Cyberbezpieczeństwo w zamówieniach publicznych

Celem projektowanych zmian jest dalszy rozwój krajowego systemu cyberbezpieczeństwa na podstawie doświadczeń zebranych przez dwa lata jego funkcjonowania w Polsce.

Prace nad nowelizacją toczą się już od przeszło roku. Jest ona bardzo ważna z wielu względów i wzbudza dużo emocji na rynku.

Projekt bywa komentowany jako potencjalnie wymierzony w niektórych producentów z państw spoza UE i NATO. Między innymi z tego powodu prace nad nowelizacją znacznie się przeciągają. Obecnie je przyspieszono i 12 października 2021 r. opublikowano wersję, która teoretycznie jest bliska ostatecznej.

W projektowanym art. 66a ustawy KSC przewidziano postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka.

Jako uzasadnienie dla tego przepisu wskazano na konieczność ochrony przed cyberzagrożeniami, z czym trudno dyskutować. Z tego względu co do zasady nowe przepisy wydają się uzasadnione

Decyzję o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka będzie podejmował minister właściwy do spraw informatyzacji:

„Minister właściwy do spraw informatyzacji, w drodze decyzji, uznaje dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi” (projektowany art. 66a ustawy KSC).

Minister będzie mógł zainicjować postępowanie z urzędu albo na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa. Decyzja będzie obowiązywała wobec takich podmiotów, jak

1. Podmioty krajowego systemu cyberbezpieczeństwa;
2. Przedsiębiorcy telekomunikacyjni obowiązani mieć aktualne i uzgodnione plany działań w sytuacjach szczególnych zagrożeń;
3. Właściciele lub posiadacze obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 Ustawy z dnia 26 kwietnia 2007 r. o zarzą- dzaniu kryzysowym (t.j. Dz. U. z 2020 r., poz. 1856);
4. Przedsiębiorcy o szczególnym znaczeniu gospodarczo-obronnym, o których mowa w art. 3 Ustawy z dnia z dnia 23 sierpnia 2001 r. o organizowaniu zadań na rzecz obronności państwa realizowanych przez przedsiębiorców (t.j. Dz. U. z 2020 r., poz. 1669).

Wydanie decyzji może poprzedzić zwrócenie się o opinię w danej sprawie do Kolegium ds. Cyberbezpieczeństwa.

Zgodnie z uzasadnieniem do nowelizacji opinia Kolegium może być oparta nie tylko na kryteriach merytorycznych, lecz także na aspektach pozatechnicznych.

Trudno przesądzać co ustawodawca ma na myśli wskazując w uzasadnieniu do nowelizacji na aspekty pozatechniczne. W ocenie autora istotne jest jednak, że przesłanki są określone w sposób niewystarczający, co rodzi ryzyko zbyt dużej arbitralności przy formułowaniu oceny.

W przypadku postępowań o udzielenie zamówienia publicznego prowadzonych przez podmioty wskazane w projektowanym art. 66a ust. 1 pkt 1–4 ustawy KSC, będące jednocześnie zamawiającymi zobowiązanymi do stosowania PZP[1], wydanie decyzji wskazującej dostawcę wysokiego ryzyka będzie miało bardzo poważny skutek dla takiego wykonawcy, dla zamawiających oraz ogólnie dla rynku zamówień publicznych.

Podmioty, których dotyczy ustawa, będą musiały wycofać z użycia wskazane produkty, usługi, procesy ICT lub oprogramowanie pochodzące od dostawcy wysokiego ryzyka, jeżeli już je użytkują.

Podmioty wymienione w art. 66 ust. 1 pkt 1–4 ustawy KSC, do których stosuje się przepisy PZP, nie będą mogły nabywać sprzętu, oprogramowania ani usług określonych w decyzji. Oferta dostawcy wysokiego ryzyka musiałaby zatem zostać odrzucona na podstawie art. 226 ust. 1 pkt 16 PZP, który stanowi:

„Zamawiający odrzuca ofertę, jeżeli: […] jej przyjęcie naruszałoby bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, a tego bezpieczeństwa lub interesu nie można zagwarantować w inny sposób”.

Odrzucenie mogłoby też nastąpić na innej podstawie, np. art. 226 ust. 1 pkt 5 PZP, z uwagi na to, że treść oferty jest niezgodna z warunkami zamówienia – w przypadku zastrzeżenia w dokumentach zamówienia przez zamawiającego, że nie dopuszcza oferowania produktów objętych decyzją, o której mowa w art. 66a ustawy KSC.

W konsekwencji taki podmiot zostałby wyeliminowany z rynku w zakresie zamówień publicznych, których dotyczy ustawa KSC.

W nowo projektowanych przepisach brak jest informacji na temat wytycznych, kryteriów, przesłanek, na podstawie których dany dostawca miałby być uznany za dostawcę stanowiącego poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi.

Wiąże się to z ryzykiem arbitralności decyzji ministra oraz faktyczną niemożnością podjęcia przez danego dostawcę działań mających zapobiec uznaniu go za dostawcę wysokiego ryzyka. W ramach konsultacji publicznych różne instytucje i podmioty zgłosiły bardzo dużo uwag.

Czas pokaże, czy wpłyną one na zmianę projektowanych przepisów. Kancelaria monitoruje przebieg prac nad nowelizacją i zamierza informować o postępach.

Powyższa tematyka została szerzej omówiona na blogu kancelarii Traple Konarski Podrecki i Wspólnicy.

[1] Ustawa z dnia 11 września 2019 r. – Prawo zamówień publicznych (Dz. U. z 2021 r., poz. 1129; dalej: „PZP”).