Audyt bezpieczeństwa informacji (KRI)
Podmioty realizujące zadania publiczne mają obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji — nie rzadziej niż raz na rok. Przeprowadzamy go w sposób możliwie najmniej uciążliwy dla bieżącego funkcjonowania jednostki.
Nowe wymagania cyberbezpieczeństwa (NIS2 / uKSC)
System wymagań właśnie się zmienia: zgodnie z ustawą z 25 lipca 2025 r. o zmianie ustawy o informatyzacji (Dz.U. 2025 poz. 1158) wymagania dotyczące systemu zarządzania bezpieczeństwem informacji przechodzą z rozporządzenia KRI do znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa, wdrażającej unijną dyrektywę NIS2. W praktyce oznacza to dla jednostek publicznych obowiązek potwierdzenia skuteczności zabezpieczeń audytem bezpieczeństwa do końca 2026 r. Pomagamy przejść przez ten okres przejściowy — od audytu zgodności z KRI po przygotowanie do wymagań uKSC.
Co obejmuje audyt
- ocenę systemu zarządzania bezpieczeństwem informacji (SZBI) — polityki, procedury, odpowiedzialności (zgodność z § 19 rozporządzenia KRI; metodycznie w oparciu o PN-ISO/IEC 27001),
- inwentaryzację i ocenę zabezpieczeń systemów teleinformatycznych służących do przetwarzania informacji i danych,
- weryfikację zarządzania uprawnieniami, szkoleń z zakresu bezpieczeństwa informacji, umów powierzenia i umów serwisowych,
- rozliczalność (logi) i ciągłość działania (kopie zapasowe, plany awaryjne),
- dostępność cyfrową serwisów (wymogi ustawy o dostępności cyfrowej — WCAG 2.1),
- raport z audytu: ustalenia, rozbieżności, rekomendacje i propozycja programu naprawczego.
Dla kogo jest audyt?
Jednostki sektora finansów publicznych i podmioty realizujące zadania publiczne, m.in.:
- organy administracji rządowej i samorządowej, sądy, prokuratura, organy kontroli,
- jednostki budżetowe i samorządowe zakłady budżetowe, fundusze celowe,
- SP ZOZ-y i spółki wykonujące działalność leczniczą,
- ZUS, KRUS, NFZ, państwowe i samorządowe osoby prawne,
- podmioty, którym powierzono realizację zadania publicznego.
Jak pracujemy
- Wykaz dokumentów — jednostka otrzymuje listę dokumentów do przygotowania dla audytorów.
- Wizyta audytorów — praca w jednostce, możliwie najmniej uciążliwa (zwykle 1–2 dni).
- Raport — ustalenia, rozbieżności i propozycje działań naprawczych.
Ocena coroczna w kolejnych latach przebiega prościej — na podstawie materiałów przekazanych drogą elektroniczną, zakończona raportem.
Porozmawiajmy o Twojej organizacji
Audyt, księgi rachunkowe, doradztwo czy szkolenia — napisz, a wrócimy z konkretną propozycją.