Audyt zgodności z KRI
Rozporządzenie KRI wymaga okresowego audytu bezpieczeństwa systemów teleinformatycznych w podmiotach publicznych. Przeprowadzimy audyt zgodnie z § 20, dostarczymy raport z niezgodnościami i pomożemy w remediacji. Spełniasz obowiązek prawny i unikasz kar.
Brak audytu KRI = naruszenie obowiązku prawnego
Kompleksowy audyt KRI zgodny z rozporządzeniem
Audyt dokumentacji
Przegląd polityk, procedur, dokumentacji systemów
Weryfikacja zabezpieczeń
Kontrola techniczna: firewall, backup, szyfrowanie
Plan remediacji
Konkretne działania naprawcze z priorytetami
Czym jest Audyt zgodności z Rekomendacjami KNF (KRI)?
Audyt zgodności z Rekomendacjami KNF (KRI) to weryfikacja zgodności instytucji finansowej z Rekomendacjami KNF dotyczącymi zarządzania ryzykiem IT (KRI), obejmująca ocenę procesów, dokumentacji i kontroli technicznych wymaganych przez regulatora.
| Atrybut | Wartość |
|---|---|
| Regulacja | Rekomendacje KNF (D, M, KRI) |
| Dla kogo | Banki, ubezpieczyciele, TFI |
| Zakres | Procesy IT, bezpieczeństwo, ciągłość |
| Czas realizacji | 2-4 tygodnie |
| Cena | od 45 000 PLN (stan na 2026) |
nFlo oferuje audyt zgodności z rekomendacjami knf (kri) dla firm w Polsce, zapewniając profesjonalne wsparcie i zgodność z najlepszymi praktykami branżowymi.
Kontrola wykryła brak audytu - kara dla gminy
Gmina nie przeprowadzała audytów § 20 KRI przez 5 lat. Kontrola NIK wykryła naruszenie i nałożyła karę na kierownika jednostki. Dodatkowo brak audytu oznaczał, że gmina nie wiedziała o krytycznych lukach bezpieczeństwa - brak backup, słabe hasła, nieaktualne oprogramowanie.
Bez audytu KRI:
- Naruszenie obowiązku prawnego § 20 rozporządzenia KRI
- Kary dla osób odpowiedzialnych (wójt, burmistrz, sekretarz)
- Brak świadomości o lukach bezpieczeństwa w systemach
- Kontrola NIK, RIO może zakwestionować gospodarkę finansową
Audyt zgodny z wymogami § 20 + wsparcie w usuwaniu niezgodności
Nie zostawiamy Cię z raportem. Pomagamy naprawić znalezione niezgodności i przygotować dokumentację na przyszłe kontrole.
Co dostajesz:
- Audyt zgodny z wymogami § 20 rozporządzenia KRI
- Weryfikację zabezpieczeń systemów teleinformatycznych
- Przegląd polityk, procedur, dokumentacji bezpieczeństwa
- Raport z audytu z listą niezgodności i ich severity
- Plan remediacji z konkretnymi działaniami naprawczymi
- Wsparcie przy usuwaniu niezgodności (opcjonalnie)
- Dokumentację gotową do przedstawienia kontrolerom
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Jesteś podmiotem publicznym (ministerstwo, urząd, JST, szkoła, szpital)
- Musisz spełnić obowiązek § 20 KRI (audyt co 2-3 lata)
- Przygotowujesz się do kontroli NIK, RIO, UOD
- Chcesz sprawdzić bezpieczeństwo systemów teleinformatycznych
- Nie masz wewnętrznych zasobów do przeprowadzenia audytu
Podstawa prawna
§ 20 rozporządzenia KRI
Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (Dz.U. 2017 poz. 2247)
§ 20. 1. Podmiot publiczny zapewnia bezpieczeństwo informacji przetwarzanych w systemie teleinformatycznym poprzez:
- wdrożenie i utrzymywanie polityki bezpieczeństwa;
- wdrożenie mechanizmów bezpieczeństwa;
- przeprowadzanie okresowych audytów bezpieczeństwa informacji.
