Od 17 stycznia 2025 roku rozporządzenie DORA (Regulation EU 2022/2554) obowiązuje w całej Unii Europejskiej – bez okresu przejściowego, bez możliwości opóźnienia. Polskie instytucje finansowe nadzorowane przez KNF stanęły przed twardym wymogiem: pełna gotowość operacyjna w zakresie odporności cyfrowej albo ryzyko sankcji. W praktyce wiele podmiotów wciąż nie domknęło kluczowych luk.
DORA (Rozporządzenie UE 2022/2554) nakłada na podmioty sektora finansowego obowiązki w zakresie zarządzania ryzykiem ICT, raportowania incydentów oraz nadzoru nad dostawcami usług technologicznych. Rozporządzenie weszło w życie 17 stycznia 2025 roku i obowiązuje bezpośrednio we wszystkich państwach UE. KNF jest właściwym organem nadzorczym w Polsce.
Ten alert wyjaśnia, kto podlega DORA, jakie progi decydują o zakresie obowiązków oraz co należy zrobić natychmiast. Struktura jest prosta: najpierw zakres podmiotowy, potem lista działań.
Co zmieniło się 17 stycznia 2025 roku?
Przed wejściem DORA w życie zarządzanie ryzykiem ICT w sektorze finansowym regulowały krajowe przepisy i wytyczne EBA, ESMA oraz EIOPA. Były one niespójne i pozostawiały podmiotom dużą swobodę interpretacyjną. DORA ujednolica te wymagania na poziomie całej UE – jako rozporządzenie stosuje się bezpośrednio, bez potrzeby implementacji krajowej.
Zmiana jest fundamentalna. Dotychczas incydent ICT można było zgłosić organowi nadzoru w ciągu kilku dni roboczych. DORA wprowadza trójstopniowy system raportowania: wstępne powiadomienie w ciągu 4 godzin od sklasyfikowania incydentu jako poważny, raport pośredni w ciągu 72 godzin, raport końcowy w ciągu miesiąca. KNF oczekuje pełnej dokumentacji na każdym etapie.
Równie istotna jest zmiana w podejściu do dostawców ICT. DORA nakłada obowiązek prowadzenia rejestru umów z dostawcami usług technologicznych oraz przeprowadzania oceny ryzyka koncentracji. Kluczowi dostawcy ICT – tzw. CTPP (critical third-party providers) – podlegają bezpośredniemu nadzorowi europejskich organów (ESA). To oznacza, że umowy z dostawcami chmury czy systemów transakcyjnych wymagają przeglądu pod kątem klauzul DORA.
Warto też pamiętać, że DORA funkcjonuje obok RODO (Rozporządzenie UE 2016/679) i AI Act (Rozporządzenie UE 2024/1689). Incydent ICT może jednocześnie być naruszeniem ochrony danych osobowych – wtedy obowiązują dwa równoległe reżimy raportowania. Firmy z ekspozycją na technologie AI powinny monitorować oba akty łącznie.
Kto musi wdrożyć DORA i jakie progi obowiązują?
DORA obejmuje ponad 20 kategorii podmiotów finansowych. Zakres jest szerszy, niż większość firm zakłada przy pierwszej lekturze. Obowiązek dotyczy banków, zakładów ubezpieczeń, firm inwestycyjnych, instytucji płatniczych, funduszy inwestycyjnych, platform crowdfundingowych oraz – co istotne – dostawców usług kryptoaktywów (CASP) licencjonowanych na podstawie MiCA.
Rozporządzenie przewiduje zasadę proporcjonalności. Małe i nieinterkonektowane podmioty mogą stosować uproszczony reżim zarządzania ryzykiem ICT. Próg „małego podmiotu" zależy od kategorii: dla firm inwestycyjnych kryterium to suma bilansowa poniżej 100 mln EUR oraz brak statusu podmiotu systemowego. Dla instytucji płatniczych – liczba transakcji i wartość przetwarzanych środków.
Kto nie podlega DORA? Rozporządzenie wyłącza wprost m.in. zakłady ubezpieczeń wzajemnych poniżej określonych progów, małe instytucje pracownicze programów emerytalnych oraz – co zaskakuje część rynku – agentów ubezpieczeniowych działających na rzecz jednego ubezpieczyciela. Jednak każde wyłączenie wymaga weryfikacji w kontekście konkretnej działalności. Błędne założenie o wyłączeniu to jeden z najczęstszych błędów compliance w 2025 roku.
