Cyberbezpieczeństwo

DORA w Polsce: wymogi dla sektora finansowego

DORA w Polsce — kogo obejmuje rozporządzenie, rola KNF, raportowanie incydentów ICT, rejestr informacji o umowach i pięć filarów odporności cyfrowej.

Also available in:English·Français·Español

W jednym zdaniu. DORA (rozporządzenie UE 2022/2554) obowiązuje wprost od 17 stycznia 2025 r. i nakłada na polskie podmioty finansowe nadzorowane przez KNF jednolite wymogi odporności cyfrowej — zarządzania ryzykiem ICT, raportowania incydentów, testowania i kontroli dostawców zewnętrznych.

DORA nie jest dyrektywą do wdrożenia — to rozporządzenie, które stosuje się bezpośrednio, bez potrzeby ustawy krajowej. Dla polskiego banku, ubezpieczyciela czy fintechu oznacza to, że wymogi już obowiązują, a organem, który je egzekwuje, jest Komisja Nadzoru Finansowego (KNF). Poniżej wyjaśniam, kogo DORA obejmuje, na czym polega pięć filarów rozporządzenia i jakie obowiązki operacyjne — rejestr informacji i raportowanie incydentów — są dziś najpilniejsze.

Najważniejsze punkty

  • DORA to rozporządzenie 2022/2554, stosowane bezpośrednio od 17 stycznia 2025 r.
  • Organem nadzoru w Polsce jest KNF.
  • Obejmuje m.in. banki, SKOK-i, TFI, zakłady ubezpieczeń, firmy inwestycyjne i licencjonowane fintechy.
  • Pięć filarów: zarządzanie ryzykiem ICT, incydenty, testy, ryzyko dostawców, wymiana informacji.
  • Podmioty prowadzą rejestr informacji o umowach z dostawcami ICT i przekazują go organowi.
  • Poważne incydenty ICT raportuje się do KNF w reżimie terminów określonych w RTS/ITS.

Kogo DORA obejmuje w Polsce

Zakres podmiotowy DORA jest szeroki — obejmuje niemal cały nadzorowany sektor finansowy. W polskich realiach to przede wszystkim: banki i oddziały instytucji kredytowych, spółdzielcze kasy oszczędnościowo-kredytowe (SKOK), towarzystwa funduszy inwestycyjnych i fundusze, zakłady ubezpieczeń i reasekuracji, firmy inwestycyjne (domy maklerskie), instytucje płatnicze i pieniądza elektronicznego, a także dostawców usług w zakresie kryptoaktywów licencjonowanych zgodnie z MiCA.

Co istotne, DORA obejmuje nie tylko same instytucje finansowe, lecz także — pośrednio — ich dostawców ICT. Kluczowi zewnętrzni dostawcy usług ICT mogą zostać objęci bezpośrednim nadzorem na poziomie unijnym. Dla polskiej instytucji oznacza to obowiązek starannego zarządzania łańcuchem dostawców chmury, oprogramowania i infrastruktury. Praktyczne aspekty ochrony danych w tym sektorze omawiam w tekście o RODO w sektorze bankowym i finansowym.

Zasadę proporcjonalności DORA stosuje wobec mikroprzedsiębiorstw i mniejszych podmiotów — nie wszystkie wymogi ciążą na nich w pełnym zakresie. Nie jest to jednak zwolnienie: to złagodzenie intensywności, nie zniesienie obowiązku. Mała firma inwestycyjna nie musi prowadzić zaawansowanych testów TLPT, ale nadal musi zarządzać ryzykiem ICT, prowadzić rejestr informacji i raportować poważne incydenty.

Warto podkreślić, że DORA harmonizuje wymogi, które wcześniej były rozproszone po różnych wytycznych KNF, EBA i EIOPA. Dla polskiej instytucji oznacza to, że wiele obowiązków — outsourcing chmurowy, ciągłość działania, zarządzanie incydentami — nie jest zupełnie nowych, lecz zostało ujednoliconych i zaostrzonych w jednym akcie o randze rozporządzenia. Kto rzetelnie stosował wcześniejsze wytyczne, ma solidny punkt startu; kto traktował je uznaniowo, ma najwięcej do nadrobienia.

Pięć filarów rozporządzenia

DORA porządkuje odporność cyfrową wokół pięciu obszarów:

Filar Istota Przepisy
Zarządzanie ryzykiem ICT ramy, polityki, odpowiedzialność zarządu art. 5–16
Zgłaszanie incydentów ICT klasyfikacja i raportowanie do organu art. 17–23
Testowanie odporności testy, w tym TLPT dla znaczących podmiotów art. 24–27
Ryzyko dostawców ICT rejestr informacji, wymogi umowne art. 28–44
Wymiana informacji dobrowolna wymiana o cyberzagrożeniach art. 45

Pierwszy filar przenosi odpowiedzialność za ryzyko ICT na organ zarządzający — to zarząd zatwierdza ramy i ponosi odpowiedzialność, podobnie jak w NIS2. Trzeci filar wprowadza regularne testy, a dla podmiotów o znaczeniu systemowym — zaawansowane testy penetracyjne oparte na scenariuszach zagrożeń (TLPT). Techniczne środki bezpieczeństwa, których DORA wymaga, są spójne z logiką art. 32 RODO, choć DORA idzie znacznie dalej w szczegółowości — wymaga między innymi udokumentowanych ram zarządzania ryzykiem, mechanizmów wykrywania anomalii, polityk ciągłości działania oraz planów przywracania po awarii, poddawanych regularnym przeglądom.

Rejestr informacji i raportowanie incydentów

Dwa obowiązki operacyjne wymagają uwagi w pierwszej kolejności.

