PZP: Kolejna reforma, tym razem z powodu cyberbezpieczeństwa

Szczegółowy komunikat – który zwraca uwagę na najważniejsze praktyczne kwestie dla zamawiających - na temat kwietniowej zmiany prawa, opublikował właśnie Urząd Zamówień Publicznych (UZP). Zmiany wprowadza ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz. U. z 2026 r. poz. 252). Nowelizuje ona art. 226 ust. 1 ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych (Dz. U. z 2024 r. poz. 1320, dalej jako „PZP”).

Pojawią się nowe, charakterystyczne pojęcia ustawowe:

- produkt ICT - element lub grupę elementów sieci lub systemów informatycznych,

- usługa ICT - polega w pełni lub głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem sieci i systemów informatycznych,

- proces ICT - zestaw czynności wykonywanych w celu projektowania, rozwijania, dostarczania lub utrzymywania produktów ICT lub usług ICT.

Kiedy należy odrzucić ofertę

Nowelizacja zmienia brzmienie art. 226 PZP, który dotyczy sytuacji, w których musi nastąpić odrzucenie oferty. Odrzucenie oferty powinno nastąpić, gdy obejmuje ona produkt ICT, usługę ICT lub proces ICT wskazane w rekomendacji stwierdzającej ich negatywny wpływ na podstawowy interes bezpieczeństwa państwa. Tak wynika ze zmienionego art. 226 ust. 1 pkt 17 PZP. To jedynie doprecyzowanie już istniejących regulacji. O jakie sytuacje chodzi, to wyjaśnia dokładnie UZP.

Podobnie jak obecnie, stwierdzenie w rekomendacji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, że dany produkt ICT, usługa ICT lub proces ICT negatywnie wpływa na podstawowy interes bezpieczeństwa państwa, ma stanowić podstawę odrzucenia przez zamawiającego oferty, która obejmuje taki produkt ICT, usługę ICT lub proces ICT – przypomina UZP w swoim komunikacie, wskazując jednocześnie, że rekomendacje takie będą publikowane na stronie Biuletynu Informacji Publicznej (BIP) tego pełnomocnika.

Nowela dodaje jednak kolejny przypadek, gdy powinno dojść do odrzucenia oferty. Zamawiający będzie zmuszony odrzucić ofertę, jeżeli obejmuje ona produkt ICT, którego typ został określony w decyzji w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, lub usługę ICT, lub proces ICT, określone w tej decyzji. W tym przypadku też UZP dokładnie wyjaśnia, o co chodzi. Ta podstawa odrzucenia znajdzie zastosowanie wobec oferty (obejmującej produkty ICT, usługi ICT lub procesy ICT) złożonej przez wykonawcę, który został uznany za dostawcę wysokiego ryzyka w drodze decyzji ministra właściwego do spraw informatyzacji. Dzieje się tak, gdy dostawca ten stanowi potencjalne zagrożenie dla podstawowego interesu bezpieczeństwa państwa. Zamawiający będą musieli sprawdzać „Monitor Polski” oraz ministerialny BIP, ponieważ w tych miejscach publikowane będą te decyzje.

Trzeba pozbyć się IT, które nie spełnia kryteriów

A co w sytuacji, gdy na ministerialną listę trafi dostawca, którego sprzęt, usługi i procesy ICT, z których zamawiający już korzysta? Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2026 r. poz. 20), zawiera w art. 67c ust. 1 obowiązek wycofania z użytkowania takich produktów, usług i procesów ICT. Nie musi to jednak się stać z dnia na dzień - dużo zależy od tego, w jakim celu dokonano tych zamówień. Od 3 kwietnia br. będzie bowiem istniała specjalna lista dziesięciu kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług (to nowy załącznik nr 3 do ustawy) obejmująca np. uwierzytelnianie urządzeń użytkowników i zarządzanie prawami dostępu, przechowywanie danych kryptograficznych i identyfikacyjnych związanych z użytkownikami końcowymi albo wdrażanie, zarządzanie i monitorowanie polityk dostępu do sieci. Stąd różne terminy dla zamawiającego, aby pozbyć się niechcianego IT.

Będzie mógł on korzystać z tych produktów ICT, usług ICT lub procesów ICT, jednak nie dłużej niż przez 7 lat od dnia ogłoszenia tej decyzji w Dz. Urz. RP „Monitor Polski”. Natomiast, w przypadku produktów ICT, usług ICT lub procesów ICT wykorzystywanych do wykonywania funkcji krytycznych dla bezpieczeństwa sieci usług, które zostały określone w załączniku nr 3 do ustawy, możliwy termin korzystania z produktów, usługi i procesów nabytych przed ogłoszeniem decyzji, określony został maksymalnie na 4 lata od dnia jej ogłoszenia – wyjaśnia UZP w swoim komunikacie.

Nowe postępowania i te będące w toku

Co istotne, do postępowań o udzielenie zamówienia publicznego wszczętych i niezakończonych przed tym dniem będzie się już stosować nowe zasady. Tym samym, zmieniona podstawa odrzucenia oferty wykonawcy na podstawie negatywnej ministerialnej rekomendacji znajdzie zastosowanie również do postępowań będących w toku. o udzielenie zamówienia będących w toku w dniu 3 kwietnia 2026 r. To samo zresztą dotyczy nowej podstawy odrzucenia oferty (art. 226 ust. 1 pkt 19 PZP) – ona też znajdzie zastosowanie w sprawach będących w toku w dniu 3 kwietnia br.