Państwa członkowskie UE mają czas do 17 października br. na wdrożenie dyrektywy NIS 2, która zmienia kształt cyberbezpieczeństwa w Unii Europejskiej. Organy administracji publicznej zostały zaliczone do podmiotów objętych regulacją, co oznacza konieczność wprowadzenia zmian w prawie zamówień publicznych. Zmiany dotyczą zarówno szczebla administracji rządowej, jak i jednostek samorządu terytorialnego. 

Pod koniec kwietnia opublikowany został projekt ustawy, który przewiduje m.in. nowe przesłanki odrzucenia oferty z postępowania o udzielenie zamówienia publicznego. Zalicza się do nich:

  • oferty obejmujące produkt ICT, usługę ICT lub proces ICT, wskazane w rekomendacjach Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa dotyczących stosowania urządzeń informatycznych lub oprogramowania, stwierdzających ich negatywny wpływ na bezpieczeństwo publiczne lub bezpieczeństwo narodowe;
  • oferty obejmujące produkt ICT, którego typ został określony w decyzji w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, lub proces ICT, określony w tej decyzji.

Wprawdzie jest to na chwilę obecną jedyna zmiana w ustawie Prawo zamówień publicznych, co nie oznacza, że podmiot publiczny nie powinien uwzględnić także innych kwestii dotyczących cyberbezpieczeństwa, m.in.

  1. Konieczność uwzględnienia tzw. cyberbezpieczeństwa łańcucha dostaw – zarówno na etapie postępowania o udzielenie zamówienia publicznego, jak i na etapie realizacji umowy. Zgodnie z projektem ustawy, podmiot publiczny zobowiązany jest wdrożyć odpowiednie i proporcjonalne do oszacowanego ryzyka środki techniczne, organizacyjne, zapewniające bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi z uwzględnieniem związków pomiędzy dostawcą sprzętu lub oprogramowania;
  2. Obowiązki audytowe w trakcie realizacji umowy – ustawa nakłada obowiązek przeprowadzenia, na własny koszt podmiotu, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi;
  3. Współdziałanie wykonawcy w przypadku wykrycia incydentu cyberbezpieczeństwa;
  4. Konieczność wdrożenia tzw. polecenia zabezpieczającego, do wydania którego uprawniony będzie minister właściwy do spraw informatyzacji w przypadku wystąpienia incydentu krytycznego;
  5. Możliwość rozwiązania umowy np. w przypadku wydania wobec wykonawcy, będącego podmiotem kluczowym, decyzji administracyjnej w przedmiocie nakazania usunięcia naruszenia ustawy, nałożenia kary pieniężnej lub wykreślenia wykonawcy z rejestru działalności regulowanej.

Projekt ustawy jest na etapie prac legislacyjnych, w związku z czym ostateczny kształt może jeszcze ulec zmianie.