DORA w Polsce 2025: co musisz wiedzieć

Praktyczny przewodnik po wdrożeniu DORA w Polsce. Terminy, wymagania KNF i kluczowe kroki dla instytucji finansowych.

Od 17 stycznia 2025 roku DORA (Digital Operational Resilience Act) jest w pełni stosowana w całej Unii Europejskiej, w tym w Polsce. Instytucje finansowe nadzorowane przez KNF muszą spełnić wymogi rozporządzenia dotyczące cyfrowej odporności operacyjnej.

Które instytucje w Polsce podlegają DORA?

DORA obejmuje szeroki katalog podmiotów: banki, SKOK-i, firmy ubezpieczeniowe, TFI, domy maklerskie, instytucje płatnicze, firmy leasingowe i faktoringowe, dostawców usług kryptoaktywów. W Polsce nadzór sprawuje KNF, która wydała wytyczne dotyczące wdrożenia. Szacuje się, że ponad 2000 podmiotów w Polsce podlega bezpośrednio wymogom DORA.

Jakie są kluczowe wymogi DORA dla polskich instytucji?

Główne obszary wymogów DORA to: zarządzanie ryzykiem ICT (framework, polityki, procedury), zgłaszanie incydentów ICT (w ciągu 4 godzin od klasyfikacji), testowanie cyfrowej odporności (podstawowe co rok, TLPT dla wybranych podmiotów), zarządzanie ryzykiem stron trzecich (rejestr umów, ocena krytycznych dostawców), wymiana informacji o zagrożeniach.

Jak KNF będzie weryfikować zgodność z DORA?

KNF zapowiedziała aktywne podejście do nadzoru DORA. Planowane działania obejmują: ankiety samooceny dla podmiotów nadzorowanych, inspekcje tematyczne dotyczące wybranych obszarów DORA, weryfikację zgłoszeń incydentów, przegląd umów z dostawcami ICT. Instytucje powinny być przygotowane na wykazanie zgodności z dokumentacją i dowodami wdrożenia.

Jakie kary grożą za nieprzestrzeganie DORA?

DORA przewiduje surowe sankcje: dla instytucji finansowych - kary do 10 mln EUR lub 5% rocznego obrotu, dla osób odpowiedzialnych - kary do 5 mln EUR, dla krytycznych dostawców ICT - kary do 1% średniego dziennego obrotu globalnego. KNF może również nakładać sankcje administracyjne przewidziane w prawie polskim.

Wizards.io wspiera polskie instytucje finansowe w zgodności z DORA. **Revelio** automatycznie wykrywa i mapuje dane w systemach ICT, wspierając inwentaryzację zasobów informacyjnych. **Detecto** monitoruje systemy pod kątem incydentów dotyczących danych. **Oblivio** zarządza retencją zgodnie z wymogami dokumentacyjnymi DORA.

DORA to nie jednorazowy projekt, ale ciągły proces zarządzania cyfrową odpornością. Polskie instytucje finansowe powinny traktować zgodność jako element strategii biznesowej, nie tylko wymóg regulacyjny.