Odgovori

PLOVPUT d.o.o.

14480721492

Obala Lazareta 1

21000 - Split

Hrvatska

Odgovori na zahtjeve za dodatnim informacijama, objašnjenjima i izmjenama u vezi s dokumentacijom o nabavi

Predmet nabave: Usluga pregleda kibernetičke sigurnosti za podizanje sukladnosti sa NIS Direktivom i edukacije djelatnika

Evidencijski broj nabave: 171/2025 M

Šifra upita	Postavljeno	Novo/Izmjena
F2M	13.08.2025 14:36:40	Novi odgovor
T1S	13.08.2025 14:36:40	Novi odgovor
K4D	14.08.2025 15:03:44	Novi odgovor
P3J	20.08.2025 09:24:28	Novi odgovor

Šifra upita: F2M

Upit poslan: 13.08.2025 14:36:40

Pošiljatelj upita je naznačio da se upit odnosi na:

Kriteriji za kvalitativni odabir gospodarskog subjekta

Pitanje:

U Dokumentaciji o nabavi, Kriteriji za kvalitativni odabir gospodarskog subjekta, točka 6.1.3. i 6.1.4. propisano je da će Naručitelj će kao dovoljan dokaz usklađenosti s normom upravljanja informacijskom sigurnošću ISO/IEC 27001:2022 ili jednakovrijednom, prihvatiti važeću potvrdu (certifikat) tijela akreditiranog za certifikaciju prema navedenoj normi osnovanog u nekoj od država članica Europske unije.

NIS 2 Direktiva, Zakon o kibernetičkoj sigurnosti te Uredba o kibernetičkoj sigurnosti propisuju uvjete koji su vezani uz same davatelje usluga, ali ne nameću nikakve uvjete za izdavatelje njihovih certifikata, uključujući i državu poslovnog nastana izdavatelja certifikata.

Međunarodna certifikacijska tijela koja izdaju takve certifikate su u većini slučajeva multinacionalne kompanije, koje imaju registrirana društva u više zemalja koja pokrivaju različite klijente i geografska područja. Nositelj certifikata pritom ne može utjecati na to koje je od društava unutar grupacije izdalo njegov certifikat. Također, ističemo da je certifikacijski proces, odnosno razina provjera usklađenosti, primjerice za ISO/IEC 27001:2022, ujednačena po pojedinom procesu/djelatnosti. Stoga na valjanost i opseg primjene certifikata ni u kojem slučaju ne utječe činjenica u kojoj je državi registrirano društvo izdavatelja.

Slijedom navedenog, molimo Naručitelja da iz točke 6.1.3 . i 6.1.4. DoN izbriše tekst: „osnovanog u nekoj od država članica Europske unije“. Navedenim postupanjem bi se omogućilo učinkovito tržišno natjecanje kroz pristup širem krugu gospodarskih subjekata koji mogu kvalitetno izvršiti usluge koje su predmet nabave, a pritom bi se zadržala potrebna razina osiguranja informacijske sigurnosti prema potrebama predmeta nabave i važećoj regulativi u području kibernetičke sigurnosti.

Odgovor:

U izmjeni dokumentacije o nabavi navedena odredba se mijenja na način da se sljedeći dio odredbe, u navodnicima, briše: ''osnovanog u nekoj od država članica Europske unije''.

Šifra upita: T1S

Upit poslan: 13.08.2025 14:36:40

Pošiljatelj upita je naznačio da se upit odnosi na:

Drugo

Pitanje:

U članku 2. Prijedloga ugovora objavljenog u okviru Dokumentacije o nabavi, navedeno je kako su predmet ugovora, između ostaloga, edukacije djelatnika Izvršitelja s ciljem podizanja svijesti o kibernetičkoj sigurnosti (Usluga II. iz Tehničke specifikacije). Molimo Naručitelja da ispravi očitu pogrešku u tekstu te da riječ „Izvršitelja“ zamijeni riječju „Naručitelja”.

Naime, sukladno Tehničkoj specifikaciji, predviđeno je educiranje djelatnika Naručitelja.

Odgovor:

Radi se o omašci u pisanju ugovora te se primjedba prihvaća. U izmjeni dokumentacije o nabavi prilažiti će se korigirani prijedlog ugovora.

Šifra upita: K4D

Upit poslan: 14.08.2025 15:03:44

Pošiljatelj upita je naznačio da se upit odnosi na:

Drugo

Pitanje:

Člankom 11., stavak 4. prijedloga Ugovora predviđeno je da će se jamstvo za uredno ispunjenje Ugovora naplatiti u slučaju povrede ugovornih obveza od strane Izvršitelja, a pod urednim izvršenjem Ugovora podrazumijeva se izvršenje svih obveza iz ovog Ugovora, poštivanje ugovorenog roka izvršenja usluge, ugovorene kvalitete te otklanjanje eventualnih nedostataka. Isto je predviđeno dokumentacijom, Upute za ponuditelje, točka 4.4.2. Jamstvo za uredno ispunjenje ugovora o javnoj nabavi, stavak 9, alineja 1.

Ponuditelj ističe kako je svrha jamstva za uredno ispunjenje ugovora osiguranje ispunjenja obveza ponuditelja koje se odnose na predmet nabave, odnosno na pravovremeno, kvalitetno i potpuno izvršenje ugovorenih usluga, u skladu s tehničkom specifikacijom, rokovima i ostalim bitnim ugovornim elementima.

U tom kontekstu, jamstvo za uredno ispunjenje ugovora predstavlja instrument osiguranja naručitelja od materijalne štete koja može nastati uslijed povrede temeljnih (materijalnih) ugovornih obveza. S obzirom na navedeno, smatramo da se izrazom „sve obveze iz Ugovora“ proširuje opseg tog jamstva na obveze koje nisu neposredno vezane uz izvršenje predmeta nabave, poput obveze čuvanja povjerljivosti, zaštite osobnih podataka i sličnih nematerijalnih obveza. Time se stvara pravna nesigurnost za ponuditelja jer se jedan instrument osiguranja koristi za pokrivanje vrlo različitih vrsta ugovornih obveza, uključujući i one koje nisu izravno povezane s izvršenjem predmeta nabave, što dovodi do nerazmjera između svrhe jamstva i stvarnih rizika koje ono treba pokrivati. Dodatno, nije jasno utvrđeno koje konkretne povrede mogu rezultirati naplatom jamstva. Neizvjesnost u pogledu uvjeta pod kojima naručitelj može aktivirati jamstvo povećava poslovni rizik ponuditelja.

Slijedom navedenoga, predlažemo da se ugovorna klauzula koja definira sadržaj jamstva za uredno ispunjenje ugovora precizira na način da ono obuhvaća isključivo povrede ugovornih obveza koje se odnose na predmet nabave, odnosno na ispunjenje ključnih obveza vezanih uz izvršenje predmeta ugovora.

Odgovor:

Člankom 214. st. 1. toč. 3. ZJN propisuje da javni naručitelj od gospodarskog subjekta može zatražiti jamstvo za uredno ispunjenje ugovora za slučaj povrede ugovornih obveza, ne specificirajući konkretno na koje se ugovorne obveze misli.

Upravo u tom smislu javni naručitelj Plovput d.o.o. je dokumentacijom o nabavi propisao da se pod urednim izvršenjem Ugovora podrazumijeva izvršenje svih obveza iz Ugovora, ne misleći samo na povrede ugovornih obveza koje se odnose na predmet nabave, odnosno na ispunjenje ključnih obveza vezanih uz izvršenje predmeta ugovora. Štoviše, jedan od većih rizika Naručitelja (koji je VAŽAN subjekt prema NCKS) je taj što će prilikom izvršenja predmetne usluge odabrani ponuditelj dobiti uvid u ključnu infrastrukturu i poslovne procese, pa se jamstvo za uredno ispunjenje ugovora odnosi i na eventualne povrede ugovornih obveza o tajnosti ugovora.

Šifra upita: P3J

Upit poslan: 20.08.2025 09:24:28

Pošiljatelj upita je naznačio da se upit odnosi na:

Tehničke specifikacije predmeta
Rokovi definirani u dokumentaciji o nabavi

Pitanje:

Dokumentacija o nabavi specificira kako se obje aktivnosti:

USLUGA I.: PREGLED STANJA KIBERNETIČKE SIGURNOSTI I POVEĆANJE USKLAĐENOSTI S NIS2 DIREKTIVOM, ZAKONOM I PODZAKONSKIM PROPISIMA

USLUGA II.: EDUKACIJE DJELATNIKA PLOVPUTA,

imaju izvršiti za vrijeme trajanja ugovora u roku 6 mjeseci.

Međutim USLUGA II se u vremenskom slijedu nastavlja na USLUGU I budući se ulazni podaci za USLUGU II, trebaju koristiti rezultatima izvršenja USLUGE I.

Naime, edukacija sa specifičnim ciljevima edukacije, a kako ih navode točke 3,4,5,6:

• upoznavanje i razumijevanje tehničkih i organizacijskih mjera za jačanje kibernetičke sigurnosti u Plovputu,

• odgovornosti Plovputa i zaposlenika glede kibernetičke sigurnosti

• praktične smjernice za kibernetičku sigurnost

• primjenu najbolje prakse u zaštiti ključne infrastrukture i poslovnih procesa Plovputa,

se mogu izvršiti tek nakon što se mjere, odgovornosti, smjernice i najbolje prakse definiraju u organizaciji Plovputa a kao sastavni dio isporuke USLUGE I.

Zbog svega navedenog smatramo da je nužno promijeniti DoN tako da se izmijeni dokument: „TEHNIČKA SPECIFIKACIJA USLUGE PREGLEDA KIBERNETIČKE SIGURNOSTI ZA PODIZANJE SUKLADNOSTI S NIS2 DIREKTIVOM I EDUKACIJE DJELATNIKA PLOVPUTA D.O.O.,“ na način da odjeljak 2.2.2 Rok i mjesto izvršenja Usluge II., glasi:

Rok izvršenja usluge je najviše 10 mjeseci od dana obostrano potpisanog ugovora, a predviđeni početak potpisa Ugovora je 30. rujna 2025. g.

Ovo bi po našem iskustvu dalo dovoljno vremena, 4 mjeseca, za pripremu i provedbu kvalitetne edukacije, kreiranu za specifičnu okolinu Plovputa a koja uključuje konkretne mjere, odgovornosti i smjernice a koje se tek trebaju definirati kroz USLUGU I.

Odgovor:

Predmetna usluga se nabavlja u sklopu realizacije EU projekta CYSCROMS (Cyber safety in Croatian maritime transport sector) za koji su Naručitelju odobrena određena sredstva sufinanciranja. Uvjet za pravo na sufinanciranje je provedba predmetne usluge sukladno ugovorom o bespovratnim sredstvima definiranoj dinamici provedbe EU projekta, kojim je predviđeno kako predmetna usluga treba biti izvršena najkasnije do 31.ožujka 2026. godine.

Kako je navedeno u Poglavlju 2. „Opseg usluge“, dokumenta tehničkih specifikacija, Plovput d.o.o. je za opseg ključnih sustava već prošao kroz proces usklađivanja sa NIS1 Direktivom za koje ima definirane procese, Registar rizika (Procjena i obrada rizika) i druge dokumente, uključivo i dokumentaciju za provedeni unutarnji i vanjski penetracijski test. Kroz spomenuti proces, ključno osoblje Plovputa d.o.o. je upoznato s metodologijom procesa izvršenja predmetne usluge te je time uspostavljena kvalitetna podloga i ishodišna točka s kojom će odabrani pružatelj usluge ući u izvršenje usluge. S obzirom da će se paralelno provoditi usluge opisane pod Točkom 2.1 „Usluga I“ (analiza, procjena rizika i preporuka za poboljšanje u skladu s NIS 2 direktivom prilagođene potrebama Plovputa), a kojih rezultati predstavljaju temeljne pretpostavke za pripremu kvalitetnog programa edukacije te sama provedba edukacijskih programa ne bi trebala biti dulja od nekoliko dana, Naručitelj drži kako se predmetne usluge, mogu izvesti u zadanom roku od ukupno 6 mjeseci od dana potpisivanja ugovora.

Slijedom navedenoga, Naručitelj nije u mogućnosti prihvatiti prijedlog zainteresiranog Gospodarskog subjekta, nego ostaje pri traženom roku izvršenja usluge.