Projekt nowej przesłanki wykluczenia z postępowania o udzielenie zamówienia związanej z cyberbezpieczeństwem (Nowego PZP)

Zmiana w zakresie PZP polega na wprowadzeniu możliwości oceny przez zamawiających ryzyka dostawców sprzętu i oprogramowania i ich wykluczenia z postępowania o udzielenie zamówienia w przypadku stwierdzenia wysokiego poziomu ryzyka dotyczącego cyberbezpieczeństwa państwa.

Zmiana nr 1 – ocena poziomu ryzyka dostawcy
sprzętu lub oprogramowania

Zmiana polega na uzupełnieniu treści art. 96 Nowego PZP poprzez dodanie art. 96 ust. 2 pkt 3 PZP.

Przepis art. 96 dotyczy wymagań, jakie zamawiający mogą stawiać w dokumentacji przetargowej, związanych z realizacją zamówienia, tj.: „wymagania związane z realizacją zamówienia, które mogą obejmować aspekty gospodarcze, środowiskowe, społeczne, związane z innowacyjnością, zatrudnieniem lub zachowaniem poufnego charakteru informacji przekazanych wykonawcy w toku realizacji zamówienia”.

Wymagania mogą dotyczyć w szczególności aspektów określonych w ust. 2 pkt 1–2 tego przepisu. Nowelizacja dodaje pkt 3.

Wymagania, o których mowa w ust. 1, mogą dotyczyć w szczególności: „[…] 3) poziomu ryzyka, jaki stanowi dostawca sprzętu lub oprogramowania, stwierdzonego oceną, o której mowa w art. 66a ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369)”.

Zamawiający będzie zatem uprawniony do stawiania wymagań w odniesieniu do dopuszczalnego ryzyka w zakresie cyberbezpieczeństwa dostawcy sprzętu lub oprogramowania.

Należy przy tym podkreślić, że oceny nie dokonuje zamawiający, lecz tzw. Kolegium do Spraw Cyberbezpieczeństwa (dalej: „Kolegium”) uregulowane w Ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej:„ustawa o KSC”).

Z treści proponowanego przepisu wynika zatem, że zamawiający publiczny będzie mógł wymagać np. braku zidentyfikowanych poziomów ryzyk (Kolegium może stwierdzić ryzyko na poziomie: wysokim, umiarkowanym, niskim), eliminując tym samym z postępowania o udzielenie zamówienia dostawcę sprzętu i oprogramowania, w odniesieniu do którego Kolegium stwierdziło jakikolwiek poziom ryzyka zgodnie z projektowanymi przepisami ustawy o KSC.

Zmiana nr 2 – dodanie w Nowym PZP
dodatkowej przesłanki wykluczenia
z postępowania (fakultatywnej)

Dopuszczenie wymagania przez zamawiających publicznych oceny poziomu ryzyka w postępowaniu o udzielenie zamówienia powoduje konieczność określenia skutków niespełnienia tego wymagania przez wykonawcę.

Nowe PZP ustanawia w art. 109 ust. 1 fakultatywne przesłanki wykluczenia z postępowania. Ich fakultatywność oznacza, że aby zamawiający mógł taką przesłankę zastosować, wszczynając postępowanie, musi wskazać tę podstawę wykluczenia w ogłoszeniu o zaówieniu lub w dokumentach zamówienia.

W nowelizacji ustawodawca proponuje dodać nową przesłankę wykluczenia art. 109 ust. 1 pkt 11 Nowego PZP.

Z postępowania o udzielenie zamówienia zamawiający może wykluczyć wykonawcę: „[…] 11) który jest dostawcą sprzętu lub oprogramowania, wobec którego stwierdzono wysokie ryzyko, w ramach oceny, o której mowa w art. 66a ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa”.

Z ww. przepisu wynika, że wykonawca, który jest dostawcą sprzętu lub oprogramowania, wobec którego zostanie stwierdzone wysokie ryzyko dla cyberbezpieczeństwa państwa zgodnie z projektowanym przepisem art. 66a ustawy o KSC, zostanie wykluczony z postępowania o udzielenie zamówienia publicznego, pod warunkiem że zamawiający przewidzi taką przesłankę w ogłoszeniu o zamówieniu lub w doku-mentacji postępowania.

Warto zatem zauważyć, że wykluczenie nie będzie mogło nastąpić (pomimo stwierdzenia wysokiego ryzyka przez Kolegium), jeżeli zamawiający nie przewidzi odpowiedniej przesłanki, wszczynając postępowanie o udzielenie zamówienia.

Wykluczenie nie będzie też dotyczyło stwierdzenia ryzyka na poziomie umiarkowanym oraz niskim. W tym przypadku można rozważyć odrzucenie oferty na podstawie art. 226 ust. 1 pkt 16 lub 17 Nowego PZP, choć Projekt w tym zakresie milczy.

Nowelizacja przewiduje również zmianę w art. 110 ust. 2 w taki sposób, że „pkt 2–10” zastępuje się „pkt 2–11”. Przepis ten dotyczy tzw. self-cleaningu. Oznacza to, że w przypadku nowej przesłanki wykluczenia wykonawca będzie mógł zastosować procedurę samooczyszczenia

Ocena proponowanej zmiany i wątpliwości
interpretacyjne

Projektowana zmiana Nowego PZP oraz ustawy o KSC może mieć znaczący wpływ na rynek ICT.

Co do zasady należy tę zmianę ocenić pozytywnie, gdyż pozwoli ona wyeliminować z rynku zamówień publicznych wykonawców, którzy stanowią zagrożenie dla bezpieczeństwa państwa.

W 2017 r. rząd Stanów Zjednoczonych zakazał wszystkim instytucjom rządowym korzystania z oprogramowania antywirusowego Kaspersky, stwierdzając, że może ono służyć rosyjskim służbom wywiadowczym.

W Polsce instytucje publiczne, zwłaszcza opierające swe zakupy na procedurze ustawy –Prawo zamówień publicznych, nie mają bezpośrednich podstaw do wykluczania wykonawców w takich przypadkach lub do odrzucania ich ofert.

Nowe przepisy (art. 96 NPZP) mają tę lukę usunąć.

Konieczna będzie jednak duża ostrożność i rozwaga w stosowaniu nowych przepisów. Negatywna ocena Kolegium może bowiem spowodować wyeliminowanie z rynku określonego producenta lub znaczne utrudnienie mu działalności w związku ze spadkiem zaufania do jego produktów (nawet tych nieobjętych bezpośrednio oceną Kolegium).

Wejście w życie nowych przepisów

Zgodnie z Projektem zmiany dotyczące Nowego PZP wchodzą w życie z dniem 1 stycznia 2021 r.(tj. wraz z wejściem w życie ustawy PZP, którą zmieniają).

Reszta ustawy wchodzi w życie wcześniej, tj. z dniem 21 grudnia 2020 r. Konieczne jest jednak podkreślenie, że w momencie publikacji niniejszego artykułu zmiany nie zostały uchwalone. Projekt może się zatem jeszcze zmienić. Jeżeli tak się stanie, poinformujemy Państwa w kolejnym artykule.

Szersza analiza wkrótce na blogu TK