EU DORA: kogo dotyczy i które narzędzia pomagają w zgodności

DORA to unijne rozporządzenie o operacyjnej odporności cyfrowej dla sektora finansowego. Poniżej: co faktycznie wymaga w sposób ciągły, szybka weryfikacja, czy dotyczy Twojej organizacji, oraz niezależny przegląd narzędzi wspierających zgodność.

DORA obowiązuje od 17 stycznia 2025 roku. Nie jest to jednorazowy termin: Rejestr Informacji musi być składany do organu nadzoru co roku, a 2026 rok to pierwszy pełny cykl egzekwowania, w którym organy nadzoru weryfikują krzyżowo złożone rejestry. W Polsce organem nadzoru finansowego jest KNF (Komisja Nadzoru Finansowego), która przyjmuje Rejestr Informacji i nadzoruje zgodność z DORA.

Kluczowe daty

17 stycznia 2025
DORA obowiązuje: wymogi dotyczące zarządzania ryzykiem ICT, zgłaszania incydentów, testowania odporności oraz zarządzania ryzykiem podmiotów trzecich są w mocy
31 marca 2026
Coroczny Rejestr Informacji: lista wszystkich umów z zewnętrznymi dostawcami ICT musi być składana do organu nadzoru (wymóg powtarzający się co roku)
30 czerwca 2026
Pierwszy pełny cykl egzekwowania: organy nadzoru weryfikują krzyżowo złożone rejestry i wydają nakazy naprawcze

Czy DORA dotyczy Twojej organizacji?

Dwa pytania, orientacyjna odpowiedź. Nie jest to porada prawna.

Co najlepiej opisuje Twoją organizację?
Czy jesteś mikroprzedsiębiorstwem (poniżej 10 pracowników i poniżej 2 milionów EUR obrotu)?

Narzędzia wspierające zgodność z DORA

Zgodność z DORA jest zazwyczaj zarządzana w ten sam sposób co zgodność z NIS2 lub ISO 27001: za pomocą platformy przechowującej ramy zarządzania ryzykiem ICT, dowody, rejestry incydentów i rejestr podmiotów trzecich. Wymienione poniżej narzędzia to umożliwiają; ostatnie z nich koncentruje się wyłącznie na corocznym Rejestrze Informacji.

NarzędzieWsparcie DORA Najlepsze dlaSzczegóły
Vanta
US
Dedykowany produkt DORA: zautomatyzowane testy, gotowe polityki DORA oraz dowody ponownie wykorzystywane z prac nad ISO 27001, SOC 2 lub NIS2Firmy fintech i dostawcy ICT automatyzujący już inne standardySprawdź →
Drata
US
Gotowe ramy DORA z modułem zarządzania ryzykiem ICT i monitorowaniem ryzyka podmiotów trzecich, odwzorowane na kontrole, które możesz już posiadaćPodmioty finansowe chcące odwzorować DORA na istniejące kontroleSprawdź →
Sprinto
US/IN
Ramy DORA skierowane do podmiotów fintech i średniego rynku dopiero wdrażających rozporządzenie, z mapowaniem kontroli i ciągłym monitorowaniemMniejsze firmy fintech i instytucje płatnicze rozpoczynające wdrożenie DORA od podstawSprawdź →
Secureframe
US
DORA na liście obsługiwanych standardów z mapowaniem kontroli i ciągłym monitorowaniem dostawcówZespoły realizujące już SOC 2 lub ISO 27001 w platformieSprawdź →
ISMS.online
UK
Dedykowane rozwiązanie ramowe DORA z rejestrowaniem incydentów i mapowaniem ISO 27001 na wymogi DORAOrganizacje zarządzające zgodnością jako udokumentowanym ISMSSprawdź →
Vendorica
EU
Narzędzie natywne dla DORA, skoncentrowane na Rejestrze Informacji i rejestrze zewnętrznych dostawców ICT; przydatne, gdy głównym wyzwaniem jest złożenie rejestruPodmioty, których główną luką jest coroczny Rejestr InformacjiSprawdź →

Informacja redakcyjna: niektóre linki są linkami afiliacyjnymi. Jeśli dokonasz zakupu za ich pośrednictwem, możemy otrzymać prowizję bez żadnych dodatkowych kosztów dla Ciebie. Nasze oceny i kolejność prezentacji są niezależne od relacji komercyjnych.

Najczęściej zadawane pytania

Kogo dotyczy DORA?

Około 22 000 unijnych podmiotów finansowych z około 20 kategorii (banki, ubezpieczyciele, firmy inwestycyjne, instytucje płatnicze i pieniądza elektronicznego, dostawcy usług w zakresie kryptoaktywów, zarządzający funduszami) oraz, pośrednio, zewnętrzni dostawcy ICT, którzy je obsługują. Krytyczni zewnętrzni dostawcy ICT podlegają również bezpośredniemu nadzorowi UE.

Jakie są sankcje?

Organy nadzoru mogą nakładać kary do 2 procent łącznego rocznego światowego obrotu na podmioty finansowe, do 1 procenta średniego dziennego światowego obrotu dziennie na krytycznych zewnętrznych dostawców ICT, a indywidualni menedżerowie mogą ponosić osobistą odpowiedzialność do 1 miliona EUR.

Czym jest Rejestr Informacji?

Ustrukturyzowana lista wszystkich umów zawartych z zewnętrznymi dostawcami ICT, składana do krajowego organu nadzoru co roku. Jest to jeden z najbardziej konkretnych i powtarzających się obowiązków wynikających z DORA, a częsty powód, dla którego organizacje sięgają po dedykowane narzędzia.

Mamy już ISO 27001 lub NIS2. Czy zaczynamy od zera?

Nie. DORA w dużej mierze pokrywa się z ISO 27001 i NIS2 w zakresie zarządzania ryzykiem ICT i obsługi incydentów. Większość platform compliance pozwala ponownie wykorzystać istniejące kontrole i dowody oraz odwzorować je na wymogi DORA, więc dodatkowa praca dotyczy elementów specyficznych dla DORA, takich jak testowanie odporności i Rejestr Informacji.

Czy jesteśmy zbyt mali, żeby DORA miała znaczenie?

DORA stosuje zasadę proporcjonalności, więc mniejsze podmioty stosują uproszczone ramy zarządzania ryzykiem ICT zamiast pełnego reżimu. Rozporządzenie nadal obowiązuje. Mikroprzedsiębiorstwa podlegają jego najlżejszej wersji, lecz obowiązki dotyczące rejestru i zgłaszania incydentów pozostają w mocy.

Objęty również przez NIS2? Zobacz nasze główne porównanie narzędzi →

Ta strona zawiera wskazówki praktyczne i nie stanowi porady prawnej.

Nie wiesz czy Twoja firma podlega KSC? Bezpłatny quiz zajmuje 2 minuty.

Zrób quiz →

Pobierz bezpłatny przewodnik NIS2

Dowędz się dokładnie co musisz zrobić przed 3 października 2026. Przewodnik krok po kroku dla polskich firm.

Bez spamu. Wypisz się w każdej chwili.

NIS2 v dalších zemích EU / NIS2 in other EU markets: