Rozporządzenie DORA

Od 17 stycznia 2025 roku stosowane jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora  finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Rozporządzenie DORA), którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym. 

Rozporządzenie DORA zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej 14 grudnia 2022 r. Z dniem rozpoczęcia stosowania stanie się ono istotnym elementem krajobrazu  regulacyjnego cyberbezpieczeństwa na rynku finansowym.

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011
• Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011

W Dzienniku Urzędowym Unii Europejskiej zostały opublikowane akty wykonawcze związane z Rozporządzeniem DORA:

• Rozporządzenie delegowane Komisji (UE) 2024/1502 z dnia 22 lutego 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 przez określenie kryteriów wyznaczania zewnętrznych dostawców usług ICT jako mających kluczowe znaczenie dla podmiotów finansowych: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1502&qid=1720433556083
• Rozporządzenie delegowane Komisji (UE) 2024/1505 z dnia 22 lutego 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 przez określenie wysokości opłat nadzorczych pobieranych przez wiodący organ nadzorczy od kluczowych zewnętrznych dostawców usług ICT oraz sposobu uiszczania tych opłat: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1505&qid=1720433556083
• Rozporządzenie delegowane Komisji (UE) 2024/1772 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających kryteria klasyfikacji incydentów związanych z ICT i cyberzagrożeń, progi istotności i szczegółowe informacje dotyczące zgłaszania poważnych incydentów: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1772&qid=1720433556083
• Rozporządzenie delegowane Komisji (UE) 2024/1773 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych doprecyzowujących szczegółową treść polityki w zakresie ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1773&qid=1720433556083
• Rozporządzenie delegowane Komisji (UE) 2024/1774 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających narzędzia, metody, procesy i polityki zarządzania ryzykiem związanym z ICT oraz uproszczone ramy zarządzania ryzykiem związanym z ICT: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1774&qid=1720433556083
• Rozporządzenie wykonawcze Komisji (UE) 2024/2956 z dnia 29 listopada 2024 r. ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych wzorów na potrzeby rejestru informacji: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=OJ:L_202402956&qid=1733386591974
• Rozporządzenie delegowane Komisji (UE) 2025/295 z dnia 24 października 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych dotyczących harmonizacji warunków umożliwiających prowadzenie działań nadzorczych: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32025R0295
• Rozporządzenie Delegowane Komisji (UE) 2025/301 z dnia 23 października 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających treść i terminy przedłożenia wstępnego powiadomienia, sprawozdania śródokresowego i sprawozdania końcowego dotyczących poważnych incydentów związanych z ICT, a także treść dobrowolnego powiadomienia o znaczących cyberzagrożeniach: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=OJ:L_202500301
• Rozporządzenie wykonawcze Komisji  (UE) 2025/302 z dnia 23 października 2024 r. ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych formularzy, wzorów i procedur stosowanych przez podmioty finansowe do celów zgłaszania poważnych incydentów związanych z ICT i powiadamiania o znaczących cyberzagrożeniach: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=OJ:L_202500302
• Rozporządzenie delegowane Komisji (UE) 2025/532 z dnia 24 marca 2025 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających elementy, które podmiot finansowy musi określić i ocenić, zlecając podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32025R0532&qid=1752062099861
• Rozporządzenie delegowane Komisji (UE) 2025/1190 z dnia 13 lutego 2025 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających kryteria stosowane do identyfikacji podmiotów finansowych zobowiązanych do przeprowadzania testów penetracyjnych pod kątem wyszukiwania zagrożeń, wymogi i standardy regulujące korzystanie z testerów wewnętrznych, wymogi dotyczące zakresu, metodyki testowania i podejścia dla każdego etapu procesu testowania oraz etapów testów odnoszących się do wyników, zamykania i środków naprawczych, a także rodzaj współpracy w zakresie nadzoru i inne odpowiednie rodzaje współpracy potrzebne do przeprowadzenia TLPT i do ułatwienia wzajemnego uznawania: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32025R1190

Niezależnie od publikowanych w Dzienniku Urzędowym Unii Europejskiej aktów wykonawczych do Rozporządzenia DORA, na stronach Europejskich Urzędów Nadzoru zostały opublikowane wytyczne związane z Rozporządzeniem DORA: 

• Wspólne wytyczne dotyczące współpracy w zakresie nadzoru i wymiany informacji między Europejskimi Urzędami Nadzoru a właściwymi organami na podstawie rozporządzenia (UE) 2022/2554 z 6 listopada 2024 roku (JC/GL/2024/36): https://www.esma.europa.eu/sites/default/files/2024-11/JC-GL-2024-36_Guidelines_on_DORA_oversight_cooperation_PL.pdf

Opublikowane akty wykonawcze oraz wytyczne i inne materiały uzupełniają przepisy Rozporządzenia DORA, a także mają istotne znaczenie w zakresie dostosowania działalności podmiotów finansowych do wymogów tego Rozporządzenia. Mając na uwadze przybliżenie tematyki związanej z Rozporządzeniem DORA na tej stronie publikowane będą materiały informacyjne i edukacyjne. 

W przypadku pytań prosimy o kontakt:

• na adres: konsultacje.dora@knf.gov.pl