Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Poradniki

DORA compliance 2026 — sektor finansowy przed pierwszym audytem KNF: pełny przewodnik

Rok 2026 to pierwszy pełny rok inspekcji DORA w polskim sektorze finansowym. Banki, fintech, TFI i ubezpieczyciele muszą udowodnić KNF, że wdrożyli pięć filarów rozporządzenia 2022/2554 — od ICT Risk Management po TLPT. Co znajdą audytorzy, jakie kary, jak przygotować się w 60 dni.

25 min czytania·Zaktualizowano dzisiaj
Autor:Katarzyna NowakSprawdzone przezPiotr ZielińskiAktualizacja: 31 maja 2026
Faktura VAT 23% + KSeFDostawa 1-3 min e-mailemGwarancja działania klucza5,0 / 5,0(KluczeSoft)

Wprowadzenie — czym jest DORA i dlaczego 2026 to przełom

Rozporządzenie DORA (Digital Operational Resilience Act, oficjalnie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554) to akt prawny Unii Europejskiej, który po raz pierwszy w historii ujednolica wymagania dotyczące odporności cyfrowej całego europejskiego sektora finansowego. Tekst rozporządzenia wszedł w życie 16 stycznia 2023 roku, ale obowiązek pełnego stosowania zaczął się 17 stycznia 2025 roku — po dwuletnim okresie przejściowym, w którym banki, ubezpieczyciele i fintechy miały wdrożyć wymagane mechanizmy.

Rok 2025 był rokiem przejścia z fazy "papierowych" przygotowań do realnej odpowiedzialności regulacyjnej. Rok 2026 to pierwszy pełny rok inspekcji — Komisja Nadzoru Finansowego (KNF) prowadzi już systematyczne audyty, sprawdza zgodność dokumentacji z praktyką operacyjną i — co najważniejsze — przekroczyła próg pierwszych decyzji administracyjnych wobec instytucji, które nie zdążyły z wdrożeniem.

DORA wprowadza coś, czego polski sektor finansowy nigdy wcześniej nie miał: bezpośrednio stosowane, jednolite wymagania techniczne dotyczące zarządzania ryzykiem ICT, zgłaszania incydentów, testowania odporności, nadzoru nad dostawcami zewnętrznymi i wymiany informacji o zagrożeniach. Zastępuje to dotychczasowy patchwork wytycznych KNF (Rekomendacja D, M, H), EBA (Guidelines on ICT and security risk management) oraz lokalnych regulacji krajowych. Co istotne — rozporządzenie unijne nie wymaga implementacji do prawa krajowego, działa od pierwszego dnia stosowania jako prawo bezpośrednio wiążące.

W praktyce oznacza to, że mały bank spółdzielczy z Małopolski podlega tym samym wymaganiom co Deutsche Bank we Frankfurcie — z zachowaniem zasady proporcjonalności, ale bez "ulgi taryfowej" co do zasad. Pierwsze raporty z audytów KNF, które już wpłynęły do regulatora w pierwszym kwartale 2026 roku, pokazują, że największe braki dotyczą trzech obszarów: rejestru dostawców ICT (Register of Information), strategii wyjścia (exit strategy) z usług chmurowych oraz formalnego wdrożenia ICT Risk Management Framework.

2026 — pierwszy realny audyt: co znajdą audytorzy

Pierwsza fala audytów KNF prowadzona w 2026 roku koncentruje się na trzech warstwach kontroli: dokumentacji formalnej, dowodach operacyjnych i ocenie dojrzałości procesów. Audytorzy nie zadowalają się już samym faktem posiadania polityki — chcą zobaczyć logi z systemów SIEM potwierdzające, że incydenty są klasyfikowane, raporty z testów penetracyjnych z ostatnich 12 miesięcy oraz protokoły testów odzyskiwania po awarii (DR) wraz z rzeczywistymi czasami RTO/RPO.

Najczęściej wskazywane braki w pierwszych protokołach z kontroli to:

  • Brak aktualnego Register of Information (RegInfo) — wymagany jednolity rejestr wszystkich umów outsourcingowych ICT, w formacie określonym przez ESA (European Supervisory Authorities). Termin pierwszego raportowania do KNF: kwiecień 2026 z datą referencyjną 31 grudnia 2025.
  • Niekompletny ICT Risk Management Framework — brak formalnego "owner'a" (CISO lub równoważnik), nieaktualne procedury klasyfikacji incydentów, brak zatwierdzenia przez zarząd.
  • Brak strategii wyjścia (exit strategy) dla krytycznych dostawców chmury — szczególnie dla AWS, Microsoft Azure, Google Cloud, Salesforce, SAP.
  • Niedopasowanie procedur reagowania na incydenty do nowych terminów DORA (4 godziny na initial notification po klasyfikacji).
  • Brak testów Threat-Led Penetration Testing (TLPT) w instytucjach wskazanych przez KNF — pierwsza grupa jest już znana, pierwsze testy muszą się odbyć do 17 stycznia 2028.
  • Niska świadomość obowiązków zarządu — DORA wprowadza osobistą odpowiedzialność członków zarządu za nadzór nad ryzykiem ICT, co dla wielu instytucji jest nowością.

KNF wskazuje, że pierwszy audyt to etap edukacyjny — w 2026 roku regulator preferuje rekomendacje naprawcze nad karami pieniężnymi, ale już w 2027 spodziewane są pierwsze decyzje administracyjne z karami finansowymi. Instytucje, które nie podejmą działań naprawczych w wyznaczonym terminie, muszą liczyć się z sankcjami do 1% średniego dziennego obrotu rocznego firmy lub do 5 mln euro (wartość wyższa).

Kogo dotyczy DORA — pełna lista podmiotów

DORA pokrywa 20 kategorii podmiotów finansowych plus kategorię "krytycznych dostawców ICT trzecich" (Critical ICT Third-Party Providers, CTPP). W Polsce praktycznie każda regulowana instytucja finansowa znajdzie się w zakresie regulacji.

KategoriaPrzykłady polskich podmiotówPróg proporcjonalności
Banki (instytucje kredytowe)PKO BP, Pekao SA, mBank, ING BSK, Santander, Millennium, Alior, banki spółdzielczeWszystkie — bez progu
Instytucje płatniczePayU, Przelewy24, Tpay, Blue Media, DotpayWszystkie z licencją KNF
Instytucje pieniądza elektronicznego (EMI)Revolut Bank UAB (oddział), Wise Europe, Pyszne.pl PayWszystkie z licencją
Domy maklerskie i firmy inwestycyjneDM PKO BP, Trigon DM, mDM, XTBWszystkie
TFI i fundusze inwestycyjneNN Investment Partners, PKO TFI, PZU TFI, Skarbiec TFITFI + UCITS + AIF
Ubezpieczyciele i reasekuratorzyPZU, Warta, Allianz, Generali, UniqaWszyscy poza mikropodmiotami
Pośrednicy ubezpieczeniowyMultiagencje, brokerzyTylko pośrednicy z istotnym wpływem ICT (proporcjonalność)
Repozytoria transakcji (TR), CCP, CSDKDPW, KDPW_CCP, BondSpotWszystkie
Dostawcy usług kryptoaktywów (CASP)Zonda, BitBay, Coinquista (z licencją MiCA)Wszyscy z licencją MiCA od 30.12.2024
Dostawcy crowdfundinguWspieram.to (część B2B), BeesfundZ licencją ECSP
Fundusze emerytalneOFE (PZU OFE, Aviva OFE, Nationale-Nederlanden OFE), PPKWszystkie
Critical ICT Third-Party Providers (CTPP)AWS, Microsoft, Google (jeśli wskazani przez ESA)Tylko wyznaczone przez ESA decyzją indywidualną

Mikropodmioty (mniej niż 10 pracowników i bilans < 2 mln euro) są wyłączone z części obowiązków — głównie TLPT i Register of Information w pełnym zakresie — ale pozostałe filary DORA stosują się również do nich w zasadzie proporcjonalności.

Najczęstszy błąd interpretacyjny w Polsce: fintechy bez licencji KNF często zakładają, że DORA ich nie dotyczy. To nieprawda — jeśli świadczą usługi ICT na rzecz banku, są w roli ICT third-party providera i bank musi je włączyć do swojego Register of Information, narzucając im wymagania kontraktowe DORA przez umowę. W praktyce oznacza to, że każdy SaaS sprzedający do polskiego sektora finansowego musi być gotowy na audyt swoich procesów bezpieczeństwa, ciągłości działania i polityki podwykonawców.

Pięć filarów DORA — co dokładnie wymaga rozporządzenie

DORA opiera się na pięciu filarach, które są ze sobą ściśle powiązane. Brak realizacji jednego z nich uniemożliwia wykazanie zgodności z pozostałymi — audytorzy zawsze patrzą holistycznie.

FilarZakresKluczowe artykułyTypowy dowód zgodności
1. ICT Risk ManagementIdentyfikacja, ochrona, wykrywanie, reagowanie i odzyskiwanie dla wszystkich aktywów ICT. Wymagany formalny framework zatwierdzony przez zarząd.Art. 5-15ICT Risk Management Framework + matryca ryzyk + RACI + decyzja zarządu
2. ICT-related Incident ManagementKlasyfikacja incydentów, raportowanie do KNF w wymaganych terminach (4h/72h/1 miesiąc), centralna rejestracja.Art. 17-23Incident Register + procedury runbook + dowody zgłoszeń do KNF
3. Digital Operational Resilience TestingCoroczne testy podstawowe (vulnerability scanning, source code review, scenario-based testing). TLPT co 3 lata dla wskazanych podmiotów.Art. 24-27Plan testów + raporty + remediation plan + dla TLPT — atestacja regulatora
4. ICT Third-Party RiskPełny rejestr dostawców ICT, due diligence, klauzule kontraktowe, monitoring, exit strategy dla krytycznych.Art. 28-44Register of Information + umowy z klauzulami DORA + raporty due diligence + exit plans
5. Information SharingDobrowolna wymiana threat intelligence między podmiotami finansowymi w ramach grup zaufania (np. FS-ISAC).Art. 45Membership w sektorowych grupach wymiany + procedury sharing

W praktyce 70% wysiłku wdrożeniowego to filary 1, 2 i 4. Filar 3 (testowanie) konsumuje największe budżety roczne — szczególnie TLPT dla wskazanych "significant" firm. Filar 5 jest dobrowolny, ale audytorzy KNF już sygnalizują, że obecność w FS-ISAC Polska czy ENISA EU FI-ISAC będzie traktowana jako pozytywny wskaźnik dojrzałości.

Mapowanie ICT third-party providers — najczęstsze źródło kar

To jest obszar, w którym najwięcej polskich instytucji obleje pierwszy audyt. Wymóg jest deceptively prosty: stworzyć kompletny, ustrukturyzowany rejestr wszystkich umów outsourcingu ICT, niezależnie od ich kategorii ryzyka. W praktyce — większość banków nie ma centralnego, sourcowanego rejestru i odkrywa, że ma kilkaset "drobnych" umów SaaS rozsianych po działach biznesowych, których nikt nie monitoruje.

Register of Information (RegInfo) to nie excel — to ustandaryzowany format XBRL (lub CSV w wymaganym schema) określony przez ESA, składający się z 15 wzajemnie powiązanych tabel:

  1. B_01.01 — Informacje ogólne o podmiocie
  2. B_01.02 — Lista umów ICT (każda osobna umowa = osobny wiersz)
  3. B_01.03 — Łańcuch podwykonawców (subcontracting chain)
  4. B_02.01 — Dane bezpośrednich dostawców
  5. B_02.02 — Dane podmiotów grupy kapitałowej dostawcy
  6. B_02.03 — Dane ostatecznego dostawcy w łańcuchu
  7. B_03.01 — Funkcje wspierane przez umowy ICT
  8. B_03.02 — Ocena krytyczności (CIF — Critical or Important Function)
  9. B_03.03 — Dokumentacja due diligence
  10. B_04.01 — Klauzule kontraktowe (wymagane przez Art. 30)
  11. B_05.01 — Ocena ryzyka koncentracji
  12. B_05.02 — Plany ciągłości działania dostawcy
  13. B_06.01 — Lokalizacje przetwarzania danych
  14. B_07.01 — Exit strategies
  15. B_99 — Załączniki uzupełniające

Termin pierwszego raportu RegInfo to kwiecień 2026 (z datą referencyjną 31 grudnia 2025). Raporty są składane do KNF, a następnie agregowane przez ESA do unijnego rejestru, który posłuży do wskazania krytycznych dostawców ICT trzecich (CTPP) — czyli "great unbundling" w europejskim cloud computingu, gdzie AWS, Azure i GCP zostaną poddane bezpośredniemu nadzorowi ESA.

Najczęstsze błędy w RegInfo:

  • Pominięcie SaaS-ów kupionych firmową kartą kredytową przez działy biznesowe (shadow IT)
  • Brak mapowania podwykonawców czwartego/piątego rzędu (np. bank → fintech → AWS → Cloudflare)
  • Nieprawidłowa klasyfikacja CIF — zaniżenie krytyczności funkcji, by uniknąć dodatkowych wymagań
  • Brak aktualnych klauzul kontraktowych zgodnych z Art. 30 DORA (prawo audytu, prawo dostępu KNF, lokalizacja danych, exit assistance)

Incident reporting — terminy, których nie wolno przekroczyć

Reżim raportowania incydentów to drugi obszar wysokiego ryzyka kar. Terminy są twarde, format jest ustandaryzowany przez ESA, a "incident drill" KNF (kontrola gotowości reakcji) staje się stałym elementem inspekcji.

EtapTermin maksymalnyCo wysyłamyForma
Initial notification4 godziny od klasyfikacji incydentu jako "major" (max 24h od wykrycia)Krótka notyfikacja: kto, kiedy, co dotknęło, wstępna ocenaXML schema ESA → portal KNF
Intermediate report72 godziny od klasyfikacji (lub od zmiany statusu)Pełen obraz: timeline, zakres wpływu, działania mitygacyjne, statusXML schema ESA → portal KNF
Final report1 miesiąc od klasyfikacjiRoot cause analysis, lessons learned, planowane działania zapobiegawczeXML schema ESA → portal KNF

Klasyfikacja incydentu jako "major" następuje, gdy spełniony jest co najmniej:

  • 2 z 7 kryteriów podstawowych (clients affected, transactions impact, data losses, reputational impact, duration > 24h, geographical spread > 2 państw, economic impact), LUB
  • 1 kryterium podstawowe + próg ekonomiczny (impact ekonomiczny powyżej 100 000 euro)

Progi materialności ustalone w RTS:

  • Więcej niż 10% klientów korzystających z dotkniętej usługi LUB więcej niż 100 000 klientów dotkniętych
  • Więcej niż 30% kontrahentów finansowych dotkniętych
  • Więcej niż 10% średniej dziennej liczby lub wartości transakcji
  • Czas trwania incydentu dłuższy niż 24 godziny
  • Przestój usługi wspierającej CIF dłuższy niż 2 godziny
  • Wpływ w 2 lub więcej państwach członkowskich
  • Wpływ ekonomiczny przekraczający 100 000 euro

Zagrożenia znaczące (significant cyber threats) — DORA wprowadza również opcjonalne raportowanie zagrożeń wykrytych, ale niezrealizowanych. Choć dobrowolne, jest mocno rekomendowane jako element budowania pozytywnej historii compliance.

Klucz operacyjny: większość polskich banków nie ma jeszcze procesu, który zegarem RACI doprowadzi do klasyfikacji incydentu w czasie poniżej 4 godzin od jego pierwszego sygnału w SIEM. Wymaga to dedykowanego zespołu Incident Response gotowego 24/7 lub umowy z zewnętrznym SOC, który wykonuje klasyfikację w imieniu instytucji.

Threat-Led Penetration Testing (TLPT) — najdroższy element DORA

TLPT to najbardziej zaawansowany i najbardziej kosztowny obowiązek DORA. Nie jest to zwykły pentest — to symulacja realnego ataku wykonana przez zewnętrznych etycznych hakerów (Red Team), prowadzona w oparciu o aktualną wiedzę threat intelligence, na produkcyjnych systemach instytucji, z udziałem regulatora i niezależnego dostawcy threat intelligence.

Kogo dotyczy: tylko podmioty "wyznaczone" przez właściwego regulatora (w Polsce — KNF). Kryteria wyznaczenia obejmują systemową istotność, rozmiar, profil ryzyka oraz krytyczność dla stabilności sektora. W praktyce — wszystkie banki G-SII i O-SII, najważniejsze CCP/CSD, największe ubezpieczyciele i CTPP. KNF już komunikował pierwszą falę wyznaczeń w 2025/2026, a docelowo w Polsce w obowiązku TLPT może być 20-40 instytucji.

Częstotliwość: co 3 lata. Pierwszy test musi być zakończony do 17 stycznia 2028, ale ze względu na 6-12 miesięczny cykl pełnego TLPT (procurement → scoping → reconnaissance → red team → blue team feedback → report → atestacja), planowanie należy rozpocząć najpóźniej Q1 2027.

Cykl TLPT (zgodnie z TIBER-EU jako bazowym frameworkiem):

EtapCzas trwaniaZaangażowaniKoszt szacunkowy
Procurement TI + RT1-2 miesiąceCompliance, zakupy, prawnicy50-100k zł
Scoping i scenariusze1-2 miesiąceTLPT cyber team KNF, TI provider80-150k zł
Threat Intelligence Report4-6 tygodniAkredytowany dostawca TI150-300k zł
Red Team Test8-12 tygodniAkredytowani Red Teamers (CREST/CBEST/TIBER)400-800k zł
Blue Team replay + lessons2-4 tygodnieWewnętrzny SOC + RT facilitator50-100k zł
Atestacja regulatora1-2 miesiąceKNF TLPT authorityBez opłaty

Łączny koszt jednego cyklu TLPT: 200 000-800 000 zł w zależności od rozmiaru instytucji i zakresu (im więcej krytycznych funkcji w scope, tym drożej). Dla największych banków koszt może przekroczyć 1 milion złotych za cykl, plus koszt wewnętrzny zaangażowania zespołu (~500-1000 godzin pracy CISO, SOC, prawników, biznesu).

Wymagania kompetencyjne dostawców: muszą posiadać akredytacje CREST STAR, CBEST, TIBER-EU lub równoważne. Polskich akredytowanych dostawców jest 3-5 (głównie Securitum, BT Cyber, Mandiant Polska, niverse), co już teraz prowadzi do niedoboru capacity — wiele instytucji ma problem z zabezpieczeniem RT na 2027.

Praktyczna rekomendacja: jeśli twoja instytucja jest na liście wyznaczonych — zacznij procurement TI providera już w 2026. Ceny będą rosły, a dostępność spadać w miarę zbliżania się do deadline'u stycznia 2028.

Dokumentacja wymagana przez DORA — pełna lista

Audyt KNF zaczyna się od żądania konkretnej listy dokumentów. Brak któregokolwiek z poniższych = automatyczna rekomendacja naprawcza:

  1. ICT Risk Management Framework — zatwierdzony przez zarząd, aktualizowany rocznie, z formalnym ownerem
  2. ICT Strategy — strategia ICT zintegrowana ze strategią biznesową
  3. Information Security Policy — polityka bezpieczeństwa informacji
  4. Acceptable Use Policy — zasady używania zasobów ICT przez pracowników
  5. Identity and Access Management Policy — IAM z procedurą JML (Joiner-Mover-Leaver)
  6. Asset Management Register — rejestr wszystkich aktywów ICT (sprzęt, oprogramowanie, dane)
  7. Business Impact Analysis (BIA) — analiza wpływu na biznes dla każdej funkcji ICT
  8. Business Continuity Plan (BCP) — plan ciągłości działania
  9. Disaster Recovery Plan (DRP) — plan odzyskiwania po awarii z RTO/RPO dla każdej CIF
  10. Incident Management Procedure — z RACI, runbook, ścieżkami eskalacji
  11. Incident Register — pełen rejestr wszystkich incydentów (major i non-major) z 3-letnią retencją
  12. Register of Information (RegInfo) — wszystkie umowy ICT third-party (format ESA)
  13. Due Diligence Reports — dla wszystkich krytycznych dostawców ICT (przy każdym kontrakcie i corocznie)
  14. Exit Strategies — dla wszystkich CTPP i krytycznych dostawców (testowane raz na 3 lata)
  15. Vulnerability Management Process — z procedurą patch management i SLA
  16. Penetration Testing Reports — z ostatnich 12 miesięcy
  17. Awareness & Training Program — z dowodami przeprowadzonych szkoleń (cyber awareness, phishing simulation)
  18. Backup Strategy & Test Reports — strategia backup + dowody testowego odzyskania
  19. Encryption Policy — z mapą wdrożenia w organizacji
  20. Threat Intelligence Sources — udokumentowane źródła threat intel (komercyjne + sektorowe)

