W 2026 r. weszły w życie istotne zmiany w Ustawa o krajowym systemie cyberbezpieczeństwa oraz Prawo zamówień publicznych, które bezpośrednio wpływają na sposób realizacji projektów IT w sektorze publicznym i komunalnym.

Nie jest to zmiana o charakterze wyłącznie formalnym. To zmiana, która w praktyce oddziałuje na zakres odpowiedzialności, poziom bezpieczeństwa oraz możliwość skutecznej realizacji inwestycji.

Nowe regulacje obejmują produkty ICT, usługi ICT oraz procesy ICT, co oznacza, że każda inicjatywa informatyczna – niezależnie od tego, czy dotyczy wdrożenia systemu, jego utrzymania, migracji do chmury czy integracji – podlega obecnie ocenie w kontekście cyberbezpieczeństwa. Projekty IT stały się elementem systemu bezpieczeństwa państwa, a nie wyłącznie przedsięwzięciem technologicznym.

Zmiany w przepisach wprowadzają również jednoznaczny obowiązek po stronie zamawiających. Oferty muszą być odrzucane, jeżeli obejmują rozwiązania uznane za zagrożenie dla bezpieczeństwa państwa lub pochodzą od dostawców wysokiego ryzyka. Nie jest to decyzja uznaniowa, lecz obowiązek wynikający wprost z przepisów prawa.

Dodatkowo, podmioty objęte regulacjami KSC nie mogą nabywać określonych technologii, a w przypadku ich wcześniejszego wykorzystania są zobowiązane do ich wycofania w określonym czasie. W praktyce oznacza to, że ryzyko dotyczy nie tylko nowych inwestycji, lecz również już funkcjonujących systemów.

W konsekwencji organizacje realizujące projekty IT muszą liczyć się z szeregiem istotnych ryzyk. Należą do nich w szczególności możliwość unieważnienia postępowania przetargowego, odrzucenia ofert, konieczność zmiany technologii w trakcie realizacji projektu, a także ryzyko utraty dofinansowania, w tym środków z KPO czy FERC. Istotnym aspektem jest również rosnąca odpowiedzialność kierownictwa jednostek za obszar cyberbezpieczeństwa.

W tych realiach kluczowe znaczenie ma właściwe przygotowanie i prowadzenie projektów. Jako firma jesteśmy w stanie zapewnić kompleksowe wsparcie na każdym etapie ich realizacji.
Obejmuje ono przygotowanie dokumentacji przetargowej, w tym OPZ i SWZ zgodnych z aktualnymi przepisami, weryfikację ofert pod kątem zgodności technologicznej i prawnej, a także nadzór nad realizacją projektu w roli Inżyniera Kontraktu. Istotnym elementem wsparcia są również działania z zakresu cyberbezpieczeństwa, w tym audyty, wdrożenia systemów zarządzania bezpieczeństwem informacji zgodnych z ISO/IEC 27001 oraz przygotowanie organizacji do wymagań dyrektywy NIS2.

Zmiany w KSC i PZP prowadzą do jednoznacznego wniosku – projekty IT stały się projektami cyberbezpieczeństwa. Brak uwzględnienia nowych regulacji oznacza realne ryzyko prawne i finansowe.

W przypadku planowania projektu lub prowadzenia postępowania warto zadbać o jego zgodność z aktualnymi przepisami już na etapie przygotowania.