Czym są Krajowe Ramy Interoperacyjności
Krajowe Ramy Interoperacyjności (KRI) to rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2012 poz. 526, z późniejszymi zmianami). Dla jednostek samorządu terytorialnego — gmin, powiatów i województw — to nie abstrakcyjny akt prawny, lecz konkretny zbiór obowiązków, których niespełnienie może skutkować odpowiedzialnością dyscyplinarną kierownika jednostki.
W praktyce KRI wymaga od każdej JST trzech rzeczy: wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI), przeprowadzania okresowych audytów wewnętrznych oraz zapewnienia interoperacyjności systemów teleinformatycznych. Brzmi prosto — ale diabeł tkwi w szczegółach, a szczegółów jest niemało.
Kogo dotyczy KRI
Obowiązek stosowania KRI spoczywa na każdym podmiocie realizującym zadania publiczne, który prowadzi rejestry publiczne lub wymienia informacje w postaci elektronicznej. W praktyce oznacza to niemal każdą instytucję publiczną w Polsce, ale szczególnie dotkliwie odczuwają go jednostki samorządu terytorialnego i ich jednostki podległe.
Lista podmiotów objętych KRI w ramach samorządu obejmuje urzędy gmin, miast i powiatów, urzędy marszałkowskie, ośrodki pomocy społecznej (OPS, MOPS, GOPS), powiatowe centra pomocy rodzinie (PCPR), powiatowe urzędy pracy (PUP), zarządy dróg powiatowych (ZDP), szkoły i przedszkola prowadzone przez JST, biblioteki publiczne, ośrodki kultury i sportu, zakłady budżetowe, a także spółki komunalne realizujące zadania publiczne — wodociągi, ciepłownie, zakłady gospodarki odpadami czy komunikację miejską.
Kluczowa jest tutaj kwestia odpowiedzialności. Zgodnie z §20 ust. 1 rozporządzenia KRI, to kierownik podmiotu publicznego — wójt, burmistrz, prezydent miasta, starosta lub marszałek województwa — odpowiada za zapewnienie warunków do realizacji i nadzór nad działaniami związanymi z bezpieczeństwem informacji. Odpowiedzialność ta jest osobista i niezbywalna.
§20 KRI — serce obowiązków bezpieczeństwa
Paragraf 20 rozporządzenia KRI to fundament, na którym opiera się cała konstrukcja bezpieczeństwa informacji w sektorze publicznym. Warto go przeanalizować punkt po punkcie, ponieważ każdy z wymogów przekłada się na konkretne działania, które JST musi podjąć.
Zarządzanie bezpieczeństwem informacji (§20 ust. 1) wymaga wdrożenia SZBI zapewniającego poufność, dostępność i integralność informacji. Nie chodzi o dokument na półce — SZBI musi być żywym systemem z politykami, procedurami, przypisanymi odpowiedzialnościami i mechanizmami monitorowania.
Szacowanie ryzyka (§20 ust. 2 pkt 3) to obowiązek przeprowadzania okresowej analizy ryzyka utraty integralności, dostępności lub poufności informacji. Analiza powinna obejmować wszystkie aktywa informacyjne — od systemów dziedzinowych przez rejestry mieszkańców po pocztę elektroniczną. Wyniki analizy ryzyka stanowią podstawę do podejmowania decyzji o zabezpieczeniach.
Zarządzanie uprawnieniami (§20 ust. 2 pkt 4) nakazuje, aby dostęp do informacji był przyznawany osobom, które mają odpowiednie upoważnienie, wyłącznie w zakresie niezbędnym do wykonywania obowiązków służbowych. W praktyce oznacza to formalne procedury nadawania, zmiany i cofania uprawnień, ewidencję uprawnień oraz regularne przeglądy.
Szkolenia pracowników (§20 ust. 2 pkt 6) obejmują obowiązek zapewnienia, aby osoby zaangażowane w proces przetwarzania informacji posiadały stosowne kwalifikacje i uczestniczyły w szkoleniach. Nie wystarczy jednorazowe szkolenie przy zatrudnieniu — KRI wymaga ciągłego podnoszenia świadomości.
Ochrona przed oprogramowaniem złośliwym (§20 ust. 2 pkt 7–8) to wymóg stosowania mechanizmów ochrony przed zagrożeniami, w tym oprogramowaniem złośliwym, oraz zapewnienia aktualności tego oprogramowania. W realiach polskich gmin oznacza to m.in. centralne zarządzanie antywirusem, regularną aktualizację systemów i monitorowanie prób infiltracji.
Zarządzanie incydentami (§20 ust. 2 pkt 9–12) wymaga wdrożenia procedur reagowania na incydenty naruszenia bezpieczeństwa, w tym dokumentowania zdarzeń, eskalacji i analizy przyczyn. Ten obszar zyskał na znaczeniu po wejściu w życie NIS-2 i nowelizacji ustawy o KSC, które nakładają dodatkowe obowiązki raportowania.
Audyt wewnętrzny (§20 ust. 2 pkt 14) nakłada obowiązek przeprowadzania nie rzadziej niż raz na rok audytu wewnętrznego w zakresie bezpieczeństwa informacji. To jeden z najczęściej niedopełnianych wymogów — wiele gmin albo nie przeprowadza audytu wcale, albo traktuje go jako formalność bez rzeczywistej wartości diagnostycznej.
Audyt KRI — czego szukają kontrolujący
Audyt zgodności z KRI to nie przegląd dokumentów — to weryfikacja, czy system zarządzania bezpieczeństwem informacji realnie funkcjonuje. Kontrolujący (czy to audytor wewnętrzny, NIK, czy RIO) będą szukać odpowiedzi na konkretne pytania.
Po pierwsze, czy istnieje formalna dokumentacja SZBI: polityka bezpieczeństwa informacji, polityka zarządzania ryzykiem, procedury zarządzania incydentami, procedury zarządzania uprawnieniami, procedury ciągłości działania, ewidencja aktywów informacyjnych. Dokumenty te nie mogą być kopiami z internetu — muszą odzwierciedlać rzeczywistą strukturę organizacyjną i systemy informatyczne danej JST.
Po drugie, czy analiza ryzyka jest aktualna i kompletna. Audytor sprawdzi, kiedy ostatnio przeprowadzono analizę ryzyka, jaką metodologię zastosowano, czy obejmuje wszystkie istotne aktywa informacyjne i czy wyniki zostały zakomunikowane kierownictwu. Nieaktualna analiza ryzyka (sprzed dwóch lat lub więcej) to jeden z najczęstszych zarzutów podczas kontroli.
Po trzecie, czy szkolenia są dokumentowane i systematyczne. Sam fakt, że „pracownicy wiedzą, jak się zachować" nie wystarczy — potrzebna jest ewidencja szkoleń z datami, zakresem tematycznym i listą uczestników.
Po czwarte, czy audyt wewnętrzny z poprzedniego roku został przeprowadzony, udokumentowany, a jego ustalenia — wdrożone. Audyt, który kończy się raportem leżącym w szufladzie, to audyt nieukończony.
Najczęstsze braki w JST
Na podstawie doświadczeń z kilkunastu audytów przeprowadzonych w gminach i powiatach różnej wielkości można wskazać powtarzające się wzorce niezgodności. Wiedza o nich pozwala skoncentrować wysiłki tam, gdzie ryzyko jest największe.
Brak wyznaczonego Pełnomocnika ds. bezpieczeństwa informacji. KRI nie wymaga wprost powołania takiej osoby, ale §20 ust. 1 wskazuje na odpowiedzialność kierownika podmiotu, który w praktyce potrzebuje kogoś do koordynacji zadań. Wiele gmin nie ma nikogo formalnie odpowiedzialnego za SZBI — obowiązki rozpływają się między informatykiem, IOD-em a sekretarzem gminy.
Utożsamianie roli IOD z Pełnomocnikiem SZBI. To częsty błąd — Inspektor Ochrony Danych i osoba odpowiedzialna za zarządzanie bezpieczeństwem informacji to dwie różne role z różnymi zakresami kompetencji. IOD koncentruje się na danych osobowych w kontekście RODO; SZBI obejmuje całość bezpieczeństwa informacji, w tym tajemnicę służbową, dane techniczne, ciągłość działania.
Polityka bezpieczeństwa jako martwy dokument. Wiele JST posiada formalną politykę bezpieczeństwa informacji, ale nikt jej nie przegląda, nie aktualizuje i nie egzekwuje. Ostatnia aktualizacja nierzadko nosi datę sprzed trzech–pięciu lat, a treść nie odpowiada obecnej infrastrukturze informatycznej.
Brak lub powierzchowność analizy ryzyka. Analiza ryzyka powinna być procesem systematycznym, obejmującym identyfikację aktywów, zagrożeń i podatności, ocenę prawdopodobieństwa i skutków, oraz plan postępowania z ryzykiem. W praktyce spotykamy arkusze z kilkunastoma pozycjami wypełnionymi „na oko", bez żadnej metodologii.
Nieregularne lub pozorne audyty wewnętrzne. Wymóg corocznego audytu wewnętrznego jest precyzyjny i niepodlegający interpretacji. Tymczasem audyty bywają pomijane, prowadzone przez osoby bez kompetencji audytorskich lub sprowadzane do formalnego zakreślenia „TAK/NIE" w szablonowej checkliście.
Niekontrolowane uprawnienia. Brak formalnej ewidencji uprawnień do systemów dziedzinowych (USC, ewidencja ludności, podatki lokalne, BeSTi@, SIO), brak przeglądów uprawnień, wspólne konta administracyjne — to standard w mniejszych gminach.
KRI a NIS-2 — co się zmienia
Wejście w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UoKSC), implementującej dyrektywę NIS-2, nakłada na część podmiotów publicznych dodatkowe obowiązki. Zrozumienie relacji między KRI a NIS-2 jest kluczowe dla samorządów, które mogą zostać objęte oboma reżimami jednocześnie.
KRI reguluje bezpieczeństwo informacji i interoperacyjność systemów w podmiotach publicznych — to prawo krajowe obowiązujące od 2012 roku. NIS-2 to dyrektywa unijna z 2022 roku, koncentrująca się na cyberbezpieczeństwie podmiotów kluczowych i ważnych. Zakresy się pokrywają, ale nie są tożsame.
Podmioty samorządowe, które zostaną zakwalifikowane jako podmioty kluczowe lub ważne w rozumieniu UoKSC (np. operatorzy infrastruktury wodociągowej, ciepłowniczej, transportowej), będą musiały spełnić zarówno wymogi KRI, jak i NIS-2. W praktyce oznacza to dodatkowe obowiązki w zakresie raportowania incydentów (24-godzinne wczesne ostrzeżenie, 72-godzinne zgłoszenie, raport końcowy w ciągu miesiąca), zarządzania ryzykiem w łańcuchu dostaw, testowania odporności oraz bezpośredniej odpowiedzialności organów zarządzających.
Dobra wiadomość: dobrze wdrożony SZBI zgodny z KRI stanowi solidną bazę dla spełnienia wymogów NIS-2. Organizacja, która rzetelnie realizuje §20 KRI, ma już fundamenty — analiza ryzyka, zarządzanie incydentami, szkolenia, audyty — na których można budować zgodność z NIS-2 bez rozpoczynania od zera.
Praktyczna ścieżka do zgodności z KRI
Wdrożenie zgodności z KRI nie musi być projektem na rok. Przy systematycznym podejściu i jasno zdefiniowanych priorytetach większość JST może osiągnąć realną zgodność w ciągu trzech do sześciu miesięcy. Poniżej przedstawiamy praktyczną ścieżkę opartą na doświadczeniach z sektora samorządowego.
Etap 1: Inwentaryzacja i analiza luk (2–3 tygodnie). Pierwszy krok to uczciwa ocena stanu obecnego. Inwentaryzacja obejmuje systemy teleinformatyczne (EZD, eDokumenty, BeSTi@, SIO, CEIDG, systemy dziedzinowe), infrastrukturę sieciową i serwerową, istniejącą dokumentację bezpieczeństwa, aktualnie obowiązujące procedury, przegląd uprawnień do systemów oraz ocenę kompetencji personelu IT. Wynikiem jest raport luk (gap analysis) wskazujący odchylenia od wymogów §20 KRI.
