Przejdź do treści
nis2.org.plby AYO Solutions
← Blog

SZBI według ustawy KSC: lista dokumentów, które musisz mieć przed 3 kwietnia 2027

Opublikowano 16 lipca 2026Igor Bielecki

Stan prawny: 10 lipca 2026 r.

Ustawa KSC nie zawiera jednej urzędowej listy dokumentów o identycznych nazwach dla wszystkich — wymaga udokumentowania systemu, procesów, infrastruktury, ciągłości i działań operacyjnych, a do 3 kwietnia 2027 r. system ma działać, nie tylko istnieć na papierze. Poniżej praktyczny katalog dokumentów, które w typowej organizacji pokrywają ten obowiązek, oraz zasada ważniejsza od samej listy: dowody działania ważą więcej niż polityki.

Dwie warstwy dokumentacji — i która waży więcej w kontroli

Ustawa wymaga prowadzenia, utrzymywania i ochrony dokumentacji w dwóch warstwach. **Normatywna** mówi, jak ma być: polityki, procedury, plany, standardy. **Operacyjna** dowodzi, że tak jest: rejestr incydentów (także tych, których nie trzeba było zgłaszać), raporty z testów odtworzeniowych i ćwiczeń, protokoły przeglądów ryzyka, zapisy nadań i odebrań uprawnień, zaświadczenia ze szkoleń.

W kontroli dokumentacja operacyjna waży więcej niż normatywna — segregator pięknych polityk bez śladu ich stosowania to klasyczna droga do kary mimo poniesionych kosztów. Dokumentację przechowuje się przez ustawowo określony czas i chroni przed nieuprawnionym dostępem.

Zasady projektowania dokumentacji (zanim cokolwiek napiszesz)

  • każdy dokument ma właściciela, zakres, zatwierdzenie, wersję i cykl przeglądu,
  • procedura wskazuje wymagane zapisy (czyli: jaki dowód powstaje z jej wykonania),
  • dokumenty nie mogą sobie przeczyć, a terminologia jest wspólna dla biznesu, IT, prawa i audytu,
  • treść opisuje realny model organizacji — nie wzorzec z innej firmy,
  • wyjątki są rejestrowane i zatwierdzane,
  • dokumenty można łączyć, jeżeli zachowują kompletność i czytelność — liczba plików zależy od skali i ryzyka.

Katalog dokumentów SZBI — praktyczna lista

Governance i system

DokumentPo co
Zakres SZBIusługi, procesy, lokalizacje, systemy, zależności i uzasadnione wyłączenia
Polityka bezpieczeństwa informacjicele, zasady, zobowiązanie kierownictwa, role
Role i odpowiedzialności (RACI)funkcje, zastępstwa, uprawnienia, eskalacja
Rejestr wymagań prawnych i umownychźródło, obowiązek, właściciel, sposób realizacji, dowód
Procedura przeglądu zarządzaniaagenda, wejścia, decyzje, działania, częstotliwość

Ryzyko i aktywa

DokumentPo co
Metodyka zarządzania ryzykiemskale, kryteria, progi akceptacji, częstotliwość
Rejestr ryzykscenariusze, skutki, kontrole, właściciele, ryzyko rezydualne
Plan postępowania z ryzykiemdziałania, odpowiedzialni, terminy, mierniki
Rejestr aktywów i mapa zależnościaktywo → usługa → właściciel → krytyczność → dostawca
Zasady klasyfikacji informacjiklasy, oznaczanie, przechowywanie, udostępnianie

Ludzie i dostęp

DokumentPo co
Polityka kontroli dostępuminimalne uprawnienia, role, zatwierdzenia, przeglądy
Procedura Joiner–Mover–Leaverzatrudnienie, zmiana, odejście — terminy i potwierdzenia
Standard MFA i kont uprzywilejowanychzakres, metody, wyjątki, konta awaryjne
Program szkoleńgrupy, częstotliwość, ewidencja — w tym coroczne szkolenie kierownictwa

Operacje, incydenty i ciągłość

DokumentPo co
Procedura zarządzania podatnościami i aktualizacjamiźródła, skanowanie, terminy według ryzyka, wyjątki
Polityka logowania i monitorowaniaźródła, zdarzenia, retencja, scenariusze i obsługa alertów
Plan reagowania na incydenty + playbook zgłoszeńrole, klasyfikacja, zegar 24/72/1 mies., komunikacja
Plany ciągłości działania (BCP) i odtwarzania (DRP)parametry odtworzenia, właściciele biznesowi, procedury kryzysowe
Dokumentacja łańcucha dostawlista dostawców istotnych dla bezpieczeństwa, oceny, klauzule w umowach

Dowody, które muszą powstawać same z siebie

Do 3 kwietnia 2027 r. organizacja nie powinna posiadać wyłącznie planu wdrożenia — powinna mieć działające mechanizmy i dowody ich działania: zatwierdzenia i protokoły zarządu, rejestry incydentów, raporty z testów odtworzeniowych i ćwiczeń, protokoły przeglądów ryzyka, zapisy nadań i odebrań uprawnień, zaświadczenia ze szkoleń, dowody testów, przeglądów i decyzji. Kopie zapasowe wymagają testów odtworzenia — backup nietestowany to deklaracja, nie zabezpieczenie.

Najczęstsze błędy dokumentacyjne

  1. dokumenty kopiowane z innej organizacji — treść ma opisywać realny model firmy,
  2. rejestr ryzyka tworzony wyłącznie na potrzeby audytu,
  3. brak właścicieli dokumentów i zapisów,
  4. role przypisane osobom bez mandatu i czasu,
  5. zamknięcie działań bez dowodu i brak przeglądu po zmianie lub incydencie,
  6. audyt wewnętrzny wykonywany przez osoby audytujące własną pracę.

Ustawa nie narzuca liczby ani nazw dokumentów — wymaga udokumentowania systemu, procesów, infrastruktury, ciągłości i działań operacyjnych. Dokumenty można łączyć, jeżeli zachowują kompletność i czytelność; liczba plików zależy od skali, ryzyka i sposobu połączenia tematów.

Chcesz wiedzieć, których dokumentów i dowodów Ci brakuje?

Samoocena szczegółowa (60 pytań) wskaże luki w 10 obszarach, w tym w dokumentacji — a na konsultacji ułożymy plan do 3 kwietnia 2027 r.

Przewodnik po ustawie KSC 2026 (PDF)

Kwalifikacja, obowiązki, terminy i kary — prostym językiem, do pobrania za e-mail.

Sprawdźmy, na czym stoisz

Bezpłatna, ok. 15-minutowa rozmowa. Ustalimy, czy i jako jaki podmiot podlegasz pod ustawę, jakie masz najbliższe terminy i co warto zrobić w pierwszej kolejności. Bez zobowiązań.

office@ayo-solutions.com