Gminy kupują cyberbezpieczeństwo, gdy płaci Bruksela
Przetargi gmin na cyberbezpieczeństwo idą falami zsynchronizowanymi z terminami unijnych dotacji, nie z mapą zagrożeń. Gdy w 2023 wygasł jeden program, liczba ogłoszeń runęła z 594 miesięcznie do 18, a zaraz przejął ją kolejny grant.
Opracowanie i przegląd redakcyjny Atlasu Przetargów. Treść opiera się na danych BZP, TED, KIO, komunikatach UZP oraz metodologii Atlasu.
Zagrożenia w sieci nie znikają w grudniu i nie pojawiają się w styczniu. A przetargi polskich gmin na cyberbezpieczeństwo zachowują się tak, jakby właśnie tak było. Idą falami, a rytm tych fal wyznacza nie mapa ryzyka, tylko kalendarz rozliczania unijnych dotacji.
Liczba przetargów z nazwą programu w tytule, rok do roku. Jedna fala opada, druga ją przejmuje.
Fala, która urywa się w kwartał
W 2022 i 2023 gminy ogłaszały około 4,4 tysiąca przetargów rocznie powiązanych z programem Cyfrowa Gmina, finansowanym z unijnych środków na odbudowę po pandemii. Potem przyszedł klif. We wrześniu 2023 takich ogłoszeń było 594. W październiku 134. W listopadzie 40. W grudniu osiemnaście. W całym 2024 zostało ich 79. Spadek o ponad dziewięćdziesiąt procent w jeden kwartał. Nic nie wskazuje, żeby w tym czasie gminy uznały, że są już bezpieczne. Po prostu minął termin, do którego trzeba było wydać pieniądze z programu.
Drugi grant przejmuje pałeczkę
Popyt nie wyparował, tylko zaczekał na kolejne źródło finansowania. Dokładnie w momencie, gdy gasła Cyfrowa Gmina, ruszył program Cyberbezpieczny Samorząd. Z 1019 przetargów w 2024 urósł do 4429 w 2025, a w pierwszej połowie 2026 dołożył kolejne blisko dwa tysiące. Łącznie ponad siedem tysięcy postępowań u 1188 różnych samorządów, mediana wartości około 196 tysięcy złotych. Wykres tych dwóch programów to podręcznikowe przekazanie pałeczki: jedna krzywa spada do zera, druga w tym samym czasie strzela w górę.
Kto obsługuje skok
Falę zbiera nie kilku dużych dostawców, tylko długi ogon lokalnych firm informatycznych. W czołówce zwycięzców Cyberbezpiecznego Samorządu są nazwy spoza pierwszej ligi rynku: MKM Market, AT Computers, Nbit, NEO-SYSTEM, Miecz Net. Duży, giełdowy Comp pojawia się dopiero na ósmym miejscu. To firmy zdolne szybko obsłużyć tysiąc podobnych zamówień w kilka miesięcy i równie szybko zniknąć z tego segmentu, gdy fala opadnie.
O tym, kiedy samorząd kupuje zabezpieczenia, decyduje termin wydatkowania grantu, a nie jego własna ocena ryzyka.
Dlaczego rytm dotacji to problem
Sprzęt i licencje kupowane pod presją terminu rozliczenia to ochrona rozliczona na papierze, niekoniecznie utrzymywana przez kolejne lata. Cyberbezpieczeństwo nie jest jednorazowym zakupem, tylko procesem: aktualizacje, monitoring, ludzie. Tymczasem strumień pieniędzy płynie skokami, a po każdym skoku przychodzi cisza, aż do następnego programu. Gmina, która urządzenie kupiła na ostatni dzień grantu, rzadko ma w budżecie środki na jego utrzymanie, gdy grant się zamknie. Bezpieczeństwo staje się pochodną kalendarza dotacji, a nie zagrożenia, które rośnie równo przez cały rok.
Następny klif da się przewidzieć
Dopóki cyfrowe inwestycje samorządów finansują kolejne programy z twardymi terminami wydatkowania, ten rytm się utrzyma. Następne załamanie można zaznaczyć w kalendarzu już dziś: przyjdzie wtedy, gdy zamknie się rozliczenie Cyberbezpiecznego Samorządu. Pytanie nie brzmi, czy fala opadnie, tylko jaki program i z jakim terminem ją zastąpi.
Metodologia. Dane z BZP, nowe przetargi z nazwą programu w tytule postępowania, lata 2022–2025 oraz pierwsze półrocze 2026, bez duplikatów. Wyszukiwanie po tytule łapie tylko ogłoszenia jawnie nazwane programem, więc rzeczywista skala obu fal jest większa niż podane liczby. Termin kwalifikowalności środków unijnych to fakt zewnętrzny wobec naszej bazy; dane pokazują jedynie kształt fali idealnie z nim zgrany, co jest silną korelacją, nie dowodem przyczyny. Źródło: BZP, Atlas Przetargów.