Czy dokumentacja dotycząca cyberbezpieczeństwa wytwarzana przez operatora usługi kluczowej stanowi „dokumentację archiwalną” w rozumieniu ustawy o narodowym zasobie archiwalnym?

Tak. W przypadku gdy podmiot tworzący dokumentację w zakresie cyberbezpieczeństwa jest podmiotowo objęty przepisem ustawy o archiwach, tzn. gdy dokumentacja powstaje w wyniku działalności innych niepaństwowych jednostek organizacyjnych.

Jakie kroki powinien podjąć operator usługi kluczowej po dwóch latach od wycofania dokumentacji dotyczącej cyberbezpieczeństwa? Czy operator usługi kluczowej może ją po prostu usunąć, czy też powinien przekazać ją do państwowego zasobu archiwalnego zgodnie z art. 44 ustawy o krajowym zasobie archiwalnym?

W sytuacji, gdy operator usługi kluczowej tworzy dokumentację z zakresu cyberbezpieczeństwa systemu informacyjnego powinien przechowywać ją przez co najmniej dwa lata od chwili jej wycofania przez operatora. Natomiast w momencie, gdy dokumentacja powstaje w wyniku działalności niepaństwowej jednostki wtedy sposób postępowania z nią reguluje ustawy o archiwach - Niepaństwowy Zasób Archiwalny, a dokładnie Rozdział 4. Innymi słowy postępowanie z dokumentacją jest zależne od statusu prawnego jednostki i obowiązujących przepisów.