Zmiany Pzp od 3.04.2026 r. – nowe podstawy odrzucenia ofert w związku z cyberbezpieczeństwem

W związku z ogłoszeniem ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa uległ modyfikacji katalog przesłanek odrzucenia oferty wskazany w ustawie z 11 września 2019 r. – Prawo zamówień publicznych. Nowelizacja koncentruje się na zwiększeniu poziomu bezpieczeństwa w zamówieniach publicznych obejmujących produkty, usługi i procesy ICT.

Zmiana rozszerza katalog przesłanek odrzucenia oferty o sytuacje, w których oferowane przez wykonawców rozwiązania i dostawy informatyczne mogą stanowić zagrożenie dla podstawowego interesu bezpieczeństwa państwa.

Zmiana polega na wprowadzeniu obowiązku odrzucenia oferty, jeżeli:

• obejmuje ona produkty, usługi lub procesy ICT, które Pełnomocnik Rządu ds. Cyberbezpieczeństwa uznał w swoich rekomendacjach za stwarzające zagrożenie dla podstawowego interesu bezpieczeństwa państwa (art. 226 ust. 1 pkt 17 ustawy Pzp),
• obejmuje ona produkty, usługi bądź procesy ICT, o których mowa w decyzji w sprawie uznania wykonawcy za dostawcę wysokiego ryzyka wydanej przez ministra ds. informatyzacji (art. 226 ust. 1 pkt 19 ustawy Pzp).

Nowe przesłanki odrzucenia ofert w Pzp ­­­­­– tabela zmian

W praktyce oznacza to, że zamawiający będzie zobowiązany do:

• weryfikacji pochodzenia i charakteru oferowanych rozwiązań ICT,
• analizy ryzyka związanego z cyberbezpieczeństwem już na etapie badania ofert,
• podejmowania decyzji o odrzuceniu oferty w przypadku stwierdzenia zagrożeń.

Produkt ICT oznacza element lub grupę elementów sieci lub systemów informatycznych, zaś usługa ICT polega w pełni lub głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem sieci i systemów informatycznych.

Z kolei proces ICT obejmuje zestaw czynności wykonywanych w celu projektowania, rozwijania, dostarczania lub utrzymywania produktów ICT lub usług ICT [art. 2 pkt 12−13 ww. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA].

Nowelizacja wchodzi w życie 3 kwietnia 2026 r. i – co istotne – znajdzie zastosowanie również do postępowań będących w toku. Oznacza to konieczność szczególnej ostrożności w przypadku postępowań, w których nie podpisano jeszcze umowy z wykonawcą.

W odniesieniu do sprzętu i usług od dostarczonych przez dostawców wysokiego ryzyka zamawiający muszą także wycofać je z użytku w swoich instytucjach w określonych terminach:

• standardowo w ciągu 7 lat,
• w czasie 4 lat − w przypadku krytycznych funkcji sieci i usług komunikacji elektronicznej. 

Podmiot kluczowy lub ważny, który nie wycofa sprzętu lub oprogramowania dostarczanego przez dostawcę wysokiego ryzyka, zapłaci karę w wysokości: 

• od 20.000 zł – w przypadku podmiotu kluczowego, 
• od 15.000 zł – w przypadku podmiotu ważnego.  

Kara będzie mogła zostać zwiększona do 100.000.000 zł, jeśli naruszenie obowiązków będzie powodowało:

• bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi lub
• zagrożenie poważną szkodą majątkową lub poważnym utrudnieniem w świadczeniu usług przez dany podmiot.  

Aby prawidłowo zastosować nowe regulacje, zamawiający powinien:

• przeanalizować, czy przedmiot zamówienia obejmuje elementy ICT,
• uwzględnić ryzyka cyberbezpieczeństwa w dokumentach zamówienia (np. w SWZ), formułując nowe przesłanki odrzucenia ofert,
• przygotować procedury oceny ofert pod kątem nowych przesłanek.

Wykonawcy muszą liczyć się z nowymi obowiązkami, w szczególności:

• koniecznością weryfikacji łańcucha dostaw,
• analizą, czy oferowane rozwiązania nie są objęte ograniczeniami,
• przygotowaniem się na dodatkowe wyjaśnienia dotyczące oferowanych technologii.

Brak odpowiedniej analizy może skutkować odrzuceniem oferty – nawet jeśli spełnia ona pozostałe wymagania zamawiającego.

Chcesz wiedzieć, jak przygotować SWZ i ocenić oferty zgodnie z nowymi przepisami? W przyszłym tygodniu znajdziesz na naszych łamach gotowe opracowania z wzorami dokumentów.