Podmioty spoza sektora finansowego – np. firmy technologiczne dostarczające oprogramowanie bankom – nie podlegają DORA bezpośrednio. Jednak ich umowy z podmiotami objętymi rozporządzeniem muszą zawierać klauzule zgodności z DORA. W praktyce dostawca IT obsługujący instytucję finansową musi dostosować kontrakty i procesy, nawet jeśli sam nie jest adresatem rozporządzenia. Brak dostosowania grozi utratą kontraktu.
- Sprawdź, czy Twoja firma figuruje w rejestrze podmiotów nadzorowanych przez KNF
- Zweryfikuj umowy z dostawcami ICT pod kątem klauzul DORA (audyt kontraktowy)
- Wdróż procedury raportowania incydentów ICT zgodne z wymogami 4h/72h/30 dni
- Przeprowadź testy odporności cyfrowej – DORA wymaga TLPT (threat-led penetration testing) dla większych podmiotów
- Oceń ryzyko koncentracji u dostawców chmury i innych usług krytycznych
Firmy z ekspozycją transgraniczną – np. polskie oddziały grup finansowych z siedzibą w Niemczech lub Francji – podlegają DORA zarówno na poziomie grupy, jak i lokalnym. Koordynacja z centralą jest niezbędna, ale KNF ocenia gotowość polskiego podmiotu niezależnie. Zagraniczny inwestor wchodzący na rynek polski powinien uwzględnić ten aspekt już na etapie due diligence. Pomocne jest tu podejście do oceny ryzyka regulacyjnego stosowane przy sankcjach, które można zaadaptować do mapowania ryzyka ICT.
Firmy technologiczne z Rumunii i Węgier działające na polskim rynku finansowym powinny zapoznać się z naszymi analizami dotyczącymi ochrony IP i compliance: strategia IP dla firm rumuńskich w Polsce oraz strategia IP dla firm węgierskich w Polsce – oba materiały omawiają aspekty regulacyjne wejścia na rynek.
Konkretna sytuacja Państwa firmy może oznaczać, że obowiązki DORA dotyczą jej w pełnym lub ograniczonym zakresie – a błędna ocena grozi sankcjami KNF bez możliwości korekty wstecznej. Każdy miesiąc zwłoki w wdrożeniu to nieodwracalne ryzyko odpowiedzialności regulacyjnej.
Jeśli Państwa firma działa w sektorze finansowym lub dostarcza usługi ICT instytucjom finansowym – przeprowadzimy ocenę zakresu obowiązków DORA, audyt umów z dostawcami oraz weryfikację procedur raportowania incydentów: info@kordeckipartners.com.
Często zadawane pytania
P: Czy DORA dotyczy małych firm fintech, które dopiero uzyskały licencję KNF?
O: Tak – każdy podmiot licencjonowany przez KNF jako instytucja płatnicza, firma inwestycyjna lub dostawca usług kryptoaktywów podlega DORA od 17 stycznia 2025 roku. Małe podmioty mogą korzystać z uproszczonego reżimu zarządzania ryzykiem ICT, ale nie są wyłączone z rozporządzenia. Weryfikacja statusu powinna nastąpić niezwłocznie – ustawa o fundacji rodzinnej czy przepisy kodeksu spółek handlowych nie modyfikują zakresu DORA.
P: Jakie są kary za naruszenie DORA w Polsce?
O: DORA nie harmonizuje wysokości sankcji – każde państwo członkowskie ustala je we własnym prawie krajowym. W Polsce KNF dysponuje uprawnieniami nadzorczymi wynikającymi z ustaw sektorowych, w tym możliwością nałożenia kar pieniężnych, cofnięcia licencji lub wydania publicznego ostrzeżenia. Rozporządzenie zobowiązuje organy do stosowania sankcji skutecznych, proporcjonalnych i odstraszających. Pierwsze postępowania nadzorcze w UE spodziewane są w drugiej połowie 2025 roku.
P: Czy firma IT dostarczająca oprogramowanie bankowi musi wdrożyć DORA?
O: Bezpośrednio – nie, jeśli sama nie jest podmiotem finansowym. Jednak bank jako klient jest zobowiązany do zawarcia w umowie z dostawcą IT klauzul wymaganych przez DORA (m.in. prawo do audytu, wymogi dotyczące ciągłości działania, zasady raportowania incydentów). W praktyce oznacza to, że dostawca IT musi dostosować swoje procesy i kontrakty, aby spełnić wymagania klienta. Brak dostosowania skutkuje ryzykiem utraty kontraktu lub koniecznością jego renegocjacji.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji cyfrowych, compliance ICT i wdrożeń DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.