← Aktualności

Prawo i orzecznictwo

DORA w Polsce: rozporządzenie obowiązuje od 17 stycznia 2025, ale polska ustawa wciąż na etapie projektu

Rozporządzenie DORA - Digital Operational Resilience Act - reguluje operacyjną odporność cyfrową sektora finansowego w całej Unii Europejskiej. Przepisy obowiązują polskie instytucje finansowe bezpośrednio od 17 stycznia 2025 r., jednak polska ustawa implementująca pozostaje w fa

Klaudia Pokrzywko-Weremjewicz 2026-05-07 5 min czytania
DORA w Polsce: rozporządzenie obowiązuje od 17 stycznia 2025, ale polska ustawa wciąż na etapie projektu

Najważniejsze fakty

  • Pełna nazwa aktu: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego
  • Rozporządzenie weszło w życie 16 stycznia 2023 r., a stosowanie przez podmioty finansowe rozpoczęło się 17 stycznia 2025 r.
  • DORA to rozporządzenie UE - stosowane bezpośrednio bez transpozycji do prawa krajowego
  • Projekt polskiej ustawy implementującej opublikowano 11 kwietnia 2025 r., jednak w maju 2026 pozostaje on nadal na etapie projektu
  • KNF uruchomiła dedykowane systemy: DORA Reporting System oraz DORA Incident Management System
  • Kary przewidziane w polskim projekcie ustawy: do 20 869 500 zł lub 10% całkowitego rocznego przychodu

Czym jest rozporządzenie DORA i jaki ma charakter prawny

Rozporządzenie DORA - Digital Operational Resilience Act - to akt prawny Unii Europejskiej regulujący operacyjną odporność cyfrową sektora finansowego w zakresie technologii ICT (information and communication technology). Pełna nazwa brzmi: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego.

Kluczową cechą DORA jest jego charakter jako rozporządzenia unijnego, co oznacza, że przepisy są stosowane bezpośrednio we wszystkich państwach członkowskich UE bez konieczności transpozycji do prawa krajowego. Niezależnie od braku polskiej ustawy implementującej, DORA obowiązuje polskie instytucje finansowe od 17 stycznia 2025 r.

Harmonogram wdrożenia i status polskiej ustawy

Rozporządzenie DORA weszło w życie 16 stycznia 2023 r., dając instytucjom finansowym dwuletni okres przejściowy na przygotowanie się do wymogów. Obligatoryjne stosowanie przepisów rozpoczęło się 17 stycznia 2025 r.

Projekt polskiej ustawy implementującej został opublikowany 11 kwietnia 2025 r. Jednak sytuacja prawna w Polsce pozostaje problematyczna - w maju 2026 polska ustawa nadal znajduje się na etapie projektu i nie została przyjęta przez parlament. Ta nietypowa sytuacja oznacza, że polskie instytucje finansowe muszą stosować rozporządzenie DORA bezpośrednio, bez krajowych przepisów uzupełniających i precyzujących niektóre kwestie.

Główne obszary regulacji i wymagania DORA

Rozporządzenie DORA koncentruje się na czterech kluczowych obszarach zapewnienia odporności cyfrowej sektora finansowego:

Po pierwsze, operacyjna odporność cyfrowa w zakresie technologii ICT - instytucje muszą zapewnić ciągłość działania swoich systemów informatycznych i komunikacyjnych oraz zdolność do szybkiego powrotu do normalnego funkcjonowania po incydentach.

Po drugie, obowiązek zgłaszania poważnych incydentów ICT - podmioty finansowe są zobowiązane do raportowania znaczących zakłóceń i zagrożeń cybernetycznych organom nadzoru.

Po trzecie, zarządzanie ryzykiem związanym z kluczowymi zewnętrznymi dostawcami usług ICT - regulacja ta ma szczególne znaczenie w kontekście rosnącej zależności sektora finansowego od dostawców rozwiązań chmurowych i innych usług technologicznych.

Po czwarte, testy odporności własnej (TLPT - Threat-Led Penetration Testing) - zaawansowane testy penetracyjne symulujące rzeczywiste cyberataki, które muszą przeprowadzać wybrane instytucje.

Podmioty objęte zakresem rozporządzenia

Rozporządzenie DORA obejmuje szeroki zakres podmiotów sektora finansowego działających na terenie Unii Europejskiej, w tym w Polsce. Do kluczowych kategorii należą banki i kasy spółdzielcze (SKOK), które stanowią trzon systemu bankowego.

Regulacja dotyczy również towarzystw ubezpieczeniowych, krajowych instytucji płatniczych oraz firm inwestycyjnych. Objęte są także fundusze inwestycyjne i emerytalne, zarządzający aktywami, centralni kontrahenci oraz depozyty papierów wartościowych.

Istotnym elementem zakresu DORA jest włączenie krajowych agencji ratingowych oraz - co szczególnie ważne - kluczowych dostawców ICT dla sektora finansowego. To ostatnie rozszerzenie oznacza, że nadzorem objęci są nie tylko sami uczestnicy rynku finansowego, ale również ich strategiczni partnerzy technologiczni.

Rola KNF i systemy monitorowania

Komisja Nadzoru Finansowego (KNF) pełni rolę organu właściwego w Polsce do nadzoru zgodności z rozporządzeniem DORA. W celu zapewnienia sprawnej komunikacji i raportowania KNF uruchomiła dedykowane systemy informatyczne.

Pierwszy z nich to DORA Reporting System - platforma służąca do wymiany formularzy raportowych i bieżącej komunikacji między nadzorowanymi podmiotami a KNF. Drugi system to DORA Incident Management System, dedykowany do raportowania poważnych incydentów ICT oraz znaczących zagrożeń cybernetycznych.

KNF wydała stanowisko UKNF z 31 grudnia 2024 r. dotyczące stosowania rozporządzenia DORA, starając się wypełnić lukę wynikającą z braku ustawy krajowej. Stanowisko to wskazuje na konieczność stosowania przepisów zgodnie z duchem rozporządzenia, jednak instytucje finansowe nadal borykają się z problemem - nie wiedzą dokładnie, jak KNF interpretuje niektóre pojęcia zawarte w DORA.

Sankcje przewidziane w projekcie polskiej ustawy

Chociaż polska ustawa implementująca nie została jeszcze przyjęta, projekt zawiera katalog surowych sankcji za naruszenie wymogów DORA. Kary pieniężne mogą sięgać do 20 869 500 zł lub 10% całkowitego rocznego przychodu dla osób prawnych - w zależności od tego, która kwota jest wyższa.

Oprócz kar finansowych projekt przewiduje zakazy pełnienia funkcji kierowniczych dla osób odpowiedzialnych za naruszenia oraz nakazy zaprzestania określonych działań, które nie spełniają wymogów rozporządzenia.

Wyzwania związane z brakiem ustawy krajowej

Brak przyjętej polskiej ustawy implementującej stwarza problematyczną sytuację prawną dla instytucji finansowych działających w Polsce. DORA jako rozporządzenie UE jest stosowana bezpośrednio od 17 stycznia 2025 r., jednak brak krajowych przepisów uzupełniających oznacza niepewność w zakresie interpretacji niektórych wymogów i mechanizmów egzekucji.

Stanowisko UKNF z 31 grudnia 2024 r. próbuje zapełnić tę lukę, wskazując na konieczność stosowania zgodnie z duchem rozporządzenia. Problem polega jednak na tym, że instytucje nie mają pewności, jak dokładnie KNF będzie interpretować pojęcia zawarte w DORA i jakie będą praktyczne konsekwencje ewentualnych niezgodności.

Ta sytuacja stawia polskie instytucje finansowe w trudniejszej pozycji w porównaniu z podmiotami z krajów, które już przyjęły krajowe ustawy implementujące, precyzujące szczegółowe wymogi i procedury oraz określające jednoznacznie katalog sankcji i mechanizmy odwoławcze.

Tagi: #dora #regulacje finansowe #cyberbezpieczeństwo #knf #odporność cyfrowa

Dyskusja