Kto zastosuje nową przesłankę odrzucenia oferty związaną z cyberbezpieczeństwem?
Czy nowe przesłanki odrzucenia oferty dotyczą wyłącznie podmiotów objętych ustawą o krajowym systemie cyberbezpieczeństwa? Analiza art. 226 ust. 1 pkt 17 i 19 ustawy Pzp wskazuje, że brak jest ograniczenia podmiotowego po stronie zamawiających. Sprawdź, kto i w jakich sytuacjach będzie zobowiązany odrzucić ofertę obejmującą produkty, usługi lub procesy ICT uznane za ryzykowne.
Sprawdź także: Zmiany Pzp od 3.04.2026 r. – nowe podstawy odrzucenia ofert w związku z cyberbezpieczeństwem
Case study: wątpliwości zamawiających co do objęcia nowymi regulacjami
Czy wszyscy zamawiający stosują przesłanki odrzucenia ofert z art. 226 ust. 1 pkt 17 ustawy Pzp, czy tylko zobowiązani do stosowania ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC)? Prawo zamówień publicznych nie wskazuje, że przesłanki te dotyczą tylko podmiotów z art. 4 ustawy KSC. Jednak w rekomendacjach, o których mowa w ww. przepisie, mowa: „Rekomenduję podmiotom Krajowego Systemu Cyberbezpieczeństwa” i jest odnośnik do wspomnianego art. 4.
Jak będzie wyglądała sytuacja w przypadku przesłanki z art. 226 ust. 1 pkt 19 ustawy Pzp? Nie wiemy jeszcze, jak będzie sformułowana decyzja.
Czy w związku z tym, że w obu przesłankach wskazuje się ustawę o KSC, oznacza to, że stosują je wyłącznie zamawiający objęci krajowym systemem cyberbezpieczeństwa?
Nowe zasady odrzucania ofert z uwagi na zagrożenie interesowi bezpieczeństwa państwa
Zgodnie z art. 226 ust. 1 pkt 17 ustawy Pzp zamawiający odrzuca ofertę, jeżeli obejmuje ona produkt ICT, usługę ICT lub proces ICT wskazane w rekomendacji, o której mowa w art. 33 ust. 4 ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2026 r. poz. 20 ze zm.), stwierdzającej ich negatywny wpływ na podstawowy interes bezpieczeństwa państwa.
Zmiana przepisu polega na zastąpieniu sformułowań „urządzenia informatyczne” i „oprogramowanie” pojęciami „produkt ICT”, „usługa ICT” oraz „proces ICT”. Produkty, usługi i procesy ICT zdefiniowano w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2019/881 z 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie).
Natomiast na podstawie art. 226 ust. 1 pkt 19 ustawy Pzp zamawiający odrzuca ofertę, jeżeli obejmuje ona produkt ICT, którego typ został określony w decyzji w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, o której mowa w art. 67b ust. 15 ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, lub usługę ICT, lub proces ICT, określone w tej decyzji.
Obowiązek odrzucenia oferty na podstawie art. 226 ust. 1 pkt 19 ustawy Pzp jest konsekwencją wprowadzonego w art. 67c ust. 4 ustawy o cyberbezpieczeństwie zakazu nabywania przez podmioty zobowiązane tą ustawą wymienione w art. 67b ust. 1 (w tym podmioty kluczowe i podmioty ważne w rozumieniu ustawy o cyberbezpieczeństwie objęte wykazem, o którym mowa w art. 7 ust. 1 tej ustawy) typów produktów ICT, rodzajów usług ICT lub konkretnych procesów ICT w zakresie określonym ww. decyzją w sprawie uznania za dostawcę wysokiego ryzyka (art. 67b ust. 15 ustawy o cyberbezpieczeństwie).
Brak wyraźnych wytycznych w przepisach
W odniesieniu do przesłanek odrzucenia oferty na podstawie art. 226 ust. 1 pkt 17 i 19 ustawy Pzp nie określono wprost, że dotyczą one tylko zamawiających będących podmiotami objętymi przywołanymi w pytaniu przepisami odrębnymi.
Literalne brzmienie przepisów prowadzi zatem do wniosku, że nie ma ograniczenia w ich stosowaniu w odniesieniu do tego, jaki podmiot jest zamawiającym.
Powiązane treści
