+48 32 600 79 85
menu

Żarty z cyberbezpieczeństwem bezpowrotnie się skończyły. Dynamiczny rozwój cyfrowy to nie tylko wygoda, ale i olbrzymie, realne zagrożenie dla struktur państwowych. Rozwój technologii oraz rosnące zagrożenia w cyberprzestrzeni wymuszają na ustawodawcy wprowadzanie coraz bardziej rygorystycznych mechanizmów ochronnych. Jeśli data 3 kwietnia 2026 r. jeszcze nic wam nie mówi, to najwyższy czas zaktualizować wiedzę. To właśnie wtedy weszły w życie nowe przesłanki odrzucenia ofert. Ich główny cel jest jasny: całkowite wyeliminowanie z sektora publicznego technologii pochodzących od tzw. dostawców wysokiego ryzyka.

W poniższym tekście bierzemy na tapet nowe przesłanki odrzucenia ofert ICT. Wyjaśniamy, w jaki sposób zinterpretować odświeżone regulacje zgodnie z wytycznymi Urzędu Zamówień Publicznych, a także radzimy, jak przez to prawno-technologiczne pole minowe mają bezpiecznie przejść zarówno zamawiający, jak i wykonawcy.

Spis
  1. Nowe przesłanki odrzucenia ofert – art. 226 ust. 1 pkt 17) i 19) PZP
  2. Czym jest ICT?
  3. Wytyczne UZP: Przepisy czytane między wierszami
  4. Nowe obowiązki dla Zamawiających
  5. Należyta staranność po stronie Wykonawców
  6. Podsumowanie

Nowe przesłanki odrzucenia ofert – art. 226 ust. 1 pkt 17) i 19) PZP

Do tej pory przepisy chroniące systemy informatyczne w zamówieniach były, mówiąc delikatnie, dość zachowawcze. Modyfikacja znanego nam doskonale art. 226 ust. 1 Pzp kompletnie zmieniła reguły gry.

Zamawiający odrzuca ofertę, jeżeli:

17)  obejmuje ona produkt ICT, usługę ICT lub proces ICT wskazane w rekomendacji, o której mowa w art. 33 ust. 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2026 r. poz. 20 i 252), stwierdzającej ich negatywny wpływ na podstawowy interes bezpieczeństwa państwa;

19) obejmuje ona produkt ICT, którego typ został określony w decyzji w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, o której mowa w art. 67b ust. 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, lub usługę ICT, lub proces ICT, określone w tej decyzji.

Zacznijmy od odświeżonego art. 226 ust. 1 pkt 17 Pzp. Dotychczas przepis ten wspominał jedynie o „urządzeniach informatycznych” i „oprogramowaniu”. Obecnie zastąpiono je definicjami wprost z unijnego rozporządzenia ENISA: „produktem ICT”, „usługą ICT” oraz „procesem ICT”. Jeżeli Pełnomocnik Rządu ds. Cyberbezpieczeństwa wyda rekomendację, w której stwierdzi, że dany element ma negatywny wpływ na podstawowy interes bezpieczeństwa państwa, taka oferta musi zostać odrzucona.

Prawdziwą rewolucją jest jednak absolutna nowość – art. 226 ust. 1 pkt 19 Pzp. Przepis ten nakazuje bezwzględne odrzucenie oferty, która bazuje na technologiach wskazanych w decyzji ministra ds. informatyzacji o uznaniu konkretnego podmiotu za dostawcę wysokiego ryzyka. Decyzje te są powszechnie dostępne; można (i trzeba!) ich szukać w Monitorze Polskim oraz na stronach Biuletynu Informacji Publicznej.

Czym jest ICT?

Zanim przejdziemy do dalszych rozważań, warto precyzyjnie wyjaśnić, co właściwie kryje się pod samym pojęciem ICT na gruncie znowelizowanych przepisów. Polski ustawodawca nie stworzył tu własnego słownika, lecz wprost oparł się na definicjach zaczerpniętych z unijnego rozporządzenia ENISA (2019/881).

Zgodnie z tym aktem prawnym wyróżniamy trzy kluczowe kategorie:

  • produkt ICT to po prostu element lub grupa elementów wchodzących w skład sieci albo systemów informatycznych,
  • usługa ICT oznacza usługę polegającą w pełni lub w głównej mierze na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem tychże sieci i systemów,
  • proces ICT – należy rozumieć zestaw czynności wykonywanych po to, aby projektować, rozwijać, dostarczać lub utrzymywać wskazane produkty bądź usługi informatyczne.

Pojęcie elementów ICT jest rozumiane bardzo szeroko i obejmuje m.in. sprzęt IT, sieciowy, telekomunikacyjny, oprogramowanie, licencje, usługi w chmurze (SaaS), hosting, a także komponenty cyfrowe w większych rozwiązaniach, np. w systemach kontroli dostępu czy monitoringu.

Wytyczne UZP: Przepisy czytane między wierszami

Wprowadzone nowe przesłanki odrzucenia ofert to jedno, ale ich praktyczna egzekucja często spędza sen z powiek komisjom przetargowym. Z pomocą przychodzi e-komentarz Urzędu Zamówień Publicznych, który rzuca sporo światła na to, jak powinniśmy podchodzić do weryfikacji sprzętu i oprogramowania.

Kluczem do zrozumienia intencji ustawodawcy jest sformułowanie „oferta obejmuje”. Nie łudźmy się, że nowe sankcje dotyczą tylko wielkich przetargów na budowę serwerowni. UZP jednoznacznie wskazuje, że sankcje łapią również te sytuacje, gdzie sprzęt lub oprogramowanie stanowi jedynie środek do realizacji celu. Zamówieniem są roboty budowlane z inteligentnym systemem zarządzania budynkiem (BMS)? Zamawiasz montaż miejskiego monitoringu? A może wdrażasz elektroniczną kontrolę dostępu? Jeśli do wykonania tego zadania zostanie użyty zakazany produkt ICT, oferta musi zostać odrzucona.

Przeczytasz też:   PKD 2025 już obowiązuje - Sprawdź, co musisz zmienić i dlaczego nie warto czekać

Niezmiernie ciekawy jest też sam status rekomendacji Pełnomocnika Rządu. Choć nie jest to klasyczna decyzja administracyjna, to informacje w niej zawarte mają charakter bezwzględnie wiążący przy badaniu ofert. Sytuacja staje się nerwowa, gdy taka rekomendacja zostaje opublikowana w trakcie trwającego już przetargu. Co wtedy? UZP nie zostawia złudzeń: nową rekomendację trzeba zastosować nawet do ofert, które wpłynęły już do zamawiającego, jeśli jeszcze ich nie wybrano.

Wielu praktyków zastanawiało się, co zrobić z przetargami wszczętymi przed magiczną datą 3 kwietnia 2026 r. Tutaj nie ma miejsca na spekulacje. Nowe przepisy mają zastosowanie również do postępowań „w toku” (czyli tych wszczętych i jeszcze niezakończonych w dacie wejścia w życie nowych przepisów).

Nowe obowiązki dla Zamawiających

Przepisy nie precyzują w jaki sposób Zamawiający powinni sprawdzać występowanie elementów ICT w ofertach. Jednak bierne oczekiwanie, aż wykonawca sam przyzna się do korzystania z podejrzanego oprogramowania, to droga donikąd. Zatem Zamawiający powinni wykazać się proaktywnością.

