# Zarządzanie aktywami

Ostatnia aktualizacja: 2026-07-12
Wersja HTML (kanoniczna): https://szbihub.pl/wiedza/zarzadzanie-aktywami/

---

## TL;DR

- Środki SZBI obejmują "zarządzanie aktywami" - ustawa o KSC wymienia je wprost w katalogu środków technicznych i organizacyjnych (art. 8 ust. 1 pkt 2 lit. m).
- Podmiot ważny będący podmiotem publicznym prowadzi inwentaryzację produktów ICT, usług ICT i procesów ICT służących do przetwarzania informacji (załącznik nr 4 do ustawy, cz. I pkt 1, w zw. z art. 8 ust. 3).
- Ustawa nie narzuca formy ani kategorii. Rejestr aktywów z właścicielami i klasyfikacją to dobra praktyka (PN-EN ISO/IEC 27001, zał. A, zabezpieczenia 5.9-5.13).
- Bez rejestru aktywów nie działa reszta systemu: nie da się ocenić ryzyka (art. 8 ust. 1 pkt 1) ani zapanować nad łańcuchem dostaw (art. 8 ust. 1 pkt 2 lit. e) dla zasobów, o których się nie wie.

## Co dokładnie nakazuje ustawa

Przepis jest wyjątkowo lakoniczny: w katalogu środków technicznych i organizacyjnych, które podmiot wdraża w ramach SZBI, art. 8 ust. 1 pkt 2 lit. m wymienia dosłownie "zarządzanie aktywami". Dwa słowa - bez definicji formy, kategorii, narzędzia ani częstotliwości.

Dla jednej grupy podmiotów ustawa jest bardziej konkretna: podmiot ważny będący podmiotem publicznym, który zamiast art. 8 ust. 1 stosuje wymogi załącznika nr 4 (art. 8 ust. 3), prowadzi "inwentaryzację produktów ICT, usług ICT i procesów ICT służących do przetwarzania informacji" (zał. nr 4, cz. I pkt 1).

Wszystko pozostałe - podział na kategorie, właściciele aktywów, klasyfikacja informacji, cykl aktualizacji - to warstwa dobrej praktyki (PN-EN ISO/IEC 27001, zał. A, zabezpieczenia 5.9-5.13), którą przyjmujesz dlatego, że bez niej "zarządzanie aktywami" nie da się wykazać przed kontrolą ani wykorzystać w ocenie ryzyka.

## Jak to wygląda w praktyce małej firmy

Cel praktyczny: jedna, żywa lista wszystkiego, od czego zależy świadczenie usługi. Sensowna ścieżka dla firmy 20-150 osób:

1. **Zbierz stan faktyczny z systemów, nie z pamięci.** Active Directory / Entra ID, konsola M365 lub Google Workspace, lista maszyn u wirtualizatora, panel domen i certyfikatów, lista SaaS z faktur. To daje 80% rejestru w kilka godzin.
2. **Przyjmij prostą taksonomię.** Sprawdza się sześć kategorii: sprzęt, oprogramowanie, dane, personel (role krytyczne), lokalizacje, usługi zewnętrzne. To konwencja porządkująca (w duchu ISO 27001 zał. A 5.9), nie wymóg prawny - możesz przyjąć inną, byle konsekwentnie.
3. **Każdemu aktywu przypisz właściciela.** Osoba, nie dział. Właściciel odpowiada za aktualność wpisu i decyzje o zabezpieczeniach.
4. **Sklasyfikuj dane.** Minimum trzy poziomy (publiczne / wewnętrzne / chronione) wystarczą małej firmie; klasyfikacja informacji to zabezpieczenie 5.12-5.13 zał. A ISO 27001.
5. **Oznacz krytyczność względem usługi.** Które aktywa uczestniczą w procesach wpływających na świadczenie usługi (język art. 8 ust. 1)? To one wchodzą najpierw do oceny ryzyka.
6. **Ustal wyzwalacze aktualizacji.** Zakup/wycofanie sprzętu, nowy SaaS, zmiana dostawcy - wpis do rejestru przy zdarzeniu, przegląd całości cyklicznie.

Usługi zewnętrzne (hosting, poczta, oprogramowanie księgowe w chmurze) są aktywami i jednocześnie wejściem do rejestru dostawców (art. 8 ust. 1 pkt 2 lit. e - osobny artykuł o łańcuchu dostaw). Jeden wpis, dwa konteksty.

## Jakie artefakty trzeba mieć

| Artefakt                                    | Podstawa                                    | Uwagi                                         |
| ------------------------------------------- | ------------------------------------------- | --------------------------------------------- |
| Rejestr aktywów (niepusty, z właścicielami) | art. 8 ust. 1 pkt 2 lit. m                  | forma = dobra praktyka (ISO 27001 zał. A 5.9) |
| Inwentaryzacja produktów/usług/procesów ICT | zał. nr 4 cz. I pkt 1 w zw. z art. 8 ust. 3 | tylko podmiot ważny publiczny                 |
| Klasyfikacja informacji                     | dobra praktyka: ISO 27001 zał. A 5.12-5.13  | minimum 3 poziomy                             |
| Zapisy aktualizacji rejestru                | art. 10 ust. 4                              | dowód, że rejestr żyje                        |

## Najczęstsze błędy

1. **Rejestr z inwentaryzacji księgowej.** Ewidencja środków trwałych to nie rejestr aktywów SZBI: nie ma w niej SaaS-ów, danych, ról ani usług zewnętrznych - a to one generują ryzyko.
2. **Brak właścicieli.** Rejestr bez osób odpowiedzialnych nie wspiera decyzji i umiera po kwartale.
3. **Shadow IT poza rejestrem.** Prywatny Dropbox handlowca i "tymczasowy" VPS developera to dokładnie te aktywa, których brak w rejestrze boli przy incydencie.
4. **Rejestr-snapshot.** Jednorazowy eksport z AD bez wyzwalaczy aktualizacji przestaje być prawdziwy po pierwszym zakupie sprzętu; zapisy z art. 10 ust. 4 mają pokazywać utrzymanie, nie jednorazowy zryw.
5. **Wszystko krytyczne.** Jeśli każda drukarka ma krytyczność "wysoka", ocena ryzyka traci sens. Krytyczność odnosi się do wpływu na świadczenie usługi.

## Checklista do odhaczenia

- [ ] Mam rejestr aktywów obejmujący: sprzęt, oprogramowanie, dane, role krytyczne, lokalizacje, usługi zewnętrzne (art. 8 ust. 1 pkt 2 lit. m)
- [ ] Każde aktywo ma właściciela (osobę)
- [ ] Dane mają klasyfikację (min. 3 poziomy)
- [ ] Aktywa krytyczne dla świadczenia usługi są oznaczone i weszły do oceny ryzyka
- [ ] Usługi zewnętrzne z rejestru aktywów mają odpowiedniki w rejestrze dostawców
- [ ] Są wyzwalacze aktualizacji (zakup, wycofanie, nowy SaaS) + cykliczny przegląd
- [ ] (Podmiot ważny publiczny) inwentaryzacja ICT wg zał. nr 4 cz. I pkt 1

## Pytania i odpowiedzi

**Czy ustawa o KSC wymaga konkretnego narzędzia do rejestru aktywów?**
Nie. Art. 8 ust. 1 pkt 2 lit. m wymaga "zarządzania aktywami", bez wskazania formy. Arkusz, CMDB czy moduł platformy - wybór należy do podmiotu; liczy się kompletność, właściciele i aktualność.

**Czym różni się rejestr aktywów od ewidencji środków trwałych?**
Zakresem i celem. Ewidencja księgowa obejmuje majątek; rejestr aktywów SZBI obejmuje wszystko, od czego zależy usługa i bezpieczeństwo informacji - także dane, usługi chmurowe, licencje i role, które nie mają wartości księgowej.

**Czy mała firma musi inwentaryzować procesy ICT?**
Obowiązek inwentaryzacji produktów, usług i procesów ICT ustawa formułuje wprost dla podmiotów ważnych będących podmiotami publicznymi (zał. nr 4 cz. I pkt 1 w zw. z art. 8 ust. 3). Dla pozostałych podmiotów wynika praktycznie z ogólnego "zarządzania aktywami" (art. 8 ust. 1 pkt 2 lit. m) - w zakresie potrzebnym do oceny ryzyka.

**Od czego zacząć, jeśli nie mamy nic?**
Od eksportu stanu faktycznego z systemów (AD/Entra, M365, wirtualizator, faktury SaaS), nadania właścicieli i oznaczenia krytyczności względem usługi. Pierwsza wersja rejestru w małej firmie to praca na godziny, nie tygodnie.

## Źródła

- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: [isap.sejm.gov.pl (PDF)](https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001560/U/D20181560Lj.pdf)
- Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): [ISAP](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20260000252)
- PN-EN ISO/IEC 27001, zał. A 5.9-5.13 - norma, dobra praktyka, nie przepis

---

_Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW)._