Eduodo logo

Audyt KRI - Audyt Krajowych Ram Interoperacyjności

Czym są Krajowe Ramy Interoperacyjności?

Krajowe Ramy Interoperacyjności (KRI) to zestaw wymagań i zasad, które porządkują sposób działania systemów informatycznych w administracji oraz to, jak podmioty publiczne mają wymieniać między sobą informacje w formie elektronicznej.

W praktyce KRI wskazują minimalny standard dla rejestrów publicznych i systemów teleinformatycznych: od bezpieczeństwa informacji (SZBI, polityki i procedury), przez interoperacyjność i standardy techniczne umożliwiające sprawną wymianę danych (również transgraniczną), aż po dostępność usług cyfrowych dla użytkowników, w tym osób z niepełnosprawnościami (np. zgodnie z WCAG). Obecnie KRI są uregulowane w rozporządzeniu Rady Ministrów z dnia 21 maja 2024 r. dotyczącym Krajowych Ram Interoperacyjności oraz minimalnych wymagań dla rejestrów publicznych, wymiany informacji i systemów teleinformatycznych.

Krajowe ramy Interoperacyjności

Co to jest zewnętrzny audyt KRI?

Zewnętrzny audyt KRI to coroczna, niezależna weryfikacja, czy systemy teleinformatyczne i sposób przetwarzania informacji w jednostce spełniają wymagania Krajowych Ram Interoperacyjności.

Audyt realizują eksperci spoza organizacji – analizują dokumentację (m.in. SZBI, polityki i procedury), konfiguracje i praktyki operacyjne, a także wybrane elementy techniczne związane z bezpieczeństwem i interoperacyjnością.

Efektem audytu jest raport zgodności z listą niezgodności, oceną ryzyk oraz rekomendacjami i planem działań naprawczych, które pomagają uporządkować bezpieczeństwo informacji i przygotować jednostkę na kontrolę lub incydenty.

Jak mawiał Louis Nizer: "Znaleźć w czymś błąd jest łatwo; zrobić coś lepiej może być trudno". Tymi słowami kieruję się podczas przeprowadzania audytu. Stawiam na praktyczne rozwiązania! Staram się pomóc zrozumieć, cierpliwie tłumacząc i odpowiadając na zadane pytania. Bo nie sztuką jest wytykać błędy, sztuką jest być skutecznym w swojej pracy audytora. Łukasz Lepiocha

Umów konsultację

Znajdź nas

Zalety Audytu KRI

  • Rzetelne wnioski
    Audyt KRI daje pełny obraz stanu zabezpieczeń oraz stopnia zgodności z wymaganiami Krajowych Ram Interoperacyjności. Otrzymują Państwo szczegółowy raport, w którym wskazujemy niezgodności, oceniamy poziom ryzyka i proponujemy rekomendacje wdrożeniowe. Dzięki temu wiadomo, co poprawić, w jakiej kolejności i jakie działania podjąć, aby spełnić wymagania rozporządzenia KRI.
  • Obiektywne spojrzenie na sprawę
    Zewnętrzny audytor patrzy na organizację z dystansem i nie jest obciążony rutyną codziennej pracy. Ta niezależność ułatwia wychwycenie luk w procedurach, niespójności w dokumentacji i rozbieżności między deklaracjami a praktyką działania systemów. Efekt: obiektywna diagnoza i rekomendacje oparte na faktach,
  • Wsparcie poaudytowe
    Po zakończeniu audytu nie zostają Państwo z samą listą punktów do poprawy. Zapewniamy konsultacje, które pomagają przełożyć zalecenia na realny plan wdrożenia: priorytety, odpowiedzialności i harmonogram. Dzięki temu łatwiej przeprowadzić działania naprawcze, przygotować się do kontroli oraz ograniczyć ryzyka związane z incydentami i przerwami w działaniu usług.
  • Wzmocnienie zaufania do instytucji
    Utrzymywanie zgodności z KRI wspiera bezpieczeństwo przetwarzania informacji i podnosi standard działania usług cyfrowych, w tym dostępność (np. zgodnie z WCAG). Dla interesantów oznacza to większą przewidywalność i lepszą jakość obsługi, a dla jednostki – czytelne zasady, lepszą kontrolę nad systemami oraz mniejsze ryzyko niezgodności.

     

Dlaczego warto powierzyć nam audyt Krajowych Ram Interoperacyjności?

Precyzja

Audyt prowadzimy w oparciu o checklisty zgodności – identyfikujemy niezgodności, luki i rozbieżności między dokumentacją a praktyką działania systemów.

Personalizacja

Zakres dopasowujemy do jednostki: liczby systemów, rejestrów, lokalizacji, poziomu dojrzałości SZBI oraz sposobu realizacji usług elektronicznych.

Rekomendacje wdrożeniowe

Po audycie otrzymują Państwo raport z priorytetami, oceną ryzyka i konkretnym planem działań naprawczych (co zrobić, w jakiej kolejności i dlaczego).

Profesjonalizm

Audyt realizują doświadczeni specjaliści z obszaru bezpieczeństwa informacji i systemów teleinformatycznych, którzy potrafią przełożyć wymagania KRI na praktyczne decyzje operacyjne.

Proaktywność

Śledzimy zmiany regulacyjne i najlepsze praktyki, aby rekomendacje były aktualne i możliwe do utrzymania w czasie – nie tylko „na potrzeby raportu”.

Partnerskie podejście

Pracujemy w sposób uporządkowany i transparentny – bez szukania winnych, za to z naciskiem na usprawnienia, które realnie da się wdrożyć.

Efektywność

Skupiamy się na rozwiązaniach, które zmniejszają ryzyko i podnoszą zgodność bez zbędnej biurokracji – tam, gdzie to możliwe, proponujemy szybkie wygrane.

Komunikacja

Tłumaczymy wymagania KRI prostym językiem, odpowiadamy na pytania i pokazujemy priorytety: co jest krytyczne, co ważne, a co można zaplanować etapami.

Odpowiedzialność

Dbamy o jakość dowodów audytowych, czytelność raportu oraz realność zaleceń, tak aby audyt wspierał wdrożenie i utrzymanie zgodności w praktyce.

Umów konsultację

Co zyskują Państwo po wdrożeniu zaleceń z audytu KRI?

Mniej przestojów i szybsza reakcja

Usprawnione kopie zapasowe, jasne procedury i gotowość do działania w razie awarii lub incydentu.

Porządek w dostępach i odpowiedzialnościach

Uprawnienia, role i obieg decyzji są uporządkowane, dzięki czemu łatwiej utrzymać kontrolę nad systemami.

Spójna dokumentacja KRI i RODO

Jedne zasady bezpieczeństwa zamiast dublowania dokumentów i rozbieżności między praktyką a formalnościami.

Realne ograniczenie ryzyk

Priorytety działań są ustawione pod ryzyko, a nie pod wygodę, co przekłada się na lepszą odporność organizacji.

Łatwiejsze utrzymanie zgodności w czasie

Mechanizmy przeglądów, aktualizacji i szkoleń wspierają ciągłą zgodność, a nie jednorazowe poprawki.

Lepsza jakość e-usług

Stabilniejsze systemy i większa przewidywalność obsługi spraw dla interesantów.

Jak przeprowadzamy audyt KRI?

1

Przygotowanie

Ustalamy zakres audytu (systemy, rejestry, lokalizacje) i sprawdzamy dostępność dokumentacji (SZBI, polityki, procedury). Uzgadniamy harmonogram, komunikację i listę materiałów, aby audyt nie dezorganizował pracy jednostki.

2

Weryfikacja zgodności

Pracujemy na dokumentacji, wywiadach i listach kontrolnych. Sprawdzamy kluczowe obszary bezpieczeństwa i działania systemów teleinformatycznych, w tym:

  • uprawnienia i dostępy,
  • analizę ryzyka,
  • kopie zapasowe i odtwarzanie,
  • reakcję na incydenty i logowanie zdarzeń,
  • komunikację i szyfrowanie.
3

Raport i rekomendacje

Przekazujemy raport z wykazem niezgodności, oceną ryzyk i priorytetami. Otrzymują Państwo plan działań naprawczych oraz wskazówki, co wdrożyć w pierwszej kolejności, a co zaplanować etapami.

4

Wsparcie poaudytowe

Pomagamy wdrożyć zalecenia, uporządkować dokumentację i praktyki SZBI oraz rozplanować zadania, odpowiedzialności i terminy. Celem jest utrzymanie zgodności w codziennym funkcjonowaniu.

Dokumenty do audytu KRI – co warto przygotować

Dobra dokumentacja to jeden z najważniejszych czynników, które wpływają na sprawność audytu KRI i liczbę niezgodności. Weryfikujemy nie tylko to, czy zabezpieczenia działają, ale także czy są opisane w sposób spójny i możliwy do utrzymania w codziennej pracy. Dlatego przed startem audytu warto zebrać kluczowe materiały związane z SZBI oraz funkcjonowaniem systemów teleinformatycznych.

