Czym jest rozporządzenie DORA (Digital Operational Resilience Act)?

Aleksander Bronowski Data publikacji: 30.01.2026 5 min. czytania

Rozporządzenie DORA, czyli Digital Operational Resilience Act (rozporządzenie UE 2022/2554), to unijny akt prawny z Pakietu ds. Finansów Cyfrowych, który ujednolica i wzmacnia zasady operacyjnej odporności cyfrowej w całym sektorze finansowym Unii Europejskiej. DORA zmienia podejście regulacyjne: zamiast koncentrować się na adekwatności kapitałowej, kładzie nacisk na odporność systemów IT, ciągłość działania i zarządzanie ryzykiem ICT. Z perspektywy mojego czteroletniego doświadczenia w doradztwie transakcyjnym w Deloitte, postrzegam to jako fundamentalną zmianę paradygmatu. DORA wymusza, by z precyzją i analitycznym podejściem znanym w świecie finansowym traktować architekturę bezpieczeństwa i ciągłość procesów cyfrowych. Przepisy te tworzą spójne ramy cyberbezpieczeństwa dla ponad 22 000 podmiotów w UE. Harmonizują krajowe wytyczne i wprowadzają jednolity nadzór, za który odpowiadają m.in. Europejskie Urzędy Nadzoru.

Jaki jest główny cel wprowadzenia przepisów o operacyjnej odporności cyfrowej?

DORA ma na celu przede wszystkim fundamentalną zmianę podejścia do cyberbezpieczeństwa w sektorze finansowym. Rozporządzenie przenosi nacisk z ochrony danych na zapewnienie ciągłości działania – zdolności organizacji do przetrwania poważnych zakłóceń i cyberataków. Unia Europejska wprowadziła te wymogi, aby zminimalizować ryzyko systemowe i wzmocnić zaufanie do swojego systemu finansowego. Priorytetem dla instytucji staje się teraz budowanie i weryfikowanie niezawodnych systemów teleinformatycznych. Ma to zagwarantować dostępność krytycznych usług finansowych dla klientów nawet podczas incydentu ICT.

Kogo dotyczy rozporządzenie DORA i jakie podmioty muszą je wdrożyć?

Rozporządzenie DORA obejmuje podmioty w całej Unii Europejskiej. Muszą je wdrożyć tradycyjne instytucje finansowe, takie jak:

  • banki,
  • instytucje kredytowe,
  • firmy inwestycyjne,
  • zakłady ubezpieczeń i reasekuracji,
  • instytucje płatnicze.

Regulacje obejmują również dostawców usług chmurowych, centra danych i firmy z branży fintech, które dostarczają kluczowe technologie dla systemu finansowego UE. Przepisy wprowadzają zasadę proporcjonalności, co oznacza, że zakres obowiązków jest dostosowany do wielkości, profilu ryzyka i złożoności każdego podmiotu.

Czy zewnętrzni dostawcy usług ICT podlegają bezpośredniemu nadzorowi?

Tak, DORA wprowadza rewolucyjną zmianę: bezpośredni nadzór nad najważniejszymi zewnętrznymi dostawcami usług ICT. Gdy regulator uzna dostawcę za kluczowego (np. ze względu na skalę działania lub ryzyko koncentracji), jeden z Europejskich Urzędów Nadzoru (EBA, ESMA lub EIOPA) staje się jego Wiodącym Organem Nadzoru. Organ ten ma prawo wydawać zalecenia i nakładać kary finansowe do 1% średniego dziennego światowego obrotu dostawcy. To nowa rzeczywistość, w której dostawcy technologii stają się bezpośrednio odpowiedzialni przed regulatorami za zarządzanie ryzykiem i odporność operacyjną.

Od kiedy obowiązują przepisy DORA i jakie są kluczowe terminy?

Nowe prawo weszło w życie 16 stycznia 2023 roku, a najważniejszą datą dla podmiotów z sektora finansowego był 17 stycznia 2025 roku. Od tego dnia instytucje muszą w pełni stosować się do przepisów.

Dwuletni okres przejściowy dał organizacjom czas na dostosowanie systemów, procesów i umów do nowych wymogów odporności operacyjnej. W tym czasie Europejskie Urzędy Nadzoru (EBA, ESMA i EIOPA) opublikowały wykonawcze i regulacyjne standardy techniczne (ITS i RTS), które szczegółowo określiły, jak w praktyce wdrożyć nowe zasady. Podmioty objęte regulacją miały czas do początku 2025 roku, aby uzyskać pełną zgodność.

Na czym polega 5 filarów bezpieczeństwa w ramach DORA?

Struktura rozporządzenia opiera się na pięciu filarach, które razem tworzą spójny system zarządzania odpornością cyfrową, łączący prewencję, wykrywanie, weryfikację i współpracę.

Jakie wymogi stawia DORA w zakresie zarządzania ryzykiem ICT?

Organizacje muszą wdrożyć udokumentowane ramy zarządzania ryzykiem ICT, a pełną odpowiedzialność za ten obszar ponosi zarząd. Ramy te muszą zawierać strategie, polityki, procedury i narzędzia do ochrony zasobów cyfrowych. Podstawowe wymogi zakładają, że organizacja musi:

  • zidentyfikować wszystkie zasoby ICT i zmapować ich powiązania,
  • wdrożyć środki ochrony i detekcji zagrożeń,
  • opracować plany ciągłości działania i odzyskiwania danych.

Jak wygląda proces zgłaszania i klasyfikacji incydentów ICT?

Drugi filar wprowadza ujednolicony proces zgłaszania poważnych incydentów ICT. Organizacje muszą klasyfikować incydenty na podstawie ich wpływu i zgłaszać te poważne właściwym organom nadzoru w ściśle określonych ramach czasowych. Procedura wymaga złożenia raportu wstępnego (często w ciągu kilku godzin), raportu okresowego oraz raportu końcowego po zakończeniu analizy. Umożliwia to nie tylko szybką reakcję, ale także budowanie ogólnounijnej bazy wiedzy o zagrożeniach.

Na czym polega testowanie operacyjnej odporności cyfrowej i testy TLPT?

Nowe przepisy wymagają wdrożenia programu testowania odporności operacyjnej, który jest integralną częścią zarządzania ryzykiem. Program obejmuje zarówno podstawowe testy (np. skanowanie podatności), jak i zaawansowane testy penetracyjne oparte na analizie zagrożeń (Threat-Led Penetration Testing, TLPT).

Wyznaczone podmioty finansowe muszą przeprowadzać testy TLPT co najmniej raz na 3 lata, aby symulować realne ataki i weryfikować skuteczność mechanizmów obronnych, a w procesie muszą uczestniczyć także krytyczni dostawcy usług ICT. Standardowe testy weryfikują znane słabości. Z kolei testy TLPT sprawdzają odporność na złożone, celowane ataki, które naśladują rzeczywiste zagrożenia.

Różnicę można porównać do zabezpieczeń budynku. Standardowe testy są jak sprawdzanie, czy wszystkie drzwi i okna są zamknięte. Z kolei testy TLPT przypominają wynajęcie profesjonalnego zespołu, który próbuje się włamać, aby sprawdzić, czy zabezpieczenia faktycznie działają pod presją realnego ataku.

Jak zarządzać ryzykiem ze strony zewnętrznych dostawców usług ICT?

Podmioty finansowe ponoszą teraz pełną odpowiedzialność za ryzyko związane z zewnętrznymi dostawcami usług ICT. Można to przyrównać do odpowiedzialności restauracji za jakość dania – nawet jeśli składniki pochodzą od zewnętrznego dostawcy, to restaurator ręczy za końcowy produkt serwowany klientowi. Organizacje muszą prowadzić rejestr informacji o wszystkich umowach z dostawcami, który służy jako podstawa do nadzoru. Umowy muszą zawierać szczegółowe zapisy, takie jak:

  • klauzule audytowe,
  • gwarantowane poziomy usług (SLA),
  • wymogi bezpieczeństwa danych,
  • strategie wyjścia.

Organizacje muszą także uważać na ryzyko koncentracji, czyli nadmierne uzależnienie od jednego dostawcy, które może zagrozić ciągłości działania i odporności operacyjnej.

