SZBI i dokumentacja
Dokumentacja NIS2/KSC — co trzeba opisać i udowodnić
Ustawa nie sprowadza obowiązku do jednej oficjalnej listy dokumentów o identycznych nazwach dla wszystkich organizacji. Wymaga udokumentowania systemu, procesów, infrastruktury, ciągłości i działań operacyjnych. Liczba plików zależy od skali, ryzyka i sposobu połączenia tematów.
Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0
Odpowiedź w 30 sekund
- dokumentacja normatywna opisuje zasady; operacyjna to zapisy potwierdzające wykonanie
- sam komplet polityk nie dowodzi skuteczności
- dokumenty można łączyć, jeżeli zachowują kompletność i czytelność
- każdy dokument ma właściciela, wersję i cykl przeglądu
Dokumentacja normatywna i operacyjna
Dokumentacja normatywna opisuje zasady, role i wymagany sposób działania. Dokumentacja operacyjna to zapisy potwierdzające wykonanie: rejestry, raporty, protokoły, logi, zgłoszenia, wyniki testów i decyzje. Sam komplet polityk nie dowodzi skuteczności.
Zasady projektowania dokumentacji
- każdy dokument ma właściciela, zakres, zatwierdzenie, wersję i cykl przeglądu
- procedura wskazuje wymagane zapisy
- dokumenty nie mogą sobie przeczyć, a terminologia jest wspólna dla biznesu, IT, prawa i audytu
- treść opisuje realny model organizacji
- wyjątki są rejestrowane i zatwierdzane
- dokumenty są chronione przed nieautoryzowaną zmianą, a wersje wycofane przechowywane zgodnie z wymaganym okresem
- dokumenty można łączyć, jeżeli zachowują kompletność i czytelność
Katalog — governance i SZBI
| Dokument | Minimalna zawartość | Typowy właściciel |
|---|---|---|
| Zakres SZBI | usługi, procesy, lokalizacje, jednostki, systemy, zależności, wyłączenia i uzasadnienie | Zarząd/CISO |
| Polityka bezpieczeństwa informacji | cele, zasady, zobowiązanie kierownictwa, role, wymagania nadrzędne | Zarząd |
| Karta programu NIS2 | mandat, sponsor, cele, harmonogram, budżet, governance i bramki | CIO/PMO |
| Role i odpowiedzialności | funkcje, zastępstwa, uprawnienia, eskalacja i RACI | Zarząd/HR |
| Rejestr wymagań prawnych i umownych | źródło, obowiązek, właściciel, sposób realizacji, dowód i przegląd | Prawo/Compliance |
| Cele bezpieczeństwa | mierzalne cele, właściciel, termin, źródło danych i status | CISO/Zarząd |
| Procedura przeglądu zarządzania | agenda, wejścia, uczestnicy, decyzje, działania i częstotliwość | Zarząd/CISO |
| Procedura nadzoru nad dokumentacją | tworzenie, zatwierdzanie, wersjonowanie, dostęp, retencja i wycofanie | SZBI/Compliance |
Katalog — ryzyko, aktywa i klasyfikacja
| Dokument | Minimalna zawartość | Typowy właściciel |
|---|---|---|
| Metodyka zarządzania ryzykiem | skale, kryteria, apetyt, progi akceptacji, ocena kontroli i częstotliwość | CISO/Risk |
| Rejestr ryzyk | scenariusz, aktywa/usługi, zagrożenie, podatność, skutek, prawdopodobieństwo, kontrola, właściciel i ryzyko rezydualne | Właściciele ryzyk |
| Plan postępowania z ryzykiem | działanie, odpowiedzialny, koszt, termin, zależności, miernik i status | CIO/CISO/Biznes |
| Rejestr aktywów | aktywo, usługa, właściciel, lokalizacja, krytyczność, dostawca, cykl życia i ochrona | IT/OT/Biznes |
| Mapa usług i zależności | proces → aplikacja → infrastruktura → dane → ludzie → dostawcy | Architektura/Biznes |
| Zasady klasyfikacji informacji | klasy, kryteria, oznaczanie, przechowywanie, udostępnianie, usuwanie i wyjątki | Właściciel informacji |
| Standard inwentaryzacji | źródła danych, odpowiedzialność, częstotliwość, uzgadnianie i wyjątki | IT/OT |
Katalog — personel i dostęp
| Dokument | Minimalna zawartość | Typowy właściciel |
|---|---|---|
