Cyberbezpieczeństwo w ostatnim czasie to temat bardzo istotny w zamówieniach publicznych oraz zyskujący na popularności. Wpływ na to ma wiele czynników, m.in. pandemia COVID-19, czy inwazja Rosji na Ukrainę. W tym okresie wzmożyły się także prace legislacyjne w obszarze cyberbezpieczeństwa, zarówno na poziomie Unii Europejskiej jak i krajowym. Jest to ogromna zmiana biorąc pod uwagę to, że jeszcze kilka lat temu rekomendacje ten temat nie był często traktowany z należytą powagą i praktycznie nie istniały w tym zakresie żadne wytyczne.
- 25 marca 2022 r. na stronie internetowej Rządowego Centrum Legislacji opublikowany został projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa[1] (dalej: „UKSC”) z dnia 15 marca 2022 r.
- Istnieją dwa kluczowe obszary, które definiują wyzwania Zamawiających w zakresie cyberbezpieczeństwa: tryb i sposob w jakim powinny być zamawiane dostawy lub usługi dotyczące cyberbezpieczeństwa oraz zredagowanie odpowiedniego OPZ.
- Zanim Zamawiający rozpocznie postępowanie powinien przede wszystkim przeanalizować i określić, czy posiada dane, które rzeczywiście wymagają ochrony. Nie zawsze dane są tak krytyczne, że wymagają podejmowania zaawansowanych środków bezpieczeństwa.
Obecnie przed Zamawiającymi stoi spore wyzwanie – odnalezienie się w gąszczu nowych staniających już, jak również tych planowanych regulacji może w pierwszej chwili przytłaczać.
W tym artykule postaramy się przybliżyć temat bezpieczeństwa w zamówieniach publicznych, uwzględniając w szczególności projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
Podstawa prawna
25 marca 2022 r. na stronie internetowej Rządowego Centrum Legislacji opublikowany został projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa [1] (dalej: „UKSC”) z dnia 15 marca 2022 r.
Warto wspomnieć, że już poprzednie wersje projektu nowelizacji, w tym wersja projektu z dnia 12 października 2021 r., wzbudzały wiele emocji. Kontrowersyjnym elementem był i nadal pozostaje przede wszystkim procedura dotyczącą uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, a także możliwość wydawania przez ministra właściwego ds. informatyzacji poleceń zabezpieczających.
Do każdej wersji projektu nowelizacji zgłaszano wiele uwag i zastrzeżeń. Obecnie, kluczową zmianą w porównaniu do poprzedniego projektu nowelizacji jest włączenie do krajowego systemu cyberbezpieczeństwa przedsiębiorców komunikacji elektronicznej.
Najnowsza wersja nowelizacji UKSC za przedsiębiorcę komunikacji elektronicznej uznaje się nie tylko przedsiębiorcę telekomunikacyjnego, ale też wszystkie inne podmioty świadczące publicznie usługę komunikacji interpersonalnej niewykorzystującą numerów. Mowa tu o podmiotach dostarczających takie usługi jak: poczta elektroniczna, przekazywanie wiadomości, grupowe czaty, czy różnego rodzaju komunikatory.
Obecna wersja projektu nowelizacji zakłada, że wszyscy przedsiębiorcy komunikacji elektronicznej będą objęci ustawą o krajowym systemie cyberbezpieczeństwa bez względu na to, czy będą zakwalifikowani jako operatorzy usług kluczowych czy dostawcy usług cyfrowych. Wielkość przedsiębiorstwa również nie będzie miała znaczenia.
Cyberbezpieczeństwo – wyzwania Zamawiających
Według Agnieszki Wachowskiej, radczyni prawnej i partnerki z kancelarii Traple Konarski Podrecki i Wspólnicy istnieją dwa kluczowe obszary, które definiują wyzwania Zamawiających w zakresie cyberbezpieczeństwa.
1. Cyberbezpieczeństwo – tryb i sposób w jakim powinny być zamawiane dostawy lub usługi
Przede wszystkim Zamawiający stoją przed dylematem, czy podawać do informacji publicznej wrażliwe dane, np. dotyczące zamawianych zabezpieczeń. Z jednej strony jest to element składający się na usługę, a z drugiej pojawiają się wątpliwości, czy na pewno tego typu informacje powinny być ogólnie dostępne, czyli dostępne szerokiej publiczności.
Tutaj Zamawiający wybierają zazwyczaj jedną z dwóch ścieżek. Część z nich organizuje po prostu przetarg nieograniczony udostępniając wszystkie informacje, a część stwierdza, że ze względu na bezpieczeństwo danych w ogóle nie musi się stosować trybu zamówień publicznych stosując odpowiednie wyłączenie z art. 12 ust. 1 pkt. 1) ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (dalej: „PZP”).
Trzeba jednak pamiętać o innej możliwości tj. możliwości zastosowania przepisów z ustawy PZP dotyczących zamówień w dziedzinach obronności i bezpieczeństwa, które przewiduję pewne udogodnienia dla zamawiających np. możliwość przeprowadzenia postępowania w sposób tradycyjny, tj. wykluczając elektroniczne składanie ofert.
Całkowite wyłączenie stosowania ustawy PZP ma jednak charakter wyjątku i nie powinno być nadużywane.
2. Odpowiednie zredagowanie OPZ i opisanie aspektu bezpieczeństwa jako istotnego element opisu zamówienia.
Zamawiający często nie do końca wiedzą, jak to robić. Mnogość przepisów i różnego rodzaju wymagania i wytyczne dla poszczególnych sektorów (np. sektora energetycznego czy transportowego) dodatkowo utrudniają to zadanie.
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa i jak zmiany wpłyną na pracę Zamawiających
Na wstępie warto podkreślić, że jest to kolejny projekt, a sama nowelizacja UKSC procedowana jest od dwóch lat.
Pojawiają się kolejne jej wersje, które są poddawane ciągłej dyskusji. Jeśli nowelizacja zostanie uchwalona w takim kształcie jak zaproponowano w najnowszej wersji, to spowoduje to powstanie ograniczeń w procesie zakupowym, w tym w szczególności niemożliwość zamawiania sprzętu lub oprogramowania objętych decyzją w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka.
Co więcej, w przypadku uznania danego wykonawcy za dostawcę wysokiego ryzyka, znowelizowana ustawa w nowym brzmieniu będzie miała zastosowanie również dla wszystkich postępowań już trwających. Jest to bardzo istotne, ponieważ zazwyczaj nowelizacje nie obejmują wszczętych wcześniej postępowań.
Tomasz Krzyżanowski – radca prawny z kancelarii Traple Konarski Podrecki i Wspólnicy wskazuje także, że projekt z marca 2022 r. przewiduje, że minister właściwy do spraw informatyzacji uznaje w drodze decyzji dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, wówczas gdy z przeprowadzonego postępowania w tej sprawie wynika, że dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi.
Są to zatem przesłanki dość szerokie. W przypadku złożenia przez wykonawcę oferty obejmującej sprzęt lub oprogramowanie objęte taką decyzją zamawiający będą zmuszeni odrzucić taką ofertę na podstawie art. 226 ust. 1 pkt. 16 PZP. W konsekwencji wykonawca ten może mieć trudności w funkcjonowaniu na rynku zamówień publicznych.
Jakie elementy powinien wziąć pod uwagę Zamawiający przed wszczęciem postępowania na dostawy i usługi IT.
Zanim Zamawiający rozpocznie postępowanie powinien przede wszystkim przeanalizować i określić, czy posiada dane, które rzeczywiście wymagają ochrony. Nie zawsze dane są tak krytyczne, że wymagają podejmowania zaawansowanych środków bezpieczeństwa.
Jeśli jednak okaże się, że dane, których dotyczy przedmiot zamówienia powinny być szczególnie chronione lub są chronione jedną z wielu tajemnic ustawowych, istnieje możliwość zastosowania w ramach procedury konkurencyjnej i otwartej specjalnych przepisów o poufności informacji jak art. 18 ust. 4 PZP.
W sytuacji natomiast gdy zamawiający dojdzie do wniosku, iż dane wymagają szczególnej ochrony z uwagi na istotny interes bezpieczeństwa państwa, może wówczas wyłączyć w ogóle stosowanie ustawy PZP zgodnie z jej art. 12 ust. 1 pkt. 1).
Zatem dopiero po dokonaniu klasyfikacji danych jakie będą przetwarzane w ramach zamawianego systemu IT i jakie będą konieczne do ujawnienia w ramach postępowania, Zamawiający może podjąć decyzję odnośnie trybu postępowania.
Niestety, wciąż dużym problemem jest to, że wielu Zamawiających nie prowadzi klasyfikacji danych w swojej organizacji, mimo że po stronie rządowej są już odpowiednie wytyczne w tym zakresie
Po dokonaniu klasyfikacji informacji, Zamawiający ma kilka możliwości:
- Może zastosować przetarg otwarty – nieograniczony. Tutaj mecenas Tomasz Krzyżanowski podkreśla, że Zamawiający nie zawsze pamiętają o tym, że mają możliwość stosowania regulacji związanych z poufnością nawet w przetargu nieograniczonym: „można zastosować art. 18 ust. 4 uprawniający zamawiającego do ustanowienia wobec wykonawców wymagania dotyczącego zachowania poufnego charakteru informacji przekazanych wykonawcy w toku postępowania o udzielenie zamówienia.
Zamawiający ogłasza otwarte, w pełni konkurencyjne postępowanie a jednocześnie wskazuje, że pewne dokumenty udostępni Wykonawcom tylko, po uprzednim podpisaniu umowy o zachowaniu poufności. Nie jest to wprost uregulowane w procedurze PZP, natomiast jest z nią zgodne. Zastosowaliśmy podobne rozwiązanie w jednym z większych postępowań i świetnie się to sprawdziło”.
- Może zastosować przepisy Działu VI ustawy PZP dotyczące bezpieczeństwa i obronności, które dają pewne możliwości ograniczenia stosowania ustawy PZP, p.. wyłączenie elektronizacji składania ofert.
- W niektórych, skrajnych przypadkach, może istnieć również – co już było wcześniej wspomniane – możliwość wyłączenia stosowania ustawy, jeżeli wymaga tego istotny interes bezpieczeństwa państwa (art. 12 ust. 1 pkt. 1 lit. b PZP).
[1] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
Materiał przygotowany wraz ze współpracy z Kancelaria Traple Konarski Podrecki i Wspólnicy
www.traple.pl