Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2020 r., poz. 1369; dalej: „ustawa KSC”), uchwalona w 2018 r., tworzy podstawy prawno-instytucjonalne dla cyberbezpieczeństwa na poziomie krajowym. W tym zakresie jest to także implementacja dyrektywy NIS1[1].

Dnia 12 października 2021 r. został podany do publicznej wiadomości i konsultacji projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (dalej: „Nowelizacja”). Celem projektowanych zmian jest dalszy rozwój krajowego systemu cyberbezpieczeństwa na podstawie doświadczeń zebranych przez dwa lata jego funkcjonowania w Polsce.

Prace nad nowelizacją toczą się już od przeszło roku. Jest ona bardzo ważna z wielu względów i wzbudza dużo emocji na rynku. Projekt bywa komentowany jako potencjalnie wymierzony w niektórych producentów z państw spoza UE i NATO. Między innymi z tego względu prace nad nowelizacją znacznie się przeciągają. Obecnie je przyspieszono i 12 października 2021 r. opublikowano wersję, która teoretycznie jest bliska ostatecznej.

W niniejszej publikacji zostanie przedstawiony potencjalny wpływ wybranych projektowanych nowych przepisów na rynek zamówień publicznych w Polsce. Nowelizacja przewiduje bowiem szereg rozwiązań, które pośrednio oddziałują na stosowanie przepisów dotyczących zamówień publicznych, np. w zakresie przesłanek odrzucenia oferty.

Poza zaprezentowaniem i omówieniem nowo projektowanych przepisów autor wskazuje również postulaty w zakresie modyfikacji niektórych wprowadzonych rozwiązań.

Wyłączenie stosowania PZP

Nowelizacja przewiduje wyłączenie stosowania przepisów Ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych (t.j. Dz. U. z 2021 r., poz. 1129; dalej: „PZP”). Z przepisu art. 76e wynika, że przy zawieraniu umów dotyczących realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie telekomunikacji, nie stosuje się przepisów ustawy PZP. W uzasadnieniu do projektu nowelizacji wskazano, że jest to rozwiązanie zgodne z art. 13 lit. a dyrektywy 2009/81/WE. Według tego przepisu nie stosuje się postanowień tejże dyrektywy do zamówień, w przypadku których zobowiązałoby to państwo członkowskie do dostarczenia informacji, których ujawnienie uznaje się za sprzeczne z jego podstawowymi interesami w zakresie bezpieczeństwa.

Wymaga podkreślenia, że wyłączenie stosowania ustawy ma zawsze charakter wyjątku, oznacza bowiem, iż środki publiczne będą wydatkowane całkowicie poza procedurą z ustawy PZP, która jest przecież po to ustanowiona, aby przeciwdziałać korupcji i dbać o konkurencyjność na rynku. Względy bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego mają oczywiście wartość nadrzędną, jednakże istotne jest, aby nie stały się jedynie pretekstem do zaniechania stosowania ustawy PZP. Warto w tym miejscu podkreślić, że obowiązująca ustawa PZP przewiduje już w art. 12 ust. 1 pkt 1 wyłączenie przedmiotowe, zgodnie z którym: „Przepisów ustawy nie stosuje się do: 1) zamówień lub konkursów: a) którym nadano klauzulę zgodnie z przepisami ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz. 742) lub którym muszą towarzyszyć, na podstawie odrębnych przepisów, szczególne środki bezpieczeństwa, lub b) jeżeli wymaga tego istotny interes bezpieczeństwa państwa – w zakresie, w jakim ochrona istotnych interesów bezpieczeństwa państwa nie może zostać zagwarantowana w inny sposób, w szczególności z zastosowaniem przepisów działu VI”.

W przypadku wyłączenia z art. 12 PZP jego treść pozwala przyjąć, że dla ustawodawcy jest ono ostatecznością i wchodzi w grę dopiero wtedy, gdy „ochrona istotnych interesów bezpieczeństwa państwa nie może zostać zagwarantowana w inny sposób, w szczególności z zastosowaniem przepisów działu VI”. Co do zasady zaleca się zatem zastosowanie przepisów PZP, przynajmniej tych, które dotyczą szczególnej procedury opisanej w dziale VI PZP.

