EuroComply
Sign up
Back to blog
DORA 9 min read

Czym jest DORA? Kompletny przewodnik dla podmiotów finansowych

What you need to know: Czym jest DORA? Kompletny przewodnik dla podmiotów finansowych

DORA (Rozporządzenie 2022/2554) obowiązuje od stycznia 2025 r. Przewodnik omawia, kogo dotyczy, pięć filarów zarządzania ryzykiem ICT, zgłaszanie incydentów, zasady dotyczące dostawców zewnętrznych oraz kary.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Rozporządzenie w sprawie operacyjnej odporności cyfrowej (Rozporządzenie 2022/2554) weszło w fazę stosowania 17 stycznia 2025 r.. Ustanawia ono jednolite ramy operacyjnej odporności cyfrowej sektora finansowego UE — wymagając od podmiotów finansowych oraz ich kluczowych zewnętrznych dostawców usług ICT zarządzania ryzykiem ICT w spójny i kompleksowy sposób.

DORA nie jest dobrowolnym standardem ani dokumentem zawierającym wytyczne o charakterze prawa miękkiego. To bezpośrednio stosowane prawo UE, egzekwowane przez krajowe właściwe organy, a w przypadku istotnych instytucji — przez Europejski Bank Centralny.

Czym jest DORA?

Celem DORA jest zapewnienie, że podmioty finansowe są w stanie wytrzymać zakłócenia i zagrożenia związane z ICT, reagować na nie oraz przywracać sprawność po ich wystąpieniu. Przed DORA regulacje finansowe UE odnosiły się do odporności operacyjnej jedynie fragmentarycznie, w ramach poszczególnych dyrektyw sektorowych. DORA ujednolica te obowiązki w jednolite, neutralne technologicznie ramy.

Rozporządzenie obejmuje pięć głównych obszarów — nieformalnie nazywanych pięcioma filarami — rozłożonych na 64 artykuły.

Kogo dotyczy DORA?

DORA ma szeroki zakres obejmujący cały sektor finansowy. Dotyczy ona:

| Typ podmiotu | Przykłady | |-------------|---------| | Instytucje kredytowe | Banki, kasy budowlane | | Instytucje płatnicze | Operatorzy płatności, emitenci pieniądza elektronicznego | | Firmy inwestycyjne | Brokerzy, zarządzający portfelami | | Zakłady ubezpieczeń i reasekuracji | Ubezpieczyciele życiowi i majątkowi, reasekuratorzy | | Dostawcy usług w zakresie kryptoaktywów (CASP) | Giełdy, podmioty zapewniające przechowywanie zgodnie z MiCA | | Kontrahenci centralni (CCP) | Izby rozliczeniowe | | Repozytoria transakcji | | | Zarządzający alternatywnymi funduszami inwestycyjnymi (ZAFI) | | | Spółki zarządzające (UCITS) | | | Zewnętrzni dostawcy usług ICT | Dostawcy chmury, analityki danych, dostawcy oprogramowania obsługujący podmioty finansowe |

Mikroprzedsiębiorstwa (zatrudniające mniej niż 10 osób oraz o rocznym obrocie/sumie bilansowej poniżej 2 mln EUR) korzystają z uproszczonych wymogów w ramach zasady proporcjonalności.

Zewnętrzni dostawcy usług ICT są objęci DORA bezpośrednio, gdy zostaną uznani za kluczowych przez Wspólny Komitet Europejskich Urzędów Nadzoru (ESA: EBA, ESMA, EIOPA). Kluczowi dostawcy zewnętrzni podlegają unijnym ramom nadzoru i mogą otrzymywać wiążące zalecenia.

