez system SKD (załącznik nr 7, tabela nr 2), czyli nawet 3500 sztuk na co wskazuje Zamawiający (załącznik „D” do SIWZ (wykaz cech oferowanych produktów) w pkt. II System kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp. 18 - wyciąg z tabeli 3. Treść oferty złożonej przez wykonawcę wybranego - niezależnie od jej niezgodności z SIWZ opisanej w pkt 2 powyżej - nie odpowiada treści SIWZ jeszcze z innego powodu. Otóż, oferta ta nie spełnia wymagań stawianych przez Zamawiającego w odniesieniu do systemu SKD umożliwiających jego wdrożenie i realizację określonych przez Zamawiającego zadań. Zamawiający w SIWZ (załącznik nr 3 Załącznika E do SIWZ Wzory umów dla Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych (SKD)” w tabeli 1, wierszu 23, str. 58 oraz załącznik „D” - wykaz cech oferowanych produktów dla II System kontrolowanego dostępu do zasobów (SKD)) wskazuje na wymóg dostarczenia wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z interfejsami do dwóch przełączników Cisco WS-C6513-E stawiając określone i jednoznaczne wymogi - zob. wyciągi z tabeli, lp. 23 obu w.w dokumentów. Wyżej wymienione karty liniowe będą służyły do podłączenia oferowanych urządzeń systemu SKD (Cisco ISE) i w związku z tym muszą wspierać wszystkie funkcjonalności jakie przed systemem SKD postawił Zamawiający - zob. Wyciąg z tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla oferowanego Systemu kontrolowanego dostępu do zasobów sieciowych.” załącznika „D”, lp. 28 : Wykonawca, w ramach SKD, musi dostarczyć, zaprojektować i wdrożyć funkcjonalność zapewniającą segmentację sieci LAN, która musi spełniać łącznie wszystkie następujące wymagania; a)musi ciągle, na bieżąco i automatycznie segmentować sieć na grupy użytkowników i pojedynczych użytkowników, b)zarządzanie segmentacją musi odbywać się z poziomu interfejsu graficznego. Sygn. akt KIO 2021/16 Tymczasem Wykonawca DDP zaoferował karty liniowe WS-C6848-TX-2T C6k-48-port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 - zob. Szczegółową specyfikację oferowanego systemu SKD stanowiącą część składową oferty tego Wykonawcy, tabela, lp. Zaoferowane przez Wykonawcę DDP karty nie pozwalają realizować funkcjonalności systemu SKD opisanych przez Zamawiającego w załączniku „D” w tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla oferowanego Systemu kontrolowanego dostępu do zasobów sieciowych.” lp 28 zamieszczonych poniżej - wyciąg z załącznika D: [uwaga - wskazane wymagania są wynikiem modyfikacji SIWZ z dnia 22.06.2016 r.] Warunkiem realizacji funkcjonalności TrustSec Security Group Tag (SGT) jest wsparcie dla niej przez oferowane rozwiązanie SKD oraz urządzenia sieciowe (przełączniki). Według Zamawiającego urządzenia sieciowe, które posiada wspierają mechanizmy TrustSec Security Group Tag (SGT). Zamawiający wymaga by system SKD został dostarczony w postaci fizycznych appliances (dedykowane urządzenia) -zob. Załącznik nr 3 do Umowy i odpowiadający mu fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych produktów - w tabeli wiersz 22, str. 52, które zostaną podłączone do 2 sztuk centralnych przełączników sieciowych Zamawiającego z rodziny Cisco Catalyst 6513-E. Warunkiem podłączenia systemu SKD jest wyposażenie ww. przełączników w karty linowe będące przedmiotem dostawy w tym postępowaniu - zob. Załącznik nr 3 do Umowy i odpowiadający mu fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych produktów - w tabeli wiersz 23, str. 52. Jednak by system SKD mógł zrealizować stawiane mu wymogi w zakresie TrustSec Security Group Tag (SGT) musi zostać podłączony do urządzeń wspierających mechanizmy TrustSec Security Group Tag (SGT) poprzez karty liniowe również wspierające tą technologię. W przypadku jeśli system SKD zostanie podłączony do urządzeń wspierających mechanizm TrustSec Security Group Tag (SGT) przez karty liniowe zainstalowane w tych urządzeniach lecz nie wspierające mechanizmów TrustSec Security Group Tag (SGT) nie będzie można skorzystać na systemie SKD z tych funkcjonalności w zakresie TrustSec Security Group Tag (SGT). Karta liniowa nie wspierająca mechanizmów SGT uniemożliwi komunikacje i zastosowanie mechanizmów SGT pomiędzy urządzeniami systemu SKD a przełącznikami sieciowymi wspierającymi mechanizmy SGT. Oznacza to, że zarówno modularny przełącznik sieciowy jak i jego karta liniowa oraz podłączony poprzez nią system SKD (Cisco ISE) musi wspierać architekturę SGT by można było zrealizować wymogi zamawiającego. Tymczasem wykonawca wybrany zaoferował do każdego z przełączników Cisco Catalyst 6513-E wyposażonego w moduł zarządzający w wersji SUP-2T kartę liniową WS-X6848-TX- Sygn. akt KIO 2021/16 2T (C6k-48-port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4) - zob. wiersz 16 (ostatni) II System kontrolowanego dostępu do zasobów sieciowych (SKD) z oferty DDP, nie wspierającą mechanizmów TrustSec Security Group Tag (SGT), co oznacza iż system SKD nie będzie w stanie zrealizować zadań jakie postawił mu zamawiający. Oznacza to, że treść oferty złożonej przez Wykonawcę DDP nie odpowiada treści SIWZ. 4. Mając na względzie powyższe odwołujący wnosi o uwzględnienie odwołania. W dniu 7 listopada 2016 r. przystępujący złożył pismo procesowe, w którym wniósł o oddalenie odwołania w całości uznając zarzuty odwołującego za bezzasadne. Przystępujący w piśmie tym odniósł się do podniesionych przez odwołującego zarzutów w odwołaniu z dnia 24 października 2016 r. 1. Przystępujący stwierdza, że stanowisko odwołującego, sprowadza się w zasadzie do dwóch ogólnie skonstruowanych technicznych zarzutów dotyczących rzekomej niezgodności oferty przystępującego z SIWZ: 1) zarzutu odnoszącego się do rzekomej niemożliwości spełnienia przez ofertę złożoną przez przystępującego wymagań SIWZ z uwagi na zaoferowanie licencji typu „base" w liczbie sztuk 3500, zamiast jak postuluje odwołujący zaoferowania licencji typu „plus" w ilości sztuk nie mniejszej niż 3400; 2)zarzutu odnoszącego się do rzekomej niemożliwości spełnienia przez ofertę złożoną przez Przystępującego wymagań SIWZ z uwagi na to, iż zaoferowane przez Przystępującego karty liniowe WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 wskazane w tabeli Ip. 16 Szczegółowej specyfikacji oferowanego systemu SKD, stanowiącej część składową oferty Przystępującego nie pozwalają realizować funkcjonalności systemu SKD 1.4.Przy czym z treści odwołania nie można wywnioskować jakie konkretnie zarzuty stawia ofercie Wykonawcy Odwołujący. Odwołujący nie wskazuje na czym konkretnie polega zarzucana niezgodność z wymienionymi przez odwołującego wymaganiami, które postawił zamawiający określając przedmiot zamówienia, nie wskazuje również żadnego dowodu na poparcie swoich ogólnych twierdzeń. 2. Stanowisko Przystępującego odnośnie zarzutu dotyczącego zaoferowania licencji typu „Base", zamiast licencji typu „Plus" w ilości sztuk nie mniejszej niż 3400 2.1. Bezspornym jest ilość i rodzaj posiadanych urządzeń końcowych przez Zamawiającego wskazanych w treści załącznika nr 7 do Umowy - Opis środowiska Zamawiającego Systemu kontrolowanego dostępu do zasobów sieciowych - w tabeli 2 - lista urządzeń Zamawiającego (strona 2,3 Odwołania). Podstawową zarzutu w zakresie licencji jest twierdzenie, iż ilość wyspecyfikowanych przez Zamawiającego urządzeń końcowych w połączeniu z wymaganiami określonymi w treści Sygn. akt KIO 2021/16 załącznika nr 3 Załącznika E do SIWZ Wzoru Umowy dla Części II - Szczegółowy opis wymagań dla systemu kontrolowanego dostępu do zasobów sieciowych (SKD)" w tabeli 1, wierszu 18, str. 57, w Załączniku „D" do SIWZ (wykaz cech oferowanych produktów) w pkt II - System kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp.9 (tabele ze str. 3,4,5 odwołania IS) determinuje zakupienie licencji „plus" dla wszystkich wyspecyfikowanych urządzeń końcowych. 