Kto dokładnie musi przeprowadzać audyt KRI?

Audyt KRI musi przeprowadzać każdy podmiot realizujący zadania publiczne, w tym jednostki samorządu terytorialnego (gminy, powiaty, województwa), państwowe jednostki budżetowe, agencje rządowe, urzędy centralne, jednostki organizacyjne JST (szkoły, GOPS, MOPS, biblioteki, ZGM), samodzielne publiczne zakłady opieki zdrowotnej (SPZOZ), instytucje kultury oraz inne podmioty realizujące zadania publiczne na mocy ustaw.

Czy szkoła musi mieć audyt KRI?

Tak. Szkoły i przedszkola publiczne są jednostkami organizacyjnymi JST realizującymi zadania publiczne, więc w pełni podlegają KRI. W praktyce małe szkoły są często objęte skonsolidowanym audytem na poziomie gminy.

Czy mała gmina wiejska też musi przeprowadzać audyt KRI?

Tak. Rozporządzenie KRI nie wprowadza wyłączeń ze względu na wielkość JST. Mała gmina wiejska poniżej 5 000 mieszkańców ma taki sam ustawowy obowiązek jak Urząd Miasta Stołecznego Warszawy. Zakres audytu jest jednak proporcjonalny do skali infrastruktury.

Czy firma prywatna musi mieć audyt KRI?

Co do zasady nie — KRI dotyczy tylko podmiotów realizujących zadania publiczne. Wyjątkiem są firmy prywatne, które na podstawie umowy realizują zadanie publiczne (np. outsourcing IT dla urzędu) — wtedy wymagania KRI mogą być narzucone umownie.

Jak często trzeba przeprowadzać audyt KRI?

Audyt KRI należy przeprowadzać co najmniej raz w roku oraz dodatkowo po każdej istotnej zmianie w infrastrukturze teleinformatycznej (migracja do chmury, wymiana systemu, fuzja jednostek, znacząca rozbudowa).

Czy SPZOZ podlega KRI?

Tak. Samodzielne publiczne zakłady opieki zdrowotnej są podmiotami realizującymi zadania publiczne i podlegają KRI. Dodatkowo, jeśli SPZOZ przetwarza dane medyczne na dużą skalę, może też podlegać NIS2 jako podmiot ważny lub kluczowy.

Kto musi przeprowadzić audyt KRI 2026? Lista podmiotów zobowiązanych

Audyt KRI musi przeprowadzać każdy podmiot realizujący zadania publiczne — od jednoosobowej biblioteki gminnej po Kancelarię Prezesa Rady Ministrów. Lista jest długa i obejmuje praktycznie wszystkie struktury administracji publicznej oraz większość państwowych i samorządowych jednostek organizacyjnych. Poniżej znajdziesz pełny katalog podmiotów zobowiązanych, najczęstsze wyjątki interpretacyjne oraz informacje o częstotliwości audytu.

📌 Podstawa prawna

Obowiązek audytu KRI wynika z Rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności (Dz.U. 2024 poz. 773), wydanego na podstawie ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. 2005 Nr 64 poz. 565 ze zm.).

1. Jednostki samorządu terytorialnego (JST)

To największa grupa podmiotów zobowiązanych. Obejmuje wszystkie trzy szczeble samorządu:

Gminy — wszystkie 2 477 gmin w Polsce: wiejskie, miejsko-wiejskie i miejskie. Bez wyjątku, niezależnie od liczby mieszkańców.
Powiaty — 314 powiatów (w tym 66 miast na prawach powiatu).
Województwa — 16 urzędów marszałkowskich.
Związki międzygminne i metropolitalne (np. Górnośląsko-Zagłębiowska Metropolia).

2. Jednostki organizacyjne JST

Każda jednostka organizacyjna utworzona przez gminę, powiat lub województwo — niezależnie czy jest jednostką budżetową, zakładem budżetowym czy samorządową instytucją kultury. W praktyce:

Placówki oświatowe — szkoły podstawowe, ponadpodstawowe, technika, licea, ZSO, ZSZ, szkoły specjalne, przedszkola, żłobki, MOW, MOS
Pomoc społeczna — GOPS, MOPS, MOPR, PCPR, ośrodki interwencji kryzysowej, DPS-y, schroniska
Gospodarka mieszkaniowa — ZGM, ZGMK, TBS należące do gminy
Zarządy dróg, transportu, zieleni — ZDM, ZTM, ZDP, ZZM
Instytucje kultury — biblioteki publiczne, ośrodki kultury, muzea, galerie sztuki, kina samorządowe, filharmonie
Sport i rekreacja — OSiR, MOSiR, kąpieliska miejskie, parki wodne
Inne — straże miejskie, izby wytrzeźwień, hospicja należące do JST

3. Państwowe jednostki budżetowe i agencje

Urzędy centralne — ministerstwa, KPRM, urzędy wojewódzkie, ZUS, KRUS, NFZ, ARiMR, KOWR, GUS, GUM
Agencje wykonawcze — NCBR, NAWA, PFRON, GUKE, GIIF
Państwowe osoby prawne — NBP, PAN, instytuty badawcze (PIB)
Inspekcje i kontrole — GIODO (UODO), GIS, NIK, RIO, IH, IJHARS, PIH, IZS
Sądownictwo i prokuratura — sądy powszechne, administracyjne, prokuratury
Służby mundurowe — Policja, ABW, AW, CBA, KAS, Straż Graniczna, Straż Pożarna, Służba Więzienna

4. Sektor zdrowia publicznego

SPZOZ-y — samodzielne publiczne zakłady opieki zdrowotnej (szpitale powiatowe, wojewódzkie, kliniczne, przychodnie publiczne)
Stacje sanitarno-epidemiologiczne — WSSE, PSSE
Regionalne Centra Krwiodawstwa i Krwiolecznictwa
Pogotowia ratunkowe w formie SPZOZ
Hospicja, zakłady opiekuńczo-lecznicze (ZOL) i pielęgnacyjno-opiekuńcze (ZPO) należące do sektora publicznego

Uwaga: SPZOZ-y mogą równolegle podlegać NIS2 (jako podmioty ważne lub kluczowe w sektorze zdrowia) — to dodatkowy reżim, ale audyt KRI go nie zastępuje.

5. Sektor edukacji wyższej i nauki

Uczelnie publiczne — uniwersytety, politechniki, akademie, wyższe szkoły zawodowe
Państwowe instytuty badawcze (PIB)
Polska Akademia Nauk i jej instytuty
Centralna Komisja Egzaminacyjna i okręgowe komisje egzaminacyjne

6. Tabela podsumowująca — kto MUSI, kto MOŻE, kto NIE

Typ podmiotu	Obowiązek KRI	Uwagi
Urząd gminy / miasta	TAK	Bez wyjątków
Starostwo powiatowe	TAK	Bez wyjątków
Urząd marszałkowski	TAK	Bez wyjątków
Szkoła publiczna	TAK	Możliwy audyt skonsolidowany na poziomie gminy
Szkoła niepubliczna z dotacją	SPÓR	Praktyka się wyklarowuje; bezpieczniejsze przeprowadzić
SPZOZ	TAK	Plus ewentualnie NIS2
NZOZ (prywatna przychodnia)	NIE	Chyba że realizuje zadanie publiczne na podst. umowy
Biblioteka publiczna	TAK	Również biblioteki gminne
Spółka komunalna (np. wodociągi)	CZĘŚCIOWO	Jeśli realizuje zadanie publiczne — TAK
Państwowa jednostka budżetowa	TAK	Bez wyjątków
Agencja rządowa	TAK	Bez wyjątków
Uczelnia publiczna	TAK	Z autonomią akademicką, ale obowiązek KRI istnieje
Uczelnia niepubliczna	NIE	Chyba że realizuje zadania zlecone przez państwo
Fundacja / NGO	NIE	Chyba że realizuje zadanie publiczne na podst. umowy
Firma prywatna (komercyjna)	NIE	Może natomiast podlegać UoKSC / NIS2

7. Najczęstsze pytania interpretacyjne

Co z parafiami i kościołami?

Co do zasady kościoły i związki wyznaniowe nie są podmiotami realizującymi zadania publiczne, więc nie podlegają KRI. Wyjątek: jeśli parafia prowadzi szkołę publiczną lub placówkę z dotacją publiczną — ta placówka podlega KRI w zakresie swojego działania.

A spółki komunalne (np. miejskie wodociągi, MPK)?

To obszar interpretacyjny. Spółki komunalne (sp. z o.o., S.A. ze 100% udziałem gminy) nie są jednostkami sektora finansów publicznych w klasycznym sensie, ale często realizują zadania publiczne (zaopatrzenie w wodę, transport zbiorowy, gospodarka odpadami). W praktyce większość ekspertów rekomenduje audyt KRI w spółkach komunalnych — bezpieczeństwo systemów dystrybucji wody czy SCADA to wprost wymóg KSC/NIS2, a KRI jest dobrym fundamentem.

