Cyberbezpieczeństwo | Prawo i regulacje | Z rynku finansowego

Doświadczenia z wdrażania rozporządzenia DORA przez banki komercyjne w Polsce: dobre praktyki, wyzwania i rekomendacje

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Doświadczenia z wdrażania rozporządzenia DORA przez banki komercyjne w Polsce: dobre praktyki, wyzwania i rekomendacje
Fot. stock.adobe.com / dmutrojarmolinua
W czwartek 26 marca 2026 r. odbył się 108. webinar PAB WIB dotyczący omówienia raportu „Doświadczenia z wdrażania Rozporządzenia DORA przez banki komercyjne w Polsce: dobre praktyki, wyzwania i rekomendacje”, opracowanego w ramach PAB WIB przez prof. UEP dr. hab. Krzysztofa Waliszewskiego, dr. Michała Nowakowskiego oraz dr. Marcina Idzika. Relacja Agnieszki Nierodki.

Otwierając spotkanie prof. UEP dr hab. Krzysztof Waliszewski podkreślił, że głównym celem prezentowanego raportu było przedstawienie stanu przygotowania banków komercyjnych w Polsce do wdrożenia DORA, identyfikacja głównych wyzwań i najlepszych praktyk wdrożeniowych.

Co do zasady, celem DORA było zwiększenie odporności cyfrowej podmiotów finansowych i całego ekosystemu finansowego dla ograniczania skali incydentów, które mogą przełożyć się na stabilność instytucji i ich wyniki finansowe.

Kluczowa definicja w kontekście DORA to cyfrowa odporność operacyjna, rozumiana jako zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej integralności operacyjnej z technologicznego punktu widzenia przez zapewnianie, bezpośrednio albo pośrednio, pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość, w tym w trakcie zakłóceń. 

W katalogu DORA wskazano aż 19 grup usług, które są objęte zakresem rozporządzenia – obejmują one pełny łańcuch wartości ICT: dane sieci, sprzęt, analitykę i usługi eksperckie. 

Niepewność regulacyjna utrudniała wdrożenie rozporządzenia DORA

W dalszej części webinaru zwrócono uwagę, że z perspektywy banków DORA ma przede wszystkim charakter regulacji adaptacyjnej i harmonizującej, a nie rewolucyjnej.

Ten wątek wybrzmiał szczególnie mocno w części poświęconej kontekstowi regulacyjnemu, prezentowanej przez dr. Michała Nowakowskiego. Podkreślono, że badane instytucje nie traktowały wdrożenia nowych wymogów jako konieczności budowy całkowicie nowych systemów od podstaw, lecz raczej jako proces uporządkowania, ujednolicenia i lepszego udokumentowania już istniejących rozwiązań z zakresu zarządzania ryzykiem ICT.

Jednocześnie wskazano, że trudność wdrożenia nie wynikała głównie z samej technologii, lecz z otoczenia regulacyjnego: opóźnień w publikacji aktów delegowanych, zmienności standardów wykonawczych oraz niejasności interpretacyjnych, które utrudniały spokojne planowanie i operacjonalizację nowych obowiązków.

Ten właśnie wątek niepewności regulacyjnej stał się jedną z najważniejszych osi całego webinaru. Prelegenci podkreślali, że ewentualne opóźnienia po stronie banków miały przede wszystkim charakter zewnętrzny, a nie organizacyjny.

Innymi słowy, sektor co do zasady był przygotowany na nowe wymogi i traktował DORA priorytetowo jeszcze przed formalnym początkiem stosowania rozporządzenia, jednak tempo prac komplikowały przesuwające się i doprecyzowywane oczekiwania regulacyjne, w rezultacie czego wysoka formalna zgodność nie oznacza jeszcze pełnej dojrzałości operacyjnej.

Przygotowanie sektora bankowego do regulacji DORA – zarządzania ryzykiem ICT

Najbardziej praktyczna część webinaru dotyczyła wyników badania empirycznego, prezentowanych przez dr. Marcina Idzika. Z badania przeprowadzonego techniką CAWI wyłaniał się obraz sektora, który jest dobrze przygotowany organizacyjnie, ale rozwija się nierównomiernie w poszczególnych obszarach objętych DORA.

Najwyższy poziom dojrzałości banki osiągnęły tam, gdzie już wcześniej funkcjonowały rozbudowane rozwiązania regulacyjne i procesowe, zwłaszcza w zakresie podstawowego zarządzania ryzykiem ICT oraz zgłaszania i obsługi incydentów.

To właśnie obszar incydentowy należy dziś do najlepiej rozwiniętych elementów wdrożenia DORA, ponieważ łączy formalne procedury z praktycznymi mechanizmami raportowania i analizy zdarzeń.

Rys. Ocena dostosowania banków do obszarów regulacji DORA:

grafika , Rys. Ocena dostosowania banków do obszarów regulacji DORA
Źródło: Waliszewski K., Nowakowski M., Idzik M., Doświadczenia z wdrażania Rozporządzenia DORA przez banki komercyjne w Polsce: dobre praktyki, wyzwania i rekomendacje, Sygn. PAB/WIB 5/2026, s. 38.

Rola kluczowych dostawców ICT

Dużo bardziej zróżnicowany obraz pojawił się natomiast w odniesieniu do testowania odporności cyfrowej oraz zarządzania ryzykiem stron trzecich. Jak wynika z przeprowadzonej ankiety, banki osiągnęły już relatywnie wysoki poziom wdrożenia testów odporności, jednak nadal widoczne są luki w ich systematyczności, wykorzystaniu wyników oraz włączaniu kluczowych dostawców ICT do tego procesu.

Podobnie w obszarze zarządzania dostawcami można mówić o wysokim poziomie dostosowania formalnego, ale nie o pełnej dojrzałości operacyjnej. Szczególne trudności dotyczą bardziej zaawansowanych elementów współpracy z dostawcami, takich jak strategie wyjścia, bieżący monitoring relacji czy zapewnienie odporności w całym łańcuchu dostaw.

Prawdziwym testem dla sektora bankowego stało się nie samo zapisanie wymogów w politykach i procedurach, lecz ich trwałe zakorzenienie w praktyce działania.

Nie tylko wdrożenie – niezbędne jest długofalowe utrzymanie kompetencji i zaangażowania menedżerów

Bardzo mocno wybrzmiał także problem zasobów oraz kompetencji: banki posiadały zasoby wystarczające do rozpoczęcia i prowadzenia projektu dostosowawczego, ale nie zawsze były to zasoby stabilne, jednolite i odpowiednio wyskalowane.

DORA unaoczniła tym samym, że dla skutecznego wdrożenia liczy się nie tylko samo posiadanie specjalistów, lecz także zdolność długofalowego utrzymania kompetencji oraz ich rozszerzania poza wyspecjalizowane zespoły.

Podkreślić należy, że wiedza o DORA pozostaje w wielu instytucjach skoncentrowana głównie w jednostkach odpowiedzialnych za IT, cyberbezpieczeństwo, ryzyko czy compliance, podczas gdy regulacja ta wymaga znacznie szerszego zaangażowania menedżerów i jednostek biznesowych.

W tym sensie wdrożenie DORA zostało przedstawione nie jako zadanie jednego departamentu, ale jako projekt przekrojowy, angażujący całą organizację.

Nadzór wspierał sektor bankowy i dostawców ICT

Kolejnym ważnym wątkiem była relacja sektora z organami nadzorczymi. Przeprowadzona analiza sugeruje, że nadzór aktywnie wspierał proces dostosowawczy, zarówno po stronie banków, jak i dostawców ICT.

Jednocześnie wyniki badania skłaniają do wniosków, że współpraca ta bywała odbierana jako niewystarczająco wspierająca operacyjnie.

Banki oczekiwały przede wszystkim większej jednoznaczności interpretacyjnej, lepszej komunikacji oraz bardziej przewidywalnych mechanizmów odpowiedzi na pojawiające się pytania. Dalsze dojrzewanie sektora w ramach DORA wymaga nie tyle zaostrzania wymogów, ile raczej stabilnego i czytelnego otoczenia wdrożeniowego.

Czego banki oczekują od dostawców ICT?

Jednym z największych oczekiwań banków wobec rynku dostawców ICT jest większa elastyczność negocjacyjna oraz standaryzacja warunków współpracy.

Nie chodzi zatem wyłącznie o gotowość dostawcy do spełnienia formalnych wymogów DORA, lecz także o zdolność funkcjonowania w nowym modelu odpowiedzialności, w którym bezpieczeństwo, ciągłość działania, raportowanie i odporność cyfrowa stają się wspólnym zadaniem całego ekosystemu.

To właśnie dlatego wśród rekomendacji tak mocno akcentowano potrzebę budowania wspólnych standardów umownych i operacyjnych oraz traktowania odporności cyfrowej jako odpowiedzialności systemowej, a nie wyłącznie indywidualnego obowiązku pojedynczego banku.

Rekomendacje dla wdrażania rozporządzenia DORA przez banki komercyjne w Polsce

Omawiając kluczowe wyzwania wdrożeniowe, prof. Krzysztof Waliszewski wskazał przede wszystkim na konieczność integracji wymogów DORA z już istniejącymi systemami zarządzania ryzykiem ICT, co oznacza potrzebę ich przebudowy i porządkowania, a nie prostego dopisywania nowych obowiązków.

Drugim dużym wyzwaniem pozostaje zarządzanie ryzykiem stron trzecich, szczególnie w warunkach rosnącego outsourcingu i szerokiego wykorzystywania rozwiązań chmurowych.

Trzecim obszarem jest zapewnienie odporności operacyjnej w całym łańcuchu dostaw, ponieważ DORA obejmuje nie tylko sam bank, ale cały otaczający go ekosystem technologiczny.

Czwarty problem ma charakter organizacyjny i kompetencyjny, a piąty dotyczy kosztów wdrożenia, obejmujących technologie, testy, audyty i zmiany organizacyjne.

Czytaj także: CSIRT KNF podsumował cyberbezpieczeństwo na rynku finansowym w 2025 roku

Dobre praktyki wdrażania regulacji DORA

Na tle tych wyzwań szczególnie interesująco wypadła część poświęcona dobrym praktykom. Autorzy raportu podkreślili, że skuteczne wdrażanie DORA nie opiera się na jednym narzędziu ani jednej decyzji organizacyjnej, ale na spójnym, długofalowym podejściu.

Wśród rekomendowanych praktyk wymieniono korzystanie z dostępnych standardów branżowych i narzędzi RegTech zamiast budowania wszystkiego od podstaw, uporządkowanie danych i wzmocnienie data governance, prowadzenie cyklicznych testów odporności opartych na realistycznych scenariuszach, powiązanie wyników testów z działaniami naprawczymi oraz trwałe osadzenie DORA w systemie zarządzania ryzykiem i ciągłości działania.

Mocno akcentowano również potrzebę przeprowadzania analiz luk, mapowania wymagań na procesy, współpracy między IT, ryzykiem, compliance i biznesem, a także standaryzacji relacji z dostawcami ICT.

Biorąc pod uwagę powyższe, prelegenci przedstawili rekomendacje dla trzech grup interesariuszy: banków, regulatorów i dostawców ICT.

W odniesieniu do sektora bankowego podkreślono potrzebę traktowania DORA jako trwałego programu organizacyjnego, wzmacniania spójności zarządzania ryzykiem ICT i ryzykiem dostawców, rozszerzania kompetencji poza zespoły specjalistyczne oraz koncentracji na testowaniu odporności end-to-end z udziałem kluczowych partnerów technologicznych.

W odniesieniu do regulatorów akcent padł na wcześniejsze i bardziej jednoznaczne wytyczne interpretacyjne, ograniczenie zmian standardów sprawozdawczych w trakcie cyklu wdrożeniowego i wzmocnienie operacyjnego dialogu z sektorem.

Z kolei wobec dostawców ICT sformułowano oczekiwanie większej standaryzacji współpracy i lepszego dostosowania do potrzeb instytucji regulowanych.

DORA w polskim i europejskim sektorze bankowym

W kolejnej części webinaru, prof. dr hab. Ewa Miklaszewska (UEK), osadziła polskie doświadczenia w szerokim kontekście zmian zachodzących w całym europejskim sektorze bankowym.

W swoim wystąpieniu zwróciła uwagę, że ryzyko technologiczne i cyberbezpieczeństwo stały się jednym z głównych filarów odporności operacyjnej instytucji finansowych.

Współczesne zagrożenia mają coraz bardziej systemowy charakter, a ich znaczenie rośnie wraz z postępującą cyfryzacją, wzrostem złożoności operacyjnej banków oraz nasilającymi się współzależnościami pomiędzy różnymi kategoriami ryzyka.

W tym ujęciu, jednym z najważniejszych osiągnięć DORA jest harmonizacja rozproszonych wcześniej ram nadzorczych i stworzenie bardziej spójnego, ogólnounijnego podejścia do odporności cyfrowej.

Dzięki temu zarządzanie ryzykiem ICT przestaje być traktowane wyłącznie jako domena specjalistów IT, a staje się obszarem strategicznym, bezpośrednio powiązanym z odpowiedzialnością kierownictwa banku, stabilnością operacyjną oraz zdolnością do utrzymania ciągłości świadczenia usług finansowych.

Z perspektywy europejskiej największe problemy dotyczą wysokich kosztów zgodności, złożoności nadzoru nad dostawcami zewnętrznymi, nakładania się obowiązków regulacyjnych, niedoboru specjalistów oraz ryzyka nadmiernie formalnego podejścia do odporności operacyjnej.

Po tym szerokim, wprowadzeniu prelegenci przeszli do doświadczeń konkretnego banku komercyjnego działającego na rynku polskim.

Wystąpienie Anny Mrugały-Stefańskiej (Head of COO Governance, mBank) podkreśliło cztery zasadnicze problemy, z którymi banki mierzyły się podczas implementacji DORA: niejasności interpretacyjne, zbyt późne publikowanie standardów wykonawczych RTS i ITS, złożone relacje z dostawcami ICT oraz niewystarczająco aktywne wsparcie ze strony regulatora.

Ujęcie to dobrze pokazywało, że największym ciężarem wdrożenia nie była sama strona technologiczna, lecz funkcjonowanie w warunkach znacznej niepewności regulacyjnej, która generowała realne koszty organizacyjne, wydłużała proces dostosowawczy i utrudniała planowanie działań.

W części rekomendacyjnej szczególnie mocno wybrzmiały postulaty dotyczące stworzenia swoistego „sandboxu” interpretacyjnego, bardziej aktywnej postawy regulatora, intensywniejszej wymiany doświadczeń między instytucjami oraz budowy branżowego zaplecza do rozstrzygania praktycznych wątpliwości.

Wymowne było również stwierdzenie, że „lessons learned” powinny być obowiązkiem, a nie opcją, co dobrze oddawało przekonanie, że zgodność z DORA nie jest jednorazowym projektem, lecz długofalowym procesem uczenia się całej organizacji i całego sektora.

Władysław Hydzik (Head of IT Risk, BNP Paribas Bank Polska) wskazał, co zmieniło się w praktyce działania banku w rezultacie wdrożenia DORA. Podkreślił między innymi nową metodę identyfikacji usług wspierających krytyczne lub istotne funkcje, zmiany w zakresie i częstotliwości testów bezpieczeństwa, testów TLPT i testów ciągłości działania, nowe kryteria klasyfikacji incydentów oraz nowe ramy zarządzania ryzykiem ICT.

Jednocześnie, wskazano na główne bariery procesu wdrożeniowego – były nimi niepewność interpretacyjna, trudne relacje z dostawcami, zwłaszcza globalnymi, oraz problemy związane ze sprawozdawczością.

Prelegent opisał przy tym przejście od wcześniejszego modelu regulacyjnego opartego bardziej na regułach do podejścia opartego na zasadach, w którym organizacja musi samodzielnie interpretować bardziej ogólne wymogi jakościowe.

To właśnie ta zmiana, a nie sama technologia, generowała potrzebę angażowania ekspertów zewnętrznych, wydłużała proces dostosowania i zwiększała jego koszty.

Pełny zapis webinaru jest możliwy do odtworzenia na stronie www.pabwib.pl  

Agnieszka Nierodka, ZBP
Agnieszka Nierodkaekonomistka, doradca zarządu w Zespole Badań i Analiz Związku Banków Polskich. Specjalizuje się w zagadnieniach dotyczących rozwoju rynku hipotecznego i nieruchomości, refinansowania kredytów hipotecznych, ochrony konsumenta oraz prawa europejskiego. Posiada bogate doświadczenie jako prelegent i trener dla sektora bankowego i deweloperskiego oraz jako autorka publikacji na temat rozwoju bankowości hipotecznej i rynku listów zastawnych w Polsce i UE, ochrony konsumenta hipotecznego oraz efektywności obowiązków informacyjnych wobec konsumenta. Od ponad 15 lat zapewnia wsparcie w zakresie badań statystycznych i problemów legislacyjnych grupom roboczym przy Europejskiej Federacji Hipotecznej w Brukseli.
Źródło: Portal Finansowy BANK.pl