Czy DORA pozwala na dobrowolne udostępnianie informacji o zagrożeniach?

Tak, rozporządzenie zachęca podmioty finansowe do dobrowolnej wymiany informacji i analiz o cyberzagrożeniach. Rozporządzenie tworzy bezpieczne ramy prawne do udostępniania danych, takich jak wskaźniki naruszenia (IoC) czy taktyki hakerów. Taka współpraca wzmacnia odporność całego sektora finansowego, umożliwiając budowanie zbiorowej świadomości i szybszą reakcję na nowe rodzaje ataków.

Jaka jest rola Security Operations Center (SOC) w spełnianiu wymogów DORA?

Security Operations Center (SOC) jest niezbędne do spełnienia wymogów DORA, działając jako centrum operacyjne odporności cyfrowej. SOC monitoruje systemy IT w trybie 24/7, co pozwala na natychmiastowe wykrywanie i analizę zagrożeń. Posiadanie SOC ułatwia zgodność z DORA, ponieważ centralizuje zarządzanie ryzykiem i incydentami: od detekcji, przez klasyfikację, po koordynację reakcji. W mojej codziennej pracy w Trecom, gdzie wspieram klientów w projektowaniu usług SOC, zauważam, że kluczem do sukcesu nie jest samo wdrożenie narzędzi, ale ich integracja z procesami biznesowymi. DORA stawia poprzeczkę wysoko – SOC nie może być tylko 'centrum monitoringu’, musi stać się centrum dowodzenia, zdolnym do generowania raportów wymaganych przez regulatora w bardzo krótkim czasie. To pozwala organizacji szybko reagować i zapewnić ciągłość działania, a jednocześnie gromadzi dane i dowody niezbędne do raportowania incydentów organom nadzoru.

W jaki sposób systemy SIEM i SOAR wspierają raportowanie incydentów?

Systemy SIEM (Security Information and Event Management) i SOAR (Security Orchestration, Automation and Response) automatyzują procesy kluczowe dla spełnienia wymogów raportowych DORA. Narzędzia SIEM zbierają logi i zdarzenia z całej infrastruktury IT w czasie rzeczywistym, co przyspiesza wykrywanie anomalii i pomaga w klasyfikacji incydentów. Platformy SOAR automatyzują reakcję na zagrożenia i zarządzają cyklem życia incydentu. Ta automatyzacja jest niezbędna dla dotrzymania krótkich terminów raportowania wymaganych przez rozporządzenie.

Czym są standardy techniczne RTS i ITS opracowywane przez Europejskie Urzędy Nadzoru?

Nie da się wdrożyć DORA bez znajomości Regulacyjnych Standardów Technicznych (RTS) i Wykonawczych Standardów Technicznych (ITS). Te szczegółowe akty, opracowywane przez Europejskie Urzędy Nadzoru (EBA, ESMA i EIOPA), ujednolicają techniczne aspekty wdrożenia. Dlatego sama lektura rozporządzenia nie wystarczy do prawidłowej implementacji – to właśnie RTS i ITS dostarczają wiążących, precyzyjnych wytycznych.

Standardy te określają m.in. szablony rejestru umów, progi istotności dla klasyfikacji incydentów ICT oraz zasady przeprowadzania zaawansowanych testów odporności. Dokumenty te zapewniają spójność w całym sektorze finansowym.

Jakie kary grożą za brak zgodności z rozporządzeniem DORA?

Za brak zgodności z DORA grożą dotkliwe sankcje finansowe i administracyjne. Organy nadzoru mogą nałożyć na podmioty finansowe kary pieniężne do 10% ich całkowitego rocznego obrotu z poprzedniego roku. Surowe konsekwencje grożą również kluczowym dostawcom usług ICT. Grożą im okresowe kary w wysokości do 1% średniego dziennego światowego obrotu za każdy dzień zwłoki w usunięciu naruszenia.

Organy nadzoru mogą też nakładać sankcje imiennie na członków zarządu odpowiedzialnych za odporność cyfrową. Oprócz kar finansowych, Europejskie Urzędy Nadzoru mogą nakazać zaprzestanie praktyk naruszających rozporządzenie.

Jak przygotować organizację do wdrożenia DORA i czym jest analiza luki?

Przygotowania do wdrożenia DORA zacznij od regularnego przeprowadzania analizy luki (Gap Analysis) – audytu, który identyfikuje i ocenia różnice między stanem zabezpieczeń w organizacji a wymogami rozporządzenia. Realizując projekty związane z wdrażaniem zbliżonych wymogów dyrektywy NIS 2, wielokrotnie przekonałem się, że rzetelna analiza luki to jedyny sposób na uniknięcie chaosu inwestycyjnego. W przypadku DORA mechanizm jest bliźniaczy – bez precyzyjnej mapy drogowej wynikającej z audytu, organizacje często inwestują w technologie, które nie adresują ich realnych braków w zgodności regulacyjnej. Analiza weryfikuje istniejące polityki cyberbezpieczeństwa, procedury zarządzania ryzykiem ICT oraz kompletność rejestru umów z zewnętrznymi dostawcami.

Oceń również dojrzałość procesów, w tym skuteczność systemów do zgłaszania incydentów oraz zakres i częstotliwość testów odporności. Analiza kończy się raportem wskazującym obszary niezgodności. Raport ten staje się podstawą do stworzenia mapy drogowej i planu działań naprawczych, które zapewniają stałą zgodność i ciągłość działania w sektorze finansowym.

Źródła

Aleksander Bronowski – GTM Manager z ponad sześcioletnim doświadczeniem w doradztwie transakcyjnym i technologicznym. Na co dzień wspiera klientów w doborze i projektowaniu rozwiązań z obszaru cyberbezpieczeństwa. Specjalizuje się w obszarze zarządzania incydentami, podatnościami i ryzykiem, a także NIS 2.

Najnowsze publikacje
Czym jest Zero Trust Network Access (ZTNA)?
Cyberbezpieczeństwo
Czym jest Zero Trust Network Access (ZTNA)?

Sebastian Gwiozda

30.01.2026

Co to jest norma ISO 22301?
Cyberbezpieczeństwo
Co to jest norma ISO 22301?

Aleksander Bronowski

26.01.2026

Co to jest norma ISO/IEC 27001?
Cyberbezpieczeństwo
Co to jest norma ISO/IEC 27001?

Aleksander Bronowski

26.01.2026

Pokaż wszystkie artykuły
Skontaktuj się z nami

Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne? Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne?

Chcesz umówić się na konsultacje? Chcesz umówić się na konsultacje?

Masz dodatkowe pytania? Masz dodatkowe pytania?






    Więcej informacji o przetwarzaniu danych osobowych przeczytaj tutaj.
    Grupa Trecom
    „Trecom Spółka Akcyjna” Sp. k.

    ul. Czyżewska 10, 02-908 Warszawa

    info@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Wrocław Sp. z o.o.

    ul. Wyścigowa 58, 53-012 Wrocław

    wroclaw@trecom.pl +48 71 715 14 70

    Sprawdź jak dojechać

    Trecom Łódź Sp. z o.o.

    ul. Urzędnicza 36, 91-312 Łódź

    lodz@trecom.pl +48 22 483 49 39

    Sprawdź jak dojechać

    Trecom Enterprise Solutions Sp. z o.o.

    ul. Czyżewska 10, 02-908 Warszawa

    biuro.enterprise@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    „Trecom Kraków Spółka Akcyjna” Sp. k.

    ul. Zakliki z Mydlnik 16, 30-198 Kraków

    krakow@trecom.pl +48 12 390 71 40

    Sprawdź jak dojechać

    Trecom Nord Sp. z o.o.

    ul. Olimpijska 2, 81-538 Gdynia

    gdansk@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Poznań Sp. z o.o.

    ul. Krzemowa 1, Złotniki, 62-002 Suchy Las k. Poznania

    poznan@trecom.pl +48 61 639 61 55

    Sprawdź jak dojechać

    Intertrading Systems Technology Sp. z o.o.

    Al. Jerozolimskie 162A, 02-342 Warszawa

    ist@ist.pl +48 22 50 245 50

    Sprawdź jak dojechać