Nowo tworzony w projektowanym art. 76e ustawy KSC przepis odnosi się do realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie telekomunikacji. Jest to zatem zakres szerszy niż w art. 12 PZP, ale przedmiotowo podobny. Warto więc w projektowanym art. 76e ustawy KSC dodać podobne zastrzeżenie do tego z art. 12 PZP, tj. zezwolenie na wyłączenie PZP dopiero po wykazaniu przez zamawiającego (np. w wewnętrznej notatce służbowej), że nie da się w inny sposób zapewnić bezpieczeństwa państwa ani bezpieczeństwa i porządku publicznego, w zakresie telekomunikacji, w szczególności że nie wystarczy w tym celu zastosować procedury z działu VI PZP. Takie dodatkowe ograniczenie mogłoby nieco zdyscyplinować zamawiających, aby nie nadużywali uprawnienia do wyłączenia stosowania PZP.

Konkludując, w ocenie autora rekomendowane jest, aby Nowelizacja wprowadziła dodatkowe zapisy mające na celu zabezpieczenie przed nadużywaniem wyłączenia stosowania ustawy PZP, tak aby zapewnić konkurencyjność postępowań i rzetelne wydatkowanie środków publicznych.

Uznanie za dostawcę wysokiego ryzyka dostawcy sprzętu lub oprogramowania i zagadnienie odrzucenia oferty

W projektowanym art. 66a ustawy KSC przewidziano postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Jako uzasadnienie dla tego przepisu wskazano w Nowelizacji na konieczność ochrony przed cyberzagrożeniami, z czym trudno dyskutować. Z tego względu co do zasady nowe przepisy wydają się uzasadnione. Ustawodawca stwierdził, że: „Odporność na cyberzagrożenia zależy w dużym stopniu od bezpieczeństwa sprzętu, oprogramowania i usług. Dotyczy to zarówno systemów teleinformatycznych, sieci telekomunikacyjnych oraz przemysłowych systemów sterowania. Dlatego nowelizacja przewiduje wprowadzenie postępowania w sprawie uznania dostawcy sprzętu lub oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa za dostawcę wysokiego ryzyka”.

Decyzję o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka będzie podejmował minister właściwy do spraw informatyzacji: „Minister właściwy do spraw informatyzacji, w drodze decyzji, uznaje dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi” (projektowany art. 66a ustawy KSC).

Minister będzie mógł zainicjować postępowanie z urzędu albo na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa. Decyzja będzie obowiązywała wobec takich podmiotów, jak:

  1. Podmioty krajowego systemu cyberbezpieczeństwa.
  2. Przedsiębiorcy telekomunikacyjni obowiązani mieć aktualne i uzgodnione plany działań w sytuacjach szczególnych zagrożeń.
  3. Właściciele lub posiadacze obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 Ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (t.j. Dz. U. z 2020 r., poz. 1856).
  4. Przedsiębiorcy o szczególnym znaczeniu gospodarczo-obronnym, o których mowa w art. 3 Ustawy z dnia z dnia 23 sierpnia 2001 r. o organizowaniu zadań na rzecz obronności państwa realizowanych przez przedsiębiorców (t.j. Dz. U. z 2020 r., poz. 1669).

Wydanie decyzji może poprzedzić zwrócenie się o opinię w danej sprawie do Kolegium ds. Cyberbezpieczeństwa.

Ustawodawca w uzasadnieniu do projektu wskazał: „Postępowanie w tej kwestii będzie prowadził minister właściwy do spraw informatyzacji. Postępowanie będzie oparte o transparentne procedury określone w Kodeksie postępowania administracyjnego. Minister właściwy do spraw informatyzacji każdorazowo będzie zasięgał opinii Kolegium. Rolą Kolegium będzie sporządzenie opinii na temat dostawcy sprzętu lub oprogramowania i dostarczanych przez niego produktów ICT, usług ICT, procesów ICT. W ramach opinii będą brane pod uwagę zarówno aspekty techniczne, jak i pozatechniczne, mające wpływ na bezpieczeństwo narodowe. Postępowanie będzie kończyło się decyzją administracyjną w sprawie uznania dostawcy za dostawcę wysokiego ryzyka. Będzie ona podlegać zaskarżeniu do sądu administracyjnego”.

