Audyt bezpieczeństwa informacji (KRI)

Podmioty realizujące zadania publiczne mają obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji — nie rzadziej niż raz na rok. Przeprowadzamy go w sposób możliwie najmniej uciążliwy dla bieżącego funkcjonowania jednostki.

Podstawa prawna. § 19 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2024 poz. 773). Realizację obowiązku kontroluje m.in. NIK.

Nowe wymagania cyberbezpieczeństwa (NIS2 / uKSC)

System wymagań właśnie się zmienia: zgodnie z ustawą z 25 lipca 2025 r. o zmianie ustawy o informatyzacji (Dz.U. 2025 poz. 1158) wymagania dotyczące systemu zarządzania bezpieczeństwem informacji przechodzą z rozporządzenia KRI do znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa, wdrażającej unijną dyrektywę NIS2. W praktyce oznacza to dla jednostek publicznych obowiązek potwierdzenia skuteczności zabezpieczeń audytem bezpieczeństwa do końca 2026 r. Pomagamy przejść przez ten okres przejściowy — od audytu zgodności z KRI po przygotowanie do wymagań uKSC.

Co obejmuje audyt

  • ocenę systemu zarządzania bezpieczeństwem informacji (SZBI) — polityki, procedury, odpowiedzialności (zgodność z § 19 rozporządzenia KRI; metodycznie w oparciu o PN-ISO/IEC 27001),
  • inwentaryzację i ocenę zabezpieczeń systemów teleinformatycznych służących do przetwarzania informacji i danych,
  • weryfikację zarządzania uprawnieniami, szkoleń z zakresu bezpieczeństwa informacji, umów powierzenia i umów serwisowych,
  • rozliczalność (logi) i ciągłość działania (kopie zapasowe, plany awaryjne),
  • dostępność cyfrową serwisów (wymogi ustawy o dostępności cyfrowej — WCAG 2.1),
  • raport z audytu: ustalenia, rozbieżności, rekomendacje i propozycja programu naprawczego.

Dla kogo jest audyt?

Jednostki sektora finansów publicznych i podmioty realizujące zadania publiczne, m.in.:

  • organy administracji rządowej i samorządowej, sądy, prokuratura, organy kontroli,
  • jednostki budżetowe i samorządowe zakłady budżetowe, fundusze celowe,
  • SP ZOZ-y i spółki wykonujące działalność leczniczą,
  • ZUS, KRUS, NFZ, państwowe i samorządowe osoby prawne,
  • podmioty, którym powierzono realizację zadania publicznego.

Jak pracujemy

  1. Wykaz dokumentów — jednostka otrzymuje listę dokumentów do przygotowania dla audytorów.
  2. Wizyta audytorów — praca w jednostce, możliwie najmniej uciążliwa (zwykle 1–2 dni).
  3. Raport — ustalenia, rozbieżności i propozycje działań naprawczych.

Ocena coroczna w kolejnych latach przebiega prościej — na podstawie materiałów przekazanych drogą elektroniczną, zakończona raportem.

Kto audytuje? Audyt prowadzi audytorka z tytułem CIA (Certified Internal Auditor), po egzaminie państwowym na audytora wewnętrznego (MF), z uprawnieniami audytora ISO 27001 i wieloletnią praktyką w jednostkach publicznych — Monika Kalinowska.

Porozmawiajmy o Twojej organizacji

Audyt, księgi rachunkowe, doradztwo czy szkolenia — napisz, a wrócimy z konkretną propozycją.

Zapytanie o ofertę