4crypto.eu
Bezpłatna konsultacja
Compliance · Rozporządzenie krajowe · 2026

KRI w 2026 r. - Krajowe Ramy Interoperacyjności, § 20 SZBI, audyt co 24 miesiące dla JST i administracji

Autor: dr inż. Adam Czubak Czas czytania: 13 min Aktualizacja: 2026-05-15

Ratio legis

Rozporządzenie KRI powstało w 2012 r., gdy administracja publiczna miała znacząco niższy poziom dojrzałości IT niż sektor prywatny, a wycieki danych obywateli stawały się powracającym problemem kontroli NIK. Ratio legis § 20 to przeniesienie standardu PN-ISO/IEC 27001 do sektora publicznego - jako obligatoryjny baseline dla podmiotów realizujących zadania publiczne, niezależnie od wielkości czy zasobów jednostki. Państwo nie może pozwolić jednostkom samorządu na własne tempo - ochrona danych obywateli wymaga jednolitych wymagań od pierwszego dnia, a brak kar pieniężnych jest świadomy: konsekwencje mają być realizowane przez kontrolę NIK i odpowiedzialność dyscyplinarną kierowników jednostek.

Krajowe Ramy Interoperacyjności (KRI) [1] to rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. regulujące zasady interoperacyjności rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalne wymagania bezpieczeństwa dla systemów teleinformatycznych podmiotów realizujących zadania publiczne. Choć tytuł sugeruje regulację techniczną w zakresie integracji systemów, faktyczne znaczenie KRI dla bezpieczeństwa wynika z jednego paragrafu - § 20, który nakłada obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) i audytu nie rzadziej niż co 24 miesiące.

KRI obowiązuje od czerwca 2012 r. - to pierwsza polska regulacja nakładająca systemowy obowiązek SZBI na sektor publiczny. Dotyczy ponad 2800 gmin, 314 powiatów, 16 województw, kilkudziesięciu organów administracji centralnej, jednostek służby zdrowia, ZUS, NFZ, KRUS, sądów - łącznie kilku tysięcy podmiotów. Po 14 latach obowiązywania wciąż jest znaczna grupa jednostek z poważnymi lukami w realizacji § 20 - co regularnie wykazują kontrole NIK [5]. Artykuł porządkuje strukturę KRI, omawia 14 wymagań § 20, wymogi audytu i mapping do PN-ISO/IEC 27001 [3].

Czym jest KRI - struktura rozporządzenia

Pełna nazwa: Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych [1]. Akt wykonawczy do ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne [2].

Struktura rozporządzenia

KRI obejmuje cztery główne obszary regulacyjne:

  1. Rozdział 1 - Krajowe Ramy Interoperacyjności (§§ 1-7) - zasady interoperacyjności systemów teleinformatycznych podmiotów realizujących zadania publiczne. Trzy wymiary interoperacyjności:
    • Organizacyjna - procesy biznesowe między podmiotami.
    • Semantyczna - jednolite słowniki, klasyfikacje, struktury danych.
    • Techniczna - protokoły, formaty, interfejsy.
  2. Rozdział 2 - Minimalne wymagania dla rejestrów publicznych (§§ 8-13) - format, dostępność, integralność, retencja, archiwizacja danych w rejestrach.
  3. Rozdział 3 - Wymiana informacji w postaci elektronicznej (§§ 14-19) - standardy elektronicznego doręczenia, podpisu elektronicznego, formularzy.
  4. Rozdział 4 - Minimalne wymagania dla systemów teleinformatycznych (§§ 20-22) - rdzeń regulacji bezpieczeństwa, w tym kluczowy § 20.

W praktyce największe znaczenie dla bezpieczeństwa ma § 20, który definiuje obowiązek SZBI i 14 wymagań szczegółowych. Pozostałe paragrafy mają charakter technicznej koordynacji systemów.

Historia i nowelizacje

  • 12 kwietnia 2012 - przyjęcie rozporządzenia.
  • 16 maja 2012 - publikacja w Dz.U. 2012 poz. 526.
  • 31 maja 2012 - wejście w życie.
  • Nowelizacje - kilka aktualizacji, głównie aktualizacja norm odsyłanych (przejście z ISO 27001:2005 na 27001:2013, potem na 27001:2022) oraz dostosowanie do innych regulacji (RODO, KSC).

KRI nie jest aktem zastąpionym - obowiązuje nadal. Po transpozycji NIS2 do KSC część podmiotów obecnie objętych KRI zostanie objęta również KSC/NIS2 (np. duże JST), ale KRI pozostanie podstawową regulacją dla mniejszych podmiotów publicznych.

Kogo dotyczy KRI - podmioty realizujące zadania publiczne

Zakres podmiotowy KRI wynika z ustawy o informatyzacji [2], która definiuje "podmiot realizujący zadania publiczne" jako:

Pełny katalog podmiotów

  • Organy administracji rządowej - Prezes RM, ministerstwa, urzędy centralne, urzędy wojewódzkie, agencje rządowe (np. ARiMR, Agencja Mienia Wojskowego).
  • Jednostki samorządu terytorialnego - gminy (urzędy gmin / miast), powiaty (starostwa, urzędy miast na prawach powiatu), województwa (urzędy marszałkowskie) wraz z ich jednostkami organizacyjnymi.
  • Jednostki organizacyjne JST - szkoły publiczne (przedszkola, szkoły podstawowe, średnie), biblioteki publiczne, ośrodki kultury, ośrodki pomocy społecznej, MOPS / GOPS, zakłady gospodarki komunalnej, MZK, ZOZ samorządowe.
  • Podmioty finansów publicznych - ZUS, NFZ, KRUS, BFG, NBP w zakresie zadań publicznych.
  • Władza sądownicza - sądy powszechne, administracyjne, Sąd Najwyższy, NSA, prokuratury.
  • Inne podmioty publiczne - Państwowa Inspekcja Pracy, Państwowa Inspekcja Sanitarna, Urząd Ochrony Konkurencji i Konsumentów, Urząd Komunikacji Elektronicznej, Polski Rejestr Statków, itp.
  • Państwowe osoby prawne realizujące zadania publiczne (np. instytuty badawcze prowadzące badania na zlecenie państwa).
  • Niepubliczne podmioty w zakresie wykonywanego konkretnego zadania publicznego (np. niepubliczne przedszkole otrzymujące dotację publiczną w zakresie tej dotacji; podmiot wykonujący zadania publiczne na zlecenie).

Kto nie podlega KRI

  • Spółki prawa handlowego nie wykonujące zadań publicznych.
  • Podmioty prywatne (chyba że realizują konkretne zadanie publiczne).
  • Niepubliczne placówki oświatowe finansowane wyłącznie z czesnego (RODO i ustawy oświatowe nadal obowiązują, ale nie KRI).

Skala

W Polsce KRI dotyczy:

  • Ponad 2 800 gmin (w tym 944 miast na prawach gminy).
  • 314 powiatów.
  • 16 województw.
  • Około 20 tys. szkół i innych jednostek oświatowych.
  • Ponad 20 ministerstw i urzędów centralnych.
  • Setki agencji, instytucji państwowych.

Łącznie dziesiątki tysięcy podmiotów. To rząd wielkości większy niż KSC (kilkaset OUK).

§ 20 KRI - obowiązek SZBI

§ 20 KRI to najważniejszy paragraf rozporządzenia dla bezpieczeństwa informacji. Brzmi (skrócona istota):

Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Trzy filary § 20

  1. Cykl PDCA (Plan-Do-Check-Act) - "opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali". To bezpośrednie zapożyczenie z PN-ISO/IEC 27001.
  2. Triada CIA - poufność (Confidentiality), dostępność (Availability), integralność (Integrity). Standardowa definicja celów bezpieczeństwa informacji.
  3. Atrybuty rozszerzone - autentyczność, rozliczalność, niezaprzeczalność, niezawodność. Wykraczają poza CIA, są charakterystyczne dla regulacji administracyjnych.

Domniemanie zgodności z ISO 27001

§ 20 ust. 3 KRI stwierdza, że wymagania uważa się za spełnione, jeśli SZBI jest opracowany na podstawie PN-ISO/IEC 27001, a ustanawiane zabezpieczenia, zarządzanie ryzykiem oraz audytowanie wykonywane są na podstawie odpowiednich norm. To kluczowy mechanizm - daje podmiotom drogę do udokumentowanej zgodności poprzez wdrożenie międzynarodowego standardu.

Cytowane normy:

  • PN-ISO/IEC 27001 - wymagania SZBI (zob. artykuł o ISO 27001).
  • PN-ISO/IEC 27002 - kodeks dobrych praktyk, zabezpieczenia (zob. artykuł o ISO 27002).
  • PN-ISO/IEC 27005 - zarządzanie ryzykiem bezpieczeństwa informacji.
  • PN-ISO/IEC 24762 - usługi odzyskiwania zdolności do działania po katastrofie.

W praktyce większość polskich JST nie certyfikuje się na ISO 27001, ale wdraża SZBI na podstawie normy - dokumentacja, polityki, procedury opierają się na strukturze ISO 27001, bez formalnego certyfikatu. To dopuszczalne i wystarczające dla spełnienia KRI.

14 wymagań bezpieczeństwa

§ 20 ust. 2 KRI wymienia 14 szczegółowych wymagań bezpieczeństwa. Poniżej każde z nich z praktycznym komentarzem:

1. Aktualne inwentaryzacje sprzętu i oprogramowania

Lista wszystkich urządzeń sieciowych, stacji roboczych, serwerów, oprogramowania (systemowego i aplikacyjnego). Aktualizowana w trybie ciągłym. Praktyka: CMDB (Configuration Management Database) lub minimum arkusz Excel z procedurą aktualizacji.

2. Klasyfikacja informacji ze względu na poufność

Cztery poziomy: publiczna / wewnętrzna / poufna / tajna (lub równoważne). Każda informacja w organizacji powinna być zaklasyfikowana. Dla danych osobowych klasyfikacja koreluje z kategoriami RODO (zwykłe vs szczególne, art. 9 RODO).

3. Szkolenia pracowników

Szkolenia onboarding dla nowych pracowników (minimum) i cykliczne szkolenia awareness dla wszystkich (zalecane min. raz w roku). Tematy: rozpoznawanie phishingu, hasła, polityka pracy z danymi osobowymi, postępowanie w razie incydentu. Zob. Security Awareness.

4. Polityka dostępu do informacji

Procedura nadawania, weryfikacji i odbierania uprawnień. Zasada least privilege. Cykliczne przeglądy uprawnień (minimum raz w roku). Procedura "leaver" - usunięcie kont po odejściu pracownika.

5. Ochrona przed nieautoryzowanym dostępem

Mechanizmy techniczne: hasła zgodne z polityką (minimum 12 znaków, złożoność), MFA dla dostępu zdalnego i kont uprzywilejowanych, kontrola dostępu fizycznego (karty, kody PIN), monitoring wejść.

6. Kopie zapasowe

Strategia 3-2-1: minimum 3 kopie, na 2 różnych nośnikach, 1 offsite (poza lokalizacją produkcyjną). Regularny test odzyskiwania - minimum raz na rok dla systemów krytycznych. To najczęściej pomijany element - backup robi się, ale nikt go nigdy nie testował.

7. Ochrona przed złośliwym oprogramowaniem

Antywirus / EDR na wszystkich stacjach roboczych i serwerach. Aktualne sygnatury. Skanowanie wszystkich plików przychodzących (email, USB, downloadów). Whitelist aplikacji dla krytycznych systemów.

8. Mechanizmy kryptograficzne

Szyfrowanie:

  • W spoczynku: BitLocker, LUKS dla dysków stacji roboczych zwłaszcza mobilnych. Szyfrowanie baz danych z danymi osobowymi.
  • W tranzycie: TLS 1.2+ dla wszystkich aplikacji web, HTTPS, VPN z szyfrowaniem dla zdalnego dostępu.
  • Komunikacja: szyfrowana poczta (S/MIME, PGP) dla wymiany danych poufnych z partnerami.

9. Ochrona przed atakami

Środki techniczne przeciw atakom: firewall, IDS/IPS, WAF dla aplikacji web, monitoring sieci. Hardening systemów (zob. Hardening) - usunięcie domyślnych kont, wyłączenie nieużywanych usług, ograniczenie portów.

10. Rejestrowanie zdarzeń

Logi systemowe i bezpieczeństwa centralnie zbierane (SIEM lub minimum centralny syslog), retencja minimum 12 miesięcy, ochrona przed manipulacją, regularne przeglądy.

11. Procedury ciągłości działania

Plan ciągłości działania (BCP) - jak organizacja kontynuuje krytyczne procesy w razie awarii. Plan odzyskiwania po awarii (DRP) - jak technicznie przywrócić systemy. Testy: tabletop minimum raz w roku, test full failover - rzadziej.

12. Ochrona przed kompromitacją kont uprzywilejowanych

Konta administracyjne: silne hasła (min. 16 znaków), MFA, PAM/PIM (Privileged Access Management - vault haseł, sesje nagrywane, czasowe nadawanie uprawnień), separacja od kont użytkowych (administrator nie loguje się tym samym kontem do poczty).

13. Audyt min. raz na 24 miesiące

Niezależny audyt SZBI, raport, plan działań korygujących (osobna sekcja niżej).

14. Dokumentacja SZBI

Wszystkie elementy SZBI udokumentowane: polityki, procedury, instrukcje, dowody (logs, raporty, rejestry). Kluczowa zasada audytu: "jeśli nie jest udokumentowane - nie istnieje".

Audyt KRI - co 24 miesiące

Audyt to najbardziej weryfikowalny obowiązek KRI. Wymóg: nie rzadziej niż raz na 24 miesiące (§ 20 ust. 2 pkt 14).

Charakter audytu

KRI mówi o "audycie wewnętrznym" - w polskim prawie audyt wewnętrzny ma określone znaczenie (ustawa o finansach publicznych, art. 272). Praktycznie audyt KRI może być:

  • Wewnętrzny - przez komórkę audytu wewnętrznego JST (np. w urzędzie marszałkowskim, ministerstwie).
  • Zlecony zewnętrznie - jako audyt wewnętrzny zlecony na zewnątrz (np. firmie audytorskiej). To najczęstsza praktyka w mniejszych JST.

Szczegółowy opis - artykuł o audycie KRI.

Zakres audytu

Audyt KRI obejmuje:

  1. Dokumentację SZBI - polityka bezpieczeństwa, procedury, analiza ryzyka, plan ciągłości działania, plan zarządzania incydentami.
  2. Środki techniczne - weryfikacja przez próbkowanie: konfiguracje hardeningu, MFA, szyfrowania, backupu, logowania, antywirusa.
  3. Dowody operacyjne - rejestry zdarzeń, raporty z testów backupu, listy szkoleń, raporty z poprzednich audytów.
  4. Świadomość personelu - wywiady z losowo wybranymi pracownikami (czy wiedzą jak zgłosić incydent, jak rozpoznać phishing, gdzie znaleźć polityki).
  5. Testy techniczne (opcjonalnie, zalecane) - skanowanie podatności (zob. Skanowanie podatności), test penetracyjny (zob. Testy penetracyjne).

Raport audytowy

Raport zawiera:

  • Cele i zakres audytu.
  • Metodyka.
  • Stwierdzenia (findings) - z klasyfikacją (krytyczne / wysokie / średnie / niskie).
  • Rekomendacje działań korygujących.
  • Plan postępowania - kto, co, do kiedy.
  • Ocena ogólna stanu SZBI.

Raport przekazywany jest kierownikowi jednostki (wójt, burmistrz, prezydent, dyrektor, minister) i może być żądany przez NIK / RIO / kontrolę zewnętrzną.

Kompetencje audytora

Wymagania nie są wprost określone w KRI, ale rynkowy standard to:

  • CIS[19]A (Certified Information Systems Auditor) - ISACA.
  • ISO 27001 Lead Auditor - akredytowane szkolenie + egzamin.
  • Doświadczenie - minimum 3-5 lat w audycie bezpieczeństwa IT, najlepiej w sektorze publicznym.
  • Niezależność - brak konfliktu interesów (nie wdraża SZBI tej samej jednostki).

Koszt audytu KRI

W zależności od skali jednostki:

  • Mała gmina (do 10 tys. mieszkańców): 10-20 tys. zł za audyt.
  • Średnia gmina / urząd miasta (10-50 tys.): 20-40 tys. zł.
  • Duża jednostka (powyżej 50 tys. mieszkańców, urząd marszałkowski): 40-100 tys. zł.
  • Ministerstwo / urząd centralny: 100-300 tys. zł.

Kontrola NIK i RIO

KRI nie ma bezpośrednich kar pieniężnych, ale konsekwencje pośrednie są realne.

Najwyższa Izba Kontroli (NIK)

NIK regularnie kontroluje stan informatyzacji administracji [5]. Co kilka lat publikowany jest raport "Bezpieczeństwo teleinformatyczne podmiotów publicznych". Wnioski NIK z ostatnich lat:

  • Większość JST posiada dokument polityki bezpieczeństwa, ale często nieaktualny lub niezgodny z faktycznymi praktykami.
  • Brak udokumentowanej analizy ryzyka w wielu JST.
  • Audyt KRI nie jest przeprowadzany w terminie w wielu jednostkach (lub w ogóle).
  • Słabe testy ciągłości działania - plany są, ale nie są testowane.
  • Konflikt interesów w audycie - audytor wdraża i audytuje to samo SZBI.