2.2. Odwołujący wskazuje na str. 3 Odwołania dwa podstawowe wymogi Zamawiającego, których jego zdaniem nie spełnia konfiguracja przyjęta w ofercie Wykonawcy i których niespełnienie ma wpływ zdaniem odwołującego na spełnienie pozostałych wymagań postawionych w SIWZ, mianowicie: 1) wymóg, by system SKD zapewnił obsługę minimum 3500 sztuk sprzętów jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika końcowego (Załącznik Nr 3 Załącznika E do SIWZ Wzór Umowy dla Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych „(SKD)" w tabeli 1, wierszu 18, str. 57); 2) wymóg, by system SKD zapewniał „dynamiczną klasyfikację każdego sprzętu, który jest podłączany do sieci LAN MF (automatyczne rozpoznanie sprzętu, wg. „sygnatur" - SKD musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika" Zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3 Załącznika E do SIWZ Wzoru Umowy dal Części II - Szczegółowy opis wymagań dla systemu kontrolowanego dostępu do zasobów sieciowych (SKD)" wskazał, iż,,...nie narzuca zastosowania jednego rozwiązania, spełnia wymogi SIWZ, a wskazuje jedynie parametry/minimalne wymagania, które każdy z wykonawców winien jest spełnić.", wskazał również, iż „...dopuszcza się stosowanie rozwiązań składających się z kilku komponentów przy zachowaniu spełnienia wymagań opisanych " w tabeli 1. Zatem, zgodnie z intencją zamawiającego wskazaną powyżej, to wykonawca miał za zadanie dobrać odpowiednio komponenty pasujące do wymagań wskazanych przez zamawiającego. Z żadnego zapisu SIWZ nie wynika, iż wykonawcy zobligowani byli do zakupu licencji „Plus" w ilości odpowiadającej ilości posiadanych przez zamawiającego urządzeń końcowych - tzn. w ilości nie mniejszej niż 3400 sztuk. Odwołujący nie wykazał, że treść któregoś z wymagań na to wskazuje, nie wskazał także żadnego dowodu na poparcie swojej tezy. Wykonawca pragnie podkreślić, iż jego oferta spełnia wszystkie wymagania postawione przez zamawiającego, w tym dwa ww., zaś spełnienie przytaczanych przez odwołującego w odwołaniu wymagań możliwe jest na podstawie konfiguracji wskazanej w Szczegółowej Sygn. akt KIO 2021/16 specyfikacji oferowanego systemu SKD, która stanowi część składową oferty Wykonawcy, tzn. poprzez zaoferowanie 3500 sztuk licencji „Base" (Ip. 13 specyfikacji oferty - L-ISE- BSE- 3500 = Cisco Identity Services Engine 3500 Endpoint Base License) oraz poprzez zaoferowanie 250 sztuk licencji „Plus" (Ip. 14 specyfikacji oferty - licencja L- ISE-PLS-S-250= Cisco ISE 250 Endpoint Plus Subscription License). Zaoferowanie przez Wykonawcę 3500 sztuk licencji typu „Base" umożliwia zgodnie z wymogiem wymienionym w ppkt 2.2.,pkt 1) powyżej obsługę minmum 3500 sprzętów jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika końcowego, przygotowana przez Wykonawcę konfiguracja (3500 licencji „Base" + 250 sztuk licencji typu „Plus) zapewnia dynamiczną klasyfikację każdego sprzętu, który podłączany jest do sieci LAN MF (wymóg wskazany w ppkt 2.2., pkt 2) powyżej. Zamawiający posiada dwa rodzaje urządzeń końcowych (3400 szt.) A. urządzenia nieinteligentne/urządzeń bez (oprogramowania) suplikanta/urządzeń typu non - user,, na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z Załącznika „D" do SIWZ (wykaz cech oferowanych produktów) w pkt II - System kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp.9 w treści „...kontrolę dostępu do sieci LAN MF, sprzętu typu non-user, co najmniej kamery, drukarki...", które posiada w ilości sztuk 250. B. urządzenia inteligentne/urządzenia (z oprogramowaniem) z suplikanta/urządzenia typu user na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z ww. Załącznika „D" do SIWZ „...kontrolę dostępu do sieci LAN MS sprzętu typu user-devices..." które posiada w ilości sztuk 3150. Zatem dynamiczne rozpoznawanie/klasyfikacja każdego sprzętu, o którym mowa w wymaganiu z ppkt 2.2.,pkt 2) powyżej będzie odbywać się w następujący sposób: A. dla sprzętu inteligentnego rozpoznawanie/klasyfikacja będzie odbywać się przy użyciu zaoferowanej licencji typu „Base", wg. sygnatury określonej w certyfikacie uwierzytelniającym, który posiada każde urządzenie inteligentne. Certyfikatu nie da się podrobić oraz nie da się zrobić jego kopii. Zamawiający zaznaczył, że dla każdego urządzenia „user-devices". poprzez serwer uwierzytelniający wydawany będzie jeden certyfikat, który z definicji jest jednoznacznie przypisany tylko do jednego urządzenia w relacji 1 do 1. Wydawanie certyfikatu dla urządzenia, który go jednoznacznie identyfikuje z założenia jest operacją, która musi zostać zaksięgowana i w której można zawrzeć pełne informacje o urządzeniu. Licencja typu „Base" w umożliwia rozpoznawanie i klasyfikację podłączanych urządzeń na podstawie prezentowanych przez nich cech. Zaoferowany Sygn. akt KIO 2021/16 system SKD zapewnia ciągle weryfikowanie tożsamości podłączonych urządzeń poprzez ich odpytywanie po określonym czasie o ponowne uwierzytelnienie się", B. dla sprzętu nieinteligentnego, który nie posiada certyfikatu identyfikacja i klasyfikacja rodzaju sprzętu nastąpi niezależnie od tożsamości użytkownika przy użyciu zaoferowanej licencji typu „Plus" (250 sztuk) na podstawie profilowania generowanego przez nich ruchu. 2.3. Reasumując, w celach rozpoznawania/klasyfikacji urządzeń inteligentnych posiadanych przez Zamawiającego w ilości 3150 sztuk - uwierzytelniających się z wykorzystaniem certyfikatu nie ma potrzeby zakupu licencji „Plus", gdyż nie ma potrzeby profilowania ruchu, od urządzenia które będzie posiadać certyfikat wydany przez system SKD, ponieważ takie urządzenia w momencie podłączenia do sieci przedstawi się certyfikatem, który jednoznacznie identyfikuje urządzenie końcowe. Na podstawie postawionych przez Zamawiającego wymagań i wymaganych mechanizmów uwierzytelniania, zgodnie z oczekiwaniami Zamawiającego dla urządzeń nieinteligentnych Wykonawca wykupił licencję „Plus" umożliwiającą profilowanie urządzeń na podstawie profilowania ruchu, do czego niezbędna jest licencja „Plus" tylko dla urządzeń końcowych, które nie mogą być uwierzytelnione za pomocą sygnatury zapisanej w certyfikacie. Podkreślenia wymaga fakt, iż IS w treści Odwołania na str. 7 de facto przyznaje, iż licencje typu „Plus" są potrzebne do rozpoznania urządzeń nieinteligentnych w rodzaju drukarek, kamer IP, czytników kodów kreskowych itp. Żeby zrealizować wszystkie opisane wyżej wymagania Zamawiającego wymagane jest zastosowanie dla nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna" dzięki wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu sieciowego z jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP. czytników kodów kreskowych up. system ma do czynienia, a po ich zidentyfikowaniu będzie możliwe przypisanie opowiadających im, zdefiniowanych polityk bezpieczeństwa. Zamawiający wskazał że posiada 250 sztuk urządzeń nieinteligentnych i w związku z tym Wykonawca w specyfikacji oferty zawarł licencję L-ISE-PLS-S-250, która zapewnia profilowanie urządzeń końcowych w ilości 250 sztuk co jest równoważne ilości drukarek wskazanych przez Zamawiającego. W związku z powyższym, za całkowicie pozbawione merytorycznych podstaw należy uznać stwierdzenie odwołującego, iż skonfigurowany przez Wykonawcę system SKD w oparciu o 250 licencji „Plus" przy jednoczesnym zaoferowaniu 3500 licencji „Base" nie będzie w stanie realizować wymagań opisanych przez Zamawiającego dla więcej niż 250 jednocześnie podłączonych do niego urządzeń końcowych. Sygn. akt KIO 2021/16 Podkreślenia wymaga fakt, iż zaproponowane przez Przystępującego licencje typu „Base" w ilości sztuk 3500 mają charakter jednorazowy, tzn. zamawiający nie musi przedłużać odpłatnie ich subskrypcji po okresie 3 lat, jak ma to miejsce w przypadku 3500 sztuk licencji „Plus" zaoferowanych przez Odwołującego. Przystępujący nie twierdzi, iż nie można było stworzyć konfiguracji dla przedmiotowego zamówienia na bazie 3500 licencji „Plus", natomiast w świetle wymagań postawionych przez Zamawiającego i kanonów tzw. „dobrych praktyk" taka konfiguracja jest absolutnie zbędna przy rozpoznawaniu urządzeń inteligentnych, co zostało wykazane powyżej. 2.4. Odwołujący nie wykazał związku pomiędzy swoimi twierdzeniami, a wymaganiami zamawiającego, nie wykazał, które wymaganie wskazuje na obligatoryjność zaoferowania dla wszystkich urządzeń końcowych posiadanych przez Zamawiającego licencji typu „Plus", nie przedstawił żadnego dowodu na poparcie swoich nieskonkretyzowanych zarzutów. 3. Stanowisko Przystępującego odnośnie zarzutu dotyczącego zaoferowania kart liniowych WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 3.1. Zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3 Załącznika E do SIWZ Wzoru Umowy dla Części II - Szczegółowy opis wymagań dla systemu kontrolowanego dostępu do zasobów sieciowych (SKD)" Ip. 28 wskazał następujące wymaganie „Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi pozwalającej na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec Security Group Tag). Wykonawca potwierdza, iż jego oferta spełnia to wymaganie, jak również wymagania z SIWZ, które przytoczył odwołujący w treści Odwołania: wymóg dostarczenia wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z interfejsami do dwóch przełączników Cisco WS-C6513E zgodnie z wymogami określonymi w Załączniku nr 3 Załącznika E do SIWZ Wzór Umowy dla części II - Szczegółowy Opis wymagań dla .;systemu kontrolowanego dostępu do zasobów sieciowych „SKD" w tabeli 1, wierszu 23, str. 58 oraz Załącznik „D" - wykaz cech oferowanych produktów dla II System kontrolowanego dostępu do zasobów (SKD)), przytoczonych przez Odwołującego w treści Odwołania. Na podstawie twierdzeń odwołującego, które jak wykaże poniżej przystępujący w zakresie dot. lit. B i C są błędne odwołujący skonstruował ogólny zarzut, iż zaoferowane przez wykonawcę wybranego karty liniowe WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 „nie wspierają mechanizmów TrustSec Security Group Tag (SGT), co oznacza, iż system SKD nie będzie w stanie zrealizować zadań jakie postawił mu zamawiający. Powyższy zarzut opiera się na błędnym założeniach przyjętych w wywodzie. 3.3. Błędne założenie z ppkt 3.2 lit. B powyżej. Zgodnie oficjalną z dokumentacją producenta oferowanego rozwiązania SKD, będącą opisem architektury systemu (Configuration Guide - Cisco TrustSec Switch Configuration Sygn. akt KIO 2021/16 Guide) dostępnej pod adresem internetowym producenta firmy Cisco Systems: http://www.^ er. htm I, (dowód: rysunek poniżej) podłączenie Cisco ISE do sieci poprzez przełącznik sieciowy (Ang. switch) nie wymaga mechanizmów SGT na tym podłączeniu, a zatem założenie odwołującego wskazane w ppkt 3.2 lit. B powyżej jest całkowicie błędne. Poniżej została przedstawiona topologia sieciowa dla systemu SKD z wykorzystaniem Cisco ISE (na rysunku opisany jako Authentication Server). Połączenia oznaczone jako „Protected" określają połączenia przenoszące informacje SGT. Błędne założenie z ppkt 3.2 lit. C powyżej. Zgodnie z informacjami zawartymi na ww. stronie internetowej Cisco Systems w przytoczonym powyżej oficjalnym dokumencie producenta rozwiązania, informacje o SGT są przekazywane z serwera ISE (Authentication server) do urządzeń sieciowych wspierających mechanizmy SGT za pośrednictwem protokołu RADIUS: Zatem, z dokumentów dostępnych publicznie na oficjalnych stronach producenta rozwiązania wynika, iż System SKD przekazuje informacje o TrustSec Security Group Tag (SGT) do urządzeń sieciowych wspierających mechanizmy SGT za pomocą protokołu RADIUS, a co za tym idzie nie musi być bezpośrednio podłączony do sieci poprzez interfejsy wspierające mechanizmy SGT, co skutkuje nieprawdziwością założenia z ppkt 3.2 lit. C powyżej. Zgodnie z zasadami dobrych praktyk inżynierskich dla wdrożeń tego typu systemów zalecane jest, aby serwer uwierzytelniający (w tym przypadku Cisco ISE) był podłączony do sieci poprzez link, który nie wymaga uwierzytelniania, w szczególności nie musi być wsparcia dla SGT na kartach liniowych WS-C6848-TX-2T zaoferowanych przez Wykonawcę jako dodatkowe wyposażenie przełącznika Cisco Catalyst serii 6500. Powyższe wskazuje, iż nie jest wymagane wsparcie dla SGT na bezpośrednim linku do serwera Cisco ISE, aby zapewnić funkcjonalność SGT dla urządzeń końcowych podłączonych do sieci.3.5.Ponadto, zgodnie z wymaganiem zamawiającego zawartym w SIWZ (załącznik nr 3 Załącznika E do SIWZ Wzory umów dla Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych (SKD) w tabeli 1, wierszu 23: Wykonawca zaoferował karty WS-C6848-TX-2T zawierające taką liczbę portów fizycznych, która zapewni podłączenie przełączników WS-C6513-E ze sprzętem dla SKD, tj. serwerami Cisco ISE SNS- 3515-K9. Zaoferowana karta nie ogranicza funkcjonalności przełączników WS-C6513- E oraz posiadanej przez Zamawiającego gwarancji na ww. przełączniki oraz nie ogranicza funkcjonalności całego Systemu Kontroli Dostępu, w szczególności funkcjonalności TrustSec Security Group Tag ponieważ, zgodnie z przytoczoną dokumentacją, połączenie pomiędzy przełącznikiem WS-C6513-E a serwerem Cisco ISE nie wykorzystuje SGT. Sygn. akt KIO 2021/16 3.6. Z uwagi na powyższe, nie prawdziwe i nie poparte jakimikolwiek dowodami jest twierdzenie odwołującego, iż zaoferowane przez wykonawcę wybranego karty nie pozwalają realizować funkcjonalności systemu SKD opisanych przez zamawiającego w załączniku „D" w tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla oferowanego Systemu kontrolowanego dostępu do zasobów sieciowych" Ip. 28 - wyciąg z załącznika D. Wykonawca zaoferował wymagane przez zamawiającego karty liniowe w ilości i o parametrach zgodnych z opisem wskazanym w SIWZ, które nie uniemożliwiają realizacji funkcjonalności wymaganej przez Zamawiającego - Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi pozwalającej na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec Security Group Tag) oraz spełnienia wszystkich związanych z nią wymagań. W treści wymagań SIWZ nie ma wymogu, że każde urządzenie, w tym karta liniowa musi wspierać (SGT). Podsumowanie stanowiska przystępującego. 4.1. Przystępujący pragnie podkreślić, iż jako jeden z wiodących podmiotów na rynku we wdrażaniu systemów podobnych do zamawianego przez Ministerstwo Finansów systemu posiada ogromną wiedzę na temat projektowania, wdrażania systemów odpowiadających swą charakterystyką systemowi SKD, budowanych w oparciu o urządzenia posiadane i zamawiane przez zamawiającego, w tym urządzenia firmy Cisco Systems. Wykonawca tworząc konfigurację oferty pod przedmiotowe zamówienie wykorzystał swój know-how nabyty w skutek realizacji tego typu projektów także o zasięgu międzynarodowym dla klientów z branży finansowej, którzy posiadają podobne strukturalnie rozwiązania do wymaganych przez zamawiającego. Wyrywkowe supozycje wskazane w odwołaniu, które są merytoryczną podstawą de facto dwóch zarzutów nie ostają się w świetle dostępnej wiedzy wysoko wykwalifikowanej kadry inżynierskiej przystępującego. Uwzględnienie Odwołania prowadziłoby do odrzucenia oferty Przystępującego, która w pełni spełnia wszelkie wymagania Zamawiającego postawione w SIWZ oraz potencjalnie zmuszałoby Zamawiającego do wyboru oferty, która oferuje nadmiarowe z punktu widzenia wymagań SIWZ rozwiązania i której wartość przekracza budżet Zamawiającego o kwotę prawie 900 000 zł. 4.2. Podkreślenia wymaga, iż odwołanie nie zawiera skonkretyzowanych zarzutów, zaś blankietowe stwierdzenia o niezgodności oferty z danymi z danymi wymaganiami SIWZ. Krajowa Izba Odwoławcza nie raz wypowiadała się na temat obowiązku skonkretyzowania zarzutów odwołania, czego przykładem może być choćby treść Wyroku Krajowej Izby Odwoławczej przy Prezesie Urzędu Zamówień Publicznych z dnia 15 stycznia 2016 r. KIO 2737/15 Aby podważyć ocenę zamawiającego, należy wskazać i udowodnić jej niezgodność Sygn. akt KIO 2021/16 z prawem (np. przez niezgodność z postanowieniami SIWZ). W ramach postępowania odwoławczego odwołujący ma obowiązek postawić konkretne zarzuty w zakresie niezgodności z prawem czynności zamawiającego, które następnie ma obowiązek udowodnić, a nie zgłaszać swoje wątpliwości co do potencjalnie niezgodnych z prawem czynności zamawiającego, czy też ewentualne postulaty, w sprawie których Izba miałaby prowadzić jakieś ogólne postępowanie wyjaśniające czy ogólną ocenę ich zasadności. 4.3. Odwołanie nie ostaje się również w swej treści obowiązkowi związanemu z ciężarem dowodowym, który spoczywa na odwołującym i który został określony w art. 190 ust.l ustawy Prawo zamówień publicznych i o którym wspomina choćby treść Wyroku Krajowej Izby Odwoławczej z dnia 20 czerwca 2016 r. (sygn. akt KIO: 960/16 „Stosownie do podstawowej zasady wynikającej z art. 6 k.c, znajdującej swe odzwierciedlenie w art. 190 ust. 1 ustawy Pzp, ciężar dowodu w zakresie okoliczności faktycznych spoczywa na tym, który ze swoich twierdzeń wywodzi skutek prawny. W rozpoznawanej sprawie takim obowiązkiem dowodowym obciążony był odwołujący. Tym samym to on winien udowodnić, że kwestionowane przez niego czynności zamawiającego zostały dokonane wbrew przepisom ustawy Pzp przywołanym w odwołaniu. Jak to zauważyła Izba w orzeczeniu KIO 54/12: "Zgodnie z art. 190 ust. 1 ustawy p.z.p. strony są obowiązane wskazywać dowody dla stwierdzenia faktów, z których wywodzą skutki prawne. Ciężar dowodu, zgodnie z art. 6 k.c. w zw. z art. 14 ustawy p.z.p. spoczywa na osobie, która z danego faktu wywodzi skutki prawne.".... Tym samym, w rozpoznawanej sprawie, to odwołujący winien wykazać m.in., że treść złożonej przez Przystępującego oferty nie odpowiada treści SIWZ. A zatem, z uwagi na normę prawną wypływającą z przepisu art. 89 ust. 1 pkt 2) ustawy Pzp, koniecznym było wykazanie przez odwołującego rzeczywistej treści oferty złożonej przez przystępującego, jak również odpowiedniej treści SIWZ i jej znaczenia (wykazanie faktycznie postawionych przez Zamawiającego, istotnych w kontekście stawianego zarzutu, wymagań odnoszących się do przedmiotu zamówienia), z którą treść tejże oferty należałoby zestawić, a następnie wykazanie, że rozbieżności między tymi dwoma dokumentami, w takim wymiarze, jaki ustalił on ich zaistnienie i opisał je w odwołaniu, faktycznie miały miejsce. Pamiętać również przy tym należy o powoływanym przepisie art. 190 ust. 5 ustawy Pzp, z którego wynika, że w każdym innym przypadku niż określone w tymże przepisie koniecznym jest przedstawienie przez stronę twierdzącą dowodów dla stwierdzenia faktów, z których wywodzi ona skutki prawne. Niesprostanie w rozpoznanej sprawie przez odwołującego obowiązkowi dowodowemu pociągać musiało uznanie, że zarzuty przez niego podnoszone są niezasadne, a tym samym odwołanie, jako takie, podlega oddaleniu." Sygn. akt KIO 2021/16 Nie sposób uznać, iż odwołujący przedstawił jakiekolwiek dowody na poparcie swoich tez wskazanych w odwołaniu, a contrario przystępujący w przedmiotowym piśmie przedstawił dowody na nieprawdziwość tez wysuwanych przez odwołującego. 