Najwyższa Izba Kontroli (NIK) w opracowanym przez siebie opracowaniu (w załączeniu do niniejszej wiadomości) zwróciła uwagę, że podejście do bezpieczeństwa informacji tylko w kontekście ochrony danych osobowych jest niewystarczające i kierownicy jednostek realizujących zadania publiczne powinni wziąć pod uwagę rozporządzenie dotyczące Krajowych Ram Interoperacyjności (KRI) w budowaniu kompleksowego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
Jeżeli administratorzy danych posiadają obecnie w swoich jednostkach wdrożoną dokumentację bezpieczeństwa (w postaci polityk bezpieczeństwa i innych standardów wspierających ich stosowanie), obejmującą swoim zakresem ochronę danych osobowych pod kątem spełnienia zgodności z rozporządzeniem 2016/679 zwanym potocznie RODO – to prawdopodobnie nie mają się czego obawiać. Open Audit opracowując dokumentację tego typu zawsze stara się uwzględniać standardy międzynarodowe, które są wyznacznikiem podejścia do procesów zarządzania bezpieczeństwem w organizacji w taki sposób, aby nie komplikować administratorom danych pracy zbyt mocno.
Samo rozporządzenie KRI weszło w życie w 2012 r., jednak z moich obserwacji wynika, że poza administracją rządową (i to też nie całą), zapisy tego aktu prawnego rzeczywiście nie zostały zaimplementowane w większości jednostek samorządu terytorialnego. Wynika to z różnych przyczyn, m. in. z faktu, że w wielu przypadkach wiązało się to z koniecznością zamodelowania (a przynajmniej udokumentowania) procesów biznesowych lub wypracowania dość obszernej dokumentacji, a to ostatecznie stawało się nieczytelne dla kierownictwa jednostek.
Uważamy, że NIK zbyt krytycznie podszedł do zagadnienia, gdyż rozporządzenie KRI można odnieść do danych prawnie chronionych i na tej podstawie zbudować SZBI skutecznie, podłączając pod ten system inne dane podlegające ochronie (jak np. hasła czy inne aktywa informacyjne).
Czytając najważniejsze ustalenia NIK oraz wnioski dla organów administracji samorządowej i Ministra Cyfryzacji można założyć, że organy te będą w przyszłości weryfikować stan zbudowania SZBI według wytycznych KRI oraz wniosków NIK. Dlatego rekomendujemy, aby jak najszybciej zaplanować oraz wdrożyć System Zarządzania Bezpieczeństwem Informacji w jednostkach w taki sposób, aby wypełnić obowiązki wynikające z rozporządzenia KRI, ale w sposób na tyle nieskomplikowany, aby nie utrudnić pracy samych jednostek oraz pracownikom.