Od ponad dwóch lat funkcjonuje w polskim systemie prawnym ustawa o krajowym systemie cyberbezpieczeństwa (dalej: uksc). W ocenie projektodawcy nadszedł już czas, aby na podstawie zebranych doświadczeń w okresie obowiązywania przepisów tej ustawy wprowadzić niezbędne zmiany. Co istotne, będą one miały także wpływ na rynek zamówień publicznych na dostawy sprzętu lub oprogramowania, nabywanych w celu zapewnienia cyberbezpieczeństwa.
Geneza procedowanej nowelizacji
Przepisy uksc wprowadzono do polskiego porządku prawnego w 2018 r. Miało to na celu zapewnienie odporności systemów informacyjnych na działania naruszające poufność, integralność, dostępność oraz autentyczność przetwarzanych danych lub związanych z nimi usług.
Czytaj także: Jak COVID-19 zmienia podejście do bezpieczeństwa w cyberprzestrzeni
Szczególne regulacje znajdują w tym zakresie zastosowanie do podmiotów działających w sektorach krytycznych z punktu widzenia funkcjonowania państwa (np. energetyka, transport, zdrowie).
Planowane zmiany
W związku z sygnalizowanymi przez rynek potrzebami zmian w przepisach uksc, mającymi w szczególności podnieść skuteczność obowiązujących rozwiązań prawnych, projektodawca przygotował obszerny projekt ustawy nowelizującej. Projekt ten został udostępniony na stronach Rządowego Centrum Legislacyjnego 8 września 2020 r. Od tej pory wywołał sporo dyskusji na temat planowanych rozwiązań, szczególnie w kontekście oceny ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa.
Jeżeli tempo procedowania nad ustawą zostanie zachowane, wkrótce projekt ustawy trafi do Sejmu. W związku z tym warto już teraz przyjrzeć się niektórym zagadnieniom w nim zawartym.
Ocena dostawcy...
Projekt nowelizacji uksc odnosi się m.in. do Kolegium ds. Cyberbezpieczeństwa, tj. organu opiniodawczo-doradczego funkcjonującego przy Radzie Ministrów, w skład którego wchodzą m.in. pełnomocnik rządu do spraw cyberbezpieczeństwa, określeni ministrowie, szef Biura Bezpieczeństwa Narodowego, minister koordynator służb specjalnych. Projekt przyznaje Kolegium nowe uprawnienie polegające na przeprowadzeniu oceny ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa podmiotów krajowego systemu cyberbezpieczeństwa.
Podkreślenia wymaga fakt, że powyższa propozycja zmiany stanowi następstwo przyjęcia przez powołaną na podstawie art. 11 ust. 1 dyrektywy NIS Grupę Współpracy dokumentu pt. „Cybersecurity of 5G networks. EU Toolbox of risk mitigating measures".
...w czterostopniowej skali
Dokonana przez Kolegium ocena ryzyka określa je w czterostopniowej skali od (najniższego) poziomu braku zidentyfikowanego ryzyka, poprzez ryzyko niskie, ryzyko umiarkowane, aż do wysokiego ryzyka.
W przypadku tego ostatniego dostawca sprzętu lub oprogramowania zostaje uznany za stanowiącego poważne zagrożenie dla cyberbezpieczeństwa państwa. Same przepisy wskazują, że w tym przypadku mamy do czynienia z rozwiązaniem ostatecznym, a zatem znajdującym zastosowanie tylko wówczas, kiedy zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe.
Zakazany sprzęt i oprogramowanie
W konsekwencji stwierdzenia wysokiego ryzyka podmioty krajowego systemu cyberbezpieczeństwa nie będą mogły wprowadzać do użytkowania sprzętu, oprogramowania oraz usług określonych w ocenie danego dostawcy sprzętu lub oprogramowania. Z kolei dotychczas używany sprzęt, oprogramowanie oraz usługi określone w ocenie, podmioty te będą zobowiązane wycofać z użytkowania w okresie pięciu lat od ogłoszenia komunikatu o ocenie.
Powyższe ma bezpośrednie przełożenie na procedury zakupowe, które mogą być w toku, a które będą (od 1 stycznia 2021 r.) podlegały regulacji nowej ustawy – Prawo zamówień publicznych.
Wykluczenie z przetargu...
W kontekście powyższego procedowany obecnie projekt nowelizacjiukscwprowadza m.in. nową, nieznaną unijnym dyrektywom zamówieniowym, przesłankę wykluczenia wykonawcy z postępowania o udzielenie zamówienia publicznego.
Wprawdzie przepisy unijne (a w ślad za nimi także unijne orzecznictwo) dopuszczają możliwość, aby poszczególne państwa członkowskie Unii Europejskiej w swoich krajowych porządkach prawnych wprowadziły inne (niż te wynikające bezpośrednio z dyrektyw) przesłanki wykluczenia, jednak warunkiem dla powyższego jest zapewnienie przy ich stosowaniu naczelnych zasad prawa unijnego, wśród nich zasady równego traktowania wykonawców, zasady uczciwej konkurencji, zasady przejrzystości czy wreszcie zasady proporcjonalności.
Zgodnie z treścią przywołanej nowelizacji uksc do katalogu przesłanek wykluczenia w nowej ustawie pzp zostałaby wprowadzona krajowa przesłanka wykluczenia, umożliwiająca zamawiającemu wykluczenie z postępowania wykonawcy, który jest dostawcą sprzętu lub oprogramowania, wobec którego stwierdzono wysokie ryzyko w ramach dokonanej przez Kolegium oceny. Ma to eliminować wykonawców, którzy wprawdzie jeszcze nie zawarli umowy na dostawę sprzętu lub oprogramowania, ale akurat biorą udział w postępowaniu o udzielenie zamówienia publicznego, więc potencjalnie mają szansę na zawarcie w niedługim czasie umowy w przedmiocie powyższego.
W konsekwencji otwarte pozostaje pytanie, czy projektowana przesłanka wykluczenia wykonawcy z postępowania spełnia przywołane warunki dla wprowadzenia nieznanej dyrektywom unijnym krajowej przesłanki wykluczenia (tj. równe traktowanie, uczciwa konkurencja, przejrzystość i proporcjonalność)?
...również z innych powodów
Z drugiej strony w obecnie funkcjonującej ustawie – Prawo zamówień publicznych znane są przecież przypadki typowo krajowych przesłanek wykluczenia, np. art. 24 ust. 1 pkt 23 pzp czy art. 24 ust. 1 pkt 13 i 14 w zakresie przestępstw przeciwko wiarygodności dokumentów (art. 270– –277 kodeksu karnego).
Może więc także w przypadku przesłanki wynikającej z projektu ustawy nowelizującej uksc precyzyjne ustalenie warunków (najlepiej z uwzględnieniem orzecznictwa TSUE), na jakich odbywałoby się wykluczenie, wpisywałoby się w cele prawa unijnego?
Lepsze odrzucenie oferty
Zanim jednak ustawodawca określi ramy prawne nowych przepisów w tym zakresie, w pierwszej kolejności wymaga zastanowienia, czy oferowanie „ryzykownego" sprzętu lub oprogramowania powinno stanowić o wykluczeniu wykonawcy z postępowania, czy raczej o odrzuceniu jego oferty?
Podsumowanie
Na korzyść procedowanego projektu nowelizacji z pewnością trzeba zaliczyć samą dyskusję nad zmianami do przepisów uksc.
Nie bez znaczenia pozostaje jednak fakt, że polski prawodawca staje przed wyborem, w ramach którego z jednej strony mamy do czynienia z unijnymi zasadami równego traktowania wykonawców, uczciwej konkurencji, przejrzystości i proporcjonalności, natomiast z drugiej strony – z zobowiązaniem Polski do przyjęcia wobec tzw. dostawców wysokiego ryzyka zasad postępowania wypracowanych w ramach organów UE (Rada Europejska, Komisja Europejska) oraz grupy koordynującej działania państw członkowskich UE, Komisji Europejskiej, a także agencji UE ds. cyberbezpieczeństwa (Grupa Współpracy NIS).
Michał Wojciechowski, adwokat, senior associate w praktyce infrastruktury i energetyki kancelarii Domański Zakrzewski Palinka
Paweł Gruszecki, radca prawny, counsel w praktyce IP
