Z kalendarzem DORA w sektorze finansowym wciąż mamy problem. Z naszego doświadczenia spotykamy się z dwiema typowymi pomyłkami: część podmiotów uważa, że DORA „dopiero ma wejść w życie", inne — że termin wdrożenia jeszcze nie nadszedł. Obie tezy są błędne. W tym wpisie zbieramy daty wynikające wprost z rozporządzenia 2022/2554 oraz najważniejsze konsekwencje praktyczne, jakie z nich wynikają na maj 2026 r.
Najważniejsze daty DORA
DORA przewiduje trzy etapy: przyjęcie aktu (14 grudnia 2022 r.), wejście w życie (16 stycznia 2023 r.) oraz początek stosowania (17 stycznia 2025 r.).
| Etap | Data | Podstawa prawna | Co to oznacza |
|---|---|---|---|
| Przyjęcie rozporządzenia | 14 grudnia 2022 r. | Tytuł aktu | Akt podpisany przez Parlament Europejski i Radę. |
| Publikacja w Dzienniku Urzędowym UE | 27 grudnia 2022 r. | Dz.U.UE.L.2022.333.1 | Treść opublikowana, biegnie 20-dniowy termin na vacatio legis. |
| Wejście w życie | 16 stycznia 2023 r. | art. 64 akapit pierwszy DORA | Akt formalnie obowiązuje, ale jeszcze nie jest stosowany operacyjnie. |
| Początek stosowania | 17 stycznia 2025 r. | art. 64 akapit drugi DORA | Wszystkie obowiązki rozporządzenia są egzekwowalne wobec podmiotów obowiązanych. |
Kiedy DORA została przyjęta i opublikowana?
DORA została przyjęta 14 grudnia 2022 r., a opublikowana w Dzienniku Urzędowym UE 27 grudnia 2022 r.
Pełna nazwa aktu to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego oraz zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz.U.UE.L.2022.333.1).
Kiedy DORA weszła w życie?
DORA weszła w życie 16 stycznia 2023 r. — dwadzieścia dni po publikacji w Dzienniku Urzędowym UE.
Zgodnie z art. 64 akapit pierwszy DORA: „Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej". Przy publikacji 27 grudnia 2022 r. oznacza to, że DORA weszła w życie 16 stycznia 2023 r. Wejście w życie nie oznacza jednak, że obowiązki z DORA są od tej daty stosowane.
Kiedy zaczęliśmy stosować DORA?
DORA jest stosowana od 17 stycznia 2025 r. — od tej daty wszystkie obowiązki rozporządzenia są egzekwowalne.
Zgodnie z art. 64 akapit drugi DORA: „Niniejsze rozporządzenie stosuje się od dnia 17 stycznia 2025 r.". Od 17 stycznia 2025 r. każdy podmiot z zakresu art. 2 DORA powinien już mieć wdrożone i działające ramy zarządzania ryzykiem ICT, procedury zgłaszania incydentów, plan testowania odporności i pełną mapę ekspozycji na zewnętrznych dostawców usług ICT.
Co to oznacza w praktyce w maju 2026 r.?
Termin stosowania DORA minął ponad rok temu — opóźnione wdrożenie stanowi stan ciągłego naruszenia egzekwowalnego przez krajowy organ nadzoru.
- Wymogi z DORA są egzekwowalne — rozporządzenie unijne stosuje się bezpośrednio i nie wymaga implementacji krajową ustawą.
- Krajowy organ nadzoru (w Polsce — KNF) może podjąć działania nadzorcze wobec podmiotu, który nie wdrożył DORA prawidłowo.
- W razie poważnego incydentu ICT brak procedury zgłoszenia z art. 19 DORA naraża na sankcje administracyjne (zob. artykuł 18 cyklu).
- Brak wymaganych postanowień umownych z art. 30 DORA w umowach z dostawcami ICT — najczęściej spotykana luka, zwłaszcza w obszarze outsourcingu ICT, i jednocześnie jedna z najtrudniejszych do nadrobienia, bo wymaga renegocjacji kontraktów.
Czy są terminy późniejsze niż 17 stycznia 2025 r.?
Tak — regulacyjne i wykonawcze standardy techniczne (RTS, ITS) wydawane przez EUN i Komisję są publikowane sukcesywnie i dookreślają zakres obowiązków DORA.
Część z nich była dopracowywana po dacie stosowania samego rozporządzenia. Z punktu widzenia podmiotu obowiązanego oznacza to, że ramy operacyjne DORA wciąż się dookreślają — i należy śledzić publikacje EBA, ESMA, EIOPA oraz Komisji Europejskiej. Niezależnie od stopnia dookreślenia RTS — sam rozporządzeniowy minimum z art. 5–45 DORA jest stosowany od 17 stycznia 2025 r. Dotyczy to także zaawansowanego testowania w trybie TLPT.
Co teraz zrobić?
W naszej ocenie podmiot, który dziś jest „w trakcie" wdrożenia DORA, powinien w pierwszej kolejności:
- Wykonać szybki audyt luk pod kątem art. 5, 6, 17, 24 i 28 DORA.
- Uzgodnić z dostawcami ICT minimalne aneksy kontraktowe odzwierciedlające art. 30 DORA.
- Udokumentować decyzję zarządu o przyjęciu strategii operacyjnej odporności cyfrowej (art. 5 ust. 2 DORA).
- Uruchomić rejestr poważnych incydentów ICT, nawet jeśli pierwszy incydent jeszcze nie wystąpił (art. 17 DORA).
W kolejnym artykule cyklu omawiamy zasadę proporcjonalności z art. 4 DORA — kluczową dla tych, którzy chcą skalować zakres wdrożenia do wielkości i ryzyka swojej organizacji.
Co dalej w cyklu?
- Wprowadzenie do DORA — kontekst rozporządzenia.
- Kogo dotyczy DORA — zakres podmiotowy art. 2.
- Zasada proporcjonalności — art. 4 DORA.
- Kary i sankcje za naruszenie DORA.
