DORA – zarządzanie ryzykiem ICT w polskich podmiotach finansowych

Od 17 stycznia 2025 roku polskie podmioty finansowe działają w nowej rzeczywistości regulacyjnej. Rozporządzenie DORA (Regulation EU 2022/2554) weszło w życie i zaczęło być stosowane – bez okresu przejściowego dla tych, którzy zwlekali z wdrożeniem. Banki, firmy inwestycyjne, zakłady ubezpieczeń i dziesiątki innych kategorii podmiotów muszą teraz spełniać szczegółowe wymagania w zakresie zarządzania ryzykiem ICT, raportowania incydentów i nadzoru nad dostawcami technologicznymi.

DORA – Rozporządzenie (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego – obowiązuje bezpośrednio w Polsce od 17 stycznia 2025 roku. Nakłada na podmioty finansowe obowiązki w pięciu obszarach: zarządzanie ryzykiem ICT, raportowanie incydentów, testowanie odporności, zarządzanie ryzykiem stron trzecich oraz wymiana informacji. Nadzór sprawuje KNF jako właściwy organ krajowy.

Ten alert wyjaśnia, kto podlega DORA, jakie obowiązki są najistotniejsze w pierwszej kolejności oraz jakie kroki należy podjąć natychmiast. Pominięcie tych działań oznacza nie tylko ryzyko sankcji ze strony KNF, ale przede wszystkim utratę zdolności operacyjnej w razie poważnego incydentu ICT.

Kto podlega DORA i jakie progi obowiązują w Polsce?

DORA obejmuje szeroki katalog podmiotów finansowych. Banki, instytucje kredytowe, firmy inwestycyjne, zakłady ubezpieczeń i reasekuracji, instytucje płatnicze, fundusze inwestycyjne oraz dostawcy usług kryptoaktywów – wszystkie te podmioty podlegają rozporządzeniu bezpośrednio. W Polsce oznacza to kilkaset podmiotów nadzorowanych przez KNF.

Rozporządzenie przewiduje zasadę proporcjonalności. Małe i nieinterkonektowane podmioty finansowe mogą stosować uproszczone ramy zarządzania ryzykiem ICT. Jednak definicja „małego podmiotu" jest restrykcyjna – obejmuje wyłącznie instytucje spełniające jednocześnie kilka kryteriów dotyczących sumy bilansowej, przychodów i skali działalności transgranicznej. Większość polskich banków spółdzielczych, towarzystw ubezpieczeń wzajemnych i mniejszych domów maklerskich powinna dokładnie zweryfikować, czy kwalifikuje się do uproszczonego reżimu.

Szczególną uwagę należy zwrócić na dostawców zewnętrznych ICT. DORA wprowadza kategorię „krytycznych dostawców usług ICT" (critical third-party providers – CTPP). Komisja Europejska wyznacza CTPP na poziomie unijnym, a wyznaczeni dostawcy podlegają bezpośredniemu nadzorowi europejskich organów nadzoru (EBA, EIOPA, ESMA). Dla polskich podmiotów finansowych oznacza to konieczność weryfikacji, czy ich kluczowi dostawcy chmurowi lub outsourcingowi figurują lub mogą figurować na liście CTPP.

Warto pamiętać, że DORA nie zastępuje krajowych wymogów KNF dotyczących outsourcingu. Oba reżimy stosuje się równolegle. Podmioty, które dotychczas spełniały wymagania rekomendacji D KNF, muszą teraz uzupełnić swoje ramy o elementy wymagane przez DORA – w szczególności o formalne rejestry umów ICT i szczegółowe strategie wyjścia z relacji z dostawcami.

Jakie obowiązki DORA są najważniejsze dla zarządów polskich podmiotów?

DORA nakłada odpowiedzialność bezpośrednio na organ zarządzający. Zarząd nie może delegować odpowiedzialności za ramy zarządzania ryzykiem ICT wyłącznie na dział IT lub CISO. Rozporządzenie wymaga, aby członkowie zarządu regularnie uczestniczyli w szkoleniach z zakresu ryzyka ICT i aktywnie zatwierdzali polityki bezpieczeństwa. To istotna zmiana w porównaniu z dotychczasową praktyką wielu polskich instytucji finansowych.

Pięć obszarów wymaga natychmiastowej uwagi. Po pierwsze, ramy zarządzania ryzykiem ICT muszą być udokumentowane i zatwierdzone przez zarząd – nie wystarczy odwołanie do polityk IT. Po drugie, klasyfikacja incydentów ICT musi odpowiadać kryteriom określonym w regulacyjnych standardach technicznych (RTS) opracowanych przez EBA. Termin raportowania poważnego incydentu do KNF wynosi 4 godziny od jego wykrycia w przypadku wstępnego powiadomienia. Po trzecie, podmioty objęte zaawansowanym testowaniem (TLPT – Threat-Led Penetration Testing) muszą przeprowadzać testy co najmniej raz na 3 lata.

Zarządzanie ryzykiem stron trzecich to obszar, który generuje największe wyzwania operacyjne. DORA wymaga prowadzenia szczegółowego rejestru wszystkich umów z dostawcami ICT, z podziałem na funkcje krytyczne i niekrytyczne. Umowy z dostawcami wspierającymi funkcje krytyczne muszą zawierać klauzule dotyczące audytu, dostępu do danych i planów ciągłości działania. Podmioty, które zawarły wieloletnie umowy outsourcingowe bez tych klauzul, muszą je renegocjować – a to wymaga czasu i może generować koszty.

Interesującym zagadnieniem jest relacja DORA do AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 roku. Systemy AI wykorzystywane w instytucjach finansowych do oceny ryzyka kredytowego lub wykrywania fraudów są klasyfikowane jako systemy wysokiego ryzyka. Oznacza to podwójną warstwę obowiązków: zarówno wymagania DORA dotyczące odporności ICT, jak i wymogi AI Act dotyczące zgodności systemu AI. Podmioty wdrażające AI w procesach decyzyjnych powinny przeprowadzić ocenę obu reżimów łącznie.

Nie można też pominąć relacji z RODO (Rozporządzenie UE 2016/679). Incydent ICT, który prowadzi do naruszenia danych osobowych, uruchamia jednocześnie obowiązki raportowe wynikające z DORA (do KNF) i RODO (do UODO). Terminy są różne – 4 godziny na wstępne powiadomienie KNF w ramach DORA, 72 godziny na zgłoszenie naruszenia do UODO w ramach RODO. Koordynacja tych procesów musi być zaplanowana z wyprzedzeniem, nie w trakcie kryzysu.

Polska firma fintech z Warszawy, która jesienią 2024 roku zidentyfikowała lukę w procesach raportowania incydentów, zdołała wdrożyć wymagane procedury przed 17 stycznia 2025 roku. Koszt wdrożenia wyniósł ułamek potencjalnej kary. Podmioty, które zwlekały, dziś mierzą się z koniecznością retroaktywnego dostosowania umów i dokumentacji pod presją czasu.

Zarządzanie ryzykiem ICT w ramach DORA to nie projekt jednorazowy. To ciągły proces, który wymaga regularnych przeglądów, aktualizacji polityk i szkoleń. Podmioty, które podejdą do DORA jak do compliance checkbox, szybko odkryją, że KNF oczekuje dowodów na faktyczne funkcjonowanie ram – nie tylko ich istnienia na papierze. Więcej o ochronie danych w kontekście transgranicznym można znaleźć w analizie dotyczącej transferu danych z Polski do ZEA.

Dla podmiotów z sektora technologicznego, które jednocześnie świadczą usługi finansowe i zarządzają własnością intelektualną, pomocna może być również analiza strategii ochrony IP dla firm technologicznych w Polsce. Odpowiedzialność zarządu za zaległości podatkowe, omówiona w kontekście art. 116 Ordynacji podatkowej, stanowi analogię do osobistej odpowiedzialności za naruszenia DORA.

Co zrobić teraz – lista kontrolna dla podmiotów finansowych

Podmioty, które nie zakończyły wdrożenia DORA, tracą każdy dzień. KNF może wszcząć postępowanie nadzorcze w każdej chwili. Poniżej lista działań, które należy podjąć natychmiast.

• Audyt luk (gap analysis): porównaj obecne polityki ICT z wymaganiami DORA i zidentyfikuj obszary niezgodności – termin: nie później niż 30 dni od dziś.
• Rejestr umów ICT: sporządź kompletny rejestr wszystkich umów z dostawcami ICT z podziałem na funkcje krytyczne i niekrytyczne.
• Procedury raportowania incydentów: wdróż i przetestuj procedury umożliwiające wstępne powiadomienie KNF w ciągu 4 godzin od wykrycia poważnego incydentu.
• Szkolenie zarządu: przeprowadź formalne szkolenie członków zarządu z zakresu ryzyka ICT i udokumentuj jego odbycie.
• Przegląd umów z dostawcami: zidentyfikuj umowy wymagające renegocjacji i rozpocznij rozmowy z dostawcami wspierającymi funkcje krytyczne.

Podmiot z sektora ubezpieczeń z Krakowa, który przeprowadził gap analysis w grudniu 2024 roku, odkrył, że ponad 60% umów z dostawcami ICT nie zawierało klauzul wymaganych przez DORA. Renegocjacja kluczowych umów zajęła sześć tygodni. Podmioty, które zaczną ten proces dziś, są w znacznie trudniejszej pozycji negocjacyjnej – dostawcy wiedzą, że czas działa na ich korzyść.

Konkretna sytuacja Państwa podmiotu – liczba dostawców ICT, zakres funkcji krytycznych, stan obecnej dokumentacji – wymaga indywidualnej oceny. Zwlekanie z gap analysis zamyka drogę do spokojnego, etapowego wdrożenia i zastępuje je kosztownym działaniem pod presją nadzoru.

Jeśli Państwa instytucja finansowa nie zakończyła jeszcze wdrożenia DORA lub ma wątpliwości co do zakresu obowiązków – przeprowadzimy gap analysis, ocenimy zgodność umów z dostawcami ICT i przygotujemy plan naprawczy: info@kordeckipartners.com.

Często zadawane pytania

P: Czy DORA dotyczy małych domów maklerskich i instytucji płatniczych w Polsce?

O: Tak, DORA obejmuje co do zasady wszystkie podmioty finansowe wymienione w artykule 2 rozporządzenia, w tym małe domy maklerskie i instytucje płatnicze. Uproszczony reżim zarządzania ryzykiem ICT jest dostępny wyłącznie dla podmiotów spełniających rygorystyczne kryteria proporcjonalności. Każdy podmiot powinien samodzielnie zweryfikować, czy kwalifikuje się do uproszczonego reżimu – błędne założenie może skutkować stwierdzeniem naruszenia przez KNF.

P: Ile kosztuje wdrożenie DORA i jak długo trwa?

O: Koszt i czas wdrożenia zależą od wielkości podmiotu i stanu obecnej dokumentacji ICT. Dla średniej wielkości instytucji finansowej gap analysis i podstawowe wdrożenie zajmuje od 8 do 16 tygodni. Koszty obejmują audyt prawny, dostosowanie umów z dostawcami i ewentualne wdrożenie narzędzi do monitorowania incydentów. Podmioty z aktualną dokumentacją zgodną z rekomendacją D KNF mają znacznie niższe koszty dostosowania niż te, które zaczynają od zera.

P: Czy DORA zastępuje obowiązki wynikające z RODO w zakresie bezpieczeństwa danych?

O: Nie – DORA i RODO (Rozporządzenie UE 2016/679) stosuje się równolegle. DORA reguluje operacyjną odporność cyfrową i raportowanie incydentów ICT do KNF, natomiast RODO nakłada odrębne obowiązki dotyczące ochrony danych osobowych i raportowania naruszeń do UODO w ciągu 72 godzin. W przypadku incydentu ICT obejmującego dane osobowe podmiot musi jednocześnie spełnić wymogi obu rozporządzeń. Brak skoordynowanych procedur jest jednym z najczęstszych błędów wykrywanych podczas audytów.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym DORA, AI Act i RODO. Pracujemy z polskimi instytucjami finansowymi, firmami technologicznymi, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.