Najwyższa Izba Kontroli w opracowanym przez siebie raporcie zwróciła uwagę, że podejście do bezpieczeństwa informacji tylko w kontekście ochrony danych osobowych jest niewystarczające i kierownicy jednostek realizujących zadania publiczne powinni wziąć pod uwagę rozporządzenie dotyczące Krajowych Ram Interoperacyjności (KRI) w budowaniu kompleksowego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
Jednostki publiczne nie muszą się niczego obawiać jeżeli posiadają obecnie w swoich systemach zarządzania wdrożoną dokumentację bezpieczeństwa (w postaci polityk bezpieczeństwa i innych standardów wspierających ich stosowanie), obejmującą swoim zakresem ochronę danych osobowych pod kątem spełnienia zgodności z rozporządzeniem 2016/679 zwanym potocznie RODO. Opracowując dokumentację bezpieczeństwa dla naszych klientów zawsze staramy się uwzględniać standardy międzynarodowe, które są wyznacznikiem podejścia do procesów zarządzania bezpieczeństwem w organizacji w taki sposób, aby nie komplikować pracy tych organizacji zbyt mocno.
Samo rozporządzenie KRI weszło w życie w 2012 r., jednak z naszych obserwacji wynika, że poza administracją rządową w Polsce (i to też nie całą), zapisy tego aktu prawnego rzeczywiście nie zostały zaimplementowane w większości jednostek samorządu terytorialnego. Wynika to z różnych przyczyn, m. in. z faktu, że w wielu przypadkach wiązało się to z koniecznością zamodelowania procesów biznesowych lub wypracowania dość obszernej dokumentacji, a to ostatecznie stawało się nieczytelne dla kierownictwa jednostek.
Osobiście uważamy, że NIK zbyt krytycznie podszedł do zagadnienia, gdyż rozporządzenie KRI można odnieść do danych prawnie chronionych i na tej podstawie zbudować SZBI skutecznie, podłączając pod ten system inne dane podlegające ochronie (jak np. hasła czy inne aktywa informacyjne).
Czytając najważniejsze ustalenia NIK oraz wnioski dla organów administracji samorządowej i Ministra Cyfryzacji można założyć, że organy te będą w przyszłości weryfikować stan zbudowania SZBI według wytycznych KRI oraz wniosków NIK.
Dlatego uważamy, że jak najszybciej należy zaplanować oraz wdrożyć System Zarządzania Bezpieczeństwem Informacji w jednostkach w taki sposób, aby wypełnić obowiązki wynikające z rozporządzenia KRI, ale w sposób na tyle nieskomplikowany, aby nie utrudnić pracy Państwu i Państwa pracownikom.
Jeżeli macie Państwo pytania w tej sprawie – jesteśmy do dyspozycji.