# Zarządzanie ryzykiem bezpieczeństwa informacji

Ostatnia aktualizacja: 2026-07-12
Wersja HTML (kanoniczna): https://szbihub.pl/wiedza/zarzadzanie-ryzykiem/

---

## TL;DR

- Podmiot kluczowy lub podmiot ważny prowadzi "systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem" (art. 8 ust. 1 pkt 1 ustawy o KSC).
- Wdrażane środki mają być odpowiednie i proporcjonalne do oszacowanego ryzyka - z uwzględnieniem stanu wiedzy, kosztów wdrożenia, wielkości podmiotu, prawdopodobieństwa incydentów i skutków społeczno-gospodarczych (art. 8 ust. 1 pkt 2).
- Trzeba mieć polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne (art. 8 ust. 1 pkt 2 lit. a).
- Wyniki szacowania ryzyka i plan postępowania z ryzykiem wchodzą w skład obowiązkowej dokumentacji (art. 10 ust. 3 pkt 2 lit. c i d).
- Ustawa NIE narzuca metodyki ani skal oceny. Macierz np. 5x5 to dobra praktyka (ISO/IEC 27005, PN-EN ISO/IEC 27001 pkt 6.1.2), nie przepis.

## Co dokładnie nakazuje ustawa

Obowiązek składa się z czterech elementów, każdy z własną podstawą:

1. **Systematyczność (art. 8 ust. 1 pkt 1).** Szacowanie ryzyka ma być prowadzone systematycznie - nie jednorazowo na potrzeby "wdrożenia", tylko jako powtarzalny proces. Ustawa nie definiuje interwału; systematyczność oznacza co najmniej: określony cykl, określone wyzwalacze (nowy system, nowy dostawca, incydent) i zapisy potwierdzające wykonanie.
2. **Proporcjonalność środków (art. 8 ust. 1 pkt 2).** Środki techniczne i organizacyjne mają być "odpowiednie i proporcjonalne do oszacowanego ryzyka", z uwzględnieniem najnowszego stanu wiedzy, kosztów wdrożenia, wielkości podmiotu, prawdopodobieństwa wystąpienia incydentów, narażenia na ryzyka oraz skutków społecznych i gospodarczych. To jest przepis, który chroni małą firmę przed przeinwestowaniem: nikt nie wymaga od 60-osobowej spółki transportowej SOC-a klasy bankowej - wymaga się środków adekwatnych do jej ryzyka.
3. **Polityki (art. 8 ust. 1 pkt 2 lit. a).** "Polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne" - czyli dokument opisujący, JAK szacujesz (kryteria, skale, progi akceptacji) i polityki dziedzinowe tam, gdzie ryzyko tego wymaga.
4. **Udokumentowane wyniki (art. 10 ust. 3 pkt 2 lit. c i d).** Dokumentacja ochrony infrastruktury obejmuje szacowanie ryzyka dla obiektów infrastruktury oraz plan postępowania z ryzykiem. Zapisy potwierdzające wykonywanie czynności stanowią dokumentację operacyjną (art. 10 ust. 4).

Czego w ustawie NIE ma: obowiązkowej metodyki, obowiązkowej skali, obowiązkowego narzędzia. Prowadzony na bieżąco rejestr ryzyk z oceną i planem postępowania to standardowy nośnik tych wyników (dobra praktyka: PN-EN ISO/IEC 27001, pkt 6.1.3 i 8.3) - interpretacja praktyczna, nie cytat przepisu.

## Jak to wygląda w praktyce małej firmy

Realny proces dla podmiotu ważnego bez działu bezpieczeństwa:

1. **Zacznij od aktywów, nie od abstrakcji.** Ryzyko "utrata danych" nic nie znaczy; ryzyko "utrata bazy zleceń w systemie TMS, bo backup nie był testowany od roku" - znaczy wszystko. Dlatego rejestr aktywów (art. 8 ust. 1 pkt 2 lit. m - osobny artykuł) powstaje przed rejestrem ryzyk.
2. **Przyjmij prostą, jawną metodykę.** Skala prawdopodobieństwa 1-5, skala skutku 1-5, wynik = iloczyn, próg akceptacji zapisany w polityce (art. 8 ust. 1 pkt 2 lit. a). Skale i progi to Twoja decyzja (zatwierdza kierownik - art. 8d pkt 1); ważne, żeby były spisane ZANIM zaczniesz oceniać.
3. **Pierwszy przebieg: 5-15 ryzyk, nie 100.** Typowa mała firma jest w stanie sensownie ocenić kilkanaście ryzyk: ransomware, utrata dostępu do M365/poczty, awaria kluczowego systemu, błąd lub odejście administratora, awaria dostawcy hostingu, phishing na księgowość, utrata laptopa z danymi. Sto wierszy wygenerowanych hurtowo to teatr tabelek, który kontrola rozbiera jednym pytaniem: "kiedy państwo ostatnio na to patrzyli?".
4. **Każde ryzyko ponadprogowe dostaje plan postępowania (art. 10 ust. 3 pkt 2 lit. d):** co robimy, kto, do kiedy. Decyzja "akceptujemy" też jest decyzją - zapisaną i podpisaną.
5. **Wracaj do rejestru na zdarzenia.** Nowy dostawca krytyczny, poważny incydent, zmiana systemu - to wyzwalacze aktualizacji. Do tego cykliczny przegląd (nasza praktyka: co 12 miesięcy, razem z przeglądem SZBI).

