§ 1.[Dokumentacja dotycząca cyberbezpieczeństwa systemu informacyjnego] Do dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej zalicza się:

1) dokumentację normatywną;

2) dokumentację operacyjną.

§ 2.[Rodzaje dokumentacji normatywnej] Dokumentację, o której mowa w § 1 pkt 1, stanowią:

1) dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami normy PN-EN ISO/IEC 27001;

2) dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa, dotycząca:

a) charakterystyki usługi kluczowej oraz infrastruktury,

b) szacowania ryzyka dla obiektów infrastruktury,

c) oceny aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem),

d) opisu zabezpieczeń technicznych obiektów infrastruktury,

e) zasad organizacji i wykonywania ochrony fizycznej infrastruktury,

f) danych o specjalistycznej uzbrojonej formacji ochronnej, o której mowa w art. 2 pkt 7 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2017 r. poz. 2213 oraz z 2018 r. poz. 138, 650, 1629 i 1669), chroniącej infrastrukturę, jeśli taka formacja występuje;

3) dokumentacja systemu zarządzania ciągłością działania usługi kluczowej wytworzona zgodnie z wymaganiami normy PN-EN ISO 22301;

4) dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

5) dokumentacja wynikająca ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze.

§ 3.[Rodzaje dokumentacji operacyjnej] Dokumentację, o której mowa w § 1 pkt 2, stanowią:

1) dokumentacja dotycząca procedur oraz instrukcji wynikających z dokumentacji normatywnej;

2) opisy sposobów dokumentowania wykonania czynności w ramach ustalonych procedur;

3) dokumentacja poświadczająca każdorazowe wykonanie procedury.

§ 4.[Wejście w życie] Rozporządzenie wchodzi w życie z dniem ogłoszenia.