Etap 2: Opracowanie dokumentacji SZBI (3–4 tygodnie). Na podstawie analizy luk powstaje komplet dokumentacji: polityka bezpieczeństwa informacji, polityka zarządzania ryzykiem, procedura zarządzania incydentami, procedura zarządzania uprawnieniami, procedura ciągłości działania, plan postępowania z ryzykiem. Dokumentacja musi być szyta na miarę — odzwierciedlać strukturę organizacyjną, systemy informatyczne i specyfikę danej JST.
Etap 3: Analiza ryzyka (2–3 tygodnie). Przeprowadzenie formalnej analizy ryzyka z wykorzystaniem uznanej metodologii (np. opartej na ISO 27005 lub PN-ISO/IEC 27005). Obejmuje identyfikację aktywów informacyjnych, zidentyfikowanie zagrożeń i podatności, ocenę prawdopodobieństwa i potencjalnych skutków, wyznaczenie poziomu ryzyka akceptowalnego oraz określenie środków zaradczych dla ryzyk ponadnormatywnych.
Etap 4: Wdrożenie zabezpieczeń (4–6 tygodni). Realizacja planu postępowania z ryzykiem: konfiguracja zabezpieczeń technicznych (firewall, antywirus, backup, szyfrowanie), wdrożenie procedur organizacyjnych (nadawanie uprawnień, reagowanie na incydenty), przeszkolenie pracowników, formalne wyznaczenie Pełnomocnika ds. bezpieczeństwa informacji.
Etap 5: Audyt wewnętrzny (1–2 tygodnie). Przeprowadzenie pierwszego audytu wewnętrznego, który zweryfikuje poprawność wdrożenia i zidentyfikuje obszary wymagające korekty. Audyt powinien być prowadzony przez osobę niezaangażowaną w proces wdrożenia — wewnętrznego audytora lub podmiot zewnętrzny.
Etap 6: Przegląd zarządzania i ciągłe doskonalenie. SZBI nie jest projektem z datą zakończenia — to proces ciągły. Przegląd zarządzania (co najmniej raz w roku) ocenia skuteczność systemu, analizuje wyniki audytów i incydentów, aktualizuje analizę ryzyka i wyznacza cele na następny okres.
Systemy informatyczne w JST — na co zwrócić uwagę
Specyfika sektora samorządowego polega na tym, że gminy i powiaty operują na zestandaryzowanych systemach dostarczanych przez kilku głównych dostawców. Znajomość tych systemów jest niezbędna do prawidłowej analizy ryzyka i wdrożenia zabezpieczeń.
EZD / eDokumenty — elektroniczne zarządzanie dokumentacją. System kluczowy z perspektywy bezpieczeństwa, ponieważ zawiera całą korespondencję urzędu, dokumenty wewnętrzne i dane osobowe. Wymaga ścisłej kontroli uprawnień i regularnych backupów.
BeSTi@ — system sprawozdawczości budżetowej. Zawiera wrażliwe dane finansowe jednostki. Wymaga oddzielnej kontroli dostępu i regularnych aktualizacji.
SIO (System Informacji Oświatowej) — przetwarzany w szkołach i wydziałach edukacji, zawiera dane uczniów, nauczycieli i pracowników. Podlega zarówno KRI, jak i RODO w kontekście danych dzieci.
Systemy dziedzinowe — USC (Urząd Stanu Cywilnego), ewidencja ludności, podatki i opłaty lokalne, gospodarka nieruchomościami, GIS/SIP. Każdy z nich przetwarza dane osobowe i wymaga odrębnej analizy ryzyka.
ePUAP / mObywatel — platforma komunikacji z obywatelami. Profil zaufany i integracja z systemami urzędu wymagają zabezpieczeń na poziomie interfejsu.
Kluczowa lekcja z audytów: wiele JST koncentruje zabezpieczenia na serwerowni i sieci, zaniedbując bezpieczeństwo aplikacji dziedzinowych. Tymczasem najpoważniejsze ryzyka tkwią często w niekontrolowanych uprawnieniach do systemów, braku logowania zdarzeń i nieszyfrowanej komunikacji między systemami.
Najczęstsze pytania o KRI
Czy gmina licząca pięć tysięcy mieszkańców musi spełniać te same wymogi co duże miasto? Tak — KRI nie różnicuje wymogów w zależności od wielkości podmiotu. Różnicować należy natomiast skalę i złożoność wdrożenia. Mała gmina z dwoma serwerami i trzydzieścioma pracownikami nie potrzebuje systemu zarządzania bezpieczeństwem na poziomie korporacji — ale podstawowe elementy (polityka, analiza ryzyka, procedury, szkolenia, audyt) muszą być obecne.
Czy wdrożenie ISO 27001 automatycznie zapewnia zgodność z KRI? W dużej mierze tak — ISO 27001 jest standardem bardziej wymagającym niż §20 KRI. Organizacja posiadająca certyfikat ISO 27001 spełnia praktycznie wszystkie wymogi KRI w zakresie bezpieczeństwa informacji. Należy jednak pamiętać o specyficznych wymogach KRI dotyczących interoperacyjności (§5–§18), które wykraczają poza zakres ISO 27001.
Kto powinien przeprowadzać audyt wewnętrzny? Audytor wewnętrzny powinien być kompetentny (przeszkolony w zakresie audytu bezpieczeństwa informacji) i niezależny od audytowanego obszaru. Może to być pracownik wewnętrzny niebędący informatykiem ani osobą odpowiedzialną za SZBI, lub podmiot zewnętrzny. Wiele gmin decyduje się na audytora zewnętrznego ze względu na brak wewnętrznych kompetencji audytorskich.
Jak często trzeba aktualizować analizę ryzyka? KRI nie precyzuje częstotliwości, ale dobra praktyka (zgodna z ISO 27005) wskazuje na przegląd co najmniej raz w roku oraz po każdej istotnej zmianie — nowy system, zmiana infrastruktury, incydent bezpieczeństwa, zmiana organizacyjna. W dynamicznie zmieniającym się środowisku zagrożeń cybernetycznych roczny cykl to absolutne minimum.
Czy spółki komunalne podlegają KRI? Tak, o ile realizują zadania publiczne — a większość spółek komunalnych (wodociągi, ciepłownie, komunikacja miejska, gospodarka odpadami) takie zadania realizuje. W praktyce świadomość tego obowiązku jest w spółkach komunalnych znacznie niższa niż w urzędach gmin.
Jakie konsekwencje grożą za brak zgodności z KRI? Bezpośrednich kar finansowych za naruszenie KRI nie ma — rozporządzenie nie przewiduje mechanizmu sankcji analogicznego do RODO. Konsekwencje mają jednak charakter pośredni: wyniki kontroli NIK i RIO są publiczne, brak zgodności z KRI może stanowić argument w postępowaniach o naruszenie dyscypliny finansów publicznych, a w przypadku incydentu bezpieczeństwa brak wdrożonego SZBI radykalnie zwiększa odpowiedzialność kierownika jednostki.
Jak Fib.Code wspiera samorządy
Specjalizujemy się we wdrożeniach SZBI i audytach zgodności z KRI w jednostkach samorządu terytorialnego — od gmin wiejskich po powiaty i ich jednostki podległe. Znamy specyfikę systemów dziedzinowych, rozumiemy ograniczenia budżetowe sektora publicznego i wiemy, że wdrożenie musi być praktyczne, a nie akademickie.
Przeprowadzamy pełny cykl: od analizy luk, przez opracowanie dokumentacji i analizę ryzyka, po szkolenia pracowników i audyt wewnętrzny. Pomagamy również w przygotowaniu do kontroli NIK i RIO oraz w integracji wymogów KRI z NIS-2 dla podmiotów podlegających obu regulacjom.
Umów bezpłatną konsultację: l.grabowski@fibcode.com | fibcode.com/pl/wycena
