Baza wiedzy - obowiązek KSC
Ciągłość działania
Ciągłość działania w ustawie o KSC (art. 8 ust. 1 pkt 2 lit. f): plany ciągłości, plany awaryjne i odtworzenia, dokumentacja SZCD (art. 10 ust. 3 pkt 3), backupy i praktyka małej firmy.
Status tej treści
TODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.TL;DR
- Podmiot kluczowy lub ważny wdraża, dokumentuje, TESTUJE i utrzymuje: plany ciągłości działania umożliwiające ciągłe i niezakłócone świadczenie usługi, plany awaryjne oraz plany odtworzenia działalności po zdarzeniu przekraczającym zdolności odbudowy własnymi środkami (art. 8 ust. 1 pkt 2 lit. f ustawy o KSC).
- Dokumentacja systemu zarządzania ciągłością działania stanowi część dokumentacji normatywnej (art. 10 ust. 3 pkt 3).
- Kontekst unijny: art. 21 ust. 2 lit. c dyrektywy (UE) 2022/2555 wymienia w tym miejscu wprost kopie zapasowe, przywracanie normalnego działania i zarządzanie kryzysowe.
- Czasownik “testuje” stoi w przepisie na równi z “wdraża” - plan bez testu nie spełnia literalnego brzmienia obowiązku.
Co dokładnie nakazuje ustawa
Art. 8 ust. 1 pkt 2 lit. f wymaga trzech rodzajów planów i czterech czynności wobec każdego z nich.
Plany:
- Plany ciągłości działania - jak świadczyć usługę mimo zakłócenia (tryby awaryjne, procedury ręczne, zasoby zastępcze).
- Plany awaryjne - jak reagować na konkretne scenariusze zdarzeń.
- Plany odtworzenia działalności - jak odbudować działalność po zdarzeniu, które spowodowało straty przekraczające zdolności odbudowy własnymi środkami.
Czynności: wdrażanie, dokumentowanie, testowanie, utrzymywanie. To koniunkcja - wszystkie cztery. Dokument, który nigdy nie był testowany, i test, który nie zostawił zapisu, to dwa różne sposoby niespełnienia tego samego przepisu.
Dokumentacja systemu zarządzania ciągłością działania jest obowiązkowym składnikiem dokumentacji normatywnej (art. 10 ust. 3 pkt 3), a zapisy z testów i przeglądów - dokumentacji operacyjnej (art. 10 ust. 4).
Ustawa nie definiuje parametrów (RTO, RPO, częstotliwość testów) - to warstwa dobrej praktyki. Dyrektywa NIS2 w odpowiadającym przepisie (art. 21 ust. 2 lit. c) wymienia kopie zapasowe, przywracanie normalnego działania i zarządzanie kryzysowe - to kontekst interpretacyjny, nie odrębna podstawa krajowa.
Jak to wygląda w praktyce małej firmy
Ciągłość działania w firmie 30-150 osób to nie tom BCM-owej dokumentacji korporacyjnej - to odpowiedzi na pięć pytań, spisane i sprawdzone:
- Co musi działać, żeby usługa była świadczona? Lista procesów krytycznych i aktywów, na których stoją (z rejestru aktywów). Dla firmy transportowej: system TMS, telefonia, dostęp do zleceń. Dla producenta: sterowanie linią, system ERP, poczta do klientów.
- Ile możemy leżeć i ile danych możemy stracić? Dwa parametry na proces: docelowy czas odtworzenia (RTO) i akceptowalna utrata danych (RPO). Prostym językiem: “TMS musi wstać w 4 godziny, możemy stracić maksymalnie 1 godzinę wpisów”. Parametry ustala kierownik - to decyzje biznesowe, nie techniczne (art. 8d pkt 1-2: decyzje i środki finansowe).
- Jak wracamy? Backupy: co, dokąd, jak często, kto ma dostęp, czy kopia jest odporna na ransomware (kopia offline lub niemodyfikowalna - dobra praktyka). Procedura odtworzenia spisana krok po kroku, z miejscami przechowywania haseł i kontaktami awaryjnymi.
- Co robimy w międzyczasie? Tryb awaryjny: procedury ręczne, komunikacja z klientami, kto decyduje o uruchomieniu trybu (powiązanie z procedurą incydentów - poważna awaria często jest jednocześnie incydentem z art. 2 pkt 7).
- Skąd wiemy, że to działa? Test. Minimum, które ma sens: odtworzenie próbki danych z backupu na czystym środowisku + przejście procedury “na sucho” raz w roku (częstotliwość = nasza praktyka; ustawowe jest samo “testuje”).
Jakie artefakty trzeba mieć
| Artefakt | Podstawa | Uwagi |
|---|---|---|
| Plan ciągłości działania (procesy krytyczne, RTO/RPO, tryby awaryjne) | art. 8 ust. 1 pkt 2 lit. f; art. 10 ust. 3 pkt 3 | parametry RTO/RPO = decyzja podmiotu |
| Plany awaryjne dla kluczowych scenariuszy | art. 8 ust. 1 pkt 2 lit. f | minimum: ransomware, awaria kluczowego systemu, niedostępność dostawcy |
| Plan odtworzenia działalności | art. 8 ust. 1 pkt 2 lit. f | scenariusz strat przekraczających zdolności własne |
| Zapisy z testów (data, zakres, wynik, wnioski) | art. 8 ust. 1 pkt 2 lit. f (“testuje”); art. 10 ust. 4 | test bez zapisu = test, którego nie było |
| Procedura backupu i odtwarzania | kontekst: art. 21 ust. 2 lit. c dyrektywy 2022/2555 | dobra praktyka: kopia odporna na ransomware |
Najczęstsze błędy
- Plan napisany, nigdy nie testowany. Przepis wymienia “testuje” wprost (art. 8 ust. 1 pkt 2 lit. f). Pierwszy realny test planu podczas prawdziwej awarii to definicja porażki.
- Backup istnieje, odtworzenie nie. Test kopii zapasowej to odtworzenie danych i uruchomienie usługi, nie zielona ikona w konsoli backupu.
- Backup w tej samej infrastrukturze. Kopia na tym samym serwerze lub w tej samej sieci pada razem z oryginałem (ransomware szyfruje też udziały z backupem). Kopia odseparowana - offline lub niemodyfikowalna - to dobra praktyka, którą trudno pominąć powołując się na proporcjonalność.
- RTO/RPO nieustalone albo ustalone przez IT. “Ile możemy leżeć” to decyzja kierownika o skutkach biznesowych (art. 8d pkt 1), nie preferencja administratora.
- Plan zależny od jednej osoby. Jeżeli procedurę odtworzenia zna wyłącznie administrator, to jego urlop jest pojedynczym punktem awarii planu.
- Brak powiązania z incydentami. Zdarzenie uruchamiające plan ciągłości często jest jednocześnie incydentem poważnym z terminami 24 h / 72 h (art. 11 ust. 1 pkt 4-4a) - oba tory muszą ruszyć równolegle.
Checklista do odhaczenia
- Mam listę procesów krytycznych z przypisanymi aktywami
- Kierownik zatwierdził RTO/RPO dla procesów krytycznych (art. 8d pkt 1)
- Plan ciągłości działania jest spisany i wchodzi do dokumentacji normatywnej (art. 10 ust. 3 pkt 3)
- Mam plany awaryjne dla minimum trzech scenariuszy (ransomware, awaria systemu krytycznego, niedostępność dostawcy)
- Mam plan odtworzenia działalności (art. 8 ust. 1 pkt 2 lit. f)
- Backup: zakres, harmonogram, kopia odporna na ransomware, dostępy awaryjne - spisane
- Wykonaliśmy test odtworzenia z zapisem wyniku w ostatnich 12 miesiącach (cykl = nasza praktyka)
- Procedury zna więcej niż jedna osoba
- Plan ciągłości jest spięty z procedurą incydentów (wspólne uruchomienie obu torów)
Pytania i odpowiedzi
Czy ustawa o KSC wymaga konkretnego RTO/RPO? Nie. Art. 8 ust. 1 pkt 2 lit. f wymaga planów umożliwiających ciągłe i niezakłócone świadczenie usługi, ale parametry czasowe ustala podmiot - proporcjonalnie do ryzyka (art. 8 ust. 1 pkt 2). RTO/RPO to język dobrej praktyki, w którym te decyzje się zapisuje.
Jak często trzeba testować plany? Ustawa mówi “testuje i utrzymuje”, bez częstotliwości. Rekomendujemy pełny test odtworzenia raz w roku i test po każdej istotnej zmianie infrastruktury - to nasza praktyka, nie wymóg ustawowy.
Czy backup w chmurze wystarczy? Zależy od konfiguracji. Liczy się odporność kopii na scenariusze z planów (w tym ransomware i utratę dostępu do konta chmurowego) oraz przetestowane odtworzenie. Kopia w chmurze z tym samym kontem administracyjnym co produkcja nie jest kopią odseparowaną.
Czym różni się plan awaryjny od planu odtworzenia działalności? Plan awaryjny odpowiada na zdarzenie (jak reagujemy i utrzymujemy usługę); plan odtworzenia działalności dotyczy sytuacji, gdy straty przekraczają zdolności odbudowy własnymi środkami (art. 8 ust. 1 pkt 2 lit. f) - czyli scenariuszy, w których odbudowujesz działalność, nie tylko system.
Źródła
- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF)
- Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): ISAP
- Dyrektywa (UE) 2022/2555, art. 21 ust. 2 lit. c: EUR-Lex
Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).
Podstawa prawna
Numer artykułu ustawy o KSC dla tego obowiązku:art. 8 ust. 1 pkt 2 lit. f, art. 10 ust. 3 pkt 3
Powiązane artefakty w platformie
Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):
document:business-continuity-plan
Powiązane narzędzia
- Kalkulator kwalifikacji KSC - sprawdź, czy ten obowiązek dotyczy Twojego klienta.
- Generator terminów .ics - pobierz ustawowe terminy KSC do kalendarza.
Powiązane artykuły
Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.