Nowe rozporządzenie wskazuje rodzaje i zawartość dokumentacji, którą zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, powinien posiadać każdy operator usługi kluczowej. Rozporządzenie wskazuje dwa główne rodzaje dokumentacji: normatywną i operacyjną.

Dokumentację normatywną stanowi dokumentacja przede wszystkim dotycząca:

• systemu zarządzania bezpieczeństwem informacji,
• ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa,
• systemu zarządzania ciągłością działania usługi kluczowej,
• systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Warto wskazać, że powyższe elementy, mimo iż wynikają z obecnych norm i standardów (takich jak PN-EN ISO/IEC 27001 czy też PN-EN ISO 22301), to nie wymagają certyfikacji na zgodność z odpowiednimi normami. Każdy operator może zapewnić zgodność z ww. standardami we własnym zakresie.

Z punktu widzenia ustawy istotna jest tylko dokumentacja dotycząca usługi kluczowej. O ile dobrą praktyką jest dokumentacja bezpieczeństwa całej działalności przedsiębiorcy, o tyle nie jest ona obowiązkowa.

Operator usługi kluczowej, który jest jednocześnie operatorem infrastruktury krytycznej, nie musi tworzyć odrębnej dokumentacji na podstawie projektowanego rozporządzenia.

Dokumentacja operacyjna reguluje procedury, instrukcje i czynności wynikające z dokumentacji normatywnej. Nowe rozporządzenie jest dostępne w Dzienniku Ustaw.