iTexa — Zamówienia publiczne ICT
Artykuły

Cyberbezpieczeństwo w zamówieniach publicznych

Wstęp

W dniu 2 marca 2026 r. ogłoszona została nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrażająca dyrektywę NIS2. Nowelizacja zmienia nie tylko przepisy, lecz przede wszystkim zakres odpowiedzialności za cyberbezpieczeństwo. Od 3 kwietnia 2027 r., tj. po upływie roku od wejścia ustawy w życie, cyberbezpieczeństwo przestaje być wyłącznie zadaniem działów IT, a staje się obowiązkiem prawnym kierownika jednostki oraz zarządu. To kierownictwo będzie zobowiązane do zapewnienia funkcjonowania systemu zarządzania bezpieczeństwem informacji i poniesie odpowiedzialność za niewykonanie tych obowiązków. Należy jednak pamiętać, że pewne obowiązki powstają już z dniem wejścia ustawy w życie, tj. 3 kwietnia 2026 r.

Dla jednostek sektora finansów publicznych oraz przedsiębiorców oznacza to konieczność zmiany sposobu przygotowywania i prowadzenia postępowań o udzielenie zamówienia publicznego, w szczególności w obszarze IT i usług cyfrowych.

Co się zmieniło?

Nowelizacja wdraża do polskiego prawa dyrektywę NIS2. Zmiany idą w dwóch głównych kierunkach: znacząco rozszerza się krąg podmiotów objętych obowiązkami oraz zaostrzają się wymagania organizacyjne, techniczne i sprawozdawcze wobec podmiotów objętych regulacją.

Centralną zmianą jest nowa klasyfikacja podmiotów. Ustawa rezygnuje z pojęcia operatorów usług kluczowych i wprowadza dwie nowe kategorie: podmioty kluczowe i podmioty ważne [art. 5 ust. 1–2 UKSC]. Do kategorii tych mogą należeć zarówno zamawiający, jak i wykonawcy realizujący zamówienia publiczne w obszarze usług cyfrowych i IT, o ile spełniają przesłanki ustawowe.

Do pierwszej grupy trafiają duże podmioty z sektorów strategicznych – w tym m.in. instytucje publiczne (ministerstwa, urzędy wojewódzkie, starostwa powiatowe i niektóre urzędy gminy), a jeśli chodzi o wykonawców – dostawcy infrastruktury krytycznej, operatorzy komunikacji elektronicznej, dostawcy DNS, chmury obliczeniowej, centrów przetwarzania danych, usług zaufania i zarządzanych usług cyberbezpieczeństwa.

Druga grupa obejmuje podmioty istotne dla gospodarki i społeczeństwa, które nie spełniają progów dla podmiotów kluczowych, ale których ciągłość działania ma znaczenie dla funkcjonowania państwa i rynku. Istnieje istotna różnica prawna między tymi grupami: wobec podmiotów kluczowych nadzór może być prowadzony zarówno ex ante, jak i ex post; wobec podmiotów ważnych – wyłącznie ex post.

Kwalifikacja nie zależy wyłącznie od wielkości podmiotu, ponieważ ustawa przewiduje także kategorie objęte regulacją niezależnie od skali działalności.

Ustawa rozbudowuje też słownik pojęć – i to znacząco. Pojawiają się definicje cyberzagrożenia, podatności, incydentu poważnego, incydentu na dużą skalę, a także dostawców chmury, usług zarządzanych, platform handlowych, DNS, centrów przetwarzania danych i platform społecznościowych.

UKSC odsyła w tym zakresie do definicji cyberbezpieczeństwa z art. 2 pkt 1 rozporządzenia 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (akt o cyberbezpieczeństwie). Cyberbezpieczeństwo definiuje się już nie jako „odporność systemów informacyjnych”, lecz jako „działania niezbędne do ochrony sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób przed cyberzagrożeniami”. Regulacja przestaje dotyczyć wyłącznie klasycznej infrastruktury krytycznej i administracji – obejmuje teraz cały ekosystem usług cyfrowych.

Podmioty kluczowe i ważne mają obowiązek wpisać się do specjalnego wykazu prowadzonego przez ministra właściwego ds. informatyzacji. Wykaz jest szczegółowy: dane identyfikacyjne i kontaktowe, sektor działalności, domeny i adresy IP, osoby odpowiedzialne za cyberbezpieczeństwo, informacje o zewnętrznych dostawcach. Wpis to nie jest jednorazowa formalność – dane muszą być aktualizowane przy każdej zmianie. Podmioty spełniające przesłanki uznania za podmiot kluczowy lub ważny na dzień wejścia w życie ustawy mają sześć miesięcy na złożenie wniosku o wpis, tj. do 3 października 2026 r., i dwanaście miesięcy na pełne wdrożenie obowiązków, tj. do 3 kwietnia 2027 r.

Równolegle ustawa wzmacnia nadzór państwa. Organy właściwe mogą prowadzić czynności sprawdzające, wpisywać podmioty do wykazu z urzędu, weryfikować dane i nakładać kary. Rozbudowano też system wymiany informacji o incydentach i zagrożeniach – między podmiotami a CSIRT MON, CSIRT NASK, CSIRT GOV i CSIRT sektorowymi. Nadzór przestał być reaktywny – staje się stały i systemowy.

Doprecyzowano zasady reagowania na incydenty. Podmioty mogą teraz analizować ruch sieciowy i identyfikować źródła zagrożeń – co wcześniej pozostawało w prawnej szarej strefie. Rozszerzono regulacje dotyczące incydentów poważnych oraz tych o charakterze transgranicznym lub dużej skali.

Osobną kwestią jest jurysdykcja. Ustawa wprowadza przepisy o ustalaniu głównego miejsca prowadzenia działalności w UE dla dostawców usług cyfrowych oraz obowiązek wyznaczenia przedstawiciela w Unii przez podmioty spoza UE świadczące usługi w Polsce. Chodzi o jedno: każdy podmiot działający na polskim rynku musi mieć jasno określony organ nadzoru.

Sumę tych zmian można ująć następująco: cyberbezpieczeństwo stało się obowiązkiem prawnym o charakterze systemowym – nie wyłącznie zadaniem działu IT, lecz obowiązkiem całej organizacji i jej kierownictwa.

Wpływ zmian na system zamówień publicznych

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa w istotny sposób wpływa na rynek zamówień publicznych. Wymagania cyberbezpieczeństwa muszą zostać uwzględnione w:

  • opisie przedmiotu zamówienia,
  • warunkach udziału w zamówieniu,
  • kryteriach oceny ofert,
  • projektowanych postanowieniach umowy.

Zakup systemu IT, usług chmurowych, usług utrzymaniowych czy usług cyberbezpieczeństwa oznacza jednocześnie realizację obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa. Zamawiający odpowiada za to, aby nabywany system spełniał wymagania bezpieczeństwa określone w przepisach prawa.

1) Opis przedmiotu zamówienia

Wymagania z art. 8 UKSC dotyczące wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) powinny znajdować bezpośrednie odzwierciedlenie w specyfikacji warunków zamówienia. Oznacza to, że opis przedmiotu zamówienia na system IT w praktyce powinien określać co najmniej wymogi dotyczące:

  • zarządzania ryzykiem,
  • obsługi i zgłaszania incydentów,
  • ciągłości działania i odtwarzania po awarii,
  • bezpieczeństwa łańcucha dostaw, a także
  • stosowanych mechanizmów kryptograficznych i kontroli dostępu.

Zamawiający, który tych wymagań nie postawi, nie będzie mógł skutecznie egzekwować ich od wykonawcy po podpisaniu umowy.

2) Warunki udziału

Zdolność techniczna i zawodowa wykonawcy powinna być weryfikowana przez pryzmat wymogów UKSC. Zamawiający może – a w odniesieniu do zamówień wrażliwych powinien co do zasady rozważyć wprowadzenie wymagania przedstawienia certyfikatów i atestów bezpieczeństwa, wyników audytów lub potwierdzenia posiadania wdrożonego SZBI. Tu warto wskazać na rolę certyfikacji prowadzonej na podstawie unijnych programów ustanowionych przez ENISA zgodnie z aktem o cyberbezpieczeństwie. Certyfikaty wydane w ramach tych programów mogą stać się formalnym dowodem spełnienia wymagań cyberbezpieczeństwa w postępowaniach o zamówienie publiczne, co przewiduje art. 24 dyrektywy NIS2. Certyfikaty te mają jednak charakter dobrowolny (o ile właściwy organ nie wprowadzi obowiązku w drodze aktu delegowanego).

Zbieżną ścieżkę otwiera ustawa z dnia 25 czerwca 2025 r. o krajowym systemie certyfikacji cyberbezpieczeństwa (UKSCC), która tworzy polskie ramy akredytowania i certyfikowania produktów, usług i procesów ICT w oparciu o europejskie programy certyfikacji.

