Nowe KRI - co musisz wiedzieć?
Kompleksowy przewodnik po nowym rozporządzeniu KRI, obowiązkach audytowych i kluczowych zmianach dla podmiotów publicznych.
Czym są Krajowe Ramy Interoperacyjności?
Krajowe Ramy Interoperacyjności (KRI) to zbiór wymagań prawno-organizacyjnych i standardów technicznych, które muszą spełniać podmioty realizujące zadania publiczne w celu zapewnienia sprawnej, bezpiecznej i jednolitej komunikacji elektronicznej. Nowe rozporządzenie KRI, które weszło w życie 23 maja 2024 roku, zastąpiło poprzednie przepisy z 2012 roku, wprowadzając szereg kluczowych zmian w podejściu do cyberbezpieczeństwa w sektorze publicznym.
Głównym celem KRI jest zapewnienie interoperacyjności, czyli zdolności systemów teleinformatycznych i procesów do efektywnej współpracy. Regulacja określa trzy fundamentalne obszary:
- Krajowe Ramy Interoperacyjności – definiujące standardy i polityki dla tworzonych i używanych systemów.
- Minimalne wymagania dla rejestrów publicznych i wymiany informacji w postaci elektronicznej – zapewniające spójność i dostępność danych.
- Minimalne wymagania dla systemów teleinformatycznych – określające standardy bezpieczeństwa, takie jak regularne audyty, zarządzanie incydentami i ochrona przed złośliwym oprogramowaniem.
Podstawa prawna audytu KRI
Kluczowym aktem prawnym jest Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2024 poz. 773).
Obowiązek rocznego audytu (§ 19 ust. 2 pkt 14)
Rozporządzenie nakłada na każdy podmiot realizujący zadania publiczne jednoznaczny obowiązek przeprowadzania audytu wewnętrznego w obszarze bezpieczeństwa informacji, który musi odbywać się nie rzadziej niż raz na rok. Zlecenie audytu niezależnemu, zewnętrznemu podmiotowi jest uznawane za najlepszą praktykę w celu zapewnienia obiektywnej i rzetelnej oceny.
Dla kogo świadczymy audyt KRI?
Nowe rozporządzenie KRI z 2024 roku znacząco rozszerzyło katalog podmiotów zobowiązanych do jego stosowania. Audyt jest obowiązkowy dla każdej jednostki realizującej zadania publiczne. Naszą ofertę kierujemy m.in. do:
Dobre praktyki i rekomendacje
Aby skutecznie podnieść poziom bezpieczeństwa, należy wdrożyć kompleksowe podejście obejmujące technologię, procesy i ludzi. Poznaj nasze dedykowane usługi w tych obszarach:
Regularne szkolenia pracowników
Prowadzenie cyklicznych szkoleń z cyberbezpieczeństwa, w tym testów phishingowych, aby uczulić personel na socjotechnikę.
Wdrożenie Polityki Haseł i MFA
Wymuszanie złożonych haseł, ich regularnej zmiany oraz bezwzględne stosowanie uwierzytelniania dwuskładnikowego dla dostępów zdalnych.
Aktualizacja i Patch Management
Automatyzacja procesu instalacji poprawek bezpieczeństwa dla systemów operacyjnych i aplikacji.
Backup zgodny z regułą 3-2-1
Utrzymywanie co najmniej trzech kopii danych, na dwóch różnych nośnikach, z czego jedna kopia poza siedzibą.
Audyty i testy podatności
Regularne przeprowadzanie audytów bezpieczeństwa (zgodnie z KRI) oraz skanowania podatności infrastruktury.
KRI, RODO i NIS2/KSC - Czym się różnią?
KRI
Koncentruje się na interoperacyjności i bezpieczeństwie systemów teleinformatycznych w podmiotach publicznych. Wymaga m.in. rocznego audytu bezpieczeństwa informacji, ustanowienia SZBI i spełnienia określonych standardów technicznych.
RODO (GDPR)
Skupia się na ochronie danych osobowych. Reguluje zasady ich przetwarzania, prawa osób, których dane dotyczą, oraz obowiązki administratorów danych. Wymaga oceny skutków dla ochrony danych (DPIA) tam, gdzie ryzyko jest wysokie.
NIS2 / Ustawa o KSC
Dotyczy cyberbezpieczeństwa podmiotów kluczowych i ważnych dla gospodarki i społeczeństwa. Nakłada obowiązki związane z zarządzaniem ryzykiem, zgłaszaniem incydentów i zapewnieniem ciągłości działania usług kluczowych.
Te trzy regulacje wzajemnie się uzupełniają. Nasz audyt KRI uwzględnia ich wzajemne relacje, pomagając zbudować spójny system bezpieczeństwa.