Czy Twoja organizacja jest gotowa na DORA? Checklista compliance na 2026 rok

Od 17 stycznia 2025 r. unijne rozporządzenie DORA (Digital Operational Resilience Act, Rozporządzenie (UE) 2022/2554) obowiązuje w całej Unii Europejskiej, w tym w Polsce. Dla wielu instytucji finansowych i dostawców usług ICT był to moment przejścia z fazy przygotowań do realnej odpowiedzialności regulacyjnej. Rok 2026 będzie pierwszym pełnym rokiem funkcjonowania rynku w warunkach „po DORA” – z kontrolami, oceną dojrzałości i rosnącymi oczekiwaniami nadzorczymi.

To dobry moment, by zadać sobie pytanie: czy Twoja organizacja faktycznie jest gotowa na DORA, czy tylko „formalnie zgodna”?

Rozporządzenie DORA jest aktem prawa unijnego o bezpośrednim zastosowaniu. Nie wymaga transpozycji do prawa krajowego, ale jego egzekwowaniem w Polsce zajmuje się m.in. Komisja Nadzoru Finansowego (KNF). Zakres podmiotowy obejmuje nie tylko banki, ubezpieczycieli czy firmy inwestycyjne, lecz także wiele fintechów oraz – co szczególnie istotne – kluczowych i istotnych dostawców usług ICT współpracujących z sektorem finansowym.

Na poziomie unijnym ramy DORA zostały doprecyzowane przez regulacyjne standardy techniczne (RTS i ITS) opracowane przez europejskie organy nadzorcze (EBA, ESMA, EIOPA). W 2026 r. nadzór nie będzie już koncentrował się na pytaniu „czy wdrożyliście DORA?”, lecz raczej „jak skutecznie ono działa w praktyce”.

Jednym z najczęstszych błędów obserwowanych przez regulatorów jest redukowanie DORA do projektu compliance lub IT. Tymczasem rozporządzenie DORA dotyczy operacyjnej odporności cyfrowej całej organizacji – od zarządu, przez procesy biznesowe, aż po relacje z podmiotami trzecimi.

W 2026 r. kluczowe pytanie brzmi: czy Twoja organizacja potrafi utrzymać ciągłość krytycznych usług finansowych nawet w warunkach poważnych incydentów ICT?

Choć DORA nie narzuca jednej „oficjalnej checklisty”, praktyka nadzorcza i treść rozporządzenia pozwalają wskazać kilka obszarów, które w 2026 r. będą pod szczególną lupą.

Po pierwsze, zarządzanie ryzykiem ICT. Organizacja musi posiadać spójne ramy zarządzania ryzykiem obejmujące identyfikację, klasyfikację i ograniczanie ryzyk związanych z systemami informatycznymi. Nie chodzi wyłącznie o polityki – regulatorzy oczekują dowodów, że ryzyko ICT jest realnie monitorowane, raportowane do zarządu i integrowane z ogólnym systemem zarządzania ryzykiem.

Po drugie, zarządzanie incydentami i raportowanie. DORA wprowadza jednolite wymogi raportowania poważnych incydentów ICT do organów nadzoru. W 2026 r. nie wystarczy mieć procedurę „na papierze”. Kluczowe będzie to, czy organizacja potrafi szybko sklasyfikować incydent, ocenić jego istotność oraz przekazać kompletne i terminowe zgłoszenie – zgodnie z wymogami RTS. KNF już sygnalizuje, że jakość raportów będzie jednym z mierników dojrzałości.

Po trzecie, testowanie odporności cyfrowej. DORA wymaga regularnych testów – od podstawowych testów podatności po zaawansowane testy oparte na scenariuszach zagrożeń. W 2026 r. nadzór będzie oceniał, czy testy są adekwatne do profilu ryzyka organizacji, a ich wyniki faktycznie prowadzą do usprawnień, a nie lądują w szufladzie.

Po czwarte, zarządzanie dostawcami ICT. To jeden z najbardziej wymagających obszarów DORA. Organizacje muszą mieć pełną wiedzę o swoich zależnościach od podmiotów trzecich, odpowiednie zapisy umowne oraz mechanizmy monitorowania ryzyka koncentracji. Warto pamiętać, że DORA daje organom unijnym możliwość bezpośredniego nadzoru nad kluczowymi dostawcami ICT, co w 2026 r. zacznie mieć realne konsekwencje rynkowe.

DORA jednoznacznie przypisuje odpowiedzialność za odporność cyfrową organom zarządzającym. W praktyce oznacza to, że w 2026 r. brak zaangażowania zarządu nie będzie już traktowany jako „problem operacyjny”, lecz jako naruszenie obowiązków nadzorczych.

Zarząd powinien nie tylko zatwierdzać polityki, ale także rozumieć kluczowe ryzyka ICT, regularnie otrzymywać raporty i podejmować decyzje inwestycyjne wspierające odporność cyfrową. To obszar, w którym KNF może oczekiwać bardzo konkretnych dowodów – protokołów, decyzji i działań następczych.

Na przełomie 2025 i 2026 r. coraz więcej organizacji decyduje się na kompleksową ocenę dojrzałości DORA, obejmującą zarówno wymagania regulacyjne, jak i faktyczne zdolności operacyjne. W praktyce często oznacza to korzystanie z wyspecjalizowanych platform i narzędzi wspierających zarządzanie compliance i ryzykiem ICT, takich jak rozwiązania oferowane przez Copla, które umożliwiają centralne podejście do wymagań regulacyjnych i ich bieżące monitorowanie.

W 2026 r. DORA będzie funkcjonować równolegle z innymi ramami prawnymi, takimi jak NIS2 czy RODO. Choć zakresy tych regulacji częściowo się pokrywają, DORA ma wyraźnie sektorowy charakter i pierwszeństwo w obszarze usług finansowych. Organizacje, które próbują „podpiąć” DORA pod istniejące wdrożenia bez analizy luk, narażają się na ryzyko niezgodności.

Rok 2026 będzie testem praktycznej skuteczności DORA. Organizacje, które potraktowały rozporzadzenie DORA jako jednorazowy projekt, mogą boleśnie odczuć zderzenie z rzeczywistością nadzorczą. Te, które zbudowały realną odporność cyfrową, zyskają nie tylko spokój regulacyjny, ale i przewagę konkurencyjną.

Pytanie nie brzmi już, czy DORA obowiązuje. Pytanie brzmi: czy Twoja organizacja jest gotowa żyć z DORA na co dzień?