Wiesław Krawczyński

Wdrożenie DORA

Od stycznia 2025 r. podmioty sektora finansowego oraz dostawcy technologii świadczący usługi na ich rzecz muszą spełniać wymagania Rozporządzenia DORA (Digital Operational Resilience Act).

Regulacja wprowadza jednolite zasady dotyczące zarządzania ryzykiem ICT, reagowania na incydenty, testowania odporności oraz nadzoru nad dostawcami technologii.
Brak przygotowania do DORA oznacza nie tylko ryzyko sankcji, ale także realne zagrożenie dla ciągłości działania i stabilności operacyjnej organizacji.


Sprawdź, jak bezpiecznie przygotować firmę do spełnienia wymogów DORA ➤

Porozmawiajmy o ofercie dla Twojej firmy



    Kogo wspieramy w ramach wdrożenia DORA?

    Pomagamy organizacjom, które muszą uporządkować i wzmocnić obszar odporności cyfrowej zgodnie z nowymi regulacjami UE.

    Z naszej usługi korzystają podmioty, które:

    • podlegają Rozporządzeniu DORA, w tym banki, towarzystwa funduszy inwestycyjnych, firmy ubezpieczeniowe, FinTechy, domy maklerskie oraz dostawcy usług ICT dla sektora finansowego,
    • mają obowiązek raportowania incydentów ICT oraz utrzymywania i testowania planów ciągłości działania,
    • muszą regularnie weryfikować odporność systemów informatycznych i procesów operacyjnych,
    • zarządzają ryzykiem związanym z outsourcingiem technologicznym i relacjami z dostawcami,
    • chcą spójnie połączyć DORA z innymi systemami zgodności, takimi jak ISO 27001, ISO 22301, RODO czy NIS2.

    Jak przebiega wdrożenie Rozporządzenia DORA?

    Projekt realizujemy w oparciu o wymagania prawne, dobre praktyki rynkowe oraz realne uwarunkowania organizacyjne klienta. Proces obejmuje kilka logicznych etapów:

    1. Ocena stanu obecnego i analiza ryzyka ICT
      Rozpoczynamy od audytu wstępnego – weryfikujemy obowiązujące procedury, zabezpieczenia techniczne oraz poziom zgodności z DORA, NIS2, wytycznymi KNF i innymi regulacjami.
    2. Identyfikacja obowiązków wynikających z DORA
      Tworzymy mapę wymagań regulacyjnych i działań wdrożeniowych w obszarach takich jak: zarządzanie ryzykiem ICT, obsługa incydentów, testy odporności, relacje z dostawcami.
    3. Opracowanie polityk i procedur
      Projektujemy dokumentację zgodną z DORA, w tym m.in. procedury reagowania na incydenty, plany BCP/DRP, zasady testów odporności (TLPT) oraz komunikacji z organami nadzoru.
    4. Szkolenia i wsparcie zespołów
      Prowadzimy warsztaty dla zespołów IT, compliance i zarządu – przygotowując organizację do raportowania incydentów, zarządzania kryzysowego i pracy w warunkach zakłóceń.
    5. Testy odporności i symulacje (opcjonalnie)
      Realizujemy testy bezpieczeństwa, testy penetracyjne oraz ćwiczenia typu „war games”, a także ocenę dostawców ICT i umów outsourcingowych.
    6. Finalizacja wdrożenia i raport zgodności
      Projekt kończymy dokumentacją potwierdzającą gotowość organizacji do spełnienia wymogów DORA oraz rekomendacjami dalszego rozwoju systemu odporności cyfrowej.

    📄 Możliwe rozszerzenia:

    • integracja DORA z ISO 27001 i ISO 22301,
    • wdrożenie NIS2,
    • audyty techniczne,
    • bieżący monitoring zgodności.

    Sprawdź, jak skutecznie przygotować się do DORA.
    Zarezerwuj rozmowę z ekspertem.

    Dlaczego warto wdrożyć DORA z doświadczonym zespołem?

    • Pełna zgodność regulacyjna
      Zapewniamy dostosowanie do Rozporządzenia DORA oraz aktualnych wytycznych organów nadzoru krajowego i europejskiego.
    • Mniejsze ryzyko operacyjne
      Dobrze wdrożona odporność cyfrowa ogranicza skutki incydentów, przestojów i zakłóceń w działalności.
    • Praktyczna dokumentacja
      Tworzymy realnie użyteczne procedury, polityki i wzory raportów – gotowe do wdrożenia i kontroli.
    • Testy i nadzór nad dostawcami ICT
      Wspieramy ocenę dostawców, testy TLPT oraz audyty usług chmurowych i outsourcingowych.
    • Kompleksowe wsparcie
      Towarzyszymy organizacji na każdym etapie – od analizy, przez wdrożenie, po szkolenia i działania poaudytowe.
    Dzięki połączeniu usług RODO i cyberbezpieczeństwa zapewniamy kompleksową ochronę danych osobowych – od zgodności prawnej po realne zabezpieczenie systemów informatycznych.
    Zobacz, jak możemy wzmocnić odporność cyfrową Twojej organizacjiPorozmawiaj z ekspertem

    Najczęściej zadawane pytania

    Kogo dotyczy rozporządzenie DORA?

    DORA obejmuje praktycznie cały sektor finansowy w UE: banki, towarzystwa funduszy inwestycyjnych, firmy ubezpieczeniowe i reasekuracyjne, FinTechy, instytucje płatnicze i pieniądza elektronicznego, domy maklerskie, GPW i KDPW, agencje ratingowe, dostawców usług kryptoaktywów oraz ich krytycznych dostawców ICT (CTPP). Co istotne, dostawcy usług chmurowych, oprogramowania bankowego, hostingu czy SOC dla finansów są pośrednio zobowiązani do wsparcia klientów w spełnieniu DORA – w praktyce muszą wykazać własną zgodność.

    Jakie są kary za niezgodność z DORA?

    Sankcje są wymierzane przez krajowe organy nadzoru – w Polsce KNF. Kary administracyjne mogą wynosić do 1% średniego dziennego światowego obrotu (kara ryczałtowa) lub do 2 mln euro dla osób fizycznych. Dla krytycznych dostawców ICT sklasyfikowanych jako CTPP nadzorowanych bezpośrednio przez ESA kary mogą dochodzić do 1% średniego dziennego światowego obrotu i są naliczane okresowo (co dzień opóźnienia we wdrożeniu zaleceń). Niezależnie od kar KNF może nałożyć ograniczenia działalności lub wymusić wymianę dostawcy.

    Czym są testy TLPT i kto musi je przeprowadzać?

    TLPT (Threat-Led Penetration Testing) to zaawansowane testy penetracyjne sterowane realnymi scenariuszami zagrożeń (threat intelligence). Symulują działania faktycznych grup APT atakujących sektor finansowy. Są obowiązkowe dla podmiotów najistotniejszych z punktu widzenia stabilności finansowej (banki systemowe, KDPW, większe zakłady ubezpieczeń) – co najmniej raz na 3 lata. Test obejmuje całą organizację (nie pojedynczą aplikację), trwa kilka miesięcy, jest prowadzony przez certyfikowanych dostawców i wynik jest raportowany do organu nadzoru.

    W jakim czasie należy zgłaszać incydenty ICT zgodnie z DORA?

    DORA wprowadza trzy progi raportowe – podobnie jak NIS2. Wczesne ostrzeżenie do organu nadzoru (w Polsce KNF) w ciągu 24 godzin od klasyfikacji incydentu jako poważnego. Zgłoszenie pośrednie z opisem przyczyn, przebiegu i wpływu w ciągu 72 godzin. Raport końcowy z pełną analizą i wdrożonymi działaniami w ciągu jednego miesiąca. Klasyfikacja „incydentu poważnego” opiera się na kryteriach takich jak wpływ na klientów, czas trwania, zasięg geograficzny, dane krytyczne i wpływ ekonomiczny.

    Jakie obowiązki nakłada DORA na zarządzanie dostawcami ICT?

    Zarządzanie ryzykiem dostawców jest jednym z pięciu filarów DORA. Wymagana jest m.in.: pełna inwentaryzacja umów ICT (rejestr dostawców), klasyfikacja krytyczności, analiza koncentracji (ile kluczowych usług u jednego dostawcy), klauzule kontraktowe wymuszone przez DORA (prawo audytu, lokalizacja danych, plany wyjścia, raportowanie incydentów, podwykonawcy), regularne przeglądy bezpieczeństwa dostawców, plany migracji w razie utraty dostawcy. Krytyczni dostawcy muszą uczestniczyć w testach DR i TLPT klienta.

    Czy DORA zastępuje wytyczne KNF dla sektora finansowego?

    DORA jest rozporządzeniem UE i obowiązuje bezpośrednio – nie wymaga implementacji do prawa krajowego. Wytyczne KNF (np. w sprawie zarządzania obszarami technologii informacyjnej) pozostają w mocy w zakresie, w jakim nie są sprzeczne z DORA, i są w trakcie aktualizacji. W praktyce DORA jest bardziej szczegółowa i restrykcyjna niż dotychczasowe wytyczne KNF, więc spełnienie DORA zwykle oznacza spełnienie wytycznych. KNF jest organem nadzorczym egzekwującym DORA w Polsce.

    Jak DORA łączy się z ISO 27001, ISO 22301 i NIS2?

    DORA, ISO 27001, ISO 22301 i NIS2 mają wspólny mianownik – zarządzanie ryzykiem ICT, ciągłość działania, zarządzanie incydentami i nadzór nad dostawcami. Najbardziej efektywne wdrożenie to jeden zintegrowany system zgodności: ISO 27001 jako rama bezpieczeństwa informacji, ISO 22301 jako rama ciągłości, DORA i NIS2 jako wymogi sektorowe nadbudowane na obie normy. Pozwala to uniknąć dublowania procedur, zmniejszyć koszt audytów i zredukować obciążenie zespołów compliance.

    Czy FinTech, który nie jest bankiem, też podlega pod DORA?

    Tak. DORA obejmuje praktycznie wszystkie podmioty z licencją sektora finansowego – w tym instytucje płatnicze, instytucje pieniądza elektronicznego, dostawców usług kryptoaktywów (CASP/MiCA), domy maklerskie, fundusze. Małe i innowacyjne FinTechy są często objęte zasadą proporcjonalności – mogą stosować uproszczone podejście, ale podstawowe obowiązki (zarządzanie ryzykiem ICT, raportowanie incydentów, zarządzanie dostawcami, plany ciągłości) obowiązują wszystkich.

    Ile czasu zajmuje wdrożenie DORA w średniej firmie finansowej?

    Realnie 6–12 miesięcy w średniej instytucji (dom maklerski, mniejszy TFI, instytucja płatnicza), 12–18 miesięcy w banku lub większym zakładzie ubezpieczeń. Najdłużej trwa renegocjacja umów ICT (klauzule DORA z dostawcami), wdrożenie testów TLPT i konsolidacja rejestru incydentów. Część organizacji startuje od audytu zerowego i identyfikacji obowiązków – to wystarcza, by zacząć wdrożenie i jednocześnie wykazywać przed KNF aktywne działanie w zakresie zapewniania zgodności z wymaganiami DORA.

    Czy dostawca usług IT dla banku musi się przygotować do DORA?

    Tak – nawet jeśli sam nie jest podmiotem finansowym. Banki, TFI i ubezpieczyciele muszą umownie przenieść na dostawców wymogi DORA: prawo audytu, raportowanie incydentów, klauzule wyjścia, dostępność do testów TLPT, lokalizację danych, kontrolę podwykonawców. W praktyce dostawcy ICT, którzy chcą utrzymać kontrakty z sektorem finansowym, muszą wdrożyć ISO 27001, ISO 22301 oraz dedykowany pakiet zgodności z DORA. Krytyczni dostawcy ICT (CTPP) podlegają nawet bezpośredniemu nadzorowi ESA.

    LinkedIn
    RODO
    Cyberbezpieczeństwo
    Doradztwo RODO
    Audytel S.A.
    ul. ks. I. Skorupki 5
    00-546 Warszawa
    NIP 779-21-69-697
    REGON 634288697
    Regulamin
    Polityka Prywatności
    +48 22 537 50 50
    biuro@rodoradar.pl