Szanowni Państwo,

uprzejmie informujemy, że 2 marca br. została ogłoszona w Dz. U. pod poz. 252 ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (ustawa nowelizująca), która wprowadza m.in. zmiany w zakresie podstaw odrzucenia ofert, tj. w art. 226 ust. 1 ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych (ustawa Pzp).

Ustawa nowelizująca wchodzi w życie po upływie miesiąca od dnia ogłoszenia, tj. z dniem 3 kwietnia 2026 r.

Cel nowelizacji

Ustawa nowelizująca ustawę Pzp przewiduje w szczególności:

1. nadanie nowego brzmienia pkt 17 w art. 226 ust. 1 ustawy Pzp, zgodnie z którym zamawiający odrzuca ofertę, jeżeli obejmuje ona produkt ICT, usługę ICT lub proces ICT wskazane w rekomendacji, o której mowa w art. 33 ust. 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2026 r. poz. 20 i 252), stwierdzającej ich negatywny wpływ na podstawowy interes bezpieczeństwa państwa;
2. dodanie pkt 19 w art. 226 ust. 1 ustawy Pzp tj. nowej podstawy odrzucenia oferty wskazującej, że zamawiający odrzuca ofertę, jeżeli obejmuje ona produkt ICT, którego typ został określony w decyzji w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, o której mowa w art. 67b ust. 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, lub usługę ICT, lub proces ICT, określone w tej decyzji.

Zmiana art. 226 ust. 1 pkt 17 ustawy Pzp

Zmiana przepisu polega na zastąpieniu sformułowań „urządzenia informatyczne” i „oprogramowanie” pojęciami „produkt ICT”, „usługa ICT” oraz „proces ICT”, zdefiniowanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie).

Zgodnie z art. 2 pkt 12-13 ww. rozporządzenia:

• produkt ICT oznacza element lub grupę elementów sieci lub systemów informatycznych,
• usługa ICT oznacza usługę polegającą w pełni lub głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem sieci i systemów informatycznych, zaś
• proces ICT oznacza zestaw czynności wykonywanych w celu projektowania, rozwijania, dostarczania lub utrzymywania produktów ICT lub usług ICT.

Podobnie jak obecnie, stwierdzenie w rekomendacji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, że dany produkt ICT, usługa ICT lub proces ICT negatywnie wpływa na podstawowy interes bezpieczeństwa państwa, ma stanowić podstawę odrzucenia przez zamawiającego oferty, która obejmuje taki produkt ICT, usługę ICT lub proces ICT.

Zgodnie z dodawanym art. 67a ust. 2 zmienianej ustawy rekomendacje Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa są publikowane na stronie podmiotowej Biuletynu Informacji Publicznej Pełnomocnika.

Nowa podstawa odrzucania ofert w art. 226 ust. 1 pkt 19 ustawy Pzp

Podstawa odrzucania ofert z art. 226 ust. 1 pkt 19  ustawy Pzp znajdzie zastosowanie wobec oferty, obejmującej produkty ICT, usługi ICT lub procesy ICT, złożonej przez wykonawcę, który został uznany za dostawcę wysokiego ryzyka w drodze decyzji ministra właściwego do spraw informatyzacji, wydanej na podstawie art. 67b ust. 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (ustawa o cyberbezpieczeństwie). Minister właściwy do spraw informatyzacji, w drodze decyzji, uznaje dostawcę sprzętu lub oprogramowania oraz podmioty wchodzące w skład grupy kapitałowej, w rozumieniu art. 3 ust. 1 pkt 44 ustawy z dnia 29 września 1994 r. o rachunkowości, w ramach której funkcjonuje dostawca, za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi zagrożenie dla podstawowego interesu bezpieczeństwa państwa.

Obowiązek odrzucenia oferty na podstawie art. 226 ust. 1 pkt 19 jest konsekwencją wprowadzonego w art. 67c ust. 4 ustawy o cyberbezpieczeństwie zakazu nabywania przez podmioty zobowiązane tą ustawą wymienione w art. 67b ust. 1 (w tym podmioty kluczowe i podmioty ważne w rozumieniu ustawy o cyberbezpieczeństwie objęte wykazem, o którym mowa w art. 7 ust. 1 tej ustawy)  typów produktów ICT, rodzajów usług ICT lub konkretnych procesów ICT w zakresie określonym ww. decyzją w sprawie uznania za dostawcę wysokiego ryzyka (art. 67b ust. 15 ustawy o cyberbezpieczeństwie).

Decyzje w sprawach uznania za dostawcę wysokiego ryzyka podlegają ogłoszeniu w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski” oraz są publikowane w Biuletynie Informacji Publicznej na stronie podmiotowej ministra właściwego do spraw informatyzacji, a także na stronie internetowej urzędu obsługującego tego ministra (art. 67b ust. 17 ustawy o cyberbezpieczeństwie).

Ustawa o cyberbezpieczeństwie, zawiera w art. 67c ust. 1 normę ustanawiającą:

• zakaz wprowadzania do użytkowania przez podmioty zobowiązane tą ustawą typów produktów ICT, rodzajów usług ICT i konkretnych procesów ICT w zakresie objętym decyzją w sprawie uznania dostawcy za dostawcę wysokiego ryzyka (art. 67b ust. 15) dostarczanych przez dostawcę wysokiego ryzyka, oraz
• obowiązek wycofania z użytkowania przez podmioty zobowiązane tą ustawą produktów ICT, usług ICT i procesów ICT, nie później niż w terminie 7 lat od dnia ogłoszenia decyzji w Dz.Urz. RP „Monitor Polski”.

W przypadku, gdy zamawiający należący do grupy podmiotów zobowiązanych ustawą o cyberbezpieczeństwie nabył produkt ICT, usługę ICT lub proces ICT przed dniem ogłoszenia ww. decyzji, zgodnie z art. 67c ust. 5 ustawy o cyberbezpieczeństwie, będzie mógł on korzystać z tych produktów ICT, usług ICT lub procesów ICT, jednak nie dłużej niż przez 7 lat od dnia ogłoszenia tej decyzji w Dz.Urz. RP „Monitor Polski”. Natomiast, w przypadku produktów ICT, usług ICT lub procesów ICT wykorzystywanych do wykonywania funkcji krytycznych dla bezpieczeństwa sieci usług, które zostały określone w załączniku nr 3 do ustawy o cyberbezpieczeństwie, możliwy termin korzystania z produktów, usługi i procesów nabytych przed ogłoszeniem decyzji, określony został maksymalnie na 4 lata od dnia jej ogłoszenia.

WEJŚCIE W ŻYCIE USTAWY I PRZEPISY PRZEJŚCIOWE

Podstawy odrzucenia ofert uregulowane w art. 226 ust. 1 pkt 17 i 19 ustawy Pzp oraz zasady dotyczące korzystania z produktów ICT, usług ICT lub procesów ICT wprowadzane ustawą nowelizującą, wejdą w życie 3 kwietnia 2026 r.