Częstotliwość audytów
Rozporządzenie nie określa dokładnej częstotliwości. Praktyka:
- Co 2-3 lata - zalecane minimum
- Po znaczących zmianach - nowy system, migracja, incident
- Przed kontrolą - NIK, RIO, UODO
Zakres audytu § 20 KRI
1. Zarządzanie bezpieczeństwem
- Polityka bezpieczeństwa - czy istnieje, czy jest aktualna
- Procedury - kontrola dostępu, backup, zarządzanie incydentami
- Role i odpowiedzialności - administrator, IOD, użytkownicy
- Awareness - szkolenia z zakresu bezpieczeństwa IT
2. Zabezpieczenia techniczne
- Kontrola dostępu - uwierzytelnianie, hasła, uprawnienia
- Firewall - separacja sieci wewnętrznej od internetu
- Antywirus - ochrona przed malware, aktualizacje
- Backup - kopie zapasowe, testy restore
- Szyfrowanie - dane wrażliwe, dyski, komunikacja
- Patching - aktualizacje bezpieczeństwa systemów
3. Bezpieczeństwo fizyczne
- Serwerownia - kontrola dostępu, klimatyzacja, UPS
- Stacje robocze - zabezpieczenie przed kradzieżą
- Niszczenie nośników - procedura kasacji dysków, dokumentów
4. Ciągłość działania
- Plan ciągłości - BC/DR plan
- Backup - częstotliwość, retencja, testy odtwarzania
- Redundancja - krytyczne systemy (np. ePUAP, systemy finansowe)
5. Zgodność prawna
- RODO - zgodność z wymogami ochrony danych osobowych
- Ustawa o ochronie informacji niejawnych - jeśli dotyczy
- Ustawa o krajowym systemie cyberbezpieczeństwa - operatorzy usług kluczowych
Typowe niezgodności w podmiotach publicznych
Na podstawie naszych audytów, najczęstsze problemy:
- Brak lub przestarzała polityka bezpieczeństwa - 80% podmiotów
- Słabe hasła - brak wymogu złożoności, brak rotacji - 70%
- Nadmierne uprawnienia - wszyscy admini mają pełny dostęp - 65%
- Nieregularne backupy - lub brak testów restore - 60%
- Nieaktualne oprogramowanie - brakujące patche security - 75%
- Brak logowania zdarzeń - nie ma czego przejrzeć po incydencie - 50%
- Brak planu awaryjnego - co robić jak serwer padnie - 55%
Co NI�Ż w raporcie
Raport zgodny z wymogami KRI zawiera:
- Executive Summary - streszczenie dla kierownictwa
- Zakres audytu - audytowane systemy i obszary
- Metodyka - standardy użyte (ISO 27001, NIST, CIS)
- Findings - lista niezgodności z severity (Critical/High/Medium/Low)
- Risk Assessment - ocena ryzyka dla każdej niezgodności
- Remediation Plan - konkretne działania naprawcze
- Annexes - checklist, screenshots, dokumenty
Jak pracujemy
Sprawdzony proces realizacji usługi.
Scope Definition
Określamy systemy objęte audytem § 20
Dokumentacja
Przegląd polityk, procedur, regulaminów
Weryfikacja techniczna
Kontrola zabezpieczeń: dostęp, backup, szyfrowanie
Raport
Raport z audytu z listą niezgodności
Wsparcie
Pomoc w usuwaniu niezgodności
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Zgodność prawna
Spełniasz obowiązek audytu § 20 KRI
Lepsze bezpieczeństwo
Identyfikujesz i naprawiasz luki w zabezpieczeniach
Gotowość na kontrolę
Dokumentacja gotowa dla kontrolerów
Unikasz kar
Brak audytu = naruszenie przepisów
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
Dlaczego SOC jest praktycznie niezbędny dla zgodności z KSC/NIS2?
Przepisy KSC/NIS2 nie wymagają wprost posiadania SOC. Jednak 24-godzinny obowiązek zgłaszania incydentów poważnych sprawia, że bez dojrzałych mechanizmów monitorowania spełnienie wymogów staje się praktycznie niemożliwe.
Czytaj więcej →Vulnerability Disclosure - Jak odpowiedzialnie zgłaszać podatności
Kompletny przewodnik po odpowiedzialnym zgłaszaniu podatności. Responsible disclosure, CVE, security.txt, aspekty prawne w Polsce.
Czytaj więcej →Łańcuchowa eksploitacja n8n: jak RidgeBot wykrywa przejęcie workflow w praktyce
Seria krytycznych podatności w n8n pokazuje, jak łańcuchowa eksploitacja może prowadzić do całkowitego przejęcia infrastruktury automatyzacji. RidgeBot jako platforma do ciągłej walidacji bezpieczeństwa wykrywa takie scenariusze zanim zrobią to atakujący.
Czytaj więcej →Skontaktuj sie z opiekunem
Porozmawiaj o Audyt zgodności z KRI z dedykowanym opiekunem handlowym.