W dniu 7 września 2020 r. do konsultacji publicznych przekazano projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych (zwany dalej: „Projektem” lub „Nowelizacją”). Projekt przewiduje między innymi zmianę w ustawie z dnia 11 września 2019 r. Prawo zamówień publicznych[1] (dalej: „Nowe PZP”), która może mieć doniosłe znaczenie dla rynku sprzętu i oprogramowania.

Zmiana w zakresie PZP polega na wprowadzeniu możliwości oceny przez zamawiających ryzyka dostawców sprzętu i oprogramowania i ich wykluczenia z postępowania o udzielenie zamówienia w przypadku stwierdzenia wysokiego poziomu ryzyka dotyczącego cyberbezpieczeństwa państwa.

Nowe uprawnienie zamawiającego w nowym PZP

Zmiana nr 1 – ocena poziomu ryzyka dostawcy sprzętu lub oprogramowania

Zmiana polega nauzupełnieniu treści art. 96 Nowego PZP, poprzez dodanie art. 96 ust. 2 pkt. 3) PZP. Przepis art.  96 dotyczy wymagań jakie zamawiający mogą stawiać w dokumentacji przetargowej związane z realizacją zamówienia tj. „wymagania związane z realizacją zamówienia, które mogą obejmować aspekty gospodarcze, środowiskowe, społeczne, związane z innowacyjnością, zatrudnieniem lub zachowaniem poufnego charakteru informacji przekazanych wykonawcy w toku realizacji zamówienia”. Wymagania mogą dotyczyć w szczególności aspektów określonych w ust. 2 pkt. 1-2 tego przepisu. Nowelizacja dodaje pkt. 3)

Wymagania, o których mowa w ust. 1, mogą dotyczyć w szczególności:[…]  „3) poziomu ryzyka, jaki stanowi dostawca sprzętu lub oprogramowania, stwierdzonego oceną, o której mowa w art. 66a ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369).”

Zamawiający będzie zatem uprawniony do stawiania wymagań w odniesieniu do dopuszczalnego ryzyka w zakresie cyberbezpieczeństwa dostawcy sprzętu lub oprogramowania. Wymaga przy tym podkreślenia, że oceny nie dokonuje zamawiający lecz tzw. Kolegium do Spraw Cyberbezpieczeństwa (dalej: „Kolegium”) uregulowane w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej jako: „UKSC”). Z treści proponowanego przepisu wynika zatem, że zamawiający publiczny będzie mógł wymagać np. braku zidentyfikowanych poziomów ryzyk, eliminując tym samym z postępowania o udzielenie zamówienia dostawcę sprzętu i oprogramowania w odniesieniu do którego Kolegium stwierdziło jakikolwiek poziom ryzyka zgodnie z projektowanymi przepisami UKSC.

Zmiana nr 2 – dodanie w nowym PZP dodatkowej przesłanki wykluczenia z postępowania (fakultatywnej) 

Dopuszczenie wymagania przez zamawiających publicznych oceny poziomu ryzyka w postępowaniu o udzielenie zamówienia powoduje konieczność określenia skutków nie spełnienia tego wymagania przez wykonawcę. Nowe PZP ustanawia w art. 109 ust. 1 fakultatywne przesłanki wykluczenia z postępowania. Ich fakultatywność oznacza, że zamawiający aby móc taką przesłankę zastosować, musi wszczynając postępowanie wskazać tę podstawę wykluczenia w ogłoszeniu o zamówieniu lub dokumentach zamówienia. W nowelizacji ustawodawca proponuje dodać nową przesłankę wykluczenia art. 109 ust. 1 pkt. 11 Nowego PZP:

Z postępowania o udzielenie zamówienia zamawiający może wykluczyć wykonawcę: […] 11) który jest dostawcą sprzętu lub oprogramowania, wobec którego stwierdzono wysokie ryzyko, w ramach oceny, o której mowa w art. 66a ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.”.

