EuroComply
Zarejestruj się

Digital Operational Resilience Act

Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (Rozporządzenie (UE) 2022/2554, DORA) jest unijnym aktem prawnym regulującym ryzyko ICT w sektorze finansowym, stosowanym bezpośrednio od 17 stycznia 2025 r. Nakłada na podmioty finansowe — banki, zakłady ubezpieczeń, dostawców usług płatniczych, firmy inwestycyjne, dostawców usług w zakresie kryptoaktywów — obowiązki zarządzania ryzykiem ICT, klasyfikowania i zgłaszania poważnych incydentów, regularnego testowania odporności cyfrowej (w tym testów penetracyjnych opartych na analizie zagrożeń, TLPT) oraz nadzorowania krytycznych zewnętrznych dostawców usług ICT za pomocą pisemnego rejestru informacji i zabezpieczeń umownych. W Polsce organem nadzoru finansowego jest Komisja Nadzoru Finansowego (KNF).

Free DORA Scope Checker

What does DORA require and when does it apply?

DORA applies to Banking and Insurance organisations across all EU member states. The key deadline is January 17, 2025. Non-compliance carries a maximum penalty of CTPPs: 1% of daily global turnover (up to 6 months); Financial entities: per national law. Core obligations include implement ict risk management framework and conduct digital operational resilience testing.

  • Implement ICT risk management framework
  • Conduct digital operational resilience testing
  • Manage third-party ICT risk
  • Report major ICT-related incidents
  • Share threat intelligence
DeadlineJanuary 17, 2025
Max fineCTPPs: 1% of daily global turnover (up to 6 months); Financial entities: per national law
Primary sectorsBanking, Insurance, Investment Firms
Source: Official Journal of the EU — Digital Operational Resilience ActReviewed:
TL;DR

DORA: CTPPs: 1% of daily global turnover (up to 6 months); Financial entities: per national law max fine

DORA applies to Banking and Insurance organisations in all EU member states. Key deadline: January 17, 2025.

Source: Official Journal of the European Union — Digital Operational Resilience Act

Who does DORA apply to?

DORA ma zastosowanie do szerokiego katalogu podmiotów finansowych oraz — co stanowi novum — bezpośrednio do zewnętrznych dostawców usług ICT wyznaczonych jako podmioty o znaczeniu krytycznym dla systemu finansowego UE.

  • Instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne
  • Dostawcy usług w zakresie kryptoaktywów (w rozumieniu MiCA), centralne depozyty papierów wartościowych, centralne kontrahenty, systemy obrotu
  • Zakłady ubezpieczeń i reasekuracji, pracownicze programy emerytalne (IORPs), agencje ratingowe, firmy audytorskie (ograniczone przepisy)
  • Krytyczni zewnętrzni dostawcy usług ICT (CTPP) wyznaczeni przez Europejskie Urzędy Nadzoru
Source: Regulation (EU) 2022/2554 (DORA) — EUR-Lex Official Journal — Artykuł 2 (Zakres podmiotowy)Reviewed:

What are the penalties for DORA non-compliance?

Sankcje wobec podmiotów finansowych są ustalane na poziomie krajowym — w Polsce przez Komisję Nadzoru Finansowego (KNF) w ramach jej uprawnień nadzorczych. Krytyczni zewnętrzni dostawcy usług ICT podlegają zharmonizowanemu unijnemu reżimowi nadzoru z mechanizmem okresowych kar pieniężnych uregulowanym bezpośrednio w rozporządzeniu DORA.

Maximum fineCTPPs: up to 1% of average daily global turnover, applied daily for up to six months. Financial entities: per national law.
Source: Regulation (EU) 2022/2554 (DORA) — EUR-Lex Official Journal — Artykuł 35 (Uprawnienia wiodącego organu nadzoru) i Artykuł 50Reviewed:

When does DORA apply?

Rozporządzenie DORA weszło w życie 16 stycznia 2023 r. i jest stosowane bezpośrednio w całej UE od 17 stycznia 2025 r. Krajowe organy właściwe — w Polsce Komisja Nadzoru Finansowego (KNF) — podjęły dialogi nadzorcze z podmiotami objętymi zakresem pod koniec 2024 r.

  • 2023-01-16 — Entry into force
  • 2025-01-17 — Direct application across the EU
Source: Regulation (EU) 2022/2554 (DORA) — EUR-Lex Official Journal — Artykuł 64 (Wejście w życie i stosowanie)Reviewed:

Jak prowadzić zgodny z DORA rejestr informacji o zewnętrznych dostawcach usług ICT

Artykuł 28 ust. 3 DORA zobowiązuje podmioty finansowe do prowadzenia rejestru informacji obejmującego wszystkie umowne ustalenia z zewnętrznymi dostawcami usług ICT i udostępniania go właściwemu organowi na żądanie.