  • Polityki i procedury bezpieczeństwa oraz elementy SZBI (role, odpowiedzialności, zasady postępowania).
  • Inwentaryzacja aktywów lub spis systemów i usług wraz z właścicielami zasobów.
  • Zasady zarządzania dostępami: nadawanie, odbieranie i okresowe przeglądy uprawnień.
  • Kopie zapasowe i odtwarzanie: opis procesu, zakres, częstotliwość i informacje o testach.
  • Obsługa incydentów: procedura, rejestr incydentów lub sposób dokumentowania zdarzeń.
  • Materiały dotyczące kluczowych e-usług (jeżeli dotyczą jednostki), np. ePUAP, obieg dokumentów, platforma e-usług.

Jeśli część dokumentów nie istnieje lub jest nieaktualna, nie blokuje to audytu. W raporcie wskazujemy braki, priorytety oraz rekomendacje, jak uporządkować dokumentację tak, aby wspierała wymagania KRI i była spójna z obszarami wspólnymi dla RODO.

Raport z audytu KRI – co zawiera?

  • Wykaz niezgodności wraz z klasyfikacją istotności (od drobnych uchybień po luki podnoszące ryzyko).
  • Opis stanu faktycznego i odniesienie do konkretnych wymagań KRI, których dotyczy dana niezgodność.
  • Ocena ryzyka oraz priorytety działań: co wymaga pilnej reakcji, a co można zaplanować etapami.
  • Rekomendacje działań naprawczych w formie konkretnych kroków do wdrożenia (technicznych i organizacyjnych).
  • Wnioski dotyczące SZBI – ocena elementów systemu zarządzania bezpieczeństwem informacji i spójności dokumentacji.
  • Mocne strony i dobre praktyki, które warto utrzymać i rozwijać.
  • Porównanie trendów do wcześniejszych audytów (jeśli jednostka ma historię audytów i dostępne dane).

Zakres i szczegółowość raportu dopasowujemy do skali jednostki, liczby systemów oraz dostępności dokumentacji.

Audyt KRI w urzędzie gminy – Case Study

Urząd gminy zatrudniający 82 pracowników zlecił audyt KRI po trzyletniej przerwie od poprzedniej weryfikacji. Celem było sprawdzenie aktualności dokumentacji SZBI, ocena zgodności wybranych systemów (m.in. ePUAP, obieg dokumentów, platforma e-usług) z wymaganiami KRI oraz uporządkowanie obszarów wspólnych dla KRI i RODO, tak aby przygotować jednostkę do rozwoju nowych usług cyfrowych.

W ramach prac przeprowadziliśmy analizę dokumentacji (polityki, procedury, rejestry), weryfikację konfiguracji wybranych elementów IT, wywiady z kluczowym personelem oraz ocenę kontroli dostępu i zarządzania uprawnieniami. W trakcie audytu zidentyfikowaliśmy m.in. brak aktualnego rejestru aktywów, przestarzałe zasady nadawania uprawnień oraz nieaktualne zapisy w dokumentacji polityki bezpieczeństwa.

Efektem współpracy było uporządkowanie i aktualizacja kluczowych elementów SZBI, wdrożenie procedur reagowania na incydenty i cyklicznych przeglądów uprawnień oraz podniesienie świadomości pracowników w zakresie cyberzagrożeń. Dzięki temu jednostka uzyskała mierzalny postęp w spełnianiu wymagań KRI w zweryfikowanych obszarach i lepszą gotowość operacyjną do utrzymania zgodności w czasie.

Zapraszamy do współpracy

Jeśli szukasz partnera, który w profesjonalny, praktyczny i ciekawy sposób przeprowadzi audyt Krajowych Ram Interoperacyjności, skontaktuj się z nami.

Przetwarzanie Pani/Pana danych osobowych następuje tylko i wyłącznie w celu udzielenia odpowiedzi na przesłane przez Panią/Pana zapytanie lub w innych sprawach, w związku z którymi kontaktuje się Pani/Pan z nami wykorzystując formularz kontaktowy.

Jeżeli ma Pani/Pan jakiekolwiek pytania odnośnie przetwarzania przez nas danych oraz praw jakie Pani/Panu w związku z tym przysługują, proszę o przesłanie maila na adres biuro@eduodo.pl Podstawą prawną przetwarzania przez nas Pani/Pana danych osobowych jest art. 6 ust. 1 lit. f Rozporządzenia Ogólnego o Ochronie Danych Osobowych z dnia 27 kwietnia 2016 r., dalej: "RODO", czyli: prawnie uzasadniony interes Administratora, jakim jest właściwa obsługa naszych Klientów, w tym udzielanie odpowiedzi na przesłane do nas pytania. Pani/Pana dane osobowe będą przekazane wyłącznie do podmiotów świadczących na naszą rzecz usługi wsparcia w tym usługi księgowe, hostingowe oraz usługi IT. Każdy podmiot, któremu możemy powierzyć Państwa dane, przetwarzają je na podstawie zawartych umów z nami i wyłączenie zgodnie z poleceniami Administratora. Pani/Pana dane osobowe będą wykorzystywane przez nas przez okres niezbędny do udzielenia odpowiedzi. Podanie przez Pani/Pana danych osobowych jest dobrowolne, aczkolwiek ich niepodanie wiąże się z brakiem możliwości udzielenia odpowiedzi na zadane pytanie. Ma Pani/Pan prawo żądania dostępu do danych, sprostowania, usunięcia, przenoszenia, ograniczenia ich przetwarzania. Ma Pani/Pan prawo do zgłoszenia sprzeciwu.

W celu skorzystania z przysługujących Pani/Panu praw należy skontaktować się z Administratorem za pośrednictwem wyżej wymienionego adresu mailowego. Bezpieczeństwo Pani/Pana danych jest dla nas priorytetem, jeżeli jednak uznasz, że przetwarzając Pani/Pana dane naruszamy przepisy RODO, ma Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Najczęściej zadawane pytania i odpowiedzi

Kiedy trzeba wykonać audyt KRI i jak często?

Jednostki realizujące zadania publiczne powinny wykonywać audyt KRI co najmniej raz w roku, zgodnie z rozporządzeniem z 21 maja 2024 r. W praktyce warto uruchomić audyt również po większych zmianach w systemach (np. nowa platforma e-usług, migracja poczty, wdrożenie nowego obiegu dokumentów), po incydencie bezpieczeństwa lub gdy dokumentacja SZBI nie była aktualizowana przez dłuższy czas.

Kto powinien uczestniczyć w audycie po stronie jednostki?

Najczęściej potrzebne są osoby, które znają zarówno dokumentację, jak i praktykę działania systemów:

  • kierownik jednostki lub osoba upoważniona do podejmowania decyzji i zatwierdzania działań,
  • osoba odpowiedzialna za SZBI/bezpieczeństwo informacji (jeśli wyznaczona),
  • administratorzy lub specjaliści IT (uprawnienia, konfiguracje, kopie zapasowe, monitoring),
  • osoby odpowiedzialne za e-usługi, ePUAP/BIP oraz obieg dokumentów (jeżeli dotyczy).

Taki skład pozwala szybko potwierdzić stan faktyczny i ogranicza liczbę przestojów po stronie jednostki.

Ile trwa audyt KRI?

Czas audytu zależy głównie od liczby systemów i rejestrów, liczby lokalizacji oraz kompletności dokumentacji (SZBI, polityki, procedury, inwentaryzacja). Audyt zwykle obejmuje etap przygotowania (ustalenie zakresu i materiałów), weryfikację (analiza dokumentów i wywiady) oraz opracowanie raportu z zaleceniami. Harmonogram ustalamy po krótkiej analizie zakresu i dostępnych danych.

Ile kosztuje audyt KRI i od czego zależy wycena?

Wycena jest indywidualna, bo koszt zależy od realnego zakresu pracy. Najczęściej wpływają na nią:

  • liczba systemów i rejestrów oraz stopień ich integracji,
  • liczba lokalizacji i sposób organizacji IT,
  • kompletność dokumentacji SZBI i jej spójność z praktyką,
  • zakres audytu (tylko wybrane systemy czy całość),
  • oczekiwany termin oraz zakres wsparcia poaudytowego.

Najlepiej przygotować krótki opis środowiska, wtedy można precyzyjnie dobrać zakres i koszt.

Jak przygotować się do audytu KRI?

Najwięcej czasu oszczędza zebranie podstawowych materiałów przed startem. W szczególności:

  • aktualne polityki i procedury bezpieczeństwa oraz elementy SZBI,
  • inwentaryzacja sprzętu i oprogramowania lub spis systemów/usług,
  • zasady nadawania i przeglądu uprawnień,
  • informacje o kopiach zapasowych i testach odtwarzania,
  • rejestr incydentów lub sposób obsługi incydentów,
  • dokumenty i informacje dotyczące kluczowych e-usług (np. ePUAP, obieg dokumentów).

Co najczęściej wychodzi w audycie KRI w jednostkach publicznych?

Najczęściej identyfikowane są braki lub niespójności w obszarach:

  • rejestr aktywów i właściciele zasobów,
  • przeglądy uprawnień i porządek w kontach,
  • kopie zapasowe i weryfikacja odtwarzania,
  • obsługa incydentów i logowanie zdarzeń,
  • aktualność dokumentacji SZBI i zgodność z praktyką.

To zwykle nie są pojedyncze duże błędy, tylko zestaw mniejszych luk, które po uporządkowaniu znacząco poprawiają bezpieczeństwo i stabilność działania.

Darmowe konsultacje
Darmowe konsultacje

Wypełnij formularz jeżeli jesteś zainteresowany darmowymi konsultacjami

+49 173 5317232