CCTVplanner.io
    Zgodność15 minut czytania

    Oprogramowanie rosyjskiego pochodzenia w projektach monitoringu CCTV w UE (2026): przegląd zgodności, sankcji i zamówień publicznych

    Rzeczowy, skoncentrowany na zamówieniach przegląd dla projektantów CCTV, integratorów i unijnych instytucji zamawiających, stawiający to samo powtarzające się pytanie w 2026 roku: jak mają się do tego przepisy dotyczące pochodzenia, sankcji i rezydencji danych w przypadku oprogramowania do projektowania CCTV? Niniejszy artykuł podsumowuje publicznie dostępne ramy. Nie stanowi on porady prawnej — każda konkretna decyzja w sprawie zamówienia powinna zostać potwierdzona przez wykwalifikowanego prawnika specjalizującego się w zamówieniach publicznych.

    Ważne: jest to recenzja oparta na faktach, a nie porada prawna

    Sankcje, kontrola eksportu i przepisy dotyczące zamówień publicznych często się zmieniają i są interpretowane odmiennie w poszczególnych państwach członkowskich UE. Żadnej informacji zawartej w niniejszym artykule nie należy traktować jako porady prawnej dotyczącej konkretnej transakcji. W celu uzyskania wiążących ustaleń należy skonsultować się z wykwalifikowanym prawnikiem ds. zamówień publicznych w odpowiedniej jurysdykcji. Odniesienia do publicznie dostępnych norm, przepisów i orzecznictwa są aktualne według naszej najlepszej wiedzy na maj 2026 r.

    Spis treści

    Dlaczego to pytanie jest ważne w kontekście zamówień publicznych UE w 2026 r.

    Od 2022 roku UE przyjęła wiele kolejnych pakietów sankcji wymierzonych w Rosję, a jednocześnie wprowadziła zmiany w przepisach dotyczących zamówień publicznych w państwach członkowskich. Kumulatywny wpływ na zamówienia publiczne na oprogramowanie był znaczący: instytucje zamawiające, które wcześniej nie pytały o pochodzenie oprogramowania, teraz rutynowo uwzględniają wymogi dotyczące ujawniania pochodzenia na etapie kwalifikacji, a oferty, które nie mogą udowodnić pochodzenia nieobjętego sankcjami, są często odrzucane przed oceną komercyjną.

    Oprogramowanie do projektowania systemów CCTV należy do szczególnej kategorii ryzyka, ponieważ generowane przez nie artefakty – plany pięter, rozmieszczenie kamer, topologia sieci, zestawienie BOM – są wrażliwe zarówno z punktu widzenia bezpieczeństwa, jak i operacyjnego. Nawet jeśli instrument sankcji nie obejmuje na pierwszy rzut oka konkretnego narzędzia do planowania monitoringu CCTV, zamawiający zazwyczaj stosują zasadę ostrożności, zwłaszcza w sektorze obronności, administracji publicznej, infrastruktury krytycznej oraz dużych projektów z zakresu opieki zdrowotnej lub transportu.

    Ten artykuł to wyjaśnienie, o którym marzyliśmy, gdy klienci integratorzy zaczęli pytać nas o pochodzenie oprogramowania w odpowiedziach na oferty. Ma charakter opisowy, a nie normatywny — jego celem jest przedstawienie ram w prostym języku, aby projektant CCTV mógł zadać swojemu doradcy ds. zamówień właściwe pytania, a nie zastępowanie tej rozmowy.

    Aktualne ramy sankcji UE — podsumowanie na wysokim szczeblu

    Unijne środki ograniczające wobec Rosji są wdrażane za pomocą rozporządzeń Rady publikowanych w Dzienniku Urzędowym Unii Europejskiej i aktualizowanych kolejnymi pakietami zmian. Ramy te opierają się na trzech głównych filarach istotnych dla zamówień publicznych na oprogramowanie.