3) Kryteria oceny ofert

Nowelizacja UKSC powoduje, że w postępowaniach dotyczących systemów informacyjnych, usług IT, usług chmurowych, utrzymania systemów oraz usług cyberbezpieczeństwa cena nie powinna być jedynym, a często także nie dominującym kryterium oceny ofert. W takich zamówieniach jakość i poziom bezpieczeństwa rozwiązania mają bezpośredni wpływ na możliwość spełnienia przez zamawiającego obowiązków ustawowych.

W postępowaniach dotyczących systemów IT i usług cyfrowych zamawiający może stosować w szczególności kryteria odnoszące się do:

  • poziomu bezpieczeństwa oferowanego rozwiązania,
  • sposobu zarządzania bezpieczeństwem informacji u wykonawcy,
  • sposobu realizacji obowiązków w zakresie obsługi incydentów,
  • zapewnienia ciągłości działania i odtwarzania po awarii,
  • bezpieczeństwa aktualizacji i zarządzania podatnościami,
  • bezpieczeństwa łańcucha dostaw, w tym zasad korzystania z podwykonawców,
  • doświadczenia personelu wykonawcy w realizacji usług dla podmiotów kluczowych lub ważnych,
  • posiadanych certyfikatów cyberbezpieczeństwa dla produktów, usług lub procesów.

Zamawiający powinien przy tym tak konstruować kryteria oceny ofert, aby możliwe było ich obiektywne porównanie, na przykład poprzez ocenę:

  • czasu reakcji na incydent,
  • czasu usunięcia podatności,
  • maksymalnego dopuszczalnego czasu niedostępności systemu,
  • częstotliwości wykonywania testów bezpieczeństwa,
  • zakresu monitorowania bezpieczeństwa,
  • liczby i kwalifikacji personelu odpowiedzialnego za cyberbezpieczeństwo.

Wprowadzenie kryteriów odnoszących się do cyberbezpieczeństwa pozwala zamawiającemu nie tylko wybrać ofertę najkorzystniejszą ekonomicznie, ale również ograniczyć ryzyko wyboru wykonawcy, który nie będzie w stanie spełnić obowiązków wynikających z UKSC.

4) Klauzule umowne

Na tle nowych przepisów umowa w sprawie zamówienia publicznego dotycząca systemów informacyjnych, usług IT, usług chmurowych, utrzymania systemów lub usług cyberbezpieczeństwa staje się jednym z podstawowych narzędzi realizacji obowiązków ustawowych. Często bowiem to postanowienia umowy, a nie sam opis przedmiotu zamówienia, decydują o tym, czy zamawiający będzie w stanie wywiązać się z obowiązków w zakresie cyberbezpieczeństwa.

W umowie powinny znaleźć się postanowienia dotyczące w szczególności:

  • obowiązku niezwłocznego informowania zamawiającego o incydencie bezpieczeństwa,
  • obowiązku współpracy przy obsłudze incydentu, w tym przekazywania informacji, logów i innych danych niezbędnych do analizy incydentu,
  • obowiązku współpracy z właściwymi zespołami CSIRT,
  • określenia maksymalnego czasu reakcji na incydent oraz czasu usunięcia incydentu,
  • obowiązku stosowania określonych środków technicznych i organizacyjnych w zakresie bezpieczeństwa,
  • obowiązku informowania o wykrytych podatnościach,
  • zasad zarządzania aktualizacjami i poprawkami bezpieczeństwa,
  • prawa zamawiającego do przeprowadzenia audytu bezpieczeństwa u wykonawcy,
  • zasad korzystania z podwykonawców oraz obowiązków wykonawcy w zakresie weryfikacji bezpieczeństwa podwykonawców,
  • zasad dostępu do systemu i zarządzania uprawnieniami,
  • zasad przekazania danych i dostępu do systemu po zakończeniu umowy,
  • obowiązku usunięcia lub zwrotu danych po zakończeniu umowy,
  • odpowiedzialności wykonawcy za naruszenie wymagań bezpieczeństwa.

Szczególne znaczenie mają postanowienia dotyczące obsługi incydentów. Podmiot kluczowy lub podmiot ważny ma ustawowy obowiązek zgłaszania incydentów poważnych w określonych terminach oraz współpracy z właściwymi organami i CSIRT. Jeżeli wykonawca nie przekaże informacji o incydencie lub przekaże je z opóźnieniem, zamawiający może nie wykonać obowiązku ustawowego i ponieść karę pieniężną.

