DORA – zarządzanie ryzykiem ICT w polskich

Firma fintech z Warszawy wdraża nowy system płatności. Integracja z zewnętrznym dostawcą chmury przebiega sprawnie – do czasu pierwszej poważnej awarii. Bez planu ciągłości działania, bez udokumentowanego rejestru dostawców ICT i bez procedury zgłaszania incydentów, firma traci nie tylko czas. Traci pozycję rynkową i naraża się na nadzór Komisji Nadzoru Finansowego.

Rozporządzenie DORA (Rozporządzenie UE 2022/2554 w sprawie cyfrowej odporności operacyjnej) obowiązuje podmioty finansowe w Polsce od 17 stycznia 2025 roku. Nakłada ono obowiązki w czterech obszarach: zarządzanie ryzykiem ICT, zgłaszanie incydentów, testowanie odporności cyfrowej oraz nadzór nad dostawcami zewnętrznymi. Naruszenia mogą skutkować karami nadzorczymi i odpowiedzialnością zarządu.

Ten przewodnik prowadzi przez każdy etap wdrożenia DORA – od oceny luk, przez budowę ram zarządzania ryzykiem ICT, po praktyczne scenariusze dla instytucji finansowych działających w Polsce. Czytasz go we właściwym momencie: wiele podmiotów wciąż nie zakończyło pełnego wdrożenia.

Kogo dotyczy DORA i jakie podmioty muszą działać natychmiast?

DORA obejmuje szeroki krąg podmiotów finansowych nadzorowanych przez KNF. Zaliczają się do nich banki, zakłady ubezpieczeń, instytucje płatnicze, firmy inwestycyjne, dostawcy usług kryptoaktywów (w kontekście MiCA) oraz centralne depozyty papierów wartościowych. Rozporządzenie stosuje się bezpośrednio – bez potrzeby implementacji krajowej.

Zakres personalny jest szerszy, niż wielu zarządzających zakłada. Nawet małe instytucje płatnicze z jednym systemem IT podlegają podstawowym wymogom. Wyjątek przewidziano dla mikroprzedsiębiorstw spełniających kryteria unijne – jednak większość polskich podmiotów licencjonowanych przez KNF tego progu nie osiągnie.

Trzy scenariusze ilustrują zakres zastosowania:

Bank regionalny z Łodzi – pełny zakres DORA, w tym obowiązek testów penetracyjnych (TLPT) co 3 lata.
Startup fintech z Krakowa z licencją instytucji płatniczej – uproszczony zakres, ale rejestr dostawców ICT i procedura incydentów są obowiązkowe.
Zagraniczny inwestor wchodzący na rynek polski przez oddział – DORA stosuje się do oddziału jako podmiotu finansowego w Polsce.

Podmioty, które jeszcze nie przeprowadziły oceny luk (gap analysis), tracą czas. KNF sygnalizuje aktywne zainteresowanie zgodnością z DORA już w 2025 roku. Każdy miesiąc bez udokumentowanych ram zarządzania ryzykiem ICT to ryzyko wszczęcia postępowania nadzorczego.

Jak zbudować ramy zarządzania ryzykiem ICT zgodne z DORA?

DORA wymaga od podmiotów finansowych wdrożenia kompleksowych, udokumentowanych ram zarządzania ryzykiem ICT. Ramy te muszą obejmować identyfikację aktywów informacyjnych, ocenę zagrożeń, środki ochronne oraz plany ciągłości działania. Dokumentacja musi być aktualizowana co najmniej raz w roku.

Praktyczny proces wdrożenia składa się z pięciu kroków:

Inwentaryzacja aktywów ICT – mapowanie wszystkich systemów, danych i połączeń z dostawcami zewnętrznymi.
Ocena ryzyka – identyfikacja zagrożeń dla ciągłości działania i integralności danych, z uwzględnieniem wymogów RODO (Rozporządzenie UE 2016/679).
Wdrożenie środków technicznych – szyfrowanie, kontrola dostępu, segmentacja sieci.
Plan ciągłości działania (BCP/DRP) – scenariusze awaryjne z maksymalnym dopuszczalnym czasem przestoju.
Testowanie i audyt – coroczne testy wewnętrzne; dla dużych podmiotów testy TLPT co 36 miesięcy.

W praktyce – wiele firm o tym zapomina – DORA nakłada odpowiedzialność personalną na organ zarządzający. Zarząd musi zatwierdzić politykę zarządzania ryzykiem ICT i regularnie ją przeglądać. Brak formalnej uchwały zarządu w tej sprawie to bezpośrednie ryzyko odpowiedzialności indywidualnej.

Warto też pamiętać o powiązaniu z innymi regulacjami. AI Act (Rozporządzenie UE 2024/1689) nakłada dodatkowe wymogi na systemy sztucznej inteligencji wysokiego ryzyka stosowane w instytucjach finansowych – np. w scoringu kredytowym. Systemy takie muszą przejść ocenę zgodności, co powinno być uwzględnione w ramach zarządzania ryzykiem ICT budowanych pod DORA.

Podmiot produkcyjny z Mazowsza, który wdrożył zunifikowane ramy ICT obejmujące zarówno DORA, jak i AI Act, skrócił czas audytu zewnętrznego o około jedną trzecią – eliminując redundantne procedury z dwóch odrębnych programów compliance.

Jak zgłaszać incydenty ICT i jakie terminy obowiązują?

DORA wprowadza trójstopniowy system zgłaszania poważnych incydentów związanych z ICT. Podmiot finansowy ma obowiązek przekazać KNF wstępne zgłoszenie w ciągu 4 godzin od sklasyfikowania incydentu jako poważnego, raport pośredni w ciągu 72 godzin oraz raport końcowy w ciągu miesiąca od przywrócenia normalnego działania.

Klasyfikacja incydentu jako „poważnego" zależy od kryteriów określonych w rozporządzeniu delegowanym Komisji Europejskiej. Brane są pod uwagę: liczba klientów dotkniętych incydentem, czas trwania zakłócenia, wpływ na transakcje finansowe oraz zasięg geograficzny. Próg 10% klientów lub transakcji może uruchomić obowiązek zgłoszenia.

Procedura wewnętrzna powinna działać szybciej niż terminy regulacyjne. Oznacza to:

Wewnętrzna eskalacja do CISO i zarządu – w ciągu 1 godziny od wykrycia.
Wstępna klasyfikacja incydentu – w ciągu 2 godzin.
Przygotowanie zgłoszenia do KNF – w ciągu 3 godzin od klasyfikacji.

Instytucja z Trójmiasta, która nie miała gotowej procedury klasyfikacji, w lecie 2024 roku przekroczyła termin 4-godzinny przy awarii systemu rozliczeniowego. Wyjaśnienia przed organem nadzoru zajęły trzy miesiące i pochłonęły znaczące zasoby działu compliance.

Obowiązki DORA w zakresie zgłaszania incydentów współistnieją z wymogami RODO dotyczącymi naruszeń danych osobowych – termin 72-godzinny do PUODO może biec równolegle. Procedury wewnętrzne powinny to uwzględniać, by uniknąć podwójnego ryzyka naruszenia terminów.

Jak zarządzać dostawcami zewnętrznymi ICT i unikać pułapek umownych?

Nadzór nad zewnętrznymi dostawcami ICT to jeden z najtrudniejszych obszarów DORA dla polskich podmiotów. Rozporządzenie wymaga prowadzenia szczegółowego rejestru wszystkich umów z dostawcami ICT oraz zapewnienia, że umowy te zawierają klauzule wymagane przez DORA. Rejestr musi być dostępny dla KNF na żądanie.

Każda umowa z dostawcą ICT powinna obejmować co najmniej:

Opis świadczonych usług i poziom SLA z mierzalnymi parametrami dostępności.
Prawo do audytu podmiotu finansowego u dostawcy – w tym dostęp do dokumentacji i systemów.
Procedury zakończenia współpracy zapewniające ciągłość działania (exit plan).
Lokalizację przechowywania i przetwarzania danych, z uwzględnieniem wymogów RODO.

Szczególna kategoria to „krytyczni zewnętrzni dostawcy ICT" (CTPP – Critical Third-Party Providers). Komisja Europejska może wyznaczyć globalnych dostawców chmury lub innych kluczowych operatorów jako CTPP. Wobec nich KNF i europejskie organy nadzoru (EBA, ESMA, EIOPA) prowadzą wspólny nadzór. Polskie podmioty korzystające z usług CTPP muszą dostosować umowy do standardów nadzorczych.

Powiązanie z programem antykorupcyjnym i compliance jest tu nieoczywiste, ale realne. Weryfikacja dostawców ICT pod kątem DORA może i powinna być częścią szerszego programu due diligence – więcej o ramach compliance opisujemy w artykule o antykorupcji i programie compliance. Dostawca ICT z niewyjaśnioną strukturą własnościową to ryzyko zarówno regulacyjne, jak i reputacyjne.

Rewizja istniejących umów z dostawcami to zadanie, którego nie można odkładać. Umowy zawarte przed 17 stycznia 2025 roku muszą zostać dostosowane do wymogów DORA. Podmioty, które tego nie zrobiły, narażają się na brak możliwości wyegzekwowania praw audytowych w przypadku incydentu.

Uważamy, że bezpieczniejszym rozwiązaniem jest przegląd wszystkich umów ICT w ciągu pierwszych 6 miesięcy od wejścia DORA w życie – a nie czekanie na sygnał od KNF. Brak klauzul audytowych w umowie z dostawcą chmury to luka, którą organ nadzoru zauważy szybciej niż zarząd.

Jeśli Państwa firma korzysta z ochrony znaków towarowych lub własności intelektualnej w ramach systemów IT, warto sprawdzić, czy umowy z dostawcami ICT nie naruszają praw wyłącznych – zagadnienie to omawiamy szczegółowo w przewodniku o naruszeniu znaku towarowego i środkach prawnych w Polsce.

Konkretna sytuacja Państwa firmy – liczba dostawców ICT, zakres usług krytycznych, istniejące klauzule umowne – wymaga indywidualnej oceny. Brak właściwych klauzul audytowych może nieodwracalnie ograniczyć zdolność do obrony przed zarzutami KNF w razie incydentu.

Jeśli Państwa instytucja finansowa korzysta z więcej niż pięciu zewnętrznych dostawców ICT i nie przeprowadziła przeglądu umów pod kątem DORA – przeprowadzimy pełny przegląd umów, identyfikację luk i rekomendacje negocjacyjne: info@kordeckipartners.com.

Często zadawane pytania

P: Czy małe instytucje płatnicze muszą spełniać wszystkie wymogi DORA?

O: Nie wszystkie. DORA przewiduje zasadę proporcjonalności – małe podmioty mogą stosować uproszczone ramy zarządzania ryzykiem ICT, odpowiednie do skali i profilu ryzyka. Jednak obowiązek prowadzenia rejestru dostawców ICT, procedura zgłaszania incydentów i podstawowe wymogi umowne dotyczą wszystkich podmiotów objętych zakresem rozporządzenia, niezależnie od wielkości. Decyzję o zastosowaniu uproszczonego podejścia należy udokumentować i być gotowym uzasadnić przed KNF.

P: Ile kosztuje wdrożenie DORA i jak długo trwa?

O: Koszt i czas wdrożenia zależą od punktu startowego. Podmiot, który wdrożył już wymogi NIS2 lub posiada certyfikację ISO 27001, może ograniczyć nakłady do przeglądu luk i dostosowania umów – w perspektywie 3 do 6 miesięcy. Podmiot bez żadnych formalnych ram zarządzania ryzykiem ICT powinien zakładać 9 do 12 miesięcy i budżet obejmujący zasoby wewnętrzne, zewnętrznych doradców oraz ewentualne inwestycje technologiczne. Rejestr dostawców ICT i procedury incydentowe to minimum, które można wdrożyć w ciągu 8 tygodni.

P: Czy DORA zastępuje wymogi RODO w zakresie bezpieczeństwa danych?

O: Nie – DORA i RODO (Rozporządzenie UE 2016/679) obowiązują równolegle. DORA koncentruje się na odporności operacyjnej systemu finansowego, RODO – na ochronie danych osobowych. W przypadku incydentu ICT naruszającego dane osobowe, podmiot finansowy może być zobowiązany jednocześnie do zgłoszenia do KNF (DORA, termin 4 godziny) i do PUODO (RODO, termin 72 godziny). Procedury wewnętrzne powinny obsługiwać oba obowiązki równolegle, bez ryzyka pominięcia któregokolwiek z terminów.

Co przygotować przed audytem KNF – lista kontrolna

Podmioty finansowe powinny mieć gotową dokumentację na wypadek kontroli KNF. Organ nadzoru może zażądać wglądu w ramy zarządzania ryzykiem ICT w każdej chwili – bez wcześniejszego ostrzeżenia. Poniżej minimum, które powinno być dostępne w ciągu 48 godzin od żądania.

Polityka zarządzania ryzykiem ICT – zatwierdzona uchwałą zarządu, z datą ostatniej aktualizacji.
Rejestr dostawców ICT – pełna lista umów, klasyfikacja krytyczności, status klauzul DORA.
Procedura zgłaszania incydentów – z przypisanymi rolami, terminami i szablonami raportów do KNF.
Wyniki ostatniego testu ciągłości działania – data przeprowadzenia, scenariusze, wnioski.
Dowody szkoleń pracowników – lista uczestników, zakres, data szkolenia z zakresu ICT i DORA.

Brak któregokolwiek z tych dokumentów nie jest drobnym uchybieniem. KNF traktuje braki dokumentacyjne jako wskaźnik nieadekwatnego zarządzania ryzykiem operacyjnym – co może uruchomić pełne postępowanie nadzorcze.

Konkretna sytuacja Państwa instytucji – zakres działalności, liczba systemów ICT i etap wdrożenia DORA – wymaga oceny przed pierwszym kontaktem z organem nadzoru. Nieprzygotowanie do kontroli KNF może nieodwracalnie wpłynąć na ocenę nadzorczą podmiotu i jego zdolność do uzyskania nowych zezwoleń.

Jeśli Państwa podmiot finansowy zbliża się do pierwszego przeglądu nadzorczego pod kątem DORA – przeprowadzimy audyt gotowości, identyfikację braków dokumentacyjnych i przygotowanie do kontroli KNF: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych i finansowych, w tym DORA, AI Act i RODO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.