Cykl o DORA zamykamy najbardziej praktycznym dla zarządów pytaniem: co grozi za naruszenie rozporządzenia 2022/2554? Materia rozłożona jest między art. 50 (kary administracyjne i środki naprawcze), art. 51 (zasady wykonywania uprawnień), art. 52 (sankcje karne) oraz — odrębnie — art. 35 (okresowe kary pieniężne wobec kluczowych zewnętrznych dostawców usług ICT). DORA przewiduje też publikację decyzji o karach (art. 54). Każdy z tych przepisów uruchamia inny mechanizm prawny i adresuje innych adresatów. Kontekstowo warto zestawić go z karami i nadzorem pod NIS2/KSC — szczególnie tam, gdzie obok KNF działa też organ właściwy ds. cyberbezpieczeństwa.
Kto może nakładać kary administracyjne?
Art. 50 ust. 1 DORA wyposaża właściwe organy w pełnię uprawnień nadzorczych, dochodzeniowych i sankcyjnych — konkretne wysokości kar regulują przepisy krajowe.
Zgodnie z art. 50 ust. 1 DORA: „Właściwe organy posiadają wszelkie uprawnienia do sprawowania nadzoru, prowadzenia dochodzeń i nakładania sankcji niezbędne do wykonywania swoich obowiązków wynikających z niniejszego rozporządzenia". Zgodnie z art. 50 ust. 3 DORA państwa członkowskie określają przepisy ustanawiające właściwe kary administracyjne — sankcje muszą być „skuteczne, proporcjonalne i odstraszające". W warunkach polskich konkretne kary za naruszenie DORA wynikają z przepisów krajowych (m.in. ustawy o nadzorze nad rynkiem finansowym i regulacji sektorowych — ustawy o usługach płatniczych, prawa bankowego, ustawy o obrocie instrumentami finansowymi, ustawy o kryptoaktywach).
Jakie konkretne uprawnienia ma organ nadzoru?
Art. 50 ust. 4 DORA wymienia minimalny katalog środków, jakie państwa członkowskie powierzają właściwym organom (lit. a–e).
- a) Wydanie nakazu zaprzestania postępowania naruszającego rozporządzenie i powstrzymania się od ponownego podejmowania.
- b) Wymaganie tymczasowego lub stałego zaprzestania wszelkiej praktyki sprzecznej z DORA.
- c) Podejmowanie wszelkiego rodzaju środków, w tym o charakterze pieniężnym, zapewniających dalsze przestrzeganie wymogów prawnych.
- d) Wymaganie udostępnienia istniejących rejestrów przesyłu danych będących w posiadaniu operatora telekomunikacyjnego.
- e) Wydanie publicznych ogłoszeń, w tym podanie do wiadomości publicznej tożsamości osoby naruszającej i charakteru naruszenia.
W naszej ocenie najpoważniejsze operacyjnie są lit. a–c — bo dają organowi nadzoru bezpośrednie narzędzia wpływu na działalność podmiotu finansowego.
Czy DORA przewiduje odpowiedzialność osobistą członków zarządu?
Tak — art. 50 ust. 5 DORA pozwala stosować kary administracyjne wobec członków organu zarządzającego oraