Zaczynamy?
Dataone Business Solution Sp z o.o.
Aleje Jerozolimskie 25/21,
00-508 Warszawa
NIP: 1133049655
zbyszek@dataone.pl
+48 515 453 151
Rozporządzenie DORA: kogo dotyczy i co oznacza dla dostawców IT
Spora część firm IT słyszała o DORA i uznała sprawę za zamkniętą: to przepisy dla banków, więc ich nie dotyczą. Tymczasem jeśli dostarczasz instytucji finansowej chmurę, hosting, oprogramowanie albo wsparcie, rozporządzenie DORA już teraz wpływa na Twoje umowy i sposób obsługi tego klienta. Nawet jeśli sam nie jesteś bankiem.
Poniżej tłumaczymy, czym jest rozporządzenie DORA, od kiedy obowiązuje, kogo dotyczy i co realnie zmienia dla dostawców IT pracujących z sektorem finansowym.
Co to jest DORA?
Rozporządzenie DORA (Digital Operational Resilience Act) to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554. Ustanawia jednolite zasady cyfrowej odporności operacyjnej dla sektora finansowego w całej Unii Europejskiej. Cel jest prosty: instytucje finansowe i ich dostawcy technologii mają potrafić przewidzieć incydent IT, przetrwać go i szybko wrócić do działania bez paraliżu firmy.
Jedno rozróżnienie bywa mylone, a ma znaczenie praktyczne. DORA to rozporządzenie, nie dyrektywa. Dyrektywę (jak NIS2) każdy kraj wdraża najpierw do własnego prawa. Rozporządzenie działa wprost, identycznie w całej UE, tak jak RODO. Polskie przepisy doprecyzowują wyłącznie kwestie nadzoru, nie zmieniają treści samego rozporządzenia.
Od kiedy obowiązuje DORA?
- 16 stycznia 2023 roku rozporządzenie DORA weszło w życie.
- Od 17 stycznia 2025 roku jest stosowane bezpośrednio w całej UE. Od tej daty podmioty finansowe i ich kluczowi dostawcy ICT muszą spełniać wymogi.
- 7 sierpnia 2025 roku w Polsce weszła w życie ustawa krajowa. Określiła kompetencje Komisji Nadzoru Finansowego (KNF), sankcje administracyjne oraz krajowe procedury raportowania incydentów.
To nie jest przepis, który dopiero nadejdzie. DORA obowiązuje, a nadzór sprawdza faktyczną gotowość organizacji, nie deklaracje.
Kogo dotyczy rozporządzenie DORA?
Regulacja obejmuje dwie grupy, a druga zaskakuje najwięcej firm.
Pierwsza to podmioty finansowe, i katalog sięga znacznie dalej niż banki. Obejmuje firmy inwestycyjne, domy maklerskie, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń i pośredników, instytucje płatnicze i instytucje pieniądza elektronicznego, platformy crowdfundingowe oraz dostawców usług w zakresie kryptoaktywów (CASP).
Druga to zewnętrzni dostawcy usług ICT dla tego sektora. DORA traktuje jako takiego dostawcę każdy podmiot, który świadczy usługi cyfrowe wspierające procesy biznesowe instytucji finansowej: dostawców chmury, centra danych, firmy SaaS, hosting, integratorów i firmy outsourcingu IT.
Wśród nich regulacja wyróżnia krytycznych dostawców ICT (CTPP). Wyznacza się ich na poziomie europejskim, a po wyznaczeniu trafiają pod bezpośredni nadzór europejskich urzędów (EBA, ESMA, EIOPA). To pierwszy raz, gdy regulator finansowy ma uprawnienia wprost wobec dostawcy technologii, na przykład dużego dostawcy chmury obsługującego banki.
Test: czy rozporządzenie DORA dotyczy Twojej firmy?
- Jesteś podmiotem finansowym z katalogu DORA (bank, fintech, TFI, ubezpieczyciel, instytucja płatnicza, CASP)? Dotyczy Cię bezpośrednio.
- Dostarczasz usługi IT choćby jednej instytucji finansowej? Dotyczy Cię pośrednio, przez umowy i wymagania klienta.
- Twoje usługi są kluczowe dla działania takiego klienta? Możesz dostać zaostrzone wymagania, a w skrajnym przypadku trafić pod bezpośredni nadzór jako krytyczny dostawca.
Jedno „tak” wystarczy, żeby temat Cię dotyczył.
Jest też zasada proporcjonalności. Mniejsze podmioty mogą stosować uproszczone ramy zarządzania ryzykiem ICT, a mikroprzedsiębiorstwa mają dodatkowe wyłączenia. Zakres obowiązków zależy od skali i profilu firmy.
Pięć filarów DORA
Regulacja stoi na pięciu obszarach:
- Zarządzanie ryzykiem ICT. Spójny system identyfikacji i oceny zasobów oraz funkcji krytycznych, polityki bezpieczeństwa i plany ciągłości działania. Odpowiada za to zarząd, nie sam dział IT.
- Zgłaszanie incydentów ICT. Jednolita klasyfikacja i raportowanie poważnych incydentów w określonych terminach: powiadomienie wstępne, raport śródokresowy, raport końcowy.
- Testowanie odporności. Stały program, od skanowania podatności po zaawansowane testy penetracyjne oparte na analizie zagrożeń (TLPT) dla największych podmiotów.
- Zarządzanie ryzykiem dostawców ICT. Rejestr umów, ocena ryzyka, analiza koncentracji i konkretne zapisy umowne. Ten filar dotyka dostawców IT najmocniej.
- Wymiana informacji o zagrożeniach. Współpraca i dzielenie się wiedzą o cyberzagrożeniach w sektorze.
Co DORA oznacza dla dostawców IT
To najważniejsza część dla firm technologicznych. Nawet jeśli Twoja firma nie jest podmiotem finansowym i nie podlega nadzorowi, klient z sektora finansowego ma obowiązek przenieść część wymogów DORA na Ciebie. Robi to przez umowę.
Wymagania umowne
W kontraktach z dostawcami ICT instytucje finansowe muszą zapewnić między innymi:
- prawo audytu i inspekcji, w tym dostęp na miejscu, dla klienta, a przy usługach krytycznych także dla organu nadzoru;
- raportowanie incydentów do klienta w terminach, które pozwolą mu dopełnić własnych obowiązków sprawozdawczych;
- plany wyjścia, czyli scenariusz zakończenia współpracy i migracji bez przerwy w działaniu;
- jasność co do lokalizacji i sposobu przetwarzania danych;
- kontrolę podwykonawców i zakaz niekontrolowanego podzlecania usług krytycznych;
- SLA z parametrami RTO i RPO, czyli twarde zobowiązania co do czasu przywrócenia usługi i akceptowalnej utraty danych.
Pisaliśmy wcześniej, jak negocjować umowę na outsourcing IT (SLA, RODO, odpowiedzialność, plan wyjścia). Rozporządzenie DORA zmienia te dobre praktyki w obowiązek dla każdego, kto obsługuje finanse.
Nadzór nad krytycznymi dostawcami
Krytyczny dostawca ICT wchodzi w bezpośrednią relację z europejskim nadzorcą: inspekcje, oceny, obowiązek wdrażania zaleceń. Dla większości polskich firm IT to scenariusz mało prawdopodobny, bo dotyczy głównie globalnych dostawców chmury. Wymagania umowne i operacyjne obejmują jednak praktycznie każdego, kto chce utrzymać kontrakty w sektorze finansowym.
ISO 27001 i ISO 22301
Dostawcy, którzy chcą pracować z finansami, coraz częściej muszą udokumentować dojrzałość procesów certyfikatami ISO 27001 (bezpieczeństwo informacji) i ISO 22301 (ciągłość działania). Oba odpowiadają wprost filarom DORA i ułatwiają wykazanie zgodności klientowi.
Jest granica, której nie przekroczysz. Odpowiedzialności za odporność operacyjną nie da się przerzucić na dostawcę. Za ocenę ryzyka, zapisy umowne i rejestr dostawców odpowiada zarząd instytucji finansowej. Dostawca IT to wspiera i dokumentuje, ale nie przejmuje odpowiedzialności regulacyjnej klienta.
DORA, NIS2 i RODO: czym się różnią
Te trzy regulacje łatwo pomylić, choć dotyczą innych rzeczy i innych podmiotów.
| Cecha | DORA | NIS2 | RODO |
|---|---|---|---|
| Czego dotyczy | Cyfrowa odporność operacyjna sektora finansowego | Cyberbezpieczeństwo podmiotów ważnych i kluczowych w wielu sektorach | Ochrona danych osobowych |
| Kogo obejmuje | Podmioty finansowe i ich dostawcy ICT | Energetyka, transport, zdrowie, infrastruktura cyfrowa i inne | Każdy podmiot przetwarzający dane osobowe |
| Typ aktu | Rozporządzenie (działa wprost) | Dyrektywa (wdrażana krajowo) | Rozporządzenie (działa wprost) |
| Relacja | Lex specialis, ma pierwszeństwo przed NIS2 dla podmiotów finansowych | Ogólne ramy cyberbezpieczeństwa | Uzupełnia się z DORA w zakresie danych |
Dla podmiotów finansowych DORA jest lex specialis i wyłącza NIS2. Bank, który wcześniej zastanawiał się nad swoją klasyfikacją w NIS2, stosuje teraz DORA.
Jak przygotować firmę do DORA
Droga do zgodności wygląda podobnie po stronie podmiotu finansowego i jego dostawcy IT:
- Zinwentaryzuj systemy i usługi ICT (ERP, CRM, systemy bankowe, chmura, on-premise). Przy każdym zapisz dostawcę, funkcję i krytyczność.
- Zbuduj rejestr umów z dostawcami i sklasyfikuj ich krytyczność. Sprawdź koncentrację, czyli ile kluczowych usług zależy od jednego dostawcy.
- Przejrzyj umowy pod kątem klauzul DORA: audyt, raportowanie incydentów, plan wyjścia, lokalizacja danych, podwykonawcy, SLA z RTO i RPO.
- Opisz procedury reagowania na incydenty oraz plany ciągłości działania (BCP) i odtwarzania po awarii (DRP).
- Uruchom program testowania odporności dopasowany do skali firmy.
- Przygotuj zespół i zarząd: podział odpowiedzialności, szkolenia, gotowość do raportowania w terminach.
Mniejsze firmy nie muszą budować aparatu jak duży bank. Proporcjonalność pozwala dopasować zakres prac do faktycznego ryzyka.
Co z tego wynika
Rozporządzenie DORA nie jest problemem samych banków. Przebudowuje cały łańcuch dostaw technologii w finansach, więc dotyczy każdej firmy IT, która chce w tym sektorze pracować. Po stronie dostawcy uporządkowane procesy i zgodne umowy to dziś warunek wejścia do gry, a nie dodatek.
Obsługujesz klientów z sektora finansowego albo sam musisz spełnić wymogi DORA? Pomożemy uporządkować rejestr dostawców i umowy ICT, przygotować plany ciągłości działania oraz procedury reagowania na incydenty. Umów bezpłatną konsultację i sprawdź, co DORA oznacza dla Twojej firmy.
Zobacz też: Dyrektywa NIS2 w instytucjach kultury | KSEF a integracja systemów
FAQ - Najczęstsze pytania
Czym DORA różni się od NIS2?
DORA dotyczy wyłącznie sektora finansowego i jego dostawców ICT, działa wprost jako rozporządzenie i stanowi lex specialis, więc dla podmiotów finansowych ma pierwszeństwo przed NIS2. NIS2 to dyrektywa o szerszym zakresie sektorów, wdrażana do prawa krajowego.
Czy DORA to rozporządzenie czy dyrektywa?
To rozporządzenie (UE 2022/2554). Obowiązuje bezpośrednio we wszystkich krajach UE, bez wdrażania do prawa krajowego. Przepisy krajowe doprecyzowują tylko nadzór i sankcje.
Od kiedy rozporządzenie DORA obowiązuje w Polsce?
Rozporządzenie jest stosowane od 17 stycznia 2025 roku w całej UE. W Polsce ustawa krajowa precyzująca nadzór KNF weszła w życie 7 sierpnia 2025 roku.
Czy rozporządzenie DORA dotyczy mojej firmy IT, jeśli obsługuję bank lub fintech?
Tak, choć pośrednio. Sam możesz nie podlegać bezpośredniemu nadzorowi, ale klient z sektora finansowego musi przenieść na Ciebie część wymogów umownie: prawo audytu, raportowanie incydentów, plany wyjścia, kontrolę podwykonawców czy SLA z RTO i RPO.
Kim jest krytyczny dostawca ICT (CTPP) i kto go wyznacza?
To dostawca, którego usługi mają kluczowe znaczenie dla działania sektora finansowego. Krytycznych dostawców wyznacza się na poziomie europejskim, a po wyznaczeniu podlegają bezpośredniemu nadzorowi europejskich urzędów.
Jakie klauzule DORA muszą znaleźć się w umowie z dostawcą IT?
Najczęściej prawo audytu i inspekcji, raportowanie incydentów, plany wyjścia, lokalizacja danych, kontrola podwykonawców oraz SLA z parametrami RTO i RPO.
Czy małe podmioty mają lżejsze wymogi?
Tak. Dzięki zasadzie proporcjonalności mniejsze podmioty mogą korzystać z uproszczonych ram zarządzania ryzykiem ICT, a mikroprzedsiębiorstwa mają dodatkowe wyłączenia.
Jakie kary grożą za brak zgodności z DORA?
Sankcje są dotkliwe i obejmują kary finansowe, środki nadzorcze, a w niektórych przypadkach odpowiedzialność osób zarządzających. Dokładne progi zależą od rodzaju podmiotu i przepisów krajowych, dlatego warto zweryfikować je w aktualnym tekście rozporządzenia i polskiej ustawie.