Cyberbezpieczeństwo w zamówieniach publicznych to obowiązek uwzględniania przez zamawiających, w szczególności podmioty publiczne, wymogów zapewniających odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność danych lub usług. Regulacje te wynikają z krajowych aktów prawnych, takich jak ustawa o krajowym systemie cyberbezpieczeństwa, oraz unijnych, w tym dyrektywy NIS2.
Cyberbezpieczeństwo w zamówieniach publicznych jest kluczowym elementem budowania odporności państwa na cyberzagrożenia, a proces zakupowy stanowi pierwszy etap jej zapewnienia. Zamawiający, w tym jednostki sektora finansów publicznych, są zobowiązani do stosowania ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która wdraża ramy prawne dla cyberbezpieczeństwa w Polsce, implementując jednocześnie przepisy unijne. Oznacza to konieczność precyzowania w opisie przedmiotu zamówienia (OPZ) wymagań dotyczących bezpieczeństwa produktów, usług i procesów teleinformatycznych, zwłaszcza w zakresie zarządzania ryzykiem i bezpieczeństwa łańcucha dostaw.
Nowe regulacje, takie jak dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2), rozszerzają obowiązki i krąg podmiotów zobowiązanych do stosowania wzmocnionych środków zarządzania ryzykiem w obszarze cyberbezpieczeństwa. Prace legislacyjne nad wdrożeniem dyrektywy NIS2 do polskiego porządku prawnego przewidują zmiany m.in. w ustawie Prawo zamówień publicznych, wprowadzając nowe przesłanki odrzucenia oferty, np. w przypadku uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Celem jest zapewnienie, aby realizacja zamówień publicznych nie naruszała bezpieczeństwa publicznego ani istotnego interesu bezpieczeństwa państwa.