DORA – zarządzanie ryzykiem ICT w polskich podmiotach

Od 17 stycznia 2025 r. rozporządzenie DORA (Regulation EU 2022/2554) obowiązuje w pełnym zakresie. Polskie podmioty finansowe – banki, zakłady ubezpieczeń, firmy inwestycyjne, instytucje płatnicze – musiały wdrożyć wymogi dotyczące zarządzania ryzykiem ICT przed tą datą. W praktyce wiele z nich nadal uzupełnia luki w dokumentacji, testach penetracyjnych i rejestrach dostawców zewnętrznych.

DORA nakłada na podmioty finansowe obowiązek wdrożenia ram zarządzania ryzykiem ICT, raportowania poważnych incydentów do Komisji Nadzoru Finansowego (KNF) oraz przeprowadzania zaawansowanych testów odporności cyfrowej. Rozporządzenie weszło w życie 17 stycznia 2025 roku. Brak zgodności naraża podmiot na sankcje administracyjne KNF oraz odpowiedzialność cywilną wobec klientów.

Poniżej omawiamy trzy obszary krytyczne: zakres podmiotowy DORA w Polsce, obowiązki, które generują największe ryzyko naruszenia, oraz działania naprawcze, które należy podjąć niezwłocznie.

Kogo obejmuje DORA w Polsce i jakie progi decydują o zakresie obowiązków?

DORA stosuje się do ponad 20 kategorii podmiotów finansowych. W Polsce nadzór sprawuje KNF. Zakres obejmuje banki krajowe, oddziały banków zagranicznych, zakłady ubezpieczeń, towarzystwa funduszy inwestycyjnych, firmy inwestycyjne, instytucje płatnicze i instytucje pieniądza elektronicznego. Dotyczy też dostawców usług kryptoaktywów – co ważne w kontekście regulacji MiCA w Polsce.

Rozporządzenie różnicuje obowiązki w zależności od wielkości podmiotu. Małe i niezłożone podmioty finansowe mogą stosować uproszczone ramy zarządzania ryzykiem ICT. Próg „małego podmiotu" wyznaczają kryteria ilościowe określone w aktach delegowanych Europejskich Urzędów Nadzoru (ESA). W praktyce większość polskich banków komercyjnych i towarzystw ubezpieczeniowych podlega pełnemu reżimowi DORA.

Szczególną kategorię stanowią kluczowi zewnętrzni dostawcy usług ICT (critical third-party providers, CTPP). KNF może wnioskować do ESA o objęcie konkretnego dostawcy nadzorem unijnym. Dla polskich podmiotów finansowych korzystających z usług chmurowych dużych dostawców globalnych oznacza to konieczność weryfikacji, czy dostawca figuruje na liście CTPP – i dostosowania umów do wymogów art. 30 DORA dotyczących kluczowych postanowień kontraktowych.

Warto pamiętać, że DORA nie zastępuje RODO (Rozporządzenie UE 2016/679). Incydent ICT, który prowadzi do naruszenia danych osobowych, uruchamia równolegle obowiązki raportowe wobec UODO. Podmioty muszą więc skoordynować procedury DORA i RODO – dwa odrębne reżimy, jeden incydent, dwa terminy zgłoszenia.

Jakie obowiązki DORA generują największe ryzyko naruszenia w 2025 r.?

Trzy obszary DORA są najczęściej niedowdrożone: rejestr dostawców ICT, testy odporności cyfrowej i raportowanie incydentów. Każdy z nich wiąże się z konkretnym terminem lub progiem, którego przekroczenie uruchamia odpowiedzialność wobec KNF.

Rejestr umów z dostawcami ICT (art. 28 DORA) musi zawierać szczegółowe informacje o każdej usłudze ICT świadczonej przez podmioty zewnętrzne. Instytucja finansowa z Mazowsza, która jesienią 2024 r. przeprowadziła audyt wewnętrzny, odkryła ponad 60 aktywnych umów z dostawcami ICT – z czego jedynie 18 spełniało wymogi dokumentacyjne DORA. Uzupełnienie rejestru zajęło trzy miesiące i wymagało renegocjacji kluczowych kontraktów.

Testy odporności cyfrowej oparte na analizie zagrożeń (TLPT – Threat-Led Penetration Testing) są obowiązkowe dla znaczących podmiotów co najmniej raz na 3 lata. KNF koordynuje przeprowadzanie TLPT zgodnie z ramami TIBER-EU. Podmiot, który nie przeprowadził TLPT w wymaganym cyklu, naraża się na bezpośrednią interwencję nadzorczą. Koszt jednego badania TLPT dla średniej wielkości banku wynosi od 200 000 do 500 000 PLN.

Raportowanie incydentów ICT przebiega trójstopniowo: wstępne zgłoszenie do KNF w ciągu 4 godzin od klasyfikacji incydentu jako poważnego, raport pośredni w ciągu 72 godzin, raport końcowy w ciągu miesiąca. Klasyfikacja incydentu jako „poważnego" opiera się na kryteriach z aktów delegowanych – m.in. liczbie klientów dotkniętych incydentem, czasie trwania zakłócenia i wpływie na transakcje finansowe. Nieraportowanie w terminie jest nieodwracalne – KNF rejestruje opóźnienie i może wszcząć postępowanie administracyjne.

Zarządzanie ryzykiem ICT musi być też spójne z polityką compliance podmiotu. Programy antykorupcyjne i systemy kontroli wewnętrznej, omawiane szerzej w kontekście ram prawnych compliance, powinny uwzględniać ryzyka ICT jako osobną kategorię.

Co zrobić teraz – lista działań priorytetowych

Podmioty, które nie zakończyły wdrożenia DORA, powinny skoncentrować się na działaniach o najwyższym priorytecie. Poniżej lista kontrolna dla zarządu i działu compliance:

• Rejestr dostawców ICT – przeprowadź inwentaryzację wszystkich umów z dostawcami ICT i uzupełnij brakujące klauzule wymagane przez art. 30 DORA (prawo do audytu, lokalizacja danych, plany ciągłości).
• Procedura klasyfikacji i raportowania incydentów – wdróż lub zaktualizuj procedurę uwzględniającą 4-godzinny termin wstępnego zgłoszenia do KNF i skoordynuj ją z procedurą RODO.
• Plan testów TLPT – ustal, czy podmiot podlega obowiązkowi TLPT, i zaplanuj badanie w harmonogramie 3-letnim; budżet minimum 200 000 PLN.
• Szkolenie zarządu – DORA wymaga, by organy zarządzające aktywnie nadzorowały ryzyko ICT; protokoły posiedzeń zarządu powinny dokumentować ten nadzór.
• Integracja z AI Act – jeśli podmiot wdraża systemy AI w procesach kredytowych lub HR, sprawdź nakładanie się obowiązków DORA i AI Act (Rozporządzenie UE 2024/1689) w zakresie zarządzania ryzykiem algorytmicznym.

Firma inwestycyjna z Trójmiasta, która wiosną 2025 r. zgłosiła się po audyt zgodności DORA, wymagała pilnej rewizji trzech umów z dostawcami chmurowymi. Brak klauzuli prawa do audytu w umowie z głównym dostawcą infrastruktury IT mógł skutkować zarzutem naruszenia art. 28 DORA przez KNF. Renegocjacja zajęła 6 tygodni – zamiast potencjalnego postępowania nadzorczego trwającego miesiącami.

Podmioty działające w sektorze kryptoaktywów powinny dodatkowo śledzić zmiany wynikające z wdrożenia MiCA w Polsce – regulacje te nakładają się na wymogi DORA w zakresie bezpieczeństwa operacyjnego. Znak towarowy i ochrona danych to kolejne obszary, w których kancelaria IP Warszawa może wspierać podmioty technologiczne budujące zgodność z wieloma reżimami regulacyjnymi jednocześnie.

Konkretna sytuacja Państwa podmiotu finansowego wymaga oceny, które luki w zgodności z DORA są nieodwracalne – a które można jeszcze zamknąć przed wszczęciem postępowania przez KNF. Każdy tydzień opóźnienia w raportowaniu incydentu lub braku rejestru dostawców to udokumentowane ryzyko sankcji administracyjnej.

Jeśli Państwa instytucja finansowa nie zakończyła wdrożenia DORA lub wymaga audytu zgodności przed kontrolą KNF – przeprowadzimy przegląd dokumentacji, ocenę luk i plan naprawczy z priorytetami: info@kordeckipartners.com.

Często zadawane pytania

P: Czy DORA dotyczy małych instytucji płatniczych działających wyłącznie w Polsce?

O: Tak, instytucje płatnicze są wprost wymienione w zakresie podmiotowym rozporządzenia DORA. Małe podmioty mogą korzystać z uproszczonych ram zarządzania ryzykiem ICT, ale nie są całkowicie wyłączone. Oznacza to m.in. obowiązek posiadania podstawowej polityki ICT, procedury raportowania incydentów i rejestru kluczowych dostawców. Próg „małego podmiotu" wyznaczają akty delegowane ESA – warto zweryfikować klasyfikację z prawnikiem przed założeniem, że uproszczony reżim ma zastosowanie.

P: Ile kosztuje pełne wdrożenie DORA dla średniej wielkości banku?

O: Koszty wdrożenia DORA są zróżnicowane. Sam test odporności cyfrowej TLPT to wydatek od 200 000 do 500 000 PLN. Do tego dochodzą koszty renegocjacji umów z dostawcami ICT, wdrożenia systemów monitorowania incydentów i szkoleń zarządu. Łączny koszt dla średniego banku komercyjnego szacuje się na kilka milionów złotych. Brak wdrożenia jest jednak droższy – sankcje KNF mogą sięgać wielokrotności tych kwot, a odpowiedzialność cywilna wobec klientów jest nieograniczona.

P: Czy DORA zastępuje dotychczasowe wytyczne KNF dotyczące bezpieczeństwa IT?

O: DORA jako rozporządzenie unijne stosuje się bezpośrednio i ma pierwszeństwo przed krajowymi wytycznymi. Wytyczne KNF w zakresie bezpieczeństwa IT wydane przed 17 stycznia 2025 roku pozostają w mocy w zakresie, w jakim nie są sprzeczne z DORA. W praktyce KNF dostosowuje swoje rekomendacje nadzorcze do wymogów rozporządzenia. Podmioty powinny dokonać przeglądu wewnętrznych polityk ICT i zastąpić odwołania do starych wytycznych KNF bezpośrednimi odwołaniami do artykułów rozporządzenia DORA.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym DORA, AI Act i RODO. Pracujemy z polskimi instytucjami finansowymi, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.