17 stycznia 2025 roku DORA zaczęła obowiązywać w pełnym zakresie. Polskie banki, zakłady ubezpieczeń, domy maklerskie i inne podmioty finansowe musiały od tego dnia spełniać wymogi Rozporządzenia (UE) 2022/2554 w zakresie zarządzania ryzykiem ICT. Dla wielu firm termin ten minął bez wdrożenia wszystkich wymaganych procedur.
DORA – Rozporządzenie (UE) 2022/2554 o cyfrowej odporności operacyjnej – nakłada na podmioty finansowe obowiązki w pięciu obszarach: zarządzanie ryzykiem ICT, raportowanie incydentów do KNF, testy odporności cyfrowej, zarządzanie ryzykiem dostawców ICT oraz wymiana informacji o zagrożeniach. Rozporządzenie weszło w życie 17 stycznia 2025 roku. Brak zgodności oznacza ryzyko sankcji nadzorczych ze strony KNF oraz odpowiedzialność osobistą członków zarządu.
Ten alert wyjaśnia, co się zmieniło, kogo dotyczą nowe obowiązki i jakie działania należy podjąć natychmiast. Każdy z trzech obszarów tematycznych zawiera konkretne terminy i progi, które decydują o zakresie Państwa obowiązków.
Co zmieniło się 17 stycznia 2025 roku i kogo dotyczy DORA?
DORA zastąpiła mozaikę krajowych regulacji dotyczących bezpieczeństwa ICT jednolitym reżimem unijnym. Przed wejściem rozporządzenia w życie polskie podmioty finansowe stosowały wytyczne KNF, rekomendacje D i rekomendacje dotyczące bezpieczeństwa systemów IT. Od 17 stycznia 2025 roku obowiązuje jeden, bezpośrednio stosowany akt prawa unijnego.
Zakres podmiotowy jest szeroki. DORA obejmuje banki, zakłady ubezpieczeń i reasekuracji, domy maklerskie, fundusze inwestycyjne i ich zarządzających, instytucje płatnicze, biura usług płatniczych, dostawców usług kryptoaktywów (po wejściu w życie MiCA) oraz krytycznych dostawców ICT. W Polsce nadzór sprawuje KNF – Komisja Nadzoru Finansowego. Dla podmiotów transgranicznych istotna jest koordynacja z EBA, ESMA i EIOPA.
Rozporządzenie przewiduje zasadę proporcjonalności. Małe i niepowiązane podmioty finansowe mogą stosować uproszczone ramy zarządzania ryzykiem ICT. Próg „małego podmiotu" zależy od sektora – w przypadku firm inwestycyjnych kryterium to suma bilansowa poniżej 100 mln EUR oraz brak połączeń z innymi podmiotami finansowymi. Mimo uproszczonego reżimu obowiązki w zakresie raportowania incydentów pozostają pełne.
W praktyce – wiele polskich podmiotów zakładało, że dotychczasowe procedury bezpieczeństwa IT wystarczą. DORA wymaga jednak czegoś więcej niż polityk bezpieczeństwa. Wymaga udokumentowanego, zintegrowanego systemu zarządzania ryzykiem ICT, który podlega nadzorowi organu zarządzającego. Zarząd odpowiada za wdrożenie i regularny przegląd tego systemu.
Jakie obowiązki nakłada DORA na zarząd i działy IT?
DORA nakłada obowiązki w pięciu filarach. Każdy filar generuje konkretne zadania dla zarządu, działu IT oraz działu prawnego. Poniżej najważniejsze wymagania z perspektywy zgodności prawnej.
Zarządzanie ryzykiem ICT to fundament systemu. Podmiot musi posiadać udokumentowane ramy zarządzania ryzykiem ICT, zatwierdzone przez organ zarządzający. Ramy obejmują identyfikację aktywów, ocenę ryzyka, środki ochrony i wykrywania oraz plany reagowania i odtwarzania. Przegląd ram musi odbywać się co najmniej raz w roku.
