Dokumentacja zgodności z Dyrektywą NIS2 oraz nowelizacją polskiej Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Dokumenty powiązane logicznie, gotowe do wypełnienia przez organizację.
[...] to instrukcja lub przykład – należy go zastąpić właściwą treścią organizacji.Polityka bezpieczeństwa, zarządzanie ryzykiem i rejestr ryzyk – podstawa całego SZBI.
Główny dokument SZBI. Cele, zakres, role, zasady. Powiązany ze wszystkimi pozostałymi dokumentami.
Metodologia oceny i postępowania z ryzykiem cyberbezpieczeństwa. Wymóg art. 8 KSC.
Szablon rejestru z kryteriami akceptacji ryzyka i matrycą prawdopodobieństwo/wpływ.
Macierz RACI dla wszystkich funkcji bezpieczeństwa. Wymóg KSC dot. osoby odpowiedzialnej za cyberbezpieczeństwo.
Procedury wykrywania, obsługi i zgłaszania incydentów cyberbezpieczeństwa – kluczowy wymóg NIS2/KSC.
Definicje, klasyfikacja P1–P4, progi istotności, obowiązki raportowania do CSIRT (24h/72h).
Oś czasu, formularze A–D, kroki krok-po-kroku, zgłoszenia do CSIRT i UODO.
Playbooki PB-001–004 (ransomware, konto, wyciek, DDoS), PICERL, komunikacja kryzysowa.
Polityki techniczne dotyczące tożsamości, haseł, szyfrowania i klasyfikacji informacji.
Zasady dostępu, MFA, przeglądy uprawnień, privileged access, hasła (min. 8 znaków).
Algorytmy, długości kluczy, zarządzanie certyfikatami, szyfrowanie danych w spoczynku i ruchu.
Poziomy klasyfikacji, etykietowanie, obsługa mediów, dane osobowe (RODO).
Ciągłość działania, odtwarzanie po awarii, zarządzanie zmianami i podatnościami.
RTO/RPO, procedury awaryjne, testy, komunikacja kryzysowa.
Harmonogram, retencja, testy odtwarzania, izolacja kopii zapasowych.
CAB, klasyfikacja zmian, testy, rollback, okna serwisowe.
Skanowanie, CVSS, SLA patchowania (krytyczne 72h), pentesty.
Bezpieczeństwo dostawców, pracowników i program szkoleń – wymóg art. 21 NIS2.
Ocena ryzyka dostawcy, wymogi umowne, monitoring, audyty łańcucha dostaw.
Weryfikacja pracowników, umowy NDA, offboarding, kary za naruszenia.
Plany szkoleń, phishing awareness, obowiązkowe certyfikacje, rejestr.
Bezpieczeństwo fizyczne, sieci, rejestr aktywów i audyt zgodności.
Strefy bezpieczeństwa, kontrola wejścia, serwerownie, CCTV, czysty biurko.
Segmentacja, DMZ, firewall, monitoring, SOC, logi (min. 12 mies.).
Klasyfikacja aktywów, właściciele, wartość, zależności krytyczne.
Plan audytów, raportowanie do zarządu, KPIs bezpieczeństwa, deklaracja stosowania.
| Akt prawny | Kluczowe wymagania dokumentacyjne | Powiązane dokumenty |
|---|---|---|
| Dyrektywa NIS2 (UE 2022/2555) | Art. 21 – środki zarządzania ryzykiem, polityki, ciągłość, łańcuch dostaw, MFA, szyfrowanie, szkolenia | DOC-001, 002, 011, 015, 008, 009, 017 |
| Ustawa KSC (nowelizacja 2024) | Art. 8 – system zarządzania bezpieczeństwem; art. 10 – obsługa incydentów; art. 15 – zgłaszanie incydentów do CSIRT | DOC-001, 005, 006, 007 |
| RODO (UE 2016/679) | Środki techniczne i organizacyjne, ochrona danych osobowych, naruszenia danych | DOC-010, 005, 016 |
| ISO/IEC 27001:2022 | Referencyjny standard SZBI – annex A stanowi bazę kontroli | Wszystkie dokumenty |