Cyberbezpieczeństwo przestaje być wyłącznie kwestią techniczną, a staje się jednym z kluczowych elementów oceny ofert i legalności postępowań w zamówieniach publicznych. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wprowadziła istotne zmiany w Prawie zamówień publicznych, które nakładają na zamawiających i wykonawców zupełnie nowe obowiązki w zakresie weryfikacji produktów, usług i procesów ICT. Zrozumienie tych regulacji jest niezbędne, aby uniknąć błędów w procedurach oraz dotkliwych kar finansowych.
Aby zgłębić detale omawianych zmian i dowiedzieć się, jak w praktyce przygotować dokumentację zamówienia, zachęcam do obejrzenia pełnego odcinka podcastu na ten temat: Cyberbezpieczeństwo wchodzi do Pzp – zmiany od 3 kwietnia 2026 r.
Nowe przesłanki odrzucenia oferty: artykuł 226 Pzp
Kluczowym elementem reformy jest modyfikacja i rozszerzenie katalogu przesłanek odrzucenia oferty zawartych w art. 226 ust. 1 Pzp. Zmiany dotyczą dwóch punktów:
- Art. 226 ust. 1 pkt 17: Zmieniono brzmienie tej przesłanki. Obecnie zamawiający musi odrzucić ofertę, jeśli oferowany produkt, usługa lub proces ICT został wskazany w rekomendacjach Pełnomocnika Rządu ds. Cyberbezpieczeństwa jako zagrażający interesowi bezpieczeństwa państwa.
- Art. 226 ust. 1 pkt 19: To zupełnie nowa przesłanka, zgodnie z którą odrzuceniu podlega oferta zawierająca produkt, usługę lub proces ICT od wykonawcy uznanego decyzją ministra ds. informatyzacji za dostawcę wysokiego ryzyka.
Od IT do ICT – szeroki zakres rzeczowy zmian
Nowelizacja odchodzi od wąskiego rozumienia „urządzeń informatycznych i oprogramowania” na rzecz znacznie szerszych pojęć: produktu, usługi i procesu ICT. Definicje te wywodzą się z rozporządzenia unijnego 2019/881 i obejmują m.in. elementy sieci lub systemów informatycznych, co znacznie rozszerza zakres weryfikacji, jakiej musi dokonać zamawiający. Oznacza to, że cyberbezpieczeństwo należy badać nie tylko w przetargach typowo informatycznych, ale w każdym zamówieniu, w którym pojawiają się komponenty ICT, nawet te „zakamuflowane” w szerszym przedmiocie zamówienia.
Obowiązki zamawiających: analiza i dwutorowa weryfikacja
Zamawiający nie mogą już traktować Prawa zamówień publicznych jedynie jako mechanizmu zakupowego, lecz jako narzędzie polityki bezpieczeństwa państwa. Do ich kluczowych zadań należy teraz:
- Analiza przedmiotu zamówienia: Sprawdzenie, czy i jakie elementy ICT występują w danym postępowaniu.
- Przygotowanie SWZ: Wprowadzenie odpowiednich formularzy i oświadczeń, które zobowiążą wykonawców do ujawnienia modeli, producentów i pochodzenia oferowanych rozwiązań.
- Weryfikacja w toku postępowania: Zamawiający powinien działać dwutorowo – z jednej strony odbierać oświadczenia od wykonawców, a z drugiej samodzielnie sprawdzać rekomendacje i decyzje w Monitorze Polskim oraz Biuletynie Informacji Publicznej (BIP). Zaleca się sporządzanie notatek służbowych lub zrzutów ekranu z takich weryfikacji dla celów kontrolnych.
Wykonawca jako gwarant łańcucha dostaw
Dla wykonawców zmiany oznaczają konieczność znacznie dokładniejszego prześwietlania własnych łańcuchów dostaw. Dystrybutorzy i integratorzy muszą mieć pełną świadomość, od kogo pochodzą oferowane przez nich komponenty. Złożenie nieprawdziwego oświadczenia w zakresie cyberbezpieczeństwa lub zaoferowanie produktów od dostawcy wysokiego ryzyka wiąże się z ryzykiem natychmiastowego odrzucenia oferty oraz ewentualnymi zarzutami dotyczącymi rzetelności wykonawcy.
Ważne terminy i konsekwencje dla trwających umów
Nowe przepisy weszły w życie 3 kwietnia 2026 roku i co istotne – mają zastosowanie również do postępowań będących już w toku, w których nie dokonano jeszcze wyboru najkorzystniejszej oferty. Ponadto:
- Podmioty zobowiązane do stosowania ustawy o KSC muszą wpisać się do stosownego wykazu do 3 października 2026 roku.
- Ryzyko dotyczy także już podpisanych umów. Zamawiający mają obowiązek wycofania wskazanych produktów lub usług ICT w określonym czasie, a niedopełnienie tego obowiązku jest zagrożone karami finansowymi.
Zmiany te pokazują, że cyberbezpieczeństwo staje się integralną częścią należytej staranności w procesie zakupowym, wymagającą od obu stron zamówienia stałego śledzenia komunikatów rządowych i głębokiej analizy technicznej oferowanych rozwiązań.