5) Łańcuch dostaw

Ustawa wprowadza obowiązek zarządzania bezpieczeństwem łańcucha dostaw, w tym oceny cyberbezpieczeństwa dostawców produktów i usług ICT [art. 8 ust. 1 pkt 2 lit. e UKSC]. W praktyce zamówieniowej oznacza to, że zamawiający powinien wymagać od wykonawcy informacji o podwykonawcach. W szczególności dotyczy to tych podwykonawców obsługujących systemy krytyczne. Zamawiający powinien także zastrzec sobie prawo do weryfikacji ich statusu regulacyjnego.

6) Status podmiotu kluczowego/ważnego

Każdy zamawiający i wykonawca należący do kategorii podmiotów kluczowych lub ważnych musi być wpisany do właściwego wykazu. Przy realizacji zamówień publicznych oznacza to konieczność stałego monitorowania statusu – zarówno własnego, jak i partnera kontraktowego. Zmiana statusu wykonawcy w trakcie realizacji zamówienia może uruchamiać nowe obowiązki po obu stronach stosunku umownego.

7) Odrzucenie oferty (high risk vendor)

Zmiany w UKSC pociągnęły za sobą zmiany w ustawie z dnia 11 września 2019 r. – Prawo zamówień publicznych. Rozszerzono katalog obligatoryjnych podstaw odrzucenia oferty o przypadek, gdy oferta obejmuje produkty ICT lub usługi ICT objęte decyzją uznającą dostawcę za dostawcę wysokiego ryzyka [art. 226 ust. 1 pkt 19 PZP], albo gdy wskazane produkty lub usługi figurują w rekomendacji Pełnomocnika Rządu ds. Cyberbezpieczeństwa jako wywierające negatywny wpływ na podstawowy interes bezpieczeństwa państwa [art. 226 ust. 1 pkt 17 PZP]. Dla zamawiającego to nie opcja – to obowiązek odrzucenia takiej oferty.

Zamawiający musi badać przesłanki odrzucenia w granicach stanu prawnego i dostępnych aktów/rekomendacji obowiązujących na dzień oceny oferty.

8) Wniosek: zamówienia = narzędzie realizacji UKSC

Zamówienia publiczne stały się głównym narzędziem realizacji obowiązków z UKSC. Zakup systemu IT, usług chmurowych, utrzymaniowych czy cyberbezpieczeństwa – każde z tych postępowań jest teraz jednocześnie decyzją regulacyjną. Opis przedmiotu zamówienia, warunki udziału i postanowienia umowy decydują o tym, czy zamawiający wywiąże się z ustawy – albo narazi się na karę.

Odpowiedzialność i kary pieniężne

Nowe przepisy przesuwają odpowiedzialność za cyberbezpieczeństwo na sam szczyt organizacji. Dział IT przestaje być jedynym adresatem obowiązków – staje się nim kierownik jednostki lub zarząd. To zmiana fundamentalna: nie techniczna, lecz ustrojowa.

W jednostkach sektora finansów publicznych odpowiedzialnym jest kierownik jednostki – wójt, burmistrz, prezydent miasta, starosta, marszałek województwa, dyrektor szpitala. W przedsiębiorstwach – zarząd spółki lub inny organ zarządzający.

Ustawa nowelizująca całkowicie przebudowuje rozdział 14 UKSC, zastępując dotychczasowy system kar o stałych kwotach modelem opartym na przychodach podmiotu i kategorii naruszenia. Przepisy karne stosuje się po raz pierwszy po upływie dwóch lat od wejścia w życie ustawy nowelizującej UKSC, tj. najwcześniej 3 kwietnia 2028 r.

1) Kary dla podmiotów (zamawiających i wykonawców)

Podmiot kluczowy podlega karze pieniężnej w wysokości do 10 000 000 EUR lub do 2% łącznego rocznego światowego przychodu z działalności gospodarczej w roku obrotowym poprzedzającym wydanie decyzji o karze – stosuje się kwotę wyższą. Minimalna kara wynosi 20 000 zł. Podmiot ważny podlega karze do 7 000 000 EUR lub do 1,4% łącznego rocznego światowego przychodu – stosuje się kwotę wyższą; minimalna kara wynosi 15 000 zł [art. 73 ust. 3 i 4 UKSC].

