Cyfryzacja i wdrożenie sztucznej inteligencji (AI) to szansa na gigantyczne oszczędności dla polskiej administracji, ale także bezprecedensowe wyzwanie dla bezpieczeństwa państwa. Z tego powodu nowelizacja Prawa zamówień publicznych (Pzp) przebudowuje zasady zakupu technologii przez urzędy. Wybór partnera technologicznego przestaje być podyktowany wyłącznie najniższą ceną – staje się kluczowym elementem zarządzania strategicznym ryzykiem i cyberbezpieczeństwem.
Transformacja cyfrowa a wyzwania dla państwa
Obecnie można zaobserwować niezwykle szybkie tempo transformacji cyfrowej, która fundamentalnie zmienia funkcjonowanie administracji publicznej. Wdrażanie nowoczesnych technologii, w tym systemów opartych na sztucznej inteligencji, to krok w stronę daleko idących optymalizacji. Z modelowań ekonomicznych i danych naukowych wynika, że udane wdrożenie AI może przynieść polskiej administracji publicznej nawet 8 miliardów złotych wartości dodanej brutto rocznie. Aby jednak rewolucja ta była bezpieczna i nie narażała wrażliwych danych obywateli, niezbędne jest dostosowanie ram prawnych regulujących przetargi.*
Rewolucja w Prawie zamówień publicznych – nowe zasady odrzucania ofert
Kluczowym krokiem w stronę zabezpieczenia państwowej infrastruktury jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która bezpośrednio i głęboko ingeruje w przepisy Prawa zamówień publicznych. Nowe prawo (art. 226 ust. 1 pkt 17 i 19 Pzp) wprowadza rygorystyczne podstawy odrzucania ofert przetargowych. Zamawiający publiczny będzie zobligowany do odrzucenia oferty obejmującej rozwiązanie od podmiotu uznanego za „dostawcę wysokiego ryzyka” lub oferty ze wskazanymi w rekomendacjach Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa produktami i usługami zagrażającymi interesom państwa.
W przepisach pojawiają się przy tym doprecyzowane definicje z unijnego rozporządzenia w sprawie ENISA (akt o cyberbezpieczeństwie). Dla precyzji prawnej warto wiedzieć, że:
- Produkt ICT oznacza element lub grupę elementów sieci lub systemów informatycznych.
- Usługa ICT to usługa polegająca w pełni lub głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji.
Proces ICT to zestaw czynności wykonywanych w celu projektowania, rozwijania, dostarczania lub utrzymywania produktów i usług ICT.
Wejście w życie i rygorystyczne przepisy przejściowe
Powyższe zmiany dotyczące podstaw odrzucenia ofert wejdą w życie 3 kwietnia 2026 r. Co niezwykle istotne, rygorystyczne przepisy przejściowe sprawiają, że nowe podstawy odrzucenia ofert (art. 226 ust. 1 pkt 17 i 19) będą miały zastosowanie również do postępowań o udzielenie zamówienia wszczętych i niezakończonych (będących w toku) przed tą datą**.
Dostawca wysokiego ryzyka a strategiczny dobór partnera
Wprowadzenie pojęcia „dostawcy wysokiego ryzyka” trwale zmienia paradygmat wyboru kontrahentów na rynku IT. Decyzję o nadaniu takiego statusu wydaje minister właściwy do spraw informatyzacji, badając, czy dany podmiot nie stanowi zagrożenia dla bezpieczeństwa kraju. W celu ułatwienia weryfikacji przez urzędy, decyzje w sprawach uznania za dostawcę wysokiego ryzyka będą ogłaszane w „Monitorze Polskim” oraz publikowane w Biuletynie Informacji Publicznej (BIP) ministra informatyzacji, a rekomendacje Pełnomocnika ds. Cyberbezpieczeństwa trafią na jego stronę podmiotową BIP.
Konsekwencje prawne zbagatelizowania rygorów są drastyczne. Instytucje publiczne mają absolutny zakaz wprowadzania do użytkowania produktów i usług od ryzykownego dostawcy. W przypadku wcześniejszego nabycia takich rozwiązań, znowelizowana ustawa narzuca obowiązek ich całkowitego wycofania. W zależności od tego, czy system pełni funkcje krytyczne czy nie, przewidziano na to wymianę maksymalnie 4 lub 7 lat od ogłoszenia decyzji. Wybór niewłaściwego kontrahenta naraża więc urząd na operacyjny paraliż i przymusową wymianę całej architektury systemowej**.
Wymogi unijnego AI Act a Specyfikacja Warunków Zamówienia (SWZ)
Kwestia doboru bezpiecznych dostawców jest jeszcze ważniejsza w świetle unijnego rozporządzenia w sprawie sztucznej inteligencji (AI Act). Przygotowując Specyfikację Warunków Zamówienia (SWZ), instytucje publiczne będą wymagać od oferentów gwarancji zgodności z normami etycznymi i prawnymi, dostarczenia szczegółowej dokumentacji oraz wsparcia w procesach oceny skutków dla praw podstawowych (FRIA) i ochrony danych.
Wymóg przeprowadzenia FRIA (Fundamental Rights Impact Assessment) ma zapewnić, że system AI nie wpłynie negatywnie na prawa osób fizycznych, np. poprzez dyskryminację. Nakłada on na instytucje publiczne następujące, bardzo konkretne obowiązki:
- Harmonogram: Przeprowadzenie FRIA musi nastąpić przed wprowadzeniem danego systemu do użytku.
- Obowiązek informacyjny: Podmiot publiczny stosujący AI ma obowiązek powiadomienia organu nadzoru rynku o wynikach oceny poprzez specjalny kwestionariusz.
- Zawartość oceny: Wykonawca będzie musiał pomóc w opisaniu m.in. wdrożenia środków nadzoru ze strony człowieka (np. w jakim zakresie pracownik może ingerować w decyzję AI) oraz procedur i mechanizmów rozpatrywania skarg w przypadku urzeczywistnienia się ryzyka.
- Integracja procedur: Ponieważ wdrożenie AI często wiąże się z przetwarzaniem danych osobowych, procedura FRIA będzie w praktyce najczęściej przeprowadzana równolegle i zintegrowana ze znaną z RODO oceną skutków dla ochrony danych (DPIA).
Ważny wyjątek: Rygorystyczny obowiązek przeprowadzania analizy FRIA dla systemów AI wysokiego ryzyka nie dotyczy systemów stosowanych w ramach infrastruktury krytycznej***.
Podsumowanie: o czym należy pamiętać
- Nowe, bezwzględne przesłanki odrzucenia ofert (od 3 kwietnia 2026 r.): Zamawiający publiczni mają prawny obowiązek odrzucania – nawet w już trwających przetargach – ofert zawierających produkty, procesy lub usługi ICT mogące zagrażać cyberbezpieczeństwu.
- Blokada „dostawców wysokiego ryzyka”:
Oferty od podmiotów oficjalnie sklasyfikowanych w „Monitorze Polskim” oraz na stronach BIP jako ryzykowne będą automatycznie eliminowane. - Przymusowa wymiana systemów i gigantyczne koszty:
Instytucje korzystające z oprogramowania/sprzętu ryzykownych dostawców mają ustawowy obowiązek wycofania ich z użytkowania (w okresie 4-7 lat).
AI Act zmienia dokumentację przetargową:
Urzędy muszą weryfikować zdolność partnera technologicznego do dostarczenia dokumentacji i pomocy w zgłoszeniu analizy FRIA, którą należy przeprowadzić jeszcze przed wdrożeniem systemu AI.
Autorzy artykułu:
Iwona Wendel – Wiceprezes Zarządu Krajowej Izby Gospodarki Cyfrowej
Adam Paczuski – Pełnomocnik Zarządu ds. Sztucznej Inteligencji w Krajowej Izbie Gospodarki Cyfrowej
Przypisy:
*The AI opportunity for eGovernment in Poland The AI opportunity for eGovernment in Poland.
**Zmiany w Pzp w związku z ogłoszeniem Ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa
***Ocena skutków systemów AI wysokiego ryzyka dla praw podstawowych – o co w tym wszystkim chodzi?
