Firma inwestycyjna z Warszawy – zarządzająca aktywami klientów detalicznych i instytucjonalnych – odkryła w lutym 2025 r., że jej umowy z dostawcami IT nie spełniają wymagań rozporządzenia DORA. Termin wdrożenia minął 17 stycznia 2025 roku. Każdy kolejny dzień bez zgodnych kontraktów oznaczał otwartą ekspozycję na sankcje KNF i ryzyko reputacyjne, którego w branży zarządzania aktywami nie można odwrócić.
Rozporządzenie DORA (Rozporządzenie UE 2022/2554) obowiązuje bezpośrednio w Polsce od 17 stycznia 2025 roku i nakłada na podmioty finansowe – w tym firmy inwestycyjne, banki i zakłady ubezpieczeń – kompleksowe wymogi zarządzania ryzykiem ICT. Nadzór sprawuje Komisja Nadzoru Finansowego (KNF). Brak wdrożenia nie jest uchybieniem formalnym – to otwarta luka w systemie zgodności, którą inspektor KNF może wykryć podczas rutynowej kontroli.
Poniżej przedstawiamy anonimizowane studium przypadku: jak klient zidentyfikował luki, w jakim czasie je usunął i jakie wnioski można przenieść na każdy podmiot finansowy działający na polskim rynku. Opis obejmuje tło sprawy, przyjętą strategię, przebieg procesu i lekcje na przyszłość.
Tło sprawy – co poszło nie tak i dlaczego?
Firma zatrudniała 140 osób i korzystała z usług ośmiu zewnętrznych dostawców ICT. Umowy z większością z nich zawarto przed 2023 rokiem – zanim DORA weszła w fazę obowiązywania. Dział prawny skupiał się na wymogach RODO (Rozporządzenie UE 2016/679) i bieżącej obsłudze transakcyjnej. Temat ICT traktowano jako domenę IT, nie prawną.
Pierwszym sygnałem był audyt wewnętrzny zlecony przez radę nadzorczą w grudniu 2024 r. Audytorzy wskazali trzy krytyczne braki. Po pierwsze – umowy z dostawcami nie zawierały klauzul dotyczących prawa do audytu ani obowiązków raportowania incydentów. Po drugie – firma nie prowadziła rejestru wszystkich umów o usługi ICT, wymaganego przez DORA. Po trzecie – plan ciągłości działania (BCP) nie uwzględniał scenariuszy awarii systemów dostawców zewnętrznych. Wszystkie trzy braki dotyczyły art. 28 DORA, regulującego wymogi wobec zewnętrznych dostawców ICT.
Zarząd otrzymał raport 8 stycznia 2025 roku – dziewięć dni przed wejściem rozporządzenia w życie. W praktyce – wiele firm o tym zapomina – to nie brak wiedzy o DORA był problemem, lecz brak koordynacji między działem IT, prawnym i compliance. Każdy zakładał, że ktoś inny zajmuje się tym tematem.
Jaką strategię przyjęto, aby usunąć luki w 90 dni?
Zarząd podjął decyzję o natychmiastowym powołaniu zespołu projektowego. W jego skład weszli: radca prawny zewnętrzny (koordynacja prawna), Chief Information Security Officer (CISO), compliance officer i przedstawiciel działu zakupów. Horyzont projektu ustalono na 90 dni – do 17 kwietnia 2025 roku.
Pierwszym krokiem był pełny rejestr umów ICT. W ciągu dwóch tygodni zinwentaryzowano wszystkich ośmiu dostawców, przypisując każdemu poziom krytyczności zgodnie z metodyką DORA. Trzech dostawców uznano za krytycznych – obsługiwali systemy transakcyjne i przechowywanie danych klientów. Pięciu sklasyfikowano jako niekrytycznych.
Strategia negocjacyjna różniła się dla obu grup. Z dostawcami krytycznymi przeprowadzono renegocjację pełną – nowe klauzule obejmowały prawo do audytu, obowiązek raportowania incydentów w ciągu 24 godzin, wymogi dotyczące lokalizacji danych (istotne również z perspektywy RODO) oraz minimalny poziom SLA. Z dostawcami niekrytycznymi zastosowano uproszczony aneks – dwa strony zamiast pełnej renegocjacji. Takie podejście zaoszczędziło czas i zasoby prawne. Uważamy, że właśnie ta segmentacja była kluczem do zmieszczenia się w terminie.
Równolegle zaktualizowano BCP i przeprowadzono pierwsze ćwiczenie symulacyjne (tabletop exercise) z udziałem zarządu. Wynik: zidentyfikowano dwa dodatkowe scenariusze ryzyka, które pierwotnie pominięto. Kancelaria IP Warszawa koordynująca projekt wskazała też na powiązanie z wymogami AI Act (Rozporządzenie UE 2024/1689) – jeden z dostawców używał modeli ML do scoringu ryzyka, co wymagało odrębnej analizy zgodności.
Jak przebiegał proces – etapy i terminy?
Projekt podzielono na cztery etapy. Etap pierwszy (tygodnie 1–2): inwentaryzacja i klasyfikacja dostawców. Etap drugi (tygodnie 3–6): renegocjacja umów z dostawcami krytycznymi. Etap trzeci (tygodnie 7–10): aneksy do umów z dostawcami niekrytycznymi i aktualizacja BCP. Etap czwarty (tygodnie 11–13): dokumentacja wewnętrzna, szkolenie pracowników, raport końcowy dla rady nadzorczej.
- Rejestr umów ICT: gotowy po 14 dniach
- Umowy z dostawcami krytycznymi: podpisane po 42 dniach
- Aneksy z dostawcami niekrytycznymi: gotowe po 70 dniach
- Aktualizacja BCP i ćwiczenie symulacyjne: zakończone po 84 dniach
- Raport końcowy dla KNF (na wypadek kontroli): złożony po 90 dniach
Najtrudniejszy etap to renegocjacja z dostawcami krytycznymi. Jeden z nich – zagraniczny operator chmury obliczeniowej – odmówił przyjęcia klauzuli prawa do audytu w standardowej formie. Rozwiązaniem było zastąpienie jej prawem do audytu realizowanego przez akredytowanego audytora trzeciego – rozwiązanie dopuszczone przez DORA i akceptowalne dla obu stron. Warto pamiętać, że szczegółowe omówienie wymogów DORA dla podmiotów finansowych wskazuje na tę elastyczność jako świadomie wbudowaną przez unijnego prawodawcę.
Projekt zakończono w terminie. Firma nie była przedmiotem kontroli KNF w tym okresie, jednak posiadała pełną dokumentację gotową do okazania. Dla instytucji nadzorowanej przez KNF to różnica między postępowaniem wyjaśniającym a postępowaniem sankcyjnym.
Jakie lekcje można przenieść na inne polskie podmioty finansowe?
Pierwsze i najważniejsze: DORA to nie projekt IT. To projekt prawno-compliance z komponentem technicznym. Firmy, które delegowały wdrożenie wyłącznie do działu IT, mają dziś luki w umowach – nawet jeśli ich systemy są technicznie sprawne. Zarządzanie ryzykiem ICT wymaga koordynacji trzech pionów jednocześnie.
Drugie: segmentacja dostawców oszczędza czas i pieniądze. Nie każda umowa wymaga pełnej renegocjacji. DORA różnicuje wymogi dla dostawców krytycznych i niekrytycznych – warto tę logikę odwzorować w harmonogramie prac. Firma z naszego case study zaoszczędziła szacunkowo 30–40% czasu projektu właśnie dzięki tej segmentacji.
Trzecie: powiązanie z innymi regulacjami. DORA krzyżuje się z RODO w zakresie lokalizacji i bezpieczeństwa danych. Krzyżuje się z AI Act tam, gdzie dostawcy ICT używają systemów sztucznej inteligencji. Firmy obsługujące nieruchomości komercyjne lub portfele kredytowe powinny sprawdzić, czy ich dostawcy IT nie wchodzą w zakres systemów wysokiego ryzyka AI Act – szczegóły dotyczące zarządzania aktywami nieruchomościowych można znaleźć w praktyce nieruchomości KORDECKI & Partners.
Czwarte: dokumentacja jest tarczą. W razie kontroli KNF to nie stan systemów technicznych decyduje o wyniku – lecz jakość dokumentacji: rejestr umów, klasyfikacja dostawców, protokoły z ćwiczeń BCP, raporty z audytów. Firma bez dokumentacji, nawet technicznie zgodna, ma problem dowodowy.
Konkretna sytuacja każdego podmiotu finansowego jest inna. Termin minął, ale okno na dobrowolne wdrożenie – zanim KNF przeprowadzi kontrolę – pozostaje otwarte. Każdy dzień bez rejestru umów ICT i zaktualizowanych kontraktów to nieodwracalne ryzyko sankcyjne, którego nie można cofnąć po wszczęciu postępowania.
Jeśli Państwa instytucja finansowa nie przeprowadziła jeszcze przeglądu umów z dostawcami ICT pod kątem DORA – przeprowadzimy gap analysis, opracujemy klauzule kontraktowe i przygotujemy dokumentację dla KNF: info@kordeckipartners.com.
Często zadawane pytania
P: Czy DORA dotyczy wyłącznie banków, czy również mniejszych firm inwestycyjnych?
O: Rozporządzenie DORA (Rozporządzenie UE 2022/2554) obejmuje szeroki katalog podmiotów finansowych – w tym firmy inwestycyjne, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń i pośredników finansowych, niezależnie od wielkości. Małe podmioty mogą korzystać z uproszczonego reżimu zarządzania ryzykiem ICT, jednak obowiązek posiadania rejestru umów z dostawcami ICT i raportowania poważnych incydentów dotyczy wszystkich. Nadzór w Polsce sprawuje Komisja Nadzoru Finansowego.
P: Ile czasu i kosztów zajmuje wdrożenie DORA w średniej firmie finansowej?
O: Na podstawie naszego doświadczenia – dla podmiotu z 5–10 dostawcami ICT pełne wdrożenie zajmuje od 60 do 120 dni. Koszt zależy od liczby umów wymagających renegocjacji i złożoności infrastruktury IT. Najkosztowniejszym elementem jest zazwyczaj renegocjacja umów z dostawcami krytycznymi, szczególnie gdy są to podmioty zagraniczne niechętne do zmian standardowych warunków. Wczesne rozpoczęcie projektu redukuje koszty – praca pod presją czasu kontroli KNF jest wielokrotnie droższa.
P: Czy zgodność z RODO wystarczy, żeby spełnić wymogi DORA dotyczące bezpieczeństwa danych?
O: To częste nieporozumienie. RODO (Rozporządzenie UE 2016/679) i DORA regulują częściowo pokrywające się obszary – bezpieczeństwo danych i zarządzanie incydentami – ale mają różne zakresy i różne wymogi kontraktowe. DORA nakłada dodatkowe obowiązki, których RODO nie przewiduje: prawo do audytu dostawców ICT, wymogi dotyczące planów wyjścia z umowy (exit strategy) i klasyfikacji dostawców krytycznych. Podmiot zgodny z RODO może nadal nie spełniać wymagań DORA – te dwa systemy należy wdrażać równolegle, nie zamiennie.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym DORA, AI Act i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.