Współczesny sektor finansowy jest silnie uzależniony od technologii informacyjno-komunikacyjnych (ICT), co sprawia, że każda awaria, cyberatak czy przerwa w działaniu systemu może zagrozić stabilności całego rynku finansowego.
Rozporządzenie DORA wprowadza jednolite standardy odporności cyfrowej w całej Unii Europejskiej, dzięki czemu instytucje finansowe mogą szybciej reagować na incydenty i skuteczniej ograniczać ich wpływ.
Nowe przepisy wymuszają tworzenie spójnych procesów bezpieczeństwa — od zarządzania ryzykiem, przez testy odporności, po raportowanie i wymianę informacji — budując tym samym fundamenty nowoczesnej, bezpiecznej infrastruktury finansowej.
Czym jest rozporządzenie DORA?
DORA (Digital Operational Resilience Act) to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554, które ustanawia jednolite ramy w zakresie cyfrowej odporności operacyjnej podmiotów z sektora finansowego. Jego celem jest zapewnienie, aby wszystkie instytucje finansowe w Unii Europejskiej były przygotowane na zakłócenia technologiczne, incydenty cyberbezpieczeństwa oraz awarie systemów IT.
Rozporządzenie DORA (UE) 2022/2554 zostało formalnie przyjęte w grudniu 2022 roku i weszło w życie 16 stycznia 2023 roku. Kluczową datą dla sektora finansowego jest jednak 17 stycznia 2025 r. Od tego dnia Rozporządzenie DORA jest stosowane w całej Unii Europejskiej, co oznacza, że wszystkie podmioty finansowe oraz ich kluczowi dostawcy ICT muszą być w pełni zgodni z nowymi wymogami.
W Polsce ustawa krajowa, która zapewnia stosowanie DORA oraz doprecyzowuje kwestie nadzoru, weszła w życie 7 sierpnia 2025 r. Ustawa ta określiła szczegółowo kompetencje Komisji Nadzoru Finansowego (KNF) jako organu nadzoru, wprowadziła sankcje administracyjne oraz zdefiniowała krajowe procedury raportowania incydentów i zgłaszania dostawców ICT.
Dlaczego DORA jest tak ważna?
W erze cyfrowej transformacji sektor finansowy w ogromnym stopniu zależy od technologii. Awaria systemu bankowego, atak ransomware czy przerwa w działaniu kluczowych usług IT może sparaliżować działalność instytucji i zagrozić stabilności rynku.
DORA ma temu zapobiec — ujednolica standardy odporności cyfrowej w całej Unii Europejskiej. Nowe przepisy nie tylko zwiększają bezpieczeństwo i stabilność infrastruktury finansowej, ale też budują zaufanie klientów i partnerów biznesowych.
Dla firm technologicznych, zwłaszcza dostawców usług chmurowych i fintechów, DORA to również szansa – dostosowanie do wymogów regulacyjnych potwierdza ich wiarygodność i umożliwia współpracę z największymi instytucjami finansowymi w Europie.
Kogo dotyczy rozporządzenie DORA?
DORA obejmuje ponad 20 kategorii podmiotów finansowych, w tym m.in.:
- banki i instytucje kredytowe,
- firmy inwestycyjne i towarzystwa funduszy inwestycyjnych,
- zakłady ubezpieczeń i reasekuracji,
- instytucje płatnicze, fintechy i biura informacji gospodarczej,
- operatorów giełd, izb rozliczeniowych i systemów obrotu,
- dostawców usług związanych z aktywami cyfrowymi (np. usługi związane z kryptowalutami)
- dostawców usług chmurowych oraz inne firmy ICT świadczące usługi dla sektora finansowego.
Choć DORA koncentruje się na sektorze finansowym, obejmuje także dostawców usług ICT współpracujących z instytucjami finansowymi — zwłaszcza jeśli ci dostawcy są krytyczni dla funkcjonowania tych instytucji.
W praktyce oznacza to, że firma technologiczna, dostarczająca usługi chmurowe, centra danych, oprogramowanie (SaaS) lub inne komponenty ICT, może być zobowiązana do dostosowania części swoich procesów, umów, nadzoru i zgodności, w celu wspierania klientów z sektora finansowego w realizacji wymogów DORA. W niektórych przypadkach firmy te mogą podlegać także bezpośredniemu nadzorowi unijnemu.
Kto odpowiada za wdrożenie DORA w organizacji?
Za pełne wdrożenie i utrzymanie zgodności z wymogami DORA odpowiada zarząd instytucji finansowej (organ zarządzający). Odpowiedzialność ta ma charakter bezpośredni i nie może zostać przeniesiona wyłącznie na dział IT czy zewnętrznych dostawców.
Zarząd ma obowiązek:
- określić i zatwierdzić strategię cyberbezpieczeństwa oraz polityki zarządzania ryzykiem ICT,
- nadzorować wdrażanie i skuteczność mechanizmów bezpieczeństwa,
- zapewnić zasoby finansowe i kadrowe niezbędne do realizacji wymogów DORA,
- organizować szkolenia i budować świadomość wśród pracowników w zakresie ryzyka technologicznego.
Oznacza to, że kwestie cyberbezpieczeństwa i odporności operacyjnej stają się strategicznym obowiązkiem kierownictwa, a nie jedynie zadaniem działów technicznych. W praktyce DORA wymaga, aby bezpieczeństwo cyfrowe było trwale wpisane w kulturę zarządzania organizacją.
Najważniejsze obowiązki wynikające z DORA
Rozporządzenie DORA opiera się na pięciu filarach odporności cyfrowej, które tworzą kompleksowe ramy zarządzania ryzykiem technologicznym w sektorze finansowym. Wszystkie instytucje finansowe oraz ich dostawcy usług ICT mają obowiązek zapewnić zgodność z poniższymi zasadami.
1. Zarządzanie ryzykiem ICT
To fundament całego rozporządzenia DORA. Każda organizacja zobowiązana jest do wdrożenia zintegrowanego systemu zarządzania ryzykiem ICT, który obejmuje:
- identyfikację, klasyfikację i ocenę wszystkich funkcji biznesowych oraz systemów ICT, w tym tych krytycznych i istotnych,
- mapowanie zależności między systemami, danymi i dostawcami,
- opracowanie polityk bezpieczeństwa informacji, procedur reagowania na incydenty oraz planów ciągłości działania (BCP/DRP),
- regularne przeglądy i aktualizacje strategii bezpieczeństwa w zależności od zmian w środowisku technologicznym.
Zgodnie z DORA, zarząd i najwyższe kierownictwo ponoszą pełną odpowiedzialność za skuteczność ram zarządzania ryzykiem ICT oraz ich zgodność z wymogami nadzorczymi.
W Polsce obowiązek ten jest nadzorowany przez Komisję Nadzoru Finansowego (KNF).
2. Zgłaszanie incydentów ICT
DORA wprowadza ujednolicone zasady monitorowania, klasyfikacji i raportowania incydentów cyberbezpieczeństwa.
Instytucje finansowe muszą posiadać procedury umożliwiające:
- kategoryzację incydentów (w tym identyfikację „poważnych incydentów ICT”),
- dokumentowanie i analizę skutków każdego zdarzenia,
- zgłaszanie poważnych incydentów do właściwego organu nadzoru – w Polsce jest to KNF – w określonych, krótkich terminach.
Zgłoszenia incydentów odbywają się poprzez krajowe systemy nadzorowane przez KNF:
System Sprawozdawczości DORA (SSD) oraz System Obsługi Incydentów CSIRT KNF.
Proces raportowania składa się z trzech etapów:
- Raport wstępny – przekazywany niezwłocznie po wykryciu incydentu,
- Raport postępowy – zawierający informacje o działaniach naprawczych,
- Raport końcowy – z analizą przyczyn i wdrożonych środków zapobiegawczych.
Celem tych obowiązków jest zapewnienie szybkiej reakcji i wymiany informacji o zagrożeniach w całej UE, co wzmacnia bezpieczeństwo sektora finansowego.
3. Testowanie odporności operacyjnej
Każda instytucja finansowa musi regularnie sprawdzać swoją zdolność do działania w sytuacjach kryzysowych.
DORA nakłada obowiązek prowadzenia testów odporności cyfrowej, które obejmują:
- testy penetracyjne, testy scenariuszowe oraz analizy luk w zabezpieczeniach,
- symulacje awarii systemów, utraty danych lub ataków cybernetycznych,
- ocenę skuteczności procedur reagowania na incydenty i planów ciągłości działania.
W przypadku podmiotów o kluczowym znaczeniu systemowym (np. dużych banków, giełd, TFI), obowiązkowe są testy typu TLPT – Threat-Led Penetration Testing.
Są to zaawansowane testy penetracyjne oparte na rzeczywistych scenariuszach zagrożeń, które muszą być przeprowadzane co najmniej raz na trzy lata przez niezależnych audytorów lub wyspecjalizowane zespoły red teamowe.
Wyniki testów powinny być dokumentowane, a zalecenia naprawcze wdrażane w określonych terminach. KNF może żądać przedstawienia raportów z testów lub ich streszczeń.
4. Zarządzanie ryzykiem stron trzecich (outsourcing ICT)
DORA kładzie ogromny nacisk na zarządzanie ryzykiem związanym z dostawcami zewnętrznymi, w szczególności dostawcami usług ICT i chmurowych.
Każda instytucja finansowa musi:
- prowadzić rejestr wszystkich umów outsourcingowych, z wyróżnieniem tych dotyczących funkcji krytycznych lub istotnych,
- analizować ryzyko koncentracji (np. poleganie na jednym dostawcy chmurowym),
- zapewnić możliwość audytu dostawców przez instytucję finansową lub organ nadzoru,
- wprowadzić do umów ICT klauzule dotyczące: bezpieczeństwa, poufności danych, obowiązków raportowych, lokalizacji przetwarzania danych, planów wyjścia (exit plans) oraz warunków rozwiązania umowy.
W Polsce KNF wymaga okresowej aktualizacji rejestru umów ICT oraz oceny ryzyka outsourcingowego.
Co istotne, najwięksi dostawcy technologiczni mogą podlegać bezpośredniemu nadzorowi unijnemu – np. ze strony Europejskiego Urzędu Nadzoru Bankowego (EBA) lub Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych (ESMA).
5. Wymiana informacji o zagrożeniach i współpraca
Ostatni filar DORA promuje współpracę i wymianę informacji o zagrożeniach cybernetycznych między instytucjami finansowymi, dostawcami usług ICT oraz organami nadzoru.
Celem jest zbudowanie wspólnego ekosystemu bezpieczeństwa i podniesienie odporności całego sektora finansowego w UE.
Instytucje mogą:
- uczestniczyć w branżowych inicjatywach wymiany informacji (tzw. threat intelligence sharing),
- korzystać z platform współdzielonych przez podmioty publiczne i prywatne,
- dzielić się doświadczeniami, analizami i danymi o incydentach – z zachowaniem pełnej poufności i zgodności z RODO.
Współpraca ta jest dobrowolna, ale silnie rekomendowana przez EBA i KNF, ponieważ znacząco zwiększa skuteczność reakcji na nowe typy zagrożeń.
DORA w Polsce – wdrożenie i krajowy nadzór nad zgodnością
Od 17 stycznia 2025 r. rozporządzenie DORA jest w pełni stosowane we wszystkich państwach Unii Europejskiej. W Polsce jego implementację zapewnia ustawa wdrażająca z dnia 7 sierpnia 2025 r., która doprecyzowuje krajowe zasady nadzoru i egzekwowania przepisów.
Zgodnie z ustawą:
- Komisja Nadzoru Finansowego (KNF) pełni funkcję głównego organu nadzoru nad wdrożeniem DORA,
- wprowadzone zostały sankcje administracyjne i finansowe za naruszenia obowiązków wynikających z rozporządzenia,
- określono szczegółowe procedury raportowania incydentów ICT oraz obowiązek korzystania z krajowych systemów — Systemu Sprawozdawczości DORA (SSD) i Systemu Obsługi Incydentów CSIRT KNF,
- przepisy zostały powiązane z wymogami dyrektywy NIS2, co pozwala na spójne zarządzanie bezpieczeństwem cyfrowym w całym kraju.
Obecnie KNF prowadzi już regularne działania nadzorcze, kontrole oraz inicjatywy edukacyjne, wspierające instytucje finansowe w procesie dostosowania się do wymogów DORA. Każda organizacja działająca w tym sektorze musi być przygotowana na audyt zgodności i bieżące raportowanie swoich działań w obszarze odporności cyfrowej.
Jak przygotować organizację do pełnej zgodności z DORA?
Dostosowanie organizacji do wymogów DORA to proces wymagający zarówno strategicznego planowania, jak i zaangażowania wszystkich szczebli zarządzania. Aby osiągnąć pełną zgodność i zbudować realną odporność cyfrową, warto podejść do tego etapowo i kompleksowo.
- Przeprowadź audyt zgodności – sprawdź, czy obecne systemy ICT, procesy bezpieczeństwa i polityki zarządzania ryzykiem są zgodne z wymaganiami DORA. Audyt pozwoli zidentyfikować luki i ustalić priorytety działań naprawczych.
- Zaktualizuj polityki i procedury bezpieczeństwa – uzupełnij je o plan ciągłości działania (BCP/DRP), procedury reagowania na incydenty i obowiązki raportowe wynikające z przepisów.
- Wdroż system zarządzania incydentami – przygotuj organizację do szybkiego wykrywania, analizy i raportowania incydentów ICT zgodnie z wymaganiami KNF i unijnymi standardami.
- Zrewiduj umowy z dostawcami IT – uwzględnij zapisy dotyczące audytów, odpowiedzialności, planów wyjścia (exit plans), lokalizacji danych i pełnej zgodności z DORA.
- Zorganizuj szkolenia dla kadry zarządzającej i zespołów IT – upewnij się, że osoby odpowiedzialne za strategię, nadzór i bezpieczeństwo rozumieją swoje obowiązki w zakresie ryzyka ICT.
- Regularnie testuj odporność cyfrową – realizuj testy techniczne i organizacyjne, a w przypadku większych instytucji przeprowadzaj testy TLPT (Threat-Led Penetration Testing), które symulują rzeczywiste ataki.
- Zadbaj o terminowe raportowanie incydentów – utrzymuj gotowość operacyjną i zgodność z wymogami sprawozdawczymi, korzystając z krajowych systemów raportowych KNF.
Wdrożenie DORA to nie jednorazowy projekt, lecz ciągły proces doskonalenia odporności cyfrowej. Odpowiednie przygotowanie nie tylko minimalizuje ryzyko sankcji, ale też zwiększa zaufanie klientów i stabilność biznesową.
Skontaktuj się z nami, aby dowiedzieć się więcej o tym, jak przygotować swoją organizację do wymogów DORA. Pomożemy Ci wdrożyć nowe regulacje, zwiększyć odporność cyfrową i zapewnić pełną zgodność z europejskimi standardami bezpieczeństwa operacyjnego.
Dlaczego DORA to nie tylko obowiązek, ale i szansa?
Choć wdrożenie rozporządzenia DORA (Digital Operational Resilience Act) wymaga od instytucji finansowych znacznych inwestycji — zarówno w procesy, jak i w technologie oraz kompetencje pracowników — to jest to krok, który przynosi realne, długofalowe korzyści. DORA nie jest wyłącznie zbiorem przepisów do wypełnienia, ale strategiczną inwestycją w bezpieczeństwo, stabilność i wiarygodność organizacji.
Instytucje, które skutecznie dostosowały się do wymogów DORA, zyskują nie tylko zgodność regulacyjną, lecz także przewagę konkurencyjną. Dzięki wyższemu poziomowi odporności operacyjnej i przejrzystości w zarządzaniu ryzykiem są postrzegane przez klientów, partnerów biznesowych i inwestorów jako pewni i bezpieczni gracze rynkowi. W praktyce przekłada się to na większe zaufanie oraz trwałość relacji biznesowych.
DORA umożliwia budowę kultury bezpieczeństwa, w której zarządzanie ryzykiem ICT staje się integralną częścią strategii rozwoju organizacji. Poprawa procesów, lepsza komunikacja między działami IT, compliance i zarządem, a także współpraca z dostawcami technologii tworzą spójny ekosystem cyfrowej odporności.