Katalog naruszeń obejmuje m.in.: niezłożenie wniosku o wpis do wykazu podmiotów kluczowych lub ważnych, niewdrożenie SZBI, niestosowanie środków technicznych i organizacyjnych, niezgłoszenie incydentu poważnego do właściwego CSIRT (wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie właściwe w ciągu 72 godzin, sprawozdanie końcowe w ciągu miesiąca), niewyznaczenie osoby do kontaktu z podmiotami KSC, nieprzeprowadzenie audytu bezpieczeństwa oraz utrudnianie lub uniemożliwianie wykonywania czynności kontrolnych [art. 73 ust. 1 UKSC].

2) Kara nadzwyczajna

Jeżeli naruszenie przepisów przez podmiot kluczowy albo ważny powoduje bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi, albo zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług, organ właściwy nakłada karę pieniężną do 100 000 000 zł [art. 73 ust. 5 UKSC].

3) Kary dla kierowników

Kierownik podmiotu kluczowego lub ważnego z sektora prywatnego podlega karze do 300% jego miesięcznego wynagrodzenia, natomiast kierownik podmiotu publicznego – do 100% wynagrodzenia miesięcznego. Kara dla kierownika jest nakładana niezależnie od kary nałożonej na podmiot. Powierzenie wykonywania obowiązków z zakresu cyberbezpieczeństwa innej osobie nie zwalnia kierownika z odpowiedzialności [art. 73a UKSC].

4) Kary okresowe

Kryteria wymiaru kary uwzględniają m.in.: wagę naruszenia, czas jego trwania, umyślność lub nieumyślność, rozmiar spowodowanej szkody, stopień współpracy podmiotu z organem oraz wcześniejsze naruszenia [art. 76a ust. 1 UKSC]. Niezależnie organ właściwy może nakładać kary pieniężne za każdy dzień opóźnienia w wykonaniu nałożonego obowiązku, w wysokości od 500 do 100 000 zł dziennie [art. 76b UKSC].

Zły wybór wykonawcy, umowa bez klauzul bezpieczeństwa, system niespełniający wymogów ustawy: każdy z tych błędów to nie tylko problem prawny podmiotu, lecz ryzyko osobiste dla kierownika jednostki lub członka zarządu.

Ważne akty wykonawcze i uchwały

Jeszcze przed wejściem w życie nowelizacji UKSC, w dniu 28 sierpnia 2025 r., weszła w życie ustawa z dnia 25 czerwca 2025 r. o krajowym systemie certyfikacji cyberbezpieczeństwa (UKSCC). Ustawa implementuje do polskiego prawa mechanizmy certyfikacji wynikające z aktu o cyberbezpieczeństwie. W opracowaniu znajduje się schemat „Firma Bezpieczna Cyfrowo” skierowany do sektora MŚP.

Ponadto trwają prace nad rządowym projektem ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw, który wprowadza znaczące zmiany w UKSC (łącznie 33 zmiany).

Na poziomie unijnym od 18 października 2024 r. obowiązuje Rozporządzenie Wykonawcze Komisji (UE) 2024/2690, ustanawiające techniczne i metodologiczne wymagania środków zarządzania ryzykiem w cyberbezpieczeństwie dla wybranych podmiotów kluczowych z sektorów cyfrowych.

Na podstawie art. 68 UKSC Rada Ministrów przyjęła uchwałę w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Wnioski praktyczne

Zakres zmian związanych z wejściem w życie znowelizowanej UKSC jest ogromny i zapewne trudny do ogarnięcia, szczególnie przez stosunkowo małe podmioty. Bez specjalistycznych szkoleń dostosowanie się do wszystkich wymogów będzie dla wielu podmiotów niezwykle trudne.

Nowelizacja UKSC zamyka pewien etap – ten, w którym cyberbezpieczeństwo było wyłącznie problemem informatyków. Od teraz jest to zagadnienie prawne, organizacyjne i zarządcze, a jego ciężar spoczywa na kierowniku jednostki lub zarządzie.

Przekłada się to na cztery konkretne obowiązki:

  • uwzględnienie wymogów bezpieczeństwa w opisie przedmiotu zamówienia,
  • weryfikacja zdolności wykonawcy do działania w reżimie UKSC,
  • wprowadzenie do umów klauzul dotyczących incydentów i współpracy z CSIRT,
  • traktowanie cyberbezpieczeństwa jako stałego elementu zarządzania ryzykiem kontraktowym.

Najważniejsza zmiana jest prostsza niż jakikolwiek przepis: za błąd w tym obszarze odpowie teraz nie informatyk, lecz burmistrz, dyrektor, prezes. Cyberbezpieczeństwo, zamówienia publiczne i odpowiedzialność kierownictwa to od dziś jeden system – i żaden z jego elementów nie działa w oderwaniu od pozostałych.