Zwraca uwagę, że opinia Kolegium będzie oparta również na aspektach „pozatechnicznych”. Teoretycznie urządzenie lub oprogramowanie jest neutralne politycznie. Ustawodawca wprost jednak sugeruje, że mogą być przypadki, w których o negatywnej opinii zadecydują kwestie pozatechniczne – czyli polityczne. Częściowo można to zrozumieć; trudno oczekiwać, że polska administracja publiczna będzie bez jakichkolwiek uprzednich procedur zabezpieczających czy sprawdzających nabywała oprogramowanie czy sprzęt od producentów z państw spoza UE lub NATO, z którymi Polska pozostaje w konflikcie politycznym. Mogłoby to bowiem oznaczać, że zanim zagrożenie zostałoby zidentyfikowane, służby wywiadowcze nieprzyjaznego państwa zdobyłyby bezcenne informacje i zagroziły cyberbezpieczeństwu kraju. Działania naprawcze mogłyby być w tym przypadku spóźnione oraz bardzo kosztowne. Niemniej niezbędne jest, aby ocena danego podmiotu była transparentna i uczciwa. Decyzja ministra nie może służyć szantażowaniu przedsiębiorców, niezależnie od ich kraju pochodzenia.

Podmioty krajowego systemu cyberbezpieczeństwa, przede wszystkim operatorzy usług kluczowych, dostawcy usług cyfrowych czy przedsiębiorcy telekomunikacyjni (będący dużymi przedsiębiorcami), w zależności od decyzji ministra właściwego do spraw informatyzacji w zakresie uznania danego dostawcy za dostawcę wysokiego ryzyka będą musiały wycofać z użycia wskazany sprzęt lub oprogramowanie pochodzące od dostawcy wysokiego ryzyka w ciągu 7 lat od wydania decyzji administracyjnej. Natomiast duzi przedsiębiorcy telekomunikacyjni będą musieli wycofać produkty, usługi i procesy ICT w ciągu 5 lat, jeżeli znajdują się one w zakresie funkcji krytycznych określonych w załączniku nr 3 do ustawy. Podkreślenia wymaga fakt, że obowiązkowi wycofania będą podlegały produkty, usługi i procesy ICT wskazane w decyzji ministra właściwego do spraw informatyzacji – a więc nie wszystkie produkty, usługi i procesy ICT oferowane przez dostawcę wysokiego ryzyka. Tak czy inaczej, konsekwencje wydania takiej decyzji będą bardzo poważne.

W przypadku postępowań o udzielenie zamówienia publicznego prowadzonych przez podmioty wskazane w projektowanym art. 66a ust. 1 pkt 1–4, będące jednocześnie zamawiającymi zobowiązanymi do stosowania ustawy PZP, wydanie decyzji wskazującej dostawcę wysokiego ryzyka będzie miało bardzo poważny skutek dla takiego wykonawcy, dla zamawiających oraz ogólnie dla rynku zamówień publicznych. Zgodnie bowiem z treścią projektowanego art. 66b ust. 3 KSC podmioty wymienione w art. 66 ust. 1 pkt 1–4 KSC, do których stosuje się ustawę PZP, nie mogą nabywać sprzętu, oprogramowania ani usług określonych w decyzji. Oferta dostawcy wysokiego ryzyka musiałaby zatem zostać odrzucona na podstawie art. 226 ust. 1 pkt 16 PZP, który stanowi: „Zamawiający odrzuca ofertę jeżeli: […] 16) jej przyjęcie naruszałoby bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, a tego bezpieczeństwa lub interesu nie można zagwarantować w inny sposób”. Odrzucenie mogłoby też nastąpić na innej podstawie, np. art. 226 ust. 1 pkt 5, z uwagi na to, że treść oferty jest niezgodna z warunkami zamówienia – w przypadku zastrzeżenia w dokumentach zamówienia przez zamawiającego, że nie dopuszcza oferowania produktów objętych decyzją, o której mowa w art. 66a ustawy KSC. W konsekwencji taki podmiot zostałby wyeliminowany z rynku w zakresie zamówień publicznych, których dotyczy ustawa KSC. Co prawda „wykluczenie” z rynku ma dotyczyć jedynie sprzętu, oprogramowania i usług określonych w decyzji, ale i tak będzie to dla producenta bardzo dotkliwe. Co więcej, nie można wykluczyć, że zamawiający będą odrzucać oferty tego wykonawcy, nawet jeżeli dotyczyłyby produktów innych niż objęte decyzją. Przesłanka art. 226 ust. 1 pkt 16 PZP jest bowiem dość ogólna w treści i zamawiający może podnosić, że z jego punktu widzenia inne produkty tego wykonawcy również stanowią potencjalne zagrożenie w sposób zdefiniowany w art. 226 ust. 1 pkt 16 PZP.