  1. 1

    Zidentyfikuj wszystkich zewnętrznych dostawców usług ICT

    Sporządź wykaz każdego ustalenia umownego dotyczącego świadczenia usług ICT — niezależnie od tego, czy dostawca jest podmiotem z grupy, czy zewnętrznym.

  2. 2

    Uzupełnij pola wymagane przez wykonawcze standardy techniczne (ITS)

    Wprowadź dane określone w rozporządzeniu wykonawczym (UE) 2024/2956 (ITS dotyczące rejestru informacji): metadane umowy, opis funkcji, ocena krytyczności, lokalizacja danych i usługi, łańcuch podwykonawstwa itp.

  3. 3

    Oznacz ustalenia dotyczące funkcji krytycznych lub ważnych

    Zaznacz, które ustalenia dotyczą funkcji sklasyfikowanych jako krytyczne lub ważne — skutkuje to surowszymi wymogami umownymi i wymogami w zakresie strategii wyjścia (Artykuł 28 ust. 2).

  4. 4

    Przekazuj rejestr właściwemu organowi co najmniej raz w roku

    Przekazuj rejestr co najmniej raz w roku w wymaganym formacie do KNF; aktualizuj go niezwłocznie po każdej istotnej zmianie dotyczącej ustalenia wspierającego funkcję krytyczną lub ważną.

1 % dziennego globalnego obrotu

Maksymalna dzienna okresowa kara pieniężna, jaką wiodący organ nadzoru UE może nałożyć na krytycznego zewnętrznego dostawcę usług ICT za nieprzestrzeganie środków nadzorczych wynikających z DORA (ograniczona do sześciu miesięcy).

Rozporządzenie (UE) 2022/2554, Artykuł 35 ust. 6

Deadline

January 17, 2025

Max Fine

CTPPs: 1% of daily global turnover (up to 6 months); Financial entities: per national law

Sectors Affected

Banking, Insurance, Investment Firms

1 % dziennego globalnego obrotu

Maksymalna dzienna okresowa kara pieniężna, jaką wiodący organ nadzoru UE może nałożyć na krytycznego zewnętrznego dostawcę usług ICT za nieprzestrzeganie środków nadzorczych wynikających z DORA (ograniczona do sześciu miesięcy).

Rozporządzenie (UE) 2022/2554, Artykuł 35 ust. 6

Key regulatory facts: Digital Operational Resilience Act
Official nameRegulation (EU) 2022/2554 of the European Parliament and of the Council on digital operational resilience for the financial sector
Reg. No.(EU) 2022/2554
CELEX32022R2554
Typeregulation
In force2023-01-16
Applies from2025-01-17
Max fineCTPPs: up to 1% of average daily global turnover, applied daily for up to six months. Financial entities: per national law.
Authorities
European Banking Authority (EBA) (EU)
European Securities and Markets Authority (ESMA) (EU)
European Insurance and Occupational Pensions Authority (EIOPA) (EU)
National competent authorities (member-state)
ESAs Lead Overseer for CTPPs (EU)
Source(EU) 2022/2554 — EUR-Lex Official Journal

How do I comply with DORA?

  • Implement ICT risk management framework
  • Conduct digital operational resilience testing
  • Manage third-party ICT risk
  • Report major ICT-related incidents
  • Share threat intelligence

Does DORA apply to your business?

Find out in 2 minutes with our free regulation checker.

Check now — free

DORA by Country

🇩🇪

Germany

🇫🇷

France

🇳🇱

Netherlands

🇪🇸

Spain

🇮🇹

Italy

🇦🇹

Austria

🇧🇪

Belgium

🇵🇱

Poland

🇸🇪

Sweden

🇮🇪

Ireland

🇵🇹

Portugal

🇩🇰

Denmark

🇫🇮

Finland

🇨🇿

Czech Republic

🇷🇴

Romania

🇭🇺

Hungary

🇸🇰

Slovakia

🇧🇬

Bulgaria

🇭🇷

Croatia

🇬🇷

Greece

🇱🇺

Luxembourg

🇪🇪

Estonia

🇱🇻

Latvia

🇱🇹

Lithuania

🇸🇮

Slovenia

🇲🇹

Malta

Explore DORA in depth

Penalties & Fines

Maximum fine tiers, Article-by-Article breakdown, and mitigation factors.

Enforcement Timeline

Key dates, application milestones, and per-Member-State transposition status.