Pięć filarów DORA

Filar 1: Ramy zarządzania ryzykiem ICT (art. 5–16)

Podmioty finansowe muszą posiadać kompleksowe, udokumentowane ramy zarządzania ryzykiem ICT utrzymywane przez organ zarządzający (odpowiedzialność na poziomie zarządu). Ramy te muszą:

  • Identyfikować i klasyfikować zasoby, funkcje oraz zależności ICT
  • Wdrażać środki ochrony i zapobiegania w odniesieniu do zidentyfikowanych ryzyk
  • Ustanawiać mechanizmy wykrywania nietypowych działań
  • Definiować procedury reagowania i przywracania sprawności
  • Obejmować procesy przeglądu po wystąpieniu incydentu
  • Być poddawane przeglądowi co najmniej raz w roku oraz po poważnych incydentach

Bezpośrednią odpowiedzialność ponosi kadra kierownicza wyższego szczebla. DORA wyraźnie wymaga, aby organ zarządzający zdefiniował, zatwierdził, nadzorował oraz ponosił odpowiedzialność za ramy zarządzania ryzykiem ICT — nie można ich w całości delegować.

Filar 2: Zarządzanie incydentami związanymi z ICT i ich zgłaszanie (art. 17–23)

Podmioty finansowe muszą wdrożyć proces zarządzania incydentami związanymi z ICT służący wykrywaniu, klasyfikowaniu oraz zgłaszaniu incydentów.

Klasyfikacja: incydenty są klasyfikowane na podstawie kryteriów określonych przez ESA — wpływ na dane, dotknięte usługi, zasięg geograficzny, znaczenie krytyczne, czas trwania oraz skutki gospodarcze.

Terminy zgłaszania poważnych incydentów ICT:

| Raport | Termin | Treść | |--------|----------|---------| | Powiadomienie wstępne | 4 godziny po sklasyfikowaniu jako poważny | Podstawowe fakty, klasyfikacja, wstępna ocena skutków | | Raport okresowy | 72 godziny po powiadomieniu wstępnym | Zaktualizowana analiza, podjęte środki łagodzące | | Raport końcowy | 1 miesiąc po zamknięciu incydentu | Przyczyna źródłowa, trwałe rozwiązania, wyciągnięte wnioski |

Raporty trafiają do właściwego organu (np. krajowego organu nadzoru finansowego). Właściwy organ może następnie powiadomić inne organy (EBC, ESMA, EBA), stosownie do okoliczności.

Podmioty finansowe mogą również dobrowolnie zgłaszać istotne cyberzagrożenia — jeszcze zanim przekształcą się one w incydenty.

Filar 3: Testowanie operacyjnej odporności cyfrowej (art. 24–27)

Wszystkie objęte podmioty finansowe muszą przeprowadzać podstawowe testy odporności co najmniej raz w roku: oceny podatności, analizy oprogramowania o otwartym kodzie źródłowym, oceny bezpieczeństwa sieci, analizy luk, przeglądy bezpieczeństwa fizycznego oraz testy oparte na scenariuszach.

Istotne podmioty — uznane za takie przez właściwe organy ze względu na ich znaczenie systemowe — muszą dodatkowo przeprowadzać testy penetracyjne oparte na scenariuszach zagrożeń (TLPT) co najmniej raz na 3 lata. Testy TLPT muszą:

  • Wykorzystywać analizę zagrożeń do symulowania rzeczywistych taktyk przeciwnika
  • Obejmować działające systemy produkcyjne (a nie tylko środowiska testowe)
  • Być przeprowadzane przez akredytowanych testerów zewnętrznych
  • Stosować ramy TIBER-EU lub równoważne

Wyniki testów TLPT, w tym zidentyfikowane podatności i plany działań naprawczych, są przekazywane właściwemu organowi.

Filar 4: Zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT (art. 28–44)

Filar ten dotyczy zależności podmiotów finansowych od zewnętrznych dostawców ICT — platform chmurowych, centrów danych, dostawców oprogramowania, przetwarzania zlecanego na zewnątrz.

Kluczowe obowiązki:

  • Prowadzenie rejestru wszystkich umów z zewnętrznymi dostawcami ICT, obejmującego informacje o znaczeniu krytycznym, łańcuchach podwykonawstwa oraz strategiach wyjścia
  • Przeprowadzanie analizy due diligence przed nawiązaniem współpracy oraz bieżącego monitorowania wszystkich dostawców usług ICT
  • Zapewnienie, by umowy z zewnętrznymi dostawcami ICT zawierały obowiązkowe klauzule: umowy o gwarantowanym poziomie usług, prawa do audytu, wymogi bezpieczeństwa, zgłaszanie incydentów, lokalizacja danych, prawa do rozwiązania umowy
  • Wdrożenie udokumentowanych strategii wyjścia dla wszystkich krytycznych lub istotnych funkcji ICT — aby uniknąć uzależnienia od jednego dostawcy oraz zapewnić ciągłość operacyjną w razie upadłości lub wycofania dostawcy

W przypadku kluczowych zewnętrznych dostawców ICT (wyznaczonych przez ESA) stosuje się bezpośrednie unijne ramy nadzoru. Wiodące organy nadzoru (EBA, ESMA lub EIOPA — w zależności od głównego sektora dostawcy) prowadzą wizyty nadzorcze, żądają informacji oraz mogą wydawać wiążące zalecenia. Podmioty finansowe nie mogą korzystać z kluczowego dostawcy zewnętrznego, który nie stosuje się do zaleceń wiodącego organu nadzoru.

Filar 5: Wymiana informacji (art. 45)

Podmioty finansowe mogą (i są do tego zachęcane) uczestniczyć w uzgodnieniach dotyczących wymiany informacji na temat cyberzagrożeń, podatności, wskaźników naruszenia integralności systemu oraz technik ataku z zaufanymi partnerami — w granicach prawa UE oraz bez uszczerbku dla obowiązków wynikających z RODO.

Związek z NIS2

NIS2 (Dyrektywa 2022/2555) również dotyczy podmiotów finansowych jako operatorów usług kluczowych. DORA pełni jednak funkcję lex specialis: gdy podmiot finansowy podlega zarówno NIS2, jak i DORA w zakresie tych samych obowiązków dotyczących zarządzania ryzykiem ICT, pierwszeństwo ma DORA. W odniesieniu do tych pokrywających się wymogów podmioty finansowe stosują DORA, a nie NIS2.

Państwa członkowskie muszą zapewnić, by transpozycja NIS2 do prawa krajowego nie nakładała dodatkowych obowiązków na podmioty finansowe objęte DORA w tym samym zakresie przedmiotowym.

Kary i egzekwowanie

DORA pozostawia określenie konkretnych sankcji prawu państw członkowskich. Każdy krajowy właściwy organ ustala i stosuje sankcje administracyjne w ramach swojej jurysdykcji. Jednakże:

  • EBC może nakładać sankcje w wysokości do 10% całkowitego rocznego obrotu w skali światowej na istotne nadzorowane instytucje, które naruszają wymogi DORA
  • Okresowe kary pieniężne mogą być nakładane na kluczowych dostawców zewnętrznych w celu wymuszenia zgodności — w wysokości do 1% średniego dziennego obrotu w skali światowej, stosowane przez okres do 6 miesięcy

Poza karami właściwe organy mogą nałożyć: tymczasowy zakaz prowadzenia działalności, publiczne upomnienia, nakazy zaprzestania określonego postępowania oraz wymóg powiadomienia klientów o incydentach.

Pięciopunktowa lista kontrolna dla podmiotów finansowych

  1. Wyznacz odpowiedzialność na poziomie zarządu — wskaż członka kadry kierowniczej wyższego szczebla odpowiedzialnego za ryzyko ICT oraz kwartalnie przedstawiaj organowi zarządzającemu status programu DORA
  2. Zbuduj rejestr zasobów ICT — odwzoruj wszystkie systemy, funkcje i zależności ICT; sklasyfikuj je według znaczenia krytycznego
  3. Zaudytuj umowy z dostawcami zewnętrznymi — zidentyfikuj wszystkich dostawców usług ICT, sprawdź umowy pod kątem obowiązkowych klauzul wymaganych przez DORA, ustanów strategię wyjścia dla każdej funkcji krytycznej
  4. Wdróż klasyfikację incydentów — zbuduj proces selekcji, który w ciągu 4 godzin pozwoli ustalić, czy incydent spełnia próg „poważnego incydentu ICT"
  5. Zaplanuj testowanie odporności — przeprowadzaj testy podstawowe co roku; jeśli jesteś istotnym podmiotem, rozpocznij przygotowania do TLPT (czas realizacji wynosi zwykle 6–12 miesięcy)

Ostatnia aktualizacja: kwiecień 2026 r. Wyłącznie w celach informacyjnych — nie stanowi porady prawnej.

Najczęściej zadawane pytania

Które podmioty finansowe muszą stosować DORA?

DORA dotyczy szerokiego zakresu podmiotów sektora finansowego działających w UE lub obsługujących UE, zgodnie z art. 2 Rozporządzenia 2022/2554. Obejmuje to instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, zakłady ubezpieczeń i reasekuracji, dostawców usług w zakresie kryptoaktywów posiadających zezwolenie na podstawie MiCA, kontrahentów centralnych, repozytoria transakcji oraz zarządzających alternatywnymi funduszami inwestycyjnymi. Zewnętrzni dostawcy usług ICT są również objęci bezpośrednio, gdy zostaną uznani za kluczowych przez Wspólny Komitet Europejskich Urzędów Nadzoru. Mikroprzedsiębiorstwa — zatrudniające mniej niż 10 osób oraz o rocznym obrocie lub sumie bilansowej poniżej 2 mln EUR — korzystają z zasady proporcjonalności i podlegają łagodniejszym obowiązkom, ale nie są całkowicie zwolnione z wymogów DORA.

Czego DORA wymaga w zakresie zarządzania ryzykiem ze strony zewnętrznych dostawców ICT?

Artykuły 28–44 DORA ustanawiają kompleksowe ramy zarządzania ryzykiem ze strony zewnętrznych dostawców ICT. Podmioty finansowe muszą prowadzić kompletny rejestr wszystkich umów z zewnętrznymi dostawcami ICT, przeprowadzać analizę due diligence przed nawiązaniem współpracy z dowolnym dostawcą oraz prowadzić bieżące monitorowanie przez cały okres trwania relacji. Wszystkie umowy z dostawcami usług ICT muszą zawierać obowiązkowe klauzule obejmujące umowy o gwarantowanym poziomie usług, prawa do audytu dla podmiotu finansowego i jego właściwego organu, wymogi bezpieczeństwa, obowiązki w zakresie zgłaszania incydentów, lokalizację danych oraz udokumentowane strategie wyjścia. Strategie wyjścia mają szczególne znaczenie: podmioty finansowe muszą być w stanie zakończyć krytyczne uzgodnienia i przejść do alternatywnego dostawcy bez zakłóceń operacyjnych. W odniesieniu do dostawców uznanych za kluczowych przez ESA stosuje się bezpośrednie unijne ramy nadzoru, w ramach których wiodące organy nadzoru (EBA, ESMA lub EIOPA) mogą przeprowadzać kontrole i wydawać wiążące zalecenia.

Od kiedy obowiązuje DORA?

DORA weszła w fazę stosowania 17 stycznia 2025 r., po dwuletnim okresie przejściowym liczonym od jej publikacji w Dzienniku Urzędowym Unii Europejskiej w dniu 27 grudnia 2022 r. W przeciwieństwie do dyrektywy, DORA jest rozporządzeniem i jest bezpośrednio stosowana we wszystkich państwach członkowskich bez konieczności transpozycji do prawa krajowego. Europejskie Urzędy Nadzoru opublikowały w 2024 r. szereg regulacyjnych standardów technicznych (RTS) oraz wykonawczych standardów technicznych (ITS) w celu doprecyzowania wymogów w obszarach takich jak zarządzanie ryzykiem ICT, kryteria klasyfikacji incydentów, metodyka TLPT oraz wymogi dotyczące umów z dostawcami zewnętrznymi. Oczekiwano, że podmioty finansowe będą w pełni zgodne z przepisami od daty stosowania w styczniu 2025 r.

Źródła

Key takeaways: Czym jest DORA? Kompletny przewodnik dla podmiotów finansowych

This article covers: Czym jest DORA?, Kogo dotyczy DORA?, Pięć filarów DORA.

  • Czym jest DORA?
  • Kogo dotyczy DORA?
  • Pięć filarów DORA
  • Związek z NIS2
  • Kary i egzekwowanie
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Czym jest DORA? Kompletny przewodnik dla podmiotów finansowych