Nowe rozporządzenie regulujące Krajowe Ramy Interoperacyjności (KRI)
Nowe rozporządzenie dotyczące Krajowych Ram Interoperacyjności zostało wprowadzone w życie z dniem 23 maja 2024 roku, zastępując wcześniej obowiązujące przepisy rozporządzenia z dnia 12 kwietnia 2012 roku. Przepisy te definiują funkcjonowanie systemu zarządzania bezpieczeństwem informacji w podmiotach publicznych. Poniżej omawiamy, jakie zmiany zaszły w nowych przepisach względem dotychczasowych.
Czym są Krajowe Ramy Interoperacyjności – co to takiego?
Krajowe Ramy Interoperacyjności, w skrócie KRI, określają minimalne wymagania dotyczące rejestrów publicznych i wymiany informacji w postaci elektronicznej. W sposób jasny i klarowny przedstawiają, do czego są zobowiązane podmioty publiczne, w celu spełnienia ustalonych norm w obszarach: poufności, dostępności i integralności informacji. Jednostki publiczne mają obowiązek dostosować systemy do minimalnych wymagań dla rejestrów publicznych i przestrzegać protokołów komunikacyjnych oraz szyfrujących w powyższym zakresie. Są zobowiązane do przeprowadzania okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, zapewnienia wysokiego poziomu bezpieczeństwa w systemach teleinformatycznych i natychmiastowego zgłaszania incydentów naruszenia bezpieczeństwa informacji.
Czego dotyczy nowe rozporządzenie w sprawie KRI?
Nowe rozporządzenie wprowadza regulacje Krajowych Ram Interoperacyjności, określając minimalne wymagania dla systemów teleinformatycznych. Są one konieczne z uwagi na uchylenie dotychczasowych przepisów regulujących KRI i utrzymanie ciągłości ich obowiązywania. Zmiany te natomiast mają charakter wyłącznie techniczny. Usunięto z zakresu minimalnych wymagań dla systemów teleinformatycznych „sposoby zapewnienia dostępu informacji do zasobów informacji podmiotów publicznych dla osób niepełnosprawnych” oraz normę „PN-ISO/IEC 24762 – Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie”, wycofaną w 2016 roku.
Czym jest audyt Krajowych Ram interoperacyjności?
Audyt Krajowych Ram Interoperacyjności, zgodnie z rozporządzeniem KRI, powinien odbywać się corocznie. Jest to czynność konieczna i bardzo ważna dla zachowania zgodności z rozporządzeniem. Jest rodzajem kontroli, która musi być przeprowadzona przez niezależnych ekspertów. Dokonują oni sprawdzenia poprawności zabezpieczeń systemów IT pod kątem zgodności z rozporządzeniem, weryfikacji oprogramowania oraz analizują ewentualne błędy i ich zwalczanie. Audyt KRI, przeprowadzony przez naszych audytorów z EDUODO, pozwala na dokładną i rzetelną weryfikację stanu zabezpieczeń systemów IT oraz przygotowanie obiektywnej oceny przystosowania do rozporządzenia w sprawie Krajowych Ram Interoperacyjności. Przewagą naszych audytorów zewnętrznych jest większa szansa na dostrzeżenie ewentualnych błędów niż osoba wykonująca pracę w danej placówce i spotykająca się z nieprawidłowościami na co dzień. Całość naszych działań zawsze jest zwieńczona szczegółowym raportem wraz z zaleceniami.