Negatywna ocena NIK skutkuje:

  • Publikacją wniosków w raporcie publicznym (reputation damage).
  • Wystąpieniami pokontrolnymi z rekomendacjami.
  • Wnioskami do organów ścigania w razie podejrzeń naruszenia prawa.
  • Pisemnymi zaleceniami z terminem realizacji.

Regionalna Izba Obrachunkowa (RIO)

RIO kontroluje gospodarkę finansową JST. KRI wpada w zakres kontroli w aspekcie:

  • Zasadności wydatków na IT - czy budżet uwzględnia obowiązki KRI.
  • Realizacji projektów cyfryzacji - czy spełniają wymagania KRI.
  • Pozyskania środków UE - czy nie naruszono zasad kwalifikowalności wymagających zgodności z KRI.

Ministerstwo Cyfryzacji / Pełnomocnik Rządu ds. Cyberbezpieczeństwa

Może prowadzić kontrole w jednostkach administracji rządowej. W razie poważnych braków formułuje zalecenia, w skrajnych przypadkach wnioskuje o odpowiedzialność dyscyplinarną.

Odpowiedzialność osobista

Kierownik jednostki (wójt, burmistrz, prezydent, dyrektor) ponosi odpowiedzialność za organizację bezpieczeństwa:

  • Dyscyplinarna - w razie naruszenia obowiązków służbowych.
  • Cywilna - w razie szkód wynikłych z zaniedbań.
  • Karna - w skrajnych przypadkach (art. 165 § 1 pkt 4 KK - sprowadzenie niebezpieczeństwa dla wielu osób; art. 268 KK - utrudnianie zapoznania się z informacją uprawnionej osobie; art. 107 ustawy o ochronie danych osobowych).

RODO i konsekwencje wycieków

JST jest administratorem danych osobowych w rozumieniu RODO [7]. Naruszenie KRI prowadzące do wycieku danych może skutkować:

  • Karą RODO - do 20 mln EUR lub 4% obrotu (dla JST - 4% obrotu nie ma zastosowania, kara do 10 mln EUR dla podmiotów publicznych w polskiej ustawie o ochronie danych osobowych).
  • Obowiązkiem zgłoszenia do PUODO w 72h.
  • Obowiązkiem powiadomienia osób, których dane dotyczą.
  • Pozwami cywilnymi mieszkańców / petentów.

Mapping do PN-ISO/IEC 27001 i 27002

KRI § 20 ust. 3 daje domniemanie zgodności dla SZBI wdrożonego na podstawie ISO 27001. To kluczowy mechanizm - daje jednoznaczną drogę do udokumentowanej compliance.

Struktura ISO 27001:2022

ISO 27001 składa się z dwóch części:

  • Wymagania zarządcze (klauzule 4-10) - kontekst organizacji, przywództwo, planowanie, wsparcie, działanie, ocena, doskonalenie.
  • Załącznik A - 93 zabezpieczenia w 4 grupach:
    • A.5 Zabezpieczenia organizacyjne (37 controls).
    • A.6 Zabezpieczenia personalne (8 controls).
    • A.7 Zabezpieczenia fizyczne (14 controls).
    • A.8 Zabezpieczenia technologiczne (34 controls).

Szczegóły zabezpieczeń są w ISO 27002:2022 [4]. Zob. artykuł o ISO 27002.

Mapping 14 wymagań KRI -> ISO 27001:2022

Każde z 14 wymagań § 20 KRI ma odpowiednik w ISO 27001:2022 Annex A:

  1. Inwentaryzacja sprzętu i oprogramowania -> A.5.9 Inventory of information and other assoc[18]iated assets.
  2. Klasyfikacja informacji -> A.5.12 Classification of information, A.5.13 Labelling of information.
  3. Szkolenia -> A.6.3 Information security awareness, education and training.
  4. Polityka dostępu -> A.5.15 Access control, A.5.16 Identity management, A.5.18 Access rights.
  5. Ochrona przed nieautoryzowanym dostępem -> A.5.17 Authentication information, A.8.5 Secure authentication.
  6. Kopie zapasowe -> A.8.13 Information backup.
  7. Złośliwe oprogramowanie -> A.8.7 Protection against malware.
  8. Kryptografia -> A.8.24 Use of cryptography.
  9. Ochrona przed atakami -> A.8.20 Networks security, A.8.21 Security of network services, A.8.22 Segregation of networks.
  10. Rejestrowanie zdarzeń -> A.8.15 Logging, A.8.16 Monitoring activities.
  11. Ciągłość działania -> A.5.29 Information security during disruption, A.5.30 ICT readiness for business continuity.
  12. Konta uprzywilejowane -> A.8.2 Privileged access rights.
  13. Audyt -> klauzula 9.2 Internal audit ISO 27001 (wymaganie obligatoryjne).
  14. Dokumentacja -> klauzula 7.5 Documented information.

Wniosek: certyfikat ISO 27001 = pełna zgodność z KRI § 20. Audyt KRI w jednostkach certyfikowanych ISO 27001 sprowadza się do weryfikacji aktualności certyfikatu i raportów z nadzoru jednostki certyfikującej.

Certyfikacja vs zgodność na podstawie normy

Dwie ścieżki:

  • Pełna certyfikacja ISO 27001 - akredytowany audyt zewnętrzny, certyfikat ważny 3 lata, audyty nadzorcze co rok. Koszt: 30-100 tys. zł rocznie (dla średniej organizacji), korzyść: jednoznaczny dowód, ułatwienia w przetargach, wzmocnienie pozycji w wymianie z partnerami.
  • SZBI "na podstawie ISO 27001" bez certyfikacji - wdrożenie zgodne z normą, ale bez audytu jednostki certyfikującej. Audyt KRI co 24 miesiące. Koszt: niższy w długim okresie, ale brak zewnętrznej walidacji.

KRI vs KSC vs NIS2

Trzy regulacje krajowe / europejskie często mylone, ale obejmujące różne podmioty:

Tabela porównawcza

  • KRI - rozporządzenie z 12 kwietnia 2012 r. Dotyczy: podmioty realizujące zadania publiczne (administracja, JST, szkoły, szpitale publiczne nieobjęte KSC). Brak kar pieniężnych, kontrola NIK/RIO. Wymagania: § 20 (SZBI + 14 wymagań), audyt co 24 miesiące.
  • KSC - ustawa z 5 lipca 2018 r. Dotyczy: operatorzy usług kluczowych (OUK) w 7 sektorach krytycznych (energia, transport, banki, szpitale powyżej progu, woda, infrastruktura cyfrowa, DUC). Kary do 1 mln zł (KSC obecny) lub 10 mln EUR (po NIS2). Wymagania: SZBI, SOC 24/7, zgłaszanie incydentów (24h), audyt co 24 miesiące. Zob. artykuł o KSC.
  • NIS2 - dyrektywa UE 2022/2555. Dotyczy: 18 sektorów, w tym administracja publiczna. Po transpozycji do KSC (UC59) obejmie dużo szerszy katalog podmiotów. Kary do 10 mln EUR + osobista odpowiedzialność zarządu. Zob. artykuł o NIS2.

Mapping podmiotów

  • Mała gmina (do 50 tys. mieszkańców): KRI tak, NIS2 prawdopodobnie nie (zależnie od polskiej transpozycji), KSC nie.
  • Duża gmina, miasto na prawach powiatu: KRI tak, NIS2 prawdopodobnie tak (po transpozycji), KSC tylko w zakresie szpitali / wodociągów powyżej progu.
  • Urząd marszałkowski: KRI tak, NIS2 tak (po transpozycji), KSC nie bezpośrednio.
  • Ministerstwo: KRI tak, NIS2 tak (administracja centralna), KSC nie bezpośrednio.
  • Szpital wojewódzki: KRI tak (jednostka organizacyjna JST), KSC tak (powyżej 75 łóżek), NIS2 tak (po transpozycji).
  • Szkoła publiczna: KRI tak, KSC nie, NIS2 raczej nie.
  • ZUS, NFZ: KRI tak, KSC tak (infrastruktura krytyczna), NIS2 tak.

Wnioski praktyczne:

  • KRI jest powszechniejsze (dotyczy każdej JST), ale ma lżejszy reżim (brak kar pieniężnych).
  • NIS2 będzie bardziej dotkliwe dla większych jednostek - kary, osobista odpowiedzialność.
  • Wdrożenia mogą być wspólne - SZBI zgodny z ISO 27001 spełnia KRI, KSC i NIS2 jednocześnie (z drobnymi uzupełnieniami).

Wdrożenie KRI od zera

Dla jednostek bez SZBI typowy projekt wdrożeniowy trwa 6-12 miesięcy. Etapy:

Faza 1: Audyt zerowy (1-2 miesiące)

  • Analiza stanu obecnego - co już istnieje (polityki, procedury, środki techniczne).
  • Mapping do 14 wymagań § 20 KRI.
  • Identyfikacja luk (gap analysis).
  • Raport zerowy z planem działań.

Faza 2: Polityki i procedury (2-3 miesiące)

  • Pakiet dokumentów SZBI - 30-50 dokumentów dla średniej gminy.
  • Polityka bezpieczeństwa informacji (zatwierdzona przez wójta / burmistrza).
  • Procedury operacyjne (zarządzanie incydentami, kopie zapasowe, zarządzanie dostępem).
  • Analiza ryzyka i plan postępowania z ryzykiem.
  • Plan ciągłości działania, plan zarządzania kryzysowego.

Faza 3: Wdrożenia techniczne (3-6 miesięcy)

  • Hardening stacji roboczych i serwerów (zob. Hardening).
  • MFA dla zdalnego dostępu i kont uprzywilejowanych.
  • Antywirus / EDR na wszystkich urządzeniach.
  • Backup z testem odzyskiwania.
  • Logowanie centralne (syslog/SIEM).
  • Szyfrowanie dysków, baz danych z danymi osobowymi.

Faza 4: Szkolenia i kultura (1-2 miesiące, ciągłe)

  • Szkolenia onboarding dla nowych pracowników.
  • Cykliczne szkolenia awareness - minimum raz w roku.
  • Symulacje phishingu - testy świadomości personelu.
  • Komunikacja wewnętrzna - plakaty, newslettery, e-learning.

Faza 5: Pierwszy audyt (1 miesiąc)

  • Audyt zgodności z KRI § 20.
  • Raport audytowy z planem działań korygujących.
  • Komunikacja wyników do kierownictwa.
  • Plan utrzymania (kolejny audyt za 24 miesiące).

Koszt wdrożenia

Średnia gmina (5-10 tys. mieszkańców, 30 stacji):

  • Konsulting + dokumentacja: 30-60 tys. zł.
  • Inwestycje techniczne (oprogramowanie, licencje, sprzęt): 20-50 tys. zł.
  • Audyt: 15-25 tys. zł.
  • Łącznie pierwszy rok: 70-150 tys. zł.
  • Bieżące koszty rocznie potem: 30-60 tys. zł (utrzymanie licencji, szkolenia, audyt co 2 lata).

Większa jednostka (50-100 tys. mieszkańców, kilkaset stacji) - 200-500 tys. zł pierwszego roku.

Najczęstsze błędy JST i administracji

Po kontrolach NIK [5] i własnych audytach KRI obserwujemy powtarzające się błędy:

  1. Polityka bezpieczeństwa = templatka z internetu. Pobrana z forum / strony konkurencji, nieodzwierciedlająca realiów jednostki. Pracownicy nigdy jej nie czytali.
  2. Brak udokumentowanej analizy ryzyka. Albo jej nie ma, albo jest sprzed 5+ lat, albo nigdy nie była aktualizowana po istotnych zmianach (np. wdrożenie e-PUAP, ePłatności).
  3. Plan ciągłości działania nigdy nie testowany. Dokument istnieje, ale nigdy nie sprawdzano, czy faktycznie działa - np. czy backup się przywróci, czy alternatywna lokalizacja jest dostępna.
  4. Backup robi się, ale nikt go nigdy nie odtwarzał. Klasyk. Gdy przychodzi ransomware lub awaria - okazuje się, że backup jest uszkodzony lub niekompletny.
  5. Brak MFA dla zdalnego dostępu. Pracownik łączy się przez VPN z hasłem (czasami słabym), zdarza się logowanie kradzionym kredensjalami.
  6. Konta administracyjne używane do codziennej pracy. Pracownik IT loguje się tym samym kontem do administracji systemu i do poczty - rośnie ryzyko kompromitacji.
  7. Logi nieprzeglądane i niechronione. Logi się gromadzą, ale nikt nie przegląda. W razie incydentu okazuje się, że już nie ma odpowiednich logów (retencja niewystarczająca).
  8. Audyt KRI przez własnego dostawcę. Konflikt interesów - audytor sprawdza własne wdrożenie. Wynik audytu pozytywny ale niewiarygodny.
  9. Brak szkoleń awareness lub szkolenia raz na 5 lat. Pracownicy nie wiedzą, jak rozpoznać phishing, dane osobowe wysyłane mailem, hasła zapisywane na karteczkach.
  10. Stare oprogramowanie bez wsparcia. Windows 7, Windows Server 2008, stare wersje aplikacji bez patchowania. Najczęstsza furtka dla ransomware.
  11. Brak hardeningu. Domyślne hasła routerów, domyślne konta administracyjne, niepotrzebne usługi włączone. Łatwy cel dla podstawowych skanerów.
  12. Brak inwentaryzacji sprzętu i oprogramowania. Kierownictwo nie wie, ile jest urządzeń w sieci ani co na nich jest zainstalowane. Niemożliwa weryfikacja patchowania ani polityki.

Checklist: 10 punktów gotowości KRI

Lista podstawowych elementów weryfikowanych w audycie KRI. Bez nich raport audytowy musi zawierać stwierdzenia niezgodności.

  1. Polityka bezpieczeństwa informacji zatwierdzona przez kierownika jednostki, znana personelowi, dostępna w intranecie / na tablicy ogłoszeń.
  2. Aktualna analiza ryzyka (nie starsza niż 12 miesięcy lub po istotnej zmianie) z mapą aktywów i planem postępowania z ryzykiem.
  3. Inwentarz sprzętu i oprogramowania aktualny, z numerami inwentarzowymi, lokalizacją, statusem patchowania.
  4. Klasyfikacja informacji wdrożona, dokumenty oznaczone (np. "wewnętrzne", "poufne").
  5. Procedura zgłaszania incydentów - kanał, szablon, osoba odpowiedzialna, eskalacja. Testowana.
  6. Kopie zapasowe 3-2-1 z udokumentowanym testem odzyskiwania min. raz w roku.
  7. MFA dla zdalnego dostępu (VPN) i kont uprzywilejowanych. TOTP / FIDO2, nie SMS.
  8. Hardening stacji i serwerów - benchmarki CIS lub równoważne, udokumentowane konfiguracje. Zob. Hardening.
  9. Szkolenia awareness personelu - minimum raz w roku, dokumentowane (listy obecności, certyfikaty). Zob. Security Awareness.
  10. Audyt KRI co 24 miesiące przez niezależnego audytora. Raport z planem działań korygujących. Zob. Audyt KRI.

Najczęściej zadawane pytania

Kto musi spełniać KRI?

KRI dotyczy podmiotów realizujących zadania publiczne wg ustawy o informatyzacji z 17 lutego 2005 r. [2]:

  • Organy administracji rządowej (ministerstwa, urzędy centralne, wojewódzkie).
  • Jednostki samorządu terytorialnego (gminy, powiaty, województwa) i ich jednostki organizacyjne (urzędy, jednostki budżetowe, zakłady budżetowe, szkoły, biblioteki, ośrodki kultury).
  • ZUS, NFZ, KRUS, sądy, prokuratury, jednostki służby zdrowia wykonujące zadania publiczne.
  • Agencje rządowe, państwowe osoby prawne realizujące zadania publiczne.

Nie dotyczy: podmiotów prywatnych (chyba że realizują konkretne zadanie publiczne), spółek prawa handlowego nie wykonujących zadań publicznych.

Co to jest § 20 KRI?

Paragraf 20 rozporządzenia KRI to klucz całej regulacji dotyczącej bezpieczeństwa. Stanowi, że podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji (SZBI) zapewniający poufność, dostępność i integralność informacji.

Następnie wymienia 14 wymagań szczegółowych: aktualne inwentarze sprzętu i oprogramowania, klasyfikacja informacji, szkolenia, kontrola dostępu, ochrona przed nieautoryzowanym dostępem, kopie zapasowe, ochrona przed złośliwym oprogramowaniem, mechanizmy kryptograficzne, ochrona przed atakami, rejestrowanie zdarzeń, ciągłość działania, ochrona przed kompromitacją kont, audyt min. co 24 miesiące, dokumentacja.

Jak często audyt KRI?

§ 20 ust. 2 pkt 14 KRI: audyt wewnętrzny w zakresie bezpieczeństwa informacji nie rzadziej niż raz na 24 miesiące. Termin jest minimum - można częściej.

Audyt może być przeprowadzony przez wewnętrzną komórkę audytu (jeśli istnieje) lub zewnętrznego audytora. W praktyce większość JST wybiera zewnętrznego audytora niezależnego, posiadającego kompetencje (CISA, ISO 27001 Lead Auditor). Audyt obejmuje dokumentację SZBI, środki techniczne i organizacyjne, dowody operacyjne. Raport audytowy z planem działań korygujących jest podstawą dla doskonalenia SZBI.

Jakie kary za niespełnienie KRI?

Rozporządzenie KRI nie przewiduje bezpośrednich kar administracyjnych w sensie pieniężnym (jak KSC czy RODO). Konsekwencje są pośrednie, ale realne:

  • Kontrola NIK z negatywną oceną w raporcie publicznym.
  • Kontrola RIO dla JST z konsekwencjami budżetowymi.
  • Kontrola Ministerstwa Cyfryzacji lub Pełnomocnika Rządu ds. Cyberbezpieczeństwa.
  • Odpowiedzialność dyscyplinarna pracowników (kierowników jednostek).
  • Odpowiedzialność karna w razie naruszeń skutkujących znaczącymi szkodami (art. 107 ustawy o ochronie danych osobowych).

W razie incydentu z udziałem danych osobowych dodatkowo kary RODO (do 20 mln EUR lub 4% obrotu).

KRI vs KSC vs NIS2 - czym się różnią?

KRI - rozporządzenie z 2012 r. dla podmiotów realizujących zadania publiczne (administracja, JST). Brak kar pieniężnych, kontrola przez NIK / RIO.

KSC - ustawa z 2018 r. dla operatorów usług kluczowych w 7 sektorach krytycznych (energetyka, transport, banki, szpitale, woda, infrastruktura cyfrowa). Kary do 1 mln zł, zgłaszanie incydentów do CSIRT.

NIS2 - dyrektywa UE 2022/2555 obejmująca 18 sektorów, w tym administrację publiczną. Po transpozycji NIS2 do polskiego prawa (nowelizacja KSC, projekt UC59) część obecnych podmiotów KRI zostanie objęta wymaganiami KSC/NIS2 z karami do 10 mln EUR i odpowiedzialnością zarządu. KRI prawdopodobnie pozostanie dla mniejszych jednostek niespełniających progów NIS2.

Czy KRI wymaga certyfikacji ISO 27001?

Nie wymaga formalnej certyfikacji. § 20 ust. 3 KRI stwierdza jednak, że wymagania uważa się za spełnione, jeśli SZBI jest opracowany na podstawie PN-ISO/IEC 27001 i PN-ISO/IEC 27002.

W praktyce większość poważnych wdrożeń bazuje na ISO 27001 jako standardzie metodologicznym, nawet bez formalnej certyfikacji. Certyfikacja jest opcjonalna ale niezwykle korzystna - daje jednolitą strukturę dokumentacyjną, ułatwia audyty (w tym KRI), dostarcza dowodu dojrzałości w przetargach. Koszt certyfikacji - od kilkudziesięciu tys. zł dla małej jednostki do kilkuset tys. zł dla dużej.

Co konkretnie musi być w SZBI gminy?

Minimum dokumentacyjne:

  1. Polityka bezpieczeństwa informacji zatwierdzona przez wójta / burmistrza / prezydenta.
  2. Analiza ryzyka z mapą aktywów i zagrożeń.
  3. Plan postępowania z ryzykiem (risk treatment plan).
  4. Inwentarz sprzętu i oprogramowania (aktualizowany).
  5. Klasyfikacja informacji (publiczna / wewnętrzna / poufna / tajna).
  6. Procedura zarządzania incydentami.
  7. Plan ciągłości działania.
  8. Procedura kopii zapasowych z testem odzyskiwania.
  9. Polityka dostępu i upoważnień.
  10. Polityka kryptograficzna.
  11. Procedura przeglądu logów.
  12. Plan szkoleń security awareness.
  13. Raporty audytów co 24 miesiące.

Praktyka: pakiet dokumentów dla średniej gminy obejmuje 30-50 dokumentów (polityk, procedur, instrukcji).

Kto przeprowadza audyt KRI?

§ 20 ust. 2 pkt 14 KRI nie precyzuje wymagań dla audytora - mówi o audycie wewnętrznym. Praktycznie trzy modele:

  • (a) Wewnętrzna komórka audytu (jeśli istnieje, np. w dużych JST - urząd marszałkowski, ZUS).
  • (b) Audytor wewnętrzny etatowy bez wsparcia zewnętrznego (rzadko skuteczne dla audytu IT).
  • (c) Zewnętrzny audytor wynajęty - najczęstsza praktyka.

Wymagania kompetencyjne: znajomość PN-ISO/IEC 27001 / 27002, certyfikat CISA lub ISO 27001 Lead Auditor, doświadczenie w sektorze publicznym. Audytor nie może być w konflikcie interesów - nie może wdrażać i audytować tego samego SZBI.

Jak długo trwa wdrożenie KRI od zera?

Dla średniej gminy (5-10 tys. mieszkańców, 30-50 pracowników, 30-100 stacji roboczych): typowo 6-12 miesięcy od decyzji do pełnego wdrożenia z pierwszym audytem.

Etapy:

  • Miesiąc 1-2: analiza stanu obecnego, audyt zerowy, identyfikacja luk.
  • Miesiąc 3-4: pakiet dokumentów (polityki, procedury), zatwierdzenie.
  • Miesiąc 4-6: wdrożenia techniczne (hardening, monitoring, MFA, backup z testem), szkolenia.
  • Miesiąc 6-9: testy, dopracowanie, dokumentowanie dowodów.
  • Miesiąc 9-12: pierwszy formalny audyt KRI, plan działań korygujących.

Koszt średniej gminy: 80-200 tys. zł na wdrożenie (konsulting + audyt) + bieżące koszty operacyjne.

Czy szkoła musi spełniać KRI?

Tak. Szkoły publiczne są jednostkami organizacyjnymi JST (gminy lub powiatu) i podmiotami realizującymi zadania publiczne w rozumieniu ustawy o informatyzacji z 2005 r. Podlegają KRI w całości - SZBI, § 20 z 14 wymaganiami, audyt co 24 miesiące.

W praktyce w szkołach obowiązki te realizuje JST za pośrednictwem urzędu gminy / starostwa (centralizacja SZBI).

Wyjątek: niepubliczne szkoły / przedszkola - jako podmioty prywatne nie podlegają KRI, ale mogą podlegać RODO (zawsze) i KSC/NIS2 (jeśli przekraczają progi).

Co z systemami sektorowymi (SIO, e-PUAP, CEIDG)?

Systemy centralne (SIO, e-PUAP, CEIDG, PUE ZUS, IKP NFZ) są utrzymywane przez podmioty centralne (MEN, Ministerstwo Cyfryzacji, ZUS, NFZ) i bezpieczeństwo ich infrastruktury serwerowej jest odpowiedzialnością tych podmiotów.

JST używające tych systemów odpowiada za:

  • Bezpieczeństwo własnych stacji roboczych.
  • Kont użytkowników (zarządzanie loginami, hasłami, MFA).
  • Polityki dostępu do systemów centralnych.
  • Szkolenia personelu.
  • Kontrolę nadużyć (PAM).

To klasyczny model shared responsibility - każdy odpowiada za swój zakres.

Jak audyt KRI wpływa na pozyskanie środków UE?

Programy operacyjne UE (POPC, FERS, fundusze regionalne) coraz częściej wymagają dowodu zgodności z KRI jako kryterium kwalifikowalności. Brak audytu KRI lub negatywny raport audytowy może skutkować:

  • Odrzuceniem wniosku o dofinansowanie.
  • Koniecznością zwrotu już uzyskanych środków.
  • Uwagą w raporcie z kontroli IZ (Instytucji Zarządzającej).

Wymaga się również zgodności w trakcie realizacji projektów cyfryzacji - środki nie mogą być wydatkowane na rozwiązania niezgodne z KRI (np. systemy bez minimalnej kryptografii, bez audytu, bez ciągłości działania).

Potrzebujesz konsultacji w zakresie KRI?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Sprawdzamy stan SZBI, mapujemy luki względem § 20 KRI, omawiamy plan wdrożenia lub audytu.

Zadzwoń: +48 691 122 312 office@4crypto.eu

Powiązane treści

Compliance i regulacje

Usługi związane

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Akty prawne, normy i raporty NIK odsyłają do oryginalnych dokumentów w ISAP, ISO i bibliotece NIK.

  1. [1]regulationRada Ministrów (2012). Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Dz.U. 2012 poz. 526 z późn. zm. · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20120000526
  2. [2]regulationSejm RP (2005). Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Dz.U. 2005 nr 64 poz. 565 z późn. zm. · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20050640565
  3. [3]standardISO/IEC (2022). ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements. Polska wersja: PN-EN ISO/IEC 27001:2023-08 · https://www.iso.org/standard/27001
  4. [4]standardISO/IEC (2022). ISO/IEC 27002:2022 - Information security, cybersecurity and privacy protection - Information security controls. Polska wersja: PN-EN ISO/IEC 27002:2022-08 · https://www.iso.org/standard/75652
  5. [5]reportNajwyższa Izba Kontroli (2023). Raporty z kontroli stanu bezpieczeństwa teleinformatycznego podmiotów publicznych - wybrane lata 2018-2023. NIK, Warszawa · https://www.nik.gov.pl/kontrole/
  6. [6]regulationSejm RP (2018). Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Dz.U. 2018 poz. 1560 z późn. zm. · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001560
  7. [7]regulationParlament Europejski, Rada UE (2016). Rozporządzenie (UE) 2016/679 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Dz.U. UE L 119, 4.5.2016 · https://eur-lex.europa.eu/eli/reg/2016/679/oj
  8. [8]regulationParlament Europejski, Rada UE (2022). Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2). Dz.U. UE L 333, 27.12.2022 · https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  9. [9]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29, February 2024. DOI: 10.6028/NIST.CSWP.29 · https://doi.org/10.6028/NIST.CSWP.29
  10. [10]standardJoint Task Force (2020). NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. NIST. DOI: 10.6028/NIST.SP.800-53r5 · https://doi.org/10.6028/NIST.SP.800-53r5
  11. [11]standardCichonski, P., Millar, T., Grance, T., Scarfone, K. (2012). NIST SP 800-61 Rev. 2: Computer Security Incident Handling Guide. NIST. DOI: 10.6028/NIST.SP.800-61r2 · https://doi.org/10.6028/NIST.SP.800-61r2
  12. [12]standardInternational Organization for Standardization (2018). ISO 19011:2018 - Guidelines for auditing management systems. ISO · https://www.iso.org/standard/70017.html
  13. [13]standardInternational Organization for Standardization (2022). ISO/IEC 27005:2022 - Guidance on managing information security risks. ISO/IEC · https://www.iso.org/standard/80585.html
  14. [14]standardInternational Organization for Standardization (2023). ISO/IEC 27035-1:2023 - Information security incident management - Part 1: Principles and process. ISO/IEC · https://www.iso.org/standard/78973.html
  15. [15]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion. DOI: 10.2824/0710888 · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  16. [16]reportEuropean Union Agency for Cybersecurity (ENISA) (2023). Cybersecurity guide for SMEs - 12 steps to securing your business. ENISA · https://www.enisa.europa.eu/topics/cybersecurity-for-smes
  17. [17]reportCERT Polska / NASK (2024). Krajobraz bezpieczeństwa polskiego internetu - raport roczny CERT Polska 2023. NASK PIB, Warszawa · https://www.cert.pl/publikacje/raport-roczny-cert-polska/
  18. [18]peer-reviewedVielberth, M., Böhm, F., Fichtinger, I., Pernul, G. (2020). Security Operations Center: A Systematic Study and Open Challenges. IEEE Access, vol. 8, pp. 227756-227779. DOI: 10.1109/ACCESS.2020.3045514 · https://doi.org/10.1109/ACCESS.2020.3045514
  19. [19]standardCenter for Internet Security (2024). CIS Critical Security Controls Version 8.1. CIS · https://www.cisecurity.org/controls
  20. [20]reportMandiant (Google Cloud) (2024). M-Trends 2024 Special Report. Mandiant · https://services.google.com/fh/files/misc/m-trends-2024.pdf