Ankieta – Podział odpowiedzialności

Instrukcja wypełnienia

Cel ankiety

identyfikacja wszystkich relacji z dostawcami IT,
określenie odpowiedzialności po stronie Klienta i dostawcy IT,
ocena zgodności z KRI, UoKSC i NIS2,
identyfikacja ryzyk: brak SLA, brak kontroli dostępu, brak backupu.

Kto powinien wypełnić

informatyk / ASI,
kierownicy komórek korzystających z systemów,
IOD w zakresie danych osobowych,
kierownictwo w zakresie zatwierdzenia.

Jak wypełniać

każdy dostawca = osobna sekcja,
jeśli brak danych, wpisać „BRAK”,
zaznaczać stan faktyczny, nie deklarowany,
nie wpisywać haseł ani danych dostępowych.

Nazwa pliku

po wypełnieniu pobierz TXT albo zapisz PDF,
stosuj format: ROK-MIESIĄC-DZIEŃ,
przykład: 2026-04-25_dostawcy_IT_Gmina_Piecki.txt,
wyślij na: iod@entrast.pl.

Dlaczego to jest kluczowe dla Klienta: Klient odpowiada za bezpieczeństwo danych także wtedy, gdy system obsługuje dostawca. Brak zapisów w umowie oznacza brak realnej możliwości egzekwowania bezpieczeństwa, a brak kontroli dostępu dostawcy zwiększa ryzyko incydentu.

Uwaga audytowa: brak SLA, brak zapisów bezpieczeństwa i brak uregulowanego dostępu dostawców to jedne z najczęstszych problemów wykazywanych w audytach KRI/NIS2.

1. Dane podstawowe

Nazwa jednostki

Osoba wypełniająca

Stanowisko

Data

Czy istnieje formalny wykaz dostawców IT?

Liczba znanych dostawców IT

Uwagi organizacyjne

2. Struktura odpowiedzialności u Klienta

2.1 Role wewnętrzne

Obszar	Osoba / stanowisko	Zakres odpowiedzialności	Uwagi / dokument potwierdzający
IT / systemy
Bezpieczeństwo / SZBI
Dane osobowe / IOD
System dziedzinowy
Umowy / zamówienia

Czy odpowiedzialność jest formalnie określona?

3. Relacje z dostawcami

Wypełnić osobno dla każdego kluczowego dostawcy. Formularz zawiera 5 sekcji dostawców; w razie potrzeby można skopiować blok dostawcy w kodzie HTML lub uzupełnić dodatkowych dostawców w uwagach zbiorczych.

Relacja z dostawcą nr 1

dostawca 1

3.1.1 Informacje ogólne

Nazwa dostawcy

Nazwa systemu / usługi

Usługa

Jeżeli inna – jaka?

Krytyczność

Komórka u Klienta korzystająca z usługi

3.1.2 Podział odpowiedzialności – po stronie Klienta

Obszar	Odpowiedzialny	Zakres
Zarządzanie systemem
Nadawanie dostępów
Weryfikacja uprawnień
Backup, jeżeli po stronie Klienta
Zgłaszanie incydentów
Nadzór nad umową

3.1.3 Podział odpowiedzialności – po stronie dostawcy

Obszar	TAK / NIE	Uwagi
Utrzymanie systemu
Aktualizacje
Bezpieczeństwo
Backup
Monitoring
Reagowanie na incydenty

3.1.4 Umowa i SLA

Numer umowy

Data umowy

Okres obowiązywania

Dostępność

Czas reakcji

Czas naprawy

RPO

RTO

Czy SLA jest egzekwowalne?

SLA zapisy bezpieczeństwa RODO / powierzenie danych zasady dostępu obowiązek zgłaszania incydentów

3.1.5 Dostęp dostawcy

Czy dostawca ma dostęp do systemu Klienta?

Zakres dostępu

Sposób dostępu

Jeżeli inne – jakie?

dostęp rejestrowany dostęp ograniczony dostęp nadzorowany

3.1.6 Bezpieczeństwo, backup i ocena relacji

poufność / NDA kontrola dostępu logowanie działań plan ciągłości działania

Kto odpowiada za backup?

Czy testy odtworzeniowe są wykonywane?

Częstotliwość backupów

Obszar	Ocena 1–5	Uwagi
Jakość usług
Bezpieczeństwo
Reakcja na incydenty
Współpraca

3.1.7 Ryzyka

brak SLA brak zapisów bezpieczeństwa brak kontroli dostępu brak backupu zależność od dostawcy

Opis ryzyk / problemów

Relacja z dostawcą nr 2

dostawca 2

3.2.1 Informacje ogólne

Nazwa dostawcy

Nazwa systemu / usługi

Usługa

Jeżeli inna – jaka?

Krytyczność

Komórka Klienta korzystająca z usługi

3.2.2 Podział odpowiedzialności – po stronie Klienta

Obszar	Odpowiedzialny	Zakres
Zarządzanie systemem
Nadawanie dostępów
Weryfikacja uprawnień
Backup, jeżeli po stronie Klienta
Zgłaszanie incydentów
Nadzór nad umową

3.2.3 Podział odpowiedzialności – po stronie dostawcy

Obszar	TAK / NIE	Uwagi
Utrzymanie systemu
Aktualizacje
Bezpieczeństwo
Backup
Monitoring
Reagowanie na incydenty

3.2.4 Umowa i SLA

Numer umowy

Data umowy

Okres obowiązywania

Dostępność

Czas reakcji

Czas naprawy

RPO

RTO

Czy SLA jest egzekwowalne?

SLA zapisy bezpieczeństwa RODO / powierzenie danych zasady dostępu obowiązek zgłaszania incydentów

3.2.5 Dostęp dostawcy

Czy dostawca ma dostęp do systemu Klienta?

Zakres dostępu

Sposób dostępu

Jeżeli inne – jakie?

dostęp rejestrowany dostęp ograniczony dostęp nadzorowany

3.2.6 Bezpieczeństwo, backup i ocena relacji

poufność / NDA kontrola dostępu logowanie działań plan ciągłości działania

Kto odpowiada za backup?

Czy testy odtworzeniowe są wykonywane?

Częstotliwość backupów

Obszar	Ocena 1–5	Uwagi
Jakość usług
Bezpieczeństwo
Reakcja na incydenty
Współpraca

3.2.7 Ryzyka

brak SLA brak zapisów bezpieczeństwa brak kontroli dostępu brak backupu zależność od dostawcy

Opis ryzyk / problemów

Relacja z dostawcą nr 3

dostawca 3

3.3.1 Informacje ogólne

Nazwa dostawcy

Nazwa systemu / usługi

Usługa

Jeżeli inna – jaka?

Krytyczność

Komórka Klienta korzystająca z usługi

3.3.2 Podział odpowiedzialności – po stronie Klienta

Obszar	Odpowiedzialny	Zakres
Zarządzanie systemem
Nadawanie dostępów
Weryfikacja uprawnień
Backup, jeżeli po stronie JST
Zgłaszanie incydentów
Nadzór nad umową

3.3.3 Podział odpowiedzialności – po stronie dostawcy

Obszar	TAK / NIE	Uwagi
Utrzymanie systemu
Aktualizacje
Bezpieczeństwo
Backup
Monitoring
Reagowanie na incydenty

3.3.4 Umowa i SLA

Numer umowy

Data umowy

Okres obowiązywania

Dostępność

Czas reakcji

Czas naprawy

RPO

RTO

Czy SLA jest egzekwowalne?

SLA zapisy bezpieczeństwa RODO / powierzenie danych zasady dostępu obowiązek zgłaszania incydentów

3.3.5 Dostęp dostawcy

Czy dostawca ma dostęp do systemu Klient?

Zakres dostępu

Sposób dostępu

Jeżeli inne – jakie?

dostęp rejestrowany dostęp ograniczony dostęp nadzorowany

3.3.6 Bezpieczeństwo, backup i ocena relacji

poufność / NDA kontrola dostępu logowanie działań plan ciągłości działania

Kto odpowiada za backup?

Czy testy odtworzeniowe są wykonywane?

Częstotliwość backupów

Obszar	Ocena 1–5	Uwagi
Jakość usług
Bezpieczeństwo
Reakcja na incydenty
Współpraca

3.3.7 Ryzyka

brak SLA brak zapisów bezpieczeństwa brak kontroli dostępu brak backupu zależność od dostawcy

Opis ryzyk / problemów

Relacja z dostawcą nr 4

dostawca 4

3.4.1 Informacje ogólne

Nazwa dostawcy

Nazwa systemu / usługi

Usługa

Jeżeli inna – jaka?

Krytyczność

Komórka Klient korzystająca z usługi

3.4.2 Podział odpowiedzialności – po stronie Klient

Obszar	Odpowiedzialny	Zakres
Zarządzanie systemem
Nadawanie dostępów
Weryfikacja uprawnień
Backup, jeżeli po stronie JST
Zgłaszanie incydentów
Nadzór nad umową

3.4.3 Podział odpowiedzialności – po stronie dostawcy

Obszar	TAK / NIE	Uwagi
Utrzymanie systemu
Aktualizacje
Bezpieczeństwo
Backup
Monitoring
Reagowanie na incydenty

3.4.4 Umowa i SLA

Numer umowy

Data umowy

Okres obowiązywania

Dostępność

Czas reakcji

Czas naprawy

RPO

RTO

Czy SLA jest egzekwowalne?

SLA zapisy bezpieczeństwa RODO / powierzenie danych zasady dostępu obowiązek zgłaszania incydentów

3.4.5 Dostęp dostawcy

Czy dostawca ma dostęp do systemu Klient?

Zakres dostępu

Sposób dostępu

Jeżeli inne – jakie?

dostęp rejestrowany dostęp ograniczony dostęp nadzorowany

3.4.6 Bezpieczeństwo, backup i ocena relacji

poufność / NDA kontrola dostępu logowanie działań plan ciągłości działania

Kto odpowiada za backup?

Czy testy odtworzeniowe są wykonywane?

Częstotliwość backupów

Obszar	Ocena 1–5	Uwagi
Jakość usług
Bezpieczeństwo
Reakcja na incydenty
Współpraca

3.4.7 Ryzyka

brak SLA brak zapisów bezpieczeństwa brak kontroli dostępu brak backupu zależność od dostawcy

Opis ryzyk / problemów

Relacja z dostawcą nr 5

dostawca 5

3.5.1 Informacje ogólne

Nazwa dostawcy

Nazwa systemu / usługi

Usługa

Jeżeli inna – jaka?

Krytyczność

Komórka Klient korzystająca z usługi

3.5.2 Podział odpowiedzialności – po stronie Klient

Obszar	Odpowiedzialny	Zakres
Zarządzanie systemem
Nadawanie dostępów
Weryfikacja uprawnień
Backup, jeżeli po stronie JST
Zgłaszanie incydentów
Nadzór nad umową

3.5.3 Podział odpowiedzialności – po stronie dostawcy

Obszar	TAK / NIE	Uwagi
Utrzymanie systemu
Aktualizacje
Bezpieczeństwo
Backup
Monitoring
Reagowanie na incydenty

3.5.4 Umowa i SLA

Numer umowy

Data umowy

Okres obowiązywania

Dostępność

Czas reakcji

Czas naprawy

RPO

RTO

Czy SLA jest egzekwowalne?

SLA zapisy bezpieczeństwa RODO / powierzenie danych zasady dostępu obowiązek zgłaszania incydentów

3.5.5 Dostęp dostawcy

Czy dostawca ma dostęp do systemu Klient?

Zakres dostępu

Sposób dostępu

Jeżeli inne – jakie?

dostęp rejestrowany dostęp ograniczony dostęp nadzorowany

3.5.6 Bezpieczeństwo, backup i ocena relacji

poufność / NDA kontrola dostępu logowanie działań plan ciągłości działania

Kto odpowiada za backup?

Czy testy odtworzeniowe są wykonywane?

Częstotliwość backupów

Obszar	Ocena 1–5	Uwagi
Jakość usług
Bezpieczeństwo
Reakcja na incydenty
Współpraca

3.5.7 Ryzyka

brak SLA brak zapisów bezpieczeństwa brak kontroli dostępu brak backupu zależność od dostawcy

Opis ryzyk / problemów

4. Podsumowanie dla Klient

Czy JST ma kontrolę nad dostawcami?

Poziom ryzyka relacji z dostawcami

4.1 Kluczowe problemy

brak formalnego podziału odpowiedzialności brak zapisów bezpieczeństwa brak nadzoru nad dostępem dostawców brak rejestru dostawców brak testów backupu brak obowiązku zgłaszania incydentów

Opis kluczowych problemów

4.2 Rekomendacje

uregulować odpowiedzialność w procedurach SZBI wymusić SLA i zapisy bezpieczeństwa w umowach wdrożyć rejestr dostawców kontrolować dostęp dostawców: VPN + logi testować backupy i odtworzenia wprowadzić obowiązek zgłaszania incydentów

Dodatkowe rekomendacje audytora / IK

5. Oświadczenia i uwagi końcowe

Dane przekazane w ankiecie są zgodne z najlepszą wiedzą osoby wypełniającej.

W ankiecie nie wpisano haseł, sekretów, kluczy API ani innych danych dostępowych.

Wyrażam zgodę na kontakt ENTRAST Sp. z o.o. w celu doprecyzowania informacji.

Uwagi końcowe

Informacja: formularz powinien być przekazywany wyłącznie przez osoby upoważnione. Dokument nie powinien zawierać haseł ani danych pozwalających na bezpośredni dostęp do systemów JST.