idealdata.pl
Wróć do bazy wiedzy
Prawo2024-06-1512 min czytania(Aktualizacja: 2024-06-20)

Rozporządzenie KRI 2024 - najważniejsze zmiany

Analiza nowego rozporządzenia Rady Ministrów z 21 maja 2024 r. Zobacz, co zmieniło się w wymaganiach dla systemów teleinformatycznych.

W dniu 21 maja 2024 roku Rada Ministrów przyjęła nowe Rozporządzenie w sprawie Krajowych Ram Interoperacyjności (KRI). Akt ten, opublikowany w Dzienniku Ustaw pod pozycją 773, zastępuje dotychczasowe przepisy z 2012 roku, fundamentalnie zmieniając podejście do cyberbezpieczeństwa w podmiotach realizujących zadania publiczne.

1. Dlaczego nowe KRI było potrzebne?

Poprzednie rozporządzenie z 2012 roku powstawało w zupełnie innej rzeczywistości technologicznej. Przez ostatnią dekadę krajobraz cyberzagrożeń zmienił się diametralnie – ataki ransomware, phishing czy wycieki danych stały się codziennością, dotykając również urzędów gmin, szpitali i szkół.

Nowe przepisy mają na celu nie tylko dostosowanie prawa do obecnych standardów (w tym dyrektywy NIS2), ale przede wszystkim wymuszenie na podmiotach publicznych przejścia z "papierowego bezpieczeństwa" na realne, weryfikowalne działania operacyjne.

2. Najważniejsze zmiany – co musisz wiedzieć?

Nowe rozporządzenie wprowadza szereg konkretnych wymagań technicznych i organizacyjnych. Poniżej omawiamy 8 kluczowych obszarów zmian.

2.1. Zarządzanie bezpieczeństwem jako proces ciągły

Koniec z traktowaniem audytu jako jednorazowego działania "do odhaczenia". § 20 nowego rozporządzenia kładzie nacisk na cykliczność. System Zarządzania Bezpieczeństwem Informacji (SZBI) musi być żywym organizmem, regularnie monitorowanym i aktualizowanym.

2.2. Obowiązkowe testy bezpieczeństwa

Jedna z najważniejszych zmian technicznych. Dla systemów połączonych z siecią publiczną (Internetem) wprowadzono wymóg przeprowadzania regularnych testów. Oznacza to konieczność wykonywania skanowania podatności lub testów penetracyjnych, aby aktywnie wykrywać luki zanim zrobią to przestępcy.

2.3. Inwentaryzacja sprzętu i oprogramowania

Precyzyjna ewidencja zasobów to podstawa. Nowe KRI wymaga nie tylko spisu sprzętu, ale również inwentaryzacji oprogramowania wraz z jego wersjami. Jest to kluczowe dla zarządzania podatnościami – nie można zabezpieczyć czegoś, o czym nie wiemy, że istnieje w naszej sieci.

Kobieta przeglądająca dokumenty dotyczące regulacji cyberbezpieczeństwa i compliance

2.4. Zarządzanie uprawnieniami i tożsamością

  • Wdrożenie mechanizmów silnego uwierzytelniania (MFA - Multi-Factor Authentication) dla dostępów zdalnych i administracyjnych.
  • Regularny przegląd uprawnień użytkowników (min. raz w roku).
  • Natychmiastowe odbieranie uprawnień po ustaniu stosunku pracy.

2.5. Security by Design (Bezpieczeństwo od fazy projektu)

Bezpieczeństwo musi być uwzględniane już na etapie planowania nowych systemów lub modyfikacji istniejących. Nie może być "doklejane" na końcu projektu. Wymaga to ścisłej współpracy z dostawcami oprogramowania i uwzględniania wymogów bezpieczeństwa w Specyfikacjach Istotnych Warunków Zamówienia (SIWZ).

2.6. Ochrona przed złośliwym oprogramowaniem

Wymóg stosowania systemów antywirusowych/EDR został doprecyzowany. Systemy te muszą być centralnie zarządzane, a ich bazy sygnatur aktualizowane automatycznie.

2.7. Rejestrowanie zdarzeń (Logi)

Rozszerzono katalog zdarzeń, które muszą być logowane. Logi systemowe muszą być przechowywane przez co najmniej 2 lata (wcześniej wymóg ten był często interpretowany różnie). Jest to kluczowe dla analizy powłamaniowej (forensics).

2.8. Kopie zapasowe (Backup)

Wprowadzono rygorystyczne wymogi dotyczące testowania odtwarzalności kopii zapasowych. Sam fakt posiadania backupu nie wystarczy – trzeba cyklicznie sprawdzać, czy dane da się z niego odzyskać.

3. Co to oznacza dla Jednostek Samorządu Terytorialnego (JST)?

Dla wielu mniejszych urzędów nowe przepisy oznaczają konieczność inwestycji. Nie chodzi tylko o zakup sprzętu, ale przede wszystkim o inwestycję w wiedzę i procedury.

Okres przejściowy

Ustawodawca przewidział 12-miesięczny okres przejściowy na dostosowanie się do nowych wymogów. Czas ten należy wykorzystać na przeprowadzenie audytu zerowego i zaplanowanie budżetu na niezbędne zmiany.

4. Plan działania – krok po kroku

  1. Przeprowadź audyt otwarcia (GAP Analysis): Sprawdź, w którym miejscu jesteś teraz w stosunku do nowych wymagań.
  2. Zaktualizuj dokumentację SZBI: Polityki bezpieczeństwa z 2015 roku nadają się do kosza. Nowe procedury muszą odzwierciedlać rzeczywiste procesy.
  3. Wdróż niezbędne zabezpieczenia techniczne: Skup się na MFA, backupach offline i ochronie stacji roboczych.
  4. Przeszkol personel: Nawet najlepsze systemy nie zadziałają, jeśli pracownik kliknie w złośliwy link. Szkolenia awareness są obowiązkowe.
  5. Zaplanuj budżet na przyszły rok: Cyberbezpieczeństwo to stały koszt, a nie jednorazowy wydatek.

5. Podsumowanie

Nowe Rozporządzenie KRI to krok w dobrą stronę, choć wymagający dla wielu podmiotów. Wymusza profesjonalizację usług IT w sektorze publicznym i kładzie nacisk na realne bezpieczeństwo. Ignorowanie tych przepisów to nie tylko ryzyko prawne (naruszenie dyscypliny finansów), ale przede wszystkim ryzyko paraliżu działania urzędu w przypadku ataku.

Potrzebujesz wsparcia w dostosowaniu do nowego KRI?

Nasi eksperci pomogą Ci przeprowadzić audyt zgodności, opracować nową dokumentację i wdrożyć wymagane zabezpieczenia. Nie czekaj na ostatnią chwilę.

Skontaktuj się z nami
Udostępnij:

Powiązane artykuły

Bezpieczeństwo2024-07-02

Najczęstsze podatności w urzędach – analiza zagrożeń i dobre praktyki

Kompleksowa analiza typowych luk bezpieczeństwa w administracji publicznej, od słabych haseł po błędy w konfiguracji sieci, wraz z praktycznymi rekomendacjami naprawczymi.

Czytaj dalej
Audyty i Compliance2025-11-30

Jak przygotować się do audytu – przewodnik dla jednostek publicznych

Praktyczna lista kontrolna, najczęstsze błędy i plan działania, który pomoże Ci bezstresowo przejść przez audyt bezpieczeństwa informacji (KRI/RODO).

Czytaj dalej

Szanujemy Twoją prywatność

Używamy plików cookies, aby zapewnić Ci najlepszą jakość korzystania z naszej strony, analizować ruch i dostosowywać treści. Możesz dowiedzieć się więcej w naszej Polityce Prywatności.