Z w/w przepisu wynika, że wykonawca który jest dostawcą sprzętu lub oprogramowania wobec którego zostanie stwierdzone wysokie ryzyko dla cyberbezpieczeństwa państwa zgodnie z projektowanym przepisem art. 66a UKSC, zostanie wykluczony z postępowania o udzielenie zamówienia publicznego, pod warunkiem że zamawiający przewidzi taką przesłankę w ogłoszeniu o zamówieniu lub dokumentacji postępowania. Warto zatem zauważyć, że wykluczenie nie będzie mogło nastąpić (pomimo stwierdzenia wysokiego ryzyka przez Kolegium) jeżeli zamawiający nie przewidzi odpowiedniej przesłanki wszczynając postępowanie o udzielenie zamówienia. Wykluczenie nie będzie dotyczyło stwierdzenia ryzyka na poziomie umiarkowanym oraz niskim. W tym przypadku można rozważyć odrzucenie oferty na podstawie art. 226 ust. 1 pkt. 16 lub 17 Nowego PZP.

Istotne jest ponadto wskazanie, że Nowelizacja przewiduje również zmianę w art. 110 w ust. 2 w taki sposób, że wyrazy „pkt 2-10” zastępuje się wyrazami „pkt 2-11”. Przepis ten dotyczy tzw. selfcleaningu. Oznacza to, że w przypadku nowej przesłanki wykluczenia wykonawca będzie mógł zastosować procedurę samooczyszczenia. W tym jednak przypadku, w ocenie autora, będzie to miało znaczenie tylko w przypadku gdyby Kolegium zmieniło ocenę na pozytywną lub zmieniło poziom ryzyka z wysokiego na niski lub umiarkowany – wobec których przesłanka wykluczenia nie ma zastosowania (wiec nie będzie konieczne samooczyszczenie). Wówczas wykonawca przedstawi zmienioną ocenę zamawiającemu w ramach samooczyszczenia. Zastosowanie innych czynności naprawczych przewidzianych w Nowym PZP z uwagi na restrykcyjne brzmienie projektowanych przepisów UKSC dotyczących stwierdzenia wysokiego poziomu ryzyka nie będzie miało praktycznego zastosowania.

Ocena ryzyka dokonywana przez Kolegium

Uprawnienie Kolegium do sporządzenia oceny ryzyka wynika z nowego przepisu art. 66a UKSC – który Projekt proponuje dodać do treści UKSC. Kolegium może sporządzić ocenę ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa podmiotów krajowego systemu na wniosek członka Kolegium. Zgodnie z art. 66a ust. 5 UKSC ocena może stwierdzać: wysokie ryzyko, umiarkowane ryzyko, niskie ryzyko albo brak zidentyfikowanego poziomu ryzyka. Pojęcia te zostały szczegółowo zdefiniowane w projektowanym przepisie art. 66a ust. 5 UKSC. Ocena będzie publikowana w postaci komunikatu w Dzienniku Urzędowym Rzeczpospolitej Polskiej „Monitor Polski”.

Kolegium zgodnie z art. 64 UKSC działa przy Radzie Ministrów jako organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa. W skład Kolegium wchodzą najważniejsze osoby w państwie tj.  w szczególności: Prezes Rady Ministrów jako przewodniczący Kolegium, Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa, wskazani w UKSC ministrowie.

Podmioty objęte krajowym systemem cyberbezpieczeństwa zostały określone w art. 4 UKSC. Wśród tych podmiotów można znaleźć również podmioty zobowiązane do stosowania ustawy PZP.

Jeżeli Kolegium oceni ryzyko danego dostawcy jako umiarkowane lub niskie, to dostawca będzie mógł przedstawić środki zaradcze i plan naprawczy. W przypadku akceptacji tych środków zaradczych i planu naprawczego, Kolegium może zmienić ocenę. Z treści Projektu wynika jednocześnie, że przedstawienie środków zaradczych i planu naprawczego nie dotyczy sytuacji gdy ryzyko oceniono jako wysokie. Wówczas bowiem, dostawca będzie mógł jedynie odwołać się w terminie 14 dni od publikacji komunikatu o sporządzonej ocenie do Kolegium.