Brak choćby jednego dokumentu z tej listy w pierwszym audycie powoduje wpis do protokołu kontroli. KNF wskazuje, że typowy bank średniej wielkości potrzebuje 6-12 miesięcy od decyzji zarządu, aby skompletować pełną dokumentację — dlatego instytucje, które nie zaczęły do końca 2025 roku, są już realnie spóźnione.

KNF jako nadzór w Polsce — co już wiemy o formacie audytów

Komisja Nadzoru Finansowego pełni rolę właściwego organu nadzoru DORA w Polsce dla wszystkich kategorii podmiotów finansowych, z wyjątkiem CTPP — te są nadzorowane bezpośrednio przez ESA (EBA, ESMA, EIOPA). KNF prowadzi audyty w formacie połączonego on-site + off-site review, z naciskiem na:

  • Przegląd dokumentacji (off-site, 4-6 tygodni przed wizytą) — pełna lista 20+ dokumentów wskazana powyżej
  • Wywiady z zarządem i kluczowym personelem (on-site, 2-5 dni) — CISO, CIO, CCO, Risk Manager, Internal Audit
  • Walk-through procesów — fizyczna weryfikacja, jak działa SOC, jak przebiega Incident Response
  • Sample testing — próbkowanie incydentów, umów, raportów testów penetracyjnych
  • Mock incident scenario — coraz częściej KNF prowadzi tabletop exercise z zespołem instytucji
  • Final report — protokół kontroli + zalecenia naprawcze + terminy wykonania

Wzory raportów i checklisty: KNF publikuje na swojej stronie knf.gov.pl/dla_rynku/dora bieżące komunikaty, wytyczne i Q&A. W szczególności:

Na poziomie unijnym warto śledzić Joint ESA Q&A publikowane na stronach EBA, EIOPA i ESMA — wyjaśniają one praktyczne aspekty stosowania regulacji.

Wymagane produkty i technologie — stack zgodny z DORA

DORA nie wskazuje konkretnych produktów, ale wymaga określonych funkcjonalności technologicznych. W praktyce — instytucja bez wymienionych poniżej kategorii narzędzi nie udowodni zgodności. Poniżej kategorie + sprawdzone wybory dla polskiego sektora finansowego (ceny orientacyjne dla średniego banku, 500-2000 użytkowników):

SIEM / SOAR — centralne monitorowanie bezpieczeństwa

Wymagane przez Art. 9-10 (Detection) i Art. 17-23 (Incident Management). Bez SIEM-a nie da się udowodnić, że incydenty są wykrywane "w czasie rzeczywistym".

  • Microsoft Sentinel — natywne dla środowisk Azure/M365, dobre relacje cenowe, polski support. Cena: ~5-10 zł/GB logów/dzień.
  • Splunk Enterprise Security — najbardziej dojrzały na rynku, drogi, ale referencyjny dla dużych banków. Cena: 1500-3000 zł/host/rok.
  • IBM QRadar — popularny w polskich bankach, mocna integracja z mainframe. Cena: zindywidualizowana.
  • Elastic Security — alternatywa open core, niższe koszty TCO. Cena: 1000-2000 zł/host/rok.

EDR / XDR — Endpoint Detection and Response

Wymagane jako element warstwy detekcji. Tradycyjny antywirus nie wystarcza — DORA wymaga możliwości proaktywnego threat hunting na endpointach.

  • CrowdStrike Falcon — lider rynku, najbardziej zaawansowane ML, premium pricing. ~150-300 zł/endpoint/rok.
  • SentinelOne — silna alternatywa CrowdStrike, lepsze ceny dla SMB. ~100-200 zł/endpoint/rok.
  • Microsoft Defender for Endpoint P2 — bundlowany z E5, świetne value w środowisku M365. W cenie M365 E5.
  • ESET PROTECT Enterprise — preferowany przez wiele polskich banków spółdzielczych, niższe ceny. ~50-150 zł/endpoint/rok.

DLP — Data Loss Prevention

Wymagane przez politykę bezpieczeństwa informacji (Art. 9). Szczególnie krytyczne dla danych klientów (PSD2/GDPR overlap).

  • Microsoft Purview DLP — w cenie M365 E5, integruje się z całym stackiem Microsoft.
  • Forcepoint DLP — enterprise-grade, mocny w środowiskach hybrydowych.
  • Symantec DLP (Broadcom) — referencyjny w globalnych bankach, kosztowny.

ZTNA / SASE — Zero Trust Network Access

Wymagane jako element nowoczesnej architektury IAM i kontroli dostępu zdalnego (Art. 9).

  • Zscaler Private Access — lider ZTNA, najlepsza skala, premium. 200-400 zł/użytkownik/rok.
  • Cloudflare Zero Trust — agresywna polityka cenowa, szybkie wdrożenie. 50-200 zł/użytkownik/rok.
  • Palo Alto Prisma Access — top-tier SASE, integracja z firewalls.

IAM / PAM — Identity & Privileged Access Management

Wymagane przez Art. 9 (Protection) i Art. 13 (Communication). PAM jest osobno wskazywany w wytycznych jako MUST dla kont uprzywilejowanych.

  • CyberArk — globalny standard dla PAM w bankach. Kosztowny, ale referencyjny.
  • SailPoint IdentityNow — najlepszy do IGA (Identity Governance and Administration).
  • Okta Workforce Identity — najsilniejszy w SSO + adaptive MFA, agresywna polska ekspansja.
  • One Identity Safeguard — alternatywa CyberArk z lepszymi cenami.

Backup / Recovery — wymóg testowalnego RTO/RPO

Wymagane przez Art. 11-12 (Response and Recovery). Backup musi być testowany — sam fakt jego posiadania nie wystarczy.

  • Veeam Backup & Replication — najczęściej spotykany w polskich bankach, dobre wsparcie immutable backup.
  • Rubrik — premium, świetne UX, mocne anti-ransomware.
  • Commvault Complete Backup — enterprise-grade, modular, sprawdzony.
  • Cohesity — szybko rosnąca alternatywa, mocna konsolidacja danych.

GRC — Governance, Risk & Compliance Platform

Wymagane funkcjonalnie do prowadzenia Register of Information, Incident Register, Risk Register, mapowania kontroli.

  • ServiceNow GRC + IRM — najbardziej kompleksowa platforma, premium pricing.
  • OneTrust GRC — popularny w europejskim sektorze finansowym, dobra integracja z DORA.
  • MetricStream — silny w obszarze regulatorium finansowym.
  • Archer (RSA) — historyczny lider, nadal mocny w bankach.

Łączny budżet roczny stack DORA-ready dla średniego banku (500-2000 użytkowników, 200-500 serwerów): 2-5 milionów zł rocznie OpEx, plus jednorazowy CapEx wdrożenia rzędu 1-3 milionów zł. Dla dużych banków komercyjnych kwoty są wielokrotnie wyższe.

DORA vs NIS2 vs UE AI Act — kompleksowa mapa overlap

W 2026 roku polskie instytucje finansowe wpadają w trójkąt regulacyjny, w którym łatwo zgubić priorytety. Poniższa tabela porządkuje, kiedy które rozporządzenie ma pierwszeństwo i jakie są praktyczne implikacje:

AspektDORANIS2EU AI Act
Adresaci20 kategorii podmiotów finansowychEsential & Important entities (sektor energii, transportu, zdrowia, IT, finansów)Dostawcy i wdrożeniowcy systemów AI, szczególnie high-risk
Status w PLBezpośrednio stosowane od 17.01.2025Implementowane przez nowelę UKSC (ustawa o KSC) wszedł w życie 3.04.2026Stosowane progresywnie 2025-2027
Nadzór w PLKNFCSIRT NASK + sektorowe CSIRT-y (dla finansów — KNF)Wskazane organy (oczekiwane: UODO + UOKiK + sektorowi regulatorzy)
Pierwszeństwo dla finansówLEX SPECIALIS — wygrywa w obszarze ICT risk + incident reportingStosuje się do governance i supply chain (nieoverlap)Stosuje się równolegle dla systemów AI używanych w bankowości
Maksymalne kary1% średniego dziennego obrotu LUB 5 mln EUR (wyższe)Do 10 mln EUR LUB 2% obrotu globalnego (wyższe)Do 35 mln EUR LUB 7% obrotu globalnego (wyższe)
Incident reporting4h/72h/1m do KNF24h/72h/1m do CSIRT15 dni serious incident do organu nadzoru AI
TestingTLPT co 3 lata (wskazane podmioty)Brak obowiązkowego TLPTConformity assessment dla high-risk AI
Third-party riskBardzo szczegółowe — RegInfo + klauzule + exitWymagania supply chain bez RegInfoWymagania dla AI providers

Reguła praktyczna: dla polskiego banku, fintechu, TFI czy ubezpieczyciela — DORA jest priorytetem #1. NIS2 dotyczy was w obszarach niepokrytych przez DORA (np. governance ogólny). EU AI Act trzeba uwzględnić przy każdym wdrożeniu AI/ML — szczególnie credit scoring, fraud detection, AML — bo wszystkie te use-cases są klasyfikowane jako high-risk.

Reguła "compliance compounding": spełnienie DORA + ISO 27001 + ISO 22301 daje 80% pokrycia NIS2. To naturalna droga do efektywności compliance — nie buduj 3 osobnych programów, buduj jeden zintegrowany framework.