Zwraca uwagę, że w nowo projektowanych przepisach brak jest informacji na temat wytycznych, kryteriów, przesłanek, na podstawie których dany dostawca miałby być uznany za dostawcę stanowiącego poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi, co wiąże się z ryzykiem arbitralności decyzji ministra oraz faktyczną niemożnością podjęcia przez danego dostawcę działań mających zapobiec uznaniu go za dostawcę wysokiego ryzyka. Wprowadzenie do ustawy jasnych wytycznych – przesłanek – w zakresie tego, co decyduje o uznaniu dostawcy za dostawcę wysokiego ryzyka, pozwoliłoby takiemu dostawcy na podjęcie działań obniżających to ryzyko (naprawczych), zwłaszcza że zgodnie z projektowanym art. 66a ust. 14 KSC decyzja ministra ma podlegać natychmiastowemu wykonaniu i nie przysługuje od niej wniosek o ponowne rozpatrzenie sprawy (projektowany art. 66a ust. 15 KSC), lecz jedynie zaskarżenie do sądu administracyjnego.

Autor postuluje zatem wprowadzenie do ustawy jasnych wytycznych – przesłanek – w zakresie tego, co decyduje o uznaniu dostawcy za dostawcę wysokiego ryzyka, dzięki czemu dany podmiot mógłby przynajmniej spróbować samodzielnie sprawdzić, czy nie jest w grupie ryzyka, tak aby uniknąć go w przyszłości. Innymi słowy, przepis powinien wskazywać przesłanki, których ziszczenie pozwala wszcząć postępowanie o uznaniu wykonawcy za dostawcę wysokiego ryzyka.

Ponadto – biorąc pod uwagę doniosłość wydania decyzji dla objętego nią podmiotu – zwraca uwagę, że w Nowelizacji nie przewidziano możliwości przedstawienia stanowiska przez zainteresowany podmiot (podjęcia obrony, wyjaśnienia sytuacji). W tym przypadku autor postuluje, aby przez wydaniem decyzji podmiot, którego ma ona dotyczyć, miał prawo zostać wysłuchany zarówno przez Kolegium, jak i przez ministra. Pożądane jest również przewidzenie możliwości podjęcia natychmiastowych działań naprawczych (takich jak modyfikacja sprzętu czy oprogramowania) wskazanych przez ministra lub Kolegium, których zrealizowanie w określonym czasie powodowałoby umorzenie postępowania (zaniechanie wydania decyzji). Można mieć nadzieję, że wprowadzenie tego rodzaju uzupełnień w przepisie spowoduje, że przynajmniej część spraw zostanie wyjaśniona i nie będzie konieczności wydania decyzji. Istotne jest, aby ocena wykonawcy była uczciwa i niemotywowana politycznie.

Przepisy przejściowe

Na koniec warto zaznaczyć, że zgodnie z art. 12 Nowelizacji: „Do postępowań o udzielenie zamówienia publicznego, wszczętych przed dniem wejścia w życie niniejszej ustawy, które, przed dniem opublikowania informacji, o której mowa w art. 66a ust. 1 ustawy zmienianej w art. 1, w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”, nie zakończyły się wyborem wykonawcy albo unieważnieniem postępowania, stosuje się przepisy ustawy zmienianej w art. 1 w brzmieniu nadanym niniejszą ustawą”.

