Audyt zgodności z KRI
Rozporządzenie KRI wymaga okresowego audytu bezpieczeństwa systemów teleinformatycznych w podmiotach publicznych. Przeprowadzimy audyt zgodnie z § 20, dostarczymy raport z niezgodnościami i pomożemy w remediacji. Spełniasz obowiązek prawny i unikasz kar.
Czym jest audyt zgodności z KRI?
Audyt KRI to obowiązkowa weryfikacja bezpieczeństwa systemów teleinformatycznych podmiotów publicznych wymagana przez § 20 rozporządzenia o Krajowych Ramach Interoperacyjności. nFlo przeprowadza audyt w 2–4 tygodnie, dostarcza raport z niezgodnościami i wspiera usuwanie braków, chroniąc kierownictwo przed karami w kontrolach NIK i RIO; koszt od 45 000 PLN.
Brak audytu KRI = naruszenie obowiązku prawnego
Kompleksowy audyt KRI zgodny z rozporządzeniem
Audyt dokumentacji
Przegląd polityk, procedur, dokumentacji systemów
Weryfikacja zabezpieczeń
Kontrola techniczna: firewall, backup, szyfrowanie
Plan remediacji
Konkretne działania naprawcze z priorytetami
Czym jest Audyt zgodności z Rekomendacjami KNF (KRI)?
Audyt zgodności z Rekomendacjami KNF (KRI) to weryfikacja zgodności instytucji finansowej z Rekomendacjami KNF dotyczącymi zarządzania ryzykiem IT (KRI), obejmująca ocenę procesów, dokumentacji i kontroli technicznych wymaganych przez regulatora.
| Atrybut | Wartość |
|---|---|
| Regulacja | Rekomendacje KNF (D, M, KRI) |
| Dla kogo | Banki, ubezpieczyciele, TFI |
| Zakres | Procesy IT, bezpieczeństwo, ciągłość |
| Czas realizacji | 2-4 tygodnie |
| Cena | od 45 000 PLN (stan na 2026) |
Kontrola wykryła brak audytu - kara dla gminy
Gmina nie przeprowadzała audytów § 20 KRI przez 5 lat. Kontrola NIK wykryła naruszenie i nałożyła karę na kierownika jednostki. Dodatkowo brak audytu oznaczał, że gmina nie wiedziała o krytycznych lukach bezpieczeństwa - brak backup, słabe hasła, nieaktualne oprogramowanie.
Bez audytu KRI:
- Naruszenie obowiązku prawnego § 20 rozporządzenia KRI
- Kary dla osób odpowiedzialnych (wójt, burmistrz, sekretarz)
- Brak świadomości o lukach bezpieczeństwa w systemach
- Kontrola NIK, RIO może zakwestionować gospodarkę finansową
Audyt zgodny z wymogami § 20 + wsparcie w usuwaniu niezgodności
Nie zostawiamy Cię z raportem. Pomagamy naprawić znalezione niezgodności i przygotować dokumentację na przyszłe kontrole.
Co dostajesz:
- Audyt zgodny z wymogami § 20 rozporządzenia KRI
- Weryfikację zabezpieczeń systemów teleinformatycznych
- Przegląd polityk, procedur, dokumentacji bezpieczeństwa
- Raport z audytu z listą niezgodności i ich severity
- Plan remediacji z konkretnymi działaniami naprawczymi
- Wsparcie przy usuwaniu niezgodności (opcjonalnie)
- Dokumentację gotową do przedstawienia kontrolerom
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Jesteś podmiotem publicznym (ministerstwo, urząd, JST, szkoła, szpital)
- Musisz spełnić obowiązek § 20 KRI (audyt co 2-3 lata)
- Przygotowujesz się do kontroli NIK, RIO, UOD
- Chcesz sprawdzić bezpieczeństwo systemów teleinformatycznych
- Nie masz wewnętrznych zasobów do przeprowadzenia audytu
Podstawa prawna
§ 20 rozporządzenia KRI
Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (Dz.U. 2017 poz. 2247)
§ 20. 1. Podmiot publiczny zapewnia bezpieczeństwo informacji przetwarzanych w systemie teleinformatycznym poprzez:
- wdrożenie i utrzymywanie polityki bezpieczeństwa;
- wdrożenie mechanizmów bezpieczeństwa;
- przeprowadzanie okresowych audytów bezpieczeństwa informacji.
Częstotliwość audytów
Rozporządzenie nie określa dokładnej częstotliwości. Praktyka:
- Co 2-3 lata - zalecane minimum
- Po znaczących zmianach - nowy system, migracja, incident
- Przed kontrolą - NIK, RIO, UODO
Zakres audytu § 20 KRI
1. Zarządzanie bezpieczeństwem
- Polityka bezpieczeństwa - czy istnieje, czy jest aktualna
- Procedury - kontrola dostępu, backup, zarządzanie incydentami
- Role i odpowiedzialności - administrator, IOD, użytkownicy
- Awareness - szkolenia z zakresu bezpieczeństwa IT
2. Zabezpieczenia techniczne
- Kontrola dostępu - uwierzytelnianie, hasła, uprawnienia
- Firewall - separacja sieci wewnętrznej od internetu
- Antywirus - ochrona przed malware, aktualizacje
- Backup - kopie zapasowe, testy restore
- Szyfrowanie - dane wrażliwe, dyski, komunikacja
- Patching - aktualizacje bezpieczeństwa systemów
3. Bezpieczeństwo fizyczne
- Serwerownia - kontrola dostępu, klimatyzacja, UPS
- Stacje robocze - zabezpieczenie przed kradzieżą
- Niszczenie nośników - procedura kasacji dysków, dokumentów
4. Ciągłość działania
- Plan ciągłości - BC/DR plan
- Backup - częstotliwość, retencja, testy odtwarzania
- Redundancja - krytyczne systemy (np. ePUAP, systemy finansowe)
5. Zgodność prawna
- RODO - zgodność z wymogami ochrony danych osobowych
- Ustawa o ochronie informacji niejawnych - jeśli dotyczy
- Ustawa o krajowym systemie cyberbezpieczeństwa - operatorzy usług kluczowych
Typowe niezgodności w podmiotach publicznych
Na podstawie naszych audytów, najczęstsze problemy:
- Brak lub przestarzała polityka bezpieczeństwa - 80% podmiotów
- Słabe hasła - brak wymogu złożoności, brak rotacji - 70%
- Nadmierne uprawnienia - wszyscy admini mają pełny dostęp - 65%
- Nieregularne backupy - lub brak testów restore - 60%
- Nieaktualne oprogramowanie - brakujące patche security - 75%
- Brak logowania zdarzeń - nie ma czego przejrzeć po incydencie - 50%
- Brak planu awaryjnego - co robić jak serwer padnie - 55%
Co NI�Ż w raporcie
Raport zgodny z wymogami KRI zawiera:
- Executive Summary - streszczenie dla kierownictwa
- Zakres audytu - audytowane systemy i obszary
- Metodyka - standardy użyte (ISO 27001, NIST, CIS)
- Findings - lista niezgodności z severity (Critical/High/Medium/Low)
- Risk Assessment - ocena ryzyka dla każdej niezgodności
- Remediation Plan - konkretne działania naprawcze
- Annexes - checklist, screenshots, dokumenty
Powiązane pojęcia
Dowiedz się więcej o kluczowych pojęciach związanych z tą usługą:
Dlaczego nFlo?
nFlo to zespół doświadczonych specjalistów ds. cyberbezpieczeństwa z ponad 500 zrealizowanymi projektami. W ramach usługi Audyt zgodności z KRI oferujemy:
- Zespół certyfikowanych ekspertów — nasi specjaliści posiadają certyfikaty CISSP, CISA, CEH, OSCP i inne uznawane w branży
- Metodyczne podejście — każdy projekt realizujemy w oparciu o uznane standardy (ISO 27001, NIST CSF, CIS Controls)
- Raport z konkretnymi rekomendacjami — nie tylko identyfikujemy problemy, ale dostarczamy priorytetyzowaną listę działań naprawczych
- Wsparcie po projekcie — pomagamy we wdrożeniu rekomendacji i monitorujemy postęp
- 98% retencja klientów — nasze wyniki mówią same za siebie
Jak wygląda proces realizacji?
- Spotkanie wstępne i analiza potrzeb — poznajemy specyfikę Twojej organizacji, infrastrukturę IT i wymagania regulacyjne
- Przygotowanie zakresu i harmonogramu — definiujemy zakres prac, metodologię i timeline
- Realizacja — nasi eksperci przeprowadzają prace zgodnie z uzgodnionym planem
- Raportowanie — dostarczamy szczegółowy raport z wynikami, oceną ryzyka i priorytetyzowanymi rekomendacjami
- Prezentacja wyników — omawiamy wyniki z zespołem technicznym i zarządem
- Wsparcie wdrożeniowe — pomagamy zaplanować i wdrożyć działania naprawcze
Skontaktuj się z opiekunem
Porozmawiaj o Audyt zgodności z KRI z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Scope Definition
Określamy systemy objęte audytem § 20
Dokumentacja
Przegląd polityk, procedur, regulaminów
Weryfikacja techniczna
Kontrola zabezpieczeń: dostęp, backup, szyfrowanie
Raport
Raport z audytu z listą niezgodności
Wsparcie
Pomoc w usuwaniu niezgodności
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Zgodność prawna
Spełniasz obowiązek audytu § 20 KRI
Lepsze bezpieczeństwo
Identyfikujesz i naprawiasz luki w zabezpieczeniach
Gotowość na kontrolę
Dokumentacja gotowa dla kontrolerów
Unikasz kar
Brak audytu = naruszenie przepisów
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
CVE-2010-0249: Podatność z 2010 roku ponownie aktywnie eksploatowana (Microsoft)
Microsoft Internet Explorer zawiera podatność typu use-after-free, która może umożliwić zdalnym napastnikom wykonanie dowolnego kodu poprzez odwołanie do wskaźnika powiązanego z usuniętym obiektem....
Czytaj więcej →CVE-2010-0806: Podatność z 2010 roku ponownie aktywnie eksploatowana (Microsoft)
Microsoft Internet Explorer zawiera podatność typu use-after-free, która może umożliwić zdalnym atakującym wykonanie dowolnego kodu poprzez dostęp do nieprawidłowego wskaźnika po usunięciu obiektu....
Czytaj więcej →RTO i RPO — czym są Recovery Time Objective i Recovery Point Objective?
RTO i RPO to dwa kluczowe wskaźniki planowania ciągłości działania i odtwarzania po awarii. Dowiedz się, jak je obliczyć, jakie technologie pomagają je osiągnąć i dlaczego są fundamentem każdej strategii disaster recovery.
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Audyt zgodności z KRI.
Jak często trzeba przeprowadzać audyt § 20 KRI?
Rozporządzenie nie określa dokładnej częstotliwości, ale praktyka i zalecenia wskazują na audyt co 2-3 lata. Dodatkowo audyt powinien być przeprowadzony po znaczących zmianach w systemach IT oraz przed spodziewaną kontrolą NIK lub RIO.
Ile trwa audyt KRI i co dokładnie sprawdzacie?
Audyt trwa 2-4 tygodnie. Sprawdzamy polityki bezpieczeństwa, kontrolę dostępu (hasła, uprawnienia), zabezpieczenia techniczne (firewall, antywirus, szyfrowanie), backup i testy restore, bezpieczeństwo fizyczne serwerowni oraz zgodność z RODO.
Czy po audycie pomagacie w usunięciu znalezionych niezgodności?
Tak. Raport zawiera priorytetyzowany plan remediacji z konkretnymi działaniami naprawczymi. Opcjonalnie wspieramy przy wdrażaniu poprawek - od aktualizacji polityk bezpieczeństwa po konfigurację zabezpieczeń technicznych.
Jakie są najczęstsze niezgodności w podmiotach publicznych?
Z naszych audytów: przestarzała polityka bezpieczeństwa (80% podmiotów), słabe hasła bez wymogu złożoności (70%), nadmierne uprawnienia administratorów (65%), nieregularne backupy bez testów restore (60%) i brakujące patche security (75%).