NIS-2 a zamówienia IT – czy zamawiający musi stosować nowe wymogi?

Pewien zamawiający pyta nas, czy mimo że dyrektywa NIS-2 nie jest zaimplementowana w ustawodawstwie polskim, to kupując systemy informatyczne, ma obowiązek już teraz uwzględnić wynikające z niej wymogi. Chodzi m.in. o zobowiązanie wykonawcy do:

• zapewnienia bezpieczeństwa informacji na wszystkich etapach łańcucha dostaw, w tym poprzez stosowanie odpowiednich polityk i procedur, które minimalizują ryzyko związane z podwykonawcami i dostawcami,
• przedłożenia dowodów stosowania odpowiednich środków ochrony informacji, np. certyfikatu ISO 27001,
• regularnej weryfikacji bezpieczeństwa swoich dostawców oraz
• informowania o wszelkich incydentach dotyczących łańcucha dostaw,
• przedstawienia listy podwykonawców oraz wykorzystywanych komponentów, które mogą mieć wpływ na bezpieczeństwo systemu.

Czy należy je wprowadzić do SWZ już na tym etapie procedury?

Dyrektywa NIS-2 wiąże państwa członkowskie co do celu, a nie bezpośrednio zamawiających czy wykonawców. Dopiero jej transpozycja do prawa polskiego spowoduje powstanie ustawowych obowiązków w zakresie bezpieczeństwa. Do tego czasu zamawiający nie muszą wprowadzać do SWZ wymogów wynikających z dyrektywy.

Jednocześnie nic nie stoi na przeszkodzie, aby – korzystając z instytucji dopuszczonych przez Pzp – zamawiający dobrowolnie wprowadzał do SWZ postanowienia inspirowane NIS-2, o ile są one proporcjonalne i związane z przedmiotem zamówienia.

Mogą to być np.:

• wymogi dotyczące bezpieczeństwa łańcucha dostaw,
• dowody stosowania środków ochrony (np. ISO 27001 lub równoważne),
• obowiązek informowania o incydentach czy przekazania listy podwykonawców i komponentów.

Część wymogów może dotyczyć etapu postępowania, a część – realizacji umowy. Takie podejście podniesie poziom bezpieczeństwa. Nie należy jednak tym samym znacząco i nadmiernie ograniczać konkurencji.