Na podstawie art. 10 ust. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560) zarządza się, co następuje:
§ 1.
Do dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej zalicza się:
1) dokumentację normatywną;
2) dokumentację operacyjną.
§ 2.
Dokumentację, o której mowa w § 1 pkt 1, stanowią:
1) dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami normy PN-EN ISO/IEC 27001;
2) dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa, dotycząca:
a) charakterystyki usługi kluczowej oraz infrastruktury,
b) szacowania ryzyka dla obiektów infrastruktury,
c) oceny aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem),
d) opisu zabezpieczeń technicznych obiektów infrastruktury,
e) zasad organizacji i wykonywania ochrony fizycznej infrastruktury,
f) danych o specjalistycznej uzbrojonej formacji ochronnej, o której mowa w art. 2 pkt 7 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2017 r. poz. 2213 oraz z 2018 r. poz. 138, 650, 1629 i 1669), chroniącej infrastrukturę, jeśli taka formacja występuje;
3) dokumentacja systemu zarządzania ciągłością działania usługi kluczowej wytworzona zgodnie z wymaganiami normy PN-EN ISO 22301;
4) dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
5) dokumentacja wynikająca ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze.
§ 3.
Dokumentację, o której mowa w § 1 pkt 2, stanowią:
1) dokumentacja dotycząca procedur oraz instrukcji wynikających z dokumentacji normatywnej;
2) opisy sposobów dokumentowania wykonania czynności w ramach ustalonych procedur;
3) dokumentacja poświadczająca każdorazowe wykonanie procedury.
§ 4.
Rozporządzenie wchodzi w życie z dniem ogłoszenia.