Ustawa zawiera katalog przesłanek odrzucenia oferty, wprowadzając nowe pojęcia: „produkt ICT”, „usługa ICT” oraz „proces ICT”. Jeśli Pełnomocnik Rządu ds. Cyberbezpieczeństwa stwierdzi w swojej rekomendacji, że wymienione produkty, usługi czy procesy ICT oddziałują negatywnie na podstawowy interes bezpieczeństwa państwa, wówczas taka oferta powinna zostać odrzucona.
Druga istotna zmiana to wprowadzenie nowej podstawy prawnej odrzucenia oferty, czyli art. 226 ust. 1 pkt. 19 ustawy Prawo zamówień publicznych. Dotyczy to tych zamówień dotyczących produktów, usług lub procesów ICT, gdzie minister ds. informatyzacji uznał wykonawcę zamówienia za podmiot wysokiego ryzyka. Chodzi nie tylko o to, aby takie produkty, usługi i procesy zostały wycofane przez ich użytkowników, ale także aby został wykonany obowiązek ich całkowitego wycofania z użytkowania. Będzie to musiało nastąpić w terminie 7 lat, licząc od dnia ogłoszenia decyzji ministra w Monitorze Polskim. Jeśli zaś chodzi o produkty i usługi ICT, których rola dotyczy funkcji krytycznych dla bezpieczeństwa sieci usług, to ich wycofanie powinno nastąpić wcześniej, przed upływem 4 lat.
Co więcej, obowiązek odrzucenia oferty dostawcy takich newralgicznych produktów, usług i procesów ICT będzie obowiązywać nawet w tych zamówieniach, które właśnie są rozpatrywane, a więc były w toku 3 kwietnia br., czyli w dacie wejścia w życie nowych przepisów. Na te terminy należy zwrócić szczególną uwagę w samorządach, jeśli takie zamówienia są przedmiotem prac komisji rozpatrujących oferty.
Zwracam uwagę, że to zupełnie nowa, szczególna procedura, gdzie nie stosuje się licznych przepisów kodeksu postępowania administracyjnego. Od decyzji uznającej firmę za dostawcę wysokiego ryzyka nie będzie przysługiwał wniosek o ponowne rozpoznanie sprawy. Natomiast skarga takiego dostawcy do sądu będzie rozpatrywana w procedurze niejawnej, co więcej, także uzasadnienie wyroku będzie utajnione. W postępowaniu, dotyczącym konkretnego sprzętu czy oprogramowania uznanego za niebezpieczne i będące zagrożeniem dla bezpieczeństwa państwa czy obywateli, będzie uczestniczyło Kolegium ds. Cyberbezpieczeństwa, czyli kluczowi ministrowie oraz prezes Urzędu Ochrony Konkurencji i Konsumentów. O wszczęciu takiej procedury będzie także informowany prokurator generalny.
Te szczególne i dość restrykcyjne zasady postępowania mają zapewnić, że zakupiony sprzęt i oprogramowanie funkcjonujące w administracji publicznej i gospodarce nie będą stanowiły zagrożenia dla państwa we wszystkich jego obszarach. A jesteśmy jednym z krajem, gdzie notuje się najwięcej cyberataków.
*zastępca redaktora naczelnego „Wspólnoty”
