GrantThornton - regiony
  • en
    • GrantThornton - regiony

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com
      1. Strona główna
      2. Artykuły
      3. Rozporządzenie DORA: wnioski i porady rok po wdrożeniu

      Rozporządzenie DORA: wnioski i porady rok po wdrożeniu

      Usługi

      20.01.2026 | Autor: Paulina Wójcik

      Cyfrowa odporność przestała być jedynie "dobrą praktyką", a stała się twardym wymogiem prawnym. Rozporządzenie DORA (Digital Operational Resilience Act) funkcjonuje już od roku! W tym czasie wiele instytucji finansowych i firm działających w obszarze usług cyfrowych musiało dostosować swoje procesy do nowych wymogów.

      Kto podlega regulacjom DORA, jakie wnioski płyną z pierwszego roku obowiązywania oraz jak uniknąć typowych błędów w implementacji? 

      Spis treści

      Czym jest rozporządzenie DORA?

      DORA to unijne rozporządzenie mające na celu zapewnienie odporności operacyjnej instytucji finansowych na zagrożenia cyfrowe. Jego głównym celem jest zwiększenie bezpieczeństwa cyfrowego oraz minimalizacja ryzyka zakłóceń w funkcjonowaniu rynku finansowego wynikających z awarii systemów IT czy cyberataków.

      Rozporządzenie obejmuje m.in. wymogi dotyczące: 

      • Zarządzanie ryzykiem ICT.
      • Zgłaszanie incydentów.
      • Operacyjne testy odporności (w tym testy penetracyjne TLPT).
      • Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT.
      • Udostępnianie informacji o cyberzagrożeniach.

      W wyniku wdrożenia DORA instytucje finansowe muszą wykazać się zdolnością do utrzymania ciągłości działania nawet w przypadku poważnych zakłóceń technologicznych.

      Czytaj więcej: Rozporządzenie DORA: czym jest i kogo dotyczy?

      Kogo obowiązuje DORA i ile (lub które) podmiotów obejmuje w Polsce?

      DORA obejmuje szeroką gamę podmiotów działających w sektorze finansowym, w tym:

      • Banki i instytucje kredytowe.
      • Instytucje płatnicze i instytucje pieniądza elektronicznego.
      • Firmy inwestycyjne i fundusze inwestycyjne (TFI).
      • Zakłady ubezpieczeń i reasekuracji.
      • Dostawcy usług w zakresie kryptoaktywów.
      • Kluczowe: Zewnętrzni dostawcy usług ICT (np. dostawcy chmury, oprogramowania), którzy podlegają bezpośredniemu nadzorowi.

      W Polsce obowiązek wdrożenia DORA dotyczy kilkuset instytucji, w tym zarówno dużych graczy krajowych, jak i filii zagranicznych firm finansowych. Szacunki wskazują, że pod regulacje podlega ok. 400–500 podmiotów w naszym kraju.

      Sprawdź czy Twoja firma podlega pod rozporządzenie DORA

      Usługi

      Sprawdź, czy podlegasz pod rozporządzenie DORA

      Uwaga, ankieta opiera się o uproszczone założenia. Jeśli chcesz poznać szerszy kontekst i upewnić się o zakresie nowych wymagań, skontaktuj się z naszym ekspertem, Adamem Woźniakiem.

      1

      Ankieta

      2

      Wynik

      Czy Twoja firma funkcjonuje w sektorze usług bankowych lub finansowych?

      Czy Twoja firma jest dostawcą usług ICT?

      Czy Twoja firma dostarcza usługi ICT do firm sektora bankowego lub finansowego?

      Twój wynik: Twoja firma NAJPRAWDOPODOBNIEJ NIE podlega pod wytyczne rozporządzenia DORA. Twoja firma NAJPRAWDOPODOBNIEJ podlega pod wytyczne rozporządzenia DORA!

      Na podstawie otrzymanych informacji Twoja firma prawdopodobnie nie będzie zobowiązana do stosowania wymagań regulacji DORA.
      Na podstawie otrzymanych informacji Twoja firma prawdopodobnie może pośrednio lub bezpośrednio być zobowiązana do stosowania wymagań regulacji DORA.
      Twoje odpowiedzi
      Czy Twoja firma funkcjonuje w sektorze usług bankowych lub finansowych? - Zmień
      Czy Twoja firma jest dostawcą usług ICT? - Zmień
      Czy Twoja firma dostarcza usługi ICT do firm sektora bankowego lub finansowego? - Zmień

      Adam Woźniak

      Partner

      Skontaktuj się z Adam Woźniak, by skonsultować swój wynik.

      *Zgoda obowiązkowa
      Informacje o sposobach przetwarzania danych osobowych znajdziesz w Polityce prywatności i Klauzuli informacyjnej.

      Wnioski po pierwszym roku obowiązywania DORA – perspektywa doradcy

      Patrząc z perspektywy doradcy, rok wdrożenia DORA pozwolił zaobserwować kilka istotnych trendów:

      Najczęstsze błędy:

      • niedoszacowanie czasu potrzebnego na audyt systemów IT, 
      • brak pełnej dokumentacji procesów ICT, 
      • nieprzygotowanie dostawców usług zewnętrznych na nowe wymogi raportowania. 

      Problemy:

      • integracja DORA z istniejącymi procedurami compliance i bezpieczeństwa,
      • szkolenia personelu w zakresie nowych obowiązków,
      • techniczne testy odporności cyfrowej często przeciągają się w czasie.

      Korzyści:

      • lepsza kontrola nad ryzykiem cyfrowym,
      • uporządkowana dokumentacja incydentów,
      • zwiększona świadomość wśród pracowników i kierownictwa instytucji.

      Obserwowane zmiany:

      • wzrost inwestycji w cybersecurity,
      • lepsza współpraca z dostawcami zewnętrznymi,
      • rozwój procedur testowania odporności na incydenty.

      Istotnym wnioskiem z perspektywy doradcy jest również fakt, że dostawcy usług cyfrowych być może nie spodziewali się tak intensywnego nadzoru również ze strony swoich klientów. Wniosek ten pokazuje jednocześnie, że DORA skutecznie spełnia swój cel, mianowicie rozszerza zakres obowiązków na łańcuch dostaw. Wiemy, że element tzw. Ryzyka strony trzeciej od lat pozostawał wyzwaniem dla całego rynku, nie tylko finansowego. Wierzymy, że NIS-2 osiągnie podobny skutek.

      Zweryfikuj z nami wdrożenie DORA w Twojej instytucji. Audyt DORA: Adam Woźniak, Partner, cyberbezpieczeństwo: adam.woźniak@pl.gt.com, +48 600 805 785

      Czytaj więcej: Najważniejsze zmiany w regulacjach dotyczących cyberbezpieczeństwa w 2025 r.

      Google news

      Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

      Wnioski po pierwszym roku obowiązywania DORA – perspektywa instytucji obowiązanej

      Adam Mizerski

      Prezes ISACA Katowice – Stowarzyszenia Audytu, Bezpieczeństwa i Kontroli Systemów Informacyjnych – reprezentujący audytorów instytucji obowiązanych

      W Polsce dla sektora bankowego samo rozporządzenie DORA (Digital Operational Resilience Act) 2022/2554 wymagało lekkiego dostosowania istniejących regulacji wewnętrznych, gdyż obowiązująca do roku 2013 Rekomendacja D KNF połączone z inspekcyjną aktywnością regulatora umożliwiły uzyskanie przez sektor bankowy wysokiego poziomu cyberodporności czego dowodem jest brak spektakularnych incydentów z zakresu cyberbezpieczeństwa takich jak skuteczne ataki klasy ransomware blokujące na wiele dni/tygodni usługi bankowe.  Natomiast sporo pracy wymagała implementacja szczegółowych wytycznych technicznych zawartych w RTS’ach w szczególności:

      a) 2024/1773 dotyczące ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT

      Tu należy docenić ogromną pracę włożona przez zespół, który opracował Rekomendacje Zarządu Związku Banków Polskich z dnia 9 października 2024 r. ws. zgodnych z Rozporządzeniem DORA wzorów aneksów do umów o świadczenie usług ICT, który umożliwił uzyskanie konsensusu rynkowego w zakresie obligatoryjnych zapisów w treści umów. To bardzo ułatwiło negocjacje bankom z podmiotami świadczącym im usługi ICT w ramach outsourcingu, nie zmienia to jednak faktu, że był to ogromny wysiłek zarówno po stronie banków jaki i (a o czym się często zapomina) po stronie dostawców ICT

      b) 2024/1774 dotyczące regulacyjnych standardów technicznychokreślających narzędzia, metody, procesy i polityki zarządzania ryzykiem związanym z ICT

      Treść tego rozporządzenia zawierała konkretne wymagania techniczne niezbędne do zaimplementowania nie tylko od strony regulacyjnej ale również od strony technicznej np.: przeprojektowania sieci w sposób zapewniający „środki tymczasowego izolowania, w razie potrzeby, podsieci oraz elementów i urządzeń sieci;” (Art. 13 lit j) ); 

      Odmienna sytuacja występowała w tych organizacjach sektora finansowego, które do czasu opublikowania rozporządzenie 2022/2554 nie podlegały szczegółowemu nadzorowi regulatora. W przypadku tych instytucji, nawet jeżeli uzyskały opinię prawną jednoznacznie klasyfikującą ich jako podmioty, które mogą stosować uproszczone ramy zarządzania ryzykiem ICT, niejednokrotnie musiały zmagać się z koniecznością przebudowania swoich regulacji oraz procesów zarządzania ICT w sposób umożliwiający uzyskanie wyższego niż dotychczas poziomu dojrzałości w zakresie cyberodporności, co z jednej strony było dużym wysiłkiem zarówno w zakresie organizacyjnym, jak i finansowym, jednakże z drugiej strony umożliwiło uzyskanie realnego wzrostu cyberbezpieczeństwa. 

      Reasumując, pracy było dużo a jej efekty zostaną ocenione podczas inspekcji KNF (pierwsze obejmujące ocenę zgodności z DORA już się rozpoczęły) oraz podczas zaawansowanych testów odporności TLPT, które będą sporym wyzwaniem dla sektora bankowego.

      Skorzystaj z naszych usług z zakresu: Cyberbezpieczeństwo

      Rozporządzenie DORA – jakie kary obowiązują za niewdrożenie lub błędne wdrożenie?

      Niedostosowanie się do wymogów DORA może skutkować:

      • karami finansowymi, które mogą sięgać nawet kilku procent rocznych przychodów instytucji,
      • sankcjami administracyjnymi, w tym nakazem poprawy procesów,
      • w skrajnych przypadkach – ograniczeniem działalności lub cofnięciem licencji.

      W praktyce nadzór nad przestrzeganiem DORA w Polsce prowadzi Komisja Nadzoru Finansowego (KNF), która może kontrolować zarówno przygotowanie instytucji do wymogów, jak i ich wdrożenie w praktyce.

      Rozporządzenie DORA – gdzie znajdę jego tekst?

      Tekst rozporządzenia DORA został opublikowany w Dzienniku Urzędowym Unii Europejskiej i jest dostępny w językach urzędowych UE, w tym w języku polskim. Można go znaleźć pod tym linkiem do EUR-Lex  dzięki temu łatwo zapoznać się z pełnym brzmieniem regulacji.

      DORA – jak możemy pomóc

      Pomagamy instytucjom:

      • w mapowaniu ryzyk cyfrowych i audycie ICT,
      • w przygotowaniu i wdrożeniu procedur zgodnych z DORA
      • w szkoleniach personelu i testach odporności cyfrowej
      • w kontaktach z dostawcami usług technologicznych i raportowaniu incydentów.

      Zweryfikuj z nami wdrożenie DORA w Twojej instytucji. Audyt DORA: Adam Woźniak, Partner, cyberbezpieczeństwo: adam.woźniak@pl.gt.com, +48 600 805 785

      Rok obowiązywania rozporządzenia DORA pokazał, że wdrożenie regulacji dotyczących odporności cyfrowej jest zarówno wyzwaniem, jak i szansą dla instytucji finansowych. DORA wymaga od podmiotów ścisłej kontroli nad systemami ICT, skutecznego zarządzania ryzykiem cyfrowym oraz współpracy z dostawcami zewnętrznymi.

      Rynek finansowy wchodzi w fazę dojrzałości regulacyjnej, w której kluczowe staje się nie tylko posiadanie odpowiednich dokumentów, ale realna zdolność do szybkiego wykrywania, raportowania i neutralizowania incydentów w rygorystycznych reżimach czasowych. DORA skutecznie ujednoliciła standardy bezpieczeństwa w całej Unii Europejskiej, eliminując najsłabsze ogniwa i zmuszając nawet mniejsze podmioty do profesjonalizacji ochrony danych. Ostatecznym wnioskiem po roku funkcjonowania przepisów jest stwierdzenie, że cyberodporność stała się fundamentem stabilności finansowej, a inwestycje w zgodność z rozporządzeniem przynoszą wymierne korzyści w postaci wyższego zaufania klientów i mniejszego ryzyka kosztownych przestojów operacyjnych.

      Porozmawiajmy o Twoich wyzwaniach

      Świadczymy usługi w zakresie Cyberbezpieczeństwo

      Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

      Pole zawiera niedozwolone znaki

      Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

      Skontaktuj się
      Adam Woźniak

      Partner

      Specjalizacje

      Skontaktuj się Poproś o kontakt

      Skontaktuj się
      Adam Woźniak

      Partner

      Specjalizacje

      Poproś o kontakt

      Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

      Artykuły z kategorii: Cyberbezpieczeństwo i outsourcing IT

      Zobacz wszystkie

      Newsletter

      Subskrybuj specjalny newsletter, aby otrzymywać informacje o wszystkich najnowszych wpisach na blogu Grant Thornton!

      Najczęściej czytane

      Zobacz wszystkie
      Powered by  Zgodności ciasteczek z RODO
      Informacja o ciasteczkach

      1. W ramach witryny Administrator stosuje pliki Cookies w celu świadczenia usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb.

      2. Korzystanie z witryny bez zmiany ustawień dotyczących Cookies oznacza, że będą one zapisywane na Twoim urządzeniu końcowym. Możesz w każdym czasie dokonać zmiany ustawień dotyczących Cookies w swojej przeglądarce internetowej.

      3. Administrator używa technologii Cookies w celu identyfikacji odwiedzających witrynę, w celu prowadzenia statystyk na potrzeby marketingowe, a także w celu poprawnego realizowania innych, oferowanych przez serwis usług.

      4. Pliki Cookies, a w tym Cookies sesyjne mogą również dostarczyć informacji na temat Twojego urządzenia końcowego, jak i wersji przeglądarki, której używasz. Zadania te są realizowane dla prawidłowego wyświetlania treści w ramach witryny Administratora.

      3. Cookies to krótkie pliki tekstowe. Cookies w żadnym wypadku nie umożliwiają personalnej identyfikacji osoby odwiedzającej witrynę i nie są w nim zapisywane żadne informacje mogące taką identyfikację umożliwić.

      Aby zobaczyć pełną listę wykorzystywanych przez nas ciasteczek i dowiedzieć się więcej o ich celach, odwiedź naszą Politykę Prywatności.