17 stycznia 2025 roku Rozporządzenie DORA (Regulation EU 2022/2554) stało się w pełni stosowane. Dla setek podmiotów finansowych działających w Polsce oznacza to jedno: czas na dostosowanie się minął. Kto nie wdrożył wymaganych procedur, działa dziś w szarej strefie regulacyjnej – z realnym ryzykiem interwencji KNF i odpowiedzialności zarządu.

Rozporządzenie DORA (Digital Operational Resilience Act, Rozporządzenie UE 2022/2554) nakłada na podmioty finansowe obowiązek zarządzania ryzykiem ICT, raportowania incydentów i testowania odporności cyfrowej. Obowiązuje bezpośrednio we wszystkich państwach UE od 17 stycznia 2025 roku. Nadzór w Polsce sprawuje Komisja Nadzoru Finansowego (KNF), a naruszenia mogą skutkować sankcjami administracyjnymi i odpowiedzialnością osobistą kadry kierowniczej.

Ten alert wyjaśnia trzy rzeczy: kto podlega DORA, jakie obowiązki są najistotniejsze i co należy zrobić natychmiast, jeśli wdrożenie jest niepełne.

Kogo obejmuje DORA i jakie są progi stosowania?

DORA stosuje się do szerokiego katalogu podmiotów finansowych. Rozporządzenie wymienia ponad 20 kategorii – od banków i zakładów ubezpieczeń, przez firmy inwestycyjne i instytucje płatnicze, po dostawców usług kryptoaktywów (CASP). Kluczowe jest to, że regulacja obejmuje również zewnętrznych dostawców usług ICT – tzw. critical third-party providers (CTPP) – którym KNF może przypisać bezpośredni nadzór.

Dla małych podmiotów DORA przewiduje zasadę proporcjonalności. Mikroprzedsiębiorstwa (poniżej 10 pracowników i roczny obrót poniżej 2 mln EUR) mogą stosować uproszczone ramy zarządzania ryzykiem ICT. Nie oznacza to jednak zwolnienia z obowiązku – oznacza to mniejszy zakres dokumentacji i testowania. W praktyce wiele polskich instytucji płatniczych i biur usług płatniczych błędnie uznaje się za wyłączone z zakresu DORA. To błąd kosztowny.

Podmioty objęte DORA w Polsce to przede wszystkim:

  • banki krajowe i oddziały banków zagranicznych nadzorowane przez KNF
  • zakłady ubezpieczeń i reasekuracji
  • firmy inwestycyjne i towarzystwa funduszy inwestycyjnych (TFI)
  • instytucje płatnicze i biura usług płatniczych
  • dostawcy usług kryptoaktywów po wejściu MiCA w pełne stosowanie

Warto pamiętać, że DORA nie działa w próżni. Nakłada się na obowiązki wynikające z RODO (Rozporządzenie UE 2016/679) – incydent ICT często jest jednocześnie naruszeniem ochrony danych osobowych. Podwójne raportowanie do KNF i UODO może być wymagane w ciągu 24 godzin od wykrycia zdarzenia.

Jakie obowiązki są najważniejsze i jakie grożą sankcje?

DORA opiera się na pięciu filarach: zarządzanie ryzykiem ICT, klasyfikacja i raportowanie incydentów, testowanie odporności cyfrowej, zarządzanie ryzykiem dostawców zewnętrznych oraz wymiana informacji. Każdy z tych filarów generuje konkretne obowiązki dokumentacyjne i proceduralne, które organ nadzoru może skontrolować w każdej chwili.

Raportowanie incydentów to obszar, który generuje największe ryzyko natychmiastowych sankcji. Poważny incydent związany z ICT musi zostać zgłoszony do KNF w trzech etapach: wstępne powiadomienie w ciągu 4 godzin od sklasyfikowania zdarzenia jako poważnego, raport pośredni w ciągu 72 godzin i raport końcowy po 30 dniach. Opóźnienie na każdym etapie może skutkować sankcją administracyjną. Dla instytucji kredytowych KNF może nałożyć karę do 10% rocznego obrotu.

Zarządzanie ryzykiem dostawców zewnętrznych to drugi krytyczny obszar. Każda umowa z dostawcą usług ICT musi zawierać klauzule DORA – dotyczące prawa do audytu, lokalizacji danych, planów ciągłości działania i warunków wyjścia. Umowy zawarte przed 17 stycznia 2025 roku powinny były zostać zaktualizowane do dnia wejścia rozporządzenia w życie. Jeśli Państwa firma korzysta z usług chmurowych bez zaktualizowanych umów – jest to luka wymagająca natychmiastowej reakcji.

Testowanie odporności cyfrowej obejmuje coroczne testy podstawowe dla wszystkich podmiotów oraz zaawansowane testy TLPT (Threat-Led Penetration Testing) co 3 lata dla podmiotów uznanych za znaczące przez KNF. Brak dokumentacji z przeprowadzonych testów to jeden z pierwszych elementów, które organ nadzoru weryfikuje podczas kontroli. Podobnie jak w przypadku audytu RODO, luki w dokumentacji bywają bardziej kosztowne niż same braki proceduralne.

Regulacja DORA wchodzi w interakcję z AI Act (Rozporządzenie UE 2024/1689). Podmioty finansowe wdrażające systemy AI wysokiego ryzyka – np. w scoringu kredytowym lub zarządzaniu ryzykiem – muszą spełnić jednocześnie wymogi obu rozporządzeń. To podwójne obciążenie compliance, które wiele instytucji bagatelizuje.

