ustracja przedstawiająca dokumentację OPZ i SWZ w kontekście dyrektywy NIS2 oraz cyberbezpieczeństwa w zamówieniach publicznych.

NIS2 a OPZ i SWZ, czyli co Zamawiający musi uwzględnić w dokumentacji przetargowej

W skrócie:

NIS2 w zamówieniach publicznych oznacza konkretne decyzje po stronie Zamawiającego, a nie ogólne zalecenia dla IT.
Jeżeli postępowanie dotyczy systemów IT, cyberbezpieczeństwa lub przetwarzania danych, wymagania wynikające z NIS2 muszą zostać przełożone na zapisy w OPZ i SWZ w sposób operacyjny.
Brak takich zapisów nie eliminuje obowiązków – przenosi odpowiedzialność i ryzyko na Zamawiającego, szczególnie na etapie realizacji umowy i kontroli.

Dlaczego NIS2 ma znaczenie dla OPZ i SWZ

NIS2 wprowadza obowiązki organizacyjne i techniczne, które w zamówieniach publicznych nie funkcjonują „same z siebie”.
Dopiero OPZ i SWZ decydują o tym, czy i w jaki sposób te obowiązki zostaną przeniesione na wykonawcę.

OPZ nie jest dokumentem opisowym ani formalnym wypełnieniem procedury.
Jest narzędziem:

  • alokowania odpowiedzialności,
  • definiowania zakresu ryzyka,
  • oraz egzekwowania wymagań po podpisaniu umowy.

Jeżeli wymagania związane z NIS2:

  • są zapisane ogólnikowo,
  • nie mają mierzalnych kryteriów,
  • albo nie są powiązane z odbiorami,

to Zamawiający pozostaje z odpowiedzialnością, ale bez realnych instrumentów jej egzekwowania.
Właśnie w OPZ NIS2 przestaje być regulacją, a zaczyna być praktycznym problemem Zamawiającego.

Kogo dotyczy NIS2 w zamówieniach publicznych

Z perspektywy OPZ i SWZ znaczenie NIS2 pojawia się zawsze wtedy, gdy przedmiot zamówienia obejmuje:

  • systemy IT,
  • infrastrukturę teleinformatyczną,
  • bezpieczeństwo informacji,
  • lub przetwarzanie danych istotnych dla funkcjonowania jednostki.

Nie chodzi o formalne etykiety ani klasyfikacje, lecz o zakres ryzyk, które Zamawiający bierze na siebie poprzez treść dokumentacji przetargowej.
W takich postępowaniach pominięcie kontekstu NIS2 w OPZ oznacza, że odpowiedzialność pozostaje po stronie Zamawiającego – nawet jeżeli intencją było jej przeniesienie na wykonawcę.

Co NIS2 zmienia w praktyce przy opisie przedmiotu zamówienia
Wymagania bezpieczeństwa a wykonalność rynkowa

Najczęstszym błędem jest próba bezpośredniego przepisania zapisów NIS2 do OPZ.
Takie podejście prowadzi do:

  • wymagań oderwanych od realiów rynkowych,
  • zawężenia konkurencji,
  • ryzyka zarzutów braku proporcjonalności lub wykonalności.

NIS2 nie jest checklistą cyberbezpieczeństwa do skopiowania.
Jest ramą odpowiedzialności, którą należy przełożyć na konkretne wymagania techniczne i organizacyjne, możliwe do:

  • realizacji,
  • zweryfikowania,
  • i odebrania w ramach umowy.

Bez tego OPZ nie chroni Zamawiającego.
Tworzy jedynie formalne wrażenie zgodności.

Odpowiedzialność za zapisy w OPZ po stronie Zamawiającego

Fakt, że dane wymaganie wynika z regulacji, nie zwalnia Zamawiającego z odpowiedzialności za sposób jego zapisania w OPZ.
Analogicznie jak w przypadku parametrów technicznych, terminów czy zakresu usług, to Zamawiający odpowiada za to, co znalazło się w dokumentacji.

Jeżeli zapis:

  • jest nieprecyzyjny,
  • niewykonalny rynkowo,
  • albo niepowiązany z mechanizmem odbioru,

to problemem nie będzie sama NIS2, lecz treść OPZ i SWZ, a konsekwencje ujawnią się dopiero po podpisaniu umowy.

Dlaczego regulacja NIS2 jest trudna do przełożenia na OPZ

NIS2 nie mówi Zamawiającemu „jak” opisać wymagania.
Mówi jedynie „że” określone obowiązki muszą zostać spełnione.

To powoduje, że:

  • znaczna część decyzji interpretacyjnych zostaje po stronie Zamawiającego,
  • OPZ staje się miejscem domykania niejednoznaczności,
  • a błędy OPZ na tym etapie są praktycznie niemożliwe do naprawienia później.

Im bardziej ogólne zapisy w OPZ, tym większe pole interpretacji na etapie realizacji.
I tym większe ryzyko, że odpowiedzialność pozostanie po stronie Zamawiającego, niezależnie od intencji.

NIS2 a fałszywe poczucie zgodności

Częstą praktyką jest dodanie do OPZ ogólnego odniesienia do NIS2 z przekonaniem, że „temat został zabezpieczony”.
W praktyce taki zapis:

  • nie definiuje zakresu odpowiedzialności wykonawcy,
  • nie daje podstaw do odbiorów,
  • nie chroni Zamawiającego w sporze.

Powstaje fałszywe poczucie zgodności.
Formalnie NIS2 została „uwzględniona”, ale operacyjnie nie zmienia to niczego.

Problem ujawnia się dopiero w momencie:

  • incydentu,
  • kontroli,
  • albo sporu co do zakresu obowiązków wykonawcy.

NIS2 jako źródło konfliktów w postępowaniu

NIS2 często zaostrza istniejące napięcia:

  • między IT a prawnikami,
  • między bezpieczeństwem a konkurencyjnością,
  • między chęcią „być zgodnym” a realną wykonalnością rynkową.

OPZ jest miejscem, w którym te konflikty powinny zostać rozwiązane.
Jeżeli nie zostaną – zostaną jedynie przeniesione na etap realizacji, gdzie koszt ich rozwiązania jest wielokrotnie wyższy.

Najczęstsze błędy w OPZ wynikające z NIS2

W praktyce najczęściej spotykane są:

  • kopiowanie ogólnych zapisów regulacyjnych bez przełożenia na wymagania operacyjne,
  • brak mierzalności i kryteriów odbioru,
  • wymagania nieadekwatne do skali i charakteru zamówienia,
  • brak powiązania zapisów bezpieczeństwa z odbiorami i odpowiedzialnością wykonawcy.

Te błędy rzadko są widoczne na etapie publikacji postępowania.
Ujawniają się dopiero w trakcie realizacji umowy, przy sporach lub kontroli.

Czy NIS2 oznacza konieczność zmiany podejścia do przygotowania OPZ

Tak.
Ale nie poprzez zaostrzanie wymagań ani rozbudowywanie dokumentacji „na wszelki wypadek”.

Zmiana polega na:

  • wcześniejszej analizie ryzyk,
  • ocenie wykonalności rynkowej,
  • oraz świadomym przypisaniu odpowiedzialności w zapisach OPZ.

NIS2 nie wymusza bardziej restrykcyjnego OPZ.
Wymusza bardziej świadome OPZ.

Najczęstsze pytania (FAQ)

Czy NIS2 trzeba uwzględniać w OPZ i SWZ dotyczących IT?
Tak, jeżeli przedmiot zamówienia obejmuje systemy IT, bezpieczeństwo lub dane. W takim przypadku brak odniesień operacyjnych do NIS2 zwiększa ryzyko po stronie Zamawiającego.

Czy ogólne odniesienie do NIS2 w OPZ wystarczy?
Nie. Ogólne zapisy nie tworzą podstaw do odbiorów ani egzekwowania odpowiedzialności wykonawcy.

Kto odpowiada za błędy w OPZ w kontekście NIS2?
Zawsze Zamawiający, niezależnie od tego, kto faktycznie przygotowywał dokumentację.

Planujesz postępowanie dotyczące systemów IT lub cyberbezpieczeństwa?

Zanim opublikujesz OPZ, sprawdź, czy zapisy związane z NIS2:

  • realnie zabezpieczają Zamawiającego,
  • są wykonalne rynkowo,
  • oraz dają się jednoznacznie odebrać.

Sprawdź OPZ przed publikacją

Podobne wpisy