  1. Zmiany w dokumentacji przetargowej (SWZ i OPZ). Na nic zdadzą się przepisy ustawowe, jeśli zamawiający nie zabezpieczy swoich interesów we własnej dokumentacji. W SWZ i opisie przedmiotu zamówienia musi się znaleźć klarowny zakaz oferowania technologii zakazanych na mocy art. 226 ust. 1 pkt 17) i 19) Pzp. To sygnał ostrzegawczy wysłany prosto do rynku.
  1. Obowiązkowy wykaz sprzętu i usług. Jak komisja ma sprawdzić ofertę, skoro formularze ofertowe najczęściej podają tylko cenę? Zdaje się, że zasadne byłoby wprowadzenie dokumentu lub oświadczenia, na podstawie którego możliwe będzie zweryfikowanie elementów ICT w zamówieniu. Praktyka pokaże jak do zagadnienia podejdą Zamawiający i jakie warunki udziału w postępowaniach będą stawiać w wyniku nowelizacji.
  1. Umowne wentyle bezpieczeństwa. Technologia starzeje się szybko, a przepisy bywają nieprzewidywalne. Co się stanie, gdy miesiąc po podpisaniu umowy rząd dopisze zaoferowane serwery do czarnej listy? Postanowienia Umowy powinny zakładać taki scenariusz. Rozwiązaniem jest wprowadzenie przemyślanych klauzul, na przykład na bazie art. 455 ust. 1 pkt 1 PZP. Zabezpiecza to procedurę ewentualnej podmiany sprzętu w trakcie trwania umowy, regulując zasady, na jakich wykonawca będzie musiał zastąpić zakazaną technologię bezpiecznym odpowiednikiem.

Należyta staranność po stronie Wykonawców

Dla firm startujących w publicznych przetargach, ignorowanie nowych przepisów – art. 226 ust. 1 pkt 17) i 19) PZP, to już nie tylko ryzyko odrzucenia jednej oferty. To potencjalna katastrofa biznesowa.

Przede wszystkim rekomendujemy głęboki audyt całego łańcucha dostaw w ramach oferowanych produktów. Czasy, gdy o wyborze serwera czy oprogramowania w chmurze decydowała wyłącznie najniższa cena u hurtownika, dobiegły końca. Przedsiębiorcy muszą prześwietlić każdego podwykonawcę i dostawcę sprzętu, pod kątem występowania w rekomendacjach lub decyzjach, o których mowa w nowych przepisach. Ma to na celu upewnienie się, że nie oferują publicznym instytucjom technologii od podmiotów uznanych za zagrażające państwu.

Istnieje jeszcze jedno zjawisko, które powinno zmusić rynek do ostrożności: widmo gigantycznych kar finansowych oraz narzuconych z góry terminów ważności sprzętu. Znowelizowana ustawa o systemie cyberbezpieczeństwa wprowadza twardy obowiązek wycofania sprzętu od dostawców wysokiego ryzyka w maksymalnym terminie 7 lat, a w przypadku usług dla krytycznych funkcji – w zaledwie 4 lata od dnia ogłoszenia decyzji.

Jeśli operatorzy kluczowych dla państwa systemów to zignorują, grożą im finansowe sankcje, które potrafią wywołać dreszcze. Zamawiający może nałożyć kary umowne jeśli naruszysz nowe przesłanki odrzucenia ofert. Ale to nie wszystko. Kary dla podmiotów ważnych startują od 15 000 zł, dla kluczowych od 20 000 zł. W sytuacjach rażącego naruszenia przepisów (zagrożenie obronności lub szkodą majątkową) organ może uderzyć karą wynoszącą nawet astronomiczne 100 000 000 złotych. Wykonawcy z sektora prywatnego szybko odczują to na własnej skórze, gdy przerażeni zamawiający zaczną egzekwować wymianę trefnego sprzętu na podstawie gwarancji, byle tylko uciec przed karami.

Podsumowanie

Wprowadzone w celu sprawdzenia ICT – nowe przesłanki odrzucenia ofert oparte na przepisach o cyberbezpieczeństwie nie są chwilową modą. To bardzo wyraźny znak czasów. Walka z wrogimi wpływami przeniosła się w sferę kodów, chmur obliczeniowych i sieci informatycznych. Z punktu widzenia prawa zamówień publicznych wymusza to zupełnie nową kulturę pracy: dla urzędników oznacza to sprawdzanie rejestrów rządowych, a dla biznesu – totalną weryfikację tego, z kim handlują. Cyberbezpieczeństwo w przetargach zagości już na stałe.

Total
0
Shares
Share 0
Pin it 0
Share 0
Powrót