Baza wiedzy - obowiązek KSC
Zarządzanie aktywami
Obowiązek zarządzania aktywami w ustawie o KSC (art. 8 ust. 1 pkt 2 lit. m): co obejmuje rejestr aktywów, inwentaryzacja ICT w podmiotach publicznych (zał. nr 4), praktyka i najczęstsze błędy.
Status tej treści
TODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.TL;DR
- Środki SZBI obejmują “zarządzanie aktywami” - ustawa o KSC wymienia je wprost w katalogu środków technicznych i organizacyjnych (art. 8 ust. 1 pkt 2 lit. m).
- Podmiot ważny będący podmiotem publicznym prowadzi inwentaryzację produktów ICT, usług ICT i procesów ICT służących do przetwarzania informacji (załącznik nr 4 do ustawy, cz. I pkt 1, w zw. z art. 8 ust. 3).
- Ustawa nie narzuca formy ani kategorii. Rejestr aktywów z właścicielami i klasyfikacją to dobra praktyka (PN-EN ISO/IEC 27001, zał. A, zabezpieczenia 5.9-5.13).
- Bez rejestru aktywów nie działa reszta systemu: nie da się ocenić ryzyka (art. 8 ust. 1 pkt 1) ani zapanować nad łańcuchem dostaw (art. 8 ust. 1 pkt 2 lit. e) dla zasobów, o których się nie wie.
Co dokładnie nakazuje ustawa
Przepis jest wyjątkowo lakoniczny: w katalogu środków technicznych i organizacyjnych, które podmiot wdraża w ramach SZBI, art. 8 ust. 1 pkt 2 lit. m wymienia dosłownie “zarządzanie aktywami”. Dwa słowa - bez definicji formy, kategorii, narzędzia ani częstotliwości.
Dla jednej grupy podmiotów ustawa jest bardziej konkretna: podmiot ważny będący podmiotem publicznym, który zamiast art. 8 ust. 1 stosuje wymogi załącznika nr 4 (art. 8 ust. 3), prowadzi “inwentaryzację produktów ICT, usług ICT i procesów ICT służących do przetwarzania informacji” (zał. nr 4, cz. I pkt 1).
Wszystko pozostałe - podział na kategorie, właściciele aktywów, klasyfikacja informacji, cykl aktualizacji - to warstwa dobrej praktyki (PN-EN ISO/IEC 27001, zał. A, zabezpieczenia 5.9-5.13), którą przyjmujesz dlatego, że bez niej “zarządzanie aktywami” nie da się wykazać przed kontrolą ani wykorzystać w ocenie ryzyka.
Jak to wygląda w praktyce małej firmy
Cel praktyczny: jedna, żywa lista wszystkiego, od czego zależy świadczenie usługi. Sensowna ścieżka dla firmy 20-150 osób:
- Zbierz stan faktyczny z systemów, nie z pamięci. Active Directory / Entra ID, konsola M365 lub Google Workspace, lista maszyn u wirtualizatora, panel domen i certyfikatów, lista SaaS z faktur. To daje 80% rejestru w kilka godzin.
- Przyjmij prostą taksonomię. Sprawdza się sześć kategorii: sprzęt, oprogramowanie, dane, personel (role krytyczne), lokalizacje, usługi zewnętrzne. To konwencja porządkująca (w duchu ISO 27001 zał. A 5.9), nie wymóg prawny - możesz przyjąć inną, byle konsekwentnie.
- Każdemu aktywu przypisz właściciela. Osoba, nie dział. Właściciel odpowiada za aktualność wpisu i decyzje o zabezpieczeniach.
- Sklasyfikuj dane. Minimum trzy poziomy (publiczne / wewnętrzne / chronione) wystarczą małej firmie; klasyfikacja informacji to zabezpieczenie 5.12-5.13 zał. A ISO 27001.
- Oznacz krytyczność względem usługi. Które aktywa uczestniczą w procesach wpływających na świadczenie usługi (język art. 8 ust. 1)? To one wchodzą najpierw do oceny ryzyka.
- Ustal wyzwalacze aktualizacji. Zakup/wycofanie sprzętu, nowy SaaS, zmiana dostawcy - wpis do rejestru przy zdarzeniu, przegląd całości cyklicznie.
Usługi zewnętrzne (hosting, poczta, oprogramowanie księgowe w chmurze) są aktywami i jednocześnie wejściem do rejestru dostawców (art. 8 ust. 1 pkt 2 lit. e - osobny artykuł o łańcuchu dostaw). Jeden wpis, dwa konteksty.
Jakie artefakty trzeba mieć
| Artefakt | Podstawa | Uwagi |
|---|---|---|
| Rejestr aktywów (niepusty, z właścicielami) | art. 8 ust. 1 pkt 2 lit. m | forma = dobra praktyka (ISO 27001 zał. A 5.9) |
| Inwentaryzacja produktów/usług/procesów ICT | zał. nr 4 cz. I pkt 1 w zw. z art. 8 ust. 3 | tylko podmiot ważny publiczny |
| Klasyfikacja informacji | dobra praktyka: ISO 27001 zał. A 5.12-5.13 | minimum 3 poziomy |
| Zapisy aktualizacji rejestru | art. 10 ust. 4 | dowód, że rejestr żyje |
Najczęstsze błędy
- Rejestr z inwentaryzacji księgowej. Ewidencja środków trwałych to nie rejestr aktywów SZBI: nie ma w niej SaaS-ów, danych, ról ani usług zewnętrznych - a to one generują ryzyko.
- Brak właścicieli. Rejestr bez osób odpowiedzialnych nie wspiera decyzji i umiera po kwartale.
- Shadow IT poza rejestrem. Prywatny Dropbox handlowca i “tymczasowy” VPS developera to dokładnie te aktywa, których brak w rejestrze boli przy incydencie.
- Rejestr-snapshot. Jednorazowy eksport z AD bez wyzwalaczy aktualizacji przestaje być prawdziwy po pierwszym zakupie sprzętu; zapisy z art. 10 ust. 4 mają pokazywać utrzymanie, nie jednorazowy zryw.
- Wszystko krytyczne. Jeśli każda drukarka ma krytyczność “wysoka”, ocena ryzyka traci sens. Krytyczność odnosi się do wpływu na świadczenie usługi.
Checklista do odhaczenia
- Mam rejestr aktywów obejmujący: sprzęt, oprogramowanie, dane, role krytyczne, lokalizacje, usługi zewnętrzne (art. 8 ust. 1 pkt 2 lit. m)
- Każde aktywo ma właściciela (osobę)
- Dane mają klasyfikację (min. 3 poziomy)
- Aktywa krytyczne dla świadczenia usługi są oznaczone i weszły do oceny ryzyka
- Usługi zewnętrzne z rejestru aktywów mają odpowiedniki w rejestrze dostawców
- Są wyzwalacze aktualizacji (zakup, wycofanie, nowy SaaS) + cykliczny przegląd
- (Podmiot ważny publiczny) inwentaryzacja ICT wg zał. nr 4 cz. I pkt 1
Pytania i odpowiedzi
Czy ustawa o KSC wymaga konkretnego narzędzia do rejestru aktywów? Nie. Art. 8 ust. 1 pkt 2 lit. m wymaga “zarządzania aktywami”, bez wskazania formy. Arkusz, CMDB czy moduł platformy - wybór należy do podmiotu; liczy się kompletność, właściciele i aktualność.
Czym różni się rejestr aktywów od ewidencji środków trwałych? Zakresem i celem. Ewidencja księgowa obejmuje majątek; rejestr aktywów SZBI obejmuje wszystko, od czego zależy usługa i bezpieczeństwo informacji - także dane, usługi chmurowe, licencje i role, które nie mają wartości księgowej.
Czy mała firma musi inwentaryzować procesy ICT? Obowiązek inwentaryzacji produktów, usług i procesów ICT ustawa formułuje wprost dla podmiotów ważnych będących podmiotami publicznymi (zał. nr 4 cz. I pkt 1 w zw. z art. 8 ust. 3). Dla pozostałych podmiotów wynika praktycznie z ogólnego “zarządzania aktywami” (art. 8 ust. 1 pkt 2 lit. m) - w zakresie potrzebnym do oceny ryzyka.
Od czego zacząć, jeśli nie mamy nic? Od eksportu stanu faktycznego z systemów (AD/Entra, M365, wirtualizator, faktury SaaS), nadania właścicieli i oznaczenia krytyczności względem usługi. Pierwsza wersja rejestru w małej firmie to praca na godziny, nie tygodnie.
Źródła
- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF)
- Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): ISAP
- PN-EN ISO/IEC 27001, zał. A 5.9-5.13 - norma, dobra praktyka, nie przepis
Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).
Podstawa prawna
Numer artykułu ustawy o KSC dla tego obowiązku:art. 8 ust. 1 pkt 2 lit. m
Powiązane artefakty w platformie
Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):
register:assets:non_empty
Powiązane narzędzia
- Kalkulator kwalifikacji KSC - sprawdź, czy ten obowiązek dotyczy Twojego klienta.
- Generator terminów .ics - pobierz ustawowe terminy KSC do kalendarza.
Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.