DKOM O DOPUSTNOSTI ZAHTEV PO CERTIFIKATIH ISO 27001 IN ISO 9001

Državna revizijska komisija (DKOM) je v odločitvah št. 018-155/2025 in 018-054/2026 pojasnila, da lahko naročnik certifikata ISO 27001 in ISO 9001 zahteva, če je takšna zahteva objektivno povezana s predmetom naročila in sorazmerna njegovim značilnostim, pri čemer mora naročnik izkazati, da zahtevani standard naslavlja konkretna tveganja ali potrebe, ki izhajajo iz predmeta naročila.

Zahteva po certifikatu ISO 27001 je lahko utemeljena zlasti pri naročilih, v okviru katerih bo izvajalec dostopal do občutljivih in osebnih podatkov znotraj informacijskega sistema. V takšnih primerih certifikat predstavlja dokaz o vzpostavljenem sistemu za zagotavljanje ustrezne ravni informacijske varnosti, pri čemer standard ISO 27001 zagotavlja mednarodno priznan sistem za zaščito zaupnosti, celovitosti in razpoložljivosti informacij ter za obvladovanje kibernetskih tveganj, ki jih področna arhivska zakonodaja ureja bistveno ožje. DKOM je kot pomemben element sorazmernosti izpostavila, da mora biti zahteva omejena le na tiste gospodarske subjekte, za katere je glede na njihove naloge pri izvedbi naročila objektivno utemeljena (tj. tiste, ki bodo pri izvajanju pogodbe do podatkov dejansko dostopali ali jih obdelovali).

Zahteva po certifikatu ISO 9001 je dopustna predvsem pri obsežnejših, kompleksnejših ali dolgoročnih projektih, kjer je za uspešno izvedbo naročila pomembna organiziranost izvajalca in obstoj standardiziranih procesov vodenja kakovosti. DKOM je ob tem poudarila, da certifikat ISO 9001 ni namenjen dokazovanju specifičnih tehničnih znanj ali izkušenj, saj se te preverjajo z referencami in kadrovskimi pogoji, temveč izkazuje ustreznost sistema upravljanja kakovosti pri ponudniku.

V obeh zadevah je komisija kot pomemben element zakonitosti izpostavila tudi možnost predložitve enakovrednih dokazil.

Odločitvi potrjujeta, da zahteve po certifikatih niso dopustne same po sebi, temveč morajo biti objektivno povezane s predmetom naročila, ustrezno utemeljene in sorazmerne z zasledovanim ciljem. Hkrati morajo biti oblikovane na način, ki zagotavlja konkurenco med ponudniki in ne ustvarja neupravičenih ovir za sodelovanje v postopku javnega naročanja.