ROZPORZĄDZENIE (UE) 2022/2554 - STOSOWANE OD 17 STYCZNIA 2025

Twoja zgodność z DORA,
udokumentowana i obronna

Europejskie rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) nakłada na podmioty finansowe - a pośrednio na ich dostawców ICT - obowiązek prowadzenia wyczerpującego rejestru umów, precyzyjnych klauzul umownych i datowanych dowodów audytowych. SYAGA DORA-Express pomaga sprostać tym wymaganiom bez improwizacji, niezależnie od tego, czy jesteś podmiotem finansowym czy dostawcą.

17/01
Stosowane od 2025
21
Kategorii objętych podmiotów (art. 2)
4h
Termin zgłoszenia poważnego incydentu
19
Już wyznaczonych krytycznych dostawców ICT

Kontekst regulacyjny

DORA to rozporządzenie, nie dyrektywa: stosuje się bezpośrednio we wszystkich państwach członkowskich, bez konieczności czekania na ustawę transponującą.

DORA stosuje się bezpośrednio od 17 stycznia 2025

Rozporządzenie (UE) 2022/2554 z 14 grudnia 2022, opublikowane w Dzienniku Urzędowym UE 27 grudnia 2022, weszło w życie 16 stycznia 2023 i jest stosowane od 17 stycznia 2025. Żadna transpozycja krajowa nie jest wymagana: jest bezpośrednio skuteczne.

📋

Wymagany jest wyczerpujący rejestr ICT (art. 28 ust. 3)

Każdy podmiot finansowy musi prowadzić i corocznie przekazywać organom kompletny rejestr swoich umów ICT: dostawca, rodzaj usługi, krytyczność funkcji, kraj hostingu danych.

📄

Twoje umowy muszą zawierać precyzyjne klauzule (art. 30)

Prawa audytu i inspekcji, gwarancje dostępności i integralności danych, testowane plany wyjścia, zgłaszanie incydentów bez zwłoki. Klauzule te przenoszą się z Twojego klienta finansowego na Ciebie, jeśli jesteś jego dostawcą ICT.

📧

Kwestionariusz due diligence jest już w Twojej skrzynce mailowej

Przed podpisaniem lub odnowieniem umowy bank, ubezpieczyciel lub inwestor wysyła kwestionariusz cyber (governance, MFA, EDR, szyfrowanie, świadomość zagrożeń). Odpowiedź na niego bez udokumentowanego dowodu skutkuje utratą kontraktu.

Wydarzenie z 18 listopada 2025

Twoi dostawcy chmurowi zostali właśnie oficjalnie wyznaczeni jako „krytyczni”

18-19 listopada 2025 europejskie organy nadzoru (EBA, ESMA, EIOPA) opublikowały pierwszą oficjalną listę krytycznych dostawców ICT na podstawie artykułu 32 DORA. Wśród nazw potwierdzonych w oficjalnych komunikatach: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (i 14 innych dostawców niepodanych z nazwy w naszych źródłach).

Konkretna konsekwencja: jeśli Twoje usługi krytyczne opierają się na jednym z tych dostawców, Twój klient - podmiot finansowy - musi to teraz udokumentować w swoim rejestrze ICT - i może zapytać Cię o Twój własny łańcuch podwykonawstwa.

Źródło: oficjalne komunikaty EIOPA i ESMA z 18-19 listopada 2025 (eiopa.europa.eu, esma.europa.eu).

Nasza odpowiedź: DORA-Express

Ustrukturyzowane wsparcie w 5 etapach, aby udokumentować Twoją zgodność - bez obiecywania tego, czego ani narzędzie, ani firma doradcza nie mogą zaświadczyć za Ciebie.

1
Etap 1 - Kwalifikacja

Zidentyfikujmy Twoją rzeczywistą ekspozycję

Czy jesteś podmiotem finansowym bezpośrednio podlegającym (jedną z 21 kategorii artykułu 2), czy dostawcą ICT objętym pośrednio przez klauzule umowne Twoich klientów finansowych (artykuł 30)? Dokładny zakres warunkuje wszystko dalej.

2
Etap 2 - Due diligence

Odpowiedź na Twój kwestionariusz cyber

Odpowiadamy na Twój kwestionariusz due diligence banku, inwestora lub ubezpieczyciela (governance, MFA, EDR, szyfrowanie, świadomość zagrożeń...), opierając się na audycie technicznym Twojego tenanta Microsoft 365 jako datowanym i weryfikowalnym dowodzie.

