Czy są już decyzje o uznaniu dostawcy za dostawcę wysokiego ryzyka?
Na dzień 6 maja 2026 r. nie opublikowano jeszcze żadnej decyzji ministra ds. informatyzacji o uznaniu dostawcy sprzętu lub oprogramowania (ICT) za dostawcę wysokiego ryzyka. Takich decyzji należy szukać w „Monitorze Polskim”, w BIP ministra właściwego do spraw informatyzacji oraz na stronie internetowej urzędu obsługującego tego ministra. Sama procedura jest wieloetapowa i wymaga m.in. udziału Kolegium do Spraw Cyberbezpieczeństwa, dlatego nie należy zakładać, że pierwsze decyzje pojawią się natychmiast po wejściu w życie nowych przepisów. Ministerstwo Cyfryzacji wskazuje, że decyzja ma charakter zindywidualizowany i dotyczy konkretnego dostawcy oraz określonego sprzętu lub oprogramowania, a nie całego rynku ani państwa pochodzenia dostawcy. W opracowaniu odpowiadamy na pytanie jednego z naszych użytkowników, który zamawia przedmioty obejmujące określone rozwiązanie ICT, o stosowne decyzje oraz źródła, w których można je odnaleźć.
Na dzień udzielania odpowiedzi (06.05.2026 r.) nie została opublikowana żadna decyzja ministra ds. informatyzacji o uznaniu dostawcy za dostawcę wysokiego ryzyka. Biorąc pod uwagę stopień skomplikowania procedury poprzedzającej decyzję oraz liczbę podmiotów biorących w niej udział, nie należy spodziewać się takiej publikacji w najbliższym miesiącu.
Postępowanie w sprawie wydania decyzji
Procedura poprzedzająca podjęcie przez ministra decyzji o uznaniu dostawcy sprzętu lub oprogramowania, które są wykorzystywane przez:
- podmioty kluczowe lub podmioty ważne, z wyłączeniem podsektora komunikacji elektronicznej,
- przedsiębiorców komunikacji elektronicznej, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były wyższe od kwoty 10 milionów złotych,
- podmioty finansowe, z wyłączeniem podmiotów określonych w art. 16 rozporządzenia 2022/2554,
za dostawcę wysokiego ryzyka, została opisana w art. 67b ustawy o krajowym systemie cyberbezpieczeństwa.
Analiza tego przepisu wskazuje, że należy się spodziewać procedury skomplikowanej i długotrwałej. Jak podaje art. 67b ust. 2 o krajowym systemie cyberbezpieczeństwa do postępowania w sprawie uznania za dostawcę wysokiego ryzyka, co do zasady, stosuje się przepisy Kodeksu postępowania administracyjnego.
Udział w postępowaniu będzie brało wiele podmiotów wykonujących na kolejnych etapach konkretne czynności, w tym minister ds. informatyzacji, Kolegium ds. Cyberbezpieczeństwa, Prokurator Generalny, Prezes Urzędu Ochrony Konkurencji i Konsumentów oraz organizacje społeczne.
Te okoliczności będą generowały długotrwały proces podejmowania ostatecznej decyzji przez właściwy organ. Nie należy się zatem spodziewać, że decyzje takie zostaną podjęte i opublikowane w ciągu najbliższych miesięcy.
Gdzie szukać stosownych decyzji?
Minister właściwy do spraw informatyzacji (aktualnie Minister Cyfryzacji) decyzję, o której mowa w ust. 15 ustawy:
- ogłasza w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski” oraz
- publikuje na stronie podmiotowej Biuletynu Informacji Publicznej ministra właściwego do spraw informatyzacji, a także
- umieszcza na stronie internetowej urzędu obsługującego tego ministra (zgodnie z art. 67b ust. 17 ustawy o krajowym systemie cyberbezpieczeństwa).
Są to zatem miejsca, gdzie należy poszukiwać obowiązujących i wiążących decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka.
Sprawdź także:
- Ocena ofert krok po kroku według nowych przesłanek odrzucenia ofert (ICT) + zapisy SWZ
- Zmiany Pzp od 3.04.2026 r. – nowe podstawy odrzucenia ofert w związku z cyberbezpieczeństwem
- Kto zastosuje nową przesłankę odrzucenia oferty związaną z cyberbezpieczeństwem?
- Wzór postanowień SWZ w zakresie oceny ofert z zastosowaniem nowej przesłanki odrzucenia ofert (ICT, cyberbezpieczeństwo)
Podstawa prawna
- art. 67b ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (tekst jedn.: Dz.U. z 2026 r. poz. 20 ze zm.).
Powiązane treści
