DORA · ROZPORZĄDZENIE (UE) 2022/2554

DORA — rozporządzenie o operacyjnej odporności cyfrowej (2026)

DORA (Digital Operational Resilience Act) to unijne rozporządzenie, które od 17 stycznia 2025 r. bezpośrednio obowiązuje banki, ubezpieczycieli i innych dostawców usług finansowych w Polsce. Wyjaśniamy pięć filarów DORA, kto podlega, jakie są terminy i kary oraz jak krok po kroku przygotować się do zgodności.

Umów demo DORABezpłatna ocena gotowości DORA

Rozporządzenie (UE) 2022/2554 — obowiązuje od 17 stycznia 2025 r.

Podstawy

Czym jest rozporządzenie DORA?

DORA, czyli rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (rozporządzenie (UE) 2022/2554), to akt prawny Unii Europejskiej, który ujednolica wymogi dotyczące cyberbezpieczeństwa i odporności technologii informacyjno-komunikacyjnych (ICT) we wszystkich instytucjach finansowych. Rozporządzenie weszło w życie 16 stycznia 2023 r., a obowiązek jego stosowania rozpoczął się 17 stycznia 2025 r.

W odróżnieniu od dyrektywy, rozporządzenie DORA obowiązuje bezpośrednio — nie wymaga osobnej ustawy wdrażającej w Polsce. Zastępuje i ujednolica rozproszone dotąd wytyczne (m.in. wytyczne EBA dotyczące outsourcingu i bezpieczeństwa ICT) jednym spójnym zbiorem zasad. W praktyce oznacza to, że polski bank, dom maklerski czy zakład ubezpieczeń podlega tym samym wymaganiom co podmioty w pozostałych państwach członkowskich, a nadzór sprawuje Komisja Nadzoru Finansowego (KNF) we współpracy z europejskimi organami nadzoru (EBA, ESMA, EIOPA).

Celem DORA jest zapewnienie, by sektor finansowy był w stanie wytrzymać, reagować i odzyskiwać sprawność po wszelkiego rodzaju zakłóceniach i zagrożeniach związanych z ICT — od awarii systemów, przez ataki ransomware, po niewydolność zewnętrznych dostawców chmury. Rozporządzenie opiera się na pięciu filarach opisanych poniżej.

DORA to jedna z kilku regulacji składających się na szerszy obraz cyberbezpieczeństwa w firmie — obok dyrektywy NIS2 i normy ISO 27001. Jeśli chcesz zobaczyć, jak te ramy łączą się ze sobą, zacznij od naszego przewodnika po cyberbezpieczeństwie.

Struktura

Pięć filarów DORA.

Filar 1 · Art. 5-16

Zarządzanie ryzykiem ICT

Ramy zarządzania ryzykiem ICT zatwierdzone przez organ zarządzający, kompletny rejestr aktywów ICT, mechanizmy ochrony i wykrywania, kopie zapasowe oraz przetestowane plany ciągłości działania i odtwarzania.

Filar 2 · Art. 17-23

Zgłaszanie incydentów ICT

Klasyfikacja i zgłaszanie poważnych incydentów ICT do KNF — wstępne powiadomienie w 4 godziny, raport pośredni w 72 godziny, raport końcowy w ciągu miesiąca.

Filar 3 · Art. 24-27

Testowanie odporności (TLPT)

Coroczny program testów dla wszystkich krytycznych systemów ICT oraz testy penetracyjne oparte na scenariuszach zagrożeń (TLPT) co 3 lata dla podmiotów o znaczeniu systemowym.

Filar 4 · Art. 28-44

Ryzyko stron trzecich ICT

Rejestr zewnętrznych dostawców ICT, ocena ryzyka koncentracji, obowiązkowe klauzule umowne, strategie wyjścia oraz nadzór nad krytycznymi dostawcami zewnętrznymi (CTPP).

Filar 5 · Art. 45-49

Wymiana informacji

Dobrowolna wymiana informacji o cyberzagrożeniach z innymi podmiotami sektora finansowego oraz organami takimi jak ENISA i CSIRT.

Zakres

Kto podlega rozporządzeniu DORA?

