Zaznacz stronę
Dora

DORA – czas na powdrożeniowy audyt zgodności

12 marca 2025 | Aktualności, The Right Focus, Wiedza

Od 17 stycznia obowiązuje DORA, a wraz z nią nowe wymogi w zakresie operacyjnej odporności cyfrowej sektora finansowego oraz regulacje dotyczące świadczenia usług ICT na rynku finansowym.

W najbliższej przyszłości mają być także opublikowane ostateczne wersje aktów wykonawczych do rozporządzenia DORA. Zgodnie z planami jeszcze w I kw. tego roku do Sejmu powinien trafić projekt ustawy wdrażającej DORA, która ureguluje nadzór KNF w tym zakresie.

Wymogi DORA dla sektora finansowego

Zgodnie z nowymi przepisami podmioty finansowe muszą realizować nowe obowiązki, m.in. w zakresie:

  • Zarządzania ryzykiem związanym z ICT – to znaczy wypracowania solidnych mechanizmów identyfikacji, oceny i monitorowania ryzyka związanego z technologiami cyfrowymi
  • Zarządzania incydentami związanymi z ICT, ich klasyfikacji i zgłaszania – czyli odpowiednich procedur w zakresie reagowania na incydenty oraz ich raportowania
  • Testowania operacyjnej odporności cyfrowej – to znaczy zapewnienia regularnej weryfikacji skuteczności systemów bezpieczeństwa oraz mechanizmów zarządzania kryzysowego
  • Zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT – czyli zapewnienia gwarancji bezpieczeństwa w całym łańcuchu dostaw

W tym celu podmioty finansowe muszą zapewnić odpowiednie przygotowanie wewnętrzne w zakresie stosowanych polityk, procedur, rejestrów czy dokumentacji (zgodnie z wymaganiami odpowiednich Regulacyjnych Standardów Technicznych – RTS) oraz przygotowanie zewnętrzne obejmujące zabezpieczenie relacji umownych z dostawcami usług ICT.

Czy sektor finansowy zdążył wdrożyć rozporządzenie DORA

Chociaż formalnie sektor finansowy powinien być już gotowy, to ze względu na fakt, że procesy dostosowawcze obejmowały setki dokumentacji i umów, wiele podmiotów może wciąż nie być w pełni przygotowanych. Co więcej, w międzyczasie pojawiały się także nowe pakiety Q&A czy stanowisk organów dotyczących stosowania DORA, jak chociażby te dotyczące wyłączenia usług ICT związanych z regulowanymi usługami finansowymi spod reżimu DORA.

Procesem, który zajmuje dużo czasu jest też remediacja umów z dostawcami. Samo spełnienie wymagań jest bowiem zależne od drugiej strony i długości negocjacji.

Do jednych z najczęstszych problemów należy uregulowanie kwestii podwykonawców i nałożenia dodatkowych obowiązków na dostawców ICT. Fakt, że RTS dotyczący podwykonawców wciąż nie został oficjalnie przyjęty również nie ułatwia zawarcia porozumienia między stronami. Dodatkowo, w przypadku dotychczasowych umów chmurowych, DORA rozszerza stosowaną do tej pory definicję podwykonawcy, wynikającą z uchylonego już Komunikatu Chmurowego.

DORA – powdrożeniowy audyt zgodności

Przed 17 stycznia 2025 r. podmioty finansowe ścigały się z czasem, by zdążyć z wdrożeniem wszystkich wymagań rozporządzenia DORA, niejednokrotnie pomijając mniej lub bardziej istotne kwestie.

W celu dochowania należytej staranności warto więc ponownie zmapować ewentualne luki i przeprowadzić stosowne działania naprawcze. Rozwiązaniem w tym zakresie może być powdrożeniowy audyt zgodności.

W ramach weryfikacji zgodności, audyt powdrożeniowy powinien objąć nie tylko przegląd i ewentualne dostosowanie wewnętrznych procedur i polityk, sprawdzenie poprawności wypełnianego rejestru informacji, kwalifikacji dostawców i zawartych z nimi umów, ale również faktyczne wdrożenie odpowiednich procesów oraz spełnienie wszystkich wymagań wskazanych zarówno w treści samego rozporządzenia DORA, jak i aktów wykonawczych.

Masz pytania? Skontaktuj się z nami

Najnowsza Wiedza

Umowy zlecenia i B2B wliczane do stażu pracy

Staż pracy przestaje zależeć wyłącznie od etatu. Nowelizacja Kodeksu pracy wprowadza istotne zmiany – do stażu, od którego zależą uprawnienia pracownicze, będą wliczane także umowy cywilnoprawne i działalność gospodarcza. Co to oznacza dla pracowników i pracodawców?

Przegląd sektora bankowego | Banking dziś i jutro | Luty 2026

Polski sektor bankowy wszedł w fazę intensywnych przetasowań , jakich nie widzieliśmy od lat. Wielkie banki zmieniają właścicieli, zagraniczni gracze przestawiają swoje strategie, a nowi inwestorzy wchodzą do gry — pytanie brzmi, czy to tylko roszady kapitałowe, czy początek trwałej zmiany układu sił w branży.

31 stycznia 2026 – pamiętaj o Dyrektywie DAC7

Zbliża się termin dopełnienia obowiązków wynikających z Dyrektywy DAC7 oraz polskich przepisów implementujących tę dyrektywę. Operatorzy platform internetowych są zobowiązani do realizacji obowiązków raportowych najpóźniej do 31 stycznia 2026 r., w odniesieniu do danych za 2025 r. Dla wielu jest to ostatni moment, aby nie tylko przygotować wymagane informacje, ale również zweryfikować, czy i w jakim zakresie obowiązki DAC7 faktycznie ich dotyczą.

Nowa ustawa o kredycie konsumenckim – rozbudowana regulacja o szerokim wpływie na rynek

W 2025 r. polski rynek finansowy wkroczył w kolejną fazę dostosowań do unijnych regulacji. Projekt nowej ustawy o kredycie konsumenckim, wdrażający dyrektywę CCD2 oraz przepisy dotyczące usług finansowych zawieranych na odległość, to jedne z najbardziej kompleksowych prób ujednolicenia zasad udzielania finansowania konsumentom. Zmiany są tak szerokie, że obejmują zarówno etap reklamy i pozyskiwania klienta, jak i ocenę jego zdolności kredytowej, konstrukcję umowy, zakres odpowiedzialności kredytodawcy, jak również reguły odstąpienia oraz szczegółową organizację sprzedaży zdalnej.

Radar Energetyczny 2026: Twoja mapa drogowa po transformacji

Energetyka przestaje być wyłączną domeną inżynierów i polityków, a staje się fundamentem strategii biznesowej każdego przedsiębiorstwa, które chce zachować swoją konkurencyjność. W 2026 roku nastąpi kumulacja zmian legislacyjnych, które zasadniczo przeformułują dotychczasowe podejście do zasad przyłączania, obrotu energią oraz obowiązków sprawozdawczych.

Przegląd sektora bankowego | Banking dziś i jutro | Styczeń 2026

1 stycznia w życie weszły przepisy, które skutkują podwyższeniem stawki podatku dochodowego płaconego przez banki. W 2026 r. wyniesie ona 30 proc. Mniej zapłacą podmioty rozpoczynające działalność, SKOK-i, małe podmioty oraz banki w procesach naprawczych.

Rok 2025 w sektorze bankowym – zmiany prawne, podatkowe i strategiczne wyzwania

Rok 2025 był dla polskiego sektora bankowego czasem głębokich reform i nowych obowiązków regulacyjnych. Banki, mimo rekordowych wyników finansowych, musiały bowiem mierzyć się z nasilającą się presją podatkową, zmianami w benchmarkach, a także z implementacją unijnych regulacji dotyczących bezpieczeństwa operacyjnego, przeciwdziałania praniu pieniędzy, płatności cyfrowych, wykorzystania sztucznej inteligencji, raportowania ESG oraz zielonej transformacji. W tle tych procesów obserwowaliśmy też rynkową konsolidację, po części wymuszoną rosnącą konkurencją ze strony nowych banków. Sprawdzamy, jak wszystkie te czynniki zmieniły polski rynek instytucji finansowych.

Zapraszamy do kontaktu:

Monika Maćkowska-Morytz

Monika Maćkowska-Morytz

Adwokat / Partner / Szefowa Praktyki Ochrony Danych Osobowych i Cyberbezpieczeństwa

+48 660 765 918

m.mackowska-morytz@kochanski.pl