STAN PRAWNY NA 18 CZERWCA 2025
Obowiązek tworzenia audytu wynika z regulacji § 19 ust. 2 pkt 14 Rozporządzenia z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, zgodnie z którym zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających egzekwowanie działań, takich jak przeprowadzenie nie rzadziej niż raz na rok okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji.
Czym jest bezpieczeństwo informacji w rozumieniu tego przepisu? Przywołane Rozporządzenie zostało wydane na podstawie art. 18 Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. Zgodnie z tym przepisem Rada Ministrów, na wniosek ministra właściwego ds. informatyzacji, określa w drodze rozporządzenia:
1) minimalne wymagania dla systemów teleinformatycznych, mając na uwadze konieczność zapewnienia:
a) spójności działania systemów teleinformatycznych używanych do realizacji zadań publicznych poprzez określenie co najmniej specyfikacji formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym, przy zachowaniu możliwości nieodpłatnego wykorzystania tych specyfikacji,
b) sprawnej i bezpiecznej wymiany informacji w postaci elektronicznej między podmiotami publicznymi oraz między podmiotami publicznymi a organami innych państw lub organizacji międzynarodowych
– z uwzględnieniem Polskich Norm oraz innych dokumentów normalizacyjnych zatwierdzonych przez krajową jednostkę normalizacyjną, zachowując zasadę równego traktowania różnych rozwiązań informatycznych;
2) minimalne wymagania dla rejestrów publicznych i wymiany informacji w postaci elektronicznej, uwzględniając konieczność zachowania spójności prowadzenia rejestrów publicznych i wymiany informacji w postaci elektronicznej z podmiotami publicznymi,
3) Krajowe Ramy Interoperacyjności obejmujące zagadnienia interoperacyjności semantycznej, organizacyjnej oraz technologicznej, z uwzględnieniem zasady równego traktowania różnych rozwiązań informatycznych, Polskich Norm oraz innych dokumentów normalizacyjnych zatwierdzonych przez krajową jednostkę normalizacyjną.
Według § 3 przywołanego Rozporządzenia Krajowe Ramy Interoperacyjności określają:
1) sposoby postępowania podmiotu realizującego zadania publiczne w zakresie doboru środków, metod i standardów wykorzystywanych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania systemu teleinformatycznego wykorzystywanego do realizacji zadań tego podmiotu oraz procedur organizacyjnych, mające na celu:
a) zapewnienie obywatelom oraz przedsiębiorcom dostępności usług świadczonych przez podmioty realizujące zadania publiczne w postaci elektronicznej,
b) zwiększenie efektywności usług świadczonych przez administrację publiczną,
c) zapewnienie obywatelom i przedsiębiorcom zmniejszenia obciążeń związanych z realizacją uprawnień i obowiązków przewidzianych w przepisach odrębnych,
d) zapewnienie podmiotom publicznym redukcji kosztów funkcjonowania,
e) zapewnienie racjonalnego gospodarowania funduszami publicznymi,
f) zapewnienie swobody gospodarczej i równego dostępu do rynku informatycznego w zakresie usług i dostaw podczas udzielania zamówień publicznych dla wszystkich jego uczestników,
g) efektywną realizację drogą elektroniczną ponadgranicznych usług administracji publicznej;
2) sposoby postępowania podmiotu realizującego zadania publiczne w zakresie przejrzystego wyboru norm, standardów i rekomendacji w zakresie interoperacyjności semantycznej, organizacyjnej oraz technologicznej, z zapewnieniem zasady neutralności technologicznej.
Interoperacyjność osiąga się przez:
1) ujednolicenie, rozumiane jako zastosowanie kompatybilnych norm, standardów i procedur przez różne podmioty realizujące zadania publiczne lub