## Jakie artefakty trzeba mieć

| Artefakt                                            | Podstawa                                         | Uwagi                                                      |
| --------------------------------------------------- | ------------------------------------------------ | ---------------------------------------------------------- |
| Polityka szacowania ryzyka (metodyka, skale, progi) | art. 8 ust. 1 pkt 2 lit. a                       | skale = Twoja decyzja, spisana                             |
| Rejestr ryzyk z oceną                               | art. 8 ust. 1 pkt 1; art. 10 ust. 3 pkt 2 lit. c | forma rejestru = dobra praktyka (ISO 27001 pkt 6.1.3, 8.3) |
| Plan postępowania z ryzykiem                        | art. 10 ust. 3 pkt 2 lit. d                      | dla ryzyk powyżej progu akceptacji                         |
| Zapisy z przeglądów i aktualizacji                  | art. 10 ust. 4                                   | dowód "systematyczności" z art. 8 ust. 1 pkt 1             |

## Najczęstsze błędy

1. **Ocena ryzyka raz, przy wdrożeniu.** Art. 8 ust. 1 pkt 1 mówi "systematyczne". Rejestr z jedną datą modyfikacji sprzed roku sam w sobie jest ustaleniem kontrolnym.
2. **Metodyka pożyczona, nieprzyjęta.** Skopiowana z internetu macierz bez decyzji kierownika i bez progu akceptacji nie jest polityką z art. 8 ust. 1 pkt 2 lit. a - jest plikiem.
3. **Ryzyka bez właścicieli i terminów.** Plan postępowania "wdrożymy MFA" bez osoby i daty to życzenie, nie plan (art. 10 ust. 3 pkt 2 lit. d wymaga planu, a zapisy z art. 10 ust. 4 mają pokazać realizację).
4. **Mylenie proporcjonalności z minimalizmem.** Art. 8 ust. 1 pkt 2 pozwala dobrać środki do skali firmy - ale "proporcjonalnie" nie znaczy "nic". Brak MFA na poczcie w 2026 r. trudno obronić stanem wiedzy, który ten przepis każe uwzględniać.
5. **Sto ryzyk z generatora.** Więcej nie znaczy lepiej: rejestr ma być narzędziem decyzji kierownika (art. 8d pkt 1), nie dowodem objętości.

## Checklista do odhaczenia

- [ ] Mam spisaną politykę szacowania ryzyka: skale, kryteria, próg akceptacji (art. 8 ust. 1 pkt 2 lit. a)
- [ ] Metodykę zatwierdził kierownik (art. 8d pkt 1)
- [ ] Rejestr ryzyk istnieje i ma co najmniej ryzyka dla aktywów krytycznych (art. 8 ust. 1 pkt 1)
- [ ] Każde ryzyko ponad progiem ma plan postępowania z osobą i terminem (art. 10 ust. 3 pkt 2 lit. d)
- [ ] Decyzje o akceptacji ryzyka są zapisane i podpisane
- [ ] Mam zdefiniowane wyzwalacze aktualizacji (incydent, nowy system, nowy dostawca) i cykl przeglądu
- [ ] Zapisy z przeglądów trafiają do dokumentacji operacyjnej (art. 10 ust. 4)

## Pytania i odpowiedzi

**Czy ustawa wymaga konkretnej metodyki oceny ryzyka (np. ISO 27005)?**
Nie. Ustawa wymaga systematycznego szacowania (art. 8 ust. 1 pkt 1) i polityk szacowania ryzyka (art. 8 ust. 1 pkt 2 lit. a), ale nie wskazuje metodyki. ISO/IEC 27005 i macierz prawdopodobieństwo x skutek to dobra praktyka - wybór i parametry należą do podmiotu.

**Ile ryzyk powinno być w rejestrze małej firmy?**
Ustawa nie podaje liczby. Praktycznie: pierwszy przebieg 5-15 ryzyk osadzonych na realnych aktywach daje się utrzymać i obronić; rejestr rośnie z systemem, nie odwrotnie.

**Jak często aktualizować ocenę ryzyka?**
Ustawa mówi "systematycznie", bez interwału (art. 8 ust. 1 pkt 1). Rekomendujemy przegląd co 12 miesięcy plus aktualizacje po zdarzeniach (incydent poważny, istotna zmiana systemu lub dostawcy) - to nasza praktyka, spójna z PN-EN ISO/IEC 27001 pkt 8.2, nie wymóg ustawowy.

**Czy mogę zaakceptować ryzyko i nic nie robić?**
Możesz - jeżeli mieści się w progu akceptacji przyjętym w Twojej polityce i decyzja jest udokumentowana. Świadoma, zapisana akceptacja jest legalnym wynikiem zarządzania ryzykiem; brak jakiejkolwiek decyzji nie jest.

## Źródła

- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: [isap.sejm.gov.pl (PDF)](https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001560/U/D20181560Lj.pdf)
- Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): [ISAP](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20260000252)
- PN-EN ISO/IEC 27001 pkt 6.1.2-6.1.3, 8.2-8.3; ISO/IEC 27005 - normy, dobra praktyka, nie przepis

---

_Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW)._