Rozporządzenie DORA weszło w życie 17 stycznia 2025 roku. Dla wielu podmiotów finansowych działających w Polsce oznacza to jedno: czas na wdrożenie minął, a nadzór KNF już działa. Firmy, które jeszcze nie przeprowadziły analizy luk, tracą każdy dzień.
Rozporządzenie DORA (Regulation EU 2022/2554 o cyfrowej odporności operacyjnej sektora finansowego) obowiązuje od 17 stycznia 2025 roku i ma bezpośrednie zastosowanie we wszystkich państwach UE. Nakłada obowiązki w czterech obszarach: zarządzanie ryzykiem ICT, raportowanie incydentów, testy odporności oraz nadzór nad dostawcami usług ICT. Brak wdrożenia oznacza ryzyko sankcji ze strony KNF.
Ten alert wyjaśnia, kogo DORA dotyczy, jakie progi decydują o zakresie obowiązków oraz co Państwa firma powinna zrobić natychmiast. Omawia też powiązania z AI Act i RODO, które razem tworzą nową warstwę regulacyjną dla sektora technologiczno-finansowego.
Kogo obejmuje DORA i jakie progi decydują o zakresie obowiązków?
DORA stosuje się do szerokiego katalogu podmiotów. Rozporządzenie wymienia wprost: banki, zakłady ubezpieczeń, towarzystwa funduszy inwestycyjnych, firmy inwestycyjne, instytucje płatnicze, biura usług płatniczych, dostawców usług kryptoaktywów (w kontekście MiCA) oraz centralne depozyty papierów wartościowych. W Polsce nadzór nad wdrożeniem sprawuje Komisja Nadzoru Finansowego.
Kluczowy podział przebiega między podmiotami dużymi a mikroprzedsiębiorstwami. Mikroprzedsiębiorstwa – czyli podmioty zatrudniające mniej niż 10 osób i osiągające roczny obrót lub sumę bilansową poniżej 2 mln EUR – korzystają z uproszczonego reżimu zarządzania ryzykiem ICT. Nie oznacza to jednak zwolnienia z obowiązków. Obowiązek rejestracji incydentów i podstawowe zasady ciągłości działania dotyczą ich w pełni.
Szczególna kategoria to dostawcy usług ICT dla sektora finansowego. Jeśli Państwa firma dostarcza oprogramowanie, usługi chmurowe lub wsparcie IT instytucjom finansowym, możecie zostać zakwalifikowani jako krytyczny dostawca ICT. Europejskie Urzędy Nadzoru (EBA, ESMA, EIOPA) prowadzą rejestr takich podmiotów. Wpisanie do rejestru oznacza bezpośredni nadzór na poziomie unijnym – poza KNF.
- Banki i instytucje kredytowe – pełny zakres DORA od 17 stycznia 2025 r.
- Zakłady ubezpieczeń i reasekuracji – pełny zakres
- Firmy inwestycyjne i TFI – pełny zakres
- Instytucje płatnicze i pieniądza elektronicznego – pełny zakres
- Mikroprzedsiębiorstwa finansowe – reżim uproszczony, ale nie zerowy
Warto pamiętać o powiązaniu z RODO. Incydent ICT, który prowadzi do naruszenia danych osobowych, uruchamia równolegle obowiązki raportowe wobec UODO – w terminie 72 godzin. Dwie regulacje, dwa zegary, jeden incydent. W praktyce wiele firm o tym zapomina.
Co zmienił DORA i jakie działania są wymagane natychmiast?
DORA wprowadza cztery filary obowiązków. Każdy z nich ma konkretne terminy i dokumentacyjne wymagania. Brak działania w którymkolwiek obszarze może skutkować postępowaniem nadzorczym KNF lub – w przypadku krytycznych dostawców ICT – bezpośrednią interwencją europejskich urzędów nadzoru.
Pierwszy filar to zarządzanie ryzykiem ICT. Każdy podmiot objęty DORA musi posiadać udokumentowaną politykę zarządzania ryzykiem ICT. Polityka obejmuje identyfikację aktywów, klasyfikację ryzyk, środki ochrony i plany ciągłości działania. Termin: obowiązek obowiązuje od 17 stycznia 2025 roku – bez vacatio legis.
Drugi filar to raportowanie incydentów. Poważne incydenty ICT należy zgłaszać do KNF. Wstępne zgłoszenie – w ciągu 4 godzin od klasyfikacji incydentu jako poważnego. Raport pośredni – w ciągu 72 godzin. Raport końcowy – w ciągu miesiąca. Tu pojawia się powiązanie z AI Act: jeśli incydent dotyczy systemu AI wysokiego ryzyka (np. scoring kredytowy), może uruchamiać dodatkowe obowiązki raportowe wynikające z Rozporządzenia UE 2024/1689.
Trzeci filar to testy odporności cyfrowej. Podstawowe testy (np. testy podatności) są wymagane corocznie dla wszystkich podmiotów. Zaawansowane testy penetracyjne (TLPT) dotyczą podmiotów wskazanych przez KNF – zazwyczaj instytucji o znaczeniu systemowym. Czwarty filar obejmuje zarządzanie ryzykiem dostawców ICT: umowy z dostawcami muszą zawierać klauzule DORA, w tym prawo do audytu i wymogi dotyczące ciągłości usług. Przy redakcji takich klauzul warto sięgnąć po doświadczenia z praktyki klauzul arbitrażowych w polskich umowach – mechanizmy eskalacji sporu są analogiczne.
Firmy technologiczne obsługujące sektor finansowy powinny też sprawdzić, czy ich produkty nie naruszają praw własności intelektualnej – szczególnie przy wdrożeniach opartych na zewnętrznym oprogramowaniu. Kwestie te regulują odrębne przepisy, omówione w kontekście naruszenia znaku towarowego i środków prawnych w Polsce. Zaniedbanie tego obszaru może otworzyć front sporów równolegle do postępowań nadzorczych.
Konkretna sytuacja Państwa firmy wymaga oceny, które filary DORA już spełniacie, a gdzie istnieją luki. Każdy miesiąc zwłoki zwiększa ryzyko, że KNF przeprowadzi kontrolę w momencie, gdy dokumentacja jest niekompletna – a to zamyka drogę do dobrowolnego usunięcia uchybień.
Jeśli Państwa instytucja finansowa lub firma technologiczna obsługująca sektor finansowy nie zakończyła jeszcze analizy luk DORA – przeprowadzimy przegląd dokumentacji ICT, ocenimy umowy z dostawcami i przygotujemy plan działań: info@kordeckipartners.com.
Często zadawane pytania
P: Czy DORA dotyczy polskich startupów fintech działających wyłącznie w Polsce?
O: Tak, jeśli startup posiada zezwolenie KNF (np. jako instytucja płatnicza lub firma inwestycyjna). Rozporządzenie DORA stosuje się bezpośrednio we wszystkich państwach UE od 17 stycznia 2025 roku, niezależnie od wielkości podmiotu. Mikroprzedsiębiorstwa korzystają z uproszczonego reżimu zarządzania ryzykiem ICT, ale nie są zwolnione z obowiązku raportowania poważnych incydentów do KNF.
P: Ile kosztuje wdrożenie DORA i jak długo trwa?
O: Czas i koszt zależy od wielkości podmiotu i stanu obecnej dokumentacji ICT. Dla małej instytucji płatniczej – przy sprawnej organizacji – pełna analiza luk i aktualizacja polityk zajmuje od 6 do 10 tygodni. Kluczowe koszty to: przegląd i renegocjacja umów z dostawcami ICT, wdrożenie procedur raportowania incydentów oraz ewentualne testy odporności. Warto przeprowadzić analizę luk przed zleceniem jakichkolwiek wdrożeń technicznych.
P: Czy firma IT niebędąca instytucją finansową musi wdrożyć DORA?
O: Bezpośrednio – nie, chyba że zostanie wpisana do rejestru krytycznych dostawców ICT przez europejskie urzędy nadzoru. Pośrednio – tak, bo klienci z sektora finansowego będą wymagać klauzul DORA w umowach (prawo do audytu, wymogi ciągłości, standardy bezpieczeństwa). W praktyce każda firma IT obsługująca banki lub ubezpieczycieli odczuje skutki rozporządzenia przez wymagania kontraktowe, nawet bez formalnego objęcia regulacją.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym DORA, AI Act i RODO. Pracujemy z polskimi przedsiębiorcami, instytucjami finansowymi, firmami technologicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.