Każdy system informacyjny służący do świadczenia usługi kluczowej musi być zabezpieczony przed ingerencją osób trzecich i awariami. Przygotowane zabezpieczenia należy udokumentować.
Dokumentację w rozumieniu ustawy stanowi:
dokumentacja o stosowanym systemie zarządzania bezpieczeństwem informacji;
dokumentacja ochrony fizycznej i środowiskowej infrastruktury służącej do świadczenia usługi kluczowej (w tym szacowania ryzyka);
dokumentacja zapewnienia ciągłości działania (Business Continuity Management)
dokumentacja techniczna systemu informacyjnego służącego do świadczenia usługi kluczowej.
Szczegółowe wymogi są określone w rozporządzeniu w sprawie rodzajów dokumentacji.
