+48 (12) 430 61 31
Blog
/
DORA w 2026 roku: kogo dotyczy, jakie przewiduje podstawowe obowiązki i jaki jest stosunek DORA do NIS2
June 2, 2026

DORA w 2026 roku: kogo dotyczy, jakie przewiduje podstawowe obowiązki i jaki jest stosunek DORA do NIS2

DORA rok później, czyli wpis o tym jakie są podstawowe obowiązki, wynikające z tego rozporządzenia w 2026 roku oraz jakie są powiązania z dyrektywą NIS2.

Minął ponad rok od rozpoczęcia pełnego stosowania rozporządzenia DORA (od dnia 17 stycznia 2025 r.). Rozporządzenie DORA (Digital Operational Resilience Act) standaryzuje normy bezpieczeństwa cyfrowego dla wszystkich uczestników rynku finansowego w UE, obejmując jednakowym rygorem zarówno kluczowe instytucje bankowe, jak i mniejsze firmy z branży technologii finansowych.

Poniższe zestawienie odpowiada na kluczowe pytania dotyczące bieżących obowiązków i ryzyk operacyjnych w związku z rozporządzeniem DORA.

Kogo dotyczy DORA?

Jurysdykcja rozporządzenia DORA w Polsce rozciąga się na szerokie spektrum instytucji finansowych, w tym sektor bankowy, firmy ubezpieczeniowe, towarzystwa funduszy inwestycyjnych (TFI) oraz nowoczesne podmioty płatnicze i e-pieniądza.

Regulacja ta wprowadza przełomową zmianę, obejmując bezpośrednim nadzorem również kluczowych dostawców technologicznych (ICT), takich jak operatorzy chmury czy producenci oprogramowania, którzy stanowią fundament infrastruktury cyfrowej finansów.

Jaki jest aktualny status polskich przepisów w relacji do unijnego rozporządzenia DORA? 

DORA jako rozporządzenie działa wprost (jest stosowana bezpośrednio) we wszystkich krajach członkowskich - w przeciwieństwie do dyrektywy NIS2, która musiała być wdrożona do prawa krajowego (polska ustawa o KSC).

Kluczowe znaczenie dla funkcjonowania rozporządzenia DORA ma opublikowana w sierpniu 2025 r. polska ustawa dostosowawcza. Usunęła ona dualizm prawny, uchylając dotychczasowe Rekomendacje D i wytyczne chmurowe KNF.

Oznacza to, że w 2026 r. jedynym i nadrzędnym punktem odniesienia są przepisy DORA oraz powiązane z nimi akty wykonawcze publikowane w Dzienniku Urzędowym UE.

Jak realnie zarządzać ryzykiem ICT według DORA?

Wdrożenie rozporządzenia DORA rewolucjonizuje podejście sektora finansowego do bezpieczeństwa cyfrowego.

Kluczowym przesłaniem przepisów jest przejście od formalnego compliance (zgodności na papierze) do faktycznej odporności operacyjnej.

Rozporządzenie nakłada na podmioty finansowe kategoryczny obowiązek aktywnego i ciągłego doskonalenia ram zarządzania ryzykiem technologicznym.

Zgodnie z DORA, polityki, procedury i mechanizmy kontrolne nie mogą mieć charakteru czysto formalnego. Muszą być one prowadzone cyklicznie i podlegać regularnym przeglądom w celu weryfikacji ich adekwatności do aktualnego profilu ryzyka danej instytucji. System ten musi ewoluować w odpowiedzi na zmieniającą się technologię oraz stopień zależności od zewnętrznych dostawców.

Kluczową rolę w tym nowym modelu odgrywa organ zarządzający, który ponosi pełną odpowiedzialność za zatwierdzanie wyników przeglądów oraz zapewnienie skutecznego wdrożenia działań korygujących.

Rozporządzenie DORA wymaga, aby kierownictwo posiadało wystarczającą wiedzę i informacje, umożliwiające merytoryczną oraz realną ocenę poziomu ryzyka ICT.

Na jakie konkretne sprawozdania KNF kładzie nacisk w bieżącym cyklu raportowym? 

Rok 2026 to era raportowania ilościowego. Podmioty nadzorowane są zobligowane do terminowego przedkładania formularzy takich jak:

  • SPR-PF-26/27: Kwartalne i roczne sprawozdania dotyczące kluczowych wskaźników ryzyka (KRI) dla obszaru ICT.
  • SPR-PF-02: Obowiązkowy, coroczny przegląd ram zarządzania ryzykiem ICT (wynikający z art. 6 ust. 5 DORA).
  • SPR-PF-17: Sprawozdanie dotyczące nowych ustaleń w zakresie outsourcingu usług ICT.

Jakie są relacje i punkty styku między rozporządzeniem DORA a dyrektywą NIS2? Co jest ważniejsze dla Twojej organizacji?

W 2026 roku kluczowym wyzwaniem jest sprawne zarządzanie współzależnościami między DORA a NIS2.

Choć obie regulacje dążą do podniesienia cyberbezpieczeństwa w Unii Europejskiej, DORA stanowi lex specialis (ustawę szczególną) wobec NIS2.

Pięć fundamentów DORA wyznacza nowy standard cyfrowej odporności, podnosząc poprzeczkę znacznie wyżej niż ogólne wytyczne NIS2/KSC.

Oznacza to, że dla sektora finansowego oraz jego kluczowych dostawców ICT, DORA jest aktem prawnym nadrzędnym i bardziej szczegółowym, który „wyłącza” stosowanie analogicznych przepisów dyrektywy NIS2 w obszarach, które obie regulacje pokrywają (np. zarządzanie ryzykiem ICT czy raportowanie incydentów).

Punkty styku obu regulacji są jednak bardzo wyraźne w obszarze łańcucha dostaw. Dostawca technologii, który obsługuje zarówno bank (który podlega pod DORA), jak i elektrownię czy szpital (które podlegają pod NIS2), musi wdrożyć zintegrowane ramy bezpieczeństwa, które zaspokoją wymagania obu reżimów.

W praktyce w 2026 roku organizacje odchodzą od tworzenia osobnych procedur dla każdego aktu prawnego (DORA czy NIS2) na rzecz jednolitego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Przykładowo, mechanizmy silnego uwierzytelniania, segmentacji sieci czy zarządzania podatnościami są fundamentem technologicznym wspólnym dla obu aktów prawnych.

Warto również zauważyć, że DORA wprowadza znacznie ostrzejszy reżim czasowy w raportowaniu – podczas gdy NIS2 daje 24 godziny na „wczesne ostrzeżenie”, DORA wymaga powiadomienia wstępnego w ciągu zaledwie 4 godzin od klasyfikacji poważnego incydentu. 

W tej sytuacji, wdrożone procedury muszą uwzględniać przede wszystkim ostrzejsze kryteria (z DORA).

Jakie kary grożą za niewdrożenie lub błędne wdrożenie DORA?

Niedostosowanie się do tych wymogów wiąże się dziś z dotkliwymi konsekwencjami finansowymi i administracyjnymi. Kary mogą sięgać nawet kilku procent rocznych przychodów instytucji. Poza sankcjami pieniężnymi, nadzór może nakładać sankcje administracyjne, w tym nakazy poprawy procesów, a w skrajnych przypadkach ograniczać działalność lub cofać licencje.

Autorzy: Natalia Ptaszek, Julia Armata.

W odpowiedzi na wyzwania stawiane przez unijnego ustawodawcę, wspieramy naszych klientów w pełnym procesie dostosowawczym, obejmującym:

  • Precyzyjne ustalenie statusu podmiotu na gruncie przepisów DORA oraz ustawy o KSC.
  • Ustalenie, czy instytucja finansowa spełnia definicję podmiotu finansowego, ICT TPSP, czy też podmiotu kluczowego/ważnego w rozumieniu KSC.
  • Kompleksową analizę obowiązków wynikających z przyjętego statusu prawnego, ze szczególnym uwzględnieniem nakładania się reżimów DORA i KSC.
  • Weryfikację umów pod kątem statusu dostawców oprogramowania i sprzętu w świetle najnowszych wymogów bezpieczeństwa. 

W kwestiach technologicznych związanych z cyberbezpieczeństwem, czy w kwestii automatyzacji procedur wspiera nas nasz partner technologiczny: Genuitek Sp. z o.o.

Jeśli potrzebujesz pomocy z jednym z powyższych procesów, skontaktuj się z nami: Kontakt.

Przyszłość na
Twoich warunkach
© 2023 Armata Legal. Branding and website by
© 2023 Armata Legal.
Branding and website by
Atelier XIV.
Polityka prywatności i cookies
sekretariat@armatalegal.com
+48 (12) 430 61 31
Nasza strona korzysta z cookies celem zapewnienia jej prawidłowego działania oraz w celach statystycznych. Klikając przycisk „Zamknij” lub kontynuując korzystanie z tej strony wyrażają Państwo na to zgodę. Szczegółowe informacje: Polityka prywatności i cookies.
Zamknij