DORA by Industry

💻

SaaS & Software

💳

Fintech & Financial Services

🏥

Healthcare & MedTech

🏭

Manufacturing & Industry

🛒

E-commerce & Retail

🎓

EdTech & Education

🚚

Logistics & Transport

Energy & Utilities

📡

Telecoms & Media

👥

HR & Recruitment

⚖️

Legal & Professional Services

🏛️

Public Sector & NGOs

DORA by Role

Small Financial Entities

DORA applies a proportionality principle (Article 4): the depth and granularity of an entity's ICT risk-management framework should reflect its size, overall risk profile, and the nature, scale, and complexity of its services. Article 16 sets a simplified ICT risk-management framework for specific small or non-interconnected entities.

Related Regulations

NIS2

NIS2 expands cybersecurity obligations to essential and important entities across critical sectors. It mandates risk management, incident reporting, and supply chain security.

CRA

The CRA establishes cybersecurity requirements for products with digital elements sold in the EU. Manufacturers must ensure security by design and provide vulnerability handling.

GDPR

GDPR governs the processing of personal data of EU residents. It requires lawful basis for processing, data subject rights, breach notification, and accountability measures.

Explore DORA in depth

Penalties & Fines

See enforcement patterns, fine tier tables, and real enforcement cases across EU member states.

Deadline Timeline

Key milestones, implementation phases, and country-specific deadlines and phased rollout dates.

Industry Guides

Sector-specific DORA guidance for SaaS, fintech, healthcare, and other affected industries.

Next step — classify

Classify your AI systems

Use the free regulation checker to find out exactly which DORA obligations apply to your business in 2 minutes.

Classify your AI systems

Check Your Compliance Obligations

Find out which DORA obligations apply to your organisation in under 2 minutes.

Check Your EU Compliance

Recent DORA Articles

What Is DORA? A Complete Guide for Financial Entities

8 Jun 2026

What Is DORA? A Complete Guide for Financial Entities

31 May 2026

What Is DORA? A Complete Guide for Financial Entities

31 May 2026

Frequently Asked Questions

What are the DORA compliance requirements for fintech?
DORA (Regulation 2022/2554) applies to financial entities and their ICT third-party providers from January 2025. Core requirements: (1) ICT Risk Management framework (Articles 5–16) with documented policies and regular testing; (2) ICT-related incident classification and reporting to competent authorities within 4 hours for major incidents; (3) Digital Operational Resilience Testing including penetration testing every three years for significant institutions; (4) Third-party ICT risk management with DORA-compliant contractual clauses; (5) Register all critical ICT third-party providers with the relevant authority. Fintech companies under MiFID II, PSD2, or e-money licensing are in scope.
Does DORA apply to small fintech startups in the EU?
DORA applies to all financial entities as defined in Article 2, including payment institutions, e-money institutions, investment firms, and crypto-asset service providers (CASPs), regardless of size. Proportionality provisions in Article 4 allow microenterprises — fewer than 10 employees and under €2M annual turnover — to implement a simplified ICT risk management framework. However, incident reporting obligations (Article 19) and third-party ICT risk management requirements apply to all in-scope entities regardless of size. A fintech startup that has obtained a PSD2 payment institution licence, an e-money licence, or a MiCA CASP authorisation is in scope for DORA from January 2025.
What are DORA's ICT incident reporting requirements?
DORA Article 19 requires financial entities to classify and report major ICT-related incidents to their national competent authority (NCA) — e.g., BaFin for German banks, ACPR for French institutions, DNB for Dutch entities. The reporting timeline is: an initial notification within 4 hours of classifying the incident as major (or 24 hours from first detection); an intermediate report within 72 hours; and a final report within one month. An incident is classified as major based on criteria including number of clients affected, service downtime, geographic spread of impact, and data loss. Financial entities must also voluntarily notify NCAs of significant cyber threats that have not yet caused an incident.
What is a DORA-compliant ICT risk management framework?
A DORA-compliant ICT risk management framework (Articles 5–16) must include: a documented ICT strategy endorsed by the management body; an ICT asset register covering hardware, software, and data; a business impact analysis for critical functions; a business continuity and disaster recovery plan with tested RTO/RPO targets; regular ICT security testing including vulnerability assessments (annually for all entities) and threat-led penetration testing every three years for significant institutions; and access control policies with privileged account management. The framework must be reviewed annually and after any major ICT incident. Management bodies are personally responsible for compliance and must maintain sufficient ICT knowledge.

For informational purposes only. This is not legal advice — consult qualified legal counsel.

Last verified: · Source: EUR-Lex 32022R2554 · Editorial policy