Kary DORA — czego naprawdę można się obawiać

Reżim sankcji DORA jest bardziej dolegliwy niż RODO w jednym kluczowym aspekcie: wprowadza osobistą odpowiedzialność członków zarządu za nadzór nad ryzykiem ICT. To zmiana paradygmatu — dotychczas zarządy mogły delegować odpowiedzialność na CIO/CISO, teraz osobiście odpowiadają za skuteczność systemu zarządzania ryzykiem ICT.

Sankcje administracyjne:

  • Kara pieniężna do 1% średniego dziennego obrotu rocznego firmy LUB do 5 milionów euro — wartość wyższa
  • Dla CTPP — kara do 1% średniego dziennego obrotu globalnego lub 5 mln EUR
  • Publikacja decyzji o ukaraniu (name and shame)
  • Wpis na sanctions list publikowany przez ESA — widoczny dla wszystkich europejskich regulatorów

Sankcje wobec osób fizycznych (członków zarządu, CISO, kluczowych menedżerów):

  • Czasowy zakaz pełnienia funkcji w sektorze finansowym (do 5 lat)
  • Kary pieniężne nakładane bezpośrednio na osoby (do 5 mln EUR osobiście)
  • Postępowanie karne w przypadku rażących zaniedbań

Najczęstsze podstawy do kary, jakie KNF już sygnalizuje:

  1. Brak kompletnego Register of Information w terminie 30.04.2026
  2. Niezgłoszenie incydentu w terminie 4h od klasyfikacji
  3. Brak ICT Risk Management Framework zatwierdzonego przez zarząd
  4. Brak exit strategy dla CTPP
  5. Brak Threat-Led Penetration Testing dla wskazanych podmiotów (przed 17.01.2028)
  6. Nieprzeprowadzenie wymaganego coroczne testowanie odporności operacyjnej

Mitygacja ryzyka kar — KNF wskazuje, że w pierwszym roku audytów (2026) preferuje rekomendacje naprawcze z terminem wykonania zamiast kar pieniężnych. Warunek: instytucja musi wykazać dobrą wiarę i aktywne działania naprawcze. Brak współpracy lub zatajanie informacji → automatyczna eskalacja do postępowania administracyjnego.

Checklist pierwszego audytu — 60-dniowa lista przygotowań

Jeśli właśnie dostałeś zawiadomienie o nadchodzącej inspekcji DORA, masz typowo 60-90 dni na przygotowanie. Poniższa lista to minimum minimum — wszystko, czego brak będzie natychmiast wpisane do protokołu kontroli.

Dni 1-7 — kickoff i mobilizacja zespołu:

  • Utworzenie War Roomu z udziałem CISO, CIO, CCO, Risk Manager, Internal Audit, Legal
  • Decyzja zarządu o dedykowanym budżecie i prioretyzacji
  • Nominacja Single Point of Contact (SPOC) ze strony instytucji do kontaktów z KNF
  • Inwentaryzacja istniejącej dokumentacji vs lista 20 wymaganych dokumentów
  • Identyfikacja luk dokumentacyjnych i przypisanie ownerów

Dni 8-30 — uzupełnienie dokumentacji:

  • Aktualizacja lub stworzenie ICT Risk Management Framework z decyzją zarządu
  • Aktualizacja BCP/DRP z rzeczywistymi RTO/RPO dla każdej CIF
  • Skompletowanie Register of Information (najtrudniejsze — często wymaga 30+ wywiadów z action ownerami)
  • Przegląd i uzupełnienie wszystkich umów ICT o klauzule DORA Art. 30
  • Stworzenie/aktualizacja Exit Strategies dla CTPP
  • Centralizacja Incident Register z 3-letnią retencją

Dni 31-45 — dowody operacyjne:

  • Przeprowadzenie tabletop exercise z udziałem zarządu (dowód governance)
  • Test odzyskania z backupu dla 2-3 krytycznych systemów (dowód testowalności)
  • Przeprowadzenie pentestu (lub przegląd ostatniego raportu)
  • Aktualizacja katalogu szkoleń cyber awareness + dowody zakończenia
  • Mapowanie kontroli ISO 27001 / NIST CSF do wymagań DORA (cross-walk)

Dni 46-60 — pre-audit i finetuning:

  • Pre-audit wewnętrzny (Internal Audit lub konsultant zewnętrzny)
  • Naprawa zidentyfikowanych braków
  • Przygotowanie executive summary dla zarządu
  • Przygotowanie data room z całą dokumentacją w jednym miejscu
  • Briefing zespołu kierowniczego na wywiady z audytorami KNF
  • Przygotowanie sali fizycznej na wizytę on-site (sale, dostęp, śniadanie, networking)

Dzień audytu:

  • SPOC przy audytorach przez cały czas, agendowanie spotkań
  • Logowanie wszystkich żądań informacji + czas odpowiedzi
  • Codzienny debrief zespołu kierowniczego
  • Notowanie wszystkich wskazanych braków + natychmiastowe planowanie remediation

Po audycie:

  • Wyczerpująca odpowiedź na każdą rekomendację w terminie wskazanym przez KNF (typowo 30-90 dni)
  • Stworzenie remediation plan z konkretnymi datami i ownerami
  • Raportowanie do zarządu i Komitetu Ryzyka co miesiąc do zamknięcia wszystkich punktów