4.4. W świetle odpowiedzi popartych dowodami na nieprawdziwe twierdzenia wysuwane w Odwołaniu przystępujący wnosi o oddalenie odwołania jako oczywiście bezzasadnego. Krajowa Izba Odwoławcza ustaliła i zważyła co następuje Izba ustaliła Do Prezesa Krajowej Izby Odwoławczej odwołanie wpłynęło bezpośrednio w dniu 24.10.2016 r. za pismem z dnia 24.10.2016 roku. Ogłoszenie o zamówieniu opublikowane zostało w Dzienniku Urzędowym Unii Europejskiej w dniu 20.04.2016 r. pod numerem 2016/S 077-136424. Postępowanie o udzielenie zamówienia publicznego prowadzone jest w trybie przetargu nieograniczonego i dotyczy „Zakupu i wdrożenia systemów bezpieczeństwa dla Infrastruktury Teleinformatycznej Ministerstwa Finansów” oznaczone nr sprawy R/151/I5/DS/B/579. Zamówienie podzielone jest na dwie części (I i II). Odwołanie dotyczy części II, której z krótkiego opisu wynika, że przedmiotem jest: sprzedaż i dostawa oprogramowania antywirusowego dla środowiska wirtualnego; integracja systemów silnego uwierzytelnienia; dostawa i wdrożenie System kontrolowanego dostępu do zasobów sieciowych; asysta techniczna dla wymienionych systemów. Szacunkowa wartość bez VAT 1.500.000 i 3.000 000 EUR. Czas trwania rozpoczęcie dnia 07.12.2016 r. i zakończenie dnia 06.06.2018 roku. Wpis od odwołania w wysokości 15.000 zł został wniesiony na rachunek UZP dnia 20.10.2016 roku. Przedmiotem odwołania jest zaniechanie odrzucenia oferty na podstawie art.89 ust.1 pkt 2 pzp złożonej przez wykonawcę, którego oferta została wybrana przez zamawiającego jako najkorzystniejsza. Sygn. akt KIO 2021/16 Wykonawca wybrany zgłosił pismem z dnia 26 października 2016 roku przystąpienie do postępowania odwoławczego po stronie zamawiającego. Z kolei zamawiający pismem z dnia 7 listopada 2016 roku złożył odpowiedź na odwołanie, w którym uwzględnił w całości zarzuty przedstawione w odwołaniu. W dniu rozprawy na posiedzenie z udziałem stron stawił się przystępujący, który do protokołu wniósł sprzeciw na uwzględnienie odwołania przez zamawiającego. Postępowanie o udzielenie zamówienia publicznego prowadzone przez zamawiającego w trybie przetargu nieograniczonego dotyczy „Zakupu i wdrożenia systemów bezpieczeństwa dla Infrastruktury Teleinformatycznej Ministerstwa Finansów” oznaczone nr sprawy R/151/I5/DS/B/579. Odwołanie dotyczy części II przedmiotu zamówienia. Wpis od odwołania w wysokości 15.000 zł został wniesiony na rachunek UZP dnia 20.10.2016 roku. Odwołanie wniesiono na zaniechanie dokonania czynności, do której zamawiający był zobowiązany na podstawie ustawy Pzp to jest zaniechania odrzucenia oferty złożonej przez Dimension Data Polska Sp. z o. o. zwanej w toku postępowania odwoławczego „przystępującym po stronie zamawiającego” lub ”wykonawcą wybranym” lub „zgłaszającym sprzeciw”. Naruszenie pzp nastąpiło w postępowaniu o udzielenie zamówienia publicznego na „Zakup i wdrożenie systemów bezpieczeństwa dla Infrastruktury Teleinformatycznej Ministerstwa Finansów”. Podstawę wniesienia odwołania stanowił art. 180 ust. 1 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych, zwanej dalej „ustawą Pzp” lub „pzp”. Odwołujący posiada interes w uzyskaniu zamówienia, ponieważ na część II zamówienia złożone zostały dwie oferty w tym oferta odwołującego oraz wykonawcy wybranego/przystępującego w sprawie. W związku powyższym jest podmiotem uprawnionym do złożenia środka ochrony prawnej w rozumieniu art. 179 ust. 1 pzp. Zarzuty odniesione do art. 89 ust. 1 pkt 2) pzp - poprzez zaniechanie odrzucenia oferty złożonej przez wykonawcę wybranego, pomimo tego, iż treść jego oferty nie odpowiada treści specyfikacji istotnych warunków zamówienia (SIWZ). Zarzut odwołujący precyzuje do nie spełnienia wymagań opisanych w SIWZ w odniesieniu do systemu kontrolowanego dostępu do zasobów sieciowych (SKD). Sygn. akt KIO 2021/16 W związku z przedstawionymi zarzutami odwołujący żąda: unieważnienia wyboru oferty najkorzystniejszej, odrzucenia oferty złożonej przez wykonawcę wybranego, dokonania ponownej czynności badania i oceny ofert, dokonania ponownej czynności wyboru oferty najkorzystniejszej. O wyborze najkorzystniejszej oferty zamawiający powiadomił wykonawców w dniu 14.10.2016 r. Wobec czego termin na wniesienie odwołania, o którym mowa w art. 182 ust. 1 pkt 1) pzp odwołujący dochował wnosząc odwołanie w dniu 24 października 2016 roku. W tym samym dniu kopię odwołania przesłał zamawiającemu. Odwołanie nie podlega odrzuceniu w myśl art.189 ust.2 pzp Odwołujący przedstawiając uzasadnienie faktyczne powołał się na załącznik nr 7 do umowy - Opis środowiska zamawiającego Systemu kontrolowanego dostępu do zasobów sieciowych - w tabeli 2 - Lista urządzeń zamawiającego, wskazał listę urządzeń, z którymi będzie współpracował oferowany system SKD (System kontrolowanego dostępu do zasobów sieciowych), przy czym dla urządzeń końcowych (klienckich) zamawiający wskazał, iż system będzie działał z następującymi urządzeniami:1) komputery PC pracujące pod kontrolą systemu Windows 7/8/10 w liczbie 2300 sztuk,2) Drukarki sieciowe w liczbie 250 sztuk,3)Telefony VoIP AASTRA 67571 IP Phone w liczbie 50 sztuk, 4 Tablety z systemem operacyjnym Windows 8/10, Android, iOS w liczbie 400 sztuk, 5) Smartfony / telefony GSM z systemem operacyjnym Windows Phone/10, Android, IOS w liczbie 400 sztuk, co wskazuje na sumaryczną liczbę urządzeń końcowych systemu SKD wynoszącą 3400 sztuk Jednocześnie Zamawiający w załączniku nr 3 Załącznika E do SIWZ Wzory umów dla Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych (SKD)” w tabeli 1, wierszu 18, str. 57, wymaga by system SKD zapewnił obsługę minimum 3500 sztuk sprzętów jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika końcowego. Jednocześnie Zamawiający w załączniku "D" do SIWZ (wykaz cech oferowanych produktów) w pkt II - System kontrolowanego dostępu do zasobów sieciowych (SKD) - w wierszu lp. 9 - wskazał jednoznacznie, iż system, cyt: "SKD dynamicznie i automatycznie musi rozpoznawać rodzaj oraz producenta sprzętu i na tej podstawie przydzielać do odpowiedniego profilu zdefiniowanego wcześniej w SKD, w szczególności musi zapewniając co najmniej: dynamiczną klasyfikację każdego sprzętu, który jest podłączany so sieci LAN MF ", po czym zamawiający wymienia wraz ze szczegółowym opisem realizacji celu wszystkie funkcjonalności jakie ma realizować SKD.Odwołujący we wniesionym odwołaniu Sygn. akt KIO 2021/16 na szczególną uwagę zwrócił na pierwsze z wymagań w brzmieniu cyt: "dynamiczną klasyfikację każdego sprzętu, który jest podłączany do sieci LAN MF (automatyczne rozpoznawanie sprzętu, wg. "sygnatur" - SKD musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz "identyfikowanie i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika", a także pozostałe wymagania wskazane w lp. 9 ww. załącznika. Według twierdzeń odwołującego dla realizacji tych wymagań niezbędne jest wyposażenie systemu SKD w dodatkową licencję/subskrypcję Cisco ISE Endpoint Plus Subscription License, zwaną dalej „Plus", w liczbie odpowiadającej maksymalnej liczbie przyłączanych urządzeń do sieci zamawiającego, która według zamawiającego wynosi nie mniej niż 3400 sztuk. Realizacja ww. funkcjonalności przez system SKD z wykorzystaniem wyłącznie podstawowych licencji typu „Base” (L-ISE-BSE-3500 Cisco Identity Services Engine 3500 EndPoint Base License) w liczbie 3500 sztuk, które zaoferował wykonawca wybrany - stanowiącą część składową oferty tego Wykonawcy, tabela, Ip. 13 - nie jest możliwa do zrealizowania, tj. nie spełnia opisanych wymagań zamawiającego. Zdaniem odwołującego powyższe wskazuje, że treść oferty złożonej przez wykonawcę wybranego nie odpowiada treści