Baza wiedzy - obowiązek KSC

Ciągłość działania

Ciągłość działania w ustawie o KSC (art. 8 ust. 1 pkt 2 lit. f): plany ciągłości, plany awaryjne i odtworzenia, dokumentacja SZCD (art. 10 ust. 3 pkt 3), backupy i praktyka małej firmy.

Opublikowano: 11 lipca 2026Ostatnia aktualizacja: 12 lipca 2026

Status tej treści

Poniżej znajduje się pełna treść artykułu w wersji roboczej 0.9-draft - przed przeglądem radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md). Mimo formy artykułu poradnikowego nie jest to jeszcze zatwierdzona treść prawna: dopiero po przeglądzie kancelarii treść uzyska status zatwierdzonej. Miejsca oznaczoneTODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.

TL;DR

  • Podmiot kluczowy lub ważny wdraża, dokumentuje, TESTUJE i utrzymuje: plany ciągłości działania umożliwiające ciągłe i niezakłócone świadczenie usługi, plany awaryjne oraz plany odtworzenia działalności po zdarzeniu przekraczającym zdolności odbudowy własnymi środkami (art. 8 ust. 1 pkt 2 lit. f ustawy o KSC).
  • Dokumentacja systemu zarządzania ciągłością działania stanowi część dokumentacji normatywnej (art. 10 ust. 3 pkt 3).
  • Kontekst unijny: art. 21 ust. 2 lit. c dyrektywy (UE) 2022/2555 wymienia w tym miejscu wprost kopie zapasowe, przywracanie normalnego działania i zarządzanie kryzysowe.
  • Czasownik “testuje” stoi w przepisie na równi z “wdraża” - plan bez testu nie spełnia literalnego brzmienia obowiązku.

Co dokładnie nakazuje ustawa

Art. 8 ust. 1 pkt 2 lit. f wymaga trzech rodzajów planów i czterech czynności wobec każdego z nich.

Plany:

  1. Plany ciągłości działania - jak świadczyć usługę mimo zakłócenia (tryby awaryjne, procedury ręczne, zasoby zastępcze).
  2. Plany awaryjne - jak reagować na konkretne scenariusze zdarzeń.
  3. Plany odtworzenia działalności - jak odbudować działalność po zdarzeniu, które spowodowało straty przekraczające zdolności odbudowy własnymi środkami.

Czynności: wdrażanie, dokumentowanie, testowanie, utrzymywanie. To koniunkcja - wszystkie cztery. Dokument, który nigdy nie był testowany, i test, który nie zostawił zapisu, to dwa różne sposoby niespełnienia tego samego przepisu.

Dokumentacja systemu zarządzania ciągłością działania jest obowiązkowym składnikiem dokumentacji normatywnej (art. 10 ust. 3 pkt 3), a zapisy z testów i przeglądów - dokumentacji operacyjnej (art. 10 ust. 4).

Ustawa nie definiuje parametrów (RTO, RPO, częstotliwość testów) - to warstwa dobrej praktyki. Dyrektywa NIS2 w odpowiadającym przepisie (art. 21 ust. 2 lit. c) wymienia kopie zapasowe, przywracanie normalnego działania i zarządzanie kryzysowe - to kontekst interpretacyjny, nie odrębna podstawa krajowa.

Jak to wygląda w praktyce małej firmy

Ciągłość działania w firmie 30-150 osób to nie tom BCM-owej dokumentacji korporacyjnej - to odpowiedzi na pięć pytań, spisane i sprawdzone:

  1. Co musi działać, żeby usługa była świadczona? Lista procesów krytycznych i aktywów, na których stoją (z rejestru aktywów). Dla firmy transportowej: system TMS, telefonia, dostęp do zleceń. Dla producenta: sterowanie linią, system ERP, poczta do klientów.
  2. Ile możemy leżeć i ile danych możemy stracić? Dwa parametry na proces: docelowy czas odtworzenia (RTO) i akceptowalna utrata danych (RPO). Prostym językiem: “TMS musi wstać w 4 godziny, możemy stracić maksymalnie 1 godzinę wpisów”. Parametry ustala kierownik - to decyzje biznesowe, nie techniczne (art. 8d pkt 1-2: decyzje i środki finansowe).
  3. Jak wracamy? Backupy: co, dokąd, jak często, kto ma dostęp, czy kopia jest odporna na ransomware (kopia offline lub niemodyfikowalna - dobra praktyka). Procedura odtworzenia spisana krok po kroku, z miejscami przechowywania haseł i kontaktami awaryjnymi.
  4. Co robimy w międzyczasie? Tryb awaryjny: procedury ręczne, komunikacja z klientami, kto decyduje o uruchomieniu trybu (powiązanie z procedurą incydentów - poważna awaria często jest jednocześnie incydentem z art. 2 pkt 7).
  5. Skąd wiemy, że to działa? Test. Minimum, które ma sens: odtworzenie próbki danych z backupu na czystym środowisku + przejście procedury “na sucho” raz w roku (częstotliwość = nasza praktyka; ustawowe jest samo “testuje”).