Skutki oceny ryzyka dokonanej przez Kolegium wynikające z projektowanych przepisów UKSC i sankcje

Szczególne działania muszą być podjęte wobec sprzętu i oprogramowania pochodzącego od dostawców wysokiego ryzyka. Podmioty krajowego systemu cyberbezpieczeństwa (a więc również podmioty publiczne, zobowiązane do stosowania reżimu zamówień publicznych) nie będą mogły wprowadzać do użytkowania sprzętu, oprogramowania i usług stwarzających wysokie ryzyko oraz będą musiały wycofać z użytkowania sprzęt, oprogramowanie i usługi określone w ocenie danego dostawcy sprzętu lub oprogramowania nie później niż 5 lat od dnia ogłoszenia komunikatu o ocenie. Skutki są zatem bardzo poważne, bo oznaczają możliwość eliminacji danego podmiotu i jego produktów z rynku.

W przypadku określenia ryzyka jako umiarkowanego, podmioty krajowego systemu cyberbezpieczeństwa nie będą mogły wprowadzać do użytkowania sprzętu, oprogramowania i usług określonych w ocenie danego dostawcy sprzętu lub oprogramowania; będą mogły jednakże  kontynuować używanie dotychczas posiadanego sprzętu, usług lub oprogramowania wykorzystywanych przed opublikowaniem komunikatu. Stwierdzenie ryzyka na poziomie niskim nie niesie ze sobą analogicznych konsekwencji.

W przypadku nie przestrzegania art. 66b UKSC Projekt przewiduje sankcje, które mają być określone w projektowanym art. 73 ust. 2a UKSC.  Wysokość kary określona będzie w nowym przepisie art. 73 ust. 3 pkt. 14 UKSC, który przewiduje, że  wysokość kary pieniężnej wynosi w przypadku podmiotów określonych w art. 4 pkt 1-2a 1) [operatorów usług kluczowych, dostawców usług cyfrowych, przedsiębiorców komunikacji elektronicznej] do 3% ich całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego dla przypadku wysokiego ryzyka, i odpowiednio 1 % w przypadku umiarkowanego ryzyka. Dla podmiotów publicznych przewidziano karę finansową w wysokości do 100 000 zł.

Ocena proponowanej zmiany i wątpliwości interpretacyjne

Projektowana zmiana Nowego PZP oraz UKSC może mieć znaczący wpływ na rynek ICT. Co do zasady należy ją ocenić pozytywnie, gdyż pozwoli ona wyeliminować z rynku zamówień publicznych wykonawców, którzy stanowią zagrożenia dla bezpieczeństwa państwa. W 2017 roku rząd Stanów Zjednoczonych zakazał wszystkim instytucjom rządowym korzystania z oprogramowania antywirusowego Kaspersky stwierdzając, że może ono służyć rosyjskim służbom wywiadowczym. W Polsce instytucje publiczne, zwłaszcza opierające swe zakupy na procedurze ustawy Prawo zamówień publicznych, nie mają bezpośrednich podstaw do wykluczania wykonawców w takich przypadkach lub do odrzucania ich ofert. Nowe przepisy mają tę lukę usunąć.

Konieczna będzie jednak duża ostrożność i rozwaga w stosowaniu nowych przepisów. Negatywna ocena Kolegium może bowiem spowodować wyeliminowanie określonego producenta z rynku lub znaczne utrudnienie mu działalności w związku ze spadkiem zaufania do jego produktów (nawet tych nie objętych bezpośrednio oceną Kolegium). W związku z tym szczególna odpowiedzialność będzie spoczywała na Kolegium.

Konieczne jest również wskazanie pewnych wątpliwości interpretacyjnych związanych z projektowanymi przepisami w zakresie dotyczącym Nowego PZP:

