# Ciągłość działania

Ostatnia aktualizacja: 2026-07-12
Wersja HTML (kanoniczna): https://szbihub.pl/wiedza/ciaglosc-dzialania/

---

## TL;DR

- Podmiot kluczowy lub ważny wdraża, dokumentuje, TESTUJE i utrzymuje: plany ciągłości działania umożliwiające ciągłe i niezakłócone świadczenie usługi, plany awaryjne oraz plany odtworzenia działalności po zdarzeniu przekraczającym zdolności odbudowy własnymi środkami (art. 8 ust. 1 pkt 2 lit. f ustawy o KSC).
- Dokumentacja systemu zarządzania ciągłością działania stanowi część dokumentacji normatywnej (art. 10 ust. 3 pkt 3).
- Kontekst unijny: art. 21 ust. 2 lit. c dyrektywy (UE) 2022/2555 wymienia w tym miejscu wprost kopie zapasowe, przywracanie normalnego działania i zarządzanie kryzysowe.
- Czasownik "testuje" stoi w przepisie na równi z "wdraża" - plan bez testu nie spełnia literalnego brzmienia obowiązku.

## Co dokładnie nakazuje ustawa

Art. 8 ust. 1 pkt 2 lit. f wymaga trzech rodzajów planów i czterech czynności wobec każdego z nich.

Plany:

1. **Plany ciągłości działania** - jak świadczyć usługę mimo zakłócenia (tryby awaryjne, procedury ręczne, zasoby zastępcze).
2. **Plany awaryjne** - jak reagować na konkretne scenariusze zdarzeń.
3. **Plany odtworzenia działalności** - jak odbudować działalność po zdarzeniu, które spowodowało straty przekraczające zdolności odbudowy własnymi środkami.

Czynności: wdrażanie, dokumentowanie, testowanie, utrzymywanie. To koniunkcja - wszystkie cztery. Dokument, który nigdy nie był testowany, i test, który nie zostawił zapisu, to dwa różne sposoby niespełnienia tego samego przepisu.

Dokumentacja systemu zarządzania ciągłością działania jest obowiązkowym składnikiem dokumentacji normatywnej (art. 10 ust. 3 pkt 3), a zapisy z testów i przeglądów - dokumentacji operacyjnej (art. 10 ust. 4).

Ustawa nie definiuje parametrów (RTO, RPO, częstotliwość testów) - to warstwa dobrej praktyki. Dyrektywa NIS2 w odpowiadającym przepisie (art. 21 ust. 2 lit. c) wymienia kopie zapasowe, przywracanie normalnego działania i zarządzanie kryzysowe - to kontekst interpretacyjny, nie odrębna podstawa krajowa.

## Jak to wygląda w praktyce małej firmy

Ciągłość działania w firmie 30-150 osób to nie tom BCM-owej dokumentacji korporacyjnej - to odpowiedzi na pięć pytań, spisane i sprawdzone:

1. **Co musi działać, żeby usługa była świadczona?** Lista procesów krytycznych i aktywów, na których stoją (z rejestru aktywów). Dla firmy transportowej: system TMS, telefonia, dostęp do zleceń. Dla producenta: sterowanie linią, system ERP, poczta do klientów.
2. **Ile możemy leżeć i ile danych możemy stracić?** Dwa parametry na proces: docelowy czas odtworzenia (RTO) i akceptowalna utrata danych (RPO). Prostym językiem: "TMS musi wstać w 4 godziny, możemy stracić maksymalnie 1 godzinę wpisów". Parametry ustala kierownik - to decyzje biznesowe, nie techniczne (art. 8d pkt 1-2: decyzje i środki finansowe).
3. **Jak wracamy?** Backupy: co, dokąd, jak często, kto ma dostęp, czy kopia jest odporna na ransomware (kopia offline lub niemodyfikowalna - dobra praktyka). Procedura odtworzenia spisana krok po kroku, z miejscami przechowywania haseł i kontaktami awaryjnymi.
4. **Co robimy w międzyczasie?** Tryb awaryjny: procedury ręczne, komunikacja z klientami, kto decyduje o uruchomieniu trybu (powiązanie z procedurą incydentów - poważna awaria często jest jednocześnie incydentem z art. 2 pkt 7).
5. **Skąd wiemy, że to działa?** Test. Minimum, które ma sens: odtworzenie próbki danych z backupu na czystym środowisku + przejście procedury "na sucho" raz w roku (częstotliwość = nasza praktyka; ustawowe jest samo "testuje").

## Jakie artefakty trzeba mieć

| Artefakt                                                              | Podstawa                                               | Uwagi                                                                  |
| --------------------------------------------------------------------- | ------------------------------------------------------ | ---------------------------------------------------------------------- |
| Plan ciągłości działania (procesy krytyczne, RTO/RPO, tryby awaryjne) | art. 8 ust. 1 pkt 2 lit. f; art. 10 ust. 3 pkt 3       | parametry RTO/RPO = decyzja podmiotu                                   |
| Plany awaryjne dla kluczowych scenariuszy                             | art. 8 ust. 1 pkt 2 lit. f                             | minimum: ransomware, awaria kluczowego systemu, niedostępność dostawcy |
| Plan odtworzenia działalności                                         | art. 8 ust. 1 pkt 2 lit. f                             | scenariusz strat przekraczających zdolności własne                     |
| Zapisy z testów (data, zakres, wynik, wnioski)                        | art. 8 ust. 1 pkt 2 lit. f ("testuje"); art. 10 ust. 4 | test bez zapisu = test, którego nie było                               |
| Procedura backupu i odtwarzania                                       | kontekst: art. 21 ust. 2 lit. c dyrektywy 2022/2555    | dobra praktyka: kopia odporna na ransomware                            |

## Najczęstsze błędy

1. **Plan napisany, nigdy nie testowany.** Przepis wymienia "testuje" wprost (art. 8 ust. 1 pkt 2 lit. f). Pierwszy realny test planu podczas prawdziwej awarii to definicja porażki.
2. **Backup istnieje, odtworzenie nie.** Test kopii zapasowej to odtworzenie danych i uruchomienie usługi, nie zielona ikona w konsoli backupu.
3. **Backup w tej samej infrastrukturze.** Kopia na tym samym serwerze lub w tej samej sieci pada razem z oryginałem (ransomware szyfruje też udziały z backupem). Kopia odseparowana - offline lub niemodyfikowalna - to dobra praktyka, którą trudno pominąć powołując się na proporcjonalność.
4. **RTO/RPO nieustalone albo ustalone przez IT.** "Ile możemy leżeć" to decyzja kierownika o skutkach biznesowych (art. 8d pkt 1), nie preferencja administratora.
5. **Plan zależny od jednej osoby.** Jeżeli procedurę odtworzenia zna wyłącznie administrator, to jego urlop jest pojedynczym punktem awarii planu.
6. **Brak powiązania z incydentami.** Zdarzenie uruchamiające plan ciągłości często jest jednocześnie incydentem poważnym z terminami 24 h / 72 h (art. 11 ust. 1 pkt 4-4a) - oba tory muszą ruszyć równolegle.

## Checklista do odhaczenia

- [ ] Mam listę procesów krytycznych z przypisanymi aktywami
- [ ] Kierownik zatwierdził RTO/RPO dla procesów krytycznych (art. 8d pkt 1)
- [ ] Plan ciągłości działania jest spisany i wchodzi do dokumentacji normatywnej (art. 10 ust. 3 pkt 3)
- [ ] Mam plany awaryjne dla minimum trzech scenariuszy (ransomware, awaria systemu krytycznego, niedostępność dostawcy)
- [ ] Mam plan odtworzenia działalności (art. 8 ust. 1 pkt 2 lit. f)
- [ ] Backup: zakres, harmonogram, kopia odporna na ransomware, dostępy awaryjne - spisane
- [ ] Wykonaliśmy test odtworzenia z zapisem wyniku w ostatnich 12 miesiącach (cykl = nasza praktyka)
- [ ] Procedury zna więcej niż jedna osoba
- [ ] Plan ciągłości jest spięty z procedurą incydentów (wspólne uruchomienie obu torów)

## Pytania i odpowiedzi

**Czy ustawa o KSC wymaga konkretnego RTO/RPO?**
Nie. Art. 8 ust. 1 pkt 2 lit. f wymaga planów umożliwiających ciągłe i niezakłócone świadczenie usługi, ale parametry czasowe ustala podmiot - proporcjonalnie do ryzyka (art. 8 ust. 1 pkt 2). RTO/RPO to język dobrej praktyki, w którym te decyzje się zapisuje.

**Jak często trzeba testować plany?**
Ustawa mówi "testuje i utrzymuje", bez częstotliwości. Rekomendujemy pełny test odtworzenia raz w roku i test po każdej istotnej zmianie infrastruktury - to nasza praktyka, nie wymóg ustawowy.

**Czy backup w chmurze wystarczy?**
Zależy od konfiguracji. Liczy się odporność kopii na scenariusze z planów (w tym ransomware i utratę dostępu do konta chmurowego) oraz przetestowane odtworzenie. Kopia w chmurze z tym samym kontem administracyjnym co produkcja nie jest kopią odseparowaną.

**Czym różni się plan awaryjny od planu odtworzenia działalności?**
Plan awaryjny odpowiada na zdarzenie (jak reagujemy i utrzymujemy usługę); plan odtworzenia działalności dotyczy sytuacji, gdy straty przekraczają zdolności odbudowy własnymi środkami (art. 8 ust. 1 pkt 2 lit. f) - czyli scenariuszy, w których odbudowujesz działalność, nie tylko system.

## Źródła

- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: [isap.sejm.gov.pl (PDF)](https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001560/U/D20181560Lj.pdf)
- Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): [ISAP](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20260000252)
- Dyrektywa (UE) 2022/2555, art. 21 ust. 2 lit. c: [EUR-Lex](https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555)

---

_Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW)._