Wsparcie zewnętrzne — kiedy warto, kiedy nie

DORA to nie obszar, gdzie da się "ogarnąć samemu" w średnim banku czy fintechu. Realistycznie — 80% polskich instytucji finansowych skorzysta przynajmniej z jednej formy wsparcia zewnętrznego w ramach przygotowań do pierwszego audytu.

vCISO (virtual CISO) — gdy nie masz wewnętrznego CISO:

  • Koszt: 15 000-40 000 zł/miesiąc (zależnie od zakresu i seniority)
  • Dla kogo: małe i średnie fintechy, banki spółdzielcze, instytucje płatnicze, EMI
  • Zakres: pełnienie funkcji CISO w niepełnym wymiarze, reprezentacja w kontaktach z KNF
  • Polscy dostawcy: Securitum, BTC, ITgrow, Vector Synergy, Mediarecovery

Audyt zewnętrzny (gap assessment przed inspekcją KNF):

  • Koszt: 30 000-150 000 zł (jednorazowo, zależnie od rozmiaru)
  • Dla kogo: każda instytucja przed pierwszą inspekcją KNF
  • Wynik: raport gap analysis + remediation plan + priorytet
  • Polscy dostawcy: PwC, Deloitte, EY, KPMG (Big 4), Mediarecovery, Securitum, Kochański & Partners (compliance side)

Konsulting wdrożeniowy (3-12 miesięcy):

  • Koszt: 200 000-1 500 000 zł za pełne wdrożenie
  • Dla kogo: instytucje z dużymi lukami, krótkim terminem, brakiem wewnętrznej kompetencji
  • Zakres: dokumentacja + procesy + szkolenia + implementacja narzędzi
  • Polscy dostawcy: Deloitte, PwC, EY, KPMG, Capgemini, Sopra Steria

Szkolenia branżowe:

  • Cena typowa: 2 000-5 000 zł/osoba/dzień dla szkoleń otwartych, 15 000-30 000 zł/dzień dla in-house
  • Najpopularniejsze programy: EITT, NFLO, Allerhand Institute, ISACA Warsaw Chapter, ISC2 Warsaw Chapter
  • Certyfikaty istotne dla CISO: CISM, CRISC, CISSP, CDPSE (compliance privacy)

TLPT — wyłącznie akredytowani dostawcy:

  • Procurement min. 8-12 miesięcy przed planowanym testem
  • Krótka lista polskich/regionalnych dostawców: Securitum, NASK, BT Cyber, Mandiant (Google), Nettitude (LRQA)
  • Nie próbuj robić TLPT z nieakredytowanym dostawcą — raport nie zostanie zatwierdzony przez KNF

Podsumowanie — jak zacząć w 5 krokach

DORA compliance w 2026 roku to nie jest "projekt IT" — to transformacja kultury operacyjnej całej instytucji finansowej, łącząca aspekty regulacyjne, techniczne, prawne i biznesowe. Sukces wymaga zaangażowania zarządu na poziomie strategicznym, nie tylko delegacji do CISO.

Pięć kroków, jeśli zaczynasz dziś:

  1. Tydzień 1 — Audyt wewnętrzny gotowości z udziałem CISO/CIO. Określenie realnej luki vs wymagania DORA. Decyzja zarządu o budżecie i terminie (typowo 6-12 miesięcy do pełnej gotowości).

  2. Miesiąc 1-2 — Kontraktowanie wsparcia zewnętrznego (vCISO, gap assessment lub konsulting wdrożeniowy). Wybór modelu współpracy — full outsourcing vs hybrid vs in-house z konsultantem.

  3. Miesiąc 3-6 — Sprint dokumentacyjny: kompletowanie 20 wymaganych dokumentów, Register of Information, aktualizacja umów z dostawcami ICT, exit strategies dla CTPP.

  4. Miesiąc 4-9 — Wdrożenia techniczne: SIEM, EDR, IAM/PAM, GRC platform, backup z testowalnym recovery. Implementacja Incident Response process z zegarem 4h klasyfikacji.

  5. Miesiąc 9-12 — Stabilizacja, testowanie operacyjne, internal pre-audit, gotowość do inspekcji KNF. Jeśli wskazany dla TLPT — rozpoczęcie procurement dostawcy.

Złota zasada: nie czekaj na pismo z KNF. Pierwsza fala inspekcji w 2026 jest losowa — może trafić na ciebie w każdym kwartale. Instytucje, które rozpoczęły poważne przygotowania w 2024, mają dziś przewagę pozwalającą na pewność audytu. Ci, którzy zaczynają w drugiej połowie 2026 — kalkulują, że dotrwają do 2027 bez pierwszej inspekcji, co jest hazardem niewspółmiernym do skali kar.

DORA to nie jest "kolejne RODO" — to fundament regulacyjny na następne 10 lat europejskiego sektora finansowego, podobnie jak Basel III stał się fundamentem dla regulacji kapitałowych. Im wcześniej twoja instytucja przejmie go jako element strategii biznesowej (a nie tylko obowiązku compliance), tym wcześniej zacznie czerpać przewagi: niższe składki cyber-insurance, lepsze pozycjonowanie przed inwestorami, większe zaufanie klientów B2B.

Najczęściej zadawane pytania

Czy ten artykuł był pomocny?