ZGODNOŚĆ REGULACYJNA

DORA — cyfrowa odporność operacyjna.

Rozporządzenie UE 2022/2554 obowiązuje od 17 stycznia 2025. KNF nadzoruje sektor finansowy i nakłada kary za brak zgodności. SecIQ pokrywa wszystkie 5 filarów DORA — od audytu po ciągły monitoring.

Porozmawiaj z ekspertem DORA5 filarów DORA
21kategorii podmiotów
10 mln EURkara maksymalna
KNForgan nadzoru w PL
ZAKRES PODMIOTOWY

Kogo dotyczy DORA?

DORA obejmuje 21 kategorii podmiotów sektora finansowego — niezależnie od ich wielkości. Kluczowi dostawcy ICT podlegają bezpośredniemu nadzorowi europejskich organów (ESA).

Bankowość i kredyt

  • Instytucje kredytowe
  • Firmy inwestycyjne
  • Kontrahenci centralni (CCP)

Ubezpieczenia

  • Zakłady ubezpieczeń
  • Zakłady reasekuracji
  • Pośrednicy ubezpieczeniowi

Rynki kapitałowe

  • Zarządzający aktywami (UCITS, AIFM)
  • Fundusze emerytalne (IORP)
  • Centralne depozyty papierów (CSD)
  • Repozytoria transakcji
  • Agencje ratingowe

Płatności i fintech

  • Instytucje płatnicze
  • Instytucje pieniądza elektronicznego
  • Dostawcy usług crowdfundingowych
  • Dostawcy usług kryptoaktywów

Dostawcy usług ICT

Bezpośredni nadzór ESA
  • Kluczowi zewnętrzni dostawcy ICT
  • Dostawcy chmury, outsourcing IT, MSSP
WYMAGANIA

5 filarów DORA — co wymaga i jak to pokrywamy.

Kliknij filar, żeby zobaczyć szczegółowe wymagania i jak SecIQ je adresuje.

Zarządzanie ryzykiem ICT

Art. 5–16
CO WYMAGA DORA

Kompleksowy framework zarządzania ryzykiem ICT: identyfikacja i klasyfikacja aktywów informatycznych, mapowanie zależności między systemami, regularna ocena ryzyka, polityki ochrony, detekcji, reakcji i odtwarzania.

JAK SECIQ TO POKRYWA

Audyt bezpieczeństwa + pełna dokumentacja SZIB dopasowana do Państwa środowiska. Rejestr aktywów ICT, rejestr ryzyk, polityki ochrony — gotowe do kontroli KNF. Aktualizacja kwartalna w ramach abonamentu.

Raportowanie incydentów

Art. 17–23
CO WYMAGA DORA

System klasyfikacji incydentów ICT wg kryteriów DORA, obowiązkowe raportowanie poważnych incydentów do KNF w określonych ramach czasowych, prowadzenie rejestru incydentów, analiza przyczyn źródłowych.

JAK SECIQ TO POKRYWA

SOC 24/7/365 z dedykowanym analitykiem. Klasyfikacja incydentów wg taksonomii DORA, automatyczne generowanie raportów do KNF, rejestr incydentów w portalu klienta. SLA reakcji: <1h dla incydentów krytycznych.

Testowanie odporności cyfrowej

Art. 24–27
CO WYMAGA DORA

Regularne testy odporności cyfrowej: skanowanie podatności, testy penetracyjne, testy scenariuszowe. Dla istotnych podmiotów: obowiązkowe TLPT (Threat-Led Penetration Testing) wzorowane na TIBER-EU.

JAK SECIQ TO POKRYWA

Coroczne testy penetracyjne w pakiecie Rozszerzony. TLPT (Threat-Led Penetration Testing) i Red Team w pakiecie Premium — scenariusze ataków oparte na realnych TTP z MITRE ATT&CK dla sektora finansowego.

Zarządzanie ryzykiem dostawców ICT

Art. 28–44
CO WYMAGA DORA

Obowiązkowy rejestr umów z dostawcami ICT, klauzule umowne zapewniające prawo audytu, strategie wyjścia (exit plans), regularna ocena ryzyka dostawców, raportowanie do KNF. Kluczowi dostawcy ICT pod bezpośrednim nadzorem ESA.

JAK SECIQ TO POKRYWA

vCISO buduje i utrzymuje rejestr umów ICT, procedurę due diligence dostawców, exit plans. Audyt dostawców na życzenie. SecIQ jako dostawca SOC — pełna transparentność: DPA, SCC, prawo audytu w umowie.

Wymiana informacji o zagrożeniach

Art. 45
CO WYMAGA DORA

Dobrowolna, ale ustrukturyzowana wymiana informacji o cyberzagrożeniach (threat intelligence) między podmiotami finansowymi — w ramach zaufanych społeczności (ISAC).

JAK SECIQ TO POKRYWA

Cyber Threat Intelligence feed dedykowany dla sektora finansowego. Uczestnictwo w ISAC i wymiana IOC między klientami SecIQ (za zgodą). Raporty CTI w portalu klienta.

PORÓWNANIE

DORA vs NIS2 / KSC 2.0

DORA jest lex specialis wobec NIS2 — dla sektora finansowego zastępuje NIS2 w zakresie, który reguluje. Dostawcy ICT mogą podlegać obu regulacjom jednocześnie.

AspektNIS2 / KSC 2.0DORA
Typ aktu prawnegoDyrektywa UE → ustawa KSC 2.0Rozporządzenie UE (bezpośrednio)
Obowiązuje od3 kwietnia 202617 stycznia 2025
Kogo dotyczy~6 000 firm (podmioty kluczowe i ważne)~3 500 firm (sektor finansowy + dostawcy ICT)
Organ nadzoru (PL)UKE / CSIRT NASKKNF (Komisja Nadzoru Finansowego)
Kary maksymalneDo 10 mln EUR / 2% obrotuDo 10 mln EUR / 2% obrotu + 1% dziennego obrotu dla dostawców ICT
TestowanieZalecane (audyty, pentesty)Obowiązkowe TLPT dla istotnych podmiotów
Ryzyko dostawcówOgólne zarządzanie łańcuchem dostawRejestr umów ICT + bezpośredni nadzór ESA nad kluczowymi dostawcami
RelacjaPrawo ogólne (lex generalis)Prawo szczególne (lex specialis) — zastępuje NIS2 dla finansów
HARMONOGRAM

Kluczowe daty DORA

DORA obowiązuje od stycznia 2025. Nie ma dodatkowego okresu przejściowego — ale KNF stopniowo zwiększa intensywność nadzoru.

16.01.2023

DORA wchodzi w życie

Publikacja w Dzienniku Urzędowym UE. Rozpoczyna się 24-miesięczny okres przejściowy.

17.01.2025

DORA stosowana obowiązkowo

Koniec okresu przejściowego. Wszystkie podmioty finansowe w UE muszą spełniać wymagania.

Q1–Q2 2025

Standardy techniczne (RTS/ITS)

EBA, ESMA i EIOPA finalizują regulacyjne standardy techniczne — szczegółowe wymogi dot. ICT risk management, testowania i raportowania.

2025–2026

KNF rozpoczyna nadzór

Komisja Nadzoru Finansowego weryfikuje wdrożenie wymagań DORA przez podmioty finansowe w Polsce.

2026

Polska ustawa wdrażająca

Ustawa dostosowująca krajowe prawo nadzoru do DORA — w trakcie prac legislacyjnych.

2026–2027

Pierwsze kontrole i kary

Spodziewane pierwsze postępowania KNF w przypadku istotnych braków w zgodności.

PAKIETY

Jak pakiety SecIQ pokrywają 5 filarów DORA

Pełne pokrycie wymaga pakietu Rozszerzony lub Premium. Mniejsze podmioty (uproszczone ramy z art. 16) mogą zacząć od pakietu Podstawowy.

Filar DORAStarterPodstawowyRozszerzonyPremium
Zarządzanie ryzykiem ICTSzablonSpersonalizowaneCustomCustom + review
Raportowanie incydentówMonitoring+ EskalacjaIR SLA <4hIR SLA <1h
Testowanie odpornościVuln scanPentest rocznyTLPT + Red Team
Ryzyko dostawców ICTRejestr + proceduraAudyt dostawców
Wymiana informacjiCTI feedISAC
Porównaj wszystkie pakiety
FAQ

Najczęstsze pytania o DORA

Czy DORA dotyczy mojej firmy?
DORA dotyczy 21 kategorii podmiotów sektora finansowego: banków, ubezpieczycieli, firm inwestycyjnych, instytucji płatniczych, funduszy emerytalnych, dostawców usług kryptoaktywów, agencji ratingowych i wielu innych. Dotyczy również kluczowych zewnętrznych dostawców usług ICT obsługujących te podmioty. Wielkość firmy nie ma znaczenia — DORA obejmuje wszystkie podmioty finansowe w UE, choć mniejsze mogą stosować uproszczone ramy (art. 16).
Jaka jest relacja DORA do NIS2 i KSC 2.0?
DORA jest lex specialis wobec NIS2 — to znaczy, że dla sektora finansowego DORA zastępuje wymagania NIS2 w zakresie, który reguluje. Nie trzeba wdrażać obu. Ale uwaga: dostawcy ICT obsługujący zarówno sektor finansowy jak i inne sektory krytyczne mogą podlegać jednocześnie DORA (jako dostawca ICT dla finansów) i KSC 2.0 (jako podmiot kluczowy w innym sektorze).
Jakie kary grożą za brak zgodności z DORA?
Podmioty finansowe: do 10 mln EUR lub 2% rocznego globalnego obrotu (wyższa kwota). Kluczowi dostawcy ICT: do 1% średniego dziennego globalnego obrotu za każdy dzień niezgodności. Dodatkowo: publiczne ostrzeżenia, cofnięcie licencji, zakaz pełnienia funkcji zarządczych. Organem nakładającym kary w Polsce jest KNF.
Czy muszę przeprowadzać testy TLPT?
Obowiązkowe testy TLPT (Threat-Led Penetration Testing) dotyczą istotnych podmiotów finansowych — o kwalifikacji decyduje KNF na podstawie kryteriów skali, złożoności i systemowego znaczenia. TLPT musi być przeprowadzany co najmniej raz na 3 lata przez zewnętrznych testerów. Mniejsze podmioty muszą przeprowadzać regularne testy odporności, ale nie obowiązkowo w formule TLPT.
Co to jest rejestr umów ICT i kto musi go prowadzić?
Art. 28 DORA wymaga prowadzenia rejestru wszystkich umów z zewnętrznymi dostawcami usług ICT. Rejestr musi zawierać: identyfikację dostawcy, opis świadczonych usług, datę rozpoczęcia i zakończenia umowy, ocenę krytyczności usługi oraz strategię wyjścia. Rejestr musi być udostępniany KNF na żądanie. Dotyczy wszystkich podmiotów finansowych bez wyjątku.
Ile trwa wdrożenie zgodności z DORA?
Dla typowego podmiotu finansowego (100–500 pracowników): 8–12 tygodni z SecIQ. Zakres: audyt obecnego stanu, gap analysis vs 5 filarów DORA, produkcja dokumentacji, szkolenia zarządu i pracowników. W ramach abonamentu SecIQ utrzymuje dokumentację i prowadzi ciągły monitoring.
Czy SecIQ może być dostawcą ICT pod DORA?
Tak. SecIQ jako dostawca usług SOC jest dostawcą ICT w rozumieniu DORA. Zapewniamy pełną transparentność: podpisana DPA, standardowe klauzule umowne (SCC), prawo audytu zapisane w umowie, strategie wyjścia, dane przechowywane w EOG (Azure Poland Central / West Europe).

Twoja firma podlega DORA? Porozmawiaj z ekspertem.

30 minut. Bez zobowiązań. Omówimy Państwa sytuację regulacyjną i pokażemy jak SecIQ pokrywa wymagania DORA.

Umów rozmowę