Art. 10. 1. Podmiot kluczowy lub podmiot ważny opracowuje, stosuje i aktualizuje dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi. 2. Do dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, o której mowa w ust. 1, zalicza się:
1) dokumentację normatywną;
2) dokumentację operacyjną. 3. Dokumentację normatywną stanowią:
1) dokumentacja systemu zarządzania bezpieczeństwem informacji;
2) dokumentacja ochrony infrastruktury, z wykorzystaniem której jest świadczona usługa, obejmująca:
a) charakterystykę usługi oraz infrastruktury, w której świadczona jest usługa,
b) ocenę aktualnego stanu ochrony infrastruktury,
c) szacowanie ryzyka dla obiektów infrastruktury,
d) plan postępowania z ryzykiem,
e) opis zabezpieczeń technicznych obiektów infrastruktury,
f) zasady organizacji i wykonywania ochrony fizycznej infrastruktury,
g) dane o specjalistycznej uzbrojonej formacji ochronnej, o której mowa w art. 2 pkt 7 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2025 r. poz. 532), chroniącej infrastrukturę – jeżeli występuje;
3) dokumentacja systemu zarządzania ciągłością działania;
4) dokumentacja techniczna systemu informacyjnego wykorzystywanego w procesie świadczenia usługi;
5) dokumentacja wynikająca ze specyfiki świadczonej usługi w danym sektorze lub podsektorze. 4. Dokumentację operacyjną stanowią zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym automatycznie generowane zapisy w dziennikach systemów informacyjnych. 5. Dokumentacja dotycząca bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi może być prowadzona w postaci papierowej lub w postaci elektronicznej. 6. Podmiot kluczowy lub podmiot ważny jest obowiązany do ustanowienia nadzoru nad dokumentacją dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, zapewniającego:
1) dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami;
2) ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności;
3) oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach. 7. Podmiot kluczowy lub podmiot ważny przechowuje dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi przez okres co najmniej 2 lat od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi, liczony od dnia 1 stycznia roku następującego po roku, w którym wygasa okres jej przechowywania. Przepisu nie stosuje się do podmiotów podlegających ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164 oraz z 2025 r. poz. 1173). 8. Zniszczenie wycofanej z użytkowania dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi potwierdza się protokołem brakowania zawierającym w szczególności: datę protokołu, oznaczenie niszczonej dokumentacji, opis sposobu zniszczenia, dane osoby zatwierdzającej protokół. Protokoły brakowania dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi są przechowywane w sposób trwały.