Wersja obowiązująca od 2026.07.04

Art. 6zu. [Dokumentacja zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej ] [85] 1. Podmiot krytyczny opracowuje i aktualizuje dokumentację zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej.

2. Dokumentację zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej stanowią:

1) dokumentacja systemu zarządzania bezpieczeństwem informacji;

2) dokumentacja systemu zarządzania ciągłością działania usługi kluczowej;

3) dokumentacja ochrony fizycznej oraz zabezpieczeń technicznych, o których mowa w art. 6zt ust. 1 pkt 2 lit. b, oraz bezpieczeństwa osobowego, o którym mowa w art. 6zt ust. 1 pkt 2 lit. d;

4) dokumentacja ochrony infrastruktury krytycznej, o której mowa w art. 6zf ust. 1;

5) dokumentacja cyberbezpieczeństwa, opracowywana zgodnie z wymogami dla podmiotów kluczowych, o których mowa w przepisach ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;

6) inna dokumentacja niż wskazana w pkt 1–5, biorąc pod uwagę rodzaj świadczonej usługi kluczowej.

3. Dokumentacja jest prowadzona w postaci papierowej lub w postaci elektronicznej.

4. Podmiot krytyczny sporządza dokumentację w terminie 15 miesięcy od dnia otrzymania informacji o wpisie do wykazu podmiotów krytycznych, a następnie stosownie do potrzeb dokonuje jej aktualizacji.

5. Podmiot krytyczny jest obowiązany do ustanowienia nadzoru nad dokumentacją, zapewniającego:

1) dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami;

2) ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności.

6. Podmiot krytyczny przechowuje dokumentację przez co najmniej 2 lata, licząc od dnia 1 stycznia roku następującego po roku jej wycofania z użytkowania lub zakończenia świadczenia usługi kluczowej. Przepisu nie stosuje się do podmiotów podlegających ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164 oraz z 2025 r. poz. 1173).

[85] Rozdział 11 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.

Wersja obowiązująca od 2026.07.04

Art. 6zu. [Dokumentacja zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej ] [85] 1. Podmiot krytyczny opracowuje i aktualizuje dokumentację zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej.

2. Dokumentację zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej stanowią:

1) dokumentacja systemu zarządzania bezpieczeństwem informacji;

2) dokumentacja systemu zarządzania ciągłością działania usługi kluczowej;

3) dokumentacja ochrony fizycznej oraz zabezpieczeń technicznych, o których mowa w art. 6zt ust. 1 pkt 2 lit. b, oraz bezpieczeństwa osobowego, o którym mowa w art. 6zt ust. 1 pkt 2 lit. d;

4) dokumentacja ochrony infrastruktury krytycznej, o której mowa w art. 6zf ust. 1;

5) dokumentacja cyberbezpieczeństwa, opracowywana zgodnie z wymogami dla podmiotów kluczowych, o których mowa w przepisach ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;

6) inna dokumentacja niż wskazana w pkt 1–5, biorąc pod uwagę rodzaj świadczonej usługi kluczowej.

3. Dokumentacja jest prowadzona w postaci papierowej lub w postaci elektronicznej.

4. Podmiot krytyczny sporządza dokumentację w terminie 15 miesięcy od dnia otrzymania informacji o wpisie do wykazu podmiotów krytycznych, a następnie stosownie do potrzeb dokonuje jej aktualizacji.

5. Podmiot krytyczny jest obowiązany do ustanowienia nadzoru nad dokumentacją, zapewniającego:

1) dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami;

2) ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności.

6. Podmiot krytyczny przechowuje dokumentację przez co najmniej 2 lata, licząc od dnia 1 stycznia roku następującego po roku jej wycofania z użytkowania lub zakończenia świadczenia usługi kluczowej. Przepisu nie stosuje się do podmiotów podlegających ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164 oraz z 2025 r. poz. 1173).

[85] Rozdział 11 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.