DORA w 2026 – nowe prawo UE, które zmienia IT w finansach

Czym jest DORA i dlaczego powstała

DORA (ang. Digital Operational Resilience Act, oficjalnie: Rozporządzenie UE 2022/2554) to unijne prawo, które zaczęło obowiązywać 17 stycznia 2025 roku. Jego celem jest zapewnienie, że instytucje finansowe w całej Europie są w stanie przetrwać poważne incydenty IT – awarie, ataki ransomware czy kompromitację systemów krytycznych – bez narażania stabilności całego rynku finansowego.

Impulsem do stworzenia DORA były głośne cyberataki na europejskie banki i firmy ubezpieczeniowe oraz rosnące uzależnienie sektora finansowego od zewnętrznych dostawców technologicznych. Regulatorzy dostrzegli, że jedno przejęte centrum danych lub jeden zaatakowany dostawca oprogramowania może wywołać efekt domina w całym systemie finansowym.

Co ważne – DORA to rozporządzenie, a nie dyrektywa. Oznacza to, że obowiązuje bezpośrednio we wszystkich krajach UE bez konieczności implementacji przez krajowe parlamenty. W Polsce nadzór nad jego stosowaniem sprawuje Komisja Nadzoru Finansowego (KNF).

Kogo dotyczy DORA – nie tylko wielkie banki

Wielu przedsiębiorców błędnie zakłada, że DORA to sprawa wyłącznie dużych instytucji finansowych. Tymczasem rozporządzenie obejmuje bardzo szeroki krąg podmiotów:

• Instytucje kredytowe – banki, kasy oszczędnościowe, SKOK-i
• Zakłady ubezpieczeń i reasekuracji
• Firmy inwestycyjne i fundusze
• Instytucje płatnicze i dostawcy usług kryptoaktywów
• Dostawcy usług finansowania społecznościowego (crowdfunding)
• Centralne repozytoria danych i infrastruktura rynkowa

Kluczowe novum: DORA obejmuje też zewnętrznych dostawców ICT (ang. third-party ICT service providers), czyli firmy świadczące usługi chmurowe, wsparcie IT, hosting, zarządzanie sieciami czy tworzenie oprogramowania dla powyższych podmiotów. Jeśli Twoja firma jest podwykonawcą IT dla banku lub ubezpieczyciela – DORA dotyczy również Ciebie.

Regulacja przewiduje też specjalny status krytycznych dostawców ICT (CTPP – Critical Third-Party Providers), wyznaczanych przez europejskie organy nadzoru. Tacy dostawcy – myśl AWS, Microsoft Azure, Google Cloud – podlegają bezpośredniemu nadzorowi na poziomie UE.

Pięć filarów DORA – co trzeba wdrożyć

DORA opiera się na pięciu kluczowych obszarach wymagań. Każdy z nich przekłada się na konkretne obowiązki dla instytucji finansowych i ich dostawców IT:

1. Zarządzanie ryzykiem ICT – instytucje muszą posiadać udokumentowane polityki zarządzania ryzykiem IT, inwentaryzację aktywów, plany ciągłości działania i procedury reagowania na incydenty. Nie wystarczy mieć polityki w szufladzie – muszą być regularnie testowane i aktualizowane.

2. Zgłaszanie incydentów ICT – poważne incydenty cybernetyczne muszą być raportowane do organu nadzoru (w Polsce: KNF) w ścisłych terminach: wstępne zgłoszenie w ciągu 4 godzin od wykrycia, szczegółowy raport w ciągu 72 godzin, a raport końcowy w ciągu miesiąca.

3. Testowanie odporności operacyjnej – regularne testy systemów IT, w tym testy penetracyjne. Duże instytucje muszą przeprowadzać zaawansowane testy TLPT (Threat-Led Penetration Testing) co trzy lata.

4. Zarządzanie ryzykiem stron trzecich – instytucje finansowe muszą dokładnie oceniać i monitorować swoich dostawców IT. Umowy z dostawcami ICT muszą zawierać konkretne zapisy dotyczące bezpieczeństwa, audytów i ciągłości usług.

5. Wymiana informacji o zagrożeniach – DORA zachęca do dzielenia się informacjami o cyberzagrożeniach między instytucjami finansowymi w ramach zaufanych społeczności informacyjnych.

Co DORA oznacza dla firm IT – dostawców usług

Jeśli Twoja firma świadczy usługi IT dla klientów z sektora finansowego, DORA pośrednio – a często bezpośrednio – zmienia warunki tej współpracy. Oto czego możesz się spodziewać:

• Nowe klauzule w umowach – Twoi klienci z sektora finansowego będą musieli zawrzeć z Tobą umowy zgodne z wymogami DORA, m.in. z zapisami o prawie do audytu, obowiązkach raportowania incydentów i gwarantowanej ciągłości usług.
• Audyty i inspekcje – instytucja finansowa ma prawo i obowiązek weryfikować, czy jej dostawcy IT spełniają standardy bezpieczeństwa. Powinieneś być gotowy na udostępnienie dokumentacji, polityk i wyników testów bezpieczeństwa.
• Wymagania dotyczące ciągłości działania – musisz wykazać, że Twoje usługi są odporne na awarie i że posiadasz plany na wypadek incydentów oraz procedury odtworzenia.
• Certyfikacje i standardy – posiadanie certyfikatu ISO 27001 lub SOC 2 staje się de facto wymaganiem przy współpracy z klientami z sektora finansowego.
• Wymogi wobec własnych podwykonawców – jeśli sam korzystasz z podwykonawców (np. usług chmurowych), musisz zapewnić, że cały łańcuch dostaw IT spełnia wymagania DORA.

W praktyce oznacza to, że brak przygotowania do DORA może oznaczać utratę kontraktów z bankami, ubezpieczycielami czy firmami fintech – nawet jeśli to Twój klient formalnie podlega regulacji, a nie Ty bezpośrednio.

Sankcje i egzekwowanie – co grozi za brak zgodności

DORA daje organom nadzorczym szerokie uprawnienia do nakładania sankcji. W Polsce KNF może:

• Nakazać wstrzymanie lub ograniczenie działalności instytucji finansowej
• Nałożyć dotkliwe kary finansowe na samą instytucję
• Pociągnąć do osobistej odpowiedzialności członków zarządu
• W przypadku krytycznych dostawców ICT – nałożyć kary do 1% średniego dziennego obrotu światowego za każdy dzień naruszenia, przez maksymalnie 6 miesięcy

Warto podkreślić, że rok 2025 był w dużej mierze rokiem wdrożeń i przygotowań – regulatorzy skupiali się na wydawaniu wytycznych i ocenie stanu gotowości rynku. Rok 2026 to już czas aktywnego egzekwowania przepisów. KNF i inne organy nadzoru finansowego w UE zapowiedziały intensyfikację kontroli właśnie w tym obszarze.

Dodatkowym elementem jest tzw. rejestr informacji – instytucje finansowe muszą prowadzić szczegółowy rejestr wszystkich umów z dostawcami ICT i raportować go do organów nadzoru. Oznacza to, że każdy dostawca IT pracujący z sektorem finansowym jest teraz widoczny dla regulatorów – pośrednio lub bezpośrednio.

Jak przygotować firmę IT do wymagań DORA

Jeśli obsługujesz klientów z sektora finansowego lub planujesz wejść na ten rynek, oto praktyczne kroki do podjęcia:

1. Zinwentaryzuj obecne umowy – sprawdź, którzy klienci podlegają DORA i jakie masz z nimi umowy. Zidentyfikuj luki w klauzulach dotyczących bezpieczeństwa i ciągłości usług.
2. Udokumentuj polityki bezpieczeństwa – stwórz lub zaktualizuj politykę zarządzania ryzykiem IT, procedury reagowania na incydenty i plan ciągłości działania. Dokumentacja musi być aktualna i dostępna na żądanie klienta lub regulatora.
3. Wdróż procedury notyfikacji incydentów – musisz być w stanie powiadomić klienta finansowego o poważnym incydencie w terminach wymaganych przez DORA. Potrzebujesz jasnych procedur i wyznaczonych kanałów komunikacji.
4. Rozważ certyfikację ISO 27001 – certyfikacja staje się standardem oczekiwanym przez instytucje finansowe i znacząco ułatwia przejście przez audyty DORA.
5. Przejrzyj łańcuch podwykonawców – jeśli korzystasz z zewnętrznych dostawców chmury lub oprogramowania, upewnij się, że posiadasz odpowiednie umowy z zapisami o bezpieczeństwie.
6. Skonsultuj się ze specjalistą – DORA to regulacja techniczno-prawna. Jej wdrożenie wymaga zarówno wiedzy z zakresu prawa finansowego, jak i praktycznej znajomości cyberbezpieczeństwa.

Dobrą wiadomością jest to, że firmy, które wcześniej zadbały o zgodność z NIS2 lub wdrożyły standard ISO 27001, mają już dużą część wymaganej dokumentacji i procesów – DORA buduje na podobnych fundamentach, dodając wymagania specyficzne dla sektora finansowego.