DORA – Lipcowe obowiązki dla sektora finansowego. Co musisz zrobić, aby nie narazić się na ryzyko?

Przełomowe zmiany w zarządzaniu relacjami z dostawcami ICT: lipiec 2025

08 lipca 2025

Lipcowe zmiany wynikające z Rozporządzenia DORA (Digital Operational Resilience Act) wyznaczają nowy standard podejścia do nadzoru nad dostawcami usług ICT. Dla instytucji finansowych, ubezpieczeniowych, fintechów, domów maklerskich i innych podmiotów nadzorowanych oznacza to wejście w finalną fazę obowiązkowego przeglądu oraz dostosowania wszystkich umów outsourcingowych i rejestrów ICT.

1. Nowy wymiar odpowiedzialności – nie tylko rejestr, ale i treść umów

KNF oraz europejskie wytyczne wymagają, aby od lipca 2025 r. każda instytucja posiadała:

aktualny rejestr wszystkich dostawców i podwykonawców usług ICT (obejmujący zarówno funkcje krytyczne, jak i istotne),
w pełni przejrzane i dostosowane umowy outsourcingowe – z kluczowymi klauzulami zgodnymi z DORA, dotyczącymi m.in. SLA, audytu, zarządzania incydentami, lokalizacji danych, możliwości przejęcia usługi, exit planów, podwykonawstwa oraz transparentności łańcucha dostaw.

Brak pełnej zgodności nie tylko grozi sankcjami finansowymi, ale może oznaczać podważenie modelu biznesowego lub ograniczenie ekspozycji na rynku finansowym.

2. Jakie są kluczowe działania do podjęcia?

a) Przegląd wszystkich umów ICT: Firmy muszą zidentyfikować całość umów (nie tylko outsourcingowych, ale i wsparcia, hostingu, cloud, software as a service) oraz przypisać każdej funkcji krytyczność zgodnie z własną analizą wpływu na ciągłość działania.

b) Analiza luk względem DORA: Każda umowa powinna przejść audyt klauzul dotyczących:

reagowania na incydenty,
praw audytowych i kontroli nad podwykonawcami,
możliwości natychmiastowego dostępu do danych,
warunków wypowiedzenia, migracji usług, exit planu,
przejrzystości warunków SLA i monitorowania wydajności.

c) Renegocjacje/aneksowanie umów: Jeżeli brakuje wymaganych klauzul, organizacja powinna pilnie podjąć rozmowy z dostawcami w celu wdrożenia zmian.

d) Wdrożenie procesu ciągłego przeglądu: Od lipca 2025 r. obowiązek ten staje się cykliczny – instytucje muszą udowodnić nadzorcy, że regularnie aktualizują zarówno rejestr, jak i treść umów oraz reagują na zmiany w łańcuchu dostaw.

3. Pułapki i wyzwania praktyczne

Niedoszacowanie liczby umów – częstym błędem jest nieuwzględnienie umów SaaS, cloud lub umów wsparcia realizowanych przez podwykonawców.
Niejasność definicji „funkcji krytycznej” – rekomendujemy podejście risk-based oraz konsultacje z compliance.
Brak jednoznacznych procedur migracyjnych (exit plan) – często zaniedbywany wymóg, który w przypadku awarii lub sporów ma kluczowe znaczenie.
Ryzyko opóźnień po stronie dostawców globalnych – warto przewidzieć rezerwę czasową na negocjacje z vendorami zagranicznymi.

4. Co rekomendujemy?

W ciągu lipca 2025: zidentyfikuj wszystkie umowy i przypisz im funkcję (krytyczna/istotna/pozostała).
Do końca miesiąca: przeprowadź audyt klauzul DORA w każdej umowie.
Do sierpnia: wyślij aneksy/rozpocznij renegocjacje z dostawcami, jeśli wykryto braki.
Zintegruj rejestr ICT z systemem zarządzania ryzykiem (GRC lub inne narzędzie).
Szkolenia: przeprowadź dedykowane szkolenia dla działów compliance, IT i zakupów.
Dokumentuj: prowadź pełną ścieżkę dokumentacyjną – procesy, decyzje, uzasadnienia, komunikację z dostawcami.
Raportuj: przygotuj się na pytania lub kontrolę KNF dotyczące sposobu wdrożenia nowych obowiązków DORA.

5. Podsumowanie:

Lipcowe obowiązki DORA to nie tylko kolejny etap sprawozdawczości, ale przede wszystkim konieczność przejścia z compliance „papierowego” na realne, operacyjne zarządzanie łańcuchem ICT. To niepowtarzalna szansa na wzmocnienie odporności organizacji i przetestowanie jej procesów – zarówno pod kątem zgodności, jak i efektywności działania.Warto potraktować ten moment jako „compliance stress-test”, który pozwoli uniknąć poważnych ryzyk w przyszłości.

office@kwiatkowskicompany.com

Spectrum Tower

ul. twarda 18,

00-105 Warszawa