Cyberbezpieczeństwo w przetargach. Nowe zasady odrzucania ofert już obowiązują

AktualnościArtykuły
nowelizacja KSC zamówienia publiczne

Tuż przed Wielkanocą, 3 kwietnia 2026 roku, weszły w życie przepisy, które zmieniają sposób prowadzenia postępowań o zamówienie publiczne na rozwiązania informatyczne. Zamawiający mają teraz dwie dodatkowe przesłanki odrzucenia oferty, a obie dotyczą również postępowań wszczętych przed tą datą.

Zmiany wprowadziła ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026, poz. 252), która nowelizuje dwadzieścia aktów prawnych, w tym Prawo zamówień publicznych. Nowelizacja KSC zamówienia publiczne modyfikuje w dwóch konkretnych punktach przepisów o odrzucaniu ofert. Sejm uchwalił ją 23 stycznia, Senat przyjął bez poprawek pięć dni później, Prezydent podpisał 19 lutego, a 2 marca ukazała się w Dzienniku Ustaw. Po miesięcznym vacatio legis przepisy obowiązują od minionego czwartku.

Pierwsza zmiana dotyczy przesłanki, która funkcjonowała już wcześniej. Zamawiający miał obowiązek odrzucić ofertę obejmującą „urządzenia informatyczne” lub „oprogramowanie” wskazane w rekomendacji Pełnomocnika Rządu ds. Cyberbezpieczeństwa jako zagrażające bezpieczeństwu państwa. Od 3 kwietnia te pojęcia zastępuje szersza triada: produkt ICT, usługa ICT, proces ICT, zaczerpnięta z unijnego rozporządzenia o cyberbezpieczeństwie. Produkt ICT to element sieci lub systemu informacyjnego. Usługa ICT obejmuje przesyłanie, przechowywanie i przetwarzanie informacji. Proces ICT to czynności służące projektowaniu, rozwijaniu lub utrzymywaniu produktu albo usługi. Zmiana brzmi technicznie, ale w praktyce poszerza zakres tego, co zamawiający musi zweryfikować w ofercie. Dotychczasowe rekomendacje Pełnomocnika (dotyczące m.in. produktów Fortinet, Cisco, Zimbra, PAD CMS, SmodBIP, MegaBIP, Roundcube i Kaspersky) zachowują moc. Nowelizacja KSC zamówienia publiczne otwiera jednak na znacznie więcej niż sprzęt i oprogramowanie w tradycyjnym rozumieniu.

Jedna decyzja, a oferta do odrzucenia

Druga zmiana to zupełnie nowy mechanizm. Ustawodawca dał ministrowi właściwemu ds. informatyzacji kompetencję do uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Decyzja w tej sprawie trafia do Monitora Polskiego, a jej konsekwencje dla zamówień publicznych są automatyczne i bezwzględne.

Zamawiający, który prowadzi postępowanie obejmujące produkty ICT, usługi ICT lub procesy ICT wskazane w takiej decyzji, musi odrzucić ofertę. Nie ma tu przestrzeni na ocenę proporcjonalności ani na indywidualną analizę ryzyka. Decyzja obejmuje przy tym nie tylko samego dostawcę, ale całą jego grupę kapitałową w rozumieniu przepisów o rachunkowości. Jedna decyzja administracyjna może więc wyeliminować z przetargów produkty kilkunastu powiązanych spółek naraz.

Do tej pory żadna taka decyzja nie została wydana. Ministerstwo Cyfryzacji komunikuje wprost, że nie wiadomo, czy kiedykolwiek zajdzie taka potrzeba. Ale nowelizacja KSC zamówienia publiczne wyposaża w narzędzie, które może zadziałać w dowolnym momencie. Warto wiedzieć, że Prezydent podpisując ustawę jednocześnie skierował ją do Trybunału Konstytucyjnego w trybie kontroli następczej, zgłaszając wątpliwości wobec mechanizmu dostawcy wysokiego ryzyka i braku jakiejkolwiek rekompensaty za obowiązek wycofania produktów.

Postępowania w toku pod nowymi przepisami

Szczególnie istotna jest kwestia wpływu nowych regulacji na postępowania, które zamawiający prowadzili w dniu wejścia ustawy w życie. UZP wyjaśnił to w komunikacie z 23 marca.

Dla zmienionej przesłanki dotyczącej rekomendacji Pełnomocnika ustawa zawiera wyraźny przepis przejściowy nakazujący stosowanie nowego brzmienia również do postępowań wszczętych i niezakończonych przed 3 kwietnia. Zamawiający musi więc już teraz weryfikować oferty pod kątem szerszej terminologii obejmującej produkty, usługi i procesy ICT.

Dla nowej przesłanki dotyczącej dostawcy wysokiego ryzyka przepisu przejściowego nie ma. UZP interpretuje ten brak jednoznacznie: nowa podstawa odrzucenia oferty znajduje zastosowanie także do postępowań w toku. Jeśli więc minister ds. informatyzacji opublikuje decyzję o dostawcy wysokiego ryzyka, zamawiający prowadzący postępowanie wszczęte miesiące wcześniej i tak odrzuci oferty obejmujące produkty tego dostawcy. Wykonawca, który przygotowywał ofertę w oparciu o konkretne rozwiązania, może zostać wyeliminowany z postępowania z przyczyn, które nie istniały w dniu składania.

Podmioty korzystające z produktów dostawcy uznanego za dostawcę wysokiego ryzyka dostaną siedem lat na ich wycofanie. Gdy produkty służą funkcjom krytycznym dla bezpieczeństwa sieci, termin skraca się do czterech lat. Rekompensaty za koszty wycofania ustawa nie przewiduje.

Nowelizacja KSC zamówienia publiczne zmienia w sposób, który wymaga konkretnych działań po stronie zamawiających i wykonawców. Zamawiający powinni monitorować BIP Ministerstwa Cyfryzacji i Monitor Polski, zaktualizować wzory SWZ o informację o nowych przesłankach odrzucenia oraz przygotować wewnętrzne procedury na wypadek pojawienia się decyzji o dostawcy wysokiego ryzyka. Wykonawcy powinni przejrzeć swoje łańcuchy dostaw i ocenić, na ile zależą od dostawców, wobec których taka decyzja mogłaby zostać wydana.

#noweprzetargi #nowelizacjaksc #zamowieniapubliczne #cyberbezpieczenstwo #pzp2026

Ostatnie wpisy

NowePrzetargi.pl

wszystko o zamówieniach publicznych

ISO 9001 (PN-EN ISO 9001:2015)

(22) 22 52 842

(17) 85 33 777

INFOLINIA: 801 889 888

© noweprzetargi.pl 2026

Polityka prywatności Polityka rodo