4crypto.eu
Bezpłatna konsultacja
Kompetencja · Audyt regulacyjny · 2026

Audyt zgodności z KRI § 20 - coroczna ocena bezpieczeństwa IT JST

Autor: dr inż. Adam CzubakCzas czytania: 11 minAktualizacja: 2026-05-13

Krajowe Ramy Interoperacyjności (KRI) to podstawowy akt regulacyjny wyznaczający wymogi bezpieczeństwa IT dla podmiotów publicznych w Polsce - w tym jednostek samorządu terytorialnego (JST), administracji rządowej, uczelni publicznych i podmiotów leczniczych. § 20 rozporządzenia [1] nakłada obowiązek corocznego audytu systemu zarządzania bezpieczeństwem informacji, opartego o PN-ISO/IEC 27001 (wersja polska ISO/IEC 27001:2022 [2]).

Mimo że rozporządzenie obowiązuje od 2012 r., raport NIK [3] z 2022 r. wykazał, że w 70% skontrolowanych JST audyt nie był przeprowadzany rocznie lub był prowadzony przez osoby z konfliktem interesów. W 2026 r. presja regulacyjna wzrosła dzięki transpozycji NIS2 [4] do prawa polskiego (UKSC, projekt [5]). Artykuł porządkuje, kogo dokładnie dotyczy KRI § 20, co powinien zawierać audyt i jak nie powtarzać błędów wykazanych przez NIK.

Czym jest KRI i kogo dotyczy

Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności [1] (Dz.U. 2012 poz. 526, z późniejszymi zmianami) - wykonawcze do ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. Określa wymogi techniczne i organizacyjne dla systemów informatycznych podmiotów publicznych.

Podmioty objęte (art. 2 ustawy o informatyzacji):

  • organy administracji rządowej,
  • jednostki samorządu terytorialnego (gminy, powiaty, województwa) - kluczowy adresat,
  • jednostki organizacyjne tych organów,
  • sądy administracyjne, prokuratura, NIK, RPO,
  • uczelnie publiczne, instytuty badawcze, PAN,
  • podmioty lecznicze (część),
  • inne państwowe lub samorządowe osoby prawne realizujące zadania publiczne.

§ 20 (kluczowy paragraf) nakłada obowiązek:

> "§ 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, > monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji > zapewniający poufność, dostępność i integralność informacji (...) > 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez > kierownictwo podmiotu publicznego (...)"

Następnie wymienia 14 obszarów obejmujących: inwentaryzację aktywów, klasyfikację informacji, zarządzanie uprawnieniami, szkolenia, ochronę fizyczną, kryptografię, kontrolę dostępu, ochronę przed złośliwym oprogramowaniem, backup, zarządzanie incydentami, ciągłość działania, audyt, relacje z dostawcami.

Wymóg corocznego audytu

§ 20 ust. 2 pkt 14 wymaga "zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok". To jeden z najsilniejszych imperatywów: brak audytu = niezgodność wprost.

Najczęstsze interpretacje błędne zidentyfikowane przez NIK [3]:

  1. "Audyt = audyt finansowy zatrudnionego audytora wewnętrznego". Audyt KRI wymaga kompetencji IT/cyber - typowy internal auditor z ustawy o finansach publicznych nie ma kwalifikacji.
  2. "Nasza JST jest mała, audyt nie obowiązuje". Obowiązuje wszystkich podmiotów objętych ustawą, niezależnie od wielkości.
  3. "Mamy informatyka, on robi audyt". Konflikt interesów - informatyk wdraża i administruje systemy, nie może ich audytować (ISO 19011 [6] zasada niezależności).

Co audyt KRI obejmuje

Profesjonalny audyt § 20 KRI dla średniej JST (50 stanowisk, 5 serwerów) trwa 8-12 osobodni i obejmuje 14 obszarów rozporządzenia:

  1. Polityka bezpieczeństwa - istnienie PBI (zob. PBI), jej aktualność, zatwierdzenie kierownictwa, znajomość przez personel.
  2. Inwentaryzacja aktywów - rejestr sprzętu, oprogramowania, danych. Klasyfikacja informacji (jawna / wewnętrzna / poufna / tajna), zgodność z ustawą o ochronie informacji niejawnych (jeśli stosuje się).
  3. Zarządzanie uprawnieniami - matryca uprawnień, procedury nadawania/odbierania, least privilege, separation of duties, przegląd uprawnień min. raz w roku.
  4. Szkolenia personelu - program awareness, ewidencja przeszkolonych, częstotliwość, sprawdzanie wiedzy. Zob. Security Awareness.
  5. Ochrona fizyczna - kontrola dostępu, monitoring, ochrona pomieszczeń serwerów, polityka clean desk, zasilanie zapasowe, ochrona przeciwpożarowa.
  6. Kryptografia - szyfrowanie dysków (BitLocker, LUKS), szyfrowanie kopii zapasowych, MFA dla kont uprzywilejowanych, klasyfikacja danych pod kątem wymogu szyfrowania.
  7. Kontrola dostępu - fizyczna, logiczna (autentykacja silna, MFA, complex password policy), zdalna (VPN z MFA, brak bezpośredniego RDP z internetu).
  8. Złośliwe oprogramowanie - antywirus/EDR na wszystkich stacjach, brama mailowa, web filtering, sandbox.
  9. Backup i odtwarzanie - polityka, regularne testy odtworzeń (cytat z NIK [3]: "w 80% skontrolowanych jednostek testy odtworzeń nie były wykonywane lub były wykonywane nieregularnie"), backup off-site lub w chmurze, ochrona kopii przed ransomware.
  10. Zarządzanie incydentami - procedura, rejestr, raportowanie do CSIRT NASK lub sektorowego. Zgodność z ISO/IEC 27035-1:2023 [7]. Zob. SOC 24/7.
  11. Ciągłość działania - plan ciągłości (BCP), plan odzyskiwania po awarii (DRP), testy.
  12. Audyt - własna autoocena (ten audyt!), niezależność audytora, ślad audytowy.
  13. Bezpieczeństwo systemów - patchowanie, hardening (zob. Hardening), skanowanie podatności (zob. Skanowanie podatności).
  14. Dostawcy - umowy SLA z klauzulami bezpieczeństwa, ocena ryzyka dostawców, mapping do RODO art. 28 (procesor).

Mapping KRI ↔ ISO 27001:2022 ↔ NIS2

KRI nie jest jednoznaczna z ISO/IEC 27001:2022 [2], ale silnie kompatybilna. Profesjonalny audyt produkuje tabelę mapowania:

  • 14 obszarów KRI § 20 → 93 kontrolki ISO 27001:2022 (4 grupy: organizacyjne, ludzkie, fizyczne, technologiczne).
  • 14 obszarów KRI → 10 obszarów zarządzania ryzykiem z NIS2 [4] art. 21.

Mapping KRI ↔ NIS2 (po transpozycji w UKSC [5], obowiązywanie 2024/2025):

  • JST, które staną się podmiotami istotnymi lub kluczowymi z UKSC będą musiały spełnić i KRI § 20, i UKSC (te wymogi są podobne, ale UKSC jest bardziej rygorystyczny, m.in. w kontekście odpowiedzialności kierownictwa).
  • Dla niektórych JST UKSC będzie pierwszym aktem wymagającym SOC lub jego zlecenia (zob. SOC 24/7).

Najczęstsze błędy z raportu NIK

Raport NIK "Realizacja zadań w obszarze cyberbezpieczeństwa przez podmioty publiczne" (P/21/006) [3] dokumentuje:

  1. Brak audytu rocznego w 70% skontrolowanych JST (mimo wymogu rozporządzenia od 2012 r.).
  2. Audyt prowadzony przez osoby z konfliktem interesów - np. informatyka jednostki.
  3. Brak planu naprawczego po wykryciu niezgodności.
  4. Brak rejestrów incydentów lub rejestr "prowadzony pro forma".
  5. Brak testów odtworzeń backupu.
  6. Brak szkoleń security awareness lub formalne "podpisanie listy obecności" bez treści.
  7. Brak inwentaryzacji aktywów lub nieaktualna o lata.

NIK zalecił MC i MSWiA wzmocnienie wymogów i wdrożenie centralnej infrastruktury wsparcia. Część zaleceń jest realizowana - np. usługa SOC dla JST przez NASK i sektorowe CSIRT-y.

Kary i konsekwencje

KRI samo w sobie nie nakłada kar pieniężnych (to akt wykonawczy do ustawy o informatyzacji, nie ma własnego reżimu sankcyjnego). Konsekwencje są pośrednie:

  • NIK kontrola - wykazanie niezgodności = wniosek do organu nadrzędnego, wpływ na ocenę kierownictwa JST.
  • Wytknięcia w innych kontrolach (CSIRT NASK, UODO przy okazji RODO, NIK) podnoszą wymiar kary przy następnej kontroli.
  • RODO (PUODO [8]) - "brak audytu KRI" używane jest jako dowód braku "regularnego testowania środków" wymaganego przez art. 32 RODO. To bezpośrednia ścieżka do kary administracyjnej (do 20 mln EUR lub 4% rocznego obrotu).
  • NIS2 / UKSC [5] - kara do 10 mln EUR lub 2% globalnego obrotu dla podmiotów istotnych, do 7 mln EUR lub 1,4% dla pozostałych.

Krótko: KRI to brama - jego nieprzestrzeganie otwiera kary z innych aktów.

Checklist: 10 punktów audytu KRI § 20

Lista do samodzielnej autoceny przed zleceniem audytu zewnętrznego.

  1. Polityka Bezpieczeństwa Informacji. Istnieje, zatwierdzona przez kierownictwo, aktualna (przegląd min. roczny), znana personelowi.
  2. Inwentaryzacja aktywów. Rejestr sprzętu, oprogramowania, danych aktualny w 95%+. Klasyfikacja informacji wprowadzona.
  3. Matryca uprawnień. Każde konto przypisane do roli, least privilege, przegląd uprawnień min. raz w roku.
  4. Szkolenia awareness. Plan roczny, ewidencja, sprawdziany wiedzy (nie tylko podpis na liście).
  5. Backup z testem odtworzeń. Polityka backup z RPO/RTO, test odtworzenia min. raz w roku (krytyczne - NIK wykrył brak w 80% JST).
  6. Rejestr incydentów. Aktywny, prowadzony, kategoryzowany. Procedura raportowania do CSIRT zdefiniowana.
  7. Patchowanie. Procedura, harmonogram, dowody (patch reports). Krytyczne łatane w 30 dni.
  8. Hardening. Przynajmniej baseline CIS L1 dla serwerów i stacji roboczych. Zob. Hardening.
  9. MFA dla kont uprzywilejowanych. Wszyscy admin, dostęp zdalny (VPN, RDP), Microsoft 365 admin.
  10. Audyt sam w sobie. Wykonany w roku obrotowym, przez niezależną stronę (nie własny IT), z planem naprawczym i podsumowaniem do kierownictwa.

Najczęściej zadawane pytania

Czy mała gmina (poniżej 1000 mieszkańców) podlega KRI?

Tak. KRI nie ma progu wielkości - obowiązuje wszystkie JST i podmioty publiczne. Skalowanie następuje w zakresie audytu (mała gmina = 2-4 osobodni audytu, średnia = 6-12, duża urzędu marszałkowskiego = 20+ osobodni).

Kto może być audytorem KRI?

Osoba niezależna od audytowanej jednostki (bez stosunku zależności służbowej z IT), z kompetencjami IT/cyber. Najczęściej: zewnętrzny audytor (firma audytorska, biegły rewident z dodatkową kompetencją IT, certyfikowany ISO 27001 Lead Auditor), współpraca z inną JST (rotacja audytorów), konsultant.

Ile kosztuje audyt KRI dla średniej JST?

Bazowo: 4 900 zł rocznie jako add-on do SOC 24/7 4crypto. Sam audyt standalone: 9 900 zł brutto. Wycena każdorazowo po zapoznaniu z zakresem (liczba stanowisk, lokalizacji, systemów).

Czy audyt KRI zwalnia z audytu ISO 27001?

Jeśli planujemy certyfikację ISO/IEC 27001 - audyt KRI stanowi solidną bazę, ale nie zastępuje audytu certyfikacyjnego (wymaga jednostki notyfikowanej). Jednostki, które nie planują certyfikacji, mogą wystarczająco spełnić KRI § 20 audytem rocznym bez ISO.

Co się zmieni po wejściu UKSC (NIS2)?

UKSC [5] nakłada się na KRI, nie zastępuje. Większe JST (zwłaszcza powiatowe i wojewódzkie z usługami istotnymi) staną się podmiotami istotnymi z UKSC - dodatkowe obowiązki: rejestracja w CSIRT-cie sektorowym, raportowanie incydentów do 24/72h, dedykowane stanowisko CISO, kary do 10 mln EUR.

Co jeśli wykryjemy poważne niezgodności podczas audytu?

Audyt nie służy karaniu, ale identyfikacji ryzyk. Standardowa praktyka: raport ze wszystkimi obserwacjami + plan remediacji na 90/180/365 dni z konkretnymi właścicielami. Re-audyt krytycznych po 6 miesiącach.

Czy audyt KRI musi być w formie pisemnej?