Celem art. 12 jest uregulowanie kwestii postępowań o udzielenie zamówienia publicznego wszczętych przed wejściem w życie Nowelizacji. Przepis przejściowy wprost rozstrzyga o stosowaniu do tych postępowań ustawy KSC w nowym brzmieniu. Dotyczyć to będzie postępowań o udzielenie zamówienia, które zostały wszczęte przed dniem wejścia w życie Nowelizacji, a jednocześnie nie zakończyły się wyborem wykonawcy albo unieważnieniem postępowania przed dniem opublikowania[2] informacji o wydaniu decyzji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Jest to ważna informacja, oznacza bowiem, że każde nierozstrzygnięte postępowanie o udzielenie zamówienia publicznego (niezależnie od tego, kiedy zostało ogłoszone) będzie objęte przepisami Nowelizacji, oczywiście pod warunkiem że zostanie ona uchwalona w omawianym kształcie.

Odrzucenie oferty na podstawie art. 226 ust. 1 pkt 17 PZP

Niezależnie od rozważań dotyczących Nowelizacji warto dodatkowo wskazać, że ustawa PZP już teraz przewiduje odrębną podstawę odrzucenia oferty związaną z cyberbezpieczeństwem. Zgodnie z art. 226 ust. 1 pkt 17: „Zamawiający odrzuca ofertę, jeżeli: […] 17) obejmuje ona urządzenia informatyczne lub oprogramowanie wskazane w rekomendacji, o której mowa w art. 33 ust. 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369), stwierdzającej ich negatywny wpływ na bezpieczeństwo publiczne lub bezpieczeństwo narodowe”. Jest to przepis zupełnie niezwiązany z Nowelizacją.

Ustawa KSC w obecnym brzmieniu – już obowiązującym – przewiduje w art. 33, że pełnomocnik rządu do spraw cyberbezpieczeństwa może wydać rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa. Jeżeli taka rekomendacja stwierdzi negatywny wpływ na bezpieczeństwo publiczne lub bezpieczeństwo narodowe urządzeń informatycznych lub oprogramowania, oferta je obejmująca podlega odrzuceniu. Wymaga podkreślenia, że od dnia wejścia w życie ustawy KSC nie wydano rekomendacji w trybie art. 33 ustawy KSC.

Z informacji uzyskanych przez autora bezpośrednio z Kancelarii Prezesa Rady Ministrów – Departamentu Cyberbezpieczeństwa – wynika, że do 19 września 2021 r. (data pisma w tej sprawie) „nie zaistniały przesłanki wskazujące na konieczność wydania rekomendacji w myśl art. 33”. W piśmie wprost wskazano, że w związku z powyższym „obecnie zamawiający nie może odrzucić oferty na podstawie prawnej określonej w art. 226 ust. 1 pkt 17 ustawy PZP”. Oznacza to, że przepis ten, mimo że istnieje, w praktyce nie może obecnie znaleźć zastosowania.

Podsumowanie

  1. Podsumowując, Nowelizacja przewiduje w zakresie cyberbezpieczeństwa doniosłe dla zamówień publicznych zmiany:
  2. nowe wyłączenie stosowania przepisów ustawy PZP przy zawieraniu umów dotyczących realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie telekomunikacji;
  3. postępowanie i decyzję o uznaniu za dostawcę wysokiego ryzyka dostawcy sprzętu lub oprogramowania przez ministra właściwego do spraw informatyzacji, która to decyzja może być podstawą do odrzucenia oferty tego podmiotu w postępowaniu o udzielenie zamówienia publicznego.
  4. Zamawiający nie może odrzucić oferty na podstawie prawnej określonej w art. 226 ust. 1 pkt 17 ustawy PZP, dopóki nie zostaną wydane rekomendacje, o których mowa w art. 33 ust. 4 ustawy KSC (do 19 września 2021 r. nie zostały wydane). Oznacza to, że przepis ten, mimo że istnieje, w praktyce nie może obecnie znaleźć zastosowania.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L z 2016 r. Nr 194, str. 1).

[2] W Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.