Jeśli ktoś myśli, że System Zarządzania Bezpieczeństwem Informacji (SZBI) to tylko segregator z procedurami – po nowelizacji ustawy o KSC szybko zostanie wyprowadzony z błędu. Przypomnijmy: nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa ma dostosować polskie przepisy do wymogów dyrektywy NIS2. Nowe regulacje nie tylko wzmocnią obowiązek wdrożenia SZBI – co więcej, nadadzą mu wyraźną funkcję operacyjną.
To oznacza jedno: SZBI musi działać. Musi żyć w organizacji. Musi być zrozumiałe – a nie tylko „mieć swoje miejsce w dokumentacji”. Inaczej stanie się tym, czym w wielu podmiotach są już inne „systemy” – „papierowym” tworem służącym pozorom zgodności. Dla tych, którzy już posiadają SZBI, to również moment prawdy – czy naprawdę mamy kontrolę nad bezpieczeństwem informacji, czy tylko nam się tak wydaje?
SZBI według ustawy – co dokładnie musisz wdrożyć?
Zacznijmy od konkretów. Art. 8 projektu ustawy definiuje SZBI jako system wdrażany w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez podmiot. System ten ma zapewniać:
- Systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem.
- Wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, z uwzględnieniem stanu wiedzy, kosztów wdrożenia, wielkości podmiotu oraz skutków społeczno-gospodarczych.
- Zbieranie informacji o cyberzagrożeniach i podatnościach systemu informacyjnego.
- Zarządzanie incydentami.
- Stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi, w tym m.in. aktualizacje, szyfrowanie, wieloskładnikowe uwierzytelnianie, mechanizmy zapewniające integralność i dostępność danych.
Co to oznacza w praktyce? Przede wszystkim – nie wystarczy raz w roku wygenerować pliki i „odhaczyć” procedurę. Te działania muszą być cykliczne, kontekstowe i świadome. Ustawa wyraźnie mówi o ciągłym procesie, nie o jednorazowym wdrożeniu. To nie projekt „do zamknięcia”, lecz cykl życia bezpieczeństwa.
Dokumentacja SZBI – koniec z udawaną zgodnością
Nowelizacja wprowadza rozróżnienie na dwa poziomy dokumentacji, które są równie istotne:
Dokumentacja normatywna:
To ta część dokumentacji, która opisuje świadczoną usługę, systemy, infrastrukturę oraz funkcjonowanie bezpieczeństwa informacji w podmiocie, a więc m.in.:
- dokumentację systemu zarządzania bezpieczeństwem informacji,
- dokumentację ochrony infrastruktury (szczegółowo omówioną niżej),
- dokumentację zarządzania ciągłością działania,
- dokumentację techniczną systemów informacyjnych,
- dokumentację wynikającą ze specyfiki świadczonej usługi.
Dokumentacja operacyjna:
To zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym m.in.:
- automatycznie generowane zapisy w dziennikach systemów informacyjnych (logi),
- checklisty, raporty, wyniki testów,
- zapisy z systemów klasy SIEM lub dzienników audytowych.
To rozróżnienie jest kluczowe. Bo jeśli nie masz potwierdzenia, że system działa to nie działa.
Dokumentacja ochrony infrastruktury – szczegółowe wymagania
Spośród wszystkich obszarów dokumentacyjnych, najwięcej szczegółowych wymagań dotyczy właśnie dokumentacji ochrony infrastruktury. Zgodnie z projektem ustawy musi ona obejmować:
- charakterystykę usługi i infrastruktury, w której świadczona jest usługa,
- ocenę aktualnego stanu ochrony infrastruktury,
- szacowanie ryzyka dla obiektów infrastruktury,
- plan postępowania z ryzykiem,
- opis zabezpieczeń technicznych obiektów infrastruktury,
- zasady organizacji i wykonywania ochrony fizycznej infrastruktury,
- dane o specjalistycznej uzbrojonej formacji ochronnej (jeśli ma zastosowanie).
Co ważne – forma dokumentu (jeden czy wiele plików) zależy od decyzji podmiotu, ale zakres przedmiotowy musi być kompletny i zgodny z ustawą.
Dodatkowe obowiązki dla kierownictwa
Warto zwrócić uwagę na nowy obowiązek corocznego szkolenia z zakresu wykonywania zadań w obszarze cyberbezpieczeństwa osób kierujących podmiotami kluczowymi i ważnymi. Tematyka obejmuje:
- zadania związane z opracowaniem systemu zarządzania bezpieczeństwem informacji,
- zgłaszania incydentów,
- dokumentowania SZBI.
Cel? Utrzymanie aktualnej wiedzy umożliwiającej podejmowanie świadomych decyzji.
Pamiętajmy jednak, że bezpieczeństwo informacji to kompetencja organizacyjna – wszyscy pracownicy powinni rozumieć, jak postępować, gdzie szukać zasad, z czego korzystać, a czego unikać. Właściwy onboarding, dostęp do polityk, prosty język i czytelna nawigacja – to wszystko wpływa na skuteczność SZBI.
Jak zarządzać dokumentacją SZBI?
Ustawa wskazuje jasno:
- dokumentacja może być elektroniczna lub papierowa – ale musi być zabezpieczona,
- dostęp tylko dla osób uprawnionych (zasada „need to know”),
- ochrona przed uszkodzeniem (uszkodzenie papieru czy dysku), zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności,
- obowiązek wersjonowania i identyfikowalności zmian.
To oznacza, że systemy klasy DMS, kontrola dostępu i workflow to nie „dodatki” – to konieczność, jeśli chcemy spełnić wymagania w sposób rzetelny.
SZBI to nie Excel do wypełnienia
Na rynku jest dziś mnóstwo wzorów, gotowych formularzy i checklist. I nie ma w tym nic złego – pod warunkiem, że osoby, które z nich korzystają, rozumieją, co robią. Bo jeśli nie rozumiesz kontekstu – możesz wypełnić wszystko „zgodnie z instrukcją” i nadal nie zabezpieczyć niczego.
Na rynku jest dziś mnóstwo wzorów, gotowych formularzy i checklist. I nie ma w tym nic złego – pod warunkiem, że osoby, które z nich korzystają, rozumieją, co robią. Bo jeśli nie rozumiesz kontekstu – możesz wypełnić wszystko „zgodnie z instrukcją” i nadal nie zabezpieczyć niczego.
Powstają tzw. półkowniki – dokumenty, które lądują na półce. Ich wartość operacyjna jest zerowa.
Tymczasem intencją ustawodawcy nie jest wyprodukowanie tony dokumentów, lecz zapewnienie ciągłości działania i odporności na realne zagrożenia. To znaczy, że SZBI ma żyć w organizacji. Ma być częścią procesów, nie tylko audytów. Tu nie ma co troszczyć się o to, że na „papierze” ma się wszystko zgadzać.
ISO/IEC 27001 – nieobowiązkowe, ale… po prostu warto
Ustawa nie wymaga certyfikacji ISO/IEC 27001. Ale jeśli wdrażasz SZBI, to pójście krok dalej i przejście audytu certyfikacyjnego ma kilka bardzo ważnych zalet:
- Nadaje ramy – ISO/IEC 27001 systematyzuje wdrożenie SZBI, daje punkt odniesienia, ułatwia planowanie. Zadaje pytania na które trzeba znaleźć samemu odpowiedzi.
- Ułatwia utrzymanie – bo narzuca cykl życia systemu: planuj – działaj – sprawdzaj – doskonal.
- Zwiększa wiarygodność – dla klientów, regulatorów, partnerów.
- Ogranicza ryzyko niezgodności – w kontekście ustawy, RODO, NIS2 i przepisów sektorowych.
Nie ma obowiązku – ale jest wartość. To taki krok gdzie jak się powiedziało A to trzeba powiedzieć B.
ISO/IEC 27001 – nieobowiązkowe, ale… po prostu warto
W wielu firmach nadal pokutuje myślenie, że „za bezpieczeństwo odpowiada dział IT”, ale tak w rzeczywistości nie jest. Odpowiadają wszyscy pracownicy firmy. I słusznie. Bo SZBI to nie konfiguracja firewalla. To świadome działania, „kliknięcia” w systemach, decyzje o zarządzaniu ryzykiem, o priorytetach, o alokacji zasobów. To myślenie o swoich działaniach, to decyzje biznesowe, to też działania techniczne.
Na koniec: czego ustawa będzie wymagać naprawdę?
Nie dokumentu, ani nie pdf z napisem „system zarządzania bezpieczeństwem informacji” również nie folderu na dysku nazwanym „SZBI”.
Ustawa wymaga działania. Procesu. Świadomości. Odpowiedzialności.
I to właśnie jest największa zmiana. I szansa. Bo dobrze wdrożony SZBI to nie koszt. To oszczędność: czasu, stresu, odpowiedzialności i pieniędzy – w razie incydentu, którego można było uniknąć.
Chcesz wiedzieć, czy Twoje SZBI działa? Nie patrz w dokumenty. Zapytaj ludzi w organizacji: co zrobią, gdy coś pójdzie nie tak. Jeśli odpowiedzi są różne – czas wdrażać SZBI na nowo. Tym razem naprawdę.