3
Etap 3 - Rejestr i umowy

Rejestr ICT i klauzule artykułu 30

Pomagamy Ci ustrukturyzować Twój rejestr umów ICT (art. 28 ust. 3) oraz zweryfikować lub wprowadzić minimalne i wzmocnione klauzule umowne z artykułu 30 do Twoich umów z dostawcami.

4
Etap 4 - Ciągłość i odporność

PRA/PCA profil sektorowy Finanse

Nasz PRA/PCA Suite oferuje profil sektorowy Finanse (DORA, PSD2, ACPR), który obejmuje wymagania testów odporności operacyjnej z rozdziału IV DORA, zgodny z ISO 22301.

5
Etap 5 - Prezentacja wyników

Udokumentowana dokumentacja zgodności

Przekazanie Twojemu kierownictwu, CISO lub CFO skonsolidowanej dokumentacji, z dokładnymi punktami do rozstrzygnięcia przez Twojego prawnika przed jakąkolwiek komunikacją z organami.

Co otrzymujesz

Konkretne, opatrzone źródłami dokumenty, bez obietnicy certyfikacji, której nikt nie może zagwarantować

📝

Odpowiedzi due diligence cyber

10 pytań typu due diligence bank / M&A, udokumentowanych i opatrzonych źródłami (ILPA DDQ, CSA CAIQ, kwestionariusze ubezpieczycieli cyber).

  • Polityka bezpieczeństwa / uznany standard
  • MFA, najmniejsze uprawnienia, konta uprzywilejowane
  • Licencja M365, EDR / threat hunting
  • Przestarzałe protokoły, szyfrowanie dysków
  • Program świadomości zagrożeń
📄

Karta referencyjna DORA

Podsumowanie rozporządzenia (UE) 2022/2554 opatrzone źródłami.

  • Zakres: 21 kategorii podmiotów (art. 2)
  • 5 obszarów obowiązków
  • Terminy zgłaszania (4h / 72h / 1 miesiąc)
  • Powiązanie z NIS2 (lex specialis)
📋

Rejestr ICT (szablon art. 28 ust. 3)

Struktura wyczerpującego rejestru wymaganego przez organy.

  • Dostawca i rodzaj usługi
  • Krytyczność wspieranej funkcji
  • Kraj hostingu danych
  • Format gotowy do corocznego przekazania
🔐

Klauzule umowne (szablon art. 30)

Do wprowadzenia lub weryfikacji w Twoich umowach z dostawcami ICT.

  • Klauzule minimalne (wszystkie umowy)
  • Klauzule wzmocnione (funkcje krytyczne)
  • Prawa audytu i inspekcji
  • Plany wyjścia i możliwość ekstrakcji danych
🏗

PRA/PCA profil Finanse

Plan ciągłości działania i odtwarzania, dedykowany profil sektorowy.

  • Objęcie rozdziału IV DORA (testy odporności)
  • Zgodny z ISO 22301
  • Profil sektorowy DORA / PSD2 / ACPR
  • Pochodzi z naszego istniejącego PRA/PCA Suite
💾

Udokumentowana dokumentacja zgodności

Formaty PDF i DOCX, konsolidujące wszystkie dokumenty.

  • Gotowe dla Twojego kierownictwa / CISO / CFO
  • Zaznaczone punkty do zatwierdzenia przez Twojego prawnika
  • Podstawa do Twoich rozmów z organami nadzoru
  • Edytowalne do corocznej aktualizacji

Przykład: kwestionariusz due diligence banku

Fragment 10 pytań, które dla Ciebie dokumentujemy, ze źródłem każdego pytania

Temat Pytanie Źródło
Governance Czy wasza polityka bezpieczeństwa opiera się na uznanym standardzie (NIST, ISO 27001)? ILPA DDQ 2.0
Audyt zewnętrzny Czy przeprowadzacie coroczny niezależny audyt i testy penetracyjne? CSA CAIQ v4
Plan incydentów Czy istnieje formalny, udokumentowany i utrzymywany plan reagowania na incydenty? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Dla jakich usług wymagacie uwierzytelniania wieloskładnikowego? Travelers - MFA Supplement
Konta uprzywilejowane Czy dostępy są zgodne z zasadą najmniejszych uprawnień, okresowo weryfikowane? CSA CAIQ v4 IAM
Poczta elektroniczna Jakiej licencji M365 używacie? Czy aktywny jest Defender / zaawansowane threat hunting? vCSO.ai Cyber DD Checklist
Szyfrowanie Czy dyski stacji roboczych są w pełni zaszyfrowane? Google VSAQ
Szkolenia Czy istnieje program świadomości bezpieczeństwa dla wszystkich pracowników? CSA CAIQ v4 HRS

