Bezpłatna konsultacja

Co to jest DORA i kogo dotyczy w Polsce?

Czym jest DORA?

DORA, czyli Digital Operational Resilience Act (Rozporządzenie o cyfrowej odporności operacyjnej), to unijne rozporządzenie nr 2022/2554, które ustanawia jednolite wymagania w zakresie bezpieczeństwa sieci i systemów informatycznych dla podmiotów sektora finansowego w całej Unii Europejskiej.

Mówiąc prościej: DORA mówi instytucjom finansowym, jak mają zarządzać ryzykiem ICT technologie informacyjno-komunikacyjne jak reagować na incydenty cybernetyczne, jak testować odporność swoich systemów i jak nadzorować dostawców technologicznych.

DORA nie jest wytyczną ani zaleceniem jest rozporządzeniem. Oznacza to, że obowiązuje bezpośrednio w każdym państwie członkowskim UE bez potrzeby implementacji do prawa krajowego. Jeśli Twoja firma jest objęta zakresem DORA, musisz spełniać jej wymagania bez wyjątków.

Rozporządzenie powstało z prostego powodu: sektor finansowy jest coraz bardziej zależny od systemów IT i dostawców technologicznych. Awaria jednego dużego dostawcy chmury może jednocześnie sparaliżować dziesiątki banków, firm płatniczych czy ubezpieczycieli. DORA ma temu zapobiec albo przynajmniej sprawić, żeby skutki takich zdarzeń były zarządzalne.

Kiedy DORA weszła w życie?

DORA została opublikowana 27 grudnia 2022 roku w Dzienniku Urzędowym UE. Obowiązuje od 17 stycznia 2025 roku.

Organizacje miały dwa lata na przygotowanie. W praktyce dla wielu firm ten czas okazał się niewystarczający, szczególnie w zakresie wymogów dotyczących dostawców ICT i testowania odporności operacyjnej. Jeśli Twoja firma jeszcze nie zaczęła, nie ma na co czekać.

Kogo dotyczy DORA w Polsce?

To jedno z najczęstszych pytań. DORA ma bardzo szeroki zakres podmiotowy obejmuje 21 kategorii podmiotów. W kontekście polskiego rynku finansowego są to przede wszystkim:

Bezpośrednio objęte DORA:

  • Banki i instytucje kredytowe
  • Firmy inwestycyjne
  • Instytucje płatnicze w tym FinTech wydający karty, obsługujący przelewy, BLIK
  • Instytucje pieniądza elektronicznego
  • Dostawcy usług kryptoaktywów (po wejściu MiCA)
  • Zakłady ubezpieczeń i reasekuracji
  • Firmy zarządzające funduszami (AIFM, UCITS)
  • Centralne depozyty papierów wartościowych
  • Giełdy i platformy obrotu
  • Agencje ratingowe
  • Dostawcy usług crowdfundingowych

Dostawcy ICT dla sektora finansowego: Kluczowym elementem DORA jest rozszerzenie obowiązków na dostawców technologicznych firmy, które świadczą usługi IT dla podmiotów finansowych. Firmy SaaS dostarczające systemy do banków, chmurę dla firm ubezpieczeniowych czy oprogramowanie do rozliczeń mogą być klasyfikowane jako krytyczni dostawcy ICT i podlegać bezpośredniemu nadzorowi europejskich organów nadzoru (ESA).

Kto jest wyłączony? Małe instytucje płatnicze i pieniądza elektronicznego oraz niektóre małe firmy inwestycyjne mogą być objęte uproszczonym reżimem ale nadal muszą spełniać część wymagań. Wyłączenie nie oznacza braku obowiązków.

Praktyczna zasada: jeśli Twoja firma posiada licencję KNF lub NBP, z dużym prawdopodobieństwem podlega DORA. Jeśli sprzedajesz usługi IT firmom finansowym również powinieneś sprawdzić swój status.

Co DORA nakłada na organizacje?

DORA to nie lista technicznych wymagań do odhaczenia. To framework zarządzania ryzykiem ICT, który wymaga zmian na poziomie procesów, dokumentacji, umów i kultury organizacyjnej.

Zarządzanie ryzykiem ICT

Organizacja musi posiadać udokumentowane ramy zarządzania ryzykiem ICT polityki, procedury, rejestry ryzyka. Musi regularnie przeprowadzać oceny ryzyka i aktualizować zabezpieczenia. Co ważne zarząd musi być aktywnie zaangażowany. DORA wprost nakłada odpowiedzialność na organy zarządzające, nie tylko na dział IT.

Raportowanie incydentów

DORA wprowadza ujednolicony obowiązek raportowania poważnych incydentów ICT do organów nadzorczych (w Polsce: KNF). Konkretne terminy wynikają z RTS do DORA:

  • 4 godziny od momentu klasyfikacji incydentu jako poważny, ale nie później niż 24 godziny od momentu dowiedzenia się o incydencie – wstępne powiadomienie
  • 72 godziny od złożenia wstępnego powiadomienia – sprawozdanie śródokresowe
  • 1 miesiąc od ostatniego sprawozdania śródokresowego – sprawozdanie końcowe

Kluczowa jest tu klasyfikacja zegar na 4 godziny startuje nie od wykrycia incydentu, ale od momentu zakwalifikowania go jako „poważny”. Dlatego organizacja musi mieć gotowy proces klasyfikacji zanim cokolwiek się wydarzy pod presją nie ma czasu na ustalanie procedur.

Klasyfikacja nie zna weekendów

Jest jeden szczegół, który w praktyce sprawia największe problemy zegar na 4 godziny biegnie bez przerwy, również w sobotę o 22:00 i w noc sylwestrową. Wstępne powiadomienie do KNF musi trafić w oknie 4 godzin od klasyfikacji incydentu jako poważny, niezależnie od dnia tygodnia i godziny. Żadnej taryfy ulgowej za weekend.

Jedyny wyjątek dotyczy raportów późniejszych jeśli termin sprawozdania śródokresowego lub końcowego przypada na dzień wolny, można je złożyć do południa następnego dnia roboczego. Wstępne powiadomienie tego przywileju nie ma.

To przekłada się na bardzo konkretne wymagania operacyjne: dyżury on-call dla osób uprawnionych do klasyfikacji incydentów, dostęp do systemu zgłaszania KNF poza godzinami biurowymi i gotowy formularz SPR-PF-07 taki, który wypełnia się w 20 minut, nie dwie godziny.

Co automatycznie czyni incydent poważnym?

RTS 2024/1772 określa precyzyjne progi istotności dla każdego kryterium klasyfikacji. Wystarczy spełnienie jednego z nich, żeby incydent musiał zostać sklasyfikowany jako poważny.

Czas trwania i przerwa w usługach próg osiągnięty, gdy spełniony jest którykolwiek z warunków:

  • czas trwania incydentu przekracza 24 godziny, lub
  • przerwa w świadczeniu usług wynosi dłużej niż 2 godziny w przypadku usług ICT wspierających krytyczne lub istotne funkcje

To rozróżnienie jest ważne. Dla usług krytycznych próg jest znacznie niższy 2 godziny, a nie dobę. Dwie godziny niedostępności systemu płatności, bankowości internetowej czy platformy rozliczeniowej to już zdarzenie wymagające raportowania do KNF.

Zasięg geograficzny – incydent odczuwalny w co najmniej 2 państwach członkowskich UE

Klienci i transakcje:

  • wpływ na ponad 10% klientów lub ponad 50 000 klientów (zależnie od sektora)
  • transakcje o wartości przekraczającej 15 000 000 EUR

Utrata danych – próg osiągnięty gdy:

  • naruszenie dostępności, integralności, autentyczności lub poufności danych ma niekorzystny wpływ na działalność lub zdolność do spełnienia wymogów regulacyjnych, lub
  • doszło do udanego, złośliwego i nieuprawnionego dostępu do sieci i systemów, który może spowodować utratę danych

Skutki reputacyjne – np. pojawienie się informacji o incydencie w mediach

Praktyczna zasada dla systemów krytycznych: jeśli usługa nie działa i mija 2 godzina – klasyfikuj jako poważny i uruchamiaj procedurę raportowania. Nie czekaj na dobę. Zegar na 4 godziny do KNF startuje w momencie klasyfikacji, a nie w momencie przekroczenia progu.

Testowanie odporności operacyjnej

Wszystkie podmioty muszą regularnie testować swoje systemy ICT – testy penetracyjne, testy awaryjne, przeglądy podatności. Duże, systemowo ważne instytucje dodatkowo muszą przeprowadzać zaawansowane testy TLPT (Threat-Led Penetration Testing) testy oparte na rzeczywistych scenariuszach ataków, prowadzone przez niezależnych testerów.

Zarządzanie ryzykiem dostawców ICT

To jeden z najtrudniejszych obszarów dla większości organizacji. DORA wymaga:

  • Inwentaryzacji wszystkich dostawców ICT
  • Klasyfikacji dostawców jako krytycznych lub niekrytycznych
  • Szczegółowych klauzul umownych z dostawcami prawo do audytu, SLA, plany wyjścia
  • Monitorowania ryzyka koncentracji (np. uzależnienie od jednego dostawcy chmury)

Dla wielu firm to oznacza renegocjację dziesiątek umów z dostawcami, którzy wcześniej nigdy nie słyszeli o DORA.

Wymiana informacji o zagrożeniach

DORA zachęca a dla niektórych podmiotów wymaga uczestnictwa w formalnych mechanizmach wymiany informacji o cyberzagrożeniach, tzw. threat intelligence sharing.

Pięć filarów DORA

Można DORA sprowadzić do pięciu kluczowych obszarów:

1. Zarządzanie ryzykiem ICT – ramy, polityki, procedury, odpowiedzialność zarządu

2. Zarządzanie incydentami – wykrywanie, klasyfikacja, raportowanie, analiza po incydencie

3. Testowanie odporności – regularne testy techniczne, TLPT dla dużych instytucji

4. Ryzyko dostawców zewnętrznych – due diligence, umowy, monitoring, plany wyjścia

5. Wymiana informacji – współpraca sektorowa w zakresie zagrożeń

Każdy z tych filarów generuje konkretne wymagania dokumentacyjne, procesowe i techniczne. Żaden nie może być zignorowany.

DORA a ISO 27001 czy jedno zastępuje drugie?

Nie i to ważna kwestia, którą często muszę wyjaśniać.

ISO 27001 to ogólny standard zarządzania bezpieczeństwem informacji, który można wdrożyć w dowolnej organizacji, w dowolnej branży. Daje solidne fundamenty: zarządzanie ryzykiem, dokumentację, polityki, audyty wewnętrzne.

DORA to regulacja sektorowa obowiązuje wyłącznie sektor finansowy i jest znacznie bardziej szczegółowa w kilku kluczowych obszarach. Szczególnie dotyczy to raportowania incydentów (konkretne terminy i formaty), testowania odporności (TLPT) oraz zarządzania dostawcami ICT (szczegółowe wymagania umowne).

W praktyce:

  • Organizacja z ISO 27001 ma dobry punkt startowy do DORA ramy zarządzania ryzykiem, dokumentację, procesy bezpieczeństwa są już na miejscu
  • Samo ISO 27001 nie wystarczy do pełnej zgodności z DORA – brakuje specyficznych wymagań sektorowych
  • Posiadanie ISO 27001 nie zwalnia z DORA

Dla instytucji finansowej, która poważnie podchodzi do bezpieczeństwa, sensowne jest posiadanie obu ISO 27001 jako fundamentu i DORA jako nakładki sektorowej.

Jakie są kary za brak zgodności z DORA?

DORA przewiduje sankcje administracyjne nakładane przez krajowe organy nadzorcze. W Polsce nadzór sprawuje KNF, która na podstawie ustawy horyzontalnej wdrażającej DORA otrzymała konkretne narzędzia sankcyjne:

  • Nakaz zaprzestania naruszenia i powstrzymania się od niego w przyszłości
  • Zakaz pełnienia funkcji członka zarządu lub rady nadzorczej dla osoby odpowiedzialnej za naruszenie od miesiąca do roku
  • Kara pieniężna dla osoby prawnej do 20 869 500 zł lub 10% przychodów netto z ostatniego roku (w zależności co wyższe)
  • Kara pieniężna dla osoby fizycznej do 3 042 410 zł
  • Publiczne ogłoszenie tożsamości podmiotu i charakteru naruszenia dla firm finansowych często dotkliwsze niż sama kara pieniężna

Dla krytycznych dostawców ICT nadzorowanych bezpośrednio przez ESA okresowa kara do 1% średniego dziennego globalnego obrotu, naliczana za każdy dzień naruszenia przez maksymalnie 6 miesięcy.

Ważniejsze od sankcji finansowych mogą być jednak skutki reputacyjne. Publiczne ujawnienie naruszenia przez KNF jest dla firm finansowych nieporównanie bardziej kosztowne niż sama kara.

Od czego zacząć wdrożenie DORA?

Jeśli Twoja firma dopiero zaczyna lub jest w trakcie, oto pragmatyczne podejście:

Krok 1: Ustal, czy podlegasz DORA Sprawdź, czy Twoja firma mieści się w katalogu podmiotów z art. 2 rozporządzenia. Jeśli masz wątpliwości skonsultuj z doradcą compliance lub prawnikiem specjalizującym się w prawie finansowym.

Krok 2: Wykonaj ocenę luk (gap analysis) Porównaj obecny stan zarządzania ryzykiem ICT z wymaganiami DORA. Bez tego nie wiesz, ile pracy przed tobą i od czego zacząć. To powinien być pierwszy krok nie kodowanie ani zakup narzędzi.

Krok 3: Zacznij od zarządzania ryzykiem ICT i inwentaryzacji dostawców To fundamenty, bez których nie ruszysz dalej. Musisz wiedzieć, jakie systemy masz, kto jest Twoim dostawcą ICT i jaka jest krytyczność każdego z nich.

Krok 4: Zbuduj lub dostosuj procesy zarządzania incydentami Musisz być gotowy na raportowanie incydentów zanim wydarzy się incydent. Proces klasyfikacji, eskalacji i raportowania do KNF musi działać pod presją czasu nie można go budować w środku kryzysu.

Krok 5: Zaplanuj testy odporności Zacznij od podstawowych testów przeglądy podatności, testy penetracyjne. Oceń, czy Twoja organizacja wymaga TLPT.

Krok 6: Przeglądnij i zaktualizuj umowy z dostawcami ICT Czasochłonny i trudny obszar szczególnie jeśli masz wielu dostawców. Zacznij od krytycznych.

Podsumowanie

DORA to jedno z najważniejszych rozporządzeń dotyczących cyberbezpieczeństwa sektora finansowego w historii UE. Obowiązuje od stycznia 2025 roku i dotyczy szerokiego katalogu podmiotów od banków przez instytucje płatnicze po dostawców technologicznych dla sektora finansowego.

Nie jest to regulacja, którą można zignorować. Zarówno skala wymagań, jak i zaangażowanie KNF w nadzór sprawiają, że organizacje, które jeszcze nie zaczęły działać, powinny to zrobić jak najszybciej.

Jeśli chcesz sprawdzić, na jakim etapie gotowości do DORA jest Twoja organizacja, zacznij od bezpłatnego narzędzia:

👉 DORA Readiness Check – sprawdź gotowość w 5 minut

Jeśli potrzebujesz wsparcia w analizie luk lub wdrożeniu wymagań DORA skontaktuj się z nami. Pracujemy aktywnie z instytucjami płatniczymi i firmami FinTech w zakresie DORA compliance m.in. z Fincard jako aktywnym klientem wdrożeniowym.