Nowe rozporządzenie dotyczące Krajowych Ram Interoperacyjności (KRI) zostało już opublikowane w Dzienniku Ustaw i obowiązuje od 23 maja 2024 r. Przepisy te regulują funkcjonowanie SZBI (systemu zarządzania bezpieczeństwem informacji) w podmiotach publicznych. Czy nowe przepisy w sprawie KRI wprowadzają zmiany względem dotychczasowych?
Czym są Krajowe Ramy Interoperacyjności – co to takiego
Krajowe Ramy Interoperacyjności (KRI) regulują sposoby postępowania jednostek publicznych z tzw. systemem zarządzania bezpieczeństwem informacji (SZBI). Otóż podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający:
- poufność,
- dostępność,
- integralność informacji
z uwzględnieniem takich atrybutów, jak
- autentyczność,
- rozliczalność,
- niezaprzeczalność,
- niezawodność.
Jednostki publiczne mają obowiązek m.in.:
- przeprowadzania okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji (tzw. audytu KRI),
- zgłaszania incydentów naruszenia bezpieczeństwa informacji,
- zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych.
Nowe rozporządzenie dotyczące Krajowych Ram Interoperacyjności – czego dotyczy
W nowym rozporządzeniu uregulowano:
- Krajowe Ramy Interoperacyjności;
- minimalne wymagania dla rejestrów publicznych i wymiany informacji w postaci elektronicznej;
- minimalne wymagania dla systemów teleinformatycznych, w tym:
UwagaWśród wymagań dla systemów IT wymienione są:
- specyfikację formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym,
- sposoby zapewnienia bezpieczeństwa przy wymianie informacji,
- standardy techniczne zapewniające wymianę informacji z udziałem podmiotów publicznych z uwzględnieniem wymiany transgranicznej.
Nowe przepisy w sprawie KRI – brak większych zmian
Wydanie nowego rozporządzenia było konieczne z uwagi na uchylenie dotychczasowych przepisów regulujących KRI (zgodnie z art. 26 ustawy o dostępności cyfrowej). Nowe przepisy nie przewidują jednak istotnych zmian względem dotychczasowego rozporządzenia. Zmiany mają jedynie charakter techniczny i polegają na.
- usunięciu z zakresu minimalnych wymagań dla systemów teleinformatycznych „sposobów zapewnienia dostępu do zasobów informacji podmiotów publicznych dla osób niepełnosprawnych”, ponieważ są one uregulowane na poziomie ustawy o dostępności cyfrowej;
- usunięciu normy „PN-ISO/IEC 24762” wycofanej w 2016 r.
Podstawa prawna:
- Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2024 r. poz. 773)
