17 stycznia 2025 roku weszło w życie rozporządzenie DORA – i polskie podmioty finansowe nie mają już czasu na przygotowania. Obowiązek stosowania Rozporządzenia (UE) 2022/2554 dotyczy banków, firm inwestycyjnych, zakładów ubezpieczeń, dostawców usług płatniczych i kilkudziesięciu innych kategorii podmiotów nadzorowanych przez KNF. Regulacja wyprzedza rynek – a luki w zarządzaniu ryzykiem ICT mogą skutkować sankcjami nadzorczymi i odpowiedzialnością osobistą kadry zarządzającej.

DORA (Rozporządzenie UE 2022/2554) nakłada na podmioty finansowe obowiązki w pięciu obszarach: zarządzanie ryzykiem ICT, raportowanie incydentów, testowanie odporności cyfrowej, zarządzanie ryzykiem dostawców ICT oraz wymiana informacji. Rozporządzenie obowiązuje bezpośrednio od 17 stycznia 2025 roku. Nadzór w Polsce sprawuje Komisja Nadzoru Finansowego (KNF), która może nakładać kary administracyjne.

Ten alert wyjaśnia, kogo DORA obejmuje, jakie działania są wymagane natychmiast i gdzie leżą największe pułapki dla polskich podmiotów.

Kogo obejmuje DORA i jakie progi stosowania obowiązują?

DORA stosuje się do ponad 20 kategorii podmiotów finansowych. Banki krajowe, oddziały instytucji kredytowych, zakłady ubezpieczeń i reasekuracji, firmy inwestycyjne, dostawcy usług płatniczych – wszyscy podlegają pełnemu reżimowi. KNF pełni rolę właściwego organu nadzoru dla zdecydowanej większości polskich podmiotów objętych rozporządzeniem.

Rozporządzenie przewiduje jednak uproszczony reżim dla małych podmiotów. Instytucje spełniające kryteria małego i niezłożonego podmiotu finansowego mogą stosować uproszczone ramy zarządzania ryzykiem ICT. Próg dotyczy m.in. sumy bilansowej poniżej 500 mln EUR oraz braku transgranicznej działalności operacyjnej. W praktyce – wiele polskich firm fintech o tym zapomina – status „małego podmiotu" trzeba aktywnie wykazać i udokumentować.

Dostawcy zewnętrzni ICT (third-party ICT providers) nie podlegają bezpośrednio DORA, ale kluczowi dostawcy usług ICT mogą zostać wyznaczeni przez europejskie organy nadzorcze (ESA) jako „krytyczni" – i wówczas podlegają bezpośredniemu nadzorowi unijnemu. Dla polskich podmiotów oznacza to konieczność weryfikacji, czy ich dostawcy chmurowi lub outsourcingowi znaleźli się na tej liście. Regulacja RODO (Rozporządzenie UE 2016/679) nakłada równoległe obowiązki w zakresie bezpieczeństwa danych – DORA i RODO muszą być stosowane łącznie, bez luk między reżimami.

Jakie obowiązki DORA są wymagane natychmiast?

Rozporządzenie obowiązuje od 17 stycznia 2025 roku – bez okresu przejściowego dla podmiotów objętych pełnym reżimem. Zarząd podmiotu finansowego odpowiada osobiście za wdrożenie i utrzymanie ram zarządzania ryzykiem ICT. Brak dokumentacji lub niekompletne procedury to bezpośredni sygnał dla KNF podczas kontroli.

Pięć obszarów wymagających natychmiastowego działania:

  • Ramy zarządzania ryzykiem ICT – pisemna polityka, zatwierdzona przez zarząd, obejmująca identyfikację, ochronę, wykrywanie, reagowanie i odtwarzanie.
  • Klasyfikacja i raportowanie incydentów – podmiot musi klasyfikować incydenty ICT i raportować „poważne incydenty" do KNF w ciągu 4 godzin od wykrycia (wstępne powiadomienie), a następnie w ciągu 72 godzin.
  • Rejestr umów z dostawcami ICT – pełny rejestr wszystkich kontraktów z dostawcami ICT, z podziałem na usługi krytyczne i niekrytyczne.
  • Testowanie odporności cyfrowej – podstawowe testy co najmniej raz w roku; podmioty istotne – zaawansowane testy penetracyjne (TLPT) co 3 lata.
  • Klauzule umowne z dostawcami – umowy z dostawcami ICT muszą zawierać obowiązkowe elementy wskazane w art. 30 DORA, w tym prawa audytu i postanowienia o ciągłości działania.

Firma inwestycyjna z Mazowsza, która wiosną 2025 roku przeszła przegląd KNF, odkryła, że jej umowy z dostawcą chmury nie zawierały klauzul wymaganych przez DORA. Renegocjacja kontraktów z globalnym dostawcą zajęła trzy miesiące. Nieodwracalnym skutkiem opóźnienia było wszczęcie procedury wyjaśniającej przez nadzorcę – mimo dobrej woli podmiotu.

Zarządzanie ryzykiem ICT w rozumieniu DORA to nie jednorazowy projekt. To ciągły proces, który musi być zintegrowany z zarządzaniem operacyjnym podmiotu. W praktyce oznacza to wyznaczenie osoby odpowiedzialnej na poziomie zarządu – najczęściej CIO lub CISO – z formalnym mandatem i budżetem.

Warto też pamiętać o powiązaniach z AI Act (Rozporządzenie UE 2024/1689). Podmioty finansowe wdrażające systemy AI do zarządzania ryzykiem kredytowym lub wykrywania fraudów muszą spełniać wymogi obu rozporządzeń równocześnie. Brak koordynacji między zespołami ICT i compliance zamyka drogę do sprawnego wdrożenia.

Dla podmiotów z sektora fintech kwestia ochrony oprogramowania i praw autorskich w polskim prawie jest ściśle powiązana z zarządzaniem ryzykiem ICT – własność kodu źródłowego i licencje muszą być jasno uregulowane w kontraktach z dostawcami. Analogicznie, podmioty prowadzące projekty deweloperskie z komponentem technologicznym powinny zapoznać się z umowami deweloperskimi i ich strukturą prawną, by uniknąć luk w odpowiedzialności za systemy ICT.

Konkretna sytuacja Państwa podmiotu – liczba dostawców ICT, zakres outsourcingu, posiadana dokumentacja – decyduje o tym, ile czasu i zasobów wymaga pełne wdrożenie DORA. Opóźnienie w raportowaniu poważnego incydentu do KNF jest nieodwracalne i może uruchomić postępowanie administracyjne.

Jeśli Państwa instytucja finansowa nie posiada jeszcze kompletnych ram zarządzania ryzykiem ICT zgodnych z DORA lub wymaga audytu umów z dostawcami – przeprowadzimy przegląd dokumentacji, ocenimy luki i przygotujemy plan naprawczy: info@kordeckipartners.com.

Często zadawane pytania

P: Czy DORA dotyczy polskich spółek fintech, które nie są licencjonowanymi instytucjami finansowymi?

O: DORA stosuje się do podmiotów finansowych w rozumieniu rozporządzenia – czyli m.in. instytucji płatniczych, instytucji pieniądza elektronicznego i firm inwestycyjnych posiadających zezwolenie KNF. Spółka fintech działająca bez licencji, np. jako dostawca technologii dla banku, nie podlega bezpośrednio DORA. Może jednak być objęta wymogami kontraktowymi jako dostawca ICT – bank ma obowiązek narzucić jej odpowiednie klauzule wynikające z artykułu 30 rozporządzenia.

P: Ile czasu ma podmiot na zgłoszenie poważnego incydentu ICT do KNF?

O: DORA wprowadza trójstopniowy system raportowania. Wstępne powiadomienie musi trafić do KNF w ciągu 4 godzin od sklasyfikowania incydentu jako poważnego. Raport pośredni – w ciągu 72 godzin. Raport końcowy – w terminie jednego miesiąca od zamknięcia incydentu. Termin 4 godzin jest często mylony z terminem 72 godzin wynikającym z RODO – to dwa odrębne obowiązki, które mogą biec równolegle.

P: Czy zarząd odpowiada osobiście za naruszenia DORA?

O: DORA nakłada na organ zarządzający podmiotu finansowego obowiązek zatwierdzenia i nadzorowania ram zarządzania ryzykiem ICT. Odpowiedzialność administracyjna spoczywa na podmiocie, ale KNF może kierować środki nadzorcze bezpośrednio wobec członków zarządu – w tym zakazy pełnienia funkcji. Uważamy, że bezpieczniejszym rozwiązaniem jest formalne przypisanie odpowiedzialności za DORA konkretnemu członkowi zarządu z udokumentowanym mandatem, co ogranicza ryzyko odpowiedzialności osobistej pozostałych.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji ICT, AI Act i DORA. Pracujemy z polskimi podmiotami finansowymi, dostawcami technologii i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.