Krajowe Ramy Interoperacyjności w szkole – jakie wymagania musi spełnić placówka oświatowa?

Jeszcze kilka lat temu wiele szkół traktowało bezpieczeństwo informacji jak temat uboczny: ważny, ale jednak „od informatyka”, ewentualnie „od RODO”. Dziś takie podejście po prostu przestaje wystarczać. Szkoła działa przez e-dziennik, pocztę, systemy kadrowe, księgowe, dzienniki elektroniczne, chmurę, platformy edukacyjne, sieć Wi-Fi, laptopy nauczycieli, komputery w sekretariacie i dziesiątki kont dostępowych. W praktyce oznacza to jedno: jeżeli placówka nie ma uporządkowanych zasad działania, nie zarządza bezpieczeństwem informacji – tylko liczy na to, że nic złego się nie wydarzy.

Właśnie dlatego temat Krajowych Ram Interoperacyjności nie jest dziś dodatkiem do informatyki, lecz elementem realnego zarządzania szkołą. KRI w szkole to nie formalność do odhaczenia, ale test dojrzałości organizacyjnej placówki. Pokazują, czy szkoła panuje nad informacją, dostępami, odpowiedzialnością, procedurami i ciągłością działania, czy jedynie funkcjonuje siłą przyzwyczajenia.

Czym są Krajowe Ramy Interoperacyjności?

Krajowe Ramy Interoperacyjności, w skrócie KRI, to zestaw zasad dotyczących funkcjonowania systemów teleinformatycznych używanych przez podmioty realizujące zadania publiczne. Ich źródłem nie jest jakaś osobna „ustawa KRI”, lecz przede wszystkim ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne oraz wydane na jej podstawie rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności.

To ważne, bo wokół KRI narosło sporo nieporozumień. Wielu osobom temat kojarzy się wyłącznie z techniczną kompatybilnością systemów, formatami danych albo wymaganiami wobec administracji centralnej. Tymczasem aktualne KRI obejmują znacznie więcej. Dotyczą nie tylko sposobu działania systemów teleinformatycznych, ale również organizacji bezpieczeństwa informacji, doboru środków ochrony, zasad postępowania, dokumentowania rozwiązań, nadawania uprawnień, reagowania na incydenty i prowadzenia audytu.

Inaczej mówiąc: KRI nie pytają wyłącznie o to, jaki komputer stoi w sekretariacie i czy szkoła ma antywirusa. KRI pytają, czy szkoła wie:

  • jakie systemy wykorzystuje,
  • kto ma do nich dostęp,
  • na jakiej zasadzie ten dostęp nadano,
  • co dzieje się po zmianie stanowiska albo odejściu pracownika,
  • jak placówka reaguje na incydent,
  • jak odtwarza dane po awarii,
  • jak szkoli ludzi,
  • i czy potrafi wykazać, że bezpieczeństwo informacji nie istnieje wyłącznie „na papierze”.

Rozporządzenie KRI z 2024 r. wskazuje wprost, że chodzi o ustanawianie, wdrażanie, monitorowanie, przeglądanie, utrzymywanie i doskonalenie systemów teleinformatycznych oraz procedur organizacyjnych, a także o stworzenie i utrzymywanie systemu zarządzania bezpieczeństwem informacji.

Dlaczego KRI dotyczą także szkół?

To jedno z najczęstszych pytań. W praktyce odpowiedź brzmi: tak, KRI dotyczą również szkół i placówek oświatowych wykonujących zadania publiczne. Szkoła nie przestaje być podmiotem realizującym zadania publiczne tylko dlatego, że nie jest urzędem gminy czy ministerstwem. Realizuje ustawowe zadania publiczne w obszarze oświaty, przetwarza informacje, korzysta z systemów teleinformatycznych i działa w strukturze publicznej organizacji państwa lub samorządu.

To oznacza, że szkoła nie może powiedzieć: „KRI nas nie dotyczą, bo my tylko uczymy”. W dzisiejszej rzeczywistości szkoła nie „tylko uczy”. Szkoła rekrutuje, prowadzi dokumentację przebiegu nauczania, komunikuje się elektronicznie z rodzicami, przetwarza dane uczniów i pracowników, korzysta z usług chmurowych, przesyła dokumenty, prowadzi sprawozdawczość, obsługuje finanse, kadry i organizację pracy. Każdy z tych obszarów dotyka informacji, dostępu, odpowiedzialności i bezpieczeństwa.

