KRWLEGAL rekomendowana w rankingach IFLR1000 · Rzeczpospolita · The Legal 500

DORA – i co dalej?

Rozporządzenie DORA jest stosowane od niemal 9 miesięcy. Na przełomie 2024 oraz 2025 r. instytucje finansowe mierzyły się z koniecznością wdrożenia nowych wymogów w zakresie odporności cyfrowej.

11 września 2025

Jednak samo przygotowanie polityk i procedur oraz wypełnienie odpowiednich rejestrów to dopiero początek – prawdziwym wyzwaniem jest utrzymanie i rozwijanie raz zbudowanego systemu zarządzanie bezpieczeństwem informacji.

Jakie najważniejsze obowiązki związane z utrzymaniem ram zarządzania ryzykiem ICT czekają podmioty finansowe w najbliższym czasie?

Obowiązki raportowe

DORA zawiera szereg obowiązków raportowych, takich jak:

  • zgłoszenia zawieranych umów z zewnętrznymi dostawcami usług ICT (art. 28 ust. 3 DORA, formularz SPR-PF-20),
  • zestawienia wszystkich ustaleń umownych z zewnętrznymi dostawcami usług ICT (art. 28 ust. 3 DORA, formularz SPR-PF-19),
  • raportowanie dot. incydentów związanych z ICT:
    • sprawozdanie dot. rocznych kosztów i strat spowodowanych poważnymi incydentami (art. 11 ust. 10 DORA, formularz SPR-PF-04),
    • wstępne powiadomienie i sprawozdanie dotyczące poważnych incydentów ICT (w szczególności art. 19 ust. 1 DORA, formularz SPR-PF-07)
    • sprawozdanie śródokresowe dotyczące poważnych incydentów ICT (formularz SPR-PF-08),
    • sprawozdanie końcowe dotyczące poważnych incydentów ICT (formularz SPR-PF-09),
  • sprawozdanie dot. informacji o zmianach wprowadzonych w następstwie przeglądu po poważnym incydencie związanym z ICT (art. 13 ust. 2 DORA, formularz SPR-PF-05).

Szczególne znaczenie mają jednak obowiązki sprawozdawcze związane z Kluczowymi Wskaźnikami Ryzyka (KRI) dla obszaru ICT. Każdy podmiot finansowy jest zobowiązany do składania kwartalnych (SPR-PF-26) oraz rocznych (SPR-PF-27) ankiet KRI, które pozwolą nadzorcy na systematyczną ocenę poziomu ryzyka technologicznego w sektorze. Raporty te obejmą m.in. dane o incydentach, skuteczności stosowanych mechanizmów bezpieczeństwa, dostępności systemów, a także informacje dotyczące outsourcingu usług ICT.

Kwartalne raporty mają zapewnić bieżący obraz stanu bezpieczeństwa i umożliwić szybką identyfikację trendów lub narastających zagrożeń. Raport roczny stanowi natomiast podsumowanie całego okresu sprawozdawczego, pozwalając KNF oraz europejskim organom nadzoru na prowadzenie pogłębionych analiz porównawczych i wyznaczanie kierunków działań prewencyjnych. Dane te będą przekazywane w jednolitym formacie cyfrowym, co ułatwi ich automatyczne przetwarzanie i integrację na poziomie UE. Regularne raportowanie KRI ma zatem nie tylko charakter nadzorczy, lecz także strategiczny – tworzy podstawę do budowania odporności operacyjnej w całym sektorze finansowym.

Audyty

Rozporządzenie DORA nakłada na podmioty finansowe obowiązek prowadzenia regularnych audytów wewnętrznych w obszarze zarządzania ryzykiem ICT. Celem audytów jest niezależna i obiektywna ocena skuteczności wdrożonych ram bezpieczeństwa, procedur oraz mechanizmów kontroli. Instytucje finansowe muszą zapewnić, aby audyty obejmowały całość procesów ICT, w tym zarządzanie incydentami, ciągłość działania, współpracę z dostawcami zewnętrznymi oraz stosowanie testów odporności.

Zgodnie z art. 6 ust. 6 DORA, ramy zarządzania ryzykiem związanym z ICT podmiotów finansowych innych niż mikroprzedsiębiorstwa powinny być regularnie poddawane audytowi wewnętrznemu przeprowadzanemu przez audytorów zgodnie z planami tych podmiotów finansowych dotyczącymi audytów. Audytorzy powinni posiadać wystarczającą wiedzę, umiejętności i wiedzę fachową w zakresie ryzyka związanego z ICT oraz cechować się odpowiednią niezależnością. Częstotliwość i przedmiot audytów ICT powinny współmierne do ryzyka związanego z ICT danego podmiotu finansowego. Powyższe oznacza, że każdy podmiot finansowy powinien indywidualnie ocenić, jak często przeprowadzać audyty wewnętrzne swoich ram zarządzania ryzykiem, jednak decyzja zawsze oparta jest o wyniki analizy ryzyka związanego z ICT. Ogólnie przyjętą praktyką jest przeprowadzanie audytów wewnętrznych w zakresie systemu zarządzania bezpieczeństwem informacji co najmniej raz w roku.

Mikroprzedsiębiorstwa zostały wyłączone z obowiązku przeprowadzania regularnych audytów wewnętrznych swoich ram zarządzania ryzykiem ICT, jednak wciąż na mocy art. 6 ust. 5 DORA zobowiązane są do przeprowadzania okresowych przeglądów – „Ramy zarządzania ryzykiem związanym z ICT powinny być dokumentowane i poddawane przeglądowi co najmniej raz w roku, lub okresowo w przypadku mikroprzedsiębiorstw (…)”.

Audyt wewnętrzny powinien być prowadzony w cyklach regularnych, zgodnie z przyjętym planem audytowym, ale także w przypadku istotnych zmian w infrastrukturze lub po wystąpieniu poważnych incydentów. Wyniki audytów muszą być dokumentowane i raportowane do organów nadzorczych na żądanie, a także wykorzystywane do wdrażania działań naprawczych i doskonalenia systemu bezpieczeństwa. DORA podkreśla wymóg niezależności funkcji audytu, co oznacza, że kontrola powinna być prowadzona przez jednostkę odrębną od obszarów operacyjnych. W praktyce audyty stają się kluczowym narzędziem zapewnienia zgodności i ciągłego podnoszenia odporności cyfrowej instytucji finansowych.

Przeglądy

Rozporządzenie DORA nakłada na instytucje finansowe obowiązek cyklicznych przeglądów ram zarządzania ryzykiem ICT, które mają zapewnić ich aktualność, skuteczność i zgodność z wymogami regulacyjnymi. Przeglądy powinny obejmować m.in. polityki bezpieczeństwa, procedury reagowania na incydenty, plany ciągłości działania, a także mechanizmy monitorowania usług dostawców zewnętrznych. W zależności od kategorii podmiotu przewidziano różne formy – pełne (SPR-PF-02) lub uproszczone (SPR-PF-06).

Przeglądy w zakresie pełnych ram zarządzania ryzykiem związanym z ICT uregulowane zostały m.in. w ramach art. 6 ust. 5 DORA – ramy zarządzania ryzykiem związanym z ICT powinny dokumentowane i poddawane przeglądowi co najmniej raz w roku, lub okresowo w przypadku mikroprzedsiębiorstw, a także w przypadku wystąpienia poważnych incydentów związanych z ICT oraz zgodnie z instrukcjami nadzorczymi lub wnioskami wynikającymi z odpowiednich testów lub procesów audytu operacyjnej odporności cyfrowej. powinny być one stale ulepszane na podstawie wniosków płynących z wdrażania i monitorowania. Sprawozdanie z przeglądu ram zarządzania ryzykiem związanym z ICT należy przedłożyć właściwemu organowi na jego żądanie.

DORA wymaga, by przeglądy były prowadzone regularnie, co najmniej raz do roku, a także każdorazowo po istotnych incydentach lub zmianach technologicznych. Wyniki muszą być dokumentowane, raportowane na żądanie organów nadzoru i przekładane na konkretne działania naprawcze. Szczególną rolę przypisano organom zarządzającym, które odpowiadają za nadzorowanie procesu i wdrażanie zaleceń wynikających z przeglądów. W praktyce obowiązki te mają zagwarantować, że systemy bezpieczeństwa instytucji nie tylko spełniają wymogi formalne, lecz także stale odpowiadają na ewoluujące zagrożenia cybernetyczne.

Kontrole nadzorcze

Rozporządzenie DORA znacząco wzmacnia uprawnienia organu nadzoru, w zakresie kontroli operacyjnej odporności cyfrowej podmiotów finansowych. Nadzór może prowadzić zarówno kontrole planowe, jak i doraźne – w siedzibach instytucji, a także w formie zdalnej. Zakres obejmuje m.in. weryfikację ram zarządzania ryzykiem ICT, raportowania incydentów, planów ciągłości działania oraz umów z dostawcami zewnętrznymi.

Podmioty finansowe są zobowiązane do udostępniania wszelkiej dokumentacji, danych i systemów niezbędnych do przeprowadzenia kontroli. W toku działań nadzorczych mogą być żądane dodatkowe raporty (np. SPR-PF-23 i SPR-PF-24), a w przypadku stwierdzenia naruszeń – nakładane środki naprawcze lub sankcje. DORA przewiduje również współpracę krajowych organów z europejskimi urzędami nadzoru, co umożliwia prowadzenie skoordynowanych kontroli transgranicznych. W praktyce oznacza to istotne zwiększenie transparentności działań instytucji finansowych oraz konieczność utrzymywania pełnej gotowości do weryfikacji zgodności z wymogami regulacyjnymi.

Incydenty związane z ICT

DORA nakłada na podmioty finansowe szczegółowe obowiązki w zakresie obsługi incydentów ICT, kładąc nacisk na szybkie wykrywanie, klasyfikację i raportowanie zdarzeń. Instytucje muszą wdrożyć procedury umożliwiające natychmiastową identyfikację poważnych incydentów oraz ich ocenę pod kątem wpływu na działalność i klientów. Kluczowe jest obowiązkowe zgłaszanie poważnych incydentów do organu nadzoru – wstępne powiadomienie (SPR-PF-07) powinno zostać przekazane w ciągu 4 godzin od klasyfikacji zdarzenia, a następnie raport śródokresowy (SPR-PF-08) w ciągu 72 godzin i raport końcowy (SPR-PF-09) maksymalnie w ciągu miesiąca.

Oprócz tego instytucje mogą dobrowolnie raportować znaczące cyberzagrożenia (SPR-PF-10), co wspiera wymianę informacji w sektorze. Obowiązki obejmują także dokumentowanie incydentów, analizę przyczyn, podejmowanie działań naprawczych oraz wprowadzanie usprawnień minimalizujących ryzyko ponownego wystąpienia. W ten sposób DORA tworzy jednolity i rygorystyczny system reagowania na incydenty, zwiększający odporność cyfrową całego sektora finansowego.

Szkolenia

Rozporządzenie DORA podkreśla znaczenie kompetencji personelu w budowaniu odporności cyfrowej sektora finansowego, wprowadzając obowiązek regularnych szkoleń w obszarze ICT i cyberbezpieczeństwa. Instytucje finansowe muszą zapewnić, aby pracownicy – od kadry operacyjnej po zarządy – posiadali wiedzę i umiejętności niezbędne do prawidłowego rozpoznawania zagrożeń, reagowania na incydenty oraz stosowania procedur bezpieczeństwa. Szczególny nacisk kładziony jest na szkolenia z zakresu obsługi incydentów, zarządzania ryzykiem ICT, ochrony danych oraz współpracy z dostawcami zewnętrznymi.

Szkolenia powinny być cykliczne, dostosowane do roli pracowników i aktualnych zagrożeń, a ich wyniki dokumentowane. DORA wymaga także, by członkowie organów zarządzających rozumieli skutki decyzji w zakresie odporności cyfrowej i byli świadomi ryzyk technologicznych. Regularne podnoszenie kwalifikacji ma charakter prewencyjny – minimalizuje ryzyko błędów ludzkich i wspiera tworzenie kultury cyberbezpieczeństwa, co wprost przekłada się na lepszą ochronę instytucji oraz jej klientów.

W stosownych przypadkach, zgodnie z art. 13 ust. 6 DORA, w zw. z art. 30 ust. 2 lit. i) podmioty finansowe powinny objąć systemami szkoleń również zewnętrznych dostawców usług ICT.

Wsparcie w realizacji obowiązków

Kancelaria prawna KRWLegal / LegalWell posiada bogate doświadczenie w zakresie wdrożenia wymagań DORA. Kancelaria dysponuje ekspertami, którzy na co dzień wspierają Klientów Kancelarii w realizacji audytów, przeglądów dokumentacji, przesyłaniu sprawozdań do Komisji Nadzoru Finansowego, szkoleniach. Kancelaria KRWLegal / LegalWell doradza również w przypadku wystąpienia incydentów i naruszeń bezpieczeństwa informacji.

Kancelaria prawna KRWLegal/ LegalWell zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie Rozporządzenia DORA, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

Newsletter Regulacyjny KRWLegal / LegalWell 08/2025 wysłany do Klientów Kancelarii

18 września 2025

Przed weekendem do Klientów KRWLegal / LegalWell trafił sierpniowy numer Newslettera Regulacyjnego.

Hipoteczne listy zastawne – wreszcie także dla inwestorów indywidualnych?

16 września 2025

Do tej pory hipoteczne listy zastawne pozostawały domeną dużych instytucji finansowych. Choć to instrument z ponad stuletnią tradycją, w Polsce był postrzegany raczej jako rozwiązanie niszowe – bez realnej dostępności dla przeciętnego inwestora indywidualnego.

Za co odpowiada depozytariusz w funduszu inwestycyjnym?

29 sierpnia 2025

Odpowiedzialność depozytariusza funduszu – wobec kogo i w jakim zakresie odpowiada depozytariusz?

Nowy projekt noweli u.k.s.c. – jakie względem poprzedniej wersji?

22 sierpnia 2025

W dniu 20 sierpnia 2025 r. na stronie Rządowego Centrum Legislacji („RCL”) opublikowana została nowa wersja projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („Projekt”).

  • Kontakt
    Kancelaria prawna Krzysztof Rożko i Wspólnicy

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn

Krzysztof Rożko i Wspólnicy Kancelaria Prawna informuje, że dane podane na stronach niniejszego serwisu internetowego nie stanowią wiążącej oferty jakichkolwiek usług, w tym usług prawniczych, świadczonych użytkownikom serwisu internetowego, klientom i partnerom Krzysztof Rożko i Wspólnicy Kancelaria Prawna, i podane zostały wyłącznie w celach informacyjnych i reklamowych. Nie stanowią również usługi doradztwa prawnego, a także nie są formą świadczenia pomocy prawnej.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna czasowo dokonuje aktualizacji informacji zawartych w serwisie internetowym. Serwis internetowy został przygotowany również na podstawie informacji publicznie dostępnych i źródeł zewnętrznych uznanych przez Krzysztof Rożko i Wspólnicy Kancelaria Prawna za wiarygodne, ale Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie gwarantuje i nie może zapewnić o ich dokładności, kompletności i wiarygodności. Korzystanie z publikacji umieszczonych na stronie jest dozwolone pod warunkiem poinformowania o autorze publikacji oraz źródle jej pochodzenia.

Otrzymując dostęp do stron serwisu WWW użytkownik przyjmuje do wiadomości, że wszelkie informacje wysyłane za pomocą poczty elektronicznej oraz innych form transmisji poprzez sieć Internet nie mają charakteru poufnego i mogą być narażone na ingerencję osób trzecich.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Wszelkie prawa autorskie, znaki towarowe i inne prawa własności intelektualnej, oprogramowanie i wszystkie kody HTML, jak również inne kody zawarte na niniejszej stronie internetowej, pozostają przy Krzysztof Rożko i Wspólnicy Kancelaria Prawna i/lub jego licencjodawcach, i są chronione przez prawo autorskie oraz inne prawa i postanowienia układów międzynarodowych.