Zapewnienie wysokiej jakości usług teleinformatycznych to jeden z podstawowych wymogów, stawianych dziś przed rozmaitymi instytucjami realizującymi zadana publiczne. Jednym z aktów wykonawczych do Ustawy o informatyzacji podmiotów realizujących zadania publiczne są Krajowe Ramy Interoperacyjności, opracowane w formie rozporządzenia Rady Ministrów z 12 kwietnia 2012 roku. Warto bliżej zapoznać się z podstawowymi założeniami dokumentu, aby upewnić się, że dana jednostka spełnia wymogi zawarte w KRI.
Co to jest KRI?
KRI, a więc skrót od Krajowych Ram Interoperacyjności, to zbiór norm i standardów technicznych, które mają na celu zapewnienie współdziałania systemów teleinformatycznych administracji publicznej. Innymi słowy, KRI określają, w jaki sposób systemy te powinny się ze sobą komunikować i wymieniać dane, aby działać sprawnie i bezproblemowo.
Główne cele wdrożenia KRI to:
- usprawnienie przepływu informacji pomiędzy różnymi organami administracyjnymi,
- zwiększenie dostępności e-usług dla obywateli,
- obniżenie kosztów funkcjonowania administracji publicznej.
Jakie obszary obejmują Krajowe Ramy Interoperacyjności?
Jeden z kluczowych obszarów KRI obejmuje standard wymiany informacji, określający formaty i struktury danych, które powinny być wykorzystywane do wymiany informacji pomiędzy systemami teleinformatycznymi administracji krajowej. Rozporządzenie z 2012 roku warunkuje też minimalne wymagania w zakresie bezpieczeństwa informacji, które powinny być spełnione przez jednostki publiczne oraz określa ogólne zasady budowy systemów informatycznych wykorzystywanych w tego rodzaju instytucjach.
Obowiązki jednostek publicznych objętych KRI
Jednostki publiczne objęte Krajowymi Ramami Interoperacyjności mają szereg obowiązków, których celem jest zapewnienie współdziałania stosowanych przez nie systemów wymiany informacji – zarówno tych nowych, jak i już wykorzystywanych. Mowa o takich działaniach jak m.in.:
- utrzymywanie aktualności sprzętu oraz oprogramowania,
- szkolenie pracowników z zakresu bezpieczeństwa informacji,
- prowadzenie okresowych analiz ryzyka utraty integralności, dostępności oraz poufności danych,
- uświadamianie personelu w zakresie skutków naruszeń zasad bezpieczeństwa.
Audyt KRI – kluczowe narzędzie do badania zgodności z Krajowymi Ramami Interoperacyjności
Do istotnych obowiązków w zakresie spełnienia standardów KRI zalicza się również regularne przeprowadzanie audytów. Badanie zgodności systemów teleinformatycznych z Krajowymi Ramami Interoperacyjności to narzędzie, które pomaga identyfikować obszary, w których systemy teleinformatyczne nie są zgodne z KRI oraz pozwala opracowywać plany działań naprawczych. ISO-LEX oferuje kompleksowe usługi obejmujące audyt KRI dla jednostek publicznych. Zapraszamy do zapoznania się z naszą ofertą.
Normy ISO w KRI
Rozporządzenie Krajowych Ram Interoperacyjności (KRI) wskazuje możliwe stosowanie norm ISO. Warto zauważyć, iż normy te mogą być wycofane lub zastąpione. Mamy zatem do czynienia z dwiema sytuacjami wymagającymi rozstrzygnięcia:
- Norma wycofana – Czy należy stosować normę wycofaną tak, jak gdyby była ona obowiązującą? Czy przyjąć brak normalizacji w tym obszarze?
- Norma zastąpiona / wycofana – Czy w sposób dorozumiany należy przyjąć, że stosowana ma być norma znowelizowana w miejscu tej wycofanej, przynajmniej w zakresie właściwości normy pierwotnej?
W prawodawstwie europejskim zdarzają się przypadki, że wycofanie normy nie idzie w parze z utratą aktualności normy wycofanej w procedurach systemu oceny zgodności (certyfikacji). W takich przypadkach norma wycofana może być przez pewien okres stosowana jako dokument odniesienia w systemie oceny zgodności. Nie ma również podstaw do tego, aby w polskim systemie prawnym traktować te kwestie inaczej – choć zasada ta nie jest formalnie uregulowana w żadnej ustawie.
Jak podaje Polski Komitet Normalizacyjny wycofanie normy może, ale nie musi, wiązać się z zastąpieniem normy zdezaktualizowanej normą znowelizowaną lub inną obejmującą zakres tematyczny normy zdezaktualizowanej. Jeśli utrata aktualności dotyczy tematyki objętej normą, to wycofanie następuje bez zastąpienia (zobacz stronę Polskiego Komitetu Normalizacyjnego Stosowanie Polskich Norm wycofanych).
Kiedy nowe KRI?
Zgodnie z informacją Serwisu Rzeczypospolitej Polskiej 22 maja 2024r. w życie ma wejść nowe Rozporządzenie Krajowych Ram Interoperacyjności. W dokumencie roboczym o nazwie „Obszary merytoryczne nowych KRI – dokument roboczy” zawarto koncepcyjny model planowanego Rozporządzenia.
Nowe KRI – obszar technologiczny
W zamieszczonym przez Serwis Rzeczypospolitej Polskiej dokumencie roboczym o nazwie „Obszary merytoryczne nowych KRI – dokument roboczy” wskazano, iż zagadnienia bezpieczeństwa teleinformatycznego zostaną wyłączone z nowego Rozporządzenia KRI.
Zgodnie ze stanowiskiem Zespołu KPRM ds. Nowych KRI zagadnienia bezpieczeństwa teleinformatycznego (cyberbezpieczeństwa) stanowią część przepisów z zakresu cyberbezpieczeństwa (w tym NSC – Narodowych Standardów Cyberbezpieczeństwa) i zostaną wyłączone z zakresu Nowych KRI.