-
Відкриті торги з особливостями
-
Однолотова
-
КЕП
Захищений носій ключової інформації (USB-токен)
Пропозиції розглянуті
період кваліфікації завершився 24 хвилини назад
724 387.50
UAH з ПДВ
Період оскарження:
20.10.2025 12:30 - 25.10.2025 00:00
Період оскарження(за результатами переможця):
18.11.2025 14:49 - 24.11.2025 00:00
Скарга
Відхилено
КЕП
СКАРГА про порушення законодавства в сфері публічних закупівель
Номер:
1c62166bfa834cfc9009dcbf31d9d138
Ідентифікатор запиту:
UA-2025-10-20-006293-a.a1
Назва:
СКАРГА про порушення законодавства в сфері публічних закупівель
Скарга:
Пов'язані документи:
Учасник
- Повноваження Булат Г.В.pdf 24.10.2025 09:33
- Експертні висновки ДССЗІ.pdf 24.10.2025 09:33
- Повноваження посадової особи_Бондар А.В.pdf 24.10.2025 09:33
- Скага_ТОВ АВЕСТ-УКРАЇНА_UA-2025-10-20-006293-a.pdf 24.10.2025 09:33
- Скага_ТОВ АВЕСТ-УКРАЇНА_UA-2025-10-20-006293-a.docx 24.10.2025 09:33
- ТД токени.docx 24.10.2025 09:34
- sign.p7s 24.10.2025 09:35
- відповідь на пояснення по суті скарги закупівлі UA-2025-10-20-006293-a.pdf.p7s 02.11.2025 18:30
- відповідь на пояснення по суті скарги закупівлі UA-2025-10-20-006293-a.pdf 02.11.2025 18:30
- відповідь на пояснення по суті скарги закупівлі UA.docx 02.11.2025 18:30
- рішення від 27.10.2025 № 16094.pdf 27.10.2025 16:40
- інформація про перенесення дати розгляду скарги від 04.11.2025 № 2162.pdf 04.11.2025 17:26
- Інформація про резолютивну частину рішення від 11.11.2025 № 16861.pdf 12.11.2025 12:29
- рішення від 11.11.2025 № 16861.pdf 14.11.2025 10:27
- Avtor337 висновки ДССЗЗІ.pdf 29.10.2025 17:38
- Імплементаційне рішення комісії ЄС.docx 29.10.2025 17:38
- Лист до АМКУ від 29.10.2025.pdf 29.10.2025 17:38
- Лист до АМКУ від 29.10.2025.docx 29.10.2025 17:38
- Доповнення від 05.11.2025 до Листа в АМКУ від 29.10.2025.docx 05.11.2025 15:21
- Наказ ДСНС № 1181 від 22.09.2025 з техвимогами до USB-токена.pdf 05.11.2025 15:21
- Доповнення від 05.11.2025 до Листа в АМКУ від 29.10.2025.pdf 05.11.2025 15:21
- Лист Мінцифри з додатком.pdf 05.11.2025 15:21
Дата прийняття скарги до розгляду:
24.10.2025 09:39
Дата розгляду скарги:
11.11.2025 10:00
Місце розгляду скарги:
Антимонопольний комітет України
Дата прийняття рішення про прийняття скарги до розгляду:
27.10.2025 16:40
Дата прийняття рішення про відхилення скарги:
14.11.2025 10:28
Пункт скарги
Порядковий номер пункту скарги:
1
Номер:
2a57e1b6d9d54ae38d9e2acc85f5135a
Заголовок пункту скарги:
Скарга на дискримінаційні умови тендерної документації
Тип пов'язаного елемента:
Скарга на закупівлю
Тип порушення:
Порушення, пов'язані з вимогами законодавства
Ідентифікатор класифікації:
Технічна специфікація предмета закупівлі
Тип порушення:
Технічна специфікація предмета закупівлі
Опис суті пункту скарги:
вих. № 172
від «23» жовтня 2024 року
До Антимонопольного комітету України
Адреса: вул. Митрополита Василя Липківського, 45 м. Київ 03035.
Суб’єкт оскарження: Товариство з обмеженою відповідальністю «АВЕСТ-УКРАЇНА»
код ЄДРПОУ: 37963188
Адреса: Україна, 04216, місто Київ, вул. Берковецька, будинок 1
Замовник: Управління забезпечення Оперативно-рятувальної служби цивільного захисту Державної служби України з надзвичайних ситуацій
код ЄДРПОУ: 33945469
Адреса: 04082, Україна , Київська обл., м. Київ, вул. Бережанська, 7
Ідентифікатор закупівлі: UA-2025-10-20-006293-a
СКАРГА
про порушення законодавства в сфері публічних закупівель
20 жовтня 2025 року Замовник Управління забезпечення Оперативно-рятувальної служби цивільного захисту Державної служби України з надзвичайних ситуацій (далі за текстом – Замовник) оприлюднив Оголошення про заплановану закупівлю: UA-2025-10-20-006293-a, процедури закупівлі – відкриті торги з особливостями, предмет закупівлі є: ДК 021:2015:30230000-0: Комп’ютерне обладнання.
Строк подання тендерних пропозицій було встановлено до 28 жовтня 2025 р. 09:00.
Маємо намір взяти участь у відповідному тендері, однак ознайомившись з тендерною документацією, ми, ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ " АВЕСТ-УКРАЇНА " (далі - Скаржник), виявив в ній вимоги, які не відповідають чинному законодавству, обмежують конкуренцію, та не дають можливості прийняти участь у відповідній закупівлі а саме:
1. У додатку 1.2 до тендерної документації пункті 7 таблиці основних вимог до технічних характеристик встановлена наступна вимога:
7 Відповідність вимогам
нормативних документів
у сфері криптографічного
захисту інформації У пристрої мають бути реалізовані механізми, які
забезпечують виконання функціональних вимог безпеки, що
визначені (повинно бути підтверджено чинним експертним
висновком у галузі криптографічного захисту інформації):
ДСТУ EN 419211-1:2016;
ДСТУ EN 419211-2:2016;
ДСТУ EN 419211-3:2016;
ДСТУ EN 419211-4:2016;
ДСТУ EN 419211-5:2016;
ДСТУ EN 419211-6:2016
Відповідно до умов тендерної документації Замовник планує закупити Захищені носії ключової інформації (USB-токени). Згідно Закону України «Про електронну ідентифікацію та електронні довірчі послуги» це є засоби кваліфікованого електронного підпису чи печатки. Основним нормативним актом, який регулює сферу надання кваліфікованих електронних довірчих послуг, є Закон України «Про електронну ідентифікацію та електронні довірчі послуги». Також Стаття 19 цього Закону визначає, що засоби кваліфікованого електронного підпису (КЕП) повинні відповідати вимогам, встановленим законодавством у сфері криптографічного захисту інформації, та мати позитивний експертний висновок державної експертизи у сфері криптографічного захисту інформації. Регулятором у сфері криптографічного захисту інформації, що реалізує державну політику в даній сфері є Державна служба спеціального зв’язку та захисту інформації України (далі за текстом – ДССЗІ). Закон України «Про електронну ідентифікацію та електронні довірчі послуги» делегує ДССЗІ право встановлювати обов’язкові вимоги до засобів кваліфікованого електронного підпису чи печатки, які включають механізми, які забезпечують виконання функціональних вимог безпеки, а саме певні профілі захисту та стандарти.
Головними вимогами згідно ЗУ до засобів кваліфікованого електронного підпису чи печатки є:
Стаття 19. Засоби кваліфікованого електронного підпису чи печатки
1. Засоби кваліфікованого електронного підпису чи печатки за допомогою відповідних технічних та процедурних засобів повинні забезпечувати:
- надійний рівень конфіденційності особистих ключів під час їх генерації, зберігання та створення кваліфікованого електронного підпису чи печатки;
- належний рівень унікальності пари ключів, які вони генерують;
- надійний рівень неможливості обчислення значення особистого ключа на основі відкритої інформації та надійний захист кваліфікованого електронного підпису чи печатки від підроблення шляхом використання наявних на даний момент технологій;
- можливість надійного захисту підписувачем чи створювачем (уповноваженим представником створювача) електронної печатки особистого ключа від використання іншими особами.
2. Засоби кваліфікованого електронного підпису чи печатки не повинні змінювати електронні дані, з якими пов’язаний такий підпис чи печатка, або перешкоджати доступу підписувача чи створювача (уповноваженого представника створювача) електронної печатки до таких електронних даних перед накладанням на них кваліфікованого електронного підпису чи печатки.
Підтвердженням відповідності засобів кваліфікованого електронного підпису чи печатки статті 19 п.1. та п.2. є наявний діючий експертний висновок ДССЗІ із зазначенням стандартів ДСТУ EN 419211-1:2016 та ДСТУ EN 419211-2:2016. Дані стандарти є частиною технічних вимог до кваліфікованих засобів створення КЕП (QSCD) відповідно до Регламенту (ЄС) № 910/2014 (eIDAS) та офіційно гармонізовані в Україні як національні стандарти (ДСТУ EN), тобто мають статус чинних нормативних документів в Україні.
У роз’ясненні ДССЗІ з питань використання засобів електронного підпису та печатки при наданні кваліфікованих електронних довірчих послуг зазначається, що перевірку засобів КЕП, які здійснюють генерацію і зберігання ключа, на відповідність профілю захисту для засобів створення захищеного підпису з генерацією ключів, визначеного стандартом EN 419211-2:2013 (прийнятий в Україні як ДСТУ EN 419211-2:2016). Роз’яснення ДССЗІ з питань використання засобів електронного підпису та печатки при наданні кваліфікованих електронних довірчих послуг за посиланням https://cip.gov.ua/ua/news/roz-yasnennya-z-pitan-vikoristannya-zasobiv-elektronnogo-pidpisu-ta-pechatki-pri-nadanni-kvalifikovanikh-elektronnikh-dovirchikh-poslug?utm_source=chatgpt.com
Тобто обов’язковими механізмами, які забезпечують виконання функціональних вимог безпеки, а саме профілі захисту та стандарти, що мають бути реалізовані та експертовані у засобах кваліфікованого електронного підпису чи печатки відповідно до вимог діючого законодавства України є тільки ДСТУ EN 419211-1:2016 та ДСТУ EN 419211-2:2016.
Замовник у тендерній документації стандарти ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 визначає як «Відповідність вимогам нормативних документів у сфері криптографічного захисту інформації». Але ні ЗУ «Про електронну ідентифікацію та електронні довірчі послуги», ні положення про державну експертизу в сфері криптографічного захисту інформації, ні інші вимоги від ДССЗІ не вимагають від виробників засобів кваліфікованого електронного підпису чи печатки реалізації стандартів ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016. Відповідно до Закону України «Про стандартизацію» у абз. 2 статті 23 «Застосування національних стандартів та кодексів усталеної практики» зазначається наступне: Національні стандарти та кодекси усталеної практики застосовуються на добровільній основі, крім випадків, якщо обов’язковість їх застосування встановлена нормативно-правовими актами. Стандарти ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 належать до добровільних, їх використання можливе як додаткове підтвердження рівня безпеки, але не є обов’язковою умовою для проходження державної експертизи у сфері КЗІ, та не можуть вимагатись як обов’язкова вимога до засобів кваліфікованого електронного підпису та печатки. Крім того, стандарти ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 стосуються не засобів кваліфікованого електронного підпису та печатки, а для пристроїв, що передбачають взаємодію при створенні ключів самого пристрою із зовнішніми системами.
Відповідно до вищевикладеного вважаємо, що вимога обов’язкової наявності стандартів ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 є дискримінаційною, оскільки дана вимога розрахована на учасників торгів, які зможуть запропонувати конкретно визначений товар, що є дискримінаційним стосовно інших учасників торгів, в тому числі Скаржника, який хоче пропонувати товар, який був розроблений чітко згідно вимог діючого законодавства України в галузі КЗІ керуючись відповідними вимогами згідно роз’яснень регулятора та ЗУ «Про електронну ідентифікацію та електронні довірчі послуги» та отримав позитивні експертні висновки в галузі КЗІ. На підтвердження відповідності товару власного виробництва, Скаржник надає два експертні висновки від 10.02.2022 року та один експертний висновок від 18.03.2019 року.
Таким чином, Замовник повинен усунути дискримінаційну вимогу шляхом внесення відповідних змін до тендерної документації в цій частині.
Висловлюємо своє бажання бути присутніми на засіданні з розгляду скарги про порушення законодавства у сфері публічних закупівель для надання додаткових пояснень.
Частиною четвертою статті 22 Закону України «Про публічні закупівлі» передбачено, що тендерна документація не повинна містити вимог, що обмежують конкуренцію та призводять до дискримінації учасників.
Дії Замовника в частині встановлення у Документації наведених вище вимог та формування предмета закупівлі у спосіб, наведений вище, порушують вимоги частини четвертої статті 5 та частини четвертої статті 22 Закону, якими передбачена недискримінація учасників, а також, права та законні інтереси Скаржника, пов'язані з його участю у Процедурі закупівлі, та принципи недискримінації учасників, відкритості та прозорості на всіх стадіях закупівель, передбачені статтею 5 Закону.
Наявність порушених прав обґрунтовується тим фактом, що Скаржник бажає взяти участь у відповідній процедурі та реально претендує на укладення договору з Замовником у майбутньому, крім того Скаржник є реальним учасником відповідного ринку. Проте, через дискримінаційні та незаконні вимоги Замовника до предмету закупівлі, Скаржник не може прийняти участь у закупівлі.
Виходячи з вищевикладеного та керуючись ст.18 ЗУ «Про публічні закупівлі» та Конституцією України, -
ПРОСИМО:
1. Прийняти Скаргу до розгляду.
2. Зобов’язати замовника усунути дискримінаційні умови зазначені вище та привести вимоги Оголошення та тендерної документації у відповідність із вимогами законодавства.
Перелік документів (доказів), що підтверджують наявність у суб’єкта оскарження порушених прав та охоронюваних законом інтересів з приводу рішення, дії чи бездіяльності замовника, що суперечать законодавству у сфері публічних закупівель і внаслідок яких порушено право чи законні інтереси такої особи, пов’язані з його участю в процедурі закупівлі:
1. Копія експертного висновка від 10.02.2022 року на 1 арк.
2. Копія експертного висновка від 10.02.2022 року на 2 арк.
3. Копія експертного висновка від 18.03.2019 року на 2 арк.
З повагою,
т.в.о. Директора ТОВ
«АВЕСТ-УКРАЇНА» Галина Булат
від «23» жовтня 2024 року
До Антимонопольного комітету України
Адреса: вул. Митрополита Василя Липківського, 45 м. Київ 03035.
Суб’єкт оскарження: Товариство з обмеженою відповідальністю «АВЕСТ-УКРАЇНА»
код ЄДРПОУ: 37963188
Адреса: Україна, 04216, місто Київ, вул. Берковецька, будинок 1
Замовник: Управління забезпечення Оперативно-рятувальної служби цивільного захисту Державної служби України з надзвичайних ситуацій
код ЄДРПОУ: 33945469
Адреса: 04082, Україна , Київська обл., м. Київ, вул. Бережанська, 7
Ідентифікатор закупівлі: UA-2025-10-20-006293-a
СКАРГА
про порушення законодавства в сфері публічних закупівель
20 жовтня 2025 року Замовник Управління забезпечення Оперативно-рятувальної служби цивільного захисту Державної служби України з надзвичайних ситуацій (далі за текстом – Замовник) оприлюднив Оголошення про заплановану закупівлю: UA-2025-10-20-006293-a, процедури закупівлі – відкриті торги з особливостями, предмет закупівлі є: ДК 021:2015:30230000-0: Комп’ютерне обладнання.
Строк подання тендерних пропозицій було встановлено до 28 жовтня 2025 р. 09:00.
Маємо намір взяти участь у відповідному тендері, однак ознайомившись з тендерною документацією, ми, ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ " АВЕСТ-УКРАЇНА " (далі - Скаржник), виявив в ній вимоги, які не відповідають чинному законодавству, обмежують конкуренцію, та не дають можливості прийняти участь у відповідній закупівлі а саме:
1. У додатку 1.2 до тендерної документації пункті 7 таблиці основних вимог до технічних характеристик встановлена наступна вимога:
7 Відповідність вимогам
нормативних документів
у сфері криптографічного
захисту інформації У пристрої мають бути реалізовані механізми, які
забезпечують виконання функціональних вимог безпеки, що
визначені (повинно бути підтверджено чинним експертним
висновком у галузі криптографічного захисту інформації):
ДСТУ EN 419211-1:2016;
ДСТУ EN 419211-2:2016;
ДСТУ EN 419211-3:2016;
ДСТУ EN 419211-4:2016;
ДСТУ EN 419211-5:2016;
ДСТУ EN 419211-6:2016
Відповідно до умов тендерної документації Замовник планує закупити Захищені носії ключової інформації (USB-токени). Згідно Закону України «Про електронну ідентифікацію та електронні довірчі послуги» це є засоби кваліфікованого електронного підпису чи печатки. Основним нормативним актом, який регулює сферу надання кваліфікованих електронних довірчих послуг, є Закон України «Про електронну ідентифікацію та електронні довірчі послуги». Також Стаття 19 цього Закону визначає, що засоби кваліфікованого електронного підпису (КЕП) повинні відповідати вимогам, встановленим законодавством у сфері криптографічного захисту інформації, та мати позитивний експертний висновок державної експертизи у сфері криптографічного захисту інформації. Регулятором у сфері криптографічного захисту інформації, що реалізує державну політику в даній сфері є Державна служба спеціального зв’язку та захисту інформації України (далі за текстом – ДССЗІ). Закон України «Про електронну ідентифікацію та електронні довірчі послуги» делегує ДССЗІ право встановлювати обов’язкові вимоги до засобів кваліфікованого електронного підпису чи печатки, які включають механізми, які забезпечують виконання функціональних вимог безпеки, а саме певні профілі захисту та стандарти.
Головними вимогами згідно ЗУ до засобів кваліфікованого електронного підпису чи печатки є:
Стаття 19. Засоби кваліфікованого електронного підпису чи печатки
1. Засоби кваліфікованого електронного підпису чи печатки за допомогою відповідних технічних та процедурних засобів повинні забезпечувати:
- надійний рівень конфіденційності особистих ключів під час їх генерації, зберігання та створення кваліфікованого електронного підпису чи печатки;
- належний рівень унікальності пари ключів, які вони генерують;
- надійний рівень неможливості обчислення значення особистого ключа на основі відкритої інформації та надійний захист кваліфікованого електронного підпису чи печатки від підроблення шляхом використання наявних на даний момент технологій;
- можливість надійного захисту підписувачем чи створювачем (уповноваженим представником створювача) електронної печатки особистого ключа від використання іншими особами.
2. Засоби кваліфікованого електронного підпису чи печатки не повинні змінювати електронні дані, з якими пов’язаний такий підпис чи печатка, або перешкоджати доступу підписувача чи створювача (уповноваженого представника створювача) електронної печатки до таких електронних даних перед накладанням на них кваліфікованого електронного підпису чи печатки.
Підтвердженням відповідності засобів кваліфікованого електронного підпису чи печатки статті 19 п.1. та п.2. є наявний діючий експертний висновок ДССЗІ із зазначенням стандартів ДСТУ EN 419211-1:2016 та ДСТУ EN 419211-2:2016. Дані стандарти є частиною технічних вимог до кваліфікованих засобів створення КЕП (QSCD) відповідно до Регламенту (ЄС) № 910/2014 (eIDAS) та офіційно гармонізовані в Україні як національні стандарти (ДСТУ EN), тобто мають статус чинних нормативних документів в Україні.
У роз’ясненні ДССЗІ з питань використання засобів електронного підпису та печатки при наданні кваліфікованих електронних довірчих послуг зазначається, що перевірку засобів КЕП, які здійснюють генерацію і зберігання ключа, на відповідність профілю захисту для засобів створення захищеного підпису з генерацією ключів, визначеного стандартом EN 419211-2:2013 (прийнятий в Україні як ДСТУ EN 419211-2:2016). Роз’яснення ДССЗІ з питань використання засобів електронного підпису та печатки при наданні кваліфікованих електронних довірчих послуг за посиланням https://cip.gov.ua/ua/news/roz-yasnennya-z-pitan-vikoristannya-zasobiv-elektronnogo-pidpisu-ta-pechatki-pri-nadanni-kvalifikovanikh-elektronnikh-dovirchikh-poslug?utm_source=chatgpt.com
Тобто обов’язковими механізмами, які забезпечують виконання функціональних вимог безпеки, а саме профілі захисту та стандарти, що мають бути реалізовані та експертовані у засобах кваліфікованого електронного підпису чи печатки відповідно до вимог діючого законодавства України є тільки ДСТУ EN 419211-1:2016 та ДСТУ EN 419211-2:2016.
Замовник у тендерній документації стандарти ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 визначає як «Відповідність вимогам нормативних документів у сфері криптографічного захисту інформації». Але ні ЗУ «Про електронну ідентифікацію та електронні довірчі послуги», ні положення про державну експертизу в сфері криптографічного захисту інформації, ні інші вимоги від ДССЗІ не вимагають від виробників засобів кваліфікованого електронного підпису чи печатки реалізації стандартів ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016. Відповідно до Закону України «Про стандартизацію» у абз. 2 статті 23 «Застосування національних стандартів та кодексів усталеної практики» зазначається наступне: Національні стандарти та кодекси усталеної практики застосовуються на добровільній основі, крім випадків, якщо обов’язковість їх застосування встановлена нормативно-правовими актами. Стандарти ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 належать до добровільних, їх використання можливе як додаткове підтвердження рівня безпеки, але не є обов’язковою умовою для проходження державної експертизи у сфері КЗІ, та не можуть вимагатись як обов’язкова вимога до засобів кваліфікованого електронного підпису та печатки. Крім того, стандарти ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 стосуються не засобів кваліфікованого електронного підпису та печатки, а для пристроїв, що передбачають взаємодію при створенні ключів самого пристрою із зовнішніми системами.
Відповідно до вищевикладеного вважаємо, що вимога обов’язкової наявності стандартів ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 є дискримінаційною, оскільки дана вимога розрахована на учасників торгів, які зможуть запропонувати конкретно визначений товар, що є дискримінаційним стосовно інших учасників торгів, в тому числі Скаржника, який хоче пропонувати товар, який був розроблений чітко згідно вимог діючого законодавства України в галузі КЗІ керуючись відповідними вимогами згідно роз’яснень регулятора та ЗУ «Про електронну ідентифікацію та електронні довірчі послуги» та отримав позитивні експертні висновки в галузі КЗІ. На підтвердження відповідності товару власного виробництва, Скаржник надає два експертні висновки від 10.02.2022 року та один експертний висновок від 18.03.2019 року.
Таким чином, Замовник повинен усунути дискримінаційну вимогу шляхом внесення відповідних змін до тендерної документації в цій частині.
Висловлюємо своє бажання бути присутніми на засіданні з розгляду скарги про порушення законодавства у сфері публічних закупівель для надання додаткових пояснень.
Частиною четвертою статті 22 Закону України «Про публічні закупівлі» передбачено, що тендерна документація не повинна містити вимог, що обмежують конкуренцію та призводять до дискримінації учасників.
Дії Замовника в частині встановлення у Документації наведених вище вимог та формування предмета закупівлі у спосіб, наведений вище, порушують вимоги частини четвертої статті 5 та частини четвертої статті 22 Закону, якими передбачена недискримінація учасників, а також, права та законні інтереси Скаржника, пов'язані з його участю у Процедурі закупівлі, та принципи недискримінації учасників, відкритості та прозорості на всіх стадіях закупівель, передбачені статтею 5 Закону.
Наявність порушених прав обґрунтовується тим фактом, що Скаржник бажає взяти участь у відповідній процедурі та реально претендує на укладення договору з Замовником у майбутньому, крім того Скаржник є реальним учасником відповідного ринку. Проте, через дискримінаційні та незаконні вимоги Замовника до предмету закупівлі, Скаржник не може прийняти участь у закупівлі.
Виходячи з вищевикладеного та керуючись ст.18 ЗУ «Про публічні закупівлі» та Конституцією України, -
ПРОСИМО:
1. Прийняти Скаргу до розгляду.
2. Зобов’язати замовника усунути дискримінаційні умови зазначені вище та привести вимоги Оголошення та тендерної документації у відповідність із вимогами законодавства.
Перелік документів (доказів), що підтверджують наявність у суб’єкта оскарження порушених прав та охоронюваних законом інтересів з приводу рішення, дії чи бездіяльності замовника, що суперечать законодавству у сфері публічних закупівель і внаслідок яких порушено право чи законні інтереси такої особи, пов’язані з його участю в процедурі закупівлі:
1. Копія експертного висновка від 10.02.2022 року на 1 арк.
2. Копія експертного висновка від 10.02.2022 року на 2 арк.
3. Копія експертного висновка від 18.03.2019 року на 2 арк.
З повагою,
т.в.о. Директора ТОВ
«АВЕСТ-УКРАЇНА» Галина Булат
×
-
Назва доказу:
Тендерна документація Замовника
-
Повʼязаний документ:
ТД токени.docx
-
-
Назва доказу:
Експертні висновки ДССЗІ
-
Повʼязаний документ:
Експертні висновки ДССЗІ.pdf
Вимоги:
Зобов'язати замовника внести зміни до тендерної документації
×
-
Виходячи з вищевикладеного та керуючись ст.18 ЗУ «Про публічні закупівлі» та Конституцією України, - ПРОСИМО: 1. Прийняти Скаргу до розгляду. 2. Зобов’язати замовника усунути дискримінаційні умови зазначені вище та привести вимоги Оголошення та тендерної документації у відповідність із вимогами законодавства.
Запити Органу оскарження
Номер:
abdcd4da8d624b88b2a57542d07191ca
Тема запиту:
Додаткові пояснення щодо необхідності встановлення в тендерній документації (технічні вимоги до предмета закупівлі) оскаржуваної ТОВ «АВЕСТ-Україна» (далі – Скаржник) умови до захищеного носія ключової інформації (КЕП) в частині його відповідності вимогам нормативних документів у сфері криптографічного захисту інформації, а саме всій серії стандартів ДСТУ EN 419211 (частини 1–6).
Текст запиту:
Метою закупівлі є забезпечення співробітників органів та підрозділів ДСНС України захищеними носіями КЕП для використання в інформаційно-телекомунікаційних системах (далі – ІТС) органів та підрозділів ДСНС та МВС України, електронному документообігу та взаємодії з зовнішніми електронними сервісами (системи електронних закупівель, ДПС, Пенсійний фонд, Єдиний державний реєстр тощо).
Вимога щодо відповідності предмета закупівлі всій серії ДСТУ EN 419211-1:2016 по ДСТУ EN 419211-6:2016 ґрунтується на необхідності забезпечення комплексного та універсального рівня захисту, що охоплює всі можливі функціональні вимоги безпеки, які можуть виникнути в процесі експлуатації носіїв в різноманітних сценаріях використання:
1. Універсальність використання: забезпечення сумісності та функціональності носіїв у різних ІТС, які можуть мати різні вимоги до генерації, зберігання та використання ключів КЕП (наприклад, генерація ключа на пристрої, імпорт ключа, віддалене підписання).
2. Повний спектр профілів захисту (Protection Profiles - PP):
ДСТУ EN 419211-1:2016 (Базовий профіль) встановлює мінімальні загальні вимоги.
ДСТУ EN 419211-2:2016 (Генерація ключа на пристрої) є критично важливим для забезпечення неможливості компрометації приватного ключа за межами носія.
ДСТУ EN 419211-3:2016 (Імпорт ключа) може знадобитися для використання існуючих ключів або в специфічних корпоративних системах.
ДСТУ EN 419211-4:2016 (Довірений шлях даних - "What You See Is What You Sign" - WYSIWYS) є необхідним для систем, де потрібне підтвердження цілісності даних, що підписуються, безпосередньо користувачем на довіреному інтерфейсі.
ДСТУ EN 419211-5:2016 (Розширення для криптографічних алгоритмів) може включати підтримку певних алгоритмів, обов'язкових для використання в Україні.
ДСТУ EN 419211-6:2016 (Розширення для генерації ключа на пристрої з використанням асиметричних криптосистем) забезпечує відповідність сучасним криптографічним вимогам.
3. Мінімізація ризиків: відповідність усім частинам стандарту забезпечує найвищий можливий рівень довіри до пристрою, що критично для державних установ, які працюють з чутливою інформацією та несуть відповідальність за юридичну значимість підписаних документів.
4. Відповідність нормативним актам: забезпечення відповідності вимогам чинного законодавства України у сфері електронних довірчих послуг та технічного захисту інформації, що вимагає використання надійних засобів КЕП, підтверджених експертними висновками Держспецзв'язку.
Враховуючи високі вимоги до безпеки інформаційних систем ДСНС та МВС України та різноманітність сценаріїв застосування КЕП, вимога відповідності всім частинам ДСТУ EN 419211 є обґрунтованою, пропорційною та необхідною для забезпечення цілісності, конфіденційності та юридичної сили електронних документів.
Звертаємо увагу Комісії Антимонопольного комітету України з розгляду скарг про порушення законодавства у сфері публічних закупівель про наявність погоджувальних та затверджувальних документів, а також позитивних експертних висновків від профільних державних органів (ДСНС, МВС, Мінцифри). Зазначені в тендерній документації вимоги Замовника:
1) не є довільним рішенням одного Замовника, вони були розроблені робочою групою, погоджені Департаментом інформатизації МВС та затверджені наказом ДСНС, що свідчить про системний підхід до визначення технічної політики в цій сфері;
2) позитивно оцінені експертами Міністерству цифрової трансформації України, які провели експертизу та позитивно оцінили вимоги, встановивши їх відповідність сучасному рівню науково-технічних знань та принципам науково-технічної політики держави, що є вагомим підтвердженням адекватності та необхідності саме таких комплексних вимог;
3) були оприлюднені на офіційному веб-сайті ДСНС для ознайомлення та направлення зауважень у травні поточного року (наказ ДСНС від 07.05.2025 № 524) та, після опрацювання всіх зауважень і пропозицій, за результатами яких були внесені зміни та знову ж таки оприлюднені на офіційному веб-сайті ДСНС у вересні цього року – наказ ДСНС від 07.05.2025 № 524 (у редакції наказу ДСНС від 22.09.2025 № 1181), що свідчить про прозорість дотримання процедур та відсутність умислу приховати інформацію або обмежити конкуренцію;
4) відповідають специфіці державного сектору (ДСНС): для органів державної влади, особливо тих, що займаються питаннями безпеки та надзвичайних ситуацій, вимоги до криптографічного захисту інформації є надзвичайно високими. Обґрунтування необхідності максимального (всіх частин стандарту) рівня захисту для забезпечення цілісності державних інформаційних ресурсів є логічним та виправданим.
Незважаючи на те, що вимога всіх частин ДСТУ EN 419211 є дуже жорсткою, в контексті наведених обставин (погодження МВС, позитивна експертиза Мінцифри, затвердження наказом ДСНС) вважаємо її правомірною та обґрунтованою потребами державного замовника.
В Україні є два основних національних виробники захищених носіїв ключової інформації (USB-токенів) для КЕП, чия продукція має необхідну сертифікацію Державної служби спеціального зв'язку та захисту інформації України (ДССЗЗІУ): ТОВ "Автор" – виробляє популярну лінійку продуктів, зокрема "SecureToken-337" та "SecureToken-338S/M" і їхні токени широко використовуються державними установами, банками та комерційними організаціями, а також АТ "ІІТ" (Інститут інформаційних технологій) – інший ключовий український розробник та виробник засобів КЗІ, їхня продукція також має всі необхідні експертні висновки та використовується в багатьох інформаційних системах України.
Крім них, на ринку представлені продукти від великих міжнародних компаній, адаптовані та сертифіковані для українського ринку: Thales (раніше Gemalto) – продукція, зокрема SafeNet eToken 5110 CC, є дуже поширеною в Україні і має відповідні українські експертні висновки; Yubico – окремі моделі Yubikey також можуть бути доступні через дистриб'юторів, хоча їх використання для КЕП може залежати від конкретних вимог сертифікації в Україні.
Скаржник не довів, що продукти, які відповідають вимогам Замовника, відсутні на ринку або що його продукт (який не відповідає всім частинам ДСТУ) може повноцінно задовольнити всі потреби ДСНС, так як у разі задоволення Скарги, нам як Замовнику, необхідно буде обгрунтувати перед експертами МВС та Мінцифри необхідність внесення змін до технічних вимог, тим більше у бік їх погіршення.
Таким чином, вказані вище аргументи та доводи підтверджують правоту Замовника, правомірність прийнятих Замовником рішень і, в свою чергу, спростовують зауваження та твердження Скаржника, викладені у Скарзі.
Додатки:
1. Файл «Доповнення від 05.11.2025 до Листа в АМКУ від 29.10.2025.doc»
2. Файл «Доповнення від 05.11.2025 до Листа в АМКУ від 29.10.2025.pdf»
3. Файл «Наказ ДСНС № 1181 від 22.09.2025 з техвимогами до USB-токена.pdf»
4. Файл «Лист Мінцифри з додатком.pdf»
Дата опублікування:
05.11.2025 15:21
Номер:
613f533eab834826b777b32cb2766a74
Тема запиту:
Замовник не погоджується з вимогами, викладеними у Скарзі, вважає їх необґрунтованими та безпідставними. Відповідно, Замовник заперечує проти вимог Скарги з огляду на таке.
Текст запиту:
Скаржник вважає, що «Стандарти ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 належать до добровільних, їх використання можливе як додаткове підтвердження рівня безпеки, але не є обов’язковою умовою для проходження державної експертизи у сфері КЗІ, та не можуть вимагатись як обов’язкова вимога до засобів кваліфікованого електронного підпису та печатки».
Скаржник стверджує, що обов’язковими є лише ДСТУ EN 419211-1:2016 та ДСТУ EN 419211-2:2016, а частини 3–6 не є обов’язковими.
Тобто він фактично намагається обмежити коло нормативних документів, що застосовуються для оцінки засобів КЕП.
Скаржник, для підтвердження своєї правоти, посилається на наступні документи:
пункти 1 та 2 статті 19 Закону України «Про електронну ідентифікацію та електронні довірчі послуги»;
Регламент Європейського Парламенту і Ради (ЄС) № 910/2014;
Роз’яснення Державної служби спеціального зв'язку та захисту інформації України (далі – ДССЗЗІ) з питань використання засобів електронного підпису та печатки при наданні кваліфікованих електронних довірчих послуг від 09.09.2019;
діючий експертний висновок ДССЗЗІ із зазначенням стандартів ДСТУ EN 419211-1:2016 та ДСТУ EN 419211-2:2016, виданий Скаржнику.
У той же час, у абзаці 2 згаданого Скаржником Роз’яснення ДССЗЗІ від 09.09.2019 зазначено:
«Положеннями Регламенту (ст. 30 та 39) передбачено сертифікацію засобів кваліфікованого електронного підпису та печатки (засоби КЕП) на відповідність вимогам стандартів щодо оцінки безпеки, перелік яких визначений ІМПЛЕМЕНТАЦІЙНИМ РІШЕННЯМ КОМІСІЇ (ЄС) 2016/650 від 25.04.2016 (Рішення)».
ІМПЛЕМЕНТАЦІЙНЕ РІШЕННЯ КОМІСІЇ (ЄС) 2016/650 від 25.04.2016, що додається – файл «Імплементаційне рішення комісії ЄС.doc», містить ДОДАТОК - СПИСОК СТАНДАРТІВ, ЗАЗНАЧЕНИХ У СТАТТІ 1(1) цього рішення, а саме:
«…
EN 419 211 - Профілі захисту для засобу для створення захищеного підпису, частини 1-6 - у відповідних випадках - як зазначено нижче:
EN 419211-1:2014 - Профілі захисту для засобу для створення захищеного підпису - Частина 1: Огляд
EN 419211-2:2013 - Профілі захисту для засобу для створення захищеного підпису - Частина 2: Засіб з генерацією ключів
EN 419211 -3:2013 - Профілі захисту для засобу для створення захищеного підпису - Частина 3: Засіб з імпортуванням ключів
EN 419211-4:2013 - Профілі захисту для засобу для створення захищеного підпису - Частина 4: Розширення для засобу з генерацією ключів і надійним каналом зв’язку з програмою генерації сертифікатів
EN 419211-5:2013 - Профілі захисту для засобу для створення захищеного підпису - Частина 5: Розширення для засобу з генерацією ключів і надійним каналом зв’язку з програмою створення підписів
EN 419211-6:2014 - Профілі захисту для засобу для створення захищеного підпису - Частина 6: Розширення для засобу з імпортуванням ключів і надійним каналом зв’язку з програмою створення підписів».
Скаржник у своїй скарзі сам підтверджує, що вищезазначені стандарти «…офіційно гармонізовані в Україні як національні стандарти (ДСТУ EN), тобто мають статус чинних нормативних документів в Україні.». Тому в Україні, як країні, що гармонізує вимоги eIDAS через Закон «Про електронні довірчі послуги», застосування повної серії стандартів є логічним та нормативно обґрунтованим.
Крім цього, у абзацах 6 та 7 згаданого вище Скаржником Роз’ясненні ДССЗЗІ від 09.09.2019 зазначено:
«Постановою Кабінету Міністрів України 07.11.2018 № 992 «Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг» (Постанова 992) встановлено перелік стандартів, що визначають вимоги до засобів КЕП, серед яких є зокрема ДСТУ EN 419211-2:2016.
Таким чином, всі функції, які здійснюються засобами КЕП, реалізуються згідно відповідних профілів захисту, наведених в Рішенні та визначених Постановою 992».
На даний час Постанова КМУ № 992 від 07.11.2018 втратила чинність на підставі Постанови КМУ № 764 від 28.06.2024.
Постановою КМУ № 764 від 28.06.2024 «Деякі питання електронної ідентифікації та електронних довірчих послуг» (далі – Постанова 764) затверджені «ВИМОГИ до надавачів послуг електронної ідентифікації та електронних довірчих послуг», які містять розділ «Вимоги з безпеки та захисту інформації надавачів довірчих послуг та надавачів послуг електронної ідентифікації
102. Діяльність з безпеки та захисту інформації надавачів довірчих послуг та надавачів послуг електронної ідентифікації (відокремлених пунктів реєстрації) організовується, постійно підтримується та координується службою захисту інформації з дотриманням вимог законодавства у сфері захисту інформації, електронної ідентифікації та електронних довірчих послуг, регламенту, а також з дотриманням вимог таких стандартів:
ДСТУ EN 419211-1:2016 (EN 419211-1:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 1. Огляд”;
ДСТУ EN 419211-2:2016 (EN 419211-2:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 2. Пристрій з генерацією ключів”;
ДСТУ EN 419211-3:2016 (EN 419211-3:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 3. Пристрій з імпортом ключів”;
ДСТУ EN 419211-4:2016 (EN 419211-4:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 4. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування генерації сертифікатів”;
ДСТУ EN 419211-5:2016 (EN 419211-5:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 5. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування створення підпису”;
ДСТУ EN 419211-6:2016 (EN 419211-6:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 6. Розширення для пристроїв з імпортом ключів та довіреним каналом для застосування створення підпису”…»
Додатком до вищезазначених вимог встановлено ПЕРЕЛІК СТАНДАРТІВ, що застосовуються кваліфікованими надавачами електронних довірчих послуг для надання кваліфікованих електронних довірчих послуг, у тому числі:
«Стандарти, що визначають вимоги до засобів кваліфікованого електронного підпису чи печатки:
48. ДСТУ EN 419211-1:2016 (EN 419211-1:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 1. Огляд”.
49. ДСТУ EN 419211-2:2016 (EN 419211-2:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 2. Пристрій з генерацією ключів”.
50. ДСТУ EN 419211-3:2016 (EN 419211-3:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 3. Пристрій з імпортом ключів”.
51. ДСТУ EN 419211-4:2016 (EN 419211-4:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 4. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування генерації сертифікатів”.
52. ДСТУ EN 419211-5:2016 (EN 419211-5:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 5. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування створення підпису”.
53. ДСТУ EN 419211-6:2016 (EN 419211-6:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 6. Розширення для пристроїв з імпортом ключів та довіреним каналом для застосування створення підпису”.»
Тобто Постанова 764 прямо визнає всю серію 1–6 як таку, що застосовується у сфері кваліфікованих електронних підписів і печаток, законодавець не виокремлює лише частини 1 та 2, а визначає повну серію як релевантну.
Таким чином, вимоги до засобів кваліфікованого електронного підпису та печатки визначаються повною серією стандартів ДСТУ EN 419211 (частини 1–6), гармонізованою з європейським стандартом EN 419211, який використовується в ЄС для підтвердження відповідності засобів створення кваліфікованого електронного підпису вимогам Регламенту (ЄС) № 910/2014 (eIDAS).
Відповідно до Постанови 764, у додатку (Перелік стандартів) включено стандарти ДСТУ EN 419211-1:2016 – ДСТУ EN 419211-6:2016, які застосовуються у сфері електронних довірчих послуг, у тому числі під час розроблення та оцінювання засобів кваліфікованого електронного підпису або печатки.
Крім того, відповідно до практики проведення державної експертизи у сфері криптографічного захисту інформації, здійснюваної Державною службою спеціального зв’язку та захисту інформації України, у чинних експертних висновках щодо засобів кваліфікованого електронного підпису (зокрема, SecureToken-337, SecureToken-338, Кристал-1 тощо) зазначено реалізацію вимог ДСТУ EN 419211-1:2016 – ДСТУ EN 419211-6:2016. Для прикладу надається скан-копія такого висновку – файл «Avtor337 висновки ДССЗЗІ.pdf».
Таким чином, вимоги частин 3–6 серії ДСТУ EN 419211:2016 є невід’ємною частиною нормативної бази, що застосовується при оцінюванні та експертизі засобів КЕП/КЕПеч, і їх виконання є обов’язковим для підтвердження відповідності засобу чинному законодавству України у сфері електронних довірчих послуг.
Загалом стандарти серії ДСТУ EN 419211:2016 — це українська адаптація європейського стандарту EN 419211, який описує вимоги до засобів створення кваліфікованого електронного підпису (QSCD — Qualified Signature/Seal Creation Device). Вона складається з шести частин, і кожна з них описує певний рівень або аспект захисту.
Очевидно, що відповідність захищеного носія КЕП всім стандартам серії ДСТУ EN 419211 є значно кращою і надійнішою, ніж відповідність лише першим двом стандартам. Це пов'язано з тим, що кожен стандарт цієї серії охоплює різні, але взаємодоповнюючі аспекти безпеки пристроїв для створення електронного підпису.
Стандарти серії ДСТУ EN 419211 – це "Профілі захисту для пристроїв створення безпечного підпису". Кожен стандарт серії має своє призначення:
• ДСТУ EN 419211-1:2016 — це загальний огляд серії, що описує її структуру та основні поняття. Сам по собі цей стандарт не забезпечує достатнього рівня захисту.
• ДСТУ EN 419211-2:2016 — стосується пристроїв, які генерують ключі безпосередньо всередині пристрою. Це є ключовою вимогою для безпечного носія, оскільки ключі не можуть бути викрадені в процесі створення.
• ДСТУ EN 419211-3:2016 — описує вимоги для пристроїв, що імпортують ключі ззовні. Це менш безпечний варіант, ніж генерація ключів всередині пристрою.
• ДСТУ EN 419211-4:2016 та ДСТУ EN 419211-5:2016 — стосуються розширень для пристроїв, що мають довірений канал для різних операцій, наприклад, для генерації сертифікатів або створення підпису. Ці стандарти посилюють безпеку комунікацій між носієм і системою.
• ДСТУ EN 419211-6:2016 — встановлює вимоги для розширень пристроїв з імпортом ключів та довіреним каналом.
Комплексна відповідність стандартам забезпечує надійний захист на всіх етапах життєвого циклу електронного підпису: надійне створення ключів; безпечне зберігання ключів від несанкціонованого фізичного доступу; захист від програмних атак через довірений канал, що регламентується в розширеннях стандартів (частини 4, 5, 6); захист від атаки на сам процес підписання. Наприклад, захист від підміни документа для підписання.
Якщо носій відповідає лише першим двом стандартам, це означає, що він, можливо, безпечно генерує ключі, але інші потенційні вразливості, пов'язані з передачею даних, процесом підписання та програмним середовищем, можуть залишатися без належного захисту.
Для максимальної безпеки і надійності слід обирати носії КЕП, які відповідають всім стандартам серії ДСТУ EN 419211. Це забезпечує комплексний захист від широкого спектра загроз.
Простими словами, якщо пристрій відповідає лише ДСТУ EN 419211-1 і -2, — це “функціонально правильний”, але не повністю перевірений захищений носій. Якщо ж відповідає всій серії (1–6) — це повноцінний сертифікований захищений носій КЕП (QSCD), що відповідає і українським, і європейським нормам.
Звертаємо увагу Скаржника, що відповідно до пункту 31 частини першої статті 1 Закону, тендерна документація розробляється та затверджується замовником. Вона повинна містити перелік складових, визначених частиною другою статті 22 Закону, зокрема інформацію про необхідні технічні, якісні та кількісні характеристики предмета закупівлі, у тому числі відповідну технічну специфікацію (у разі потреби – плани, креслення, малюнки чи опис предмета закупівлі). Технічні, якісні характеристики предмета закупівлі та технічні специфікації до предмета закупівлі повинні визначатися замовником з урахуванням вимог, визначених частиною четвертою статті 5 цього Закону, а саме: Замовники не мають права встановлювати жодних дискримінаційних вимог до учасників.
Технічні вимоги до захищеного носія ключової інформації (USB-токена) були розроблені робочою групою з визначення технічних специфікацій (вимог) засобів електронних комунікацій та інформатизації (реєстраційний № П-11/091 від 27.08.2025), погоджені Департамент інформатизації Міністерства внутрішніх справ України (лист від 05.09.2025 № 32746/16-2025) та затверджені наказом ДСНС України 22.09.2025 № 1181, які розміщені для ознайомлення та направлення своїх зауважень та пропозицій на офіційному вебсайт ДСНС України за посиланням: https://dsns.gov.ua/derzhavni-zakupivli/tehnichni-vimogi-do-predmetiv-zakupivli.
Крім цього, зазначені технічні вимоги у складі іншої документації щодо цієї закупівлі, на виконання вимог чинного законодавства в сфері інформатизації, направлялись на погодження до Міністерства цифрової трансформації України. Своїм листом № 1/06-9-15875 від 19.10.2025 Міністерство цифрової трансформації України проінформувало Замовника, що ними було забезпечено проведення первинної експертизи отриманих матеріалів відповідно до Порядку проведення експертизи Національної програми інформатизації та її складових, затвердженого постановою Кабінету Міністрів України від 2 лютого 2024 р. № 119, за результатами якої експертами встановлено відповідність об’єктів експертизи сучасному рівню науково-технічних знань, тенденціям науково-технічного прогресу, принципам науково-технічної політики держави та оцінено позитивно.
Таким чином, доцільність та обгрунтованість вимог до предмета закупівлі підтверджено не лише самим Замовником.
У свою чергу, Скаржником не доведено у чому саме полягає дискримінаційність вимог, яким саме нормам чинного законодавства не відповідають ці вимоги, яким чином вони обмежують конкуренцію, та не дають можливості прийняти участь Скаржнику у цій закупівлі.
Як доказ порушення своїх прав Скаржник надає скан-копії експертних висновків ДССЗЗІ про відповідність продукту Скаржника - засобу кваліфікованого електронного підпису чи печатки «AvestKey» стандартам ДСТУ EN 419211-1:2016 та ДСТУ EN 419211-2:2016. При цьому, Скаржник не зазначає обгрунтованих причин, чому він, чи будь-який інший Учасник закупівлі не може отримати експертний висновок ДССЗЗІ на відповідність його продукту усім стандартам серії ДСТУ EN 419211.
Зважаючи на викладене, у Замовника відсутні підстави для внесення змін до тендерної документації, а саме до технічних вимог стосовно предмета закупівлі. Вказані вище аргументи та доводи підтверджують правоту Замовника, правомірність прийнятих Замовником рішень і, в свою чергу, спростовують зауваження та твердження Скаржника, викладені у Скарзі.
Керуючись статтями 5, 18 Закону та пунктами 56, 58, 66 і 67 Особливостей
ПРОШУ:
1. Взяти до уваги цю інформацію та обґрунтування щодо зауважень, викладених у Скарзі.
2. Не брати до уваги твердження, викладені у Скарзі.
3. Відмовити в задоволенні Скарги повністю.
Додатки:
1. Файл «Лист до АМКУ від 29.10.2025.doc»
2. Файл «Лист до АМКУ від 29.10.2025.pdf»
3. Файл «Імплементаційне рішення комісії ЄС.doc»
4. Файл «Avtor337 висновки ДССЗЗІ.pdf»
Дата опублікування:
29.10.2025 17:38
Номер:
aab755aafc0d40a7bee331a3a11df553
Тема запиту:
відповідь на пояснення по суті скарги закупівлі UA-2025-10-20-006293-a
Текст запиту:
У відповідь на пояснення по суті скарги закупівлі UA-2025-10-20-006293-a Замовника Управління забезпечення Оперативно-рятувальної служби цивільного захисту Державної служби України з надзвичайних ситуацій Комісії Антимонопольного комітету України з розгляду скарг про порушення законодавства у сфері публічних закупівель від 29 жовтня 2025 року, Скаржник ТОВ «АВЕСТ-УКРЇНА» повідомляє про наступне:
Скаржник обґрунтовує необхідність реалізації в засобах кваліфікованого електронного підпису чи печатки стандартів ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 посилаючись на п. 102 Постанови КМУ 764 від 28.06.2024 «Деякі питання електронної ідентифікації та електронних довірчих послуг» (далі за текстом – Постанова). В п.102 Постанови зазначені наступні стандарти:
ДСТУ EN 419211-1:2016 (EN 419211-1:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 1. Огляд”;
ДСТУ EN 419211-2:2016 (EN 419211-2:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 2. Пристрій з генерацією ключів”;
ДСТУ EN 419211-3:2016 (EN 419211-3:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 3. Пристрій з імпортом ключів”;
ДСТУ EN 419211-4:2016 (EN 419211-4:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 4. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування генерації сертифікатів”;
ДСТУ EN 419211-5:2016 (EN 419211-5:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 5. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування створення підпису”;
ДСТУ EN 419211-6:2016 (EN 419211-6:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 6. Розширення для пристроїв з імпортом ключів та довіреним каналом для застосування створення підпису”;
ДСТУ ISO/IEC 19790:2015 (ISO/IEC 19790:2012, IDT) “Інформаційні технології. Методи захисту. Вимоги безпеки до криптографічних модулів”;
ДСТУ EN 419221-5:2018 (EN 419221-5:2018, IDT) “Профілі захисту для криптографічних модулів TSP. Частина 5. Криптографічний модуль для довірчих послуг”;
ДСТУ CEN/TS 419221-6:2021 (CEN/TS 419221-6:2019, IDT) “Умови застосування EN 419221-5 як кваліфікованого пристрою для створення електронного підпису або печатки”;
ДСТУ EN 419231:2021 (EN 419231:2019, IDT) “Профіль захисту для надійних систем, що підтримують відмітку часу”;
ДСТУ EN 419241-1:2021 (EN 419241-1:2018, IDT) “Надійні системи, що підтримують підписи серверів. Частина 1. Загальні вимоги щодо безпеки системи”;
ДСТУ EN 419241-2:2021 (EN 419241-2:2019, IDT) “Надійні системи, що підтримують підписи серверів. Частина 2. Профіль захисту для QSCD для підписів серверів”;
ДСТУ ETSI TS 119 431-1:2022 (ETSI TS 119 431-1 V1.2.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг. Частина 1. Компоненти сервісу TSP, що працюють віддаленим QSCD/SCDev”;
ДСТУ ETSI TS 119 431-2:2019 (ETSI TS 119 431-2 V1.1.1 (2018-12), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг. Частина 2. Компоненти сервісу TSP, що підтримують створення цифрового підпису AdES”;
ДСТУ ETSI TS 119 432:2022 (ETSI TS 119 432 V1.2.1 (2020-10), IDT) “Електронні підписи та інфраструктури (ESI). Протоколи віддаленого створення цифрового підпису”;
ДСТУ ETSI TS 119 495:2022 (ETSI TS 119 495 V1.5.1 (2021-04), IDT) “Електронні підписи та інфраструктури (ESI). Секторальні специфічні вимоги. Профілі сертифікатів і вимоги політики TSP для відкритого банківського обслуговування”;
ДСТУ 4145-2002 “Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння”;
ДСТУ 34.311-95 “Інформаційна технологія. Криптографічний захист інформації. Функція гешування”;
ДСТУ 7564:2014 “Інформаційні технології. Криптографічний захист інформації. Функція ґешування”;
ДСТУ 7624:2014 “Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення”;
ДСТУ ETSI TR 103 570:2022 (ETSI TR 103 570 V1.1.1 (2017-10), IDT) “Кібербезпека. Квантово-безпечний обмін ключами”;
ДСТУ ETSI TR 103 616:2022 (ETSI TR 103 616 V1.1.1 (2021-09), IDT) “Кібербезпека. Квантово-безпечні підписи”;
ДСТУ ETSI TR 103 823:2022 (ETSI TR 103 823 V1.1.2 (2021-10), IDT) “Кібербезпека. Квантово-безпечне шифрування з відкритим ключем та інкапсуляція ключів”;
ДСТУ ETSI TR 119 300:2016 (ETSI TR 119 300:2016, IDT) “Електронні підписи та інфраструктури (ESI). Настанова щодо застосування стандартів для криптографічних комплектів”;
ДСТУ ETSI TS 119 312:2022 (ETSI TS 119 312 V1.4.2 (2022-02), IDT) “Електронні підписи та інфраструктури (ESI). Криптографічні пакети”;
ДСТУ ISO/IEC 14888-1:2015 (ISO/IEC 14888-1:2008, IDT) “Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 1. Загальні положення”;
ДСТУ ISO/IEC 14888-2:2015 (ISO/IEC 14888-2:2008, IDT) “Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 2. Механізми, що ґрунтуються на факторизації цілих чисел”;
ДСТУ ISO/IEC 14888-3:2019 (ISO/IEC 14888-3:2018, IDT) “Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі дискретного логарифмування”;
ДСТУ ISO/IEC 18032:2022 (ISO/IEC 18032:2020, IDT) “Інформаційні технології. Методи захисту. Генерування простого числа”;
ДСТУ ISO/IEC 18033-6:2022 (ISO/IEC 18033-6:2019, IDT) “Інформаційні технології. Методи захисту. Алгоритми шифрування. Частина 6. Гомоморфне шифрування”;
ДСТУ ISO/IEC 19772:2022 (ISO/IEC 19772:2020, IDT) “Інформаційна безпека. Автентифіковане шифрування”;
ДСТУ ISO/IEC 18045:2015 (ISO/IEC 18045:2008, IDT) “Інформаційні технології. Методи захисту. Методологія оцінювання безпеки ІТ”;
ДСТУ ISO/IEC 15408-1:2023 ISO/IEC 15408-1:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 1. Вступ та загальна модель”;
ДСТУ ISO/IEC 15408-2:2023 (ISO/IEC 15408-2:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 2. Функційні компоненти безпеки”;
ДСТУ ISO/IEC 15408-3:2023 (ISO/IEC 15408-3:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 3. Компоненти убезпечення”;
ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги”;
ДСТУ ISO/IEC 27002:2023 (ISO/IEC 27002:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Засоби контролювання інформаційної безпеки”;
ДСТУ ISO/IEC 27701:2022 (ISO/IEC 27701:2019, IDT) “Методи безпеки. Розширення до ISO/IEC 27001 та ISO/IEC 27002 для керування конфіденційною інформацією. Вимоги та настанови”;
ДСТУ ISO/IEC 27005:2023 (ISO/IEC 27005:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Настанова керування ризиками інформаційної безпеки”.
Загалом в п. 102 Постанови перелічено 39 стандартів. Якщо керуватися вимогами п. 102 Постанови КМУ 764 від 28.06.2024, постає питання, чому Замовник в тендерній документації не зазначає вимог до реалізації всіх інших перелічених в пункті 102 стандартів у предмету закупівлі? Пункт 102 даної Постанови перелічує ВСІ стандарти, що застосовуються або до захищених носіїв ключової інформації (USB-токенів), або до надавачів довірчих послуг та надавачів послуг електронної ідентифікації. І відповідно до діючого законодавства України, стандарти, що стосуються предмету закупівлі з п.102 це:
ДСТУ EN 419211-1:2016 (EN 419211-1:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 1. Огляд”;
ДСТУ EN 419211-2:2016 (EN 419211-2:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 2. Пристрій з генерацією ключів”;
ДСТУ 4145-2002 “Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння”;
ДСТУ 34.311-95 “Інформаційна технологія. Криптографічний захист інформації. Функція гешування”;
Відповідно до Закону України «Про електронну ідентифікацію та електронні довірчі послуги» предмет закупівлі це - засіб електронного підпису чи печатки, що відповідає вимогам, встановленим частинами першою - четвертою статті 19 цього Закону; згідно статті 19 Закону засоби кваліфікованого електронного підпису чи печатки мають відповідати наступним вимогам:
1. Засоби кваліфікованого електронного підпису чи печатки за допомогою відповідних технічних та процедурних засобів повинні забезпечувати:
- надійний рівень конфіденційності особистих ключів під час їх генерації, зберігання та створення кваліфікованого електронного підпису чи печатки;
- належний рівень унікальності пари ключів, які вони генерують;
- надійний рівень неможливості обчислення значення особистого ключа на основі відкритої інформації та надійний захист кваліфікованого електронного підпису чи печатки від підроблення шляхом використання наявних на даний момент технологій;
- можливість надійного захисту підписувачем чи створювачем (уповноваженим представником створювача) електронної печатки особистого ключа від використання іншими особами.
2. Засоби кваліфікованого електронного підпису чи печатки не повинні змінювати електронні дані, з якими пов’язаний такий підпис чи печатка, або перешкоджати доступу підписувача чи створювача (уповноваженого представника створювача) електронної печатки до таких електронних даних перед накладанням на них кваліфікованого електронного підпису чи печатки.
Підтвердженням відповідності до вимог статті 19 Закону є саме стандарти ДСТУ EN 419211-1:2016 та ДСТУ EN 419211-2:2016.
Замовник абсолютно вірно в своєму поясненні зазначає, що Стандарти серії ДСТУ EN 419211 мають кожен своє призначення. Стандарт ДСТУ EN 419211-3:2016 — описує вимоги для пристроїв, що імпортують ключі ззовні. Згідно вимог ЗУ «Про електронну ідентифікацію та електронні довірчі послуги» засоби кваліфікованого електронного підпису чи печатки НЕ ПЕРЕДБАЧАЮТЬ імпорту ключів ззовні. Засоби кваліфікованого електронного підпису чи печатки повинні забезпечувати зберігання особистих ключів у внутрішній пам'яті та захист їх від несанкціонованого доступу та зберігання довільних даних у внутрішній пам'яті та захист їх від несанкціонованого доступу. Як зазначає Замовник в поясненні, «комплексна відповідність стандартам забезпечує надійний захист на всіх етапах життєвого циклу електронного підпису: надійне створення ключів; безпечне зберігання ключів від несанкціонованого фізичного доступу; захист від програмних атак через довірений канал, що регламентується в розширеннях стандартів (частини 4, 5, 6); захист від атаки на сам процес підписання. Наприклад, захист від підміни документа для підписання». Тільки Замовник забув в даному поясненні вказати, що частини 3, 4, 5, 6 серії ДСТУ EN 419211 стосуються вже не до захищених носіїв ключової інформації (USB-токенів), а до надавачів довірених каналів, що може ввести в оману Комісію.
Якщо уважно вивчити вимоги Замовника до предмету закупівлі, то згідно Тендерної документації, а саме Додатку 2.1. Інформація про необхідні, технічні, якісні та кількісні характеристики предмета закупівлі (технічні вимоги), Замовник чітко зазначає в п.1 «Основні вимоги до технічних характеристик»:
№
з/п Найменування Основні вимоги до технічних
характеристик
1 Захищеність носія особистих ключів Пристрій повинен мати вбудовані апаратно-програмні засоби, що забезпечують захист записаних на нього даних від несанкціонованого доступу, від безпосереднього ознайомлення зі значенням параметрів особистих ключів та їх копіювання (повинно бути підтверджено чинним експертним висновком у галузі криптографічного захисту інформації)
Забезпеченість захисту записаних даних від несанкціонованого доступу, від безпосереднього ознайомлення зі значенням параметрів особистих ключів та їх копіювання підтверджується саме стандартом ДСТУ EN 419211-1:2016 та ДСТУ EN 419211-2:2016. У Тендерній документації Замовника не зазначається вимог до імпорту ключів ззовні, отже необхідність ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 є необґрунтована. Крім того, стандарти ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 є тільки у одного виробника, що є дискримінацією учасників та порушує ст.5 ЗУ «Про публічні закупівлі».
Замовник також повідомляє, що зазначені вимоги до предмету закупівлі затверджені наказом ДСНС України 22.09.2025 № 1181 і викладені за посиланням https://dsns.gov.ua/derzhavni-zakupivli/tehnichni-vimogi-do-predmetiv-zakupivli. Це додатково підтверджує упередженість замовника в виборі тільки одного виробника рішення зі існуючих на ринку України мінімум чотирьох.
Скаржник не вважає необхідністю реалізації всіх стандартів серії ДСТУ EN 419211, тому що:
1. Керується діючим Законодавством України і вимогами регулятора у сфері криптографічного захисту інформації – Державною службою спеціального зв’язку та захисту інформації України. Ні ЗУ «Про електронну ідентифікацію та електронні довірчі послуги», ні положення про державну експертизу в сфері криптографічного захисту інформації, ні інші вимоги від ДССЗІ не вимагають від виробників засобів кваліфікованого електронного підпису чи печатки реалізації стандартів ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016. Відповідно до Закону України «Про стандартизацію» у абз. 2 статті 23 «Застосування національних стандартів та кодексів усталеної практики» зазначається наступне: Національні стандарти та кодекси усталеної практики застосовуються на добровільній основі, крім випадків, якщо обов’язковість їх застосування встановлена нормативно-правовими актами. Стандарти ДСТУ EN 419211-3:2016, ДСТУ EN 419211-4:2016, ДСТУ EN 419211-5:2016 та ДСТУ EN 419211-6:2016 належать до добровільних, їх використання можливе як додаткове підтвердження рівня безпеки, але не є обов’язковою умовою для проходження державної експертизи у сфері КЗІ, та не можуть вимагатись як обов’язкова вимога до засобів кваліфікованого електронного підпису та печатки.
2. У зв’язку із дією воєнного стану в Україні Державна служба спеціального зв’язку та захисту інформації України не проводить експертні дослідженні в галузі криптографічного захисту інформації.
Частиною четвертою статті 22 Закону України «Про публічні закупівлі» передбачено, що тендерна документація не повинна містити вимог, що обмежують конкуренцію та призводять до дискримінації учасників.
Дії Замовника в частині встановлення у Документації наведених вище вимог та формування предмета закупівлі у спосіб, наведений вище, порушують вимоги частини четвертої статті 5 та частини четвертої статті 22 Закону, якими передбачена недискримінація учасників, а також, права та законні інтереси Скаржника, пов'язані з його участю у Процедурі закупівлі, та принципи недискримінації учасників, відкритості та прозорості на всіх стадіях закупівель, передбачені статтею 5 Закону.
Наявність порушених прав обґрунтовується тим фактом, що Скаржник бажає взяти участь у відповідній процедурі та реально претендує на укладення договору з Замовником у майбутньому, крім того Скаржник є реальним учасником відповідного ринку. Проте, через дискримінаційні та незаконні вимоги Замовника до предмету закупівлі, Скаржник не може прийняти участь у закупівлі.
Виходячи з вищевикладеного та керуючись ст.18 ЗУ «Про публічні закупівлі» та Конституцією України, -
ПРОСИМО:
1. Зобов’язати замовника усунути дискримінаційні умови зазначені вище та привести вимоги Оголошення та тендерної документації у відповідність із вимогами законодавства.
Дата опублікування:
02.11.2025 18:30