Firma finansowa z Mazowsza dostaje w poniedziałek rano e-mail od dostawcy oprogramowania: "systemy niedostępne, czas przywrócenia nieznany". Zarząd nie wie, czy incydent trzeba zgłosić do KNF w ciągu 4 godzin. Dział IT nie ma udokumentowanego rejestru zależności od dostawców zewnętrznych. Prawnicy nie widzieli umów outsourcingowych od dwóch lat. To nie jest scenariusz z ćwiczeń – to rzeczywistość polskich podmiotów finansowych po 17 stycznia 2025 r.
Rozporządzenie DORA (Rozporządzenie UE 2022/2554) nakłada na podmioty finansowe działające w Polsce obowiązek wdrożenia kompleksowego systemu zarządzania ryzykiem ICT. Przepisy obowiązują od 17 stycznia 2025 roku i obejmują banki, zakłady ubezpieczeń, firmy inwestycyjne, instytucje płatnicze oraz inne podmioty nadzorowane przez KNF. Za naruszenia grożą sankcje administracyjne, a w skrajnych przypadkach – odpowiedzialność osobista członków zarządu.
Ten przewodnik omawia cztery obszary: zakres podmiotowy DORA w Polsce, obowiązki w zakresie zarządzania ryzykiem ICT, pułapki wdrożeniowe oraz aspekty transgraniczne. Każda sekcja kończy się punktem kontrolnym do samodzielnej oceny gotowości.
Kogo obejmuje DORA i jakie podmioty nadzoruje KNF?
DORA stosuje się do szerokiego katalogu podmiotów finansowych. Obejmuje banki krajowe, oddziały banków zagranicznych, zakłady ubezpieczeń, towarzystwa funduszy inwestycyjnych, firmy inwestycyjne, instytucje płatnicze, biura usług płatniczych oraz dostawców usług kryptoaktywów. W Polsce organem nadzoru jest Komisja Nadzoru Finansowego (KNF), która koordynuje wykonanie rozporządzenia na poziomie krajowym. Europejski Urząd Nadzoru Bankowego (EBA), ESMA i EIOPA wydały wspólne standardy techniczne (RTS/ITS) uszczegóławiające wymogi.
Rozporządzenie wprowadza podział na podmioty objęte pełnymi wymogami i podmioty korzystające z uproszczonego reżimu. Małe i niepowiązane instytucje inwestycyjne, małe instytucje pracowniczych programów emerytalnych oraz niektóre instytucje płatnicze mogą stosować uproszczone ramy zarządzania ryzykiem ICT. Próg "małego podmiotu" zależy od kryteriów bilansowych i zakresu działalności – decyzja o kwalifikacji powinna być udokumentowana i przechowywana do kontroli KNF.
Szczególną kategorią są tzw. kluczowi zewnętrzni dostawcy usług ICT (Critical Third-Party Providers – CTPP). Europejski Urząd Nadzoru wyznacza ich na poziomie unijnym. Polskie podmioty finansowe korzystające z usług CTPP muszą uwzględnić ten status w umowach i planach ciągłości działania. W praktyce – wiele firm o tym zapomina – umowy zawarte przed 17 stycznia 2025 r. wymagają renegocjacji lub aneksowania w zakresie klauzul DORA.
Zarządzanie ryzykiem ICT w polskich podmiotach finansowych nie zaczyna się od wdrożenia systemu informatycznego. Zaczyna się od ustalenia, czy dany podmiot jest w ogóle objęty rozporządzeniem i w jakim zakresie. Ten krok jest często pomijany – z konsekwencjami widocznymi dopiero podczas kontroli.
Jakie są główne obowiązki w zakresie zarządzania ryzykiem ICT?
DORA wyróżnia pięć filarów zarządzania ryzykiem ICT. Są to: (1) ramy zarządzania ryzykiem ICT, (2) zarządzanie incydentami i ich raportowanie, (3) testowanie odporności cyfrowej, (4) zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT, (5) wymiana informacji o zagrożeniach cybernetycznych. Każdy filar generuje konkretne obowiązki dokumentacyjne i proceduralne.
