W dniu 6 czerwca 2023 r. Rada Ministrów przyjęła projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. W dniu 7 czerwca 2023 r. nowa wersja projektu została opublikowana na stronach Biuletynu Informacji Publicznej ministra cyfryzacji. Proponowana nowelizacja ma na celu poprawę odporności na cyberzagrożenia w związku z nabywanym sprzętem, oprogramowaniem i usługami ICT.
Jeżeli nowelizacja zostanie uchwalona, pojawi się nowa regulacja o postępowaniu w sprawie uznania przedsiębiorcy za dostawcę wysokiego ryzyka, mająca potencjalnie znaczny wpływ na rynek zamówień publicznych w branży ICT.
Dostawca wysokiego ryzyka
W treści nowelizacji proponuje się dodanie do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa art. 66a, w którym przewidziano postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Nie ulega wątpliwości, że odporność na cyberzagrożenia zależy w dużym stopniu od bezpieczeństwa sprzętu czy oprogramowania, z tego względu wprowadzenie nowych przepisów umożliwiających nakazanie wycofywania z eksploatacji określonych produktów jest zrozumiałe.
Czytaj więcej:
Postępowanie będzie wszczynał i prowadził minister właściwy do spraw informatyzacji z własnej inicjatywy bądź na wniosek przewodniczącego Kolegium do spraw Cyberbezpieczeństwa, którym jest prezes Rady Ministrów. Uznanie za dostawcę wysokiego ryzyka nastąpi w drodze decyzji administracyjnej, jeżeli zostanie stwierdzone, że dostawca stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi. Z przepisów zdaje się wynikać, że decyzja ma mieć charakter podmiotowy i przedmiotowy jednocześnie, gdyż będzie oceniany konkretny dostawca i konkretny dostarczony przez niego produkt wykorzystywany przez wskazane w nowelizacji podmioty. Warto podkreślić, że nowelizacja zawiera definicję dostawcy, za którego uznaje się producenta, upoważnionego przedstawiciela, importera lub dystrybutora, o których mowa w art. 2 pkt 3–6 rozporządzenia 765/2008 .
Odrzucenie oferty
Ponadto z projektu nowego przepisu art. 226 ust. 1 pkt 19 ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych, który przewiduje odrzucenie oferty przez zamawiającego, jeżeli „obejmuje ona produkt ICT, którego typ został określony w decyzji w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, […] oraz usługę ICT lub proces ICT, określone w tej decyzji”, wynika literalnie, że zamawiający będą mieli zakaz nabywania sprzętu, oprogramowania i usług określonych w decyzji, bez względu na to, kto będzie wykonawcą, gdyż przepis wskazuje na przedmiotowy charakter decyzji o odrzuceniu oferty.
Wymaga podkreślenia, że postępowanie nie będzie dotyczyło wszystkich produktów, usług i procesów ICT pochodzących od konkretnego dostawcy sprzętu lub oprogramowania, lecz tylko tych, które są wykorzystywane przez wskazane w nowelizacji podmioty, tj podmioty krajowego systemu cyberbezpieczeństwa; przedsiębiorcy komunikacji elektronicznej obowiązani posiadać aktualne i uzgodnione i wprowadzone plany działań w sytuacjach szczególnych zagrożeń oraz właściciele lub posiadacze obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym. Jeżeli któryś z ww. podmiotów będzie wykorzystywał lub zamierzał wykorzystywać sprzęt lub oprogramowanie, które obejmie decyzja o uznaniu za dostawcę wysokiego ryzyka, to wydanie decyzji mu tu uniemożliwi. Nie będzie on mógł wprowadzić do użytkowania typów produktów, rodzajów usług i konkretnych procesów ICT w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka oraz będzie musiał wycofać już użytkowane w czasie wskazanym w ustawie. Warto podkreślić, że wśród podmiotów krajowego systemu cyberbezpieczeństwa znajduje się wielu zamawiających publicznych, jak przykładowo jednostki sektora finansów publicznych.
Przed wydaniem decyzji minister będzie miał obowiązek zwrócić się o wydanie opinii do Kolegium, które będzie miało na to trzy miesiące. W skład Kolegium wchodzą ministrowie kluczowi dla bezpieczeństwa państwa, a także szefowie służb specjalnych. Będą więc w stanie pozyskać niezbędne informacje do oceny dostawcy od swoich jednostek podległych lub nadzorowanych.
Opinia będzie musiała zawierać analizę w zakresie zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, w tym także ocenę prawdopodobieństwa, z jakim dostawca znajduje się pod kontrolą państwa spoza terytorium UE lub NATO, z uwzględnieniem jego otoczenia regulacyjnego, faktycznego stosowania prawa (np. ochrona danych osobowych), jego struktury własnościowej. Badane będą powiązania dostawcy z podmiotami określonymi w załączniku do rozporządzenia Rady (UE) 2019/796 z dnia 17 maja 2019 r. w sprawie środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim (podmioty odpowiedzialne za cyberataki, ich finansowanie etc.).
Wymaga podkreślenia, że będą brane pod uwagę również aspekty czysto techniczne, jak liczba i rodzaje wykrytych podatności i incydentów oraz sposobu i czasu ich eliminowania czy nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania. Kolegium weźmie pod uwagę certyfikaty dla sprzętu i oprogramowania oraz treści istniejących rekomendacji, jeżeli takie były wydane. Nie można zatem wykluczyć, że decyzja ministra może zostać podjęta jedynie na podstawie aspektów technicznych oferowanego sprzętu lub oprogramowania.
Procedura wydania decyzji
Uznanie za dostawcę wysokiego ryzyka nastąpi w decyzji administracyjnej. Zastosowanie znajdą przepisy kodeksu postępowania administracyjnego, ale w ograniczonym zakresie. Stroną postępowania będzie tylko podmiot, którego dotyczy postępowanie, wykluczony będzie udział organizacji społecznych czy podmiotów, które używają produktów objętych weryfikacją. W drodze wyjątku do postępowania będzie mógł przystąpić na prawach strony przedsiębiorca komunikacji elektronicznej, ale tylko taki, który w poprzednim roku obrotowym uzyskał przychód z tytułu prowadzenia działalności telekomunikacyjnej w wysokości co najmniej 20-tys. krotności przeciętnego wynagrodzenia w gospodarce narodowej.
Zawiadomienie o wszczęciu postępowania wobec dostawcy, który ma siedzibę na terytorium UE, Konfederacji Szwajcarskiej, państwa członkowskiego EFTA (strony umowy o EOG) będzie doręczane na zasadach ogólnych wynikających z KPA. Kontrowersje wzbudza zawiadamianie firm mających siedzibę w państwach trzecich, gdyż nastąpi ono poprzez opublikowanie informacji o wszczęciu postępowania w BIP. Zatem może dojść do sytuacji, w której dana firma nie będzie w ogóle świadoma toczącego się wobec niej postępowania i wydania przedmiotowej decyzji.
Nowelizacja wyłącza zastosowanie przepisów KPA o udziale strony w przeprowadzeniu dowodu, a wydana decyzja będzie natychmiastowo wykonalna bez możliwości złożenia wniosku o ponowne rozpoznanie sprawy. Dostawca zachowa jedynie prawo do złożenia skargi do wojewódzkiego sądu administracyjnego, ale w czasie trwania postępowania wykonanie decyzji nie będzie wstrzymane.
Wydana decyzja będzie zawierała wskazanie typów produktów ICT, rodzajów usług ICT i konkretnych procesów ICT pochodzących od dostawcy sprzętu lub oprogramowania uwzględnionych w postępowaniu w sprawie uznania za dostawcę wysokiego ryzyka.
Decyzja będzie ogłaszana w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski” oraz udostępniana w BIP ministra oraz na stronie internetowej obsługującego go urzędu.
Konsekwencje wydania decyzji
Konsekwencje będą poważne, gdyż może dojść do wykluczenia określonego sprzętu lub oprogramowania z rynku. W przypadku postępowań o udzielenie zamówienia publicznego zamawiający nie będą mogli nabywać sprzętu, oprogramowania ani usług określonych w decyzji oraz będą mogli korzystać z produktu, usługi lub procesu nabytego wcześniej przez okres nie dłuższy niż siedem lat od dnia ogłoszenia lub udostępnienia informacji o decyzji, a w przypadku sprzętu wykorzystywanego do wykonywania funkcji krytycznych określonych w załączniku nr 3 do ustawy, przez okres nie dłuższy niż pięć lat. Do czasu wycofania sprzętu lub oprogramowania dopuszcza się dalsze użytkowanie jedynie w zakresie naprawy, modernizacji, wymiany elementu lub aktualizacji, jeśli jest to niezbędne dla zapewnienia odpowiedniej jakości i ciągłości świadczonych usług, w szczególności dokonywania niezbędnych napraw awarii lub uszkodzeń.
Postulaty
Na koniec warto wskazać, że projekt nowelizacji zawiera kilka rozwiązań budzących wątpliwości. Brak w nowelizacji przejrzystych wytycznych uznania za dostawcę wysokiego ryzyka. Projekt nadaje znaczną arbitralną władzę ministrowi i Kolegium, a jednocześnie prawo przedsiębiorcy do obrony jest bardzo ograniczone. W ocenie autora nowelizacja powinna postawić nieco większy nacisk na zadbanie o prawa podmiotu objętego postępowaniem. W szczególności pożądane jest przewidzenie możliwości podjęcia natychmiastowych działań naprawczych (np. modyfikacja sprzętu czy oprogramowania), których zrealizowanie w określonym czasie powodowałoby zaniechanie wydania decyzji i zakończenie postępowania lub uchylenie wydanej już decyzji.
Tomasz Krzyżanowski, radca prawny, Senior Associate z zespołu zamówień publicznych kancelarii Domański Zakrzewski Palinka
