Od 17 stycznia 2025 roku polskie podmioty finansowe działają w nowym reżimie prawnym. Rozporządzenie DORA (Digital Operational Resilience Act, Rozporządzenie UE 2022/2554) obowiązuje bezpośrednio – bez potrzeby implementacji przez polskiego ustawodawcę. Kto nie wdrożył wymaganych procedur zarządzania ryzykiem ICT, działa dziś w obszarze niezgodności z prawem unijnym. To nie jest kwestia przyszłości.

DORA nakłada na podmioty finansowe obowiązek wdrożenia kompleksowych ram zarządzania ryzykiem ICT, zgłaszania poważnych incydentów do Komisji Nadzoru Finansowego (KNF) oraz przeprowadzania testów odporności cyfrowej. Rozporządzenie weszło w życie 17 stycznia 2025 roku i obowiązuje bezpośrednio we wszystkich państwach UE, w tym w Polsce. Brak wdrożenia oznacza ryzyko sankcji nadzorczych ze strony KNF oraz odpowiedzialność zarządu za naruszenie obowiązków regulacyjnych.

Poniżej omawiamy trzy zagadnienia: co dokładnie zmieniło się po 17 stycznia 2025 r., kogo dotyczą nowe obowiązki i jakie działania należy podjąć natychmiast. Alert kierujemy do zarządów, dyrektorów IT i działów compliance instytucji finansowych działających na rynku polskim.

Co zmieniło się po 17 stycznia 2025 r.?

DORA zastąpiła mozaikę krajowych wytycznych dotyczących bezpieczeństwa ICT jednolitym europejskim frameworkiem. Przed wejściem rozporządzenia w życie polskie banki, zakłady ubezpieczeń i firmy inwestycyjne stosowały rekomendacje KNF – przydatne, ale niewiążące prawnie w takim stopniu jak rozporządzenie unijne. Dziś obowiązuje jeden standard, egzekwowalny przez KNF jako właściwy organ nadzoru.

Rozporządzenie wprowadza pięć filarów obowiązkowego zarządzania ryzykiem ICT. Każdy podmiot objęty zakresem DORA musi wdrożyć:

  • ramy zarządzania ryzykiem ICT z udokumentowaną polityką i procedurami,
  • system klasyfikacji i zgłaszania poważnych incydentów ICT do KNF,
  • program testowania odporności cyfrowej (w tym testy penetracyjne TLPT dla największych podmiotów),
  • zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT (w tym klauzule umowne z dostawcami chmurowymi),
  • wymianę informacji o cyberzagrożeniach w ramach sektorowych mechanizmów.

W praktyce – wiele firm o tym zapomina – DORA dotyczy nie tylko działów IT. Zarząd odpowiada za zatwierdzenie polityki ICT i nadzór nad jej realizacją. Odpowiedzialność jest osobista i nie może być delegowana wyłącznie na CISO czy dyrektora operacyjnego.

Warto zestawić DORA z innymi regulacjami, które polskie podmioty finansowe muszą stosować równolegle. RODO (Rozporządzenie UE 2016/679) reguluje ochronę danych osobowych – incydent ICT naruszający dane osobowe uruchamia jednocześnie obowiązki z DORA i RODO, w tym zgłoszenie do UODO w ciągu 72 godzin. AI Act (Rozporządzenie UE 2024/1689), obowiązujący od 1 sierpnia 2024 r., nakłada dodatkowe wymogi na systemy sztucznej inteligencji wysokiego ryzyka stosowane w sektorze finansowym – np. w credit scoringu. Nakładanie się tych regulacji tworzy złożony management compliance, który wymaga skoordynowanego podejścia.

Kogo dotyczą obowiązki DORA w Polsce?

DORA obejmuje szeroki katalog podmiotów finansowych. Zakres jest znacznie szerszy niż tylko banki i ubezpieczyciele. Rozporządzenie wymienia ponad 20 kategorii podmiotów – od instytucji kredytowych, przez firmy inwestycyjne i zarządzających aktywami, po instytucje płatnicze, biura usług płatniczych i dostawców usług kryptoaktywów (CASP) po wejściu w życie MiCA.

Kluczowe jest rozróżnienie między podmiotami objętymi pełnym zakresem obowiązków a podmiotami korzystającymi z uproszczonego reżimu. Mikroprzedsiębiorstwa – zatrudniające poniżej 10 osób i osiągające roczny obrót lub sumę bilansową poniżej 2 mln EUR – mogą stosować uproszczone ramy zarządzania ryzykiem ICT. Jednak nawet one muszą wdrożyć podstawowe procedury i nie są całkowicie zwolnione z obowiązków.

Dla polskiego rynku szczególnie istotne są trzy grupy podmiotów. Po pierwsze, banki komercyjne i spółdzielcze nadzorowane przez KNF – dla nich DORA oznacza konieczność rewizji umów z dostawcami chmurowymi w ciągu najbliższych miesięcy. Po drugie, krajowe instytucje płatnicze i biura usług płatniczych zarejestrowane w KNF – często mniejsze podmioty, które nie miały wcześniej rozbudowanych procedur ICT. Po trzecie, firmy zarządzające aktywami i TFI, dla których ryzyko operacyjne ICT bezpośrednio przekłada się na ryzyko dla klientów detalicznych.

Jeśli Państwa firma świadczy usługi finansowe na rynku polskim i korzysta z zewnętrznych dostawców IT lub chmury obliczeniowej, niemal na pewno podlega DORA. Wątpliwości co do zakresu podmiotowego warto rozstrzygnąć przed pierwszą kontrolą KNF – nie w jej trakcie. Zagadnienia ochrony własności intelektualnej i tajemnicy handlowej w kontekście umów z dostawcami ICT omawia nasz materiał o strategiach ochrony tajemnicy handlowej w prawie polskim.

Jakie działania podjąć natychmiast?

Podmioty, które nie zakończyły wdrożenia DORA, powinny traktować każdy kolejny miesiąc jako czas podwyższonego ryzyka nadzorczego. KNF zapowiedziała aktywny nadzór w obszarze odporności cyfrowej w 2025 r. Pierwsze kontrole tematyczne są kwestią miesięcy, nie lat.

Priorytetowa lista działań dla zarządu i działu compliance:

  • Przeprowadzić inwentaryzację aktywów ICT i mapowanie dostawców zewnętrznych – w ciągu 30 dni.
  • Wdrożyć lub zaktualizować politykę zarządzania ryzykiem ICT zatwierdzoną przez zarząd.
  • Przejrzeć umowy z dostawcami chmurowymi pod kątem klauzul wymaganych przez DORA (prawo do audytu, SLA, lokalizacja danych).
  • Ustanowić procedurę klasyfikacji i zgłaszania incydentów ICT do KNF.
  • Zaplanować pierwsze testy odporności cyfrowej – dla podmiotów nieobjętych TLPT minimum to testy podstawowe.

Firma logistyczna z Mazowsza obsługująca płatności dla e-commerce odkryła latem 2024 r., że jej umowa z dostawcą SaaS nie zawiera żadnej klauzuli audytowej ani postanowień o ciągłości działania. Renegocjacja kontraktu zajęła trzy miesiące i kosztowała znacznie więcej, niż gdyby klauzule te uwzględniono przy podpisaniu umowy. To typowy scenariusz dla podmiotów, które odkładały przegląd umów ICT na później.

Instytucja płatnicza z Małopolski przeprowadziła wiosną 2025 r. audyt wewnętrzny i wykryła lukę w procedurze zgłaszania incydentów – brak jasnego kryterium klasyfikacji incydentu jako „poważnego" w rozumieniu DORA. Usunięcie tej luki wymagało aktualizacji trzech dokumentów wewnętrznych i szkolenia zespołu operacyjnego. Koszt działania prewencyjnego był ułamkiem potencjalnej kary nadzorczej.

Zarządzanie ryzykiem ICT łączy się coraz częściej z ochroną własności intelektualnej – szczególnie gdy dostawcy ICT mają dostęp do danych stanowiących tajemnicę przedsiębiorstwa. W kontekście umów z podmiotami zagranicznymi warto zapoznać się z naszym materiałem o ochronie IP dla firm technologicznych wchodzących na rynek polski. Kwestie umów z dostawcami usług magazynowych i logistycznych, które coraz częściej integrują systemy ICT, poruszamy w opracowaniu o umowach magazynowych i logistycznych w prawie polskim.

Konkretna sytuacja Państwa instytucji wymaga oceny, które z pięciu filarów DORA są już wdrożone, a które wymagają pilnej interwencji. Brak udokumentowanej polityki ICT lub luki w umowach z dostawcami mogą mieć nieodwracalne konsekwencje podczas pierwszej kontroli KNF – zarząd nie będzie mógł powołać się na niewiedzę jako okoliczność łagodzącą.

Jeśli Państwa podmiot finansowy nie zakończył wdrożenia DORA lub potrzebuje weryfikacji zgodności z rozporządzeniem – przeprowadzimy przegląd dokumentacji, ocenę umów z dostawcami ICT i opracujemy plan działań naprawczych: info@kordeckipartners.com.

Często zadawane pytania

P: Czy DORA dotyczy małych firm fintech, które dopiero zaczynają działalność?

O: Tak, jeśli firma posiada licencję KNF jako instytucja płatnicza, biuro usług płatniczych lub firma inwestycyjna. Mikroprzedsiębiorstwa (poniżej 10 pracowników, obrót lub suma bilansowa poniżej 2 mln EUR) mogą stosować uproszczone ramy zarządzania ryzykiem ICT, ale nie są całkowicie zwolnione z obowiązków. Podstawowe procedury klasyfikacji incydentów i zarządzania ryzykiem dostawców ICT obowiązują wszystkich.

P: Ile czasu ma podmiot na zgłoszenie poważnego incydentu ICT do KNF?

O: DORA wprowadza trzyetapowy system zgłaszania. Wstępne powiadomienie o poważnym incydencie należy złożyć do KNF w ciągu 4 godzin od jego sklasyfikowania jako poważnego, nie później niż 24 godziny od wykrycia. Raport pośredni składa się w ciągu 72 godzin. Raport końcowy – w terminie 1 miesiąca od zamknięcia incydentu. Brak procedury klasyfikacji incydentów jest najczęstszą luką wykrywaną w audytach wstępnych.

P: Czy DORA zastępuje wymogi RODO w zakresie zgłaszania naruszeń bezpieczeństwa danych?

O: Nie – obie regulacje działają równolegle. Naruszenie bezpieczeństwa danych osobowych uruchamia jednocześnie obowiązki z RODO (zgłoszenie do UODO w ciągu 72 godzin od stwierdzenia naruszenia, na podstawie artykułu 33 rozporządzenia 2016/679) oraz obowiązki z DORA, jeśli naruszenie kwalifikuje się jako poważny incydent ICT. Podmiot finansowy musi prowadzić oba procesy równolegle – dlatego koordynacja między działem compliance, CISO i DPO jest niezbędna.

O kancelarii

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji ICT, DORA, AI Act i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.