    Trzy filary istotne dla oprogramowania

    • Kontrola eksportu. Ograniczenia w dostarczaniu do Rosji określonych towarów, usług, technologii i oprogramowania, ze szczególnym uwzględnieniem sektora podwójnego zastosowania, obronności i niektórych kategorii przemysłowych.
    • Sankcje finansowe. Zamrożenie aktywów i zakazy udostępniania funduszy lub zasobów gospodarczych osobom i podmiotom wymienionym w wykazie. Kryterium „własności i kontroli” jest uzależnione od konkretnych faktów i ma zastosowanie nawet w przypadku, gdy dostawca sam nie jest wymieniony w wykazie, ale jest własnością lub jest kontrolowany przez podmiot wymieniony w wykazie.
    • Filtry zamówień publicznych. Przepisy rozporządzenia Rady (UE) nr 833/2014 (w brzmieniu zmienionym), które zakazują udzielania zamówień publicznych niektórym osobom i podmiotom rosyjskim, zostały transponowane i uzupełnione do prawa zamówień publicznych państw członkowskich na różne sposoby.

    Oprócz ram obowiązujących na szczeblu UE, państwa członkowskie, takie jak Niemcy, Francja, Polska, kraje nordyckie i bałtyckie, wprowadziły własne przepisy dotyczące zamówień publicznych, oparte na bardziej rygorystycznych kryteriach. W rezultacie ten sam dostawca może być akceptowalny w jednej jurysdykcji UE, a odfiltrowany w innej, nawet jeśli żaden instrument go wyraźnie nie wymienia. Dlatego zespoły ds. zamówień publicznych zazwyczaj stosują jako wewnętrzny punkt odniesienia najsurowsze przepisy obowiązujące w danym państwie członkowskim.

    Strona amerykańska: NDAA §889 i zarządzenia wykonawcze ICTS

    Po stronie USA, dwa instrumenty są rutynowo cytowane, nawet przez unijnych urzędników ds. zamówień publicznych, jako nieformalne punkty odniesienia. NDAA §889 (Ustawa o autoryzacji obrony narodowej im. Johna S. McCaina na rok fiskalny 2019) zabrania agencjom federalnym i kontrahentom federalnym kupowania lub używania objętego ochroną sprzętu telekomunikacyjnego i monitoringu wideo od niektórych, wymienionych chińskich producentów. Rozporządzenia wykonawcze dotyczące technologii informacyjno-komunikacyjnych i usług (ICTS), głównie rozporządzenie wykonawcze nr 13873 i jego następcy, przyznają Departamentowi Handlu USA szerokie uprawnienia do weryfikacji transakcji z udziałem zagranicznych przeciwników.

    Żaden z tych instrumentów nie ma zastosowania prawnego do typowego zamówienia publicznego w UE. Są one jednak często używane jako szablony zamówień publicznych. Instytucja zamawiająca UE z 2026 r. sporządzająca ofertę na monitoring wizyjny zazwyczaj wymaga od dostawcy oświadczenia, że jego oprogramowanie, hosting i personel nie będą wykluczone na podstawie przepisów równoważnych z § 889, nawet jeśli sam § 889 nie ma znaczenia dla umowy. Dostawcy, którzy nie mogą złożyć takiego oświadczenia, znajdują się w niekorzystnej sytuacji konkurencyjnej, niezależnie od legalności ich oferty.

    Bezpośredni wpływ zamówień na oprogramowanie do projektowania monitoringu CCTV

    Przedstawione poniżej kategorie to cztery, w przypadku których najczęściej pojawiają się pytania dotyczące pochodzenia oprogramowania w projektach monitoringu CCTV w UE w 2026 r.

    Przetargi w sektorze publicznym

    Przetargi w sektorze rządowym, obronnym, opieki zdrowotnej i edukacji coraz częściej zawierają wyraźne klauzule ujawniające „pochodzenie oprogramowania”. Zazwyczaj jest to jeden z przepisów dotyczących filtrowania zamówień publicznych, omówionych powyżej, wdrażanych w drodze transpozycji do prawa krajowego. Nawet jeśli próg prawny jest dyskusyjny, w praktyce oferty, które nie są w stanie udowodnić akceptowalnego pochodzenia, są odrzucane na etapie kwalifikacji. Projektanci odpowiadający na przetargi w sektorze publicznym w 2026 roku powinni spodziewać się konieczności składania oświadczeń o pochodzeniu dla każdego narzędzia programowego używanego w procesie projektowania, nie tylko dla samego sprzętu monitorującego.

    Umowy dotyczące infrastruktury krytycznej

    Zamówienia publiczne w sektorze energetycznym, transportowym, bankowym i wodociągowym podlegają przepisom NIS2 (Dyrektywa (UE) 2022/2555) oraz nakładającym się przepisom sektorowym. Chociaż sama NIS2 opiera się na ryzyku, a nie na pochodzeniu, wynikające z niej oceny ryzyka często wskazują pochodzenie łańcucha dostaw jako istotny czynnik, a operatorzy usług kluczowych uwzględnili to w swoich systemach zamówień publicznych. Wymagania dotyczące dowodów pochodzenia oprogramowania w projektach infrastruktury krytycznej są znacznie wyższe niż w przypadku ogólnych zamówień komercyjnych.

    Audyty zgodności w przedsiębiorstwach prywatnych

    Duże przedsiębiorstwa z własnymi systemami ESG, łańcucha dostaw lub cyberryzyka rutynowo audytują swoich dostawców i poddostawców. Nawet jeśli nie ma konkretnego przetargu, integrator korzystający z oprogramowania, którego pochodzenia nie można udowodnić, może zostać usunięty z listy preferowanych dostawców podczas corocznego przeglądu. Dynamika ta wyraźnie przyspieszyła w latach 2024 i 2025 i utrzymała się do 2026 roku.

    Zaangażowanie integratorów transgranicznych

    Integratorzy działający zarówno w jurysdykcjach UE, jak i poza nią, napotykają na dodatkowe trudności, ponieważ standardy zamówień publicznych różnią się. Narzędzie akceptowane w prywatnym projekcie komercyjnym w jednej jurysdykcji może nie przejść przez filtr zamówień publicznych w innej jurysdykcji. Wielu integratorów rozwiązało ten problem, standaryzując narzędzia pochodzące z UE dla wszystkich projektów, co upraszcza proces udzielania odpowiedzi na przyszłe przetargi, niezależnie od ich miejsca przeznaczenia.

    Jak kupujący weryfikują pochodzenie oprogramowania

    Specjalista ds. zamówień publicznych przeprowadzający weryfikację pochodzenia dysponuje dość standardowym zestawem narzędzi. Żadna z tych kontroli nie udowadnia pochodzenia indywidualnie – tworzą one obraz triangulacyjny na podstawie informacji publicznych.

    • Rejestr WHOIS dla domeny sprzedawcy — kraj rejestratora, organizacja rejestrującego, numer ASN serwera nazw.
    • Ujawnienie przez sprzedawcę nazwy prawnej podmiotu, kraju rejestracji i numeru identyfikacji podatkowej — zwykle wymagane w ramach kwalifikacji.
    • Recenzja dostawcy hostingu — region chmury, w którym fizycznie działa infrastruktura SaaS, potwierdzony atestem lub umową o hostingu z podmiotem zewnętrznym.
    • Publiczne dokumenty korporacyjne — rejestry rzeczywistych właścicieli, struktura spółki dominującej i wszelkie odniesienia do list sankcji.
    • Poświadczenie łańcucha dostaw — pisemne oświadczenie dostawcy opisujące miejsce, w którym oprogramowanie jest projektowane, hostowane i obsługiwane, a także wymieniające nazwy wszystkich podprocesorów.

    W przypadku zamówień o podwyższonym ryzyku (obronność, infrastruktura krytyczna) ocena może obejmować pochodzenie kodu źródłowego, testy bezpieczeństwa przeprowadzone przez podmioty zewnętrzne oraz niezależną opinię prawną. Koszt krańcowy oceny wyższego poziomu nie jest niewielki, a zamawiający zazwyczaj zlecają ją tylko wtedy, gdy uzasadnia to wartość lub wrażliwość kontraktu.

    Kąt przekazywania danych do państwa trzeciego GDPR

    Artykuły 44–49 GDPR regulują przekazywanie danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego. Zgodnie z domyślną zasadą takie przekazywanie jest zabronione, chyba że ma zastosowanie jedno z określonych zabezpieczeń: decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony, zatwierdzony mechanizm przekazywania, taki jak standardowe klauzule umowne z odpowiednimi środkami uzupełniającymi, lub derogacja w określonych sytuacjach.

    Europejski Trybunał Sprawiedliwości w sprawie Schrems II (sprawa C-311/18, 2020 r.) jasno stwierdził, że standardowe klauzule umowne muszą zostać uzupełnione o ocenę wpływu na transfer danych, uwzględniającą prawo kraju docelowego oraz to, czy zapewniają one zasadniczo równoważną ochronę. Rosja nie znajduje się na liście adekwatności Komisji Europejskiej, a przeważa interpretacja, że osiągnięcie „zasadniczo równoważnej” ochrony w przypadku transferów do Rosji jest trudne, biorąc pod uwagę tamtejszy stan prawny. Praktyczną konsekwencją tego jest to, że każde narzędzie do projektowania systemów monitoringu wizyjnego, które przesyła dane osobowe na serwery w Rosji lub do podmiotów podlegających rosyjskiej jurysdykcji, stoi w obliczu istotnego obciążenia związanego z oceną wpływu na transfer danych, którego narzędzia hostowane w UE po prostu nie mają.

    W przypadku projektów CCTV ma to znaczenie, ponieważ narzędzia projektowe mają kontakt z danymi osobowymi częściej, niż ludzie zdają sobie z tego sprawę – metadanymi projektu, informacjami o lokalizacji klienta końcowego, adresami e-mail kont, treścią zgłoszeń pomocy technicznej. Klient, który poważnie traktuje GDPR , będzie chciał mieć pewność, że żadne z tych danych nie opuszczają UE/EOG w sposób, który uzasadniałby kontrolę na podstawie Rozdziału V.

    Dlaczego istnieje CCTVplanner — hostowany i opracowany w UE

    CCTVplanner jest obsługiwany przez firmę DEFENSAR, zarejestrowaną w Polsce, z front-endem hostowanym w Polsce i back-endem w infrastrukturze chmurowej w regionie UE. Właśnie to oznacza hasło „100% inżynierii i hostingu w UE” — podmiot prawny, inżynieria i hosting znajdują się w Unii Europejskiej, a w domyślnej architekturze nie ma żadnych podprocesorów z państw trzecich.

    Dla zespołów ds. zakupów oznacza to krótką, deklaratywną odpowiedź na pytania dotyczące ujawnienia pochodzenia opisane powyżej. Na ścieżce danych nie ma żadnego podprocesora z jurysdykcji rosyjskiej, chińskiej ani amerykańskiej. Nie ma obciążenia związanego z oceną wpływu transferu danych na mocy rozdziału V GDPR , ponieważ dane nie opuszczają UE. W łańcuchu dostaw nie ma dyskwalifikowalności równoważnej z § 889. Architektura UE, ciesząca się zaufaniem integratorów z całego świata, to jedyna cecha najczęściej pojawiająca się w rozmowach dotyczących zakupów w 2026 roku.

    Postawa UE w jednym akapicie

    • Podmiot operacyjny DEFENSAR zarejestrowany i będący rezydentem podatkowym w Polsce.
    • Frontend hostowany w Polsce; backend w chmurze regionu UE (EU-west).
    • W domyślnej architekturze nie ma podmiotów przetwarzających dane z państw trzecich.
    • Domyślnie zgodne z GDPR — nie jest wymagana oddzielna ocena wpływu transferu danych w przypadku kupujących z UE.

    Rzeczywistość „Przechodzenia z JVSG ”

    Praktyczne pytanie, które słyszymy od integratorów w 2026 roku, brzmi: „Jesteśmy zadowoleni z naszego obecnego narzędzia do projektowania CCTV, ale zespół ds. zaopatrzenia zgłosił ujawnienie pochodzenia oprogramowania jako ryzyko. Jak wygląda taka migracja?”. Odpowiedź jest głównie mechaniczna — wyeksportowanie planu piętra do pliku DXF, zaimportowanie go do CCTVplanner, wymiana kamer z katalogu ponad 65 000 modeli, dopasowanie progów DORI , zmiana trasy okablowania, wyeksportowanie wielostronicowego PDF . W poniższym przewodniku migracji zamieściliśmy szczegółowy opis. Żaden z kroków nie jest szczególnie trudny. Najtrudniejsza jest zazwyczaj decyzja o przejściu, a nie samo przejście.

    W przypadku zmian wynikających z procesu zakupów, zalecamy udokumentowanie przejścia na piśmie – zdarzenia inicjującego, ocenionych alternatyw, wybranego zamiennika oraz daty wycofania istniejącego narzędzia z procesu. Zarówno doradcy ds. zakupów, jak i audytorzy ESG nagradzają udokumentowane decyzje, a pisemny dziennik przejścia jest powszechnym artefaktem w pakietach due diligence.

    Zastrzeżenie końcowe

    Niniejszy artykuł stanowi przegląd faktów oparty na publicznie dostępnych normach, przepisach i orzecznictwie z maja 2026 r. Nie stanowi porady prawnej ani nie zastępuje porady wykwalifikowanego doradcy ds. zamówień publicznych w Państwa jurysdykcji. Sankcje, kontrola eksportu i przepisy dotyczące zamówień publicznych często się zmieniają i są interpretowane odmiennie w poszczególnych państwach członkowskich UE. Każda konkretna decyzja dotycząca zamówienia publicznego powinna zostać potwierdzona przez doradcę prawnego znającego specyfikę konkretnego podmiotu zamawiającego, sektora i jurysdykcji.

    Żadne stwierdzenie zawarte w niniejszym artykule nie ma na celu zdyskredytowania żadnego kraju, firmy ani kategorii dostawców. Celem jest opisanie ram zaopatrzenia, z jakimi nabywcy będą się z nimi mierzyć w 2026 roku, aby integratorzy mogli przygotowywać odpowiedzi na oferty i projektować przepływy pracy, które przetrwają etap kwalifikacji.

    Często zadawane pytania

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Powiązane artykuły

    CCTVplanner kontra JVSG

    Porównanie bezpośrednie, uwzględniające postawę dotyczącą rezydencji danych.

    Przejście z JVSG : Przewodnik po migracji 2026

    Podręcznik krok po kroku dotyczący przejścia na model oparty na zamówieniach publicznych.

    Najlepsze darmowe oprogramowanie do projektowania monitoringu CCTV (2026)

    Opcje bezpłatne sprawdzone pod kątem pochodzenia z UE i zgodności GDPR.

    EN 62676-4 :2025 Aktualizacja OODPCVS (2026)

    Aktualizacja przepisów dotyczących zamówień publicznych w UE.

    Kalkulator DORI

    Kalkulator przeglądarkowy hostowany na platformie UE, nie wymaga instalacji.

    Kalkulator EN 62676-4

    Zalecenia dotyczące obiektywów zgodne ze standardami, hostowane w UE.

    ← Wróć do bloga

    © 2026 CCTVplanner. © 2026 CCTVplanner. Wszelkie prawa zastrzezone.