+48 577 779 296 kontakt@inspektorzyrodo.pl
"

Audyt KRI

Kto najczęściej korzysta z tej usługi?

– Firmy z segmentu MŚP

– Fundacje i Stowarzyszenia

– Jednostki Samorządu Terytorialnego

– Jednostki ochrony zdrowia

Zyskaj pewność, że Twoja firma działa zgodnie z przepisami o ochronie danych osobowych. Przeprowadzimy kompleksowy audyt RODO, który w prosty i zrozumiały sposób pokaże, co działa dobrze, a co wymaga poprawy.
Sprawdzimy dokumentację, praktyki i zabezpieczenia – bez zbędnej biurokracji i oderwanych od rzeczywistości zaleceń.

Certyfikacja zgodna z ISO/IEC 27001 jako element audytu KRI
NAPISZ DO NAS

Na czym polega audyt KRI?

Audyt KRI to weryfikacja, czy jednostka publiczna spełnia obowiązki określone w Rozporządzeniu Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności (Dz.U. 2024 poz. 773). Obowiązek ten dotyczy wszystkich podmiotów realizujących zadania publiczne z wykorzystaniem systemów teleinformatycznych – w tym m.in. urzędów, jednostek samorządu, szkół, instytucji kultury czy podmiotów leczniczych.

Zgodnie z § 19 ust. 2 pkt 14 rozporządzenia, kierownictwo podmiotu publicznego ma obowiązek zapewnienia przeprowadzania okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji – nie rzadziej niż raz na 2 lata.

Audyt ten służy ocenie:

  • czy organizacja wdrożyła system zarządzania bezpieczeństwem informacji (SZBI) zgodnie z wymaganiami KRI,
  • czy dokumentacja i procedury są zgodne z obowiązującymi standardami,
  • czy rzeczywiste działania jednostki są spójne z wymaganiami wynikającymi m.in. z norm ISO/IEC 27001, ISO/IEC 27002 i ISO/IEC 27005.

Audyt obejmuje zarówno analizę dokumentacji, jak i ocenę stanu technicznego oraz organizacyjnego zabezpieczeń. Weryfikowane są m.in. polityki bezpieczeństwa, analiza ryzyka, procedury zarządzania incydentami, ciągłości działania, nadzoru nad systemami IT oraz dostępu do informacji.

Efektem audytu jest rzetelny raport, który zawiera:

  • ocenę poziomu zgodności z przepisami rozporządzenia,
  • wykaz braków i niezgodności (jeśli występują),
  • konkretne i możliwe do wdrożenia rekomendacje naprawcze.

Audyt KRI to nie tylko wypełnienie obowiązku prawnego – to również szansa na uporządkowanie obszaru bezpieczeństwa informacji i podniesienie poziomu dojrzałości cyfrowej organizacji.

Dla kogo jest audyt KRI?

Audyt KRI jest obowiązkowy dla wszystkich podmiotów publicznych, które realizują zadania z wykorzystaniem systemów teleinformatycznych. Wynika to wprost z § 19 ust. 2 pkt 14 aktualnego rozporządzenia KRI z dnia 21 maja 2024 r. – zgodnie z którym kierownik jednostki musi zapewnić okresowy audyt wewnętrzny w zakresie bezpieczeństwa informacji.

Dotyczy to m.in.:

  • Jednostek samorządu terytorialnego – gmin, miast, powiatów, urzędów marszałkowskich i ich jednostek organizacyjnych (np. OPS, ZOZ, biblioteki, centra usług wspólnych),
  • Jednostek oświatowych – szkół, zespołów szkół, przedszkoli, poradni psychologiczno-pedagogicznych,
  • Instytucji kultury – domów kultury, muzeów, bibliotek publicznych,
  • Podmiotów leczniczych wykonujących zadania publiczne,
  • Urzędów administracji rządowej i agend rządowych,
  • Innych jednostek sektora finansów publicznych, które gromadzą, przetwarzają lub przekazują dane przy pomocy systemów IT.

