KRWLEGAL rekomendowana w rankingach IFLR1000 · Rzeczpospolita · The Legal 500

Nowa ustawa wdrażająca DORA przyjęta – sektor finansowy zyska ramy dla cyfrowej odporności

W dniu 31 lipca 2025 r. Prezydent RP podpisał ustawę z dn. 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji. Ustawa ma na celu m.in. wdrożenie do polskiego porządku prawnego regulacji spójnych z wymaganiami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 (DORA) oraz implementację dyrektywy 2022/2554 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego.

6 sierpnia 2025

Rozporządzenie DORA jest regulacją mająca na celu zwiększenie odporności cyfrowej instytucji finansowych na zagrożenia związane z wykorzystaniem technologii informacyjno–komunikacyjnych (ICT). Przepisy rozporządzenia DORA obejmują podmioty z sektora finansowego, takie jak banki, instytucje płatnicze, domy maklerskie, towarzystwa funduszy inwestycyjnych, a także dostawców usług IT, którzy świadczą usługi na ich rzecz. W ramach rozporządzenia DORA uregulowano szereg obowiązków, w szczególności:

  • identyfikacja i zarządzanie ryzykiem cyfrowym;
  • obowiązek zgłaszania incydentów;
  • regularne testy systemów;
  • współpraca z dostawcami usług technologicznych;
  • współpraca i wymiana informacji.

Rozpoczęcie stosowania rozporządzenia DORA całkowicie zmieniło krajobraz regulacyjny w zakresie bezpieczeństwa informacji oraz operacyjnej odporności cyfrowej podmiotów z sektora finansowego –Komisja Nadzoru Finansowego przyjęła uchwały uchylające dotychczas obowiązujące uchwały wprowadzające m.in. wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego, w firmach inwestycyjnych, rekomendacje D dla banków itp. Dodatkowo Urząd KNF odwołał komunikat z 23 stycznia 2020 roku dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej – tzw. „Komunikat Chmurowy”.

Wdrożenie regulacji unijnych w zakresie operacyjnej odporności cyfrowej w polskim systemie prawnym nastąpiło w znacznym stopniu poprzez zmianę przepisów ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym – nadano kompetencje nadzorcze w obszarze bezpieczeństwa ICT Komisji Nadzoru Finansowego oraz rozszerzono katalog zadań KNF o działania mające na celu przeciwdziałanie występowaniu poważnych incydentów oraz zagrożeń systemów teleinformatycznych, a także przeciwdziałaniu cyberzagrożeniom oraz incydentom związanym z ICT.

Wprowadzono również szereg zmian, w szczególności:

  • określenie katalogu kar za nieprzestrzeganie wymagań w zakresie operacyjnej odporności cyfrowej podmiotu finansowego – zarówno dla podmiotu finansowego jak i organu zarządzającego, w tym Członków Zarządów oraz osób faktycznie odpowiedzialnych za ICT;
  • regulacje w zakresie przekazywania informacji o incydentach i cyberzagrożeniach do Komisji Nadzoru Finansowego;
  • nowe uprawnienia nadzorcze KNF w obszarze ICT;
  • zasady dostępu do tajemnicy telekomunikacyjnej.

Ze względu na konieczność implementacji postanowień dyrektywy 2022/2556 wprowadzono odpowiednie zmiany w następujących ustawach:

  • ustawie z dnia 7 lipca 1994 r. o ubezpieczeniach gwarantowanych przez Skarb Państwa;
  • ustawie z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych;
  • ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe;
  • ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi;
  • ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi;
  • ustawie z dnia 19 sierpnia 2011 r. o usługach płatniczych;
  • ustawie z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego, o Rzeczniku Finansowym i o Funduszu Edukacji Finansowej;
  • ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej;
  • ustawie z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji.

Ustawa wchodzi w życie z dniem następującym po jej ogłoszeniu. Tekst ustawy przyjęty przez Senat bez poprawek dostępny jest pod linkiem.

Kancelaria prawna KRWLegal / LegalWell zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie Rozporządzenia DORA, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

  • Kontakt
    Kancelaria prawna Krzysztof Rożko i Wspólnicy

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn