Firma inwestycyjna z Warszawy otrzymuje od KNF pismo z zapytaniem o dokumentację systemu zarządzania ryzykiem ICT. Zarząd otwiera szufladę i znajduje politykę bezpieczeństwa z 2019 roku oraz umowę z dostawcą chmury bez żadnej klauzuli DORA. Termin na odpowiedź: 14 dni. Takie scenariusze zdarzają się coraz częściej od 17 stycznia 2025 roku, kiedy DORA stała się w pełni stosowana.
Rozporządzenie DORA (Rozporządzenie UE 2022/2554) nałożyło na podmioty finansowe działające w Polsce obowiązek wdrożenia kompleksowego systemu zarządzania ryzykiem ICT. Obowiązek stosowania rozporządzenia obowiązuje od 17 stycznia 2025 roku. Nadzór w Polsce sprawuje Komisja Nadzoru Finansowego, a za naruszenia grożą sankcje administracyjne sięgające nawet 1% rocznego obrotu lub 5 000 000 EUR dla osób fizycznych zarządzających podmiotem.
Ten przewodnik przeprowadza przez pięć etapów wdrożenia DORA: od oceny luk, przez budowę ram zarządzania ryzykiem, aż po rejestr umów z dostawcami ICT i testowanie odporności. Każdy etap zawiera konkretne terminy, koszty i pułapki, które obserwujemy w praktyce doradczej.
Na kogo DORA nakłada obowiązki i co to oznacza w praktyce?
DORA obejmuje ponad 20 kategorii podmiotów finansowych. W Polsce dotyczy to banków, zakładów ubezpieczeń, firm inwestycyjnych, instytucji płatniczych, funduszy inwestycyjnych, instytucji kredytowych i wielu innych. Nadzór nad przestrzeganiem przepisów sprawuje Komisja Nadzoru Finansowego (KNF), a w zakresie podmiotów transgranicznych – europejskie organy nadzoru ESA (EBA, ESMA, EIOPA).
Zakres podmiotowy jest szeroki. Nawet mały dom maklerski z pięcioma pracownikami podlega DORA, choć rozporządzenie przewiduje zasadę proporcjonalności. Podmioty o mniejszej skali działalności mogą stosować uproszczone ramy zarządzania ryzykiem ICT – ale muszą to wyraźnie udokumentować i uzasadnić wobec KNF.
Rozporządzenie DORA wyróżnia pięć filarów: zarządzanie ryzykiem ICT, raportowanie incydentów, testowanie odporności cyfrowej, zarządzanie ryzykiem dostawców ICT oraz wymiana informacji. Każdy filar generuje konkretne obowiązki dokumentacyjne i operacyjne. W praktyce – wiele firm o tym zapomina – DORA dotyczy nie tylko działów IT, ale całego zarządu.
Zarząd odpowiada bezpośrednio za zatwierdzenie polityki zarządzania ryzykiem ICT i jej regularny przegląd. Ignorowanie tego obowiązku to ryzyko odpowiedzialności osobistej członków zarządu, podobne do mechanizmu z art. 299 § 1 k.s.h. Sankcje mogą wynosić do 1% rocznego obrotu dziennie za każdy dzień naruszenia.
Jak wdrożyć ramy zarządzania ryzykiem ICT – krok po kroku?
Wdrożenie DORA zaczyna się od oceny luk (gap analysis). Podmiot porównuje istniejące procedury z wymogami rozporządzenia i standardami technicznymi RTS/ITS opublikowanymi przez ESA. Ocena powinna trwać nie dłużej niż 30 dni roboczych – każdy kolejny miesiąc opóźnienia to ryzyko niezgodności w razie kontroli KNF.
Etap pierwszy to inwentaryzacja aktywów ICT. Należy zidentyfikować wszystkie systemy, aplikacje, infrastrukturę sieciową i dane krytyczne. Wiele podmiotów odkrywa w tym momencie, że używa kilkudziesięciu aplikacji SaaS, o których dział compliance nie wiedział. To typowa pułapka w sektorze fintech.
Etap drugi to budowa polityki zarządzania ryzykiem ICT. Polityka musi obejmować:
- klasyfikację aktywów ICT według krytyczności dla działalności operacyjnej,
- procedury identyfikacji i oceny zagrożeń cybernetycznych,
- mechanizmy kontroli dostępu i uwierzytelniania,
- plan ciągłości działania (BCP) i odtwarzania po awarii (DRP),
- cykl przeglądów i aktualizacji – co najmniej raz w roku.
Etap trzeci to rejestr incydentów ICT. DORA wymaga klasyfikacji incydentów według kryteriów RTS. Incydenty poważne należy zgłaszać do KNF w trybie trzystopniowym: powiadomienie wstępne w ciągu 4 godzin, raport pośredni w ciągu 72 godzin, raport końcowy w ciągu miesiąca od zamknięcia incydentu.
Etap czwarty to testowanie odporności. Podmioty o wyższym profilu ryzyka muszą przeprowadzać testy penetracyjne oparte na analizie zagrożeń (TLPT) co najmniej raz na 3 lata. Pozostałe podmioty prowadzą roczne testy podstawowe. Koszty zewnętrznych testów TLPT dla średniej firmy inwestycyjnej wahają się od 80 000 do 200 000 PLN.
Jak zarządzać ryzykiem dostawców ICT i co grozi za braki w umowach?
Zarządzanie ryzykiem dostawców ICT to filar, który generuje najwięcej problemów w praktyce. DORA wymaga, by każda umowa z zewnętrznym dostawcą usług ICT zawierała konkretne klauzule – brak choćby jednej z nich może być podstawą zarzutu niezgodności podczas kontroli KNF.
Rejestr umów z dostawcami ICT musi być prowadzony w formie elektronicznej i aktualizowany na bieżąco. Podmiot finansowy musi odróżnić dostawców świadczących usługi ICT wspierające funkcje krytyczne od pozostałych. Dla tych pierwszych wymagania są znacznie bardziej restrykcyjne.
Każda umowa dotycząca funkcji krytycznych musi zawierać co najmniej:
- opis usług z mierzalnymi wskaźnikami jakości (SLA),
- lokalizację przetwarzania i przechowywania danych (ważne przy RODO – Rozporządzenie UE 2016/679),
- prawo podmiotu finansowego do audytu dostawcy,
- obowiązek dostawcy do wsparcia przy zmianie lub zakończeniu współpracy (exit plan),
- procedury zarządzania incydentami po stronie dostawcy.
W praktyce – wiele umów zawartych przed 2025 rokiem tych klauzul po prostu nie zawiera. Renegocjacja umów z dużymi dostawcami chmurowymi (AWS, Azure, Google Cloud) bywa trudna. Jednak DORA nie zwalnia z obowiązku – podmiot finansowy odpowiada przed KNF niezależnie od tego, czy dostawca zgodził się na zmiany w umowie.
Firma zarządzająca aktywami z Krakowa odkryła wiosną 2024 roku, że jej umowa z dostawcą systemu back-office nie zawierała klauzuli audytowej ani exit planu. Renegocjacja trwała cztery miesiące i kosztowała około 40 000 PLN w obsłudze prawnej. Gdyby umowę zawierano od razu zgodnie z DORA, koszty byłyby wielokrotnie niższe.
Jakie są trzy scenariusze wdrożenia DORA dla różnych podmiotów?
DORA stosuje zasadę proporcjonalności, ale nie zwalnia z obowiązków – jedynie pozwala dostosować skalę wdrożenia do profilu podmiotu. Poniżej trzy scenariusze, które najczęściej spotykamy w doradztwie.
Scenariusz 1 – Instytucja kredytowa (bank regionalny). Bank zatrudniający 300 pracowników musi wdrożyć pełny zakres DORA bez żadnych uproszczeń. Koszty wdrożenia obejmują: gap analysis (20 000–40 000 PLN), budowę dokumentacji (60 000–120 000 PLN), testy TLPT (80 000–200 000 PLN) i szkolenia zarządu (10 000–20 000 PLN). Łącznie: od 170 000 do 380 000 PLN w pierwszym roku. Czas wdrożenia: 6–9 miesięcy.
Scenariusz 2 – Firma inwestycyjna (dom maklerski). Mniejszy podmiot może skorzystać z uproszczonych ram zarządzania ryzykiem ICT. Zakres dokumentacji jest węższy, ale obowiązek rejestracji incydentów i zarządzania dostawcami pozostaje pełny. Koszty: od 60 000 do 130 000 PLN. Czas wdrożenia: 3–5 miesięcy.
Scenariusz 3 – Zagraniczny inwestor wchodzący na rynek polski. Dla niemieckiego lub ukraińskiego podmiotu otwierającego oddział w Polsce DORA stosuje się od pierwszego dnia działalności. Podmiot musi zarejestrować się w KRS, uzyskać licencję KNF i jednocześnie wdrożyć DORA. Warto przy tym pamiętać, że kwestie zatrudnienia pracowników IT i specjalistów ds. bezpieczeństwa reguluje prawo pracy w Polsce, które nakłada dodatkowe obowiązki na pracodawcę. Czas wdrożenia: 4–7 miesięcy, w zależności od struktury grupy.
Zagraniczny inwestor z sektora ubezpieczeń, otwierający oddział w Warszawie jesienią 2024 roku, musiał zsynchronizować wdrożenie DORA z wymogami RODO, AI Act (Rozporządzenie UE 2024/1689) i lokalnym prawem pracy. Koordynacja tych trzech regulacji jednocześnie to typowy przypadek złożoności, którego nie da się rozwiązać bez zewnętrznego doradztwa prawnego.
Najczęstsze błędy przy wdrożeniu DORA – jak ich uniknąć?
Obserwując wdrożenia w kilkudziesięciu podmiotach, identyfikujemy powtarzające się błędy. Ich konsekwencje bywają nieodwracalne – zwłaszcza gdy KNF wszczyna postępowanie nadzorcze przed zakończeniem wdrożenia.
Pierwszy błąd: traktowanie DORA jako projektu IT, a nie projektu prawno-biznesowego. Zarząd deleguje wdrożenie do działu IT i zapomina, że polityka zarządzania ryzykiem ICT wymaga jego formalnego zatwierdzenia. To zamyka drogę do obrony przed odpowiedzialnością osobistą w razie incydentu.
Drugi błąd: brak rejestru umów z dostawcami ICT. Wiele podmiotów nie wie, ile umów ICT posiada. Tymczasem DORA wymaga prowadzenia rejestru w formie elektronicznej, z podziałem na usługi krytyczne i niekrytyczne. Brak rejestru to jeden z pierwszych elementów, który KNF sprawdza podczas inspekcji.
Trzeci błąd: ignorowanie wymogu testowania odporności. Testy penetracyjne są postrzegane jako zbędny koszt. W rzeczywistości nieprzetestowany system to nieodwracalne ryzyko – incydent cybernetyczny, który mógł zostać wykryty w teście, może kosztować podmiot wielokrotnie więcej niż sam test.
Czwarty błąd: pomijanie powiązań z innymi regulacjami. DORA nie działa w próżni. Wymogi dotyczące ochrony danych osobowych wynikają z RODO. Systemy AI używane w procesach decyzyjnych podlegają AI Act. Pracownicy odpowiedzialni za ICT mają prawa i obowiązki wynikające z Kodeksu pracy. Szczegółowe informacje o wdrożeniach DORA znajdą Państwo również w naszym wcześniejszym opracowaniu: DORA – zarządzanie ryzykiem ICT w polskich podmiotach.
Co przygotować przed rozmową z doradcą prawnym? Poniższa lista skraca czas analizy i obniża koszty obsługi:
- Wykaz wszystkich umów z dostawcami ICT (w tym SaaS, chmura, outsourcing IT),
- Istniejące polityki bezpieczeństwa informacji i daty ich ostatnich aktualizacji,
- Dokumentacja incydentów ICT z ostatnich 12 miesięcy,
- Schemat organizacyjny z zaznaczeniem osób odpowiedzialnych za ICT,
- Aktualna licencja KNF i zakres działalności regulowanej.
Konkretna sytuacja Państwa podmiotu wymaga oceny, która uwzględnia profil ryzyka, skalę działalności i stan istniejącej dokumentacji. Pominięcie choćby jednego z filarów DORA może zamknąć drogę do obrony przed sankcją KNF i narazić zarząd na odpowiedzialność osobistą.
Jeśli Państwa podmiot finansowy nie zakończył jeszcze wdrożenia DORA lub stoi przed kontrolą KNF – przeprowadzimy gap analysis, opracujemy dokumentację i przejrzymy umowy z dostawcami ICT: info@kordeckipartners.com.
Często zadawane pytania
P: Czy DORA dotyczy małych firm inwestycyjnych z przychodem poniżej 5 mln EUR rocznie?
O: Tak, DORA stosuje się do wszystkich podmiotów finansowych objętych rozporządzeniem, niezależnie od przychodów. Małe podmioty mogą jednak korzystać z uproszczonych ram zarządzania ryzykiem ICT na podstawie zasady proporcjonalności. Uproszczenie to nie zwalnia z obowiązku prowadzenia rejestru incydentów, zarządzania dostawcami ICT i raportowania poważnych incydentów do Komisji Nadzoru Finansowego. Decyzję o zastosowaniu uproszczeń należy udokumentować i być gotowym uzasadnić ją przed organem nadzoru.
P: Ile czasu zajmuje pełne wdrożenie DORA i ile to kosztuje?
O: Czas wdrożenia zależy od skali podmiotu i stanu istniejącej dokumentacji. Dla małego domu maklerskiego to zazwyczaj 3–5 miesięcy i koszt od 60 000 do 130 000 PLN. Dla banku regionalnego – 6–9 miesięcy i od 170 000 do 380 000 PLN. Największy wpływ na koszty ma stan umów z dostawcami ICT – renegocjacja kontraktów bez klauzul DORA potrafi podwoić budżet projektu. Warto rozpocząć wdrożenie od gap analysis, która precyzuje zakres prac i pozwala uniknąć nieplanowanych wydatków.
P: Czy system AI używany do oceny ryzyka kredytowego wymaga dodatkowych działań poza DORA?
O: Tak. System AI stosowany do oceny ryzyka kredytowego jest klasyfikowany jako system wysokiego ryzyka na mocy artykułu 6 AI Act (Rozporządzenie UE 2024/1689). Oznacza to obowiązek przeprowadzenia oceny zgodności przed wprowadzeniem systemu do użytku, prowadzenia dokumentacji technicznej i zapewnienia nadzoru ludzkiego. Obowiązki z AI Act nakładają się na wymogi DORA dotyczące zarządzania ryzykiem ICT. Jednocześnie przetwarzanie danych osobowych w takim systemie podlega przepisom Rozporządzenia UE 2016/679 (RODO), co wymaga odrębnej analizy podstaw prawnych przetwarzania.
Konkretna sytuacja Państwa spółki – zwłaszcza gdy łączy wymogi DORA, AI Act i RODO – wymaga zintegrowanej analizy prawnej. Pominięcie jednej z tych regulacji może prowadzić do nieodwracalnych naruszeń nadzorczych.
Jeśli Państwa podmiot stoi przed jednoczesnym wdrożeniem kilku regulacji technologicznych – przeprowadzimy zintegrowaną ocenę zgodności i opracujemy plan działania: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym DORA, AI Act i RODO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.