SIWZ. Odwołujący zwrócił uwagę, że wykonawca wybrany zaoferował zaledwie 250 licencji „Plus" (L-ISE-PLS-S-250) - Szczegółowa specyfikacja oferowanego systemu SKD stanowiącą część składową oferty tegoż Wykonawcy, tabela, lp. 14 - przy jednoczesnym zaoferowaniu 3500 licencji „Base" lp. 13. Odwołujący uważa, że tak skonfigurowany system nie będzie w stanie realizować opisanych wyżej wymagań zamawiającego, dla więcej niż 250 jednocześnie podłączonych do niego urządzeń (tj. zaledwie nieco ponad 7% z ogólnej liczby jaką planuje podłączyć zamawiający w swojej sieci LAN nadzorowanej przez SKD. Dla realizacji wszystkich opisanych wyżej wymagań SIWZ wymagane jest zastosowanie dla nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna" dzięki wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu sieciowego z jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP, czytników kodów kreskowych itp. system ma do czynienia, a po ich zidentyfikowaniu będzie możliwe przypisanie odpowiadających im, zdefiniowanych polityk bezpieczeństwa. Reasumując odwołujący stwierdza, żeby zrealizować wszystkie opisane wyżej wymagania zamawiającego, w szczególności „dynamiczną klasyfikację każdego sprzętu, który jest podłączany do sieci LAN MF (automatyczne rozpoznawanie sprzętu, wg. "sygnatur" - SKD musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika” - wymagane jest zapewnienie licencji „Plus" dla wszystkich urządzeń jakie będą podpięte do sieci Sygn. akt KIO 2021/16 zamawiającego tj. co najmniej 3400 licencji w modelu subskrypcyjnym, co wynika z liczby urządzeń jaką posiada zamawiający i planuje włączyć do sieci kontrolowanej przez system SKD (załącznik nr 7, tabela nr 2), czyli nawet 3500 sztuk na co wskazuje Zamawiający (załącznik „D” do SIWZ (wykaz cech oferowanych produktów) w pkt. II System kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp. 18 - wyciąg z tabeli „SKD musi zapewnić obsługę min.3 500sztuk. sprzętu jednocześnie włączanych do sieci LAN MF bez opóźnienia z punktu widzenia użytkowników końcowych”. 3. Odwołujący niezależnie od niezgodności z SIWZ opisanej powyżej to jest w zakresie licencji PLUS uważa, że oferta wykonawcy wybranego nie odpowiada treści SIWZ jeszcze z innego powodu. Oferta nie spełnia wymagań stawianych przez zamawiającego w odniesieniu do systemu SKD umożliwiających jego wdrożenie i realizację określonych przez zamawiającego zadań. Zamawiający w SIWZ (załącznik nr 3 Załącznika E do SIWZ Wzory umów dla Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych (SKD)” w tabeli 1, wierszu 23, str. 58 oraz załącznik „D” - wykaz cech oferowanych produktów dla II System kontrolowanego dostępu do zasobów (SKD)) wskazuje na wymóg dostarczenia wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z interfejsami do dwóch przełączników Cisco WS-C6513-E stawiając określone i jednoznaczne wymogi - jak wyciąg z tabeli, lp. 23 obu w.w dokumentów: „Każda z dostarczonych kart liniowych z interfejsami do dwóch przełączników Cisco WS-C 6513-E(2 sztuki) musi zawierać taką liczbę portów fizycznych, która zapewni podłączanie przełączników WS-C6513-E ze sprzętem (hardware) dla SKD, o którym mowa w wierszu Tabeli powyżej oraz dostarczona karta nie może ograniczać funkcjonalności przełączników oraz posiadanej przez Zamawiającego gwarancji na ww. przełączniki.” Wyżej wymienione karty liniowe będą służyły do podłączenia oferowanych urządzeń systemu SKD (Cisco ISE) i w związku z tym muszą wspierać wszystkie funkcjonalności jakie przed systemem SKD postawił Zamawiający - zob. Wyciąg z tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla oferowanego Systemu kontrolowanego dostępu do zasobów sieciowych.” załącznika „D”, lp. 28 :”Wykonawca, w ramach SKD, musi dostarczyć, zaprojektować i wdrożyć funkcjonalność zapewniającą segmentację sieci LAN, która musi spełniać łącznie wszystkie następujące wymagania: a)musi ciągle, na bieżąco i automatycznie segmentować sieć na grupy użytkowników i pojedynczych użytkowników, b)zarządzanie segmentacją musi odbywać się z poziomu interfejsu graficznego, będącego częścią SKDtzn.dostęp administratora do panelu zarządzania funkcjonalnością musi odbywać się z poziomu SKD c)…”. Sygn. akt KIO 2021/16 Tymczasem wykonawca wybrany zaoferował karty liniowe WS-C6848-TX-2T C6k-48-port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 - Szczegółowa specyfikację oferowanego systemu SKD stanowiącą część składową oferty tego Wykonawcy, tabela, lp. 16 Według odwołującego zaoferowane przez wykonawcę wybranego karty nie pozwalają realizować funkcjonalności systemu SKD opisanych przez zamawiającego w załączniku „D” w tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla oferowanego Systemu kontrolowanego dostępu do zasobów sieciowych.” lp 28 zamieszczonych poniżej - wyciąg z załącznika D: [- wskazane wymagania są wynikiem modyfikacji SIWZ z dnia 22.06.2016 r.] Warunkiem realizacji funkcjonalności TrustSec Security Group Tag (SGT) jest wsparcie dla niej przez oferowane rozwiązanie SKD oraz urządzenia sieciowe (przełączniki). Według zamawiającego urządzenia sieciowe, które posiada wspierają mechanizmy TrustSec Security Group Tag (SGT). Zamawiający wymaga by system SKD został dostarczony w postaci fizycznych appliances (dedykowane urządzenia) - Załącznik nr 3 do Umowy i odpowiadający mu fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych produktów - w tabeli wiersz 22, str. 52, które zostaną podłączone do 2 sztuk centralnych przełączników sieciowych Zamawiającego z rodziny Cisco Catalyst 6513-E. Warunkiem podłączenia systemu SKD jest wyposażenie ww. przełączników w karty linowe będące przedmiotem dostawy w tym postępowaniu -. Załącznik nr 3 do Umowy i odpowiadający mu fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych produktów - w tabeli wiersz 23, str. 52. Jednak by system SKD mógł zrealizować stawiane mu wymogi w zakresie TrustSec Security Group Tag (SGT) musi zostać podłączony do urządzeń wspierających mechanizmy TrustSec Security Group Tag (SGT) poprzez karty liniowe również wspierające tą technologię. W przypadku jeśli system SKD zostanie podłączony do urządzeń wspierających mechanizm TrustSec Security Group Tag (SGT) przez karty liniowe zainstalowane w tych urządzeniach lecz nie wspierające mechanizmów TrustSec Security Group Tag (SGT) nie będzie można skorzystać na systemie SKD z tych funkcjonalności w zakresie TrustSec Security Group Tag (SGT). Karta liniowa nie wspierająca mechanizmów SGT uniemożliwi komunikacje i zastosowanie mechanizmów SGT pomiędzy urządzeniami systemu SKD a przełącznikami sieciowymi wspierającymi mechanizmy SGT. Oznacza to, że zarówno modularny przełącznik sieciowy jak i jego karta liniowa oraz podłączony poprzez nią system SKD (Cisco ISE) musi wspierać architekturę SGT by można było zrealizować wymogi Zamawiającego. Wykonawca wybrany zaoferował do każdego z przełączników Cisco Catalyst 6513-E wyposażonego w moduł zarządzający w wersji SUP-2T kartę liniową WS-X6848-TX-2T (C6k- 48-port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4) - wiersz 16 (ostatni) II System Sygn. akt KIO 2021/16 kontrolowanego dostępu do zasobów sieciowych (SKD) z oferty wykonawcy wybranego, nie wspierającą mechanizmów TrustSec Security Group Tag (SGT), co oznacza iż system SKD nie będzie w stanie zrealizować zadań jakie postawił mu Zamawiający. Oznacza to, że treść oferty złożonej przez Wykonawcę DDP nie odpowiada treści SIWZ. Mając na względzie powyższe odwołujący wnosi o uwzględnienie odwołania. Przystępujący z kolei odpierając zarzuty odwołującego przedstawia je i stwierdza, że są to dwa ogólnie skonstruowane techniczne zarzuty dotyczących rzekomej niezgodności oferty przystępującego z SIWZ: 1) zarzut odnoszący się do rzekomej niemożliwości spełnienia przez ofertę złożoną przez przystępującego wymagań SIWZ z uwagi na zaoferowanie licencji typu „base" w liczbie sztuk 3500, zamiast jak postuluje odwołujący zaoferowania licencji typu „plus" w ilości sztuk nie mniejszej niż 3400; 2)zarzutu odnoszącego się do rzekomej niemożliwości spełnienia przez ofertę złożoną przez przystępującego wymagań SIWZ z uwagi na to, iż zaoferowane przez przystępującego karty liniowe WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 nie pozwalają realizować funkcjonalności systemu SKD Kwitując zarzuty odwołującego stwierdza przystępujący, że z treści odwołania nie można wywnioskować jakie konkretnie zarzuty stawia odwołujący ofercie wykonawcy wybranemu/przystępującemu. Odwołujący nie wskazuje na czym konkretnie polega zarzucana niezgodność z wymienionymi przez odwołującego wymaganiami, które postawił zamawiający określając przedmiot zamówienia, nie wskazuje również żadnego dowodu na poparcie swoich ogólnych twierdzeń. Potwierdza, że istnieje 1)wymóg, by system SKD zapewnił obsługę minimum 3500 sztuk sprzętów jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika końcowego (Załącznik Nr 3 Załącznika E do SIWZ Wzór Umowy dla Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych „(SKD)" w tabeli 1, wierszu 18, str. 57); 2)wymóg, by system SKD zapewniał „dynamiczną klasyfikację każdego sprzętu, który jest podłączany do sieci LAN MF (automatyczne rozpoznanie sprzętu, wg. „sygnatur" - SKD musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika". Nie mniej zwraca uwagę, że zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3 Załącznika E do SIWZ Wzoru Umowy dal Części II - Szczegółowy opis wymagań dla systemu kontrolowanego dostępu do zasobów sieciowych (SKD)" wskazał, iż,,...nie narzuca zastosowania jednego rozwiązania, spełnia wymogi SIWZ, a wskazuje jedynie parametry/minimalne wymagania, które każdy z wykonawców winien jest spełnić.", wskazał Sygn. akt KIO 2021/16 również, iż „...dopuszcza się stosowanie rozwiązań składających się z kilku komponentów przy zachowaniu spełnienia wymagań opisanych " w tabeli 1. Zgodnie z intencją zamawiającego wskazaną powyżej, to wykonawca miał za zadanie dobrać odpowiednio komponenty pasujące do wymagań wskazanych przez zamawiającego. Z żadnego zapisu SIWZ nie wynika, iż wykonawcy zobligowani byli do zakupu licencji „Plus" w ilości odpowiadającej ilości posiadanych przez Zamawiającego urządzeń końcowych - tzn. w ilości nie mniejszej niż 3400 sztuk. Odwołujący nie wykazał, że treść któregoś z wymagań na to wskazuje, nie wskazał także żadnego dowodu na poparcie swojej tezy tak twierdzi wykonawca wybrany/ przystępujący w sprawie. Wykonawca pragnie podkreślić, iż jego oferta spełnia wszystkie wymagania postawione przez zamawiającego, w tym dwa ww., zaś spełnienie przytaczanych przez odwołującego w odwołaniu wymagań możliwe jest na podstawie konfiguracji wskazanej w Szczegółowej specyfikacji oferowanego systemu SKD, która stanowi część składową oferty Wykonawcy, tzn. poprzez zaoferowanie 3500 sztuk licencji „Base" (Ip. 13 specyfikacji oferty - L-ISE- BSE- 3500 = Cisco Identity Services Engine 3500 Endpoint Base License) oraz poprzez zaoferowanie 250 sztuk licencji „Plus" (Ip. 14 specyfikacji oferty - licencja L- ISE-PLS-S-250= Cisco ISE 250 Endpoint Plus Subscription License). Zaoferowanie przez Wykonawcę 3500 sztuk licencji typu „Base" umożliwia zgodnie z wymogiem wymienionym w ppkt 2.2.,pkt 1) powyżej obsługę minimum 3500 sprzętów jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika końcowego, przygotowana przez Wykonawcę konfiguracja (3500 licencji „Base" + 250 sztuk licencji typu „Plus) zapewnia dynamiczną klasyfikację każdego sprzętu, który podłączany jest do sieci LAN MF (wymóg wskazany w ppkt 2.2., pkt 2) powyżej. Ponadto w swojej odpowiedzi podkreślił, że zamawiający posiada dwa rodzaje urządzeń końcowych (3400 szt.). Zamawiający posiada dwa rodzaje urządzeń końcowych (3400 szt.) A. urządzenia nieinteligentne/urządzeń bez (oprogramowania) suplikanta/urządzeń typu non - user,, na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z Załącznika „D" do SIWZ (wykaz cech oferowanych produktów) w pkt II - System kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp.9 w treści „...kontrolę dostępu do sieci LAN MF, sprzętu typu non-user, co najmniej kamery, drukarki...", które posiada w ilości sztuk 250. B. urządzenia inteligentne/urządzenia (z oprogramowaniem) z suplikanta/urządzenia typu user na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z ww. Załącznika „D" Sygn. akt KIO 2021/16 do SIWZ „...kontrolę dostępu do sieci LAN MS sprzętu typu user-devices..." które posiada w ilości sztuk 3150. Zatem dynamiczne rozpoznawanie/klasyfikacja każdego sprzętu, o którym mowa w wymaganiu z ppkt 2.2.,pkt 2) powyżej będzie odbywać się w następujący sposób: A. dla sprzętu inteligentnego rozpoznawanie/klasyfikacja będzie odbywać się przy użyciu zaoferowanej licencji typu „Base", wg. sygnatury określonej w certyfikacie uwierzytelniającym, który posiada każde urządzenie inteligentne. Certyfikatu nie da się podrobić oraz nie da się zrobić jego kopii. Zamawiający zaznaczył, że dla każdego urządzenia „user-devices". poprzez serwer uwierzytelniający wydawany będzie jeden certyfikat, który z definicji jest jednoznacznie przypisany tylko do jednego urządzenia w relacji 1 do 1. Wydawanie certyfikatu dla urządzenia, który go jednoznacznie identyfikuje z założenia jest operacją, która musi zostać zaksięgowana i w której można zawrzeć pełne informacje o urządzeniu. Licencja typu „Base" w umożliwia rozpoznawanie i klasyfikację podłączanych urządzeń na podstawie prezentowanych przez nich cech. Zaoferowany system SKD zapewnia ciągle weryfikowanie tożsamości podłączonych urządzeń poprzez ich odpytywanie po określonym czasie o ponowne uwierzytelnienie się", B. dla sprzętu nieinteligentnego, który nie posiada certyfikatu identyfikacja i klasyfikacja rodzaju sprzętu nastąpi niezależnie od tożsamości użytkownika przy użyciu zaoferowanej licencji typu „Plus" (250 sztuk) na podstawie profilowania generowanego przez nich ruchu. 2.3. Reasumując, w celach rozpoznawania/klasyfikacji urządzeń inteligentnych posiadanych przez Zamawiającego w ilości 3150 sztuk - uwierzytelniających się z wykorzystaniem certyfikatu nie ma potrzeby zakupu licencji „Plus", gdyż nie ma potrzeby profilowania ruchu, od urządzenia które będzie posiadać certyfikat wydany przez system SKD, ponieważ takie urządzenia w momencie podłączenia do sieci przedstawi się certyfikatem, który jednoznacznie identyfikuje urządzenie końcowe. Na podstawie postawionych przez zamawiającego wymagań i wymaganych mechanizmów uwierzytelniania, zgodnie z oczekiwaniami zamawiającego dla urządzeń nieinteligentnych wykonawca wykupił licencję „Plus" umożliwiającą profilowanie urządzeń na podstawie profilowania ruchu, do czego niezbędna jest licencja „Plus" tylko dla urządzeń końcowych, które nie mogą być uwierzytelnione za pomocą sygnatury zapisanej w certyfikacie. Podkreślenia wymaga fakt, iż IS w treści Odwołania na str. 7 de facto przyznaje, iż licencje typu „Plus" są potrzebne do rozpoznania urządzeń nieinteligentnych w rodzaju drukarek, kamer IP, czytników kodów kreskowych itp. Żeby zrealizować wszystkie opisane wyżej wymagania Zamawiającego wymagane jest zastosowanie dla nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna" Sygn. akt KIO 2021/16 dzięki wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu sieciowego z jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP. czytników kodów kreskowych up. system ma do czynienia, a po ich zidentyfikowaniu będzie możliwe przypisanie opowiadających im, zdefiniowanych polityk bezpieczeństwa. Zamawiający wskazał że posiada 250 sztuk urządzeń nieinteligentnych i w związku z tym Wykonawca w specyfikacji oferty zawarł licencję L-ISE-PLS-S-250, która zapewnia profilowanie urządzeń końcowych w ilości 250 sztuk co jest równoważne ilości drukarek wskazanych przez zamawiającego. W związku z powyższym, za całkowicie pozbawione merytorycznych podstaw należy uznać stwierdzenie odwołującego, iż skonfigurowany przez wykonawcę system SKD w oparciu o 250 licencji „Plus" przy jednoczesnym zaoferowaniu 3500 licencji „Base" nie będzie w stanie realizować wymagań opisanych przez Zamawiającego dla więcej niż 250 jednocześnie podłączonych do niego urządzeń końcowych. Podkreślenia wymaga fakt, iż zaproponowane przez Przystępującego licencje typu „Base" w ilości sztuk 3500 mają charakter jednorazowy, tzn. zamawiający nie musi przedłużać odpłatnie ich subskrypcji po okresie 3 lat, jak ma to miejsce w przypadku 3500 sztuk licencji „Plus" zaoferowanych przez Odwołującego. Przystępujący nie twierdzi, iż nie można było stworzyć konfiguracji dla przedmiotowego zamówienia na bazie 3500 licencji „Plus", natomiast w świetle wymagań postawionych przez Zamawiającego i kanonów tzw. „dobrych praktyk" taka konfiguracja jest absolutnie zbędna przy rozpoznawaniu urządzeń inteligentnych, co zostało wykazane powyżej. 2.4. Odwołujący nie wykazał związku pomiędzy swoimi twierdzeniami, a wymaganiami Zamawiającego, nie wykazał, które wymaganie wskazuje na obligatoryjność zaoferowania dla wszystkich urządzeń końcowych posiadanych przez Zamawiającego licencji typu „Plus", nie przedstawił żadnego dowodu na poparcie swoich nieskonkretyzowanych zarzutów. 