Tu właśnie pojawia się zasadnicza różnica między potocznym myśleniem o cyberbezpieczeństwie a realnym zakresem KRI. Szkoła może mieć całkiem przyzwoity sprzęt, a jednocześnie pozostawać w organizacyjnym chaosie. Może mieć legalne oprogramowanie, a mimo to nie spełniać wymagań KRI, bo nie ma aktualnych zasad nadawania uprawnień, nie prowadzi analizy ryzyka, nie szkoli personelu i nie ma procedury działania na wypadek incydentu.

Prawo oświatowe potwierdza, że szkoły i placówki działają w ramach systemu oświaty i realizują zadania publiczne związane z kształceniem, wychowaniem i opieką. Z kolei ustawa o informatyzacji oraz rozporządzenie KRI obejmują podmioty realizujące zadania publiczne i ich systemy teleinformatyczne. W praktyce oznacza to, że publiczna szkoła nie może traktować KRI jako tematu obcego lub fakultatywnego.

Jakie wymagania KRI realnie nakładają na placówkę oświatową?

Największy błąd polega na tym, że wiele osób szuka jednej listy „dokumentów KRI”, które wystarczy mieć w segregatorze. Tymczasem KRI wymagają nie tylko dokumentów, ale przede wszystkim działającego systemu zarządzania bezpieczeństwem informacji. Dokumentacja jest ważna, ale ma opisywać realne zasady, a nie udawać porządek.

W praktyce szkoła powinna mieć uporządkowane przede wszystkim to, jak korzysta z systemów teleinformatycznych. Nie chodzi tylko o serwer czy sieć. Chodzi również o e-dziennik, pocztę służbową, systemy kadrowe, płacowe i finansowe, komputery sekretariatu, laptopy nauczycieli, nośniki danych, konta administracyjne, dostęp do chmury, platformy edukacyjne, drukarki sieciowe, kopie zapasowe i urządzenia mobilne wykorzystywane do pracy z informacją.

Rozporządzenie KRI z 2024 r. wymaga, aby podmiot publiczny opracował, ustanowił, wdrażał, monitorował, przeglądał, utrzymywał i doskonalił system zarządzania bezpieczeństwem informacji. Brzmi poważnie, ale w praktyce sprowadza się do bardzo konkretnych pytań.

Po pierwsze, szkoła musi znać swoje zasoby. Jeżeli nikt nie potrafi rzetelnie powiedzieć, jakie urządzenia, programy, konta i usługi są faktycznie używane w placówce, to mówienie o bezpieczeństwie jest fikcją. Inwentaryzacja sprzętu i oprogramowania nie jest biurokratycznym dodatkiem. To punkt wyjścia.

Po drugie, szkoła musi analizować ryzyko. Nie raz na zawsze, nie tylko przy okazji kontroli i nie na zasadzie kopiowania gotowego wzoru. Analiza ryzyka ma odpowiedzieć na pytanie, co może pójść źle, gdzie szkoła jest najbardziej narażona i jakie środki są naprawdę potrzebne. Inne ryzyka będzie miała duża szkoła z rozbudowaną infrastrukturą, inne niewielka placówka korzystająca głównie z usług zewnętrznych. Ale żadna nie jest zwolniona z myślenia.

Po trzecie, konieczne są jasne zasady nadawania, zmiany i odbierania uprawnień. Kto i na jakiej podstawie dostaje dostęp do e-dziennika? Kto może administrować pocztą? Kto ma uprawnienia do folderów współdzielonych? Co dzieje się z kontem pracownika po rozwiązaniu umowy? W ilu szkołach nadal funkcjonują wspólne loginy, udostępniane hasła albo konta, do których nikt nie chce się przyznać? Właśnie tam zaczyna się realny problem.

Po czwarte, KRI wymagają szkoleń pracowników. I to nie dla samego podpisu na liście obecności. Pracownicy mają wiedzieć, jakie są zagrożenia, jakie są skutki naruszeń i jak stosować środki bezpieczeństwa w praktyce. W szkole największe ryzyko bardzo często nie wynika z działania hakera, lecz z pośpiechu, rutyny, niewiedzy i złych nawyków.

Po piąte, placówka musi mieć zorganizowane reagowanie na incydenty i awarie. Jeżeli nauczyciel otworzy podejrzany załącznik, ktoś wyśle dane na zły adres, zniknie laptop, przestanie działać system albo pojawi się podejrzenie nieuprawnionego dostępu, szkoła nie może improwizować. Potrzebuje ustalonej ścieżki zgłoszenia, reakcji i odpowiedzialności.

Po szóste, znaczenie mają kopie zapasowe i odtwarzanie danych. Sama deklaracja, że „backupy są robione”, niczego nie załatwia. Trzeba jeszcze wiedzieć: co jest objęte kopiami, jak często są wykonywane, gdzie są przechowywane, kto to nadzoruje i czy kiedykolwiek sprawdzano możliwość odtworzenia danych.

Rozporządzenie KRI wskazuje wprost m.in. na aktualizację regulacji wewnętrznych, inwentaryzację sprzętu i oprogramowania, okresowe analizy ryzyka, właściwe uprawnienia i ich bezzwłoczną zmianę, szkolenia personelu, ochronę informacji przed nieuprawnionym dostępem, zasady pracy mobilnej i zdalnej, zapisy bezpieczeństwa w umowach serwisowych, aktualizację oprogramowania, minimalizowanie skutków awarii, zgłaszanie incydentów oraz okresowy audyt wewnętrzny w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok. Rozporządzenie wymaga też wiarygodnego dokumentowania rozliczalności w systemach, w tym prowadzenia logów, a gdy brak przepisów szczególnych – przechowywania zapisów logów przez dwa lata.

KRI w szkole to nie tylko informatyka, ale organizacja i bezpieczeństwo

Jedna z najbardziej szkodliwych iluzji brzmi: „mamy informatyka, więc temat KRI jest załatwiony”. Nie jest. Informatyk może wspierać szkołę technicznie, ale nie zastąpi zarządzania. KRI wymagają decyzji organizacyjnych: kto odpowiada za jakie obszary, jak zatwierdza się dostęp, kto aktualizuje dokumentację, kto zgłasza incydenty, kto nadzoruje dostawców, kto odpowiada za szkolenia, kto sprawdza realizację procedur.

To właśnie dlatego KRI stykają się z RODO, ale nie są z nim tożsame. RODO koncentruje się na ochronie danych osobowych. KRI dotyczą szerzej bezpieczeństwa informacji i systemów teleinformatycznych wykorzystywanych przez podmiot realizujący zadania publiczne. W szkole oznacza to, że problemem nie jest tylko wyciek danych osobowych. Problemem może być również brak dostępności systemu, chaos w nadawaniu uprawnień, brak rozliczalności działań, niekontrolowane korzystanie z prywatnych urządzeń, niedziałające kopie zapasowe czy niejasny podział odpowiedzialności między szkołę, organ prowadzący i zewnętrzną firmę IT.

W dobrze zarządzanej placówce bezpieczeństwo informacji nie jest „dodatkiem” do codziennej pracy. Ono stanowi część tej pracy. Dotyczy sekretariatu, dyrekcji, nauczycieli, administracji, obsługi IT i wszystkich osób, które korzystają z informacji albo systemów wspierających funkcjonowanie szkoły.

Za co odpowiada dyrektor, a za co nie można zrzucić winy na informatyka?

To punkt kluczowy. Dyrektor szkoły odpowiada za organizację pracy placówki i wdrożenie rozwiązań, które pozwalają działać zgodnie z wymaganiami prawa. Nie oznacza to, że dyrektor ma sam konfigurować zabezpieczenia sieciowe albo zarządzać serwerem. Oznacza natomiast, że nie może uchylać się od odpowiedzialności za brak procedur, brak nadzoru, brak podziału ról i brak egzekwowania zasad.

W praktyce dyrektor powinien wiedzieć:

  • jakie systemy są używane w szkole,
  • kto za nie odpowiada,
  • które obszary obsługuje organ prowadzący,
  • co zapewnia zewnętrzny dostawca,
  • gdzie kończy się umowa serwisowa, a zaczyna odpowiedzialność szkoły,
  • czy pracownicy znają zasady,
  • i czy bezpieczeństwo działa w praktyce, a nie tylko w dokumentach.

To szczególnie ważne tam, gdzie infrastruktura jest częściowo scentralizowana. Bywa, że organ prowadzący zapewnia sieć, domenę, część usług, backupy albo wsparcie IT. To jednak nie oznacza automatycznie, że szkoła nie ma własnych obowiązków. Placówka musi wiedzieć, za co odpowiada sama, a za co odpowiada organ prowadzący lub usługodawca. Brak takiego rozdzielenia to jeden z najczęstszych powodów chaosu.

Najczęstsze błędy szkół w obszarze KRI

Największy problem szkół rzadko zaczyna się od „złego komputera”. Zaczyna się od bałaganu organizacyjnego. Typowy obraz wygląda tak: dokumentacja istnieje, ale jest nieaktualna; analiza ryzyka była robiona kiedyś, bo ktoś poprosił; część kont ma niejasnych właścicieli; hasła bywają współdzielone; prywatne urządzenia są używane bez jasnych zasad; kopie zapasowe „chyba są”; nikt nie ćwiczył scenariusza awarii; pracownicy nie wiedzą, komu zgłaszać incydent; a odpowiedzialność za wszystko spada na jedną osobę od komputerów.

Do tego dochodzi bardzo niebezpieczne myślenie: „przecież nic się jeszcze nie stało”. To jeden z najgorszych argumentów w obszarze bezpieczeństwa informacji. Brak widocznego incydentu nie dowodzi, że organizacja działa dobrze. Często dowodzi tylko tego, że nikt nie zauważył problemu albo że szkoła miała dotąd szczęście.

Drugie częste nieporozumienie polega na utożsamianiu zgodności z KRI z posiadaniem kilku narzędzi technicznych. Antywirus, firewall i silne hasło nie tworzą jeszcze zgodności z KRI. Tak samo jak gotowy regulamin pobrany z internetu nie oznacza, że szkoła ma wdrożony system zarządzania bezpieczeństwem informacji.

Co szkoła powinna mieć uporządkowane już teraz?

Szkoła, która chce podejść do KRI poważnie, nie musi zaczynać od rewolucji. Powinna zacząć od uczciwego przeglądu rzeczywistości. Najpierw trzeba ustalić, jakie systemy, urządzenia, konta i usługi rzeczywiście funkcjonują w placówce. Następnie uporządkować role, odpowiedzialności i obieg decyzji. Dopiero na tym fundamencie warto aktualizować dokumentację.

W praktyce dobrze uporządkowana szkoła powinna mieć:

  • aktualne zasady bezpieczeństwa informacji i korzystania z systemów,
  • rozpoznane zasoby, konta, urządzenia i usługi,
  • realną, okresowo aktualizowaną analizę ryzyka,
  • jasne zasady nadawania, zmiany i odbierania uprawnień,
  • zasady pracy zdalnej i korzystania z urządzeń mobilnych,
  • procedurę zgłaszania incydentów i awarii,
  • nadzór nad kopiami zapasowymi i możliwością odtworzenia danych,
  • plan szkoleń i potwierdzenie, że personel zna zasady,
  • przegląd umów z dostawcami pod kątem bezpieczeństwa informacji,
  • okresowy audyt wewnętrzny i działania poaudytowe.

To nie jest lista „na pokaz”. To zestaw podstawowych elementów, bez których szkoła działa cyfrowo w sposób ryzykowny i trudny do obrony.

Praktyczne wnioski i rekomendacje

Dyrektor szkoły powinien patrzeć na KRI nie jak na kolejne obciążenie formalne, lecz jak na narzędzie porządkujące działanie placówki. Dobrze wdrożone KRI pomagają ograniczyć ryzyko chaosu, wycieku danych, błędów ludzkich, awarii i sporów kompetencyjnych. Ułatwiają też rozmowę z organem prowadzącym i dostawcami usług, bo pozwalają jasno określić oczekiwania oraz odpowiedzialność.

Najrozsądniejsze podejście nie polega na tworzeniu pięknej dokumentacji na kontrolę, ale na sprawdzeniu, czy szkoła rzeczywiście umie działać bezpiecznie. Czy wie, kto ma dostęp do czego. Czy potrafi szybko odebrać uprawnienia. Czy umie odtworzyć dane. Czy umie zareagować na incydent. Czy szkoli ludzi. Czy weryfikuje, czy zasady są stosowane.

Podsumowanie

Krajowe Ramy Interoperacyjności w szkole nie są tematem pobocznym, technicznym ani wyłącznie „informatycznym”. To rama odpowiedzialnego działania placówki, która na co dzień opiera się na informacji, systemach i cyfrowej komunikacji. Szkoła nie spełnia wymagań KRI dlatego, że kupiła program antywirusowy i ustawiła hasła. Spełnia je wtedy, gdy potrafi połączyć organizację, dokumentację, bezpieczeństwo, odpowiedzialność i codzienną praktykę.

I właśnie tu leży sedno sprawy: KRI w szkole to w istocie test dojrzałości organizacyjnej placówki. Test tego, czy szkoła działa świadomie, czy tylko intuicyjnie. Czy panuje nad informacją, czy jedynie z niej korzysta. Czy potrafi bezpiecznie i odpowiedzialnie realizować zadania publiczne w świecie, w którym awaria, błąd człowieka albo nieuporządkowany dostęp mogą sparaliżować funkcjonowanie całej instytucji.

Źródła

Aktualizacja: 29 marca 2026 r.

Udostępnij artykuł: