Аудит інформаційної безпеки (KRI)

Суб'єкти, що виконують публічні завдання в Польщі, зобов'язані забезпечити періодичний внутрішній аудит інформаційної безпеки — щонайменше раз на рік. Проводимо його так, щоб якомога менше заважати поточній роботі установи.

Правова підстава. § 19 абз. 2 п. 14 розпорядження Ради Міністрів Польщі від 21 травня 2024 р. про Національні рамки інтероперабельності, мінімальні вимоги до публічних реєстрів та обміну інформацією в електронній формі, а також мінімальні вимоги до ІКТ-систем (Dz.U. 2024 poz. 773). Виконання обов'язку контролює, зокрема, Найвища контрольна палата (NIK).

Нові вимоги кібербезпеки (NIS2 / uKSC)

Система вимог саме змінюється: згідно із законом від 25 липня 2025 р. про внесення змін до закону про інформатизацію (Dz.U. 2025 poz. 1158) вимоги до системи управління інформаційною безпекою переходять із розпорядження KRI до оновленого закону про національну систему кібербезпеки, який імплементує директиву ЄС NIS2. На практиці це означає, що публічні установи мають підтвердити ефективність своїх засобів захисту аудитом безпеки до кінця 2026 року. Допомагаємо пройти цей перехідний період — від аудиту відповідності KRI до підготовки до вимог нового закону.

Що охоплює аудит

  • оцінку системи управління інформаційною безпекою (СУІБ) — політики, процедури, відповідальність (відповідність § 19 розпорядження KRI; методологічно на основі PN-ISO/IEC 27001),
  • інвентаризацію та оцінку засобів захисту ІКТ-систем, які використовуються для обробки інформації та даних,
  • перевірку управління правами доступу, навчань з інформаційної безпеки, договорів доручення обробки даних і сервісних договорів,
  • підзвітність (логи) та безперервність діяльності (резервні копії, аварійні плани),
  • цифрову доступність сервісів (вимоги польського закону про цифрову доступність — WCAG 2.1),
  • звіт з аудиту: висновки, невідповідності, рекомендації та пропозиція програми виправлення.

Для кого цей аудит?

Установи сектору публічних фінансів та суб'єкти, що виконують публічні завдання, зокрема:

  • органи державної та місцевої адміністрації, суди, прокуратура, контрольні органи,
  • бюджетні установи та комунальні бюджетні заклади, цільові фонди,
  • публічні заклади охорони здоров'я (SP ZOZ) і компанії, що провадять лікувальну діяльність,
  • ZUS, KRUS, NFZ, державні та комунальні юридичні особи,
  • суб'єкти, яким доручено виконання публічного завдання.

Як ми працюємо

  1. Перелік документів — установа отримує список документів, які слід підготувати для аудиторів.
  2. Візит аудиторів — робота в установі, максимально необтяжлива (зазвичай 1–2 дні).
  3. Звіт — висновки, невідповідності та пропозиції виправних дій.

Щорічна оцінка в наступні роки відбувається простіше — на основі матеріалів, переданих електронною поштою, і завершується звітом.

Хто проводить аудит? Аудит веде аудиторка зі званням CIA (Certified Internal Auditor), після державного іспиту на внутрішнього аудитора (Мінфін Польщі), з кваліфікацією аудитора ISO 27001 і багаторічною практикою в публічних установах — Моніка Каліновська.

Поговорімо про вашу організацію

Аудит, бухгалтерський облік, консалтинг чи навчання — напишіть нам, і ми повернемося з конкретною пропозицією.

Запит пропозиції