3. Stanowisko Przystępującego odnośnie zarzutu dotyczącego zaoferowania kart liniowych WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 3.1. Zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3 Załącznika E do SIWZ Wzoru Umowy dla Części II - Szczegółowy opis wymagań dla systemu kontrolowanego dostępu do zasobów sieciowych (SKD)" Ip. 28 wskazał następujące wymaganie „Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi pozwalającej na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec Security Group Tag). Wykonawca potwierdza, iż jego oferta spełnia to wymaganie, jak również wymagania z SIWZ, które przytoczył odwołujący w treści Odwołania: wymóg dostarczenia wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z interfejsami do dwóch przełączników Cisco WS-C6513E zgodnie z wymogami określonymi w Załączniku nr 3 Sygn. akt KIO 2021/16 Załącznika E do SIWZ Wzór Umowy dla części II - Szczegółowy Opis wymagań dla .;systemu kontrolowanego dostępu do zasobów sieciowych „SKD" w tabeli 1, wierszu 23, str. 58 oraz Załącznik „D" - wykaz cech oferowanych produktów dla II System kontrolowanego dostępu do zasobów (SKD)), przytoczonych przez Odwołującego w treści Odwołania. Odwołujący skonstruował ogólny zarzut, iż zaoferowane przez wykonawcę wybranego karty liniowe WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 „nie wspierają mechanizmów TrustSec Security Group Tag (SGT), co oznacza, iż system SKD nie będzie w stanie zrealizować zadań jakie postawił mu zamawiający. Powyższy zarzut opiera się na błędnym założeniach przyjętych w wywodzie. 3.3. Błędne założenie z ppkt 3.2 lit. B powyżej. Zgodnie oficjalną z dokumentacją producenta oferowanego rozwiązania SKD, będącą opisem architektury systemu (Configuration Guide - Cisco TrustSec Switch Configuration Guide) dostępnej pod adresem internetowym producenta firmy Cisco Systems: http://www.^ er. htm I, (dowód: rysunek poniżej) podłączenie Cisco ISE do sieci poprzez przełącznik sieciowy (Ang. switch) nie wymaga mechanizmów SGT na tym podłączeniu, a zatem założenie odwołującego wskazane w ppkt 3.2 lit. B powyżej jest całkowicie błędne. Poniżej została przedstawiona topologia sieciowa dla systemu SKD z wykorzystaniem Cisco ISE (na rysunku opisany jako Authentication Server). Połączenia oznaczone jako „Protected" określają połączenia przenoszące informacje SGT. Błędne założenie z ppkt 3.2 lit. C powyżej. Zgodnie z informacjami zawartymi na ww. stronie internetowej Cisco Systems w przytoczonym powyżej oficjalnym dokumencie producenta rozwiązania, informacje o SGT są przekazywane z serwera ISE (Authentication server) do urządzeń sieciowych wspierających mechanizmy SGT za pośrednictwem protokołu RADIUS: Zatem, z dokumentów dostępnych publicznie na oficjalnych stronach producenta rozwiązania wynika, iż System SKD przekazuje informacje o TrustSec Security Group Tag (SGT) do urządzeń sieciowych wspierających mechanizmy SGT za pomocą protokołu RADIUS, a co za tym idzie nie musi być bezpośrednio podłączony do sieci poprzez interfejsy wspierające mechanizmy SGT, co skutkuje nieprawdziwością założenia z ppkt 3.2 lit. C powyżej. Zgodnie z zasadami dobrych praktyk inżynierskich dla wdrożeń tego typu systemów zalecane jest, aby serwer uwierzytelniający (w tym przypadku Cisco ISE) był podłączony do sieci poprzez link, który nie wymaga uwierzytelniania, w szczególności nie musi być wsparcia dla SGT na kartach liniowych WS-C6848-TX-2T zaoferowanych przez Wykonawcę jako dodatkowe wyposażenie przełącznika Cisco Catalyst serii 6500. Powyższe wskazuje, iż nie jest wymagane wsparcie dla SGT na bezpośrednim linku do serwera Cisco Sygn. akt KIO 2021/16 ISE, aby zapewnić funkcjonalność SGT dla urządzeń końcowych podłączonych do sieci.3.5.Ponadto, zgodnie z wymaganiem zamawiającego zawartym w SIWZ (załącznik nr 3 Załącznika E do SIWZ Wzory umów dla Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych (SKD) w tabeli 1, wierszu 23: Wykonawca zaoferował karty WS-C6848-TX-2T zawierające taką liczbę portów fizycznych, która zapewni podłączenie przełączników WS-C6513-E ze sprzętem dla SKD, tj. serwerami Cisco ISE SNS- 3515-K9. Zaoferowana karta nie ogranicza funkcjonalności przełączników WS-C6513- E oraz posiadanej przez Zamawiającego gwarancji na ww. przełączniki oraz nie ogranicza funkcjonalności całego Systemu Kontroli Dostępu, w szczególności funkcjonalności TrustSec Security Group Tag ponieważ, zgodnie z przytoczoną dokumentacją, połączenie pomiędzy przełącznikiem WS-C6513-E a serwerem Cisco ISE nie wykorzystuje SGT. 3.6. Z uwagi na powyższe, nie prawdziwe i nie poparte jakimikolwiek dowodami jest twierdzenie odwołującego, iż zaoferowane przez wykonawcę wybranego karty nie pozwalają realizować funkcjonalności systemu SKD opisanych przez zamawiającego w załączniku „D" w tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla oferowanego Systemu kontrolowanego dostępu do zasobów sieciowych" Ip. 28 - wyciąg z załącznika D. Wykonawca zaoferował wymagane przez zamawiającego karty liniowe w ilości i o parametrach zgodnych z opisem wskazanym w SIWZ, które nie uniemożliwiają realizacji funkcjonalności wymaganej przez Zamawiającego - Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi pozwalającej na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec Security Group Tag) oraz spełnienia wszystkich związanych z nią wymagań. W treści wymagań SIWZ nie ma wymogu, że każde urządzenie, w tym karta liniowa musi wspierać (SGT). Podsumowując swoje stanowisko przystępujący w szczególności zwrócił uwagę na następujące zagadnienia dowodowe w sprawie. 4.1. Przystępujący pragnie podkreślić, iż jako jeden z wiodących podmiotów na rynku we wdrażaniu systemów podobnych do zamawianego przez Ministerstwo Finansów systemu posiada ogromną wiedzę na temat projektowania, wdrażania systemów odpowiadających swą charakterystyką systemowi SKD, budowanych w oparciu o urządzenia posiadane i zamawiane przez zamawiającego, w tym urządzenia firmy Cisco Systems. Wyrywkowe supozycje wskazane w odwołaniu, które są merytoryczną podstawą de facto dwóch zarzutów nie ostają się w świetle dostępnej wiedzy wysoko wykwalifikowanej kadry inżynierskiej przystępującego. Uwzględnienie Odwołania prowadziłoby do odrzucenia oferty Przystępującego, która w pełni spełnia wszelkie wymagania Zamawiającego postawione w SIWZ oraz potencjalnie zmuszałoby Zamawiającego do wyboru oferty, która oferuje Sygn. akt KIO 2021/16 nadmiarowe z punktu widzenia wymagań SIWZ rozwiązania i której wartość przekracza budżet Zamawiającego o kwotę prawie 900 000 zł. 4.2. Podkreślenia wymaga, iż odwołanie nie zawiera skonkretyzowanych zarzutów, zaś blankietowe stwierdzenia o niezgodności oferty z danymi z danymi wymaganiami SIWZ. W ramach postępowania odwoławczego odwołujący ma obowiązek postawić konkretne zarzuty w zakresie niezgodności z prawem czynności zamawiającego, które następnie ma obowiązek udowodnić. 4.3. Odwołanie nie ostaje się również w swej treści obowiązkowi związanemu z ciężarem dowodowym, który spoczywa na odwołującym i który został określony w art. 190 ust.1 ustawy Prawo zamówień publicznych. Stosownie do podstawowej zasady wynikającej z art. 6 k.c, znajdującej swe odzwierciedlenie w art. 190 ust. 1 ustawy Pzp, ciężar dowodu w zakresie okoliczności faktycznych spoczywa na tym, który ze swoich twierdzeń wywodzi skutek prawny. W rozpoznawanej sprawie takim obowiązkiem dowodowym obciążony był odwołujący. A zatem, z uwagi na normę prawną wypływającą z przepisu art. 89 ust. 1 pkt 2) ustawy Pzp, koniecznym było wykazanie przez odwołującego rzeczywistej treści oferty złożonej przez przystępującego, jak również odpowiedniej treści SIWZ i jej znaczenia (wykazanie faktycznie postawionych przez Zamawiającego, istotnych w kontekście stawianego zarzutu, wymagań odnoszących się do przedmiotu zamówienia), Niesprostanie w rozpoznanej sprawie przez odwołującego obowiązkowi dowodowemu pociągać musiało uznanie, że zarzuty przez niego podnoszone są niezasadne, a tym samym odwołanie, jako takie, podlega oddaleniu." Nie sposób uznać, iż odwołujący przedstawił jakiekolwiek dowody na poparcie swoich tez wskazanych w odwołaniu, a contrario przystępujący w przedmiotowym piśmie przedstawił dowody na nieprawdziwość tez wysuwanych przez odwołującego. W świetle odpowiedzi popartych dowodami na nieprawdziwe twierdzenia wysuwane w Odwołaniu przystępujący wnosi o oddalenie odwołania jako oczywiście bezzasadnego. Izba zważyła Na podstawie przeprowadzonego na rozprawie postępowania wyjaśniającego i dowodowego, uwzględniając prezentowane stanowiska stron oraz przystępującego w pismach jak i na rozprawie Izba zważyła jak poniżej. Odwołanie zasługuje na uwzględnienie. Sygn. akt KIO 2021/16 W związku z uwzględnieniem odwołania w dniu rozprawy (07.11.2016 r.) przez zamawiającego i zgłoszeniem sprzeciwu przez przystępującego po stronie zamawiającego to jest wykonawcy wybranego Izba, rozpoznała merytoryczne zarzuty odwołania. Odwołujący oparł zarzut o art.89 ust.1 pkt 2 pzp twierdząc, że treść oferty wykonawcy wybranego jest sprzeczna z treścią SIWZ, z uwagi na zaoferowane nieodpowiednie ilości licencji PLUS CISCO i karty liniowe. Jak przyznały obie strony w postępowaniu odwoławczym przed Izbą niesporną okolicznością jest, że zamawiający żądając przedstawienia oferowanego przedmiotu zamówienia nie określił parametrów urządzeń a tylko wymagane minimalne funkcjonalności systemu kontroli dostępu (SKD) do systemu teleinformatycznego zamawiającego. Przystępujący/wykonawca wybrany argumentował, że jego rozwiązanie jako firmy specjalistycznej w tego rodzaju zamówieniach jest rozwiązaniem zapewniającym osiągnięcie oczekiwanych funkcjonalności a czemu zaprzeczył nie tylko odwołujący ale również zamawiający uwzględniając odwołanie przed rozprawą. Przedmiotem sporu były dwa zagadnienia techniczne związane z dostawą systemu kontroli dostępu. Pierwszym z nich była kwestia koniecznych licencji PLUS a zwłaszcza ich ilości, które zapewniałyby badanie sprzętu korzystającego z zasobu sieci informatycznej zamawiającego. Różnica zdań polegała na tym, że wykonawca wybrany uzależnił rodzaj licencji w zależności od rodzaju sprzętu dzieląc go na tzw. inteligentny i nie inteligentny. Co do rodzaju sprzętu i jego ilości w bazie zamawiającego między stronami postępowania odwoławczego nie istniał spór. Na całkowitą ilość posiadanego sprzętu to jest 3.400 urządzeń 250 posiadało miano sprzętu non – user czyli nie inteligentnego. W związku z tym według wiedzy posiadanej przez wykonawcę wybranego zaoferował on na sprzęt nie inteligentny licencję typu PLUS a na pozostały sprzęt licencje BASE. Takie stanowisko według wykonawcy przystępującego jest słuszne, ponieważ nigdzie w SIWZ zamawiający nie wymagał konkretnej licencji i zapewnienie wymaganych funkcjonalności należało do oceny wykonawcy. Z kolei odwołujący powołując się również na SIWZ uważał, że na cały sprzęt to jest 3.400 sztuk i planowanych do rozbudowy 100 sztuk (łącznie 3.500 sztuk) należy zaoferować zarówno licencje podstawową to jest BASE jak i licencję bardziej rozwiniętą technologicznie służącą do profilowania urządzeń to jest PLUS. Stanowisko to słusznie odwołujący wywodził z samych postanowień SIWZ przywołując na rozprawie ostatnie zdanie nad tabelą Załącznika nr 3 do Umowy pn. Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych (SKD) Wymagania minimalne (Tabela 1) o treści „SKD musi zapewniać redundantne uwierzytelnianie, autoryzację i profilowanie sprzętu dołączonego do sieci zarządzanego z zastosowaniem jednego Sygn. akt KIO 2021/16 wspólnego interfejsu, przy czym dopuszcza się stosowanie rozwiązań składających się z kilku komponentów przy zachowaniu spełniania wymagań opisanych poniżej.” W tej samej tabeli w L.p. 9 Profilowanie opis wymagania brzmi „SKD (System Kontroli Dostępu) dynamicznie i automatycznie musi rozpoznawać rodzaj oraz producenta sprzętu i na tej podstawie przydzielać do odpowiedniego profilu zdefiniowanego wcześniej w SKD, w szczególności musi zapewnić co najmniej: ósmy akapit: automatyczna, ciągła i bieżąca analiza informacji pochodzących z(…) i w wyniku tej analizy automatyczne, ciągłe i bieżące profilowanie sprzętu końcowego. Na rozprawie: „Pan P.Z. przeczy twierdzeniom pełnomocnika przystępującego, który wyjaśniał dzisiaj, że sprzęt inteligentny nie musi być profilowany, a profilowanie dotyczy tylko sprzętu nieinteligentnego. Na okoliczność, iż każdy sprzętu powinien być profilowany przywołuje ostatnie zdanie nad tabelą 1, z którego wynika, że SKD musi zapewniać redundantne uwierzytelnianie, autoryzację i profilowanie sprzętu dołączonego do sieci zarządzanego z zastosowaniem jednego wspólnego interfejsu. Nie ma tu podziału na rodzaj sprzętu. W akapicie ósmym zaczynającym się „automatyczna, ciągła i bieżąca analiza” kończy się ciągłe i bieżące profilowanie sprzętu bez podziału na jego rodzaj i dlatego potrzebujemy licencji Plus. Pan M.D. zwraca uwagę na treść załącznika nr 7, który określa jakie zamawiający ma urządzenia i w tej tabeli drukarki sieciowe sztuk 250, a łączna liczba urządzeń wynosi 3400 i biorąc pod uwagę załącznik D pkt 18, z którego wynika że system SKD ma zapewnić obsługę minimum 3500 sztuk, a nie można mieć pewności, że zwiększona liczba sprzętu o 100 sztuk będzie inteligentna i przyjmując interpretację przystępującego, który uważa że tylko dla nieinteligentnych trzeba licencji Plus. Asekuracyjnie nawet niespełniony jest wymóg 350 bo oferuje się 250 licencji Plus”. Powyższe postanowienia SIWZ, przywoływane na rozprawie, wskazują jednoznacznie, że koncepcja wykonawcy wybranego zaoferowania licencji PLUS tylko dla urządzeń tzw. nie inteligentnych nie znajduje uzasadnienia. Tym samym słuszne jest stanowisko odwołującego i popierającego go zamawiającego wskutek uwzględnienia odwołania, że profilowany ma być każdy sprzęt zarówno tzw. inteligentny jak i tzw. nie inteligentny. Czyli oferta wykonawcy wybranego jest sprzeczna z treścią SIWZ skoro odwołujący co jest bezspornym w sprawie ofertuje 250 licencji CISCO PLUS a nie 3.500 sztuk. O słuszności zarzutu odwołującego świadczy również okoliczność, że oferta w związku z przewidzianą rozbudową ilości urządzeń o kolejne 100 sztuk nie obejmowała zaoferowania kolejnych 100 licencji PLUS. Należy bowiem brać pod uwagę, że zamawiający może rozszerzyć beza sprzętową o urządzenia nie inteligentne. Wówczas chociażby z tego powodu oferta jest sprzeczna z treścią SIWZ, ponieważ oferta zwiera 250 licencji PLUS a nie co najmniej 350 licencji PLUS, przy założeniu, że urządzenia inteligentne tej licencji nie wymagają (pkt 18 zał. Nr 3 do umowy SKD musi zapewnić obsługę minimum 3.500 sztuk Sygn. akt KIO 2021/16 sprzętu jednocześnie włączanych do sieci LAN MF bez opóźnienia z punktu widzenia użytkowników końcowych). Stanowisko odwołującego zostało potwierdzone również odpowiedzią udzieloną przed przedstawicieli CISCO zarówno przedstawicielstwa w Polsce (T.J. email) jak i zagranicznego (P.C. email). Przedstawicielom tym zadano pytania dotyczące zarówno co do właściwej licencji jak i drugiego zarzutu kart liniowych z interfejsami w kontekście wymagań SIWZ. W ocenie Izby odpowiedzi były jednoznaczne w obydwu przypadkach ich udzielenia to jest „Do zrealizowania „profilowania” urządzeń i na tej podstawie tworzenia polityk jest wymagana subskrypcyjna licencja ISE PLUS (tabela 1 poniższego źródła) np. aby jednocześnie profilować (i tworzyć na tej podstawie polityki) 1000 licencji ISE PLUS oraz 1000 licencji ISE BASE (ISE BASE jest wymagane do zainstalowania licencji PLUS, tabela 1 poniższego źródła).” Czy też „Karty „WS-X6848-TX-2T=” SGT nie obsługują”. Udzielone odpowiedzi są o tyle znaczące dla wyjaśnienia sprawy, że zostały wydane na podstawie przedstawionych treści SIWZ. W sprawie nie ma znaczenia podnoszona okoliczność, braku udokumentowania upoważnienia do udzielenia odpowiedzi chociażby z racji, że są to oświadczenia wiedzy i woli a przystępujący nie wykazał, że Panowie J. i C. nie są przedstawicielami producenta CISCO. Izba z kolei nie uznała za wiarygodne dowody przedłożone przez przystępującego ze stron internetowych producenta CISCO. Po pierwsze stanowią one wyrywkowe tłumaczenia tekstu w j. angielskim i nie można ocenić ich przydatności dla wyjaśnienia sprawy w związku z pozostałą nie przetłumaczoną częścią informacji producenta. Po drugie nie odnoszą się do postanowień SIWZ w zakresie wymaganych minimalnych funkcjonalności. W tym stanie rzeczy odwołanie zasługuje na uwzględnienie. Bowiem odwołujący udowodni sprzeczności treści oferty z treścią SIWZ w zakresie wskazanym w odwołaniu. O kosztach orzeczono stosownie do wyniku sprawy zgodnie z art. 192 ust.9 i 10 ustawy oraz § 3 pkt 1 w związku z § 5 ust.2 pkt2) rozporządzenia Prezesa Rady Ministrów z dnia 15 marca 2010r. w sprawie wysokości i sposobu pobierania wpisu od odwołania oraz rodzajów kosztów w postępowaniu odwoławczym i sposobu ich rozliczania (Dz. U. 2010r. nr 41 poz.238) zaliczając uiszczony wpis przez odwołującego w kwocie 15.000,00 zł. w koszty postępowania odwoławczego i zasądzając od przystępującego na rzecz odwołującego kwotę 15.000,00 złotych jako koszty obejmujące uiszczony wpis odwołującego. Sygn. akt KIO 2021/16 Pełnomocnik odwołującego oświadczył, że nie składa rachunku z tytułu zastępstwa procesowego w sprawie. Przewodniczący: …………………… .