Tak. § 20 ust. 2 pkt 14 wymaga audytu "w formie pisemnej". Profesjonalny raport: 60-120 stron (zależnie od skali), z mapowaniem obserwacji do paragrafów rozporządzenia i kontrolek ISO 27001, klasyfikacją ryzyka (CRT - critical/high/medium/low) i planem działań.

Czy audytor wewnętrzny może być pracownikiem urzędu z innego wydziału?

Tak - i to często rozwiązanie pragmatyczne dla małych JST. Wymóg z § 20 KRI [1] i z ISO 19011:2018 [6]: niezależność audytora od audytowanego obszaru. Pracownik z wydziału finansowego może audytować obszar IT, jeśli:

  • Nie wdraża kontrolowanych systemów ani polityk.
  • Nie ma zależności służbowej od kierownika IT.
  • Ma kompetencje IT/cyber (wykształcenie, certyfikat - ISO 27001 Lead Auditor, ISACA CISA).
  • Raportuje wprost do kierownika jednostki, nie do audytowanej linii.

Częsta praktyka w polskich gminach: rotacja audytorów między 2-3 sąsiednimi gminami (wymiana usług). Daje pełną niezależność i niższy koszt.

NIK kontroluje JST w obszarze cyberbezpieczeństwa - na co patrzy?

Raport NIK z 2022 r. "Realizacja zadań w obszarze cyberbezpieczeństwa przez podmioty publiczne" (P/21/006) [3] daje pełną listę. Top 8 obszarów kontroli:

  1. Istnienie polityki bezpieczeństwa informacji i jej aktualizacja.
  2. Audyt KRI § 20 - czy wykonany w roku obrotowym, przez kogo, z jakim wynikiem.
  3. Rejestr aktywów IT - kompletność, klasyfikacja.
  4. Backup z testem odtworzeń (NIK ujawniła brak w 80% kontrolowanych JST).
  5. Procedura zarządzania incydentami - czy istnieje, czy jest stosowana.
  6. Szkolenia personelu - ewidencja, sprawdziany wiedzy.
  7. Patchowanie krytycznych w 30 dni.
  8. MFA dla kont uprzywilejowanych.

NIK ma uprawnienia wglądu do dokumentacji i przesłuchania pracowników. Wynik kontroli z wytknięciami idzie do organu nadrzędnego i wpływa na ocenę kierownictwa JST.

Czy informatyk gminny może zrobić audyt KRI sam?

Nie. To konflikt interesów dyskwalifikujący audyt z punktu widzenia ISO 19011:2018 [6] i KRI § 20 [1]. Informatyk wdraża i utrzymuje systemy IT, więc audytowanie ich przez niego samego oznacza ocenianie własnej pracy. NIK [3] w wytknięciach jawnie kwestionuje taki model. Akceptowalne alternatywy:

  1. Audytor wewnętrzny z innego wydziału (z kompetencjami).
  2. Audytor z innej JST (rotacja).
  3. Audytor zewnętrzny (najpewniejszy formalnie).
Czy KRI obowiązuje uczelnie publiczne, szpitale, sądy?

Tak - wszystkich podmiotów realizujących zadania publiczne zgodnie z ustawą o informatyzacji działalności podmiotów realizujących zadania publiczne (art. 2). Obejmuje to:

  • Uczelnie publiczne - tak (uznawane za podmioty publiczne).
  • Szpitale - tak, jeśli są SP ZOZ-ami lub podmiotami publicznymi; podmioty prywatne - nie wprost, ale RODO art. 32 [9] tworzy faktyczny wymóg analogiczny.
  • Sądy, prokuratura, NIK, RPO - wprost objęte (art. 2 ust. 1 pkt 1 ustawy).
  • Instytuty badawcze, PAN - tak.
  • Spółki komunalne - zależnie od formy organizacyjnej; spółki Skarbu Państwa i spółki komunalne realizujące zadania publiczne - tak.
Co się stanie, gdy nie zrobimy audytu KRI w danym roku?

Niezgodność z § 20 ust. 2 pkt 14 KRI [1] sama w sobie nie generuje kary pieniężnej (KRI jest rozporządzeniem wykonawczym bez własnego reżimu sankcyjnego). Konsekwencje pośrednie:

  • Wytknięcie w kontroli NIK [3] → wniosek do organu nadrzędnego.
  • PUODO [8] może traktować brak audytu jako brak "regularnego testowania" wymaganego art. 32 (1) lit. d RODO [9] - co otwiera drogę do kary administracyjnej.
  • Po wejściu UKSC [5] (NIS2) - kary do 10 mln EUR lub 2% globalnego obrotu dla podmiotów istotnych.
  • Wpływ na ocenę kierownictwa, audyt komisji rewizyjnej.

Praktyka: ryzyko finansowe za brak audytu w 2026 r. jest wielokrotnie wyższe niż koszt audytu (5-10 tys. zł).

Potrzebujesz konsultacji w tym obszarze?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Omawiamy potrzeby, skalę i ramowy harmonogram.

Zadzwoń: +48 691 122 312office@4crypto.eu

Powiązane treści

Pozostałe obszary kompetencyjne

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Standardy ISO/IEC, RFC IETF, dyrektywy UE i akty krajowe odsyłają do oryginalnych dokumentów.

  1. [1]regulationRada Ministrów RP (2012). Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (KRI). Dz.U. 2012 poz. 526 (z późn. zm.) · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20120000526
  2. [2]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  3. [3]reportNajwyższa Izba Kontroli (NIK) (2022). Informacja o wynikach kontroli: Realizacja zadań w obszarze cyberbezpieczeństwa przez podmioty publiczne (P/21/006). NIK, Warszawa · https://www.nik.gov.pl/kontrole/P/21/006/
  4. [4]regulationParlament Europejski, Rada UE (2022). Dyrektywa (UE) 2022/2555 (NIS2) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa. Dziennik Urzędowy UE, L 333, 27.12.2022 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555
  5. [5]regulationMinisterstwo Cyfryzacji RP (2024). Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (transpozycja NIS2). Rządowe Centrum Legislacji · https://legislacja.rcl.gov.pl/projekt/12384504
  6. [6]standardInternational Organization for Standardization (2018). ISO 19011:2018 - Guidelines for auditing management systems. ISO · https://www.iso.org/standard/70017.html
  7. [7]standardInternational Organization for Standardization (2023). ISO/IEC 27035-1:2023 - Information security incident management - Part 1: Principles and process. ISO/IEC · https://www.iso.org/standard/78973.html
  8. [8]reportPrezes UODO (2024). Sprawozdanie roczne z działalności Prezesa UODO za 2023 r.. UODO, Warszawa · https://uodo.gov.pl/pl/138/3270
  9. [9]regulationParlament Europejski, Rada UE (2016). Rozporządzenie (UE) 2016/679 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Dziennik Urzędowy UE, L 119, 4.5.2016 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679
  10. [10]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion. DOI: 10.2824/0710888 · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  11. [11]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29, February 2024. DOI: 10.6028/NIST.CSWP.29 · https://doi.org/10.6028/NIST.CSWP.29
  12. [12]standardInternational Organization for Standardization (2018). ISO 19011:2018 - Guidelines for auditing management systems. ISO · https://www.iso.org/standard/70017.html
  13. [13]standardInternational Organization for Standardization (2020). ISO/IEC 27007:2020 - Guidelines for information security management systems auditing. ISO/IEC · https://www.iso.org/standard/77802.html
  14. [14]standardInternational Organization for Standardization (2022). ISO/IEC 27005:2022 - Guidance on managing information security risks. ISO/IEC · https://www.iso.org/standard/80585.html
  15. [15]standardInternational Organization for Standardization (2022). ISO/IEC 27002:2022 - Information security controls. ISO/IEC · https://www.iso.org/standard/75652.html
  16. [16]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  17. [17]standardJoint Task Force (2020). NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. NIST. DOI: 10.6028/NIST.SP.800-53r5 · https://doi.org/10.6028/NIST.SP.800-53r5
  18. [18]reportNajwyższa Izba Kontroli (NIK) (2022). Informacja o wynikach kontroli: Realizacja zadań w obszarze cyberbezpieczeństwa przez podmioty publiczne (P/21/006). NIK, Warszawa · https://www.nik.gov.pl/kontrole/P/21/006/
  19. [19]reportCERT Polska / NASK (2024). Krajobraz bezpieczeństwa polskiego internetu - raport roczny CERT Polska 2023. NASK PIB, Warszawa · https://www.cert.pl/publikacje/raport-roczny-cert-polska/
  20. [20]standardCenter for Internet Security (2024). CIS Critical Security Controls Version 8.1. CIS · https://www.cisecurity.org/controls
  21. [21]peer-reviewedVielberth, M., Böhm, F., Fichtinger, I., Pernul, G. (2020). Security Operations Center: A Systematic Study and Open Challenges. IEEE Access, vol. 8, pp. 227756-227779. DOI: 10.1109/ACCESS.2020.3045514 · https://doi.org/10.1109/ACCESS.2020.3045514