Firma fintech z Warszawy dostaje pismo od KNF z pytaniem o status wdrożenia DORA. Prezes patrzy na nie zaskoczony – słyszał o rozporządzeniu, ale był pewien, że dotyczy tylko wielkich banków. Mylił się. DORA obowiązuje od 17 stycznia 2025 r. i obejmuje ponad 20 kategorii podmiotów rynku finansowego działających w Polsce.
Rozporządzenie DORA (Rozporządzenie UE 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego) nakłada na podmioty finansowe obowiązek zarządzania ryzykiem ICT, raportowania incydentów i nadzorowania zewnętrznych dostawców technologii. Rozporządzenie weszło w życie 17 stycznia 2025 roku. Nadzór w Polsce sprawuje Komisja Nadzoru Finansowego.
Ten przewodnik pokazuje krok po kroku: kto musi wdrożyć DORA, do kiedy, co konkretnie trzeba zrobić i jakie błędy popełniają firmy najczęściej. Omawiamy też trzy scenariusze biznesowe – bank komercyjny, firmę fintech i zagranicznego inwestora wchodzącego na rynek polski.
Kogo obejmuje DORA i jakie podmioty są zwolnione?
DORA stosuje się do podmiotów finansowych zdefiniowanych w art. 2 rozporządzenia. Lista jest długa i zaskakuje wiele firm. Obejmuje instytucje kredytowe, zakłady ubezpieczeń i reasekuracji, firmy inwestycyjne, instytucje płatnicze, biura usług płatniczych, fundusze inwestycyjne (w tym ZAFI), repozytoria transakcji, dostawców usług finansowania społecznościowego oraz – co istotne – zewnętrznych dostawców usług ICT obsługujących podmioty finansowe. KNF jest organem właściwym do nadzoru nad większością z tych kategorii w Polsce.
Rozporządzenie przewiduje jednak wyjątki. Mikroprzemysłowe przedsiębiorstwa ubezpieczeniowe, małe instytucje płatnicze i niektóre podmioty objęte wyłączeniem dyrektywy MiFID II mogą korzystać z uproszczonego reżimu. Uproszczony reżim nie oznacza braku obowiązków – oznacza proporcjonalne podejście do zarządzania ryzykiem ICT.
W praktyce – wiele firm o tym zapomina – samo świadczenie usług IT na rzecz banku lub towarzystwa ubezpieczeń może uczynić z dostawcy podmiot objęty DORA jako zewnętrzny dostawca ICT. Dotyczy to również firm spoza sektora finansowego, które podpisały umowy outsourcingowe z instytucjami regulowanymi. Sprawdzenie statusu regulacyjnego to pierwszy krok, od którego nie ma odwrotu.
- Instytucje kredytowe i banki
- Zakłady ubezpieczeń i reasekuracji
- Firmy inwestycyjne i zarządzający aktywami
- Instytucje płatnicze i biura usług płatniczych
- Zewnętrzni dostawcy ICT obsługujący podmioty finansowe
Firma produkująca oprogramowanie do obsługi płatności może nie zdawać sobie sprawy, że podpisując umowę z instytucją płatniczą, weszła w zakres DORA. To jeden z najczęstszych błędów w pierwszym kwartale 2025 r. Jeśli Państwa spółka świadczy usługi technologiczne dla podmiotów regulowanych – weryfikacja jest niezbędna.
Jakie obowiązki nakłada DORA i w jakim terminie?
DORA tworzy pięć filarów operacyjnej odporności cyfrowej. Każdy filar generuje konkretne obowiązki z określonymi terminami. Rozporządzenie obowiązuje od 17 stycznia 2025 r. – nie ma okresu przejściowego. KNF może wszcząć postępowanie nadzorcze już od tej daty.
Pierwszy filar to zarządzanie ryzykiem ICT. Podmiot musi posiadać udokumentowaną politykę zarządzania ryzykiem ICT, obejmującą identyfikację zasobów, klasyfikację zagrożeń i procedury odtwarzania. Polityka powinna być zatwierdzona przez organ zarządzający – rada nadzorcza lub zarząd nie może oddelegować tej odpowiedzialności wyłącznie do działu IT. Termin: od dnia wejścia w życie rozporządzenia, czyli od 17 stycznia 2025 r.
Drugi filar to zgłaszanie poważnych incydentów ICT. Podmiot finansowy ma obowiązek zgłosić poważny incydent do KNF w ciągu 4 godzin od jego wykrycia (wstępne powiadomienie), następnie w ciągu 72 godzin złożyć raport pośredni, a w ciągu miesiąca – raport końcowy. To wymaga gotowych procedur, nie improwizacji w trakcie awarii.
Trzeci filar – testowanie odporności cyfrowej – zobowiązuje podmioty do regularnych testów systemów ICT. Duże instytucje o znaczeniu systemowym muszą przeprowadzać zaawansowane testy penetracyjne (TLPT) co najmniej raz na 3 lata. Mniejsze podmioty mogą stosować uproszczone testy, ale muszą je dokumentować.
Czwarty filar dotyczy zarządzania ryzykiem zewnętrznych dostawców ICT. Każda umowa z zewnętrznym dostawcą technologii musi zawierać klauzule dotyczące bezpieczeństwa, prawa do audytu i warunków rozwiązania umowy. Rejestr dostawców ICT powinien być prowadzony na bieżąco. Piąty filar – wymiana informacji – jest dobrowolny, lecz rekomendowany przez europejski nadzór ESMA i EBA.
Jak wdrożyć DORA krok po kroku?
Wdrożenie DORA to projekt, który trwa od 3 do 9 miesięcy w zależności od wielkości podmiotu i dojrzałości jego systemów ICT. Podmioty, które zaczęły dopiero w 2025 r., muszą działać szybko – każdy miesiąc opóźnienia zwiększa ryzyko interwencji KNF.
Krok 1: Analiza luk (gap analysis). Porównanie aktualnego stanu zarządzania ryzykiem ICT z wymogami DORA. Czas: 4–6 tygodni. To etap, od którego zależy zakres całego projektu. Bez rzetelnej analizy firma inwestuje w obszary, które już spełniają wymogi, a pomija te, które generują realne ryzyko regulacyjne.
Krok 2: Opracowanie i zatwierdzenie polityk. Zarząd zatwierdza politykę zarządzania ryzykiem ICT, politykę zgłaszania incydentów i politykę testowania. Dokumenty muszą być dostosowane do specyfiki podmiotu – gotowe szablony z internetu nie wystarczą. Czas: 6–8 tygodni.
Krok 3: Przegląd umów z dostawcami ICT. Każda umowa outsourcingowa lub chmurowa musi zostać sprawdzona pod kątem klauzul DORA. Braki wymagają aneksów. Dostawcy, którzy odmawiają wprowadzenia klauzul audytowych, stają się ryzykiem regulacyjnym dla podmiotu finansowego. Czas: równolegle z krokiem 2.
Krok 4: Wdrożenie procedur operacyjnych. Procedury zgłaszania incydentów, plany ciągłości działania (BCP), procedury testowania. Czas: 4–6 tygodni po zatwierdzeniu polityk.
Krok 5: Szkolenia i testy. Pracownicy odpowiedzialni za ICT i compliance muszą znać procedury. Pierwsze testy systemów powinny odbyć się w ciągu 6 miesięcy od wdrożenia polityk. To też moment, w którym RODO (Rozporządzenie UE 2016/679) wchodzi w interakcję z DORA – incydenty ICT często są jednocześnie naruszeniami ochrony danych osobowych, wymagającymi odrębnego zgłoszenia do UODO w ciągu 72 godzin.
Uważamy, że bezpieczniejszym rozwiązaniem jest równoległe mapowanie obowiązków DORA i RODO od pierwszego etapu projektu. Dwukrotne zgłaszanie tego samego incydentu do KNF i UODO, z różnymi terminami i różnymi wymogami treściowymi, to pułapka, w którą wpada wiele firm.
Trzy scenariusze biznesowe – gdzie jest Państwa firma?
DORA nie działa tak samo dla każdego podmiotu. Skala obowiązków zależy od kategorii regulacyjnej, wielkości i złożoności systemów ICT. Poniżej trzy scenariusze, które ilustrują różne punkty wejścia w projekt wdrożeniowy.
Scenariusz 1: Bank komercyjny ze Śląska. Instytucja kredytowa nadzorowana przez KNF z 400 pracownikami i rozbudowaną infrastrukturą IT. Pełny zakres obowiązków DORA, w tym obowiązek przeprowadzania testów TLPT co 3 lata. Projekt wdrożeniowy zajął 8 miesięcy i wymagał powołania dedykowanego CISO z mandatem zarządczym. Główna trudność: renegocjacja 47 umów z zewnętrznymi dostawcami ICT, z których część odmawiała klauzul audytowych. Koszt projektu: od kilkuset tysięcy PLN wzwyż.
Scenariusz 2: Startup fintech z Krakowa. Instytucja płatnicza z licencją KNF, 25 pracowników, infrastruktura oparta wyłącznie na chmurze (AWS, Azure). Uproszczony reżim DORA nie zwalnia z obowiązku polityki zarządzania ryzykiem ICT ani z obowiązku zgłaszania incydentów. Projekt wdrożeniowy zajął 4 miesiące. Kluczowe wyzwanie: umowy z dostawcami chmurowymi zawierają standardowe klauzule, które nie spełniają wymogów DORA w zakresie prawa do audytu. Konieczne były aneksy lub zmiana dostawcy.
Scenariusz 3: Zagraniczny inwestor – firma z Niemiec wchodząca na rynek polski. Dla inwestora działającego już w reżimie DORA w Niemczech wejście na rynek polski oznacza dodatkowe obowiązki wobec KNF jako organu nadzoru. Podmiot musi zarejestrować się w odpowiednim rejestrze KNF, dostosować procedury do polskich wymogów językowych i raportować incydenty bezpośrednio do polskiego nadzorcy. Warto tu też sprawdzić, czy procedury korporacyjne spółki polskiej są spójne z wymogami DORA na poziomie dokumentacyjnym.
We wszystkich trzech scenariuszach wspólnym mianownikiem jest rejestr dostawców ICT. To dokument, który KNF sprawdza w pierwszej kolejności podczas kontroli. Brak rejestru lub rejestr niekompletny to sygnał dla nadzorcy, że podmiot nie zarządza ryzykiem ICT w sposób systemowy.
Konkretna sytuacja Państwa firmy może łączyć elementy kilku scenariuszy. Nieodwracalne konsekwencje braku wdrożenia – od kar finansowych po cofnięcie licencji – sprawiają, że ocena indywidualna jest niezbędna.
Jeśli Państwa spółka działa w sektorze finansowym lub świadczy usługi ICT na rzecz podmiotów regulowanych i nie zakończyła jeszcze analizy luk – przeprowadzimy przegląd statusu wdrożenia DORA, zmapujemy obowiązki i przygotujemy harmonogram działań: info@kordeckipartners.com.
Jakie błędy popełniają firmy przy wdrożeniu DORA?
Doświadczenie z pierwszych miesięcy obowiązywania DORA pokazuje powtarzające się wzorce błędów. Znajomość tych wzorców pozwala uniknąć kosztownych poprawek w trakcie kontroli KNF.
Błąd 1: Traktowanie DORA jako projektu IT, nie jako projektu zarządczego. DORA wymaga zaangażowania zarządu. Polityki muszą być zatwierdzone przez organ zarządzający. Jeśli projekt prowadzi wyłącznie dział IT bez mandatu zarządczego, dokumentacja nie spełni wymogów formalnych. KNF sprawdza protokoły zarządu.
Błąd 2: Pomijanie dostawców trzecich. Wiele firm skupia się na własnych systemach, zapominając o łańcuchu dostawców. Zewnętrzny dostawca chmury, firma obsługująca backup danych, dostawca systemu CRM – wszyscy muszą być w rejestrze i muszą mieć umowy zgodne z DORA. Naruszenie znaku towarowego czy ochrona IP są osobnym zagadnieniem, ale zarządzanie ryzykiem prawnym w umowach z dostawcami to element, który łączy oba obszary compliance.
Błąd 3: Brak procedury zgłaszania incydentów gotowej do użycia. Procedura napisana "na papierze" i nieprzetestowana w warunkach rzeczywistych nie zadziała w 4 godziny od wykrycia incydentu. Firmy, które nie przeprowadziły choćby jednego ćwiczenia symulacyjnego przed kontrolą, ryzykują naruszenie terminu zgłoszenia.
Błąd 4: Mylenie DORA z AI Act. AI Act (Rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 r. Wiele firm z sektora finansowego używa systemów AI do scoringu kredytowego lub oceny ryzyka. Takie systemy mogą być zakwalifikowane jako systemy wysokiego ryzyka w rozumieniu AI Act, wymagające odrębnej oceny zgodności. DORA i AI Act to dwa odrębne reżimy, choć ich zakresy mogą się nakładać.
Co przygotować przed audytem KNF:
- Polityka zarządzania ryzykiem ICT zatwierdzona przez zarząd (z datą i podpisami)
- Rejestr zewnętrznych dostawców ICT z klasyfikacją krytyczności
- Procedura zgłaszania incydentów z matrycą eskalacji i terminami
- Dokumentacja z ostatnich testów systemów ICT
- Aneksy do umów z dostawcami chmury i outsourcingu IT
Często zadawane pytania
P: Czy mała instytucja płatnicza z jednym pracownikiem musi w pełni wdrożyć DORA?
O: Tak, ale z proporcjonalnym podejściem. Rozporządzenie DORA przewiduje uproszczony reżim dla mikroprzedsiębiorstw i małych podmiotów. Oznacza to, że polityki zarządzania ryzykiem ICT mogą być mniej rozbudowane, ale muszą istnieć. Obowiązek zgłaszania poważnych incydentów do KNF obowiązuje każdy podmiot objęty rozporządzeniem bez wyjątku – termin 4 godzin na wstępne powiadomienie dotyczy wszystkich.
P: Ile kosztuje wdrożenie DORA dla średniej firmy fintech?
O: Koszt zależy od stanu wyjściowego i złożoności systemów. Dla instytucji płatniczej zatrudniającej 20–50 osób, opartej na infrastrukturze chmurowej, projekt wdrożeniowy zajmuje od 3 do 5 miesięcy i kosztuje od kilkudziesięciu do kilkuset tysięcy PLN – w zależności od zakresu renegocjacji umów z dostawcami i konieczności powołania zewnętrznego CISO. Największy koszt ukryty to czas zarządu, nie honoraria zewnętrznych doradców.
P: Czy DORA zastępuje wymogi RODO w zakresie bezpieczeństwa danych?
O: Nie. To powszechne nieporozumienie. RODO (Rozporządzenie UE 2016/679) i DORA obowiązują równolegle. Incydent ICT, który narusza bezpieczeństwo danych osobowych, wymaga jednoczesnego zgłoszenia do KNF (na podstawie DORA) i do UODO (na podstawie RODO). Terminy są różne: DORA – 4 godziny na wstępne powiadomienie KNF, RODO – 72 godziny na zgłoszenie do UODO. Procedura incydentowa musi obsługiwać oba tory równolegle.
Konkretna sytuacja Państwa firmy może wymagać oceny, czy aktualny status wdrożenia DORA nie zamknął już drogi do uniknięcia odpowiedzialności wobec KNF. Im później rozpoczyna się projekt, tym mniejsze pole manewru.
Jeśli Państwa spółka działa w sektorze finansowym lub obsługuje podmioty regulowane jako dostawca ICT i potrzebuje oceny statusu zgodności z DORA – przeprowadzimy analizę luk, przygotujemy dokumentację polityk i przeszkolimy zarząd: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do wdrożeń regulacyjnych w sektorze finansowym i technologicznym, w tym DORA, AI Act i NIS2. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.