  • Zamawiający będzie mógł wymagać w postępowaniu poziomu ryzyka, jaki stanowi dostawca sprzętu lub oprogramowania, stwierdzonego oceną Kolegium. Dodatkowo będzie w związku z tym mógł przewidzieć przesłankę wykluczenia wykonawcy, który jest dostawcą sprzętu lub oprogramowania, ale tylko dla sytuacji gdy Kolegium stwierdzi wysokie ryzyko. Zdaniem autora, wystarczające zatem powinno być wykazanie przez wykonawcę, że Kolegium nie badało danego wykonawcy albo że ocena wypadła pozytywnie (brak ryzyka), względnie stwierdzono ryzyka, ale na poziomie dopuszczalnym przez zamawiającego.
  • Wątpliwości budzi sytuacja w której zamawiający nie będzie wymagał w dokumentacji postępowania o udzielenie zamówienia publicznego wykazania braku poziomu ryzyka lub nie przewidzi w dokumentacji postępowania nowej przesłanki wykluczenia. W takim bowiem przypadku, nawet jeżeli zaoferowany zostanie sprzęt lub oprogramowanie objęte negatywną oceną Kolegium na poziomie wysokiego ryzyka, to zamawiający nie będzie miał podstawy do wykluczenia takiego wykonawcy z postępowania. Tymczasem zgodnie z projektowanym przepisem art. 66b podmioty krajowego systemu cyberbezpieczeństwa nie będą mogły wprowadzać do użytkowania sprzętu, oprogramowania i usług stwarzających wysokie ryzyko oraz będą musiały wycofać z użytkowania sprzęt, oprogramowanie i usługi określone w ocenie danego dostawcy sprzętu lub oprogramowania nie później niż 5 lat od dnia ogłoszenia komunikatu o ocenie. Podobnie, te same podmioty w przypadku określenia ryzyka przez Kolegium jako umiarkowanego, nie będą mogły wprowadzać do użytkowania sprzętu, oprogramowania i usług określonych w ocenie danego dostawcy sprzętu lub oprogramowania; będą mogły jedynie kontynuować używanie. Tymczasem wykluczenie, nawet przewidziane w ogłoszeniu o zamówieniu lub dokumentacji postępowania jest związane tylko ze stwierdzeniem wysokiego poziomu ryzyka (nie obejmuje umiarkowanego i niskiego). Trudno sobie wyobrazić nabycie sprzętu lub oprogramowania wbrew zakazowi ustawowemu. W ocenie autora, w takiej sytuacji zamawiający będzie zmuszony rozważyć odrzucenie oferty wykonawcy na podstawie art. 226 ust. 1 pkt. 16 Nowego PZP 16) „jej przyjęcie naruszałoby bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, a tego bezpieczeństwa lub interesu nie można zagwarantować w inny sposób”, ewentualnie w oparciu o pkt. 17) „obejmuje ona urządzenia informatyczne lub oprogramowanie wskazane w rekomendacji, o której mowa w art. 33 ust. 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560), stwierdzającej ich negatywny wpływ na bezpieczeństwo publiczne lub bezpieczeństwo narodowe” stosując go odpowiednio. Powyższe prowadzi do wniosku, że być może lepszym rozwiązaniem byłoby ukształtowanie nowej przesłanki wykluczenia jako obligatoryjnej oraz rozszerzenie jej o wynik oceny Kolegium stwierdzający umiarkowane ryzyko. W tym drugim przypadku większe zastosowanie miałaby procedura samooczyszczenia, gdyż projektowany art. 66a ust. 5 lit. b) definiuje umiarkowane ryzyko jako takie gdzie „zmniejszenie poziomu tego ryzyka możliwe jest przez wdrożenie środków technicznych lub organizacyjnych”, co nie jest możliwe przy ryzyku wysokim.
  • Nie jest też do końca jasne, jak prawidłowo rozumieć znaczenie projektowanego przepisu dotyczącego wykluczenia art. 109 ust. 1 pkt 11).  Wątpliwości budzi, czy wykluczenie będzie dotyczyło wykonawcy, którego dotyczy ocena Kolegium zawsze, nawet gdy w danym przypadku nie ofertuje problematycznego sprzętu czy oprogramowania, czy też będzie się odnosiło tylko do tego konkretnego sprzętu i oprogramowania ?  W ocenie autora właściwa jest druga, łagodniejsza interpretacja. Przesadne wydaje się bowiem eliminowanie podmiotu z rynku, nawet jeżeli zaprzestanie oferowania sprzętu lub oprogramowania, które zostało negatywnie ocenione przez Kolegium.

Wejście w życie nowych przepisów

Zgodnie z Projektem, zmiany dotyczące Nowego PZP wchodzą w życie z dniem 1 stycznia 2021 r.(tj. wraz z wejściem w życie ustawy PZP którą zmieniają). Reszta ustawy wchodzi w życie wcześniej, tj. z dniem 21 grudnia 2020 r.

[1] Wejdzie w życie w dniu 1.01.2021 r.