17 stycznia 2025 r. DORA stało się w pełni stosowane. Dla wielu polskich podmiotów finansowych oznacza to jedno: albo wdrożyły wymagane ramy zarządzania ryzykiem ICT, albo działają dziś w szarej strefie regulacyjnej. KNF może wszcząć postępowanie nadzorcze w każdej chwili. Czas na reaktywne podejście minął.

Rozporządzenie DORA (Rozporządzenie UE 2022/2554) nakłada na podmioty finansowe obowiązek wdrożenia kompleksowych ram zarządzania ryzykiem ICT. Obowiązuje bezpośrednio we wszystkich państwach członkowskich UE od 17 stycznia 2025 roku. Nadzór w Polsce sprawuje Komisja Nadzoru Finansowego (KNF), która może nakładać sankcje administracyjne na podmioty niespełniające wymogów.

Ten alert wyjaśnia, kogo DORA obejmuje, jakie obowiązki są pilne i co Państwa firma powinna zrobić w najbliższych tygodniach.

Kogo obejmuje DORA i jakie progi stosowania obowiązują?

DORA nie dotyczy wyłącznie banków. Rozporządzenie obejmuje szeroki katalog podmiotów: banki, zakłady ubezpieczeń, firmy inwestycyjne, instytucje płatnicze, biura usług płatniczych, a także dostawców usług kryptoaktywów (CASP). W Polsce katalog ten pokrywa się z podmiotami nadzorowanymi przez KNF oraz Urząd Komisji Nadzoru Finansowego (UKNF).

Rozporządzenie przewiduje jednak uproszczony reżim dla małych podmiotów. Mikroprzedsiębiorstwa – zatrudniające mniej niż 10 osób i osiągające roczny obrót poniżej 2 mln EUR – mogą stosować uproszczone wymogi w zakresie zarządzania ryzykiem ICT. Nie są jednak całkowicie wyłączone z zakresu DORA. To istotna różnica, którą wiele firm mylnie interpretuje jako pełne zwolnienie.

Dostawcy zewnętrznych usług ICT (tzw. TPSP – third-party service providers) wchodzą w zakres DORA pośrednio. Podmioty finansowe muszą zarządzać ryzykiem ze strony dostawców chmury, oprogramowania i infrastruktury. Kluczowi dostawcy ICT mogą zostać objęci bezpośrednim nadzorem europejskich organów nadzorczych (ESA). To oznacza, że polskie firmy technologiczne obsługujące sektor finansowy powinny przeanalizować swoje umowy i obowiązki już teraz.

Warto sprawdzić, czy Państwa podmiot figuruje w rejestrach KNF. Brak wpisu nie zawsze oznacza wyłączenie z DORA – zakres stosowania rozporządzenia jest autonomiczny wobec krajowych rejestrów licencyjnych.

Jakie obowiązki ICT są wymagane natychmiast?

DORA nakłada pięć filarów zarządzania ryzykiem ICT. Każdy podmiot finansowy powinien mieć wdrożone ramy w każdym z tych obszarów. Brak dokumentacji w którymkolwiek z nich to gotowy argument dla KNF w postępowaniu nadzorczym.

  • Zarządzanie ryzykiem ICT – pisemne polityki, procedury i plany zarządzania ryzykiem technologicznym zatwierdzone przez zarząd
  • Zgłaszanie incydentów – obowiązek raportowania poważnych incydentów ICT do KNF w terminie 4 godzin (wstępne zgłoszenie) i 72 godzin (raport pośredni)
  • Testowanie odporności cyfrowej – regularne testy, a dla podmiotów istotnych – zaawansowane testy penetracyjne (TLPT) co najmniej raz na 3 lata
  • Zarządzanie ryzykiem stron trzecich – rejestr dostawców ICT, ocena ryzyka, klauzule umowne zgodne z wymogami DORA
  • Wymiana informacji – uczestnictwo w dobrowolnych mechanizmach wymiany informacji o cyberzagrożeniach

W praktyce – wiele firm o tym zapomina – obowiązek raportowania incydentów jest najbardziej operacyjnie wymagający. Termin 4 godzin na wstępne zgłoszenie do KNF wymaga gotowych procedur wewnętrznych, nie improwizacji. Podmioty, które nie przetestowały tych procedur, ryzykują naruszenie DORA przy pierwszym poważnym zdarzeniu.

Zarządzanie ryzykiem stron trzecich to drugi obszar wysokiego ryzyka. Umowy z dostawcami usług chmurowych zawarte przed 17 stycznia 2025 r. często nie spełniają wymogów art. 30 DORA dotyczących minimalnych klauzul umownych. Renegocjacja takich umów może trwać tygodniami. Każdy dzień zwłoki to potencjalna luka w zgodności.

DORA funkcjonuje równolegle z innymi regulacjami. RODO (Rozporządzenie UE 2016/679) nakłada odrębne obowiązki w zakresie ochrony danych przy incydentach ICT – naruszenie bezpieczeństwa danych osobowych wymaga równoległego zgłoszenia do UODO w ciągu 72 godzin. AI Act (Rozporządzenie UE 2024/1689) z kolei dotyczy systemów sztucznej inteligencji wykorzystywanych przez podmioty finansowe – w tym modeli scoringowych i systemów wykrywania fraudów. Podmioty stosujące AI w tych obszarach muszą zarządzać ryzykiem ICT i ryzykiem AI jednocześnie.

Dla podmiotów z branży IP i technologicznej obsługujących sektor finansowy pomocne może być zapoznanie się z naszą praktyką IP i technologii w Polsce. Więcej o zarządzaniu strukturą korporacyjną podmiotów objętych DORA znajdą Państwo w analizie dotyczącej likwidacji sp. z o.o. – procedury i harmonogramu.

Konkretna sytuacja Państwa podmiotu – zakres licencji, profil dostawców ICT, historia incydentów – decyduje o tym, które obowiązki DORA są pilne. Brak działania dziś zamyka drogę do dobrowolnego dostosowania i otwiera ryzyko postępowania nadzorczego KNF, które jest nieodwracalne w skutkach reputacyjnych.

Jeśli Państwa podmiot finansowy nie przeprowadził jeszcze oceny zgodności z DORA lub wymaga pilnej renegocjacji umów z dostawcami ICT – przeprowadzimy audyt luk, przygotujemy dokumentację i wynegocjujemy klauzule umowne: info@kordeckipartners.com.

Często zadawane pytania

P: Czy DORA dotyczy polskich fintech-ów działających wyłącznie na rynku krajowym?

O: Tak. DORA stosuje się do wszystkich podmiotów finansowych działających na terytorium UE, niezależnie od skali działalności. Polskie fintechy posiadające licencję KNF – w tym instytucje płatnicze i biura usług płatniczych – są objęte rozporządzeniem bezpośrednio. Uproszczony reżim dla mikroprzedsiębiorstw nie oznacza wyłączenia, lecz jedynie ograniczenie zakresu niektórych obowiązków.

P: Jakie sankcje grożą za naruszenie DORA w Polsce?

O: KNF może nakładać sankcje administracyjne na podstawie krajowych przepisów implementacyjnych. Dla osób fizycznych pełniących funkcje kierownicze sankcje mogą obejmować zakaz pełnienia funkcji w sektorze finansowym. Rozporządzenie nie określa jednolitej maksymalnej kwoty kary – wysokość zależy od krajowych przepisów sektorowych i wagi naruszenia. Postępowanie nadzorcze KNF może być wszczęte z urzędu.

P: Czy ochrona danych osobowych (RODO) i DORA nakładają się na siebie przy incydentach ICT?

O: Tak – i to jest jeden z najczęstszych problemów praktycznych. Incydent ICT, który jednocześnie stanowi naruszenie ochrony danych osobowych, wymaga równoległego zgłoszenia: do KNF w ramach DORA (4 godziny na zgłoszenie wstępne) i do UODO w ramach RODO (72 godziny). Procedury wewnętrzne muszą uwzględniać oba reżimy jednocześnie. Brak koordynacji między działem IT a działem compliance to typowa luka organizacyjna.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa technologicznego, regulacji ICT i zgodności z DORA, AI Act oraz RODO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.