DORA obejmuje 20 kategorii podmiotów finansowych wymienionych w art. 2. W Polsce dotyczy to przede wszystkim:

Banki i instytucje kredytowe
Domy maklerskie i firmy inwestycyjne
Zakłady ubezpieczeń i reasekuracji
Instytucje płatnicze i instytucje pieniądza elektronicznego
Dostawcy usług w zakresie kryptoaktywów (MiCA)
Towarzystwa funduszy inwestycyjnych (TFI) i fundusze emerytalne
Infrastruktury rynku finansowego (KDPW, izby rozliczeniowe)
Krytyczni zewnętrzni dostawcy ICT (CTPP) — np. dostawcy chmury

Obowiązuje zasada proporcjonalności — mikroprzedsiębiorstwa i mniejsze podmioty stosują uproszczone ramy zarządzania ryzykiem ICT (art. 16). Niezależnie od wielkości, organem nadzorczym w Polsce pozostaje KNF, a krytyczni dostawcy ICT podlegają bezpośredniemu nadzorowi europejskich organów (lead overseer).

Wdrożenie

Jak przygotować się do DORA — krok po kroku.

1

Ustal, czy podlegasz DORA

Sprawdź, czy jesteś podmiotem finansowym w rozumieniu art. 2 — bank, ubezpieczyciel, firma inwestycyjna, instytucja płatnicza, dostawca usług w zakresie kryptoaktywów lub dostawca ICT (CTPP).

2

Zinwentaryzuj aktywa i dostawców ICT

Stwórz pełny rejestr systemów ICT z klasyfikacją krytyczności oraz rejestr informacji o zewnętrznych dostawcach ICT wymagany przez rozporządzenie wykonawcze 2024/2956.

3

Wdróż ramy zarządzania ryzykiem ICT

Udokumentuj zarządzanie, ochronę, wykrywanie, reagowanie i odtwarzanie. Ramy muszą zostać formalnie zatwierdzone przez organ zarządzający (art. 5).

4

Ustaw procesy zgłaszania incydentów

Zdefiniuj kryteria klasyfikacji poważnych incydentów i przygotuj szablony zgłoszeń do KNF zgodnie z terminami 4 h / 72 h / 1 miesiąc.

5

Zaplanuj testy odporności i TLPT

Wprowadź roczny program testów oraz — jeśli dotyczy — przygotuj się do testów TLPT prowadzonych co 3 lata.

6

Uporządkuj umowy z dostawcami

Przejrzyj i zaktualizuj umowy ICT pod kątem obowiązkowych klauzul DORA (art. 30) oraz opracuj strategie wyjścia dla krytycznych dostawców.

7

Utrzymuj ciągłe dowody zgodności

Prowadź rejestr, raportuj go corocznie do organu nadzoru i monitoruj zgodność w sposób umożliwiający audyt.

Terminy i kary

Terminy i sankcje za naruszenie DORA.

Najważniejsze daty: rozporządzenie weszło w życie 16 stycznia 2023 r., a pełny obowiązek stosowania rozpoczął się 17 stycznia 2025 r. Oznacza to, że wszystkie objęte podmioty powinny już dziś spełniać wymogi DORA — nie ma dodatkowego okresu przejściowego.

Kary nakłada krajowy organ nadzoru. W przypadku Polski jest to Komisja Nadzoru Finansowego, działająca na podstawie ustawy o nadzorze nad rynkiem finansowym oraz przepisów sektorowych implementujących dyrektywę towarzyszącą DORA. Sankcje mogą obejmować nakazy administracyjne, publiczne ostrzeżenia oraz dotkliwe kary pieniężne — w przypadku poważnych naruszeń sięgające milionów euro lub określonego procentu rocznego obrotu, a w stosunku do osób fizycznych odpowiedzialnych za naruszenia również kary indywidualne.

Krytyczni zewnętrzni dostawcy ICT mogą dodatkowo podlegać karom okresowym (do 1% średniego dziennego światowego obrotu) za niewykonanie zaleceń organu nadzorczego. Poza sankcjami finansowymi istotnym ryzykiem jest utrata reputacji i zaufania klientów po incydencie, którego można było uniknąć.

Jak pomaga Matproof

Zgodność z DORA, wbudowana w platformę.

Gotowy katalog kontroli DORA zmapowany na pięć filarów (art. 5-49)
Rejestr zewnętrznych dostawców ICT zgodny z rozporządzeniem wykonawczym 2024/2956
Workflow zgłaszania incydentów z terminami 4 h / 72 h / 1 miesiąc do KNF
Śledzenie luk, zadań i dowodów w jednym miejscu — gotowe do audytu
Mapowanie międzyramowe: DORA, NIS2, ISO 27001 i RODO równolegle
Przygotowanie do TLPT i testów odporności operacyjnej

Testy odporności i TLPT zgodne z art. 24-27 DORA →

FAQ

Najczęstsze pytania o DORA

Czym jest rozporządzenie DORA?+

DORA (Digital Operational Resilience Act, rozporządzenie (UE) 2022/2554) to akt prawny Unii Europejskiej, który ujednolica wymogi dotyczące cyberbezpieczeństwa i operacyjnej odporności ICT we wszystkich podmiotach sektora finansowego. Weszło w życie 16 stycznia 2023 r., a obowiązek jego stosowania rozpoczął się 17 stycznia 2025 r. Jako rozporządzenie obowiązuje bezpośrednio — nie wymaga osobnej ustawy wdrażającej w Polsce.

Od kiedy obowiązuje DORA w Polsce?+

Rozporządzenie DORA stosuje się od 17 stycznia 2025 r. we wszystkich państwach członkowskich UE, w tym w Polsce. Nie ma dodatkowego okresu przejściowego — objęte podmioty powinny już dziś spełniać wszystkie wymogi pięciu filarów. Nadzór sprawuje Komisja Nadzoru Finansowego (KNF) we współpracy z europejskimi organami nadzoru.

Jakie jest pięć filarów DORA?+

DORA opiera się na pięciu filarach: (1) zarządzanie ryzykiem ICT (art. 5-16), (2) zarządzanie i zgłaszanie incydentów ICT (art. 17-23), (3) testowanie operacyjnej odporności cyfrowej, w tym TLPT (art. 24-27), (4) zarządzanie ryzykiem stron trzecich ICT (art. 28-44) oraz (5) wymiana informacji o cyberzagrożeniach (art. 45-49).

Kto podlega rozporządzeniu DORA?+

DORA obejmuje 20 kategorii podmiotów finansowych z art. 2 — m.in. banki i instytucje kredytowe, domy maklerskie i firmy inwestycyjne, zakłady ubezpieczeń, instytucje płatnicze i pieniądza elektronicznego, dostawców usług w zakresie kryptoaktywów (MiCA), TFI i fundusze emerytalne, infrastruktury rynku finansowego oraz krytycznych zewnętrznych dostawców ICT (CTPP). Obowiązuje zasada proporcjonalności — mniejsze podmioty stosują uproszczone ramy zarządzania ryzykiem ICT.

Jakie kary grożą za naruszenie DORA?+

Kary nakłada krajowy organ nadzoru, w Polsce — Komisja Nadzoru Finansowego (KNF). Mogą obejmować nakazy administracyjne, publiczne ostrzeżenia oraz kary pieniężne, w przypadku poważnych naruszeń sięgające milionów euro lub procentu rocznego obrotu. Krytyczni dostawcy ICT mogą dodatkowo podlegać karom okresowym do 1% średniego dziennego światowego obrotu za niewykonanie zaleceń nadzoru.

W jakim czasie należy zgłosić poważny incydent ICT zgodnie z DORA?+

DORA przewiduje trzyetapowe zgłaszanie poważnych incydentów ICT do organu nadzoru: wstępne powiadomienie w ciągu 4 godzin od klasyfikacji incydentu jako poważny, raport pośredni w ciągu 72 godzin oraz raport końcowy w ciągu jednego miesiąca. Terminy te są znacznie krótsze niż w dyrektywie NIS2.

Czym DORA różni się od dyrektywy NIS2?+

DORA jest rozporządzeniem skierowanym wyłącznie do sektora finansowego i obowiązuje bezpośrednio, podczas gdy NIS2 jest dyrektywą o szerszym zakresie (wymaga wdrożenia ustawą krajową) obejmującą wiele sektorów krytycznych. Dla podmiotów finansowych DORA ma charakter lex specialis — gdy zastosowanie mają oba akty, w zakresie ryzyka ICT pierwszeństwo mają bardziej szczegółowe wymogi DORA.

Zacznij

Gotowy, by uporządkować zgodność z DORA?

Zacznij od bezpłatnej oceny gotowości w 5 minut, a potem zobacz na 30-minutowym demo, jak Matproof automatyzuje rejestr ICT, zgłaszanie incydentów i przygotowanie do TLPT.

Bezpłatna ocena gotowości DORAUmów demo →