Jednoofertowe przetargi w cybergrantach. Problem rynku czy konstrukcji zamówień?

Co pokazują dokumenty? W cybergrantach najłatwiej mówić o wielkich kwotach. Ponad miliard tu, setki milionów tam, tysiące umów, listy rankingowe, alokacje, kwalifikowalność wydatków. To ważne, ale dopiero połowa obrazu. Druga połowa zaczyna się przy pytaniu, które w zamówieniach publicznych zawsze brzmi niewygodnie: ilu wykonawców naprawdę chciało sprzedać państwu tę cybertarczę. Właśnie dlatego tym razem zawęziliśmy poprzednią próbę BZP/e-Zamówienia do postępowań zakończonych umową, w których w ogłoszeniu wynikowym odczytano jedną ofertę. Wynik jest konkretny: 625 jednoofertowych ogłoszeń zakończonych umową przy znanej wartości 244 357 293.26 zł. To 58.1 proc. ogłoszeń z odczytaną liczbą ofert i aż 67.1 proc. znanej wartości umów w badanej próbie. Dla porównania postępowania wieloofertowe w próbie miały znaną wartość 117 204 926.14 zł. Liczby nie mówią jeszcze że doszło do naruszeń. Mówią coś innego: duży fragment rynku cybergrantów został rozstrzygnięty bez faktycznej walki ofert. Największe jednoofertowe przypadki w próbie przekraczają milion złotych. W topie znalazły się m.in. ogłoszenia dotyczące wodociągów w Dzierzgoniu i Mikołajkach Pomorskich, dostaw sprzętu i oprogramowania w Wielkiej Wsi, zakupów teleinformatycznych w Gminie Ełk czy projektu w Powiecie Mrągowskim. To nie są zarzuty wobec tych zamawiających ani wykonawców. To punkty kontrolne. Przy jednym oferencie i wysokiej wartości pytanie o SWZ, warunki udziału, termin składania ofert, opis urządzeń, pakietowanie usług i odbiór efektu staje się obowiązkowe. Z danych kategorii wynika, że jednoofertowość dotyczy głównie dostaw sprzętu, oprogramowania i usług towarzyszących. W analizie słów kluczowych często pojawiają się elementy takie jak serwery, macierze, kopie zapasowe, urządzenia sieciowe, firewall, oprogramowanie, szkolenia i audyty. To typowe składniki cyberprojektów. Problem nie leży w samym ich kupowaniu. Problem zaczyna się wtedy, gdy opis jednego pakietu jest tak szeroki, że na placu zostaje jeden wykonawca, a zamawiający nie ma realnego porównania ceny. Urząd Zamówień Publicznych od lat opisuje niską konkurencyjność jako problem rynku zamówień publicznych. Wprost wskazuje, że mała liczba ofert zmniejsza szanse zamawiającego na maksymalną efektywność. Komentarz UZP do art. 16 Pzp przypomina z kolei zasady uczciwej konkurencji, równego traktowania, przejrzystości i proporcjonalności. To nie są akademickie ozdoby. To instrukcja obsługi publicznych pieniędzy. Jeśli jedna oferta staje się regułą w dużej części próby, trzeba zapytać, czy rynek był rzeczywiście zaproszony do konkurencji. Gdzie pojawia się luka? Luka pierwsza to brak jasnej diagnozy, dlaczego jedna oferta wystarczała. Ogłoszenie wynikowe mówi, ilu było oferentów, kto wygrał i za ile. Nie odpowiada na pytanie, dlaczego nikt inny nie złożył oferty. A odpowiedzi może być wiele: niszowy przedmiot, krótki termin, wysokie wymagania, pakietowanie sprzętu i usług, konieczność integracji z istniejącym środowiskiem, lokalizacja, budżet, opis wskazujący de facto konkretne rozwiązania. Każda z tych przyczyn ma inną wagę. Bez SWZ nie wolno przesądzać. Ale bez SWZ nie wolno też zamykać sprawy. Luka druga dotyczy pakietowania. Cyberzamówienia często łączą wiele elementów: sprzęt, licencje, konfigurację, migrację, szkolenia, dokumentację, testy, wsparcie techniczne i czasem usługi utrzymaniowe. Taki model jest wygodny dla zamawiającego, bo ma jednego odpowiedzialnego wykonawcę. Ale wygoda administracyjna może ograniczać konkurencję, jeśli mniejsza firma mogłaby dostarczyć audyt, inna backup, kolejna szkolenie, a żadna nie uniesie całego pudełka. Pudełko wygląda schludnie. Rynek bywa w nim ciasny. Luka trzecia to test skutku. W jednoofertowym postępowaniu zamawiający nie tylko traci porównanie cen. Traci też presję konkurencyjną na jakość. Jeśli zakup dotyczy backupu, trzeba sprawdzić odtworzenie. Jeśli dotyczy EDR, trzeba sprawdzić, kto monitoruje alarmy. Jeśli dotyczy MFA, trzeba sprawdzić, czy objęło konta uprzywilejowane. Jeśli dotyczy OT, trzeba sprawdzić ekspozycję, segmentację i zdalny dostęp. Bez testu skutku jedna oferta staje się szczególnie niewygodna, bo obywatel widzi tylko cenę i nazwę, nie widzi odporności. Luka czwarta to asymetria wiedzy. W cyberbezpieczeństwie wykonawca często wie więcej niż zamawiający. Ma katalog produktów, partnerstwa, certyfikaty, handlowców i doświadczenie w pisaniu odpowiedzi. Mała gmina albo spółka komunalna ma ograniczone zasoby i presję czasu. W takim układzie opis przedmiotu zamówienia może zostać przygotowany poprawnie, ale nadal niekoniecznie optymalnie. To jak zakup skomplikowanego systemu alarmowego przez kogoś, kto dopiero po włamaniu dowiaduje się, gdzie powinny być czujniki. Luka piąta jest systemowa. Instytucje grantowe widzą projekty i rozliczenia, BZP widzi ogłoszenia, zamawiający widzą swoje postępowania, wykonawcy widzą rynek, a obywatel widzi komunikat o dofinansowaniu. Brakuje jednego widoku łączącego: jedna oferta, kwota, zakres, wykonawca, test odbioru, koszt utrzymania. Bez takiej mapy państwo może finansować cyberbezpieczeństwo w trybie rozproszonego zaufania. A zaufanie bez kontroli w zamówieniach publicznych jest luksusem, na który nie ma rachunku. Kto zyskuje, kto płaci? Jeżeli jednoofertowe postępowanie było dobrze przygotowane, zyskują wszyscy. Zamawiający kupuje potrzebne rozwiązanie, wykonawca zarabia, a mieszkańcy dostają lepiej zabezpieczony urząd, szkołę, wodociąg albo system usług lokalnych. Jedna oferta może być po prostu efektem trudnego rynku. W niszowych zamówieniach technicznych czasem naprawdę przychodzi jeden podmiot, który potrafi wykonać pracę. Nie wolno z tego robić automatycznej sensacji. Jeżeli jednak jedna oferta jest skutkiem zbyt wąskiego opisu, nierealnego terminu albo nadmiernego pakietowania, płaci zamawiający i obywatel. Płaci ceną, której nie dało się porównać. Płaci brakiem alternatywy. Płaci ryzykiem, że wykonawca dyktuje warunki, bo konkurencji nie ma w sali. W zwykłym życiu każdy rozumie tę zasadę: kiedy naprawiasz dach i przychodzi tylko jedna wycena, możesz ją przyjąć, ale rozsądny gospodarz przynajmniej pyta, dlaczego nikt inny nie przyszedł. Zyskują wykonawcy, którzy potrafią dostarczać pakiety zgodne z wymaganiami programów. To nie jest zarzut. Rynek ma prawo odpowiadać na popyt. Ale przy publicznych grantach trzeba odróżnić zdrową specjalizację od sytuacji, w której dokumentacja albo praktyka zamówień zawęża rynek. Bez tej różnicy można niesprawiedliwie skrzywdzić uczciwą firmę albo przeoczyć mechanizm przepalania konkurencji. Płacą też mniejsi wykonawcy, jeśli nie mają dostępu do postępowań przez konstrukcję zamówień. Jeśli wszystko jest sprzedawane w jednym pakiecie, lokalny audytor, firma szkoleniowa albo specjalista od backupu może wypaść z rynku mimo kompetencji. Wtedy grant, który miał wzmacniać odporność, przy okazji wzmacnia większych integratorów. To może być uzasadnione technicznie, ale musi być uzasadnione, a nie domyślne. Najważniejszy koszt jest jednak ukryty. Jeśli zamówienie kupuje produkt, ale nie kupuje zdolności, obywatel zapłaci drugi raz po incydencie. Zapłaci przestojem, odtwarzaniem danych, awarią usług, paniką w urzędzie, komunikatem o naruszeniu danych albo kosztem kolejnego zamówienia naprawczego. Cyberbezpieczeństwo kupione bez konkurencji i bez testu jest jak sejf bez próby otwarcia. Może działa. Może nie. Problem w tym, że dowiemy się w najgorszym momencie. Co jest faktem, a co wymaga dalszego sprawdzenia? Faktem jest metodologia: bazą jest poprzednia próba publicznych ogłoszeń wynikowych BZP/e-Zamówienia pobrana 18 maja 2026 r. dla fraz związanych z cybergrantami. Z tej próby wybrano ogłoszenia zakończone zawarciem umowy w których liczba ofert wynosiła jeden. Wynik: 625 przypadków 244 357 293.26 zł znanej wartości i 67.1 proc. wartości wszystkich zawartych umów z badanej próby. Faktem są konkretne przypadki wskazane w danych roboczych. Największe wartości w top 15 dotyczą m.in. zamówień wodociągowych i samorządowych przekraczających kilkaset tysięcy złotych, a w dwóch pierwszych przypadkach ponad 1,1 mln zł. Te przypadki zostały zapisane w osobnym CSV jako lista do ręcznej weryfikacji. Publikacyjnie trzeba traktować je ostrożnie: nazwa zamawiającego, wykonawcy i kwota są publiczne, ale przyczyna jednej oferty wymaga dokumentów postępowania. Faktem jest, że jedna oferta nie oznacza sama w sobie nieprawidłowości. To trzeba powtarzać, bo inaczej materiał byłby efektowny, ale słaby prawnie i metodologicznie. Faktem jest również, że UZP opisuje niską konkurencyjność jako istotny problem rynku, a zasady Pzp wymagają przejrzystości, proporcjonalności, uczciwej konkurencji i równego traktowania. Nasza próba nie rozstrzyga naruszeń tych zasad. Pokazuje przypadki, w których trzeba sprawdzić, czy zasady miały realne warunki działania. Hipotezą jest, że część jednoofertowych cyberzamówień mogła być wynikiem zbyt szerokich pakietów, zbyt szczegółowych wymagań lub terminów ograniczających rynek. Do potwierdzenia potrzebne są SWZ, pytania wykonawców, odpowiedzi zamawiających, informacje z otwarcia ofert, protokoły, kosztorysy, uzasadnienia niedzielenia zamówienia na części oraz dokumenty odbioru. Bez tego hipoteza pozostaje hipotezą. Do sprawdzenia pozostaje także cena. Sama wartość umowy nie mówi, czy zamówienie było drogie. Trzeba porównać ceny jednostkowe urządzeń, licencji i usług, sprawdzić długość wsparcia, warunki gwarancji, zakres wdrożenia, wymagania SLA, koszty utrzymania i obowiązki po stronie wykonawcy. Dopiero wtedy można odróżnić wysoką cenę uzasadnioną zakresem od ceny wygodnej dla rynku, bo konkurentów nie było. Dlaczego zwykły obywatel powinien to zrozumieć? Bo jedna oferta jest prostym wskaźnikiem, który każdy rozumie. Nie trzeba znać Pzp, CPV ani architektury EDR. Jeśli za publiczne pieniądze kupuje się usługę i zgłasza się tylko jeden wykonawca, zdrowy rozsądek pyta: czy naprawdę nikt inny nie mógł? To pytanie nie jest oskarżeniem. To fundament gospodarności. Tak samo działa rodzina, wspólnota mieszkaniowa i firma. Przy jednej wycenie można podpisać umowę, ale nie powinno się udawać, że rynek został sprawdzony tak samo, jak przy pięciu ofertach. Obywatel powinien rozumieć, że cyberbezpieczeństwo jest podatne na mgłę ekspercką. Łatwo powiedzieć: to specjalistyczne, niech informatycy decydują. Ale publiczne pieniądze wymagają prostych pytań. Czy opis zamówienia pozwalał wielu firmom startować? Czy zamawiający podzielił zamówienie na części? Czy dał rozsądny termin? Czy sprawdził, ile podobne rzeczy kosztują gdzie indziej? Czy odbiór był testem, czy podpisem pod protokołem? Najbardziej obrazowa analogia jest domowa. Jeśli kupujesz alarm do domu i przychodzi tylko jeden sprzedawca, możesz mu zaufać. Ale jeśli to alarm za pieniądze całej wspólnoty, a potem ma chronić mieszkania wszystkich sąsiadów, powinieneś zapytać o inne oferty, zakres, serwis i test. Cybergranty są właśnie takim alarmem dla wspólnoty publicznej. Nie chodzi o nieufność dla zasady. Chodzi o elementarną kontrolę. Wysoka jednoofertowość ma jeszcze jeden skutek: osłabia presję na jakość. Konkurencja nie gwarantuje ideału, ale wymusza porównanie. Gdy jej brakuje, zamawiający musi sam wykonać więcej pracy: lepiej opisać potrzeby, sprawdzić ceny, dokładniej odebrać zamówienie, twardziej wymagać testów. Jedna oferta nie zwalnia z kontroli. Przeciwnie, zwiększa jej wagę. Dlatego ten reportaż nie powinien być czytany jako tekst przeciwko cybergrantowym zakupom. Powinien być czytany jak instrukcja do następnej kontroli. Jeśli państwo wydaje pieniądze na tarczę, musi pokazać nie tylko fakturę i nazwę wykonawcy, ale również to, że tarcza została kupiona w warunkach realnej konkurencji albo że brak konkurencji został uczciwie wyjaśniony. W przeciwnym razie zostaje wiara. A wiara nie jest procedurą zamówień publicznych.