Ramy zarządzania ryzykiem ICT muszą być zatwierdzone przez organ zarządzający – nie przez dział IT. Zarząd odpowiada za politykę ICT, jej coroczny przegląd i szkolenia własne w zakresie ryzyka cyfrowego. Minimalny zakres ram obejmuje: identyfikację aktywów ICT, ocenę ryzyka, środki ochrony i zapobiegania, procedury wykrywania anomalii, plany ciągłości działania ICT oraz politykę tworzenia kopii zapasowych z docelowym czasem odtworzenia (RTO) i docelowym punktem odtworzenia (RPO).
Raportowanie incydentów ICT to obszar, który generuje najwięcej pytań praktycznych. Poważne incydenty (major ICT-related incidents) muszą być zgłaszane do KNF w trzech etapach: wstępne powiadomienie (initial notification) – w ciągu 4 godzin od sklasyfikowania incydentu jako poważny, raport pośredni – w ciągu 72 godzin, raport końcowy – w ciągu miesiąca od zamknięcia incydentu. Klasyfikacja incydentu jako "poważnego" zależy od kryteriów RTS wydanych przez EBA, ESMA i EIOPA.
Testowanie odporności cyfrowej obejmuje podstawowe testy (wszystkie podmioty, co najmniej raz w roku) oraz zaawansowane testy penetracyjne oparte na analizie zagrożeń (TLPT – Threat-Led Penetration Testing). TLPT są obowiązkowe dla podmiotów uznanych za istotne przez właściwy organ nadzoru. Harmonogram testów musi być udokumentowany, a wyniki – raportowane do organu zarządzającego.
Jakie pułapki wdrożeniowe czekają na polskie podmioty finansowe?
Pierwsze i najczęstsze pułapki dotyczą rejestru umów z zewnętrznymi dostawcami ICT. DORA wymaga prowadzenia szczegółowego rejestru wszystkich umów outsourcingowych i suboutsourcingowych dotyczących funkcji ICT. Rejestr musi zawierać dane o dostawcy, zakresie usług, lokalizacji przetwarzania danych, poziomach usług (SLA) oraz prawach do audytu. Podmioty, które nie prowadziły takiego rejestru przed 2025 r., musiały go zbudować od zera – często odkrywając przy tym umowy zapomniane przez działy IT.
Instytucja płatnicza z Małopolski w jesieni 2024 r. przystąpiła do inwentaryzacji umów ICT. Okazało się, że korzysta z 47 zewnętrznych dostawców, z których tylko 12 miało umowy spełniające minimalne wymogi DORA dotyczące klauzul umownych. Renegocjacja pozostałych 35 umów zajęła cztery miesiące i wymagała zaangażowania zewnętrznej kancelarii prawnej.
Druga pułapka to klauzule umowne z dostawcami. DORA określa minimalny katalog postanowień, które muszą znaleźć się w każdej umowie z dostawcą usług ICT. Obejmują one prawo do audytu, obowiązek powiadamiania o incydentach po stronie dostawcy, prawo do rozwiązania umowy w przypadku naruszenia bezpieczeństwa, obowiązek współpracy przy testach odporności oraz klauzule dotyczące lokalizacji danych. Brak choćby jednej z tych klauzul może być traktowany jako naruszenie rozporządzenia – odpowiedzialność spoczywa na podmiocie finansowym, nie na dostawcy.
Trzecia pułapka dotyczy nakładania się DORA z innymi reżimami regulacyjnymi. RODO (Rozporządzenie UE 2016/679) nakłada obowiązki w zakresie ochrony danych osobowych, które krzyżują się z wymogami DORA dotyczącymi bezpieczeństwa ICT. Podobnie AI Act (Rozporządzenie UE 2024/1689) wprowadza wymogi dla systemów AI wysokiego ryzyka stosowanych w sektorze finansowym – w obszarach scoringu kredytowego, oceny ryzyka ubezpieczeniowego czy systemów transakcyjnych. Zarządzanie ryzykiem ICT musi uwzględniać wszystkie trzy reżimy jednocześnie.
- Brak rejestru umów ICT – najczęstsza przyczyna niezgodności podczas kontroli KNF
- Umowy z dostawcami bez klauzul DORA – odpowiedzialność po stronie podmiotu finansowego
- Niezdefiniowane kryteria klasyfikacji incydentów – ryzyko przekroczenia terminu 4 godzin
- Brak zatwierdzenia ram ICT przez zarząd – naruszenie wymogów governance
- Pominięcie nakładania się DORA z RODO i AI Act – luki w systemie compliance
Konkretna sytuacja Państwa instytucji może wymagać natychmiastowej weryfikacji umów z dostawcami ICT. Każdy tydzień zwłoki zwiększa ryzyko nieodwracalnego naruszenia wymogów rozporządzenia i potencjalnych sankcji KNF.
Jeśli Państwa podmiot finansowy nie przeprowadził jeszcze audytu zgodności z DORA – przeprowadzimy analizę umów ICT, przygotujemy rejestr dostawców i opracujemy plan naprawczy: info@kordeckipartners.com.
Jak DORA współdziała z RODO, AI Act i regulacjami transgranicznymi?
Polskie podmioty finansowe działające w więcej niż jednej jurysdykcji stają przed złożonym zadaniem koordynacji wymogów. DORA jest rozporządzeniem unijnym – stosuje się bezpośrednio we wszystkich państwach członkowskich bez implementacji krajowej. Jednak organy nadzoru w poszczególnych krajach (KNF w Polsce, BaFin w Niemczech, FCA w Wielkiej Brytanii po Brexicie) mogą stosować przepisy z różną intensywnością i interpretacją.
Dla polskiego podmiotu z oddziałem w Niemczech obowiązki DORA dotyczą całej grupy. Macierzysty organ nadzoru (KNF) jest odpowiedzialny za nadzór skonsolidowany w zakresie ICT. BaFin może jednak prowadzić własne kontrole oddziału. W praktyce oznacza to konieczność przygotowania dokumentacji DORA w dwóch językach i dostosowanej do dwóch systemów raportowania.
RODO i DORA nakładają się w kilku obszarach. Incydent ICT dotyczący danych osobowych jest jednocześnie naruszeniem ochrony danych w rozumieniu art. 33 RODO (obowiązek zgłoszenia do UODO w ciągu 72 godzin) i potencjalnym "poważnym incydentem ICT" w rozumieniu DORA (zgłoszenie do KNF). Procedury raportowania muszą być zsynchronizowane – dwa odrębne kanały zgłoszeń, dwa różne terminy, dwie różne treści raportu. Podmiot, który nie zsynchronizuje tych procedur, ryzykuje naruszenie obu rozporządzeń jednocześnie.
AI Act wprowadza dodatkową warstwę dla podmiotów stosujących systemy AI w obszarach wysokiego ryzyka. Systemy AI używane do scoringu kredytowego, oceny wypłacalności ubezpieczeniowej lub handlu algorytmicznego są klasyfikowane jako wysokiego ryzyka. Wymagają oceny zgodności, rejestru systemów AI i nadzoru ludzkiego. Zarządzanie ryzykiem ICT musi obejmować te systemy – zarówno pod kątem DORA, jak i AI Act. Uważamy, że bezpieczniejszym rozwiązaniem jest stworzenie jednej zintegrowanej mapy ryzyk ICT, która obejmuje wszystkie trzy reżimy regulacyjne.
Znak towarowy i ochrona danych to obszary, które – choć pozornie odległe od DORA – stają się istotne przy naruszeniach bezpieczeństwa ICT. Wyciek danych klientów może naruszać prawa do wizerunku i stanowić podstawę roszczeń odszkodowawczych. Więcej o środkach prawnych w tym zakresie można przeczytać w analizie naruszenia znaku towarowego i środków prawnych w Polsce.
Checklist: jak ocenić gotowość na DORA?
Samodzielna ocena gotowości powinna objąć pięć obszarów. Każdy z nich odpowiada jednemu filarowi DORA i generuje konkretne pytania kontrolne. Wynik tej oceny powinien trafić do zarządu – to organ zarządzający odpowiada za ramy ICT, nie dział compliance.
- Ramy zarządzania ryzykiem ICT: czy zarząd zatwierdził politykę ICT w 2025 r.? Czy przeprowadzono coroczny przegląd? Czy zarząd odbył szkolenie z ryzyka cyfrowego?
- Rejestr umów ICT: czy istnieje kompletny rejestr wszystkich dostawców ICT? Czy umowy zawierają klauzule wymagane przez DORA (prawo do audytu, powiadomienie o incydentach, lokalizacja danych)?
- Procedury incydentowe: czy zdefiniowano kryteria klasyfikacji incydentów? Czy istnieje procedura powiadomienia KNF w ciągu 4 godzin? Czy przeprowadzono symulację incydentu?
- Testowanie odporności: czy zaplanowano testy podstawowe na 2025 r.? Czy podmiot podlega wymogowi TLPT? Czy wyniki poprzednich testów były raportowane zarządowi?
- Koordynacja z RODO i AI Act: czy procedury raportowania incydentów są zsynchronizowane z obowiązkami UODO? Czy zidentyfikowano systemy AI wysokiego ryzyka stosowane przez podmiot?
Firma inwestycyjna ze Śląska w zimie 2025 r. przeprowadziła wewnętrzny audit DORA przy użyciu podobnej listy. Wynik: 3 z 5 obszarów wymagały natychmiastowych działań naprawczych. Największa luka dotyczyła procedur incydentowych – brak zdefiniowanej ścieżki eskalacji do KNF. Plan naprawczy zamknięto w ciągu 8 tygodni przy wsparciu zewnętrznej kancelarii.
Podmioty finansowe o bardziej złożonej strukturze – np. grupy kapitałowe z udziałem funduszu inwestycyjnego i spółek operacyjnych – powinny rozważyć, czy optymalna struktura właścicielska wspiera zarządzanie ryzykiem ICT na poziomie grupy. Zagadnienie to omawia analiza fundacja rodzinna czy holding – która struktura pasuje.
Konkretna sytuacja Państwa podmiotu finansowego wymaga indywidualnej oceny gotowości na DORA. Brak udokumentowanych ram zarządzania ryzykiem ICT może prowadzić do nieodwracalnych konsekwencji – sankcji KNF, odpowiedzialności osobistej zarządu i utraty licencji.
Jeśli Państwa instytucja finansowa nie zakończyła wdrożenia DORA lub potrzebuje weryfikacji zgodności – przeprowadzimy audyt umów ICT, opracujemy procedury incydentowe i przygotujemy dokumentację dla KNF: info@kordeckipartners.com.
Często zadawane pytania
P: Czy małe instytucje płatnicze w Polsce muszą spełniać wszystkie wymogi DORA?
O: Nie wszystkie. DORA przewiduje uproszczony reżim zarządzania ryzykiem ICT dla małych i niepowiązanych podmiotów finansowych. Kwalifikacja do tego reżimu zależy od kryteriów bilansowych i zakresu działalności określonych w rozporządzeniu. Jednak nawet małe podmioty muszą prowadzić rejestr umów ICT i zgłaszać poważne incydenty do KNF. Decyzja o zastosowaniu uproszczonego reżimu powinna być udokumentowana i dostępna na żądanie organu nadzoru.
P: W jakim terminie trzeba zgłosić incydent ICT do KNF i co grozi za przekroczenie terminu?
O: Wstępne powiadomienie o poważnym incydencie ICT musi trafić do KNF w ciągu 4 godzin od sklasyfikowania go jako poważnego. Następnie podmiot ma 72 godziny na raport pośredni i miesiąc na raport końcowy. Przekroczenie terminu może skutkować sankcjami administracyjnymi ze strony KNF, włącznie z karą pieniężną i publicznym ostrzeżeniem. Kluczowe jest wcześniejsze zdefiniowanie kryteriów klasyfikacji incydentu – bez jasnej procedury wewnętrznej termin 4 godzin jest praktycznie niemożliwy do dotrzymania.
P: Czy DORA zastępuje dotychczasowe wytyczne KNF dotyczące outsourcingu i bezpieczeństwa ICT?
O: DORA jako rozporządzenie unijne ma pierwszeństwo przed krajowymi wytycznymi KNF w zakresie objętym jego stosowaniem. Jednak KNF może wydawać dodatkowe wytyczne krajowe w obszarach, które rozporządzenie pozostawia do regulacji krajowej. Podmioty finansowe powinny monitorować komunikaty KNF po 17 stycznia 2025 roku, ponieważ organ nadzoru może wydawać stanowiska interpretacyjne dotyczące stosowania przepisów DORA w polskim kontekście regulacyjnym. Stare wytyczne KNF w zakresie outsourcingu ICT należy traktować jako uzupełniające, a nie zastępujące wymogi rozporządzenia.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym DORA, AI Act i RODO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
O autorze
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Data publikacji: 09.04.2026
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.