Rejestr informacji o umowach ICT. Każdy podmiot prowadzi rejestr wszystkich ustaleń umownych dotyczących korzystania z usług ICT od dostawców zewnętrznych, w ustandaryzowanym formacie określonym w standardach technicznych. KNF cyklicznie zbiera te rejestry i przekazuje je na poziom europejski. To dokument, który przy dziesiątkach umów ICT — chmura, oprogramowanie, przetwarzanie płatności, utrzymanie — staje się nie do utrzymania w arkuszu: wymaga stałej aktualizacji, spójnej taksonomii i powiązania z każdym dostawcą. Każda z tych umów wymaga też odpowiednich zapisów, często zbieżnych z umową powierzenia przetwarzania danych.

Raportowanie poważnych incydentów ICT. Podmiot klasyfikuje incydenty według kryteriów DORA i zgłasza te poważne do KNF w reżimie trzech powiadomień — wstępnego, pośredniego i końcowego — w terminach określonych w standardach technicznych ESA. KNF publikuje komunikaty precyzujące kanały i format przekazywania zgłoszeń oraz rejestru informacji; ich aktualne brzmienie warto śledzić na stronie urzędu, bo to obszar dynamicznie doprecyzowywany.

Praktyka pokazuje, że oba obowiązki są ze sobą powiązane: rzetelny rejestr informacji jest warunkiem szybkiego raportowania incydentu, bo gdy incydent dotyczy konkretnego dostawcy, organ oczekuje natychmiastowego wskazania, jaka umowa, jaka usługa i jaki poziom krytyczności są w grę zaangażowane. Organizacja, która nie wie, ilu ma dostawców ICT i jakie funkcje krytyczne im powierzyła, nie jest w stanie ani ocenić ryzyka, ani rzetelnie zaraportować incydentu w wyznaczonym terminie.

Sankcje i odpowiedzialność zarządu

DORA nie ustanawia jednej unijnej tabeli kar na wzór art. 83 RODO — pozostawia państwom członkowskim określenie sankcji administracyjnych i środków naprawczych, wymagając jedynie, by były skuteczne, proporcjonalne i odstraszające. W polskim porządku to KNF dysponuje instrumentarium nadzorczym wobec podmiotów finansowych: od zaleceń, przez kary pieniężne, po środki wobec osób pełniących funkcje kierownicze.

Najważniejsza zmiana jakościowa dotyczy odpowiedzialności organu zarządzającego. DORA wprost obarcza zarząd odpowiedzialnością za ramy zarządzania ryzykiem ICT — to nie może być już wyłącznie sprawa działu IT. Zarząd zatwierdza strategię odporności cyfrowej, zapewnia zasoby i jest rozliczany z jej wdrożenia. Ta konstrukcja jest zbieżna z logiką odpowiedzialności kierownictwa w NIS2 i realnie podnosi wagę tematu na poziomie decyzyjnym. Organizacje, które chcą uporządkować dokumentację ryzyka ICT i przygotowanie do nadzoru, sięgają po dedykowane oprogramowanie do zgodności z DORA, zamiast utrzymywać rozproszone arkusze.

DORA a NIS2 — nie mylić reżimów

Dla podmiotu finansowego DORA jest lex specialis wobec NIS2 w zakresie ryzyka ICT — instytucja objęta DORA stosuje jej wymogi zamiast ogólnych wymogów NIS2 dotyczących cyberbezpieczeństwa. Nie znaczy to, że NIS2 znika z pola widzenia grupy kapitałowej: podmioty niefinansowe w grupie mogą podlegać reżimowi krajowego systemu cyberbezpieczeństwa. Relację tych dwóch reżimów oraz stan wdrożenia NIS2 w Polsce opisuję w tekście o implementacji NIS2 w Polsce. Utrzymanie rejestru informacji, dokumentacji ryzyka ICT i ewidencji incydentów w jednym, audytowalnym systemie — zamiast w rozproszonych arkuszach — to obszar, w którym platformy compliance, takie jak Legiscope, realnie skracają przygotowanie do przeglądu nadzorczego KNF.

FAQ

Czy DORA wymaga wdrożenia do prawa polskiego?

Nie w klasycznym sensie. DORA jest rozporządzeniem i obowiązuje bezpośrednio od 17 stycznia 2025 r. Ustawodawca krajowy dostosowuje jedynie przepisy o nadzorze i sankcjach oraz wyznacza właściwe kompetencje KNF — sama treść obowiązków wynika wprost z rozporządzenia i standardów technicznych ESA.

Kto w Polsce nadzoruje zgodność z DORA?

Komisja Nadzoru Finansowego (KNF). To do KNF podmioty raportują poważne incydenty ICT i przekazują rejestr informacji o umowach z dostawcami ICT. Kluczowi dostawcy ICT o znaczeniu systemowym mogą dodatkowo podlegać nadzorowi na poziomie europejskich urzędów nadzoru.

Czy fintech bez licencji bankowej podlega DORA?

To zależy od statusu regulacyjnego. DORA obejmuje instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne oraz dostawców usług w zakresie kryptoaktywów. Fintech działający na podstawie licencji KNF w jednej z tych kategorii podlega DORA — z uwzględnieniem zasady proporcjonalności dla mniejszych podmiotów. Sam fakt bycia “firmą technologiczną” nie zwalnia z obowiązków; decyduje status regulacyjny, a nie branżowa autoidentyfikacja.


Źródła: Rozporządzenie DORA 2022/2554 w EUR-Lex (CELEX 32022R2554) · Komisja Nadzoru Finansowego · Europejski Urząd Nadzoru Bankowego (EBA)

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →