Setki milionów na cyberodporność i 58 proc. postępowań z jedną ofertą. Dokumenty pokazują wzorzec rynku.

Co pokazują dokumenty? Najpierw była obietnica bezpieczeństwa: samorządy, wodociągi i lokalna infrastruktura mają być odporniejsze na cyberataki. Potem przyszły programy, alokacje, listy rankingowe, webinary, ankiety i komunikaty. Teraz przychodzi moment mniej widowiskowy, ale najważniejszy dla śledztwa: spojrzenie na rynek. Kto sprzedaje sprzęt, licencje, audyty, szkolenia, usługi, backup, wsparcie techniczne i rozwiązania bezpieczeństwa? Jak często w postępowaniach jest realna konkurencja? Ile ogłoszeń kończy się jedną ofertą? To nie są pytania przeciw cyberbezpieczeństwu. To pytania za publicznymi pieniędzmi. Z publicznego API BZP/e-Zamówienia pobraliśmy ogłoszenia z lat 2024-2026 do 18 maja 2026 r. zwrócone dla fraz 'Cyberbezpieczny' 'Cyberbezpieczne Wodociągi' i wariantu bez polskiego znaku. Po odfiltrowaniu ogłoszeń wynikowych istotnych dla tematu próba obejmuje 2138 ogłoszeń o wynikach postępowań. Z nich 1084 zakończyły się zawarciem umowy. W tych ogłoszeniach znana suma wartości umów wyniosła 364 065 292.35 zł. To nie jest pełny obraz rynku ale wystarczająco duży wycinek by zobaczyć mechanizm. Najbardziej uderzająca liczba dotyczy konkurencji. W 1075 ogłoszeniach udało się odczytać liczbę ofert. W 625 przypadkach była jedna oferta, co daje 58.1 proc. próby. Jedna oferta nie jest sama w sobie nieprawidłowością. Czasem rynek jest wąski, przedmiot specjalistyczny, termin trudny, a wymagania uzasadnione. Ale jeśli programy mają wartość setek milionów i dotyczą bardzo podobnych zakupów, taki odsetek powinien stać się punktem kontrolnym. Rynek z jedną ofertą przypomina przetarg na remont kuchni, w którym przychodzi tylko jeden fachowiec i mówi: proszę się nie martwić, taka jest cena. Wśród najczęściej występujących wykonawców w pobranej próbie znalazły się podmioty, które pojawiają się wielokrotnie w ogłoszeniach wynikowych. W czołówce według liczby ogłoszeń są m.in.: NBIT JAROSŁAW JENCZMIONKA - 40 ogłoszeń 11 970 214.58 zł znanych wartości; SUNTAR - 30 ogłoszeń 12 433 764.96 zł znanych wartości; PERCEPTUS - 27 ogłoszeń 9 997 421.02 zł znanych wartości; PERC TECH - 25 ogłoszeń 14 387 526.82 zł znanych wartości; AT COMPUTERS S.C. JAKUB MROCZKOWSKI BARTŁOMIEJ MROCZKOWSKI - 20 ogłoszeń 6 857 640.31 zł znanych wartości. To nie jest lista zarzutów. To mapa startowa. Publiczne dane pokazują, które nazwy warto sprawdzić pod kątem powtarzalności, kategorii zamówień, cen, konkurencji i jakości dostarczonych efektów. Sam fakt częstego wygrywania może oznaczać doświadczenie, zdolność logistyczną i dobrą ofertę. Może też oznaczać segment rynku, który trzeba dokładniej prześwietlić. Próba ma ograniczenia i trzeba je postawić na stole od razu. API BZP pokazuje ogłoszenia, które pasują do zadanych fraz w polu przedmiotu zamówienia. Nie obejmuje zakupów podprogowych, zakupów opisanych innymi słowami, wszystkich załączników, pełnych ofert ani rzeczywistego wykonania umów. Niektóre ogłoszenia dotyczą części postępowań, więc jedna sprawa może występować w danych kilkakrotnie. Właśnie dlatego tekst nie mówi: mamy dowód patologii. Mówi: mamy widoczny, mierzalny wzorzec, który redakcja powinna wziąć pod lupę. Gdzie pojawia się luka? Luka pierwsza to brak prostego, publicznego pulpitu rynku. Państwo potrafi pokazać, ile podpisano umów grantowych w programie Cyberbezpieczny Samorząd, ile projektów dofinansowano w Cyberbezpiecznych Wodociągach, ile wynosi alokacja i ilu beneficjentów przeszło ocenę. Znacznie trudniej zobaczyć w jednym miejscu, kto finalnie sprzedaje samorządom cyberodporność: które firmy, w jakich województwach, za jakie kwoty, z iloma konkurentami i w jakich kategoriach. Tego nie powinno się składać ręcznie z tysięcy ogłoszeń jak rozsypanych paragonów po wielkim remoncie. Luka druga to różnica między zamówieniem a efektem. Ogłoszenie wynikowe mówi, że podpisano umowę na dostawę sprzętu, oprogramowania, usług, audytu albo szkolenia. Nie mówi automatycznie, czy urząd po wdrożeniu potrafi odtworzyć dane po ataku, czy wodociąg schował panel sterowania z internetu, czy MFA działa dla zdalnych dostępów, czy segmentacja nie istnieje tylko na schemacie. Rynek może dostarczyć produkt, a system publiczny może odnotować sukces, zanim ktokolwiek sprawdzi, czy odporność wzrosła. Luka trzecia to konkurencja. W próbie BZP 58,1 proc. ogłoszeń z odczytaną liczbą ofert miało jedną ofertę. Taki wskaźnik nie przesądza niczego samodzielnie, ale jest jak czerwona kontrolka. Można ją zignorować, jeśli ktoś chce dojechać do końca kadencji bez patrzenia pod maskę. Można też zatrzymać samochód i zapytać: czy terminy były realistyczne, czy wymagania nie były zbyt wąskie, czy opis przedmiotu zamówienia nie premiował jednego pakietu, czy zamówienia nie łączyły zbyt wielu elementów, czy lokalne firmy miały realną szansę startu. Luka czwarta to pokusa 'grantowego pakietu'. W wielu postępowaniach przedmiot łączy sprzęt, oprogramowanie, wdrożenie, szkolenia, dokumentację i wsparcie. To bywa sensowne, bo zamawiający chce jednego odpowiedzialnego wykonawcę. Ale bywa też rynkowo trudne, bo ogranicza dostęp mniejszych firm, które mogłyby konkurować w jednej części, ale nie uniosą całego pakietu. Gmina może kupić wygodę, a stracić konkurencję. To tak, jakby zamiast osobno kupić drzwi, alarm i usługę montażu, zamówić 'bezpieczny dom w pudełku' i mieć nadzieję, że pudełko pasuje do wszystkich mieszkań. Luka piąta to brak jawnego powiązania cen z ryzykiem. Cyberbezpieczeństwo nie powinno być kupowane według cennika strachu. Inaczej wycenia się ochronę małej gminy z prostą infrastrukturą, inaczej powiatu z wieloma jednostkami, inaczej wodociągów z OT. Jeśli publiczne dane nie pokazują, za co dokładnie płacimy i jaki problem rozwiązujemy, pojawia się przestrzeń na opowieść handlową. A opowieść handlowa w cyberbezpieczeństwie jest wyjątkowo wygodna: można sprzedać skomplikowany pakiet, którego nikt poza wykonawcą i zamawiającym nie potrafi łatwo porównać. Kto zyskuje, kto płaci? Jeżeli zamówienia są dobrze przygotowane, zyskują mieszkańcy. Samorząd ma lepsze kopie zapasowe, lepiej zabezpieczone konta, sprzęt z gwarancją, szkolenia, procedury i wsparcie. Wodociąg zamyka zdalny dostęp, segmentuje sieć OT, monitoruje anomalie i potrafi przejść na tryb awaryjny. Wtedy wykonawca zarabia uczciwie, zamawiający ma efekt, a obywatel nie musi wiedzieć, co to EDR, SIEM czy MFA, bo po prostu jego urząd i woda działają. Jeżeli zamówienia są słabe, zyskuje przede wszystkim sprzedawca pakietu. Urząd dostaje sprzęt, licencję, dokumentację i szkolenie, ale nie zawsze trwałą zdolność obrony. Po zakończeniu projektu zostają koszty utrzymania, odnowienia licencji, aktualizacji, administracji i odpowiedzialności. Grant płaci za start, ale rachunek za życie rozwiązania zostaje lokalnie. To jak zakup samochodu bez policzenia paliwa, serwisu, opon i ubezpieczenia. Na zdjęciu wygląda dobrze. W budżecie zaczyna mówić później. Płaci też konkurencja, jeśli warunki zamówień są zbyt wąskie lub zbyt pakietowe. Nie stawiamy tu zarzutu, że tak było. Publiczne dane z BZP nie wystarczą do takiej tezy. Ale wysoki odsetek jednej oferty daje powód, by sprawdzić SWZ, terminy, warunki udziału, wymagane certyfikaty, opisy urządzeń, wymagania integracyjne i podział zamówień na części. Czasem jeden oferent jest naturalny. Czasem jest skutkiem konstrukcji postępowania. Różnica jest fundamentalna. Zyskują także firmy, które mają skalę i gotowe portfolio. W próbie widać powtarzające się nazwy. To może być zdrowa specjalizacja, ale też powód do redakcyjnego mapowania. Jeżeli pewne podmioty wygrywają po kilkanaście, dwadzieścia, trzydzieści albo czterdzieści ogłoszeń, warto zapytać, w jakich segmentach wygrywają, czy oferują podobne pakiety, czy startują same, czy w konsorcjach, czy konkurencja jest rzeczywista, czy ceny w podobnych zamówieniach są porównywalne. Powtarzalność nie jest winą. Jest tropem. Najważniejsze: płaci obywatel, choć nie dostaje paragonu z napisem 'cyberodporność'. Płaci przez podatki, fundusze europejskie, budżety lokalne i przyszłe koszty utrzymania. Jeśli zakup działa, to dobrze wydane pieniądze. Jeśli zakup był tylko formalnym wypełnieniem projektu, obywatel zapłacił za parasol, którego nikt nie rozłożył. A gdy przyjdzie deszcz w postaci incydentu, mokry będzie nie wykonawca, tylko urząd, mieszkaniec i usługa publiczna. Co jest faktem, a co wymaga dalszego sprawdzenia? Faktem jest wynik pobrania danych: 2138 ogłoszeń wynikowych w próbie 1084 ogłoszenia zakończone zawarciem umowy 1084 ogłoszenia ze znaną wartością i suma 364 065 292.35 zł. Faktem jest także struktura typów zamówień w zawartych umowach: w pobranej próbie dominowały dostawy było ich 1010 przy 73 usługach i 1 robocie budowlanej. Te liczby nie mówią jeszcze o jakości. Mówią gdzie płynęły zamówienia. Faktem jest odczytana konkurencja: 1075 ogłoszeń z możliwą do odczytania liczbą ofert, w tym 625 z jedną ofertą. Faktem jest także roczny rozkład zawartych umów w próbie: {'2024': 157, '2025': 708, '2026': 219}. Rok 2025 jest największy, co pasuje do harmonogramu realizacji programów. Te dane są wystarczające, by postawić pytanie o konkurencję, ale niewystarczające, by stwierdzić ograniczanie konkurencji przez konkretnych zamawiających albo wykonawców. Faktem jest lista często występujących wykonawców w próbie. Nie jest faktem, że którykolwiek z nich działał nieprawidłowo. Tego nie wolno sugerować. Nazwy firm w danych BZP oznaczają wygrane lub udzielone zamówienia, nie zarzut. Do dalszego sprawdzenia trzeba pozyskać pełne SWZ, oferty, pytania wykonawców, odpowiedzi zamawiających, protokoły postępowań, umowy, aneksy, odbiory, rozliczenia i raporty wdrożeniowe. Dopiero wtedy można badać, czy warunki były adekwatne, ceny rynkowe, a efekt zgodny z obietnicą. Hipotezą wymagającą dalszej pracy jest możliwość powstania 'grantowego cennika' cyberodporności. Chodzi o sytuację, w której podobne pakiety sprzętu i usług są masowo sprzedawane pod program, a cena wynika nie tylko z ryzyka i potrzeb, ale z dostępnego budżetu, pośpiechu, formalnych wymogów i ograniczonej konkurencji. To hipoteza, nie ustalenie. Do jej potwierdzenia potrzebne są porównania jednostkowych cen urządzeń, licencji, godzin usług, audytów i szkoleń. Do sprawdzenia pozostaje też pytanie o utrzymanie. Jeśli samorząd kupuje rozwiązanie z grantu, kto zapłaci za licencję za rok, za monitoring za dwa lata, za odnowienie wsparcia, za szkolenia po odejściu pracowników? Publiczne ogłoszenie wynikowe rzadko pokazuje pełen koszt życia systemu. A cyberbezpieczeństwo nie jest zakupem jak krzesło. Jest usługą, procesem i codzienną dyscypliną. Bez utrzymania nawet najlepsze rozwiązanie zmienia się w muzeum pudełek. Dlaczego zwykły obywatel powinien to zrozumieć? Bo obywatel zwykle słyszy tylko ładną część opowieści: program, dotacja, bezpieczeństwo, odporność, cyfrowa tarcza. Nie słyszy, czy przetarg miał jedną ofertę, czy cena była porównywalna, czy zakres był adekwatny, czy wykonawca wdrożył wszystko, co obiecał, czy urząd ma pieniądze na utrzymanie. A właśnie tam często rozstrzyga się, czy publiczne pieniądze kupują realną ochronę, czy elegancki komplet dokumentów. To przypomina remont klatki schodowej w bloku. Wspólnota uchwala budżet, zarządca mówi, że wszystko będzie bezpiecznie, wykonawca przynosi ofertę, a mieszkańcy widzą dopiero efekt końcowy. Jeśli przyszedł jeden wykonawca i nikt nie sprawdził cen, można mieć piękną tabliczkę 'remont wykonano', ale farba zacznie odchodzić po zimie. W cyberbezpieczeństwie farba schodzi w momencie ataku. Wtedy wszyscy pytają, kto odebrał robotę. Obywatel powinien też rozumieć, że jedna oferta nie jest grzechem, ale jest pytaniem. Jeśli w małej gminie nikt poza jednym wykonawcą nie startuje, trzeba zapytać dlaczego. Może przedmiot był specjalistyczny. Może rynek lokalny jest płytki. Może termin był krótki. Może wymagania były rozsądne, ale trudne. Może opis zamówienia był zbyt pakietowy. Dopiero odpowiedzi rozstrzygają, czy jedna oferta jest normalnością, czy symptomem. Najbardziej praktyczne znaczenie tego tekstu polega na zmianie kierunku kontroli. Nie wystarczy pytać: ile pieniędzy dano na cyberbezpieczeństwo. Trzeba pytać: kto te pieniądze zamienił w produkty, z iloma konkurentami, za jaką cenę, z jakim odbiorem i jakim testem skutku. Dopóki pytamy tylko o alokację, widzimy budżet. Gdy pytamy o wykonawców i konkurencję, zaczynamy widzieć rynek. I właśnie dlatego temat jest oburzający w spokojny sposób. Nie trzeba krzyczeć 'afera', żeby zobaczyć ciężar sprawy. Wystarczy zestawić setki milionów złotych, tysiące ogłoszeń i ponad połowę rozstrzygnięć z jedną ofertą w naszej próbie. Dokumenty nie pozwalają oskarżać. Pozwalają natomiast domagać się jawnej mapy: firm, cen, konkurencji i efektów. Bez niej obywatel ma wierzyć, że cyberodporność kupuje się jak gaśnicę, a nie jak system, który trzeba sprawdzić w ogniu.