Jakie artefakty trzeba mieć

Artefakt Podstawa Uwagi
Plan ciągłości działania (procesy krytyczne, RTO/RPO, tryby awaryjne) art. 8 ust. 1 pkt 2 lit. f; art. 10 ust. 3 pkt 3 parametry RTO/RPO = decyzja podmiotu
Plany awaryjne dla kluczowych scenariuszy art. 8 ust. 1 pkt 2 lit. f minimum: ransomware, awaria kluczowego systemu, niedostępność dostawcy
Plan odtworzenia działalności art. 8 ust. 1 pkt 2 lit. f scenariusz strat przekraczających zdolności własne
Zapisy z testów (data, zakres, wynik, wnioski) art. 8 ust. 1 pkt 2 lit. f (“testuje”); art. 10 ust. 4 test bez zapisu = test, którego nie było
Procedura backupu i odtwarzania kontekst: art. 21 ust. 2 lit. c dyrektywy 2022/2555 dobra praktyka: kopia odporna na ransomware

Najczęstsze błędy

  1. Plan napisany, nigdy nie testowany. Przepis wymienia “testuje” wprost (art. 8 ust. 1 pkt 2 lit. f). Pierwszy realny test planu podczas prawdziwej awarii to definicja porażki.
  2. Backup istnieje, odtworzenie nie. Test kopii zapasowej to odtworzenie danych i uruchomienie usługi, nie zielona ikona w konsoli backupu.
  3. Backup w tej samej infrastrukturze. Kopia na tym samym serwerze lub w tej samej sieci pada razem z oryginałem (ransomware szyfruje też udziały z backupem). Kopia odseparowana - offline lub niemodyfikowalna - to dobra praktyka, którą trudno pominąć powołując się na proporcjonalność.
  4. RTO/RPO nieustalone albo ustalone przez IT. “Ile możemy leżeć” to decyzja kierownika o skutkach biznesowych (art. 8d pkt 1), nie preferencja administratora.
  5. Plan zależny od jednej osoby. Jeżeli procedurę odtworzenia zna wyłącznie administrator, to jego urlop jest pojedynczym punktem awarii planu.
  6. Brak powiązania z incydentami. Zdarzenie uruchamiające plan ciągłości często jest jednocześnie incydentem poważnym z terminami 24 h / 72 h (art. 11 ust. 1 pkt 4-4a) - oba tory muszą ruszyć równolegle.

Checklista do odhaczenia

  • Mam listę procesów krytycznych z przypisanymi aktywami
  • Kierownik zatwierdził RTO/RPO dla procesów krytycznych (art. 8d pkt 1)
  • Plan ciągłości działania jest spisany i wchodzi do dokumentacji normatywnej (art. 10 ust. 3 pkt 3)
  • Mam plany awaryjne dla minimum trzech scenariuszy (ransomware, awaria systemu krytycznego, niedostępność dostawcy)
  • Mam plan odtworzenia działalności (art. 8 ust. 1 pkt 2 lit. f)
  • Backup: zakres, harmonogram, kopia odporna na ransomware, dostępy awaryjne - spisane
  • Wykonaliśmy test odtworzenia z zapisem wyniku w ostatnich 12 miesiącach (cykl = nasza praktyka)
  • Procedury zna więcej niż jedna osoba
  • Plan ciągłości jest spięty z procedurą incydentów (wspólne uruchomienie obu torów)

Pytania i odpowiedzi

Czy ustawa o KSC wymaga konkretnego RTO/RPO? Nie. Art. 8 ust. 1 pkt 2 lit. f wymaga planów umożliwiających ciągłe i niezakłócone świadczenie usługi, ale parametry czasowe ustala podmiot - proporcjonalnie do ryzyka (art. 8 ust. 1 pkt 2). RTO/RPO to język dobrej praktyki, w którym te decyzje się zapisuje.

Jak często trzeba testować plany? Ustawa mówi “testuje i utrzymuje”, bez częstotliwości. Rekomendujemy pełny test odtworzenia raz w roku i test po każdej istotnej zmianie infrastruktury - to nasza praktyka, nie wymóg ustawowy.

Czy backup w chmurze wystarczy? Zależy od konfiguracji. Liczy się odporność kopii na scenariusze z planów (w tym ransomware i utratę dostępu do konta chmurowego) oraz przetestowane odtworzenie. Kopia w chmurze z tym samym kontem administracyjnym co produkcja nie jest kopią odseparowaną.

Czym różni się plan awaryjny od planu odtworzenia działalności? Plan awaryjny odpowiada na zdarzenie (jak reagujemy i utrzymujemy usługę); plan odtworzenia działalności dotyczy sytuacji, gdy straty przekraczają zdolności odbudowy własnymi środkami (art. 8 ust. 1 pkt 2 lit. f) - czyli scenariuszy, w których odbudowujesz działalność, nie tylko system.

Źródła

  • Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF)
  • Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): ISAP
  • Dyrektywa (UE) 2022/2555, art. 21 ust. 2 lit. c: EUR-Lex

Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).

Podstawa prawna

Numer artykułu ustawy o KSC dla tego obowiązku:art. 8 ust. 1 pkt 2 lit. f, art. 10 ust. 3 pkt 3

Powiązane artefakty w platformie

Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):

  • document:business-continuity-plan

Powiązane narzędzia

Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.