Co zrobić teraz, jeśli wdrożenie DORA jest niepełne?

Brak pełnego wdrożenia DORA nie jest sytuacją bez wyjścia – ale wymaga natychmiastowego działania. KNF w pierwszych miesiącach stosowania rozporządzenia koncentruje się na weryfikacji ram zarządzania ryzykiem ICT i dokumentacji umów z dostawcami. To właśnie te obszary należy zabezpieczyć w pierwszej kolejności.

Priorytetowa lista działań dla podmiotów z lukami we wdrożeniu:

  • przeprowadzenie gap analysis obecnych procedur ICT względem wymogów DORA
  • aktualizacja umów z dostawcami usług ICT o klauzule wymagane rozporządzeniem
  • wdrożenie lub aktualizacja procedury klasyfikacji i raportowania incydentów ICT
  • dokumentacja przeprowadzonych testów odporności cyfrowej za 2024 rok
  • szkolenie zarządu i kadry kierowniczej – DORA nakłada odpowiedzialność osobistą

Odpowiedzialność osobista zarządu to element, który odróżnia DORA od wcześniejszych regulacji sektorowych. Rozporządzenie wprost wskazuje, że organ zarządzający ponosi odpowiedzialność za wdrożenie i utrzymanie ram zarządzania ryzykiem ICT. W przypadku poważnego naruszenia KNF może nałożyć sankcję bezpośrednio na osobę fizyczną – bez konieczności udowadniania winy umyślnej. To nieodwracalna konsekwencja zaniedbania, której nie naprawi późniejsza korekta procedur.

Warto też uwzględnić szerszy kontekst regulacyjny. Podmioty objęte DORA często podlegają jednocześnie RODO, a w przypadku dużych grup kapitałowych – również wymogom raportowania ESG wynikającym z CSRD. Zrozumienie, jak te regulacje na siebie wpływają, jest omówione szerzej w analizie dotyczącej podwójnej istotności w CSRD. Integracja programów compliance pozwala uniknąć dublowania kosztów i luk wynikających z silosowego podejścia do regulacji.

Firma technologiczna z Trójmiasta, działająca jako dostawca usług ICT dla instytucji płatniczej, odkryła wiosną 2025 roku, że jej umowy z klientami nie zawierają klauzul DORA. Renegocjacja kilkudziesięciu kontraktów zajęła trzy miesiące i opóźniła planowane wdrożenie nowego produktu. Koszt obsługi prawnej był wielokrotnie wyższy niż prewencyjny przegląd umów przeprowadzony przed 17 stycznia 2025 roku.

Instytucja płatnicza z Mazowsza zgłosiła się do nas latem 2025 roku z problemem braku procedury raportowania incydentów. KNF wszczęła postępowanie wyjaśniające po tym, jak incydent ICT nie został zgłoszony w terminie. Wdrożenie procedury zajęło 6 tygodni – ale postępowanie nadzorcze trwało znacznie dłużej i generowało koszty obsługi prawnej, których można było uniknąć.

Konkretna sytuacja Państwa podmiotu – zakres działalności, liczba dostawców ICT, stan dokumentacji – decyduje o tym, które luki są krytyczne i w jakiej kolejności je eliminować. Zwlekanie zamyka drogę do dobrowolnego dostosowania i zwiększa ryzyko sankcji nadzorczych.

Jeśli Państwa instytucja finansowa lub dostawca usług ICT nie zakończył wdrożenia DORA – przeprowadzimy gap analysis, zaktualizujemy umowy z dostawcami i wdrożymy procedury raportowania incydentów: info@kordeckipartners.com.

Często zadawane pytania

P: Czy mała instytucja płatnicza z 15 pracownikami podlega DORA?

O: Tak – instytucje płatnicze są wprost wymienione w katalogu podmiotów objętych rozporządzeniem DORA, niezależnie od wielkości. Zasada proporcjonalności pozwala na uproszczone ramy zarządzania ryzykiem ICT, ale nie zwalnia z obowiązku ich posiadania. Brak jakichkolwiek procedur ICT stanowi naruszenie od 17 stycznia 2025 roku.

P: Czy umowy z dostawcami usług chmurowych zawarte przed 2025 rokiem muszą być zmienione?

O: Tak. Rozporządzenie DORA wymaga, aby wszystkie umowy z dostawcami usług ICT zawierały określone klauzule – dotyczące prawa do audytu, lokalizacji danych, planów ciągłości i warunków wyjścia. Umowy zawarte przed wejściem rozporządzenia w życie powinny były zostać zaktualizowane do 17 stycznia 2025 roku. Brak aktualizacji to luka, którą KNF może zakwestionować podczas kontroli.

P: Jak DORA ma się do obowiązków wynikających z RODO i AI Act?

O: Regulacje nakładają się na siebie. Incydent ICT może jednocześnie stanowić naruszenie ochrony danych osobowych wymagające zgłoszenia do UODO w ciągu 72 godzin – zgodnie z rozporządzeniem RODO (Rozporządzenie UE 2016/679). Z kolei AI Act (Rozporządzenie UE 2024/1689) nakłada dodatkowe wymogi na podmioty finansowe stosujące systemy AI wysokiego ryzyka. Zintegrowany program compliance jest znacznie efektywniejszy niż trzy osobne projekty wdrożeniowe.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do wdrożeń DORA, AI Act i regulacji sektora finansowego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.