Jakie konsekwencje grożą za brak przeprowadzenia audytu zgodnie z wymaganiami KRI?
ODPOWIEDŹ
Brak przeprowadzenia audytu zgodnie z wymaganiami KRI (Krajowych Ram Interoperacyjności) stanowi naruszenie § 20 ust. 2 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie KRI (Dz.U. z 2016 r. poz. 1130), który stanowi: „Audyt bezpieczeństwa informacji przeprowadza się nie rzadziej niż raz na dwa lata.”
KRI wydano na podstawie art. 18 ust. 1 pkt 1 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2023 r. poz. 57). Podmioty zobowiązane do stosowania KRI, a więc m.in. jednostki sektora finansów publicznych, uczelnie publiczne, szpitale, JST, mają prawny obowiązek przeprowadzania audytu zgodnie z § 20. Jego brak oznacza naruszenie przepisów prawa powszechnie obowiązującego.
Sam KRI nie przewiduje kar finansowych, jednak:
- UODO może nałożyć administracyjną karę pieniężną za brak odpowiednich środków bezpieczeństwa (art. 32 RODO), jeśli brak audytu skutkował brakiem wykrycia ryzyk lub niewdrożeniem odpowiednich środków.
- Audyt KRI jest często dokumentem referencyjnym przy ocenie zgodności z RODO, ISO 27001 czy NIS2. Jego brak utrudnia wykazanie zgodności.
W sektorze publicznym konsekwencje mogą objąć również kierownika jednostki (jako podmiotu odpowiedzialnego za zgodność z przepisami).