Objęte przepisy i standardy

Każdy dokument wyraźnie wskazuje, co obejmuje - i czego nie obejmuje

DO

DORA (Rozporządzenie UE 2022/2554)

Rejestr ICT (art. 28), klauzule umowne (art. 30), terminy zgłaszania (art. 19), odniesienie do wyznaczonych krytycznych dostawców ICT (art. 32).

N2

NIS2 - powiązanie z DORA

DORA jest lex specialis względem NIS2 dla sektora finansowego: objęte podmioty stosują DORA zamiast równoważnych środków NIS2.

ISO

ISO 22301 - ciągłość działania

Profil PRA/PCA Finanse jest zgodny z ISO 22301, standardem zarządzania ciągłością działania stosowanym uzupełniająco do DORA.

RG

RODO - odrębne zgłoszenie

Zgłoszenie incydentu DORA (organowi nadzoru finansowego) jest odrębne od zgłoszenia RODO (organowi ochrony danych) w przypadku naruszenia danych osobowych: oba mogą być wymagane jednocześnie.

Wsparcie dopasowane do Twojej sytuacji

Każda sprawa DORA jest inna w zależności od Twojego statusu - spersonalizowana wycena w każdym przypadku

Dostawca ICT

Świadczysz usługi jednemu lub kilku podmiotom finansowym

Wycena
w zależności od zakresu
  • Odpowiedź due diligence cyber
  • Rejestr ICT po stronie dostawcy
  • Weryfikacja klauzul artykułu 30
  • Udokumentowana dokumentacja gotowa do przekazania
Poproś o wycenę

Coroczne śledzenie

Regularna aktualizacja dokumentacji (obowiązki, umowy, rejestr)

Wycena
cykliczne
  • Aktualizacja rejestru ICT
  • Coroczny przegląd klauzul umownych
  • Monitoring wyznaczonych krytycznych dostawców
  • Wsparcie w due diligence Twoich klientów
Poproś o wycenę

Najczęściej zadawane pytania

Czy moja firma jest podmiotem finansowym objętym DORA?
Artykuł 2 DORA wymienia 21 kategorii podmiotów finansowych: instytucje kredytowe i płatnicze, firmy inwestycyjne, dostawców kryptoaktywów autoryzowanych na podstawie MiCA, ubezpieczenia i reasekurację, zarządzanie funduszami, agencje ratingowe i inne. Mikroprzedsiębiorstwa (poniżej 10 pracowników, obrót lub bilans poniżej 2 mln EUR) korzystają z proporcjonalności w zakresie niektórych obowiązków, ale nie są całkowicie wyłączone. Należy to zweryfikować indywidualnie z doradcą prawnym.
Nie jestem bankiem, dlaczego DORA mnie mimo to dotyczy?
Jeśli świadczysz usługi ICT (informatyka, chmura, oprogramowanie, hosting) podmiotowi finansowemu, artykuł 30 nakłada na Twojego klienta obowiązek wpisania Cię do jego rejestru i narzucenia Ci umownie precyzyjnych klauzul: prawa audytu, zgłaszanie incydentów bez zwłoki, plany wyjścia. Te obowiązki przechodzą przez umowę Twojego klienta, nie przez bezpośredni nadzór organu - chyba że sam zostaniesz wyznaczony jako krytyczny dostawca ICT (artykuł 31).
Jakie są terminy zgłaszania poważnego incydentu ICT?
Artykuł 19: wstępne zgłoszenie w ciągu 4 godzin od zaklasyfikowania jako incydent poważny (maksymalnie 24 godziny od wykrycia), raport pośredni w ciągu 72 godzin, raport końcowy w ciągu 1 miesiąca. Te zgłoszenia są odrębne od ewentualnego zgłoszenia RODO do organu ochrony danych w przypadku naruszenia danych osobowych.
Czym jest „krytyczny dostawca ICT”?
Są to dostawcy wyraźnie wyznaczeni przez europejskie organy nadzoru (EBA, ESMA, EIOPA) według kryteriów wpływu systemowego, zastępowalności i zależności (artykuł 31). Pierwsza oficjalna lista, opublikowana 18-19 listopada 2025, liczy 19 dostawców. Podlegają oni bezpośredniemu nadzorowi (inspekcje, rozszerzone raportowanie); pozostali dostawcy ICT pozostają objęci wyłącznie klauzulami umownymi swoich klientów finansowych.
Czy DORA zastępuje NIS2 dla mojego sektora?
Tak, dla podmiotów finansowych w rozumieniu artykułu 2: DORA stanowi lex specialis względem NIS2 dla sektora finansowego. 21 objętych kategorii stosuje DORA zamiast równoważnych środków NIS2 w zakresie zarządzania ryzykiem i zgłaszania incydentów.
Czy ta usługa stanowi poradę prawną?
Nie. DORA-Express jest narzędziem wsparcia dokumentacyjnego, nie poradą prawną. Dokładne podleganie Twojej organizacji pod DORA oraz zgodność prawna Twoich umów muszą zostać zatwierdzone przez wyspecjalizowanego prawnika przed jakąkolwiek wiążącą decyzją.

Gotowy, by udokumentować swoją zgodność z DORA?

Skontaktuj się z nami, aby otrzymać spersonalizowaną wycenę zależną od Twojego statusu (podmiot finansowy lub dostawca ICT).

DORA-Express jest narzędziem wsparcia dokumentacyjnego i nie stanowi porady prawnej. Podleganie Twojej organizacji pod DORA oraz prawna ważność Twoich umów i rejestrów muszą zostać potwierdzone przez wyspecjalizowanego prawnika.

Monitoring regulacyjny - źródła oficjalne

DORA wyjaśniona prostym językiem, bez żargonu prawnego. Każdy punkt poniżej odsyła do oficjalnego tekstu, który go potwierdza.

Kogo to dotyczy?

DORA ma zastosowanie do europejskich podmiotów finansowych: banków, ubezpieczycieli, firm inwestycyjnych, platform rynkowych, zarządzających funduszami, dostawców usług płatniczych... a także ich dostawców informatycznych. Bardzo małe podmioty korzystają z uproszczonych zasad.

źródło oficjalne (EUR-Lex) ↗

Co DORA konkretnie od Ciebie wymaga

Rozporządzenie obejmuje 6 głównych obszarów: zarządzanie ryzykiem informatycznym, nadzór nad Twoimi dostawcami zewnętrznymi, regularne testy odporności, zgłaszanie poważnych incydentów, wymianę informacji o zagrożeniach oraz nadzór nad największymi dostawcami informatycznymi.

źródło oficjalne (EIOPA) ↗

Daty do zapamiętania

Tekst przyjęty 14 grudnia 2022, opublikowany w Dzienniku Urzędowym UE 27 grudnia 2022 (Dz.U. L 333). Wejście w życie 16 stycznia 2023. Obowiązki obowiązują faktycznie od 17 stycznia 2025.

źródło EUR-Lex ↗ · źródło ESMA ↗

Twoi dostawcy informatyczni też są nadzorowani

Najwięksi dostawcy informatyczni (chmura, hosting...) uznani za „krytycznych” dla sektora finansowego są odtąd kontrolowani bezpośrednio na poziomie europejskim, z wiodącym organem nadzoru, który może im narzucić środki.

źródło oficjalne (EIOPA) ↗

Wreszcie zharmonizowane zgłaszanie incydentów

Przed DORA każdy kraj UE miał własne zasady zgłaszania poważnego incydentu informatycznego. Odtąd stosuje się jedną europejską procedurę: poważne incydenty są zgłaszane bezpośrednio właściwym organom.

źródło EUR-Lex ↗

A sankcje?

Tekst przewiduje, że organy publikują nakładane przez siebie kary administracyjne. Dokładne kwoty grzywien nie są ustabilizowane w źródłach dostępnych do dziś - do potwierdzenia w miarę oficjalnych doprecyzowań.

źródło EUR-Lex (motyw 97) ↗