Ustawa KSC nie zawiera jednej urzędowej listy dokumentów o identycznych nazwach dla wszystkich — wymaga udokumentowania systemu, procesów, infrastruktury, ciągłości i działań operacyjnych, a do 3 kwietnia 2027 r. system ma działać, nie tylko istnieć na papierze. Poniżej praktyczny katalog dokumentów, które w typowej organizacji pokrywają ten obowiązek, oraz zasada ważniejsza od samej listy: dowody działania ważą więcej niż polityki.
Dwie warstwy dokumentacji — i która waży więcej w kontroli
Ustawa wymaga prowadzenia, utrzymywania i ochrony dokumentacji w dwóch warstwach. **Normatywna** mówi, jak ma być: polityki, procedury, plany, standardy. **Operacyjna** dowodzi, że tak jest: rejestr incydentów (także tych, których nie trzeba było zgłaszać), raporty z testów odtworzeniowych i ćwiczeń, protokoły przeglądów ryzyka, zapisy nadań i odebrań uprawnień, zaświadczenia ze szkoleń.
W kontroli dokumentacja operacyjna waży więcej niż normatywna — segregator pięknych polityk bez śladu ich stosowania to klasyczna droga do kary mimo poniesionych kosztów. Dokumentację przechowuje się przez ustawowo określony czas i chroni przed nieuprawnionym dostępem.
Zasady projektowania dokumentacji (zanim cokolwiek napiszesz)
- każdy dokument ma właściciela, zakres, zatwierdzenie, wersję i cykl przeglądu,
- procedura wskazuje wymagane zapisy (czyli: jaki dowód powstaje z jej wykonania),
- dokumenty nie mogą sobie przeczyć, a terminologia jest wspólna dla biznesu, IT, prawa i audytu,
- treść opisuje realny model organizacji — nie wzorzec z innej firmy,
- wyjątki są rejestrowane i zatwierdzane,
- dokumenty można łączyć, jeżeli zachowują kompletność i czytelność — liczba plików zależy od skali i ryzyka.
Katalog dokumentów SZBI — praktyczna lista
Governance i system
| Dokument | Po co |
|---|---|
| Zakres SZBI | usługi, procesy, lokalizacje, systemy, zależności i uzasadnione wyłączenia |
| Polityka bezpieczeństwa informacji | cele, zasady, zobowiązanie kierownictwa, role |
| Role i odpowiedzialności (RACI) | funkcje, zastępstwa, uprawnienia, eskalacja |
| Rejestr wymagań prawnych i umownych | źródło, obowiązek, właściciel, sposób realizacji, dowód |
| Procedura przeglądu zarządzania | agenda, wejścia, decyzje, działania, częstotliwość |
Ryzyko i aktywa
| Dokument | Po co |
|---|---|
| Metodyka zarządzania ryzykiem | skale, kryteria, progi akceptacji, częstotliwość |
| Rejestr ryzyk | scenariusze, skutki, kontrole, właściciele, ryzyko rezydualne |
| Plan postępowania z ryzykiem | działania, odpowiedzialni, terminy, mierniki |
| Rejestr aktywów i mapa zależności | aktywo → usługa → właściciel → krytyczność → dostawca |
| Zasady klasyfikacji informacji | klasy, oznaczanie, przechowywanie, udostępnianie |
Ludzie i dostęp
| Dokument | Po co |
|---|---|
| Polityka kontroli dostępu | minimalne uprawnienia, role, zatwierdzenia, przeglądy |
| Procedura Joiner–Mover–Leaver | zatrudnienie, zmiana, odejście — terminy i potwierdzenia |
| Standard MFA i kont uprzywilejowanych | zakres, metody, wyjątki, konta awaryjne |
| Program szkoleń | grupy, częstotliwość, ewidencja — w tym coroczne szkolenie kierownictwa |
Operacje, incydenty i ciągłość
| Dokument | Po co |
|---|---|
| Procedura zarządzania podatnościami i aktualizacjami | źródła, skanowanie, terminy według ryzyka, wyjątki |
| Polityka logowania i monitorowania | źródła, zdarzenia, retencja, scenariusze i obsługa alertów |
| Plan reagowania na incydenty + playbook zgłoszeń | role, klasyfikacja, zegar 24/72/1 mies., komunikacja |
| Plany ciągłości działania (BCP) i odtwarzania (DRP) | parametry odtworzenia, właściciele biznesowi, procedury kryzysowe |
| Dokumentacja łańcucha dostaw | lista dostawców istotnych dla bezpieczeństwa, oceny, klauzule w umowach |
Dowody, które muszą powstawać same z siebie
Do 3 kwietnia 2027 r. organizacja nie powinna posiadać wyłącznie planu wdrożenia — powinna mieć działające mechanizmy i dowody ich działania: zatwierdzenia i protokoły zarządu, rejestry incydentów, raporty z testów odtworzeniowych i ćwiczeń, protokoły przeglądów ryzyka, zapisy nadań i odebrań uprawnień, zaświadczenia ze szkoleń, dowody testów, przeglądów i decyzji. Kopie zapasowe wymagają testów odtworzenia — backup nietestowany to deklaracja, nie zabezpieczenie.
Najczęstsze błędy dokumentacyjne
- dokumenty kopiowane z innej organizacji — treść ma opisywać realny model firmy,
- rejestr ryzyka tworzony wyłącznie na potrzeby audytu,
- brak właścicieli dokumentów i zapisów,
- role przypisane osobom bez mandatu i czasu,
- zamknięcie działań bez dowodu i brak przeglądu po zmianie lub incydencie,
- audyt wewnętrzny wykonywany przez osoby audytujące własną pracę.
Ustawa nie narzuca liczby ani nazw dokumentów — wymaga udokumentowania systemu, procesów, infrastruktury, ciągłości i działań operacyjnych. Dokumenty można łączyć, jeżeli zachowują kompletność i czytelność; liczba plików zależy od skali, ryzyka i sposobu połączenia tematów.
Chcesz wiedzieć, których dokumentów i dowodów Ci brakuje?
Samoocena szczegółowa (60 pytań) wskaże luki w 10 obszarach, w tym w dokumentacji — a na konsultacji ułożymy plan do 3 kwietnia 2027 r.
Przewodnik po ustawie KSC 2026 (PDF)