Polska administracja uzależniona od konkretnych dostawców. Co na to Ministerstwo Cyfryzacji?

Tuż przed świętami Bożego Narodzenia Fundacja Instrat opublikowała raport dotyczący zamówień publicznych na oprogramowanie biurowe w administracji publicznej.

Jak opisywaliśmy na naszych łamach, spośród 72 postępowań przeprowadzonych między styczniem a listopadem 2025 roku, tylko jedno nie preferowało produktów konkretnego producenta.

Strategie pomogą zwalczać zależność?

Co na to Ministerstwo Cyfryzacji? Resort wraz z kierownictwem ma zwracać uwagę na istnienie problemu nadmiernego uzależnienia od konkretnych dostawców i kwestię vendor lock-in. Jak wynika z odpowiedzi na pytania przesłane przez naszą redakcję, ma to dotyczyć administracji publicznej na różnych szczeblach.

Planowane działania mające na celu pomóc w zmniejszaniu zależności znalazły się w dwóch dokumentach rządowych. Pierwszym z nich jest projekt Strategii Cyfryzacji Polski, znajdujący się na etapie prac rządowych.

Wśród przedstawionych przez resort propozycji znalazły się:

- przygotowanie wytycznych dotyczących zamówień publicznych w ramach wsparcia dla jednostek administracji w celu uniknięcia uzależnienia od rozwiązań dostawców zewnętrznych; - przygotowanie rozwiązań wspierających uwzględnianie wymogów suwerenności i bezpieczeństwa w postępowaniach zakupowych na rozwiązania ICT; obejmuje to również rozwiązania promujące dostawców krajowych oraz z UE; - działania na rzecz wsparcia rozwoju polskiego ekosystemu otwartoźródłowego, obejmujące m.in. powstanie Biura Programów Otwartego Oprogramowania czy opracowanie programu wdrażania otwartego oprogramowania w polskiej administracji.

Drugim dokumentem jest Strategia Cyberbezpieczeństwa RP, nad którą pracuje Stały Komitet Rady Ministrów. Projekt zakłada, że spółki Skarbu Państwa oraz instytucje publiczne mają korzystać przede wszystkim z rozwiązań polskich firm – w granicach prawa, rynku unijnego oraz przy spełnieniu wymagań zamawiającego.

Ministerstwo wskazało również na ustawę o Krajowym Systemie Certyfikacji Cyberbezpieczeństwa (KSCC), a także procedowaną w sejmie nowelizację krajowego systemu cyberbezpieczeństwa (KSC).

„Ma to pomóc w budowie silnego krajowego sektora cyberbezpieczeństwa i ograniczaniu zależności od zagranicznych korporacji, przy jednoczesnym przyciąganiu inwestycji zagranicznych” – wyjaśnił resort cyfryzacji.

Analizy: trzeba działać na obecnym oprogramowaniu

Zapytane o obserwacje w zakresie konkurencyjności oraz równych szans, Ministerstwo Cyfryzacji odpowiedziało naszej redakcji, że w instytucji postępowania są prowadzone w trybach konkurencyjnych. Dzięki temu ma być możliwe zapewnienie przejrzystości oraz racjonalnego wydatkowania środków publicznych.

„Nie odnotowano zarzutów, które wskazywałyby, że warunki udziału lub opisy przedmiotu zamówienia w sposób nieuzasadniony ograniczały dostęp do kontraktów” – podkreślono.

Co ciekawe, w kontekście problemu faworyzowania oprogramowania konkretnej firmy, opisanego przez Fundację Instrat, resort wskazał na analizę potrzeb i wymagań przeprowadzoną przed przetargiem. Nie wykazała ona innej możliwości niż zakup licencji oraz wsparcia technicznego dla już posiadanego oprogramowania.

Obok stwierdzenia istotności zamówień publicznych dla budowania cyberbezpieczeństwa, pojawiła się również deklaracja Ministerstwa Cyfryzacji co do wspierania uwzględniania wymogów cyberbezpieczeństwa w zamówieniach związanych z ICT wspólnie z Prezesem Urzędu Zamówień Publicznych.

„Działania te będą miały charakter edukacyjny i pozostaną neutralne technologicznie” – wyjaśnił resort.

Co w przypadku odcięcia technologicznego?

Działania dotyczące zamówień są bliższą lub dalszą przyszłością. Co jednak w przypadku, gdy dojdzie do awarii na skalę podobną do problemów wywołanych aktualizacją oprogramowania Crowdstrike Falcon w lipcu 2024 roku, lub firma zdecyduje się wyłączyć swoje serwery bądź usługi?

Ministerstwo Cyfryzacji przekazało naszej redakcji, że w kwestii bezpieczeństwa łańcucha dostaw w zakresie cyberbezpieczeństwa funkcjonują już zapisy ustawy o KSCC. Zostaną one dodatkowo wzmocnione mechanizmami wpisanymi w nowelizację ustawy o KSC.

Jeden z nich dotyczy wykluczenia dostawców wysokiego ryzyka, o których było głośno na posiedzeniach sejmowej komisji cyfryzacji.

Ponownie wskazano też na projekt Strategii Cyberbezpieczeństwa RP.

„Zakłada (ona – red.) rozwój krajowych kompetencji technologicznych i przemysłowych w cyberbezpieczeństwie, aby w razie odcięcia technologicznego możliwe było utrzymanie kluczowych systemów” – zaznaczył resort w odpowiedzi dla naszej redakcji.