Na podstawie
art. 10 ust. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
(Dz. U. poz. 1560) zarządza się, co następuje:
§ 1.
Do dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego
do świadczenia usługi kluczowej zalicza się:
§ 2.
Dokumentację, o której mowa w § 1 pkt 1, stanowią:
1)
dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie
z wymaganiami normy PN-EN ISO/IEC 27001;
2)
dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa
kluczowa, dotycząca:
a)
charakterystyki usługi kluczowej oraz infrastruktury,
b)
szacowania ryzyka dla obiektów infrastruktury,
c)
oceny aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem),
d)
opisu zabezpieczeń technicznych obiektów infrastruktury,
e)
zasad organizacji i wykonywania ochrony fizycznej infrastruktury,
3)
dokumentacja systemu zarządzania ciągłością działania usługi kluczowej wytworzona
zgodnie z wymaganiami normy PN-EN ISO 22301;
4)
dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi
kluczowej;
5)
dokumentacja wynikająca ze specyfiki świadczonej usługi kluczowej w danym sektorze
lub podsektorze.
§ 3.
Dokumentację, o której mowa w § 1 pkt 2, stanowią:
1)
dokumentacja dotycząca procedur oraz instrukcji wynikających z dokumentacji normatywnej;
2)
opisy sposobów dokumentowania wykonania czynności w ramach ustalonych procedur;
3)
dokumentacja poświadczająca każdorazowe wykonanie procedury.
§ 4.
Rozporządzenie wchodzi w życie z dniem ogłoszenia.