Od 17 stycznia 2025 r. polskie podmioty finansowe działają w nowej rzeczywistości regulacyjnej. Rozporządzenie DORA – Digital Operational Resilience Act (Rozporządzenie UE 2022/2554) – weszło w życie i obowiązuje bezpośrednio. Nie ma okresu przejściowego. Każdy dzień zwłoki we wdrożeniu to otwarte ryzyko sankcji ze strony KNF.

DORA nakłada na podmioty finansowe obowiązek wdrożenia ram zarządzania ryzykiem ICT, raportowania incydentów do Komisji Nadzoru Finansowego oraz przeprowadzania testów odporności cyfrowej. Rozporządzenie obowiązuje od 17 stycznia 2025 roku. Podmioty niespełniające wymogów narażają się na kary administracyjne oraz odpowiedzialność osobistą członków zarządu.

Ten alert wyjaśnia, kogo dotyczą obowiązki, jakie działania są wymagane natychmiast oraz gdzie leżą największe pułapki wdrożeniowe. Omawiamy też punkt styku DORA z AI Act i RODO – bo zarządzanie ryzykiem ICT nie działa w regulacyjnej próżni.

Kogo obejmuje DORA i jakie progi decydują o zakresie obowiązków?

DORA stosuje się do szerokiego katalogu podmiotów finansowych. Banki, zakłady ubezpieczeń, firmy inwestycyjne, instytucje płatnicze, towarzystwa funduszy inwestycyjnych – wszystkie te podmioty podlegają pełnemu zakresowi rozporządzenia. Nadzór nad przestrzeganiem przepisów w Polsce sprawuje KNF.

Rozporządzenie wprowadza jednak zasadę proporcjonalności. Małe i niepowiązane instytucje mogą stosować uproszczone ramy zarządzania ryzykiem ICT. Próg kwalifikujący do uproszczonego reżimu zależy od skali działalności, struktury właścicielskiej i profilu ryzyka – oceny dokonuje sam podmiot, ale KNF może zakwestionować tę kwalifikację w toku kontroli. Błędna samoocena to jeden z najczęstszych błędów, które obserwujemy w praktyce.

Osobną kategorię stanowią zewnętrzni dostawcy usług ICT – tzw. TPSP (third-party service providers). Kluczowi dostawcy podlegają bezpośredniemu nadzorowi europejskich organów nadzorczych (ESA). Polskie podmioty finansowe muszą zadbać o to, by umowy z dostawcami ICT spełniały wymogi art. 30 DORA – w tym klauzule dotyczące audytów, lokalizacji danych i planów wyjścia. Brak odpowiednich klauzul umownych to luka, którą KNF może potraktować jako naruszenie.

Warto też pamiętać o przecięciu z AI Act (Rozporządzenie UE 2024/1689). Podmioty finansowe wdrażające systemy AI wysokiego ryzyka – np. w scoringu kredytowym – muszą spełniać jednocześnie wymogi DORA i AI Act. Zarządzanie ryzykiem ICT obejmuje wtedy również zarządzanie ryzykiem modelu.

Jakie obowiązki wdrożeniowe są wymagane natychmiast?

DORA wymaga od podmiotów finansowych czterech filarów operacyjnych. Każdy z nich ma konkretne terminy i konsekwencje. Poniżej lista działań, które powinny być już wdrożone lub w zaawansowanej fazie realizacji.

  • Ramy zarządzania ryzykiem ICT – udokumentowana polityka, zatwierdzona przez zarząd, obejmująca identyfikację, klasyfikację i ograniczanie ryzyk ICT.
  • Rejestr incydentów i raportowanie do KNF – poważne incydenty ICT wymagają zgłoszenia w ciągu 4 godzin od wykrycia (wstępne powiadomienie), a pełny raport – w ciągu 72 godzin.
  • Testy odporności cyfrowej – podstawowe testy co najmniej raz w roku; zaawansowane testy penetracyjne (TLPT) co trzy lata dla podmiotów wskazanych przez KNF.
  • Zarządzanie ryzykiem dostawców ICT – rejestr umów, klauzule DORA w kontraktach, plany wyjścia dla kluczowych dostawców.

Firma z sektora fintech działająca w Warszawie – obsługująca płatności dla kilkudziesięciu tysięcy użytkowników – odkryła jesienią 2024 r., że jej umowy z dostawcą chmury nie zawierają klauzul audytowych wymaganych przez DORA. Renegocjacja kontraktu z globalnym dostawcą zajęła trzy miesiące. Podmioty, które nie zaczęły tego procesu przed 17 stycznia 2025 r., są dziś w naruszeniu.

Punkt styku z RODO (Rozporządzenie UE 2016/679) jest tu istotny. Incydenty ICT często są jednocześnie naruszeniami ochrony danych osobowych. Podmiot finansowy musi wtedy raportować do KNF (DORA) i do PUODO (RODO) – w różnych terminach i w różnym formacie. Brak skoordynowanej procedury podwójnego raportowania to pułapka, w którą wpada wiele organizacji.

Dla podmiotów budujących programy compliance warto sięgnąć po ramy programu compliance – zarządzanie ryzykiem ICT powinno być częścią szerszej architektury zgodności, nie osobnym silosem.

Co grozi za brak wdrożenia i jak chronić zarząd?

DORA nie określa jednolitej stawki kary. Sankcje zależą od krajowych regulacji implementacyjnych i decyzji KNF. Polska ustawa o nadzorze nad rynkiem finansowym przewiduje kary administracyjne dla podmiotów nadzorowanych – w przypadku poważnych naruszeń mogą sięgać kilku procent rocznego obrotu. To kwoty rzędu kilku milionów złotych dla średniej wielkości instytucji.

Groźniejsza jest jednak odpowiedzialność osobista. Członkowie zarządu odpowiadają za zapewnienie zgodności z DORA. KNF może nałożyć zakaz pełnienia funkcji kierowniczych na osoby, które zaniedbały obowiązki nadzorcze w obszarze ICT. To nieodwracalna konsekwencja, której nie naprawia się późniejszym wdrożeniem.

Towarzystwo ubezpieczeniowe z Krakowa przeprowadzało wewnętrzny audyt ICT wiosną 2025 r. Audyt ujawnił brak formalnego rejestru incydentów za poprzedni rok. Zarząd podjął decyzję o natychmiastowym wdrożeniu procedur i dobrowolnym poinformowaniu KNF o stanie wdrożenia. Proaktywne podejście zmniejsza ryzyko sankcji – KNF premiuje transparentność.

Ochrona zarządu wymaga trzech elementów. Po pierwsze – udokumentowanej decyzji o wdrożeniu z datą i zakresem. Po drugie – przypisania odpowiedzialności konkretnej osobie (CISO lub równoważna funkcja). Po trzecie – cyklicznych raportów dla rady nadzorczej lub rady dyrektorów. Dokumentacja procesu jest tak samo ważna jak sam proces.

Podmioty zainteresowane oceną gotowości na wymogi DORA powinny działać teraz. Każdy miesiąc zwłoki zamyka możliwość proaktywnego zarządzania ryzykiem i przesuwa podmiot w stronę reaktywnego gaszenia pożarów pod presją KNF.

Konkretna sytuacja Państwa instytucji – zakres obowiązków, luki w umowach z dostawcami ICT, procedury raportowania – wymaga indywidualnej oceny. Zwłoka w jej przeprowadzeniu może zamknąć drogę do łagodniejszego traktowania przez KNF w razie incydentu.

Jeśli Państwa podmiot finansowy nie zakończył jeszcze wdrożenia DORA lub nie jest pewny zakresu swoich obowiązków – przeprowadzimy przegląd luk, ocenimy umowy z dostawcami ICT i opracujemy plan naprawczy: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym DORA, AI Act i RODO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

O autorze

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.