Baza wiedzy - obowiązek KSC

Zarządzanie aktywami

Obowiązek zarządzania aktywami w ustawie o KSC (art. 8 ust. 1 pkt 2 lit. m): co obejmuje rejestr aktywów, inwentaryzacja ICT w podmiotach publicznych (zał. nr 4), praktyka i najczęstsze błędy.

Opublikowano: 11 lipca 2026Ostatnia aktualizacja: 12 lipca 2026

Status tej treści

Poniżej znajduje się pełna treść artykułu w wersji roboczej 0.9-draft - przed przeglądem radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md). Mimo formy artykułu poradnikowego nie jest to jeszcze zatwierdzona treść prawna: dopiero po przeglądzie kancelarii treść uzyska status zatwierdzonej. Miejsca oznaczoneTODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.

TL;DR

  • Środki SZBI obejmują “zarządzanie aktywami” - ustawa o KSC wymienia je wprost w katalogu środków technicznych i organizacyjnych (art. 8 ust. 1 pkt 2 lit. m).
  • Podmiot ważny będący podmiotem publicznym prowadzi inwentaryzację produktów ICT, usług ICT i procesów ICT służących do przetwarzania informacji (załącznik nr 4 do ustawy, cz. I pkt 1, w zw. z art. 8 ust. 3).
  • Ustawa nie narzuca formy ani kategorii. Rejestr aktywów z właścicielami i klasyfikacją to dobra praktyka (PN-EN ISO/IEC 27001, zał. A, zabezpieczenia 5.9-5.13).
  • Bez rejestru aktywów nie działa reszta systemu: nie da się ocenić ryzyka (art. 8 ust. 1 pkt 1) ani zapanować nad łańcuchem dostaw (art. 8 ust. 1 pkt 2 lit. e) dla zasobów, o których się nie wie.

Co dokładnie nakazuje ustawa

Przepis jest wyjątkowo lakoniczny: w katalogu środków technicznych i organizacyjnych, które podmiot wdraża w ramach SZBI, art. 8 ust. 1 pkt 2 lit. m wymienia dosłownie “zarządzanie aktywami”. Dwa słowa - bez definicji formy, kategorii, narzędzia ani częstotliwości.

Dla jednej grupy podmiotów ustawa jest bardziej konkretna: podmiot ważny będący podmiotem publicznym, który zamiast art. 8 ust. 1 stosuje wymogi załącznika nr 4 (art. 8 ust. 3), prowadzi “inwentaryzację produktów ICT, usług ICT i procesów ICT służących do przetwarzania informacji” (zał. nr 4, cz. I pkt 1).

Wszystko pozostałe - podział na kategorie, właściciele aktywów, klasyfikacja informacji, cykl aktualizacji - to warstwa dobrej praktyki (PN-EN ISO/IEC 27001, zał. A, zabezpieczenia 5.9-5.13), którą przyjmujesz dlatego, że bez niej “zarządzanie aktywami” nie da się wykazać przed kontrolą ani wykorzystać w ocenie ryzyka.

Jak to wygląda w praktyce małej firmy

Cel praktyczny: jedna, żywa lista wszystkiego, od czego zależy świadczenie usługi. Sensowna ścieżka dla firmy 20-150 osób:

  1. Zbierz stan faktyczny z systemów, nie z pamięci. Active Directory / Entra ID, konsola M365 lub Google Workspace, lista maszyn u wirtualizatora, panel domen i certyfikatów, lista SaaS z faktur. To daje 80% rejestru w kilka godzin.
  2. Przyjmij prostą taksonomię. Sprawdza się sześć kategorii: sprzęt, oprogramowanie, dane, personel (role krytyczne), lokalizacje, usługi zewnętrzne. To konwencja porządkująca (w duchu ISO 27001 zał. A 5.9), nie wymóg prawny - możesz przyjąć inną, byle konsekwentnie.
  3. Każdemu aktywu przypisz właściciela. Osoba, nie dział. Właściciel odpowiada za aktualność wpisu i decyzje o zabezpieczeniach.
  4. Sklasyfikuj dane. Minimum trzy poziomy (publiczne / wewnętrzne / chronione) wystarczą małej firmie; klasyfikacja informacji to zabezpieczenie 5.12-5.13 zał. A ISO 27001.
  5. Oznacz krytyczność względem usługi. Które aktywa uczestniczą w procesach wpływających na świadczenie usługi (język art. 8 ust. 1)? To one wchodzą najpierw do oceny ryzyka.
  6. Ustal wyzwalacze aktualizacji. Zakup/wycofanie sprzętu, nowy SaaS, zmiana dostawcy - wpis do rejestru przy zdarzeniu, przegląd całości cyklicznie.

Usługi zewnętrzne (hosting, poczta, oprogramowanie księgowe w chmurze) są aktywami i jednocześnie wejściem do rejestru dostawców (art. 8 ust. 1 pkt 2 lit. e - osobny artykuł o łańcuchu dostaw). Jeden wpis, dwa konteksty.

Jakie artefakty trzeba mieć

Artefakt Podstawa Uwagi
Rejestr aktywów (niepusty, z właścicielami) art. 8 ust. 1 pkt 2 lit. m forma = dobra praktyka (ISO 27001 zał. A 5.9)
Inwentaryzacja produktów/usług/procesów ICT zał. nr 4 cz. I pkt 1 w zw. z art. 8 ust. 3 tylko podmiot ważny publiczny
Klasyfikacja informacji dobra praktyka: ISO 27001 zał. A 5.12-5.13 minimum 3 poziomy
Zapisy aktualizacji rejestru art. 10 ust. 4 dowód, że rejestr żyje

Najczęstsze błędy

  1. Rejestr z inwentaryzacji księgowej. Ewidencja środków trwałych to nie rejestr aktywów SZBI: nie ma w niej SaaS-ów, danych, ról ani usług zewnętrznych - a to one generują ryzyko.
  2. Brak właścicieli. Rejestr bez osób odpowiedzialnych nie wspiera decyzji i umiera po kwartale.
  3. Shadow IT poza rejestrem. Prywatny Dropbox handlowca i “tymczasowy” VPS developera to dokładnie te aktywa, których brak w rejestrze boli przy incydencie.
  4. Rejestr-snapshot. Jednorazowy eksport z AD bez wyzwalaczy aktualizacji przestaje być prawdziwy po pierwszym zakupie sprzętu; zapisy z art. 10 ust. 4 mają pokazywać utrzymanie, nie jednorazowy zryw.
  5. Wszystko krytyczne. Jeśli każda drukarka ma krytyczność “wysoka”, ocena ryzyka traci sens. Krytyczność odnosi się do wpływu na świadczenie usługi.

Checklista do odhaczenia

  • Mam rejestr aktywów obejmujący: sprzęt, oprogramowanie, dane, role krytyczne, lokalizacje, usługi zewnętrzne (art. 8 ust. 1 pkt 2 lit. m)
  • Każde aktywo ma właściciela (osobę)
  • Dane mają klasyfikację (min. 3 poziomy)
  • Aktywa krytyczne dla świadczenia usługi są oznaczone i weszły do oceny ryzyka
  • Usługi zewnętrzne z rejestru aktywów mają odpowiedniki w rejestrze dostawców
  • Są wyzwalacze aktualizacji (zakup, wycofanie, nowy SaaS) + cykliczny przegląd
  • (Podmiot ważny publiczny) inwentaryzacja ICT wg zał. nr 4 cz. I pkt 1

Pytania i odpowiedzi

Czy ustawa o KSC wymaga konkretnego narzędzia do rejestru aktywów? Nie. Art. 8 ust. 1 pkt 2 lit. m wymaga “zarządzania aktywami”, bez wskazania formy. Arkusz, CMDB czy moduł platformy - wybór należy do podmiotu; liczy się kompletność, właściciele i aktualność.

Czym różni się rejestr aktywów od ewidencji środków trwałych? Zakresem i celem. Ewidencja księgowa obejmuje majątek; rejestr aktywów SZBI obejmuje wszystko, od czego zależy usługa i bezpieczeństwo informacji - także dane, usługi chmurowe, licencje i role, które nie mają wartości księgowej.

Czy mała firma musi inwentaryzować procesy ICT? Obowiązek inwentaryzacji produktów, usług i procesów ICT ustawa formułuje wprost dla podmiotów ważnych będących podmiotami publicznymi (zał. nr 4 cz. I pkt 1 w zw. z art. 8 ust. 3). Dla pozostałych podmiotów wynika praktycznie z ogólnego “zarządzania aktywami” (art. 8 ust. 1 pkt 2 lit. m) - w zakresie potrzebnym do oceny ryzyka.

Od czego zacząć, jeśli nie mamy nic? Od eksportu stanu faktycznego z systemów (AD/Entra, M365, wirtualizator, faktury SaaS), nadania właścicieli i oznaczenia krytyczności względem usługi. Pierwsza wersja rejestru w małej firmie to praca na godziny, nie tygodnie.

Źródła

  • Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF)
  • Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): ISAP
  • PN-EN ISO/IEC 27001, zał. A 5.9-5.13 - norma, dobra praktyka, nie przepis

Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).

Podstawa prawna

Numer artykułu ustawy o KSC dla tego obowiązku:art. 8 ust. 1 pkt 2 lit. m

Powiązane artefakty w platformie

Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):

  • register:assets:non_empty

Powiązane narzędzia

Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.