Leírás
:
Nyertes ajánlattevő feladata a MAVIR ZRt-ben végrehajtani a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. tv. és a hozzá kapcsolódó rendeletek (418/2024. (XII. 23.) Korm. rendelet, 7/2024. (VI. 24.) MK rendelet, 1/2025. (I. 31.) SZTFH rendelet) szerinti kiberbiztonsági auditot. Az audit elvégzésének legkésőbbi határideje: 2026. június 30.
Az eljárás legfontosabb jellemzői
:
Ajánlatkérő a Kbt. 98. § (2) bekezdés c) pontja és a 307/2015. Korm. rendelet 15. § (1) bekezdés c) pontja alapján hirdetmény nélküli tárgyalásos eljárást indított „Kiberbiztonsági audit” megnevezéssel 2025. június 5. napján. A Kbt. 103. § (1) bekezdése értelmében Ajánlatkérő az eljárás megindításáról tájékoztatta a Közbeszerzési Hatóságot az eljárás megindításnak napján, valamint csatolta a hirdetmény nélküli tárgyalásos eljárás jogalapjának alkalmazhatóságát igazoló dokumentumokat. Ajánlatkérő igazolta, hogy a szerződés műszaki-technikai sajátosságok miatt kizárólag egy, az ajánlattételre felhívott gazdasági szereplővel köthető meg. A 2025. január 1-én hatályba lépett Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.), amely Európai Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelvére figyelemmel szabályozza többek között a törvény hatálya alá tartozó szervezetek számára az elektronikus információs rendszereik és az azokban kezelt adatoknak a biztonsági osztályba sorolását. A biztonsági osztályba sorolás „alap”, „jelentős” vagy „magas” biztonsági osztályokba történhet. A törvény meghatározza emellett azt is, hogy „a biztonsági osztályba sorolásról a szervezet vezetője dönt, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és időszerűségéért. A biztonsági osztályba sorolás eredményét a szervezet az elektronikus információs rendszerek nyilvántartásában vagy egyéb belső szabályzatban rögzíti.” A MAVIR ZRt. a fentiek szerint „alap”, „jelentős” és „magas” biztonsági osztályba sorolandó elektronikus információs rendszerekkel egyaránt rendelkezik, ezt a Magyar Energetikai és Közmű-szabályozási Hivatal határozata is alátámasztja, amely a MAVIR ZRt-t nemzeti létfontosságú rendszerelemet/kritikus infrastruktúrát üzemeltető szervezetként jelöli ki. A MAVIR ZRt. a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja szerinti szervezet, amely egyúttal a törvény 2. melléklete szerinti szervezet is, így a „törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente – illetve a 23. § (1) bekezdése szerint illetékes kiberbiztonsági hatóság általi elrendelés esetén – kiberbiztonsági auditot végeztetni.” 2025. február 3-án hatályba lépett a Kiberbiztonsági tv. kiberbiztonsági auditra vonatkozó rendelkezéseinek részletszabályait tartalmazó, „a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról” elnevezésű SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) rendelet (1/2025. (I. 31.) SZTFH rendelet, továbbiakban: SZTFH rendelet), amely részletesen szabályozza, hogy mely gazdálkodó szervezet és hogyan végezheti el a kiberbiztosági auditot az arra kötelezett szervezetnél. A Kiberbiztonsági tv., valamint a hozzá kapcsolódó MK-rendelet, valamint SZTFH-rendelet alapján a MAVIR ZRt. számára kizárólag „magas” biztonsági osztályra nyilvántartásba vett auditor végezheti el a kiberbiztonsági auditot. Ennek megfelelően kizárólag az ajánlattételre felhívott gazdasági szereplő, mint egyedüli „magas” biztonságú osztályba besorolt auditor végezheti el a MAVIR Zrt. részére a kiberbiztonsági auditot, tekintettel arra, hogy jelenleg egyedül az ajánlatételre felkért gazdasági szereplő felel meg a Kiberbiztonsági tv. és a hozzá kapcsolódó rendeletek által előírt műszaki-technikai feltételeknek, illetve az Ajánlatkérő által meghatározott feladatok elvégzésének. A választott jogalap a közbeszerzés tárgyának minden elemére fennáll, valamennyi elvégzendő tevékenységre kiterjed, a teljes beszerzési igény megvalósítására csak a műszaki-technikai sajátosságoknak megfelelő, a jogszabályok által egyedüli jogosult feladatellátásával van csak lehetőség. Ajánlatkérő megvizsgálta, hogy létezik-e számára reális alternatíva a beszerzési igényének kielégítésére, mely vizsgálat során az alábbi megállapításokra jutott: Mivel a Kiberbiztonsági tv. alanyi hatálya alá tartozik a MAVIR ZRt., így – mint „magas” biztonsági osztályba sorolt elektronikus információs rendszerrel rendelkező vállalat –, a kiberbiztonsági auditot kizárólag a törvény és a hozzá kapcsolódó MK-rendelet és SZTFH-rendelet figyelembevételével és az azokban meghatározott szabályok mentén folytathatja le. Ily módon, csak és kizárólag „magas” biztonsági osztályba sorolt elektronikus információs rendszerek auditálására alkalmas auditor minőséggel rendelkezdő gazdasági szereplőt kérhet fel és bízhat meg az audit jogszabályok szerinti lefolytatására. A fentiekből megállapítható, hogy Ajánlatkérő részére nem létezik más, reális alternatíva beszerzési igényének kielégítésére, valamint a verseny hiánya nem annak következménye, hogy Ajánlatkérő a közbeszerzés tárgyát a versenyt indokolatlanul szűkítő módon határozta meg. A Közbeszerzési Hatóság Elnöke a Kbt. 189. §-a alapján a szükséges vizsgálatokat elvégezte, a vizsgálata során megállapította, hogy a hirdetmény nélküli tárgyalásos eljárás jogalapjának megalapozottsága megállapítható.