Usługa audytu KRI jest szczególnie istotna dla jednostek, które:

  • przygotowują się do kontroli lub przeglądu ze strony UODO, NIK, RIO lub organów nadrzędnych,
  • chcą zaktualizować swoją dokumentację SZBI i dostosować ją do wymagań z 2024 r.,
  • nie mają wyznaczonego pełnoetatowego zespołu ds. cyberbezpieczeństwa i potrzebują wsparcia w ocenie stanu faktycznego,
  • planują wdrożenie lub certyfikację systemu ISO/IEC 27001.

W praktyce z audytu korzystają zarówno większe urzędy, jak i niewielkie szkoły czy biblioteki – wszędzie tam, gdzie odpowiedzialność za bezpieczeństwo informacji spoczywa na kierowniku jednostki, a zasoby techniczne i organizacyjne są ograniczone.

Co obejmuje audyt KRI?

Audyt KRI to kompleksowy przegląd systemu zarządzania bezpieczeństwem informacji w Twojej jednostce – realizowany w oparciu o wymagania zawarte w aktualnym rozporządzeniu KRI. Ma on na celu ocenę zgodności z przepisami oraz zidentyfikowanie obszarów, które wymagają poprawy lub aktualizacji.

W trakcie audytu analizujemy zarówno dokumentację, jak i rzeczywiste działania podejmowane przez jednostkę. Praca audytowa opiera się na podejściu zgodnym z normami PN-ISO/IEC 27001, 27002 i 27005, które zostały wprost wskazane w rozporządzeniu jako punkt odniesienia dla systemu zarządzania bezpieczeństwem informacji (SZBI).

Audyt KRI obejmuje m.in. (sprawdź w zakładkach poniżej):

Weryfikacja dokumentacji SZBI

Sprawdzamy, czy Twoja jednostka posiada i stosuje dokumenty wymagane rozporządzeniem, takie jak:

  • Polityka bezpieczeństwa informacji,
  • Instrukcja zarządzania systemem teleinformatycznym,
  • Analiza ryzyka oraz plan postępowania z ryzykiem,
  • Rejestr incydentów, uprawnień i zasobów,
  • Plan ciągłości działania oraz plan przywracania działania po incydencie,
  • Procedury nadawania i odbierania uprawnień,
  • Dokumentacja związana z podmiotami przetwarzającymi dane i usługami zewnętrznymi.

Dokumenty oceniane są pod kątem kompletności, aktualności i zgodności z rzeczywistymi praktykami.

Ocena wdrożonych zabezpieczeń technicznych i organizacyjnych

Audyt obejmuje m.in. analizę:

  • zarządzania dostępem do informacji (w tym kont i uprawnień),
  • zasad tworzenia i przechowywania haseł,
  • kopii zapasowych i planów awaryjnych,
  • zabezpieczeń fizycznych i środowiskowych,
  • stosowanych rozwiązań IT (aktualizacje, konfiguracje, systemy AV, firewalle, itp.),
  • systemów zgłaszania i obsługi incydentów.

Oceniamy, czy środki te są adekwatne do zidentyfikowanych zagrożeń i odpowiadają rzeczywistym potrzebom jednostki.

Analiza ryzyka i dojrzałości procesów bezpieczeństwa

Weryfikujemy, czy przeprowadzono analizę ryzyka, jak często jest aktualizowana oraz czy została powiązana z planowaniem działań i wdrażaniem zabezpieczeń. Audyt pomaga ocenić, czy SZBI funkcjonuje jako realny system zarządzania, czy raczej jako zestaw niepołączonych dokumentów.

Wywiady i obserwacja stanu faktycznego

Rozmawiamy z osobami odpowiedzialnymi za IT, dokumentację, bezpieczeństwo informacji i zarządzanie jednostką. Umożliwia to ocenę, czy polityki i procedury są znane, rozumiane i stosowane w praktyce – a nie tylko funkcjonują „na papierze”.

Raport z audytu i zalecenia

Na zakończenie przygotowujemy raport zawierający:

  • ocenę poziomu zgodności z wymaganiami rozporządzenia KRI,
  • wykaz niezgodności i słabych punktów,
  • listę rekomendowanych działań, pogrupowanych według priorytetów i możliwych scenariuszy wdrożenia.

Jeśli chcesz, możemy również przygotować dla Ciebie plan wdrożenia zaleceń, uzupełnić dokumentację albo przeszkolić zespół – wszystko zależy od Twoich potrzeb.

Analiza danych i dokumentacji w ramach audytu KRI
Stan infrastruktury IT i usług teleinformatycznych w jednostce publicznej
BEZPŁATNA KONSULTACJA

Korzyści z przeprowadzenia audytu KRI

Wprowadzenie nowego rozporządzenia KRI z dnia 21 maja 2024 r. znacząco podniosło wymagania wobec jednostek sektora publicznego w zakresie ochrony informacji i zarządzania systemami teleinformatycznymi. Audyt KRI to dziś nie tylko dobra praktyka – to realny obowiązek, który może mieć wpływ na odpowiedzialność kierownika jednostki.

Ale dobrze przeprowadzony audyt to coś więcej niż spełnienie wymogu prawnego. To konkretne korzyści – organizacyjne, prawne i wizerunkowe:

1. Pewność, że Twoja jednostka działa zgodnie z prawem

Audyt pozwala sprawdzić, czy spełniasz wymagania nowego rozporządzenia – nie tylko formalnie, ale też w codziennej praktyce. Otrzymujesz jasną informację, gdzie jesteś zgodny, a gdzie trzeba podjąć działania.

2. Ograniczenie ryzyka odpowiedzialności prawnej

Zgodnie z § 19 ust. 2 pkt 14 rozporządzenia, audyt bezpieczeństwa informacji powinien być realizowany cyklicznie. Brak takiego działania – lub jego pozorność – może być uznany za zaniedbanie obowiązków kierownika jednostki w przypadku incydentu, skargi lub kontroli.

3. Lepsze przygotowanie na kontrole zewnętrzne

Kontrole z UODO, NIK, RIO czy organów nadrzędnych coraz częściej dotyczą obszaru bezpieczeństwa informacji i dokumentacji SZBI. Audyt zapewnia komplet materiałów, raportów i dowodów, które można przedstawić podczas kontroli – bez nerwowych działań „na ostatnią chwilę”.

4. Uporządkowanie dokumentacji i zwiększenie przejrzystości działań

W trakcie audytu identyfikujemy nie tylko braki formalne, ale też niespójności i dokumenty, które nie przystają do realiów jednostki. Efektem jest bardziej przejrzysty system – łatwiejszy w utrzymaniu, wdrażaniu i przekazywaniu w razie zmian kadrowych.

5. Wzrost bezpieczeństwa danych i ciągłości działania

Audyt to okazja, by realnie ocenić poziom zabezpieczeń systemów IT, procedur awaryjnych, obsługi incydentów czy zasad dostępu do danych. To ważne nie tylko z punktu widzenia RODO, ale też ciągłości realizacji zadań publicznych – np. w przypadku awarii lub cyberataku.

6. Rozwój kompetencji zespołu i edukacja kadry

Audyt to nie tylko kontrola – to również rozmowa, wymiana wiedzy i okazja do uporządkowania kompetencji. Pomagamy zrozumieć, jakie są wymagania i jak je wdrożyć z uwzględnieniem specyfiki i możliwości jednostki.

Dlaczego warto zlecić audyt KRI naszej firmie

Znamy realia, w jakich działają jednostki publiczne – wiemy, że zasoby są ograniczone, dokumentacja często tworzona pod presją czasu, a wdrażanie obowiązków prawnych musi iść w parze z codzienną obsługą mieszkańców, uczniów czy pacjentów. Dlatego oferujemy audyt, który nie tylko spełnia wymogi rozporządzenia KRI, ale przede wszystkim realnie porządkuje obszar bezpieczeństwa informacji w Twojej jednostce.

1. Działamy zgodnie z nowym rozporządzeniem KRI (2024)

Opieramy audyt wyłącznie na aktualnych wymaganiach – nie bazujemy na przestarzałych wzorcach czy schematach sprzed dekady. Znamy treść rozporządzenia z 21 maja 2024 r. i wiemy, jak przełożyć jego zapisy na konkretne działania.

2. Wdrażamy podejście oparte na ISO 27001 – bez nadmiernej biurokracji

Wiemy, że nie każda jednostka planuje pełną certyfikację – ale zasady zarządzania bezpieczeństwem informacji mogą (i powinny) działać także w mniejszych JST, szkołach czy instytucjach kultury. Pokazujemy, jak je wdrożyć rozsądnie, krok po kroku, bez nadmiernych kosztów.

3. Rozumiemy ograniczenia – techniczne, kadrowe i budżetowe

Nie każemy „kupować systemów”, nie narzucamy rozwiązań ponad miarę. Nasze rekomendacje są dopasowane do Twojej sytuacji – wskazujemy rozwiązania, które można wdrożyć własnymi siłami lub przy minimalnym wsparciu zewnętrznym.

4. Nie tworzymy dokumentów „do szuflady”

Jeśli znajdziemy niezgodności – nie zostaniesz z nimi sam. Po audycie oferujemy pomoc w poprawie dokumentacji, szkoleniu pracowników, a nawet pełnym wdrożeniu SZBI w oparciu o normy ISO, jeśli zajdzie taka potrzeba.

5. Mówimy prostym językiem – bez straszenia i niezrozumiałych raportów

Raport z audytu to nie zbiór definicji i paragrafów, ale przejrzysty dokument z oceną, wnioskami i konkretnymi zaleceniami. Tak, by mógł z niego skorzystać zarówno informatyk, jak i dyrektor, sekretarz czy kierownik jednostki.

Audyt KRI – najczęstsze pytania

Czy audyt KRI jest obowiązkowy?

Tak. Zgodnie z § 19 ust. 2 pkt 14 rozporządzenia KRI z 2024 roku, kierownik podmiotu publicznego ma obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji – nie rzadziej niż raz na 2 lata. To nie jest już tylko dobra praktyka – to formalny obowiązek prawny.

Czy audyt może przeprowadzić osoba z jednostki?

Tak, audyt może mieć charakter wewnętrzny, ale musi być przeprowadzony w sposób obiektywny i przez osobę posiadającą odpowiednie kompetencje (np. z zakresu norm ISO/IEC 27001). W praktyce, dla zapewnienia niezależności i jakości, wiele jednostek zleca to zadanie podmiotom zewnętrznym.

Czy musimy posiadać certyfikat ISO/IEC 27001?

Nie. KRI nie wymaga posiadania certyfikatu. Natomiast wprost wskazuje, że system zarządzania bezpieczeństwem informacji (SZBI) ma być realizowany zgodnie z zasadami wynikającymi z ISO/IEC 27001, ISO/IEC 27002 i ISO/IEC 27005. To oznacza konieczność wdrożenia podejścia opartego na tych normach, ale bez konieczności formalnej certyfikacji.

Co się stanie, jeśli nie przeprowadzimy audytu?

Brak audytu stanowi naruszenie obowiązków wynikających z rozporządzenia. Może to skutkować negatywnymi konsekwencjami podczas kontroli NIK, RIO, UODO lub organów nadrzędnych. W razie incydentu bezpieczeństwa, brak przeglądu SZBI może zostać potraktowany jako rażące zaniedbanie.

Jak długo trwa audyt KRI?

To zależy od wielkości jednostki, ilości dokumentacji i liczby systemów. W przypadku szkół czy małych instytucji kultury – zwykle wystarczy kilka dni. W większych jednostkach audyt może potrwać od 1 do 3 tygodni (łącznie z analizą i raportowaniem).

Czy audyt musi być wykonywany na miejscu?

Część działań (analiza dokumentów, konsultacje) może odbywać się zdalnie, ale rzetelna ocena często wymaga wizyty w jednostce – choćby w celu rozmów z personelem, oceny warunków pracy czy zabezpieczeń fizycznych. Zawsze staramy się dopasować formę pracy do możliwości klienta.

Czy po audycie otrzymamy konkretne wskazówki co poprawić?

Tak. Raport z audytu zawiera nie tylko ocenę zgodności, ale też jasne rekomendacje działań naprawczych, uporządkowane według priorytetów. To nie jest sucha „checklista” – to praktyczne wskazówki, co warto zrobić, by być w zgodzie z przepisami i lepiej chronić dane.

Czy mogę zlecić poprawę dokumentów po audycie?

Oczywiście. Możemy przygotować zaktualizowaną dokumentację SZBI, pomóc wdrożyć zalecenia z audytu, przeszkolić pracowników lub objąć jednostkę stałą opieką w zakresie bezpieczeństwa informacji i RODO.

Najczęściej zadawane pytania o audyt KRI w jednostkach sektora publicznego
Zadania wynikające z audytu KRI i wdrażania rekomendacji
ZADZWOŃ PO SZCZEGÓŁY

Jak wygląda proces współpracy?

Audyt KRI to usługa, którą realizujemy w sposób uporządkowany, przejrzysty i dostosowany do możliwości Twojej jednostki. Zależy nam, aby cały proces był zrozumiały i nie zakłócał codziennej pracy urzędu, szkoły czy instytucji. Oto, jak to wygląda krok po kroku:

1. Bezpłatna konsultacja wstępna

Zaczynamy od krótkiej rozmowy – telefonicznie lub online. Poznajemy Twoją jednostkę, pytamy o aktualną sytuację w zakresie bezpieczeństwa informacji, dokumentacji i obowiązków wynikających z KRI. Na tej podstawie określamy zakres i formę audytu oraz przedstawiamy wycenę.

2. Podpisanie umowy i przygotowanie harmonogramu

Po zatwierdzeniu oferty podpisujemy umowę i wspólnie ustalamy dogodny harmonogram audytu. Jeśli część działań może być realizowana zdalnie, ustalamy, jakie dokumenty zostaną przekazane do analizy.

3. Analiza dokumentacji i ocena stanu faktycznego

Przeglądamy dokumenty wymagane przepisami – m.in. Politykę Bezpieczeństwa Informacji, analizę ryzyka, PCD, instrukcje i rejestry. Następnie przeprowadzamy wywiady z personelem, analizujemy sposób zarządzania systemami, sprawdzamy zabezpieczenia techniczne i organizacyjne.

4. Raport z audytu

Przygotowujemy raport zawierający:

  • ocenę poziomu zgodności z rozporządzeniem KRI z 2024 r.,
  • wykaz braków i niezgodności,
  • konkretne i realistyczne rekomendacje, jak poprawić sytuację – podzielone na działania pilne i te możliwe do wdrożenia w kolejnym etapie.

5. Omówienie wyników i dalsze wsparcie (opcjonalne)

Spotykamy się (na miejscu lub zdalnie), aby omówić raport i odpowiedzieć na wszystkie pytania. Jeśli chcesz, możemy pomóc w poprawie dokumentacji, przeprowadzić szkolenie dla personelu lub zaproponować dalszą współpracę – np. w postaci okresowych przeglądów zgodności lub aktualizacji SZBI.

Ile kosztuje audyt KRI?

Koszt audytu KRI zależy od kilku czynników – nie ma jednej stawki dla wszystkich, bo każda jednostka działa w innym zakresie, ma inną dokumentację, infrastrukturę IT i poziom dojrzałości organizacyjnej.

Na wycenę wpływa m.in.:

  • liczba lokalizacji oraz użytkowników systemów informatycznych,
  • skala przetwarzanych informacji (systemy, zasoby, usługi zewnętrzne),
  • aktualny stan dokumentacji i stopień jej zgodności z przepisami,
  • konieczność przeprowadzenia audytu w całości na miejscu lub częściowo zdalnie,
  • potrzeba dodatkowego wsparcia po audycie (np. aktualizacja dokumentacji, szkolenia).

Dla przykładu:

  • Dla szkoły lub instytucji kultury z jedną lokalizacją – audyt zwykle mieści się w przedziale od 1 500 do 2 500 zł netto,
  • Dla średniej jednostki JST lub CUW – koszt to zazwyczaj od 3 000 do 5 500 zł netto,
  • Dla urzędów i większych instytucji – przygotowujemy indywidualną wycenę po krótkiej analizie zakresu.

Nie doliczamy dodatkowych opłat za raport czy konsultacje końcowe – wszystko wliczone jest w jedną uczciwą cenę.

Koszt audytu KRI i efektywność wdrożenia systemu bezpieczeństwa
Formularze i dokumentacja tworzona w ramach audytu KRI

Porozmawiaj z nami o audycie KRI

Skontaktujemy się z Tobą w dniu roboczym w ciągu 24 godzin


Dane rejestrowe naszej firmy:
Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 Regon 380718355 NIP 7010831232