Raportowanie incydentów to obszar, który generuje największe ryzyko operacyjne. Poważne incydenty ICT należy zgłaszać do KNF w trzech etapach: wstępne powiadomienie w ciągu 4 godzin od sklasyfikowania incydentu jako poważny, raport pośredni w ciągu 72 godzin, raport końcowy w ciągu miesiąca. Klasyfikacja incydentu jako „poważny" zależy od liczby dotkniętych klientów, czasu trwania zakłócenia i wpływu finansowego.
Uważamy, że bezpieczniejszym rozwiązaniem jest przyjęcie konserwatywnych progów klasyfikacji. Lepiej zgłosić incydent, który ostatecznie nie spełnia kryteriów, niż narazić się na zarzut braku raportowania.
Testy odporności cyfrowej obejmują podstawowe testy dla wszystkich podmiotów oraz zaawansowane testy penetracyjne (TLPT – Threat-Led Penetration Testing) dla podmiotów znaczących. Testy TLPT przeprowadza się co najmniej raz na 3 lata. KNF może wyznaczyć podmiot do przeprowadzenia TLPT na podstawie oceny ryzyka systemowego.
Zarządzanie ryzykiem dostawców ICT wymaga przeglądu wszystkich umów z zewnętrznymi dostawcami usług ICT. Umowy muszą zawierać klauzule dotyczące dostępności, integralności i ciągłości usług, prawa do audytu, lokalizacji danych oraz planów wyjścia. Dostawcy uznani przez Komisję Europejską za krytycznych podlegają bezpośredniemu nadzorowi unijnemu. Termin na dostosowanie istniejących umów upłynął 17 stycznia 2025 roku – podmioty, które tego nie zrobiły, są już w stanie niezgodności.
Warto zestawić DORA z innymi regulacjami cyfrowymi. RODO (Rozporządzenie UE 2016/679) reguluje ochronę danych osobowych i nakłada obowiązek zgłaszania naruszeń do UODO w ciągu 72 godzin. DORA nakłada równoległy obowiązek raportowania incydentów ICT do KNF. Oba reżimy mogą być uruchomione przez ten sam incydent. Podobnie AI Act (Rozporządzenie UE 2024/1689) – systemy AI używane w instytucjach finansowych do scoringu kredytowego lub zarządzania ryzykiem są klasyfikowane jako systemy wysokiego ryzyka i wymagają oceny zgodności. Zarządzanie ryzykiem ICT obejmuje zatem nie tylko infrastrukturę, ale i algorytmy decyzyjne. Więcej o ochronie danych w relacjach transgranicznych można znaleźć w naszym materiale o transferze danych z Polski do Wielkiej Brytanii.
Co zrobić teraz – lista działań priorytetowych?
Podmioty, które nie zakończyły wdrożenia DORA, powinny natychmiast przeprowadzić analizę luk. Brak udokumentowanych ram zarządzania ryzykiem ICT to najpoważniejszy obszar niezgodności – KNF może wszcząć postępowanie nadzorcze w każdej chwili. Odpowiedzialność osobista członków zarządu za brak nadzoru nad systemem ICT jest nieodwracalna w przypadku zmaterializowania się ryzyka.
Poniżej lista działań priorytetowych:
- Przeprowadzić audyt luk w ciągu 30 dni – porównać istniejące procedury z wymaganiami DORA w pięciu filarach.
- Zatwierdzić ramy zarządzania ryzykiem ICT na poziomie zarządu – bez uchwały zarządu podmiot nie spełnia wymogu nadzoru organu zarządzającego.
- Przejrzeć wszystkie umowy z dostawcami ICT i uzupełnić brakujące klauzule – szczególnie klauzule audytu i plany wyjścia.
- Wdrożyć procedurę klasyfikacji i raportowania incydentów ICT z terminami 4 godzin i 72 godzin.
- Ustalić, czy podmiot podlega obowiązkowi przeprowadzenia testów TLPT w ciągu najbliższych 3 lat.
Dla firm technologicznych działających na styku sektora finansowego i IP warto zwrócić uwagę na strategię ochrony własności intelektualnej – nasze opracowanie o ochronie IP dla firm technologicznych w Polsce omawia powiązane kwestie. Podmioty działające w środowiskach certyfikowanych środowiskowo mogą również zapoznać się z materiałem o certyfikacji BREEAM i LEED w Polsce.
Mikroprzedsiębiorstwo finansowe z Mazowsza, które wiosną 2025 roku nie posiadało udokumentowanego planu ciągłości działania ICT, stanęło przed koniecznością pilnego wdrożenia procedur w ciągu 6 tygodni – po tym, jak KNF zapowiedział inspekcje tematyczne w tym sektorze. Podobna sytuacja dotyczyła regionalnej instytucji płatniczej z Małopolski, która jesienią 2024 roku odkryła, że umowy z trzema kluczowymi dostawcami ICT nie zawierają klauzul wymaganych przez DORA – renegocjacja zajęła 8 tygodni i wymagała zaangażowania zewnętrznych doradców prawnych.
Konkretna sytuacja Państwa podmiotu – zakres działalności, liczba dostawców ICT, dotychczasowe procedury – decyduje o tym, które elementy wymagają natychmiastowego działania. Brak wdrożenia ram zarządzania ryzykiem ICT zamyka drogę do obrony przed sankcjami KNF i tworzy nieodwracalne ryzyko odpowiedzialności osobistej zarządu.
Jeśli Państwa podmiot finansowy nie zakończył wdrożenia DORA lub wymaga oceny zgodności z Rozporządzeniem (UE) 2022/2554 – przeprowadzimy audyt luk, przygotujemy dokumentację ram ICT i dostosujemy umowy z dostawcami: info@kordeckipartners.com.
Często zadawane pytania
P: Czy DORA dotyczy małych firm inwestycyjnych i instytucji płatniczych poniżej progu 100 mln EUR sumy bilansowej?
O: Tak, DORA dotyczy wszystkich podmiotów finansowych wymienionych w rozporządzeniu, niezależnie od wielkości. Małe i niepowiązane podmioty mogą stosować uproszczone ramy zarządzania ryzykiem ICT na podstawie zasady proporcjonalności. Jednak obowiązki raportowania poważnych incydentów do KNF obowiązują w pełnym zakresie wszystkie podmioty, bez wyjątku.
P: Jakie są konsekwencje niezgłoszenia poważnego incydentu ICT w terminie 4 godzin?
O: Niezgłoszenie poważnego incydentu ICT w wymaganym terminie stanowi naruszenie Rozporządzenia (UE) 2022/2554 i może skutkować wszczęciem postępowania nadzorczego przez KNF. Sankcje mogą obejmować kary pieniężne, nakazy naprawcze oraz – w skrajnych przypadkach – zawieszenie działalności. Członkowie zarządu mogą ponosić odpowiedzialność osobistą za brak nadzoru nad systemem raportowania. Termin 4 godzin liczy się od momentu sklasyfikowania incydentu jako poważny, nie od jego wystąpienia.
P: Czy dotychczasowe wytyczne KNF i Rekomendacja D wystarczają do spełnienia wymogów DORA?
O: Nie. DORA jest rozporządzeniem unijnym stosowanym bezpośrednio i zastępuje krajowe wytyczne w zakresie, w jakim je reguluje. Rekomendacja D dotyczyła zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach – DORA ma szerszy zakres podmiotowy i bardziej szczegółowe wymagania proceduralne. Podmioty, które oparły swoją zgodność wyłącznie na Rekomendacji D, powinny przeprowadzić analizę luk w ciągu 30 dni.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji cyfrowych, w tym DORA, AI Act i RODO. Pracujemy z polskimi podmiotami finansowymi, dostawcami technologii i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.