| Polityka kontroli dostępu | minimalne uprawnienia, need-to-know, role, zatwierdzenia, przeglądy i rozdział obowiązków | CISO/IT |
| Procedura Joiner–Mover–Leaver | zatrudnienie, zmiana, odejście, terminy, systemy, aktywa i potwierdzenie odbioru | HR/IT |
| Standard MFA | zakres, dopuszczone metody, wyjątki, konta awaryjne i monitoring | IT/CISO |
| Procedura kont uprzywilejowanych | przydział, PAM, sesje, hasła, konta awaryjne, przegląd i odebranie | IT |
| Procedura przeglądu uprawnień | zakres, właściciele, częstotliwość, dowód decyzji i działania korygujące | Biznes/IT |
| Polityka bezpieczeństwa personelu | wymagania przed zatrudnieniem, w trakcie i po zakończeniu współpracy | HR/Prawo |
| Program szkoleń | grupy, cele, częstotliwość, testy, przypomnienia, ewidencja i eskalacja | HR/CISO |
| Zasady pracy zdalnej i mobilnej | urządzenia, dostęp, prywatność, sieć, dokumenty, incydenty i podróże | HR/IT |
Katalog — operacje i technologia
| Dokument | Minimalna zawartość | Typowy właściciel |
|---|---|---|
| Standard bezpiecznej konfiguracji | bazowe ustawienia, źródło benchmarku, wyjątki, kontrola zgodności i aktualizacja | IT/OT |
| Procedura zarządzania zmianą | ocena ryzyka, testy, zatwierdzenie, plan wycofania, okno i dowody | IT/OT/Biznes |
| Procedura zarządzania podatnościami | źródła, skanowanie, triage, SLA według ryzyka, wyjątki i raportowanie | CISO/IT |
| Polityka aktualizacji | klasyfikacja poprawek, terminy, testy, awarie, systemy niewspierane i wyjątki | IT/OT |
| Polityka logowania i monitorowania | źródła, zdarzenia, synchronizacja czasu, retencja, ochrona, scenariusze i obsługa | SOC/CISO |
| Standard ochrony endpointów | EDR, konfiguracja, izolacja, wyjątki, monitoring pokrycia i reakcja | IT/SOC |
| Standard bezpieczeństwa sieci | segmentacja, strefy, styki, administracja, dostęp zdalny, reguły i przeglądy | Network/OT |
| Polityka kopii zapasowych | zakres, częstotliwość, retencja, szyfrowanie, izolacja, niezmienność, monitoring i testy | IT/Biznes |
| Polityka kryptografii | dane objęte szyfrowaniem, algorytmy, klucze, certyfikaty, sekrety, odnowienie i utrata | CISO/IT |
| Standard chmury | odpowiedzialność współdzielona, konta, konfiguracja, logi, dane, backup, region i wyjście | Cloud/IT |
| Standard bezpiecznego rozwoju | wymagania, modelowanie zagrożeń, repozytoria, sekrety, testy, zależności i poprawki | Development/Product |
Katalog — incydenty i kryzysy
| Dokument | Minimalna zawartość | Typowy właściciel |
|---|---|---|
| Plan reagowania na incydenty | role, fazy, priorytety, eskalacja, dowody, komunikacja i zamknięcie | CISO |
| Klasyfikacja incydentów | kryteria wpływu, progi, poważny incydent, właściciel decyzji i zegar | CISO/Prawo/Biznes |
| Playbook 24/72/1 miesiąc | dane, terminy, zatwierdzenia, S46/CSIRT, zastępstwa i archiwizacja | CISO/Prawo |
| Playbook ransomware | izolacja, decyzje, backup, forensics, komunikacja, odtworzenie i zgłoszenia | CISO/IT |
| Playbook phishing/BEC | blokada, wyszukiwanie, reset, bank, komunikacja i analiza | SOC/IT/Finanse |
| Playbook wycieku danych | zatrzymanie, zakres, dowody, RODO/KSC, klienci i działania | CISO/DPO/Prawo |
| Plan komunikacji kryzysowej | interesariusze, kanały, wzory, zatwierdzenia, media i komunikacja awaryjna | Komunikacja/Zarząd |
| Procedura dowodowa | pozyskanie, integralność, łańcuch nadzoru, dostęp i retencja | CISO/Prawo |
| Rejestr incydentów | czas, źródło, klasyfikacja, wpływ, decyzje, zgłoszenia, koszty, lessons learned | CISO |
Katalog — ciągłość działania
| Dokument | Minimalna zawartość | Typowy właściciel |
|---|---|---|
| Polityka ciągłości działania | cele, zakres, role, podejście, testy i aktualizacja | Zarząd/BCM |
| Metodyka BIA | skale skutku, horyzonty czasu, MTPD, MBCO, RTO, RPO i zatwierdzenie | BCM/Risk |
| Raport BIA | procesy, skutki, zależności, priorytety, obejścia i wymagania odtworzeniowe | Właściciele procesów |
| BCP | aktywacja, zespół, działania awaryjne, zasoby, komunikacja, powrót i utrzymanie | Biznes/BCM |
| DRP | zakres IT/OT, kolejność, warunki aktywacji, architektura, kroki, zależności i walidacja | IT/OT |
| Runbooki odtworzeniowe | szczegółowe kroki dla usług, konta, konfiguracja, dane, test integralności i rollback | Właściciele techniczni |
| Plan testów BCP/DR | scenariusz, cel, zakres, uczestnicy, kryteria sukcesu, obserwatorzy i dowody | BCM/IT |
| Raport z testu | rzeczywisty przebieg, czasy, RPO, problemy, decyzje i działania | Lider testu |
| Plan zarządzania kryzysowego | sztab, poziomy aktywacji, decyzje, log zdarzeń, komunikacja i demobilizacja | Zarząd/BCM |
Katalog — dostawcy
| Dokument | Minimalna zawartość | Typowy właściciel |
|---|---|---|
| Polityka bezpieczeństwa dostawców | klasyfikacja, due diligence, wymagania, monitoring, incydenty i wyjście | Zakupy/CISO |
| Rejestr dostawców | usługa, właściciel, krytyczność, dane, dostęp, lokalizacja, podwykonawcy i termin umowy | Zakupy/Biznes |
| Kwestionariusz oceny | governance, incydenty, dostęp, ciągłość, podwykonawcy, certyfikaty, testy i dowody | CISO/Zakupy |
| Minimalne klauzule | obowiązki, zgłoszenia, audyt, logi, podwykonawcy, lokalizacja, zwrot danych i zakończenie | Prawo |
| Plan wyjścia | alternatywa, eksport danych, migracja, odebranie dostępów, zależności i test | Biznes/IT |
| Plan monitorowania | częstotliwość, KPI, zdarzenia wyzwalające, reocena i eskalacja | Właściciel usługi |
Katalog — ocena skuteczności
- program audytu wewnętrznego i plan testów technicznych
- harmonogram skanów i testów penetracyjnych
- KPI i KRI bezpieczeństwa
- rejestr niezgodności i rejestr działań korygujących
- protokół przeglądu zarządzania
- raport z ćwiczeń incydentowych
- wyniki symulacji phishingu i szkoleń
- raporty z przeglądu dostawców
- raport pokrycia aktywów zabezpieczeniami
- rejestr wyjątków i akceptacji ryzyka
Wymagane zapisy operacyjne — przykłady
- tickety i czasy obsługi incydentów
- logi zgłoszeń do S46 i komunikacji z CSIRT
- wyniki testów odtworzeniowych
- potwierdzenia przeglądów uprawnień
- raporty z aktualizacji i podatności
- protokoły z Komitetu Sterującego i zatwierdzenia ryzyka
- listy obecności i wyniki testów szkoleniowych
- oceny dostawców
- zmiany konfiguracji i akceptacje wyjątków
- dowody izolacji kopii i testów niezmienności
- raporty z audytów i zamknięcia działań
Jak ograniczyć biurokrację
- połączyć politykę dostępu, MFA i kont uprzywilejowanych w jeden logiczny pakiet z załącznikami
- utrzymywać rejestry w systemach operacyjnych zamiast przepisywać je do dokumentów
- generować dowody z narzędzi, ale zachować kontekst i właściciela
- używać jednej mapy wymagań i kontroli oraz wzorów protokołów i raportów
- aktualizować dokument po zmianie procesu, nie tylko przed audytem
- nie kopiować technicznych parametrów do wielu dokumentów
- odwoływać się do kontrolowanych standardów i instrukcji
Dokumentacja oparta na działających procesach
Powiązane materiały
Źródła i podstawa opracowania
Igor Bielecki
CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA
Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.
Porozmawiajmy o Twojej sytuacji
Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.
igor.bielecki@gmail.com