Przejdź do treści
nis2.org.plby AYO Solutions

SZBI i dokumentacja

Dokumentacja NIS2/KSC — co trzeba opisać i udowodnić

Ustawa nie sprowadza obowiązku do jednej oficjalnej listy dokumentów o identycznych nazwach dla wszystkich organizacji. Wymaga udokumentowania systemu, procesów, infrastruktury, ciągłości i działań operacyjnych. Liczba plików zależy od skali, ryzyka i sposobu połączenia tematów.

Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0

Odpowiedź w 30 sekund

  • dokumentacja normatywna opisuje zasady; operacyjna to zapisy potwierdzające wykonanie
  • sam komplet polityk nie dowodzi skuteczności
  • dokumenty można łączyć, jeżeli zachowują kompletność i czytelność
  • każdy dokument ma właściciela, wersję i cykl przeglądu

Dokumentacja normatywna i operacyjna

Dokumentacja normatywna opisuje zasady, role i wymagany sposób działania. Dokumentacja operacyjna to zapisy potwierdzające wykonanie: rejestry, raporty, protokoły, logi, zgłoszenia, wyniki testów i decyzje. Sam komplet polityk nie dowodzi skuteczności.

Zasady projektowania dokumentacji

  • każdy dokument ma właściciela, zakres, zatwierdzenie, wersję i cykl przeglądu
  • procedura wskazuje wymagane zapisy
  • dokumenty nie mogą sobie przeczyć, a terminologia jest wspólna dla biznesu, IT, prawa i audytu
  • treść opisuje realny model organizacji
  • wyjątki są rejestrowane i zatwierdzane
  • dokumenty są chronione przed nieautoryzowaną zmianą, a wersje wycofane przechowywane zgodnie z wymaganym okresem
  • dokumenty można łączyć, jeżeli zachowują kompletność i czytelność

Katalog — governance i SZBI

DokumentMinimalna zawartośćTypowy właściciel
Zakres SZBIusługi, procesy, lokalizacje, jednostki, systemy, zależności, wyłączenia i uzasadnienieZarząd/CISO
Polityka bezpieczeństwa informacjicele, zasady, zobowiązanie kierownictwa, role, wymagania nadrzędneZarząd
Karta programu NIS2mandat, sponsor, cele, harmonogram, budżet, governance i bramkiCIO/PMO
Role i odpowiedzialnościfunkcje, zastępstwa, uprawnienia, eskalacja i RACIZarząd/HR
Rejestr wymagań prawnych i umownychźródło, obowiązek, właściciel, sposób realizacji, dowód i przeglądPrawo/Compliance
Cele bezpieczeństwamierzalne cele, właściciel, termin, źródło danych i statusCISO/Zarząd
Procedura przeglądu zarządzaniaagenda, wejścia, uczestnicy, decyzje, działania i częstotliwośćZarząd/CISO
Procedura nadzoru nad dokumentacjątworzenie, zatwierdzanie, wersjonowanie, dostęp, retencja i wycofanieSZBI/Compliance

Katalog — ryzyko, aktywa i klasyfikacja

DokumentMinimalna zawartośćTypowy właściciel
Metodyka zarządzania ryzykiemskale, kryteria, apetyt, progi akceptacji, ocena kontroli i częstotliwośćCISO/Risk
Rejestr ryzykscenariusz, aktywa/usługi, zagrożenie, podatność, skutek, prawdopodobieństwo, kontrola, właściciel i ryzyko rezydualneWłaściciele ryzyk
Plan postępowania z ryzykiemdziałanie, odpowiedzialny, koszt, termin, zależności, miernik i statusCIO/CISO/Biznes
Rejestr aktywówaktywo, usługa, właściciel, lokalizacja, krytyczność, dostawca, cykl życia i ochronaIT/OT/Biznes
Mapa usług i zależnościproces → aplikacja → infrastruktura → dane → ludzie → dostawcyArchitektura/Biznes
Zasady klasyfikacji informacjiklasy, kryteria, oznaczanie, przechowywanie, udostępnianie, usuwanie i wyjątkiWłaściciel informacji
Standard inwentaryzacjiźródła danych, odpowiedzialność, częstotliwość, uzgadnianie i wyjątkiIT/OT

Katalog — personel i dostęp

DokumentMinimalna zawartośćTypowy właściciel
Polityka kontroli dostępuminimalne uprawnienia, need-to-know, role, zatwierdzenia, przeglądy i rozdział obowiązkówCISO/IT
Procedura Joiner–Mover–Leaverzatrudnienie, zmiana, odejście, terminy, systemy, aktywa i potwierdzenie odbioruHR/IT
Standard MFAzakres, dopuszczone metody, wyjątki, konta awaryjne i monitoringIT/CISO
Procedura kont uprzywilejowanychprzydział, PAM, sesje, hasła, konta awaryjne, przegląd i odebranieIT
Procedura przeglądu uprawnieńzakres, właściciele, częstotliwość, dowód decyzji i działania korygująceBiznes/IT
Polityka bezpieczeństwa personeluwymagania przed zatrudnieniem, w trakcie i po zakończeniu współpracyHR/Prawo
Program szkoleńgrupy, cele, częstotliwość, testy, przypomnienia, ewidencja i eskalacjaHR/CISO
Zasady pracy zdalnej i mobilnejurządzenia, dostęp, prywatność, sieć, dokumenty, incydenty i podróżeHR/IT

Katalog — operacje i technologia

DokumentMinimalna zawartośćTypowy właściciel
Standard bezpiecznej konfiguracjibazowe ustawienia, źródło benchmarku, wyjątki, kontrola zgodności i aktualizacjaIT/OT
Procedura zarządzania zmianąocena ryzyka, testy, zatwierdzenie, plan wycofania, okno i dowodyIT/OT/Biznes
Procedura zarządzania podatnościamiźródła, skanowanie, triage, SLA według ryzyka, wyjątki i raportowanieCISO/IT
Polityka aktualizacjiklasyfikacja poprawek, terminy, testy, awarie, systemy niewspierane i wyjątkiIT/OT
Polityka logowania i monitorowaniaźródła, zdarzenia, synchronizacja czasu, retencja, ochrona, scenariusze i obsługaSOC/CISO
Standard ochrony endpointówEDR, konfiguracja, izolacja, wyjątki, monitoring pokrycia i reakcjaIT/SOC
Standard bezpieczeństwa siecisegmentacja, strefy, styki, administracja, dostęp zdalny, reguły i przeglądyNetwork/OT
Polityka kopii zapasowychzakres, częstotliwość, retencja, szyfrowanie, izolacja, niezmienność, monitoring i testyIT/Biznes
Polityka kryptografiidane objęte szyfrowaniem, algorytmy, klucze, certyfikaty, sekrety, odnowienie i utrataCISO/IT
Standard chmuryodpowiedzialność współdzielona, konta, konfiguracja, logi, dane, backup, region i wyjścieCloud/IT
Standard bezpiecznego rozwojuwymagania, modelowanie zagrożeń, repozytoria, sekrety, testy, zależności i poprawkiDevelopment/Product

Katalog — incydenty i kryzysy

DokumentMinimalna zawartośćTypowy właściciel
Plan reagowania na incydentyrole, fazy, priorytety, eskalacja, dowody, komunikacja i zamknięcieCISO
Klasyfikacja incydentówkryteria wpływu, progi, poważny incydent, właściciel decyzji i zegarCISO/Prawo/Biznes
Playbook 24/72/1 miesiącdane, terminy, zatwierdzenia, S46/CSIRT, zastępstwa i archiwizacjaCISO/Prawo
Playbook ransomwareizolacja, decyzje, backup, forensics, komunikacja, odtworzenie i zgłoszeniaCISO/IT
Playbook phishing/BECblokada, wyszukiwanie, reset, bank, komunikacja i analizaSOC/IT/Finanse
Playbook wycieku danychzatrzymanie, zakres, dowody, RODO/KSC, klienci i działaniaCISO/DPO/Prawo
Plan komunikacji kryzysowejinteresariusze, kanały, wzory, zatwierdzenia, media i komunikacja awaryjnaKomunikacja/Zarząd
Procedura dowodowapozyskanie, integralność, łańcuch nadzoru, dostęp i retencjaCISO/Prawo
Rejestr incydentówczas, źródło, klasyfikacja, wpływ, decyzje, zgłoszenia, koszty, lessons learnedCISO

Katalog — ciągłość działania

DokumentMinimalna zawartośćTypowy właściciel
Polityka ciągłości działaniacele, zakres, role, podejście, testy i aktualizacjaZarząd/BCM
Metodyka BIAskale skutku, horyzonty czasu, MTPD, MBCO, RTO, RPO i zatwierdzenieBCM/Risk
Raport BIAprocesy, skutki, zależności, priorytety, obejścia i wymagania odtworzenioweWłaściciele procesów
BCPaktywacja, zespół, działania awaryjne, zasoby, komunikacja, powrót i utrzymanieBiznes/BCM
DRPzakres IT/OT, kolejność, warunki aktywacji, architektura, kroki, zależności i walidacjaIT/OT
Runbooki odtworzenioweszczegółowe kroki dla usług, konta, konfiguracja, dane, test integralności i rollbackWłaściciele techniczni
Plan testów BCP/DRscenariusz, cel, zakres, uczestnicy, kryteria sukcesu, obserwatorzy i dowodyBCM/IT
Raport z testurzeczywisty przebieg, czasy, RPO, problemy, decyzje i działaniaLider testu
Plan zarządzania kryzysowegosztab, poziomy aktywacji, decyzje, log zdarzeń, komunikacja i demobilizacjaZarząd/BCM

Katalog — dostawcy

DokumentMinimalna zawartośćTypowy właściciel
Polityka bezpieczeństwa dostawcówklasyfikacja, due diligence, wymagania, monitoring, incydenty i wyjścieZakupy/CISO
Rejestr dostawcówusługa, właściciel, krytyczność, dane, dostęp, lokalizacja, podwykonawcy i termin umowyZakupy/Biznes
Kwestionariusz ocenygovernance, incydenty, dostęp, ciągłość, podwykonawcy, certyfikaty, testy i dowodyCISO/Zakupy
Minimalne klauzuleobowiązki, zgłoszenia, audyt, logi, podwykonawcy, lokalizacja, zwrot danych i zakończeniePrawo
Plan wyjściaalternatywa, eksport danych, migracja, odebranie dostępów, zależności i testBiznes/IT
Plan monitorowaniaczęstotliwość, KPI, zdarzenia wyzwalające, reocena i eskalacjaWłaściciel usługi

Katalog — ocena skuteczności

  • program audytu wewnętrznego i plan testów technicznych
  • harmonogram skanów i testów penetracyjnych
  • KPI i KRI bezpieczeństwa
  • rejestr niezgodności i rejestr działań korygujących
  • protokół przeglądu zarządzania
  • raport z ćwiczeń incydentowych
  • wyniki symulacji phishingu i szkoleń
  • raporty z przeglądu dostawców
  • raport pokrycia aktywów zabezpieczeniami
  • rejestr wyjątków i akceptacji ryzyka

Wymagane zapisy operacyjne — przykłady

  • tickety i czasy obsługi incydentów
  • logi zgłoszeń do S46 i komunikacji z CSIRT
  • wyniki testów odtworzeniowych
  • potwierdzenia przeglądów uprawnień
  • raporty z aktualizacji i podatności
  • protokoły z Komitetu Sterującego i zatwierdzenia ryzyka
  • listy obecności i wyniki testów szkoleniowych
  • oceny dostawców
  • zmiany konfiguracji i akceptacje wyjątków
  • dowody izolacji kopii i testów niezmienności
  • raporty z audytów i zamknięcia działań

Jak ograniczyć biurokrację

  • połączyć politykę dostępu, MFA i kont uprzywilejowanych w jeden logiczny pakiet z załącznikami
  • utrzymywać rejestry w systemach operacyjnych zamiast przepisywać je do dokumentów
  • generować dowody z narzędzi, ale zachować kontekst i właściciela
  • używać jednej mapy wymagań i kontroli oraz wzorów protokołów i raportów
  • aktualizować dokument po zmianie procesu, nie tylko przed audytem
  • nie kopiować technicznych parametrów do wielu dokumentów
  • odwoływać się do kontrolowanych standardów i instrukcji

Dokumentacja oparta na działających procesach

Powiązane materiały

Źródła i podstawa opracowania

Igor Bielecki

CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA

O zespole

Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.

Porozmawiajmy o Twojej sytuacji

Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.

igor.bielecki@gmail.com