AnalýzaBezpečnostKauzaLiberecký krajVeřejné peníze

Kyberzakázka kraje skončila třemi jedinými nabídkami. K čemu je dobrá soutěž s jedním soutěžícím?

Liberecký kraj vypsal nadlimitní zakázku na zvýšení kybernetické bezpečnosti úřadu. Podle zápisu rady mělo o tendr zájem 21 firem, veřejné dokumenty ale ukazují, že v každé ze tří částí nakonec zůstala jediná nabídka. Zakázka se přitom během soutěže opakovaně opravovala a dodavatelé se ptali i na možné technologické zúžení zadání.

  • Zakázka byla nadlimitní, otevřená a rozdělená na tři části.
  • Podle rady kraje mělo zájem 21 firem, ale v každé části zůstala jediná nabídka.
  • Dokumentace se opakovaně opravovala a dodavatelé upozorňovali na možné technologické zúžení.

Veřejná zakázka na kyberbezpečnost není nákup tužek. Běžný člověk si nemůže snadno ověřit, zda požadovaný firewall, log management, SIEM, DLP, SOC nebo správa privilegovaných účtů odpovídají skutečné potřebě úřadu, nebo už vytvářejí technické síto, kterým projde jen několik firem. A právě v tom je problém: čím odbornější a bezpečnostně citlivější zakázka je, tím víc veřejnost odkázaná na důvěru. Jenže důvěra ve veřejných penězích nestačí.

Liberecký kraj vypsal nadlimitní otevřené řízení na zvýšení kybernetické bezpečnosti Krajského úřadu Libereckého kraje. Zakázka byla rozdělena do tří částí: komunikační síť, koncová zařízení a ochrana dat, a nakonec logování, SIEM, hardware a dohledové centrum SOC. Formálně tedy šlo o otevřenou soutěž. Výsledek je ale pozoruhodně úzký: podle veřejných údajů se v každé části objevil jediný účastník. Část 1 získala společnost NET-SYSTEM, části 2 a 3 společnost Aricoma Systems

ÚOHS mluví o anonymní IT kauze. Tahle zakázka si pozornost zaslouží i bez toho

Úřad pro ochranu hospodářské soutěže v červnu 2026 oznámil, že zahájil správní řízení se dvěma společnostmi kvůli podezření ze zakázané dohody u veřejné zakázky na IT služby zadávané v Libereckém kraji. ÚOHS firmy ani zakázku nejmenoval a zároveň výslovně připomněl, že zahájení řízení neznamená, že k protisoutěžnímu jednání skutečně došlo.

Veřejné dokumenty, které mají Liberecké listy k dispozici, neumožňují tvrdit, že právě krajská kyberzakázka je onou anonymní kauzou ÚOHS. Neumožňují ani tvrdit, že se NET-SYSTEM, Aricoma, Adminio, Logmanager nebo jiný subjekt dopustily nezákonného jednání.

Ukazují ale něco jiného a samo o sobě závažného: velká otevřená soutěž za desítky milionů korun skončila v každé části jedinou nabídkou, přestože podle zápisu z rady kraje mělo o zakázku zájem 21 firem. A právě ten kontrast je jádrem celé věci.

Dvacet jedna zájemců. Tři části. Tři jediné nabídky

Zápis z mimořádného jednání rady kraje z 23. června 2025 uvádí, že o zakázku mělo zájem 21 firem, ale v konečné fázi se na každou část přihlásila jedna firma. Rada následně rozhodla o výběru dodavatelů: část 1 NET-SYSTEM za 29 780 200 Kč bez DPH, část 2 Aricoma Systems za 6 750 700 Kč bez DPH a část 3 Aricoma Systems za 23 274 600 Kč bez DPH.

Veřejný profil TenderArena tento výsledek potvrzuje: v sekci „Všichni účastníci“ jsou uvedeny pouze tři řádky – NET-SYSTEM pro část 1, Aricoma Systems pro část 2 a Aricoma Systems pro část 3. Stejné subjekty jsou uvedeny i mezi vybranými dodavateli.

Ve specializovaných IT zakázkách může být účast přirozeně omezená. Někdy se firmy podívají na dokumentaci, vyhodnotí riziko, kapacity, termíny, certifikace nebo neveřejné přílohy a nabídku nepodají. Jenže veřejná kontrola musí umět položit jednoduchou otázku: pokud mělo zájem 21 firem, proč nakonec zůstala v každé části jen jedna nabídka?

A ještě přesněji: bylo to proto, že trh neměl kapacitu? Proto, že zadání bylo příliš složité? Proto, že část dokumentace byla neveřejná? Nebo proto, že technické a kvalifikační požadavky byly nastavené tak úzce, že reálně dávaly šanci jen velmi malému okruhu dodavatelů?

Klíčová čísla

  • 21 zájemců;
  • 3 části zakázky;
  • 3 jediné nabídky;
  • 72 364 655 Kč smluvní cena s DPH;
  • 48 319 535 Kč skutečně uhrazeno v roce 2025 s DPH;
  • 60 měsíců podpory / provozu / SOC.

Cena rozhodovala až za technickým sítem

Zakázka byla zadána jako otevřené řízení a hodnoticím kritériem byla nejnižší nabídková cena. Na první pohled tedy férový a srozumitelný model: kdo splní podmínky a nabídne nejnižší cenu, vyhraje.

Jenže u takové IT zakázky se skutečná soutěž neodehrává až v okamžiku porovnání cen. Odehrává se mnohem dřív: v technické specifikaci, kvalifikačních požadavcích, povinných certifikacích, požadavcích na funkční vzorek a v tom, jak přesně je popsáno stávající prostředí zadavatele.

U části 1 se ve formuláři nabídky objevují například role technického specialisty síťových technologií Cisco s certifikací CCNP a specialisty bezpečnostních technologií Palo Alto s certifikací PCNSE. U části 2 jsou požadovány zkušenosti a certifikace navázané na Microsoft Intune, SCCM, M365 a DLP. U části 3 jde mimo jiné o log management, SIEM, SDS, Windows Server infrastrukturu, zálohování a požadavky na SIEM pracující s vysokým objemem událostí.

To může být z pohledu úřadu obhajitelné. Kraj už má nějaké technologie, infrastrukturu, licence a provozní prostředí. Veřejný zadavatel nemusí poptávat abstraktní řešení ve vzduchoprázdnu. Má právo chtít, aby nové technologie zapadly do existujícího systému.

Ale tady začíná tenká hranice. Požadavek na kompatibilitu je legitimní. Požadavek, který fakticky zúží soutěž jen na několik firem, už musí být velmi dobře odůvodněný. A pokud výsledkem je jedna nabídka na část, veřejnost má právo ptát se, zda šlo o nevyhnutelný důsledek kyberbezpečnosti, nebo o příliš úzké zadání.

Čtěte také  Zakázka na míru: jak poznat soutěž, která už možná zná vítěze

Neveřejné přílohy: pochopitelné u kyberbezpečnosti, problém pro kontrolu

Část technické dokumentace nebyla veřejná. Zadávací dokumentace počítala s neveřejnými technickými přílohami, které měly být zpřístupněny pouze na základě žádosti a po podpisu prohlášení o mlčenlivosti.

U kybernetické bezpečnosti to není samo o sobě skandál. Úřad nemůže veřejně vystavit všechny detaily své infrastruktury, síťových prvků, bezpečnostních opatření nebo slabých míst. Kdyby to udělal, usnadnil by práci nejen dodavatelům, ale i útočníkům.

Jenže pro veřejnou kontrolu tím vzniká slepé místo. Občan vidí výsledek: desítky milionů korun, dvě vybrané firmy, jedna nabídka na každou část. Nevidí ale všechny technické parametry, které mohly rozhodnout, kdo se vůbec mohl reálně účastnit.

To je obecný problém moderních IT tendrů. Veřejné peníze zůstávají veřejné, ale podstatná část kontroly se přesouvá do odborných a bezpečnostních dokumentů, kterým rozumí jen úzký okruh lidí. A když se soutěž na konci zúží na jedinou nabídku, musí být veřejná kontrola o to přísnější.

Dokumentace se opravovala opakovaně. U části 3 až nepříjemně často

Zakázka během soutěže prošla několika změnami zadávací dokumentace. Opravovaly se formuláře nabídek, technické specifikace, délky záruk, akceptační testy, smluvní ustanovení i položkové rozpočty.

U části 3 je řetězec oprav nejsilnější. Tato část zahrnovala centrální logování, SIEM, hardware a služby dohledového centra SOC. Právě zde se objevily chyby v rozpočtových vzorcích: změna zadávací dokumentace č. 3 opravovala chybný vzorec pro výpočet SOC bez DPH, změna č. 4 pak další chybu ve vzorci pro cenu včetně DPH.

Nejde přitom jen o excelovou kosmetiku. U zakázky za desítky milionů korun je položkový rozpočet dokument, podle kterého dodavatelé skládají nabídku. Pokud v něm jsou chybné vzorce, musí je odhalovat trh. A pokud je trh odhaluje opakovaně, je to signál, že kontrola zadávacích podkladů nebyla ideální.

Ještě výraznější je chyba u fakturace části 3. Změna zadávací dokumentace č. 2 měla mimo jiné upravit platební mechanismus a doplnit fakturaci služeb dohledového centra. Jenže u SOC se v textu objevuje odkaz na oddíl P2, zatímco podle rozpočtové struktury patřily služby dohledového centra do položky D5. Tento chybný odkaz se dostal až do podepsané smlouvy OLP/00715/2025 a musel být později opraven dodatkem č. 1.

Taková chyba není důkazem manipulace. Je ale dokladem administrativní slabiny u nejcitlivější části zakázky. A u veřejné zakázky tohoto typu je to přesně ten detail, který by neměl zapadnout.

Logmanager: dotaz, který zůstal viset ve vzduchu

Nejostřejší moment celé zadávací fáze přišel ve změně zadávací dokumentace č. 5. Jeden z dodavatelů se ptal, zda technické požadavky nevycházejí z podkladů společnosti Logmanager a.s. Podle dotazu měla společnost Logmanager poskytovat svým partnerům tabulku technických požadavků a krajská specifikace měla vykazovat podobné znaky.

Zadavatel odpověděl, že podoba ani obsah takových podkladů mu nejsou známy. Zároveň uvedl, že technické požadavky vycházejí z jeho potřeb a z veřejně dostupných dokumentů, zejména z příloh smluv jiných veřejných zadavatelů v registru smluv.

Není doloženo, že kraj zadání opsal z podkladů Logmanageru. Není doloženo ani to, že Logmanager měl na krajskou zakázku jakýkoli vliv. Doloženo ale je, že jeden z dodavatelů na tuto možnost výslovně upozornil a že zadavatel připustil inspiraci veřejnými přílohami smluv jiných zadavatelů.

Liberecké listy zároveň dohledaly veřejné zakázkové dokumenty jiných zadavatelů, ve kterých se produkt Logmanager objevuje a v nichž se vyskytují požadavky na Windows agenta, sběr logů a související bezpečnostní funkce. To samo o sobě nic neprokazuje. Ale jako kontrolní otázka je to legitimní: odkud přesně technické požadavky pocházely a kdo ověřil, že nejsou příliš blízko konkrétnímu řešení?

Externí technické zadání: důležitá role Adminio

Technické kvalifikační předpoklady a technickou specifikaci nezpracoval pouze kraj. V zadávací dokumentaci je uvedeno, že se na jejich zpracování podílela společnost Adminio, s.r.o.

Ani to není samo o sobě problém. U specializovaných IT zakázek je běžné, že veřejný zadavatel využije externí odbornou pomoc. Krajský úřad nemusí mít uvnitř všechny kapacity pro přípravu kybernetické specifikace takového rozsahu.

Jenže právě proto je role externího zpracovatele důležitá. Pokud technická specifikace určuje, kdo se může reálně ucházet, pak je zásadní vědět, kdo ji psal, z jakých podkladů vycházel a kdo zkontroloval, že požadavky nejsou nepřiměřeně zúžené.

Veřejně dostupné podklady neukazují nic, co by samo o sobě dokazovalo pochybení Adminio. Ukazují ale, že nejcitlivější část soutěže — technické parametry a kvalifikace — nevznikala pouze uvnitř kraje. A to je další důvod, proč má být zakázka veřejně vysvětlena srozumitelněji než jen tabulkou vítězů.

Kolik se zatím zaplatilo a proč to není „ztracený rozdíl“

Smluvní ceny všech tří částí dohromady činí 72 364 655 Kč s DPH. TenderArena ale současně uvádí skutečně uhrazenou cenu za rok 2025 ve výši 48 319 535 Kč s DPH, tedy 39 933 500 Kč bez DPH.

Na první pohled to může vypadat jako nesoulad. Ve skutečnosti veřejné dokumenty ukazují pravděpodobně jednodušší vysvětlení: v roce 2025 byla uhrazena zejména dodávková část smluv. Uhrazené částky po částech přesně odpovídají položkám „Dodávka celkem“ ve smluvních rozpočtech: část 1 ve výši 24 645 400 Kč bez DPH, část 2 ve výši 2 973 100 Kč bez DPH a část 3 ve výši 12 315 000 Kč bez DPH.

Jinými slovy: není na místě naznačovat, že se mezi smluvní a uhrazenou cenou něco ztratilo. Zbytek ceny tvoří především servis, podpora, rozšířená záruka a u části 3 také služby dohledového centra SOC na 60 měsíců.

Právě to je ale další důležitý občanský detail. U IT zakázek se velká část ceny často neskrývá jen v dodávce technologie, ale v tom, co se platí dál: podpora, licence, servis, dohled, údržba, záruky. Kontrola proto nekončí podpisem smlouvy. Musí pokračovat po celou dobu plnění.

Krátký přehled: co ukazují veřejné údaje

Část zakázky Oblast Dodavatel Smluvní cena bez DPH Skutečně uhrazeno v roce 2025 bez DPH
Část 1 komunikační síť, Wi-Fi, management, monitoring NET-SYSTEM s.r.o. 29 780 200 Kč 24 645 400 Kč
Část 2 koncová zařízení, privilegované účty, DLP Aricoma Systems a.s. 6 750 700 Kč 2 973 100 Kč
Část 3 logování, SIEM, HW, SOC Aricoma Systems a.s. 23 274 600 Kč 12 315 000 Kč

Zdroj: profil zakázky v TenderAreně a smluvní rozpočty [2], [5].

Otevřené otázky

  • Kolik firem si skutečně vyžádalo neveřejnou dokumentaci?
  • Proč nabídku podala jen jedna firma v každé části?
  • Jak kraj ověřoval přiměřenost technických a kvalifikačních požadavků?
  • Jak probíhalo posouzení funkčních vzorků?
  • Jak bude kraj kontrolovat plnění podpory, servisu a SOC v dalších letech?
  • Souvisí tato zakázka s anonymně oznámeným řízením ÚOHS, nebo jde o jiný případ?

Proč a jak se to týká obyvatelů kraje

Kyberbezpečnost úřadu není abstraktní hra ajťáků. Krajský úřad pracuje s daty, systémy, komunikací, dotacemi, správními agendami a dokumenty, které se týkají obyvatel, obcí, škol, sociálních služeb i dalších institucí. Lepší kyberbezpečnost je legitimní veřejný zájem.

Právě proto ale musí být veřejně kontrolovatelná i cesta, jak se za ni platí. Pokud kraj nakupuje za desítky milionů systém, kterému většina lidí nerozumí, musí být základní odpovědi o to jasnější: proč právě takové zadání, proč právě tyto kvalifikační podmínky, proč jen jedna nabídka na část, co přesně bylo zaplaceno v roce 2025 a co se bude platit v dalších letech.

Veřejnost nemusí rozumět každému technickému parametru SIEMu. Ale musí rozumět tomu, zda se soutěžilo skutečně, nebo jen formálně.

Co zůstává nezodpovězené

Z dostupných veřejných dokumentů stále nelze zjistit několik podstatných věcí. Není veřejně k dispozici protokol o otevírání nabídek, zpráva o hodnocení, zpráva o posouzení splnění podmínek účasti, protokoly k funkčním vzorkům ani doklady prokazující kvalifikaci vybraných dodavatelů. Na veřejné stránce TenderAreny jsou vidět základní údaje a výsledek, nikoli kompletní zadávací spis.

Bez těchto dokumentů nelze říct, jak přesně byly nabídky posuzovány, jaké doklady dodavatelé předložili, jak probíhalo ověření funkčních vzorků nebo kolik subjektů si skutečně vyžádalo neveřejnou technickou dokumentaci.

A právě to je závěrečný paradox celé kauzy: čím víc je zakázka odborná a bezpečnostně citlivá, tím víc je veřejnost odkázaná na důvěru v proceduru. Jenže když procedura skončí jedinou nabídkou v každé části, důvěra potřebuje víc než jen formální razítko „dokončeno“.

Pointa: nejde jen o jednu zakázku, ale o způsob kontroly

Tento případ nemusí být kauzou v trestněprávním nebo soutěžním smyslu. Veřejné dokumenty nic takového neprokazují. Je ale kauzou v občanském smyslu: ukazuje, jak těžké je kontrolovat velké IT tendry, když se podstatné parametry skrývají v technických přílohách, odborných certifikacích, neveřejných dokumentech a následných opravách.

Liberecký kraj může mít pro své požadavky rozumné vysvětlení. Může říct, že vycházel z existující infrastruktury, bezpečnostních standardů, provozních potřeb a dotačních pravidel. To všechno může být pravda.

Jenže stejně pravdivá je i druhá věta: otevřená soutěž za desítky milionů korun skončila v každé části jedinou nabídkou. A jestli má veřejnost věřit, že to byl nevyhnutelný výsledek odborné zakázky, ne selhání soutěže, zaslouží si víc než mlčení a technické přílohy za zdí mlčenlivosti.

Nejlepší další krok je proto jednoduchý: kraj by měl srozumitelně vysvětlit, kolik firem si skutečně vyžádalo neveřejnou dokumentaci, proč nabídku podala jen jedna firma na každou část, kdo kontroloval přiměřenost technických parametrů a jak bude v dalších letech sledováno plnění za servis, podporu a dohledové centrum.

Protože kyberbezpečnost se nemá dělat levně za každou cenu. Ale má se dělat tak, aby veřejnost nemusela hádat, jestli se opravdu soutěžilo.

Otázky a odpovědi

Proč je zakázka důležitá?
Protože otevřená soutěž za desítky milionů skončila jedinou nabídkou v každé části, přestože podle rady kraje mělo o zakázku zájem 21 firem.

Je problém, že část dokumentace byla neveřejná?
U kyberbezpečnosti to může být legitimní. Zároveň to ale ztěžuje veřejnou kontrolu, protože nejdůležitější technické parametry nejsou běžně viditelné.

Znamenají opravy dokumentace nezákonnost?
Samy o sobě ne. Ukazují ale, že dokumentace nebyla bezchybná a u části 3 se jedna chyba dostala až do podepsané smlouvy.

Co by měl kraj vysvětlit?
Kolik firem se dostalo k neveřejné dokumentaci, proč nakonec přišla jediná nabídka na část a kdo ověřoval, že technické podmínky nebyly nepřiměřeně zúžené.

 

Zdroje a kontext

[1] ÚOHS: Úřad zahájil kartelové řízení se dvěma IT firmami
Oficiální tisková zpráva Úřadu pro ochranu hospodářské soutěže, 23. června 2026.

[2] TenderArena: VZ0213588 – Zvýšení kybernetické bezpečnosti Krajského úřadu Libereckého kraje
Profil zakázky, základní údaje, účastníci, vybraní dodavatelé, smluvní a skutečně uhrazené ceny.

[3] Liberecký kraj: zápis z 9. mimořádného zasedání rady kraje ze dne 23. června 2025
Zápis obsahuje projednání výběru dodavatelů a informaci o 21 firmách se zájmem o zakázku.

[4] OpenProcurements: Zvýšení kybernetické bezpečnosti Krajského úřadu Libereckého kraje
Souhrnný veřejný záznam zakázky, části, lhůty, změny a odhadované hodnoty.

[5] Zadávací dokumentace, formuláře nabídek, technické specifikace a smluvní rozpočty k zakázce „Zvýšení kybernetické bezpečnosti Krajského úřadu Libereckého kraje“, ZZVZ/0006/25.

[6] Změny zadávací dokumentace č. 1 až 5 k zakázce ZZVZ/0006/25. Dokumenty obsahují dotazy dodavatelů a odpovědi zadavatele, včetně oprav technických specifikací, formulářů, smluvních ustanovení a položkových rozpočtů.

[7] Liberecký kraj: výpis usnesení rady kraje ze dne 1. dubna 2025
Usnesení ke změně zadávacích podmínek, novým návrhům smluv a úpravě fakturačních ustanovení.

[8] Liberecký kraj: výpis usnesení rady kraje ze dne 19. srpna 2025
Usnesení k dodatku č. 1 ke smlouvě OLP/00715/2025, který řešil opravu chyby ve výčtu fakturovaných položek.

[9] Město Šlapanice: smluvní dokumentace k části zakázky s řešením Logmanager
Veřejný příklad technické dokumentace s produktem Logmanager, použitý pouze jako kontext k dotazu dodavatele v krajské zakázce.

Pošlete to dál:
Přehled ochrany osobních údajů

Tyto webové stránky používají soubory cookies, abychom vám mohli poskytnout co nejlepší uživatelský zážitek. Informace o souborech cookies se ukládají ve vašem prohlížeči a plní funkce, jako je rozpoznání, když se na naše webové stránky vrátíte, a pomáhají našemu týmu pochopit, které části webových stránek považujete za nejzajímavější a nejužitečnější. Jde o běžně rozšířený internetový standard.