Co z PPP i konsorcjami?

Jeśli podmiot prywatny realizuje zadanie publiczne w formule partnerstwa publiczno-prywatnego (PPP) lub w ramach konsorcjum, zakres KRI często jest narzucany umownie. Strona publiczna pozostaje zobowiązana, a strona prywatna może być zobligowana umową.

A jednoosobowe placówki (mała biblioteka, GOK)?

Tak — obowiązek istnieje. W praktyce jednoosobowe placówki są obejmowane skonsolidowanym audytem na poziomie gminy. Koszt jednostkowy w pakiecie obniża się do 1 500-3 000 zł.

8. Jak często musi być przeprowadzany audyt?

Rozporządzenie KRI z 2024 r. nakłada wymóg audytu nie rzadziej niż raz w roku. W praktyce oznacza to, że każda jednostka musi mieć audyt przeprowadzony i raport podpisany w obrębie 12 miesięcy od poprzedniego.

Dodatkowo audyt KRI powinien być przeprowadzony poza harmonogramem w następujących sytuacjach:

Istotna zmiana w infrastrukturze IT (wymiana głównego systemu, migracja do chmury, fuzja jednostek)
Po znaczącym incydencie cyberbezpieczeństwa
Po zmianie ustawy lub rozporządzenia o KRI
Na wniosek organu nadzorczego (NIK, RIO)

FAQ — czy mój podmiot podlega KRI?

Prowadzę jednoosobową bibliotekę w małej gminie — czy muszę mieć audyt KRI?

Tak. Biblioteka publiczna jest jednostką organizacyjną gminy realizującą zadania publiczne. W praktyce taki audyt realizowany jest najczęściej w ramach skonsolidowanego audytu na poziomie gminy obejmującego wszystkie jednostki organizacyjne.

Pracuję w prywatnej firmie współpracującej z urzędem — KRI mnie dotyczy?

Bezpośrednio nie. Pośrednio — tak, jeśli umowa z urzędem narzuca wymagania KRI (np. outsourcing IT, dostawa systemu informatycznego). Coraz częściej takie klauzule są standardem w umowach z sektorem publicznym.

Jestem dyrektorem SPZOZ — KRI czy NIS2?

Oba. KRI obowiązuje SPZOZ jako podmiot realizujący zadania publiczne. NIS2 może obowiązywać dodatkowo, jeśli SPZOZ kwalifikuje się jako podmiot ważny lub kluczowy w sektorze zdrowia (zwykle większe szpitale). Audyt KRI i compliance NIS2 mogą być realizowane równolegle — wiele wymagań się pokrywa.

Czy moja gmina musi przeprowadzać oddzielne audyty dla każdej szkoły?

Formalnie każda jednostka organizacyjna ma obowiązek, ale w praktyce rekomendowany jest skonsolidowany audyt KRI na poziomie gminy obejmujący wszystkie podległe jednostki. Pozwala to zredukować koszty o 40-60% względem oddzielnych zleceń.

Czy parafia katolicka prowadząca szkołę publiczną podlega KRI?

Szkoła publiczna prowadzona przez parafię podlega KRI w zakresie swojego działania (system kadrowy szkoły, dziennik elektroniczny, sieć szkolna). Sama struktura parafialna — nie.

Co jeśli nie jestem pewien, czy mój podmiot podlega KRI?

Skontaktuj się z nami — bezpłatna konsultacja prawno-organizacyjna pozwala jednoznacznie ustalić zakres obowiązku. Pamiętaj: jeśli zaniedbasz audyt KRI błędnie zakładając brak obowiązku, konsekwencje (kontrola NIK, dyscyplina finansów publicznych) będą takie same jak przy świadomym zaniechaniu — zobacz pełną listę kar za brak audytu KRI.

Niepewny czy Twój podmiot musi mieć audyt KRI?

Bezpłatna konsultacja w 24 h. Odpowiemy konkretnie i z odniesieniem do paragrafów.

Zapytaj o swoją jednostkę

lub zadzwoń: +48 604 548 169

Powiązane artykuły

Artykuł ma charakter informacyjny i nie stanowi porady prawnej. W razie wątpliwości co do zakresu obowiązku KRI w konkretnej jednostce warto skonsultować się z radcą prawnym specjalizującym się w prawie administracyjnym.