Ny afgørelse om grænserne for fastsættelse af tekniske specifikationer i IT-systemer i udbud

Det Danske Klagenævn for Udbud (»Klagenævnet for Udbud«) traf den 22. marts 2023 afgørelse i sag 22/14579 mellem en filial af Trend Micro Emea (»Trend Micro«) over for Region Hovedstaden. Sagen vedrørte, hvorvidt Region Hovedstaden havde handlet i strid med udbudsreglerne i forbindelse med indkøb af endpoint-beskyttelsessoftware.

Trend Micro fremsatte i sagen, at Region Hovedstaden havde handlet i strid med reglerne lovbekendtgørelse nr. 10 af 06. januar 2023 (»den danske udbudslov«) § 40 og § 42, ved i de tekniske specifikationer at stille krav om, at endpoint-beskyttelsessoftwaret i vidt omfang skulle være kompatibelt med regionens eksisterende firewalls og sandkasseløsning fra producenten Palo Alto.

Ifølge den danske udbudslovs § 42, stk. 1, jf. § 40, må en ordregiver ikke angive et bestemt fabrikat, en bestemt oprindelse eller en bestemt fremstillingsproces, som kendetegner de produkter eller tjenesteydelser, en bestemt aktør leverer. Ifølge Trend Micro var det en uberettiget indsnævring af konkurrencen, som var usaglig og proportional, idet kun ganske få tilbudsgivere ville kunne levere en kompatibel løsning. Region Hovedstaden havde heroverfor anført, at kravene var saglige, fordi de bidrog til øget it- og driftsmæssig sikkerhed og samtidig undgik øget ressourceforbrug.

Formanden for Klagenævnet for Udbud udtalte med henvisning til forarbejderne til den danske udbudslovs § 42, stk. 1, at en ordregiver efter omstændighederne kan stille krav om kompatibilitet med et eksisterende produkt, selv hvis det udelukker visse tilbudsgivere under betingelse af, at disse krav er saglige. Formanden mente med henvisning til Region Hovedstadens begrundelser om sikkerhed, at kravene var saglige.

Det andet medlem af Klage­nævnet for Udbud lagde i sin dissentierende udtalelse vægt på, at det efter den danske udbudslov § 40 og § 42, er ordregiveren, der skal løfte bevisbyrden for saglighed og proportionalitet i en konkurrencebegrænsende kravspecifikation. Med hensyn til saglighed og proportionalitet lagde medlemmet vægt på, at der var tale om køb af +50.000 licenser, og at disse reelt kun kunne leveres af én producent, sådan som kravene var udformet. Bevisbyrden var derfor skærpet, og medlemmet vurderede, at bevisbyrden ikke blev løftet med Region Hovedstadens »generelle vendinger« om »sikkerhedsmæssige, organisatoriske, tekniske og økonomiske grunde«.

Da der var stemmelighed, blev formandens udtalelse afgørende, og Trend Micros påstand blev derfor ikke taget til følge.

Læs hele Klagenævnet for Udbuds afgørelse her: https://klfu.naevneneshus.dk/media/documents/Filial_af_Trend_Micro_Emea_Limited_mod_Region_Hovedstaden_8Nc7eZo.pdf

De Europæiske tilsynsmyndigheder lancerer offentlig høring om DORA

De europæiske tilsynsmyndigheder (»EBA«, »EIOPA« og »ESMA«, samlet »ESA’erne«) lancerede den 19. juni 2023 en offentlig høring om den første serie af fælles udkast til tekniske standarder under Digital Operational Resilience Act (»DORA«). Navnlig omfatter det fire udkast til reguleringsmæssige tekniske standarder (»RTS«) og et udkast til gennemførelsesmæssige tekniske standarder (»ITS«). Disse tekniske standarder har til formål at sikre en ensrettet og harmoniseret juridisk ramme inden for områderne af IKT-risikostyring, rapportering af større IKT-relaterede hændelser og IKT-risikostyring for tredjeparter. Det regulatoriske afsæt herfor følger af artikel 15, 16, stk. 3, 18, stk. 3, og 28, stk. 9 og 10, i DORA.

Læs Finanstilsynets pressemeddelelse her: https://www.finanstilsynet.dk/Nyheder-og-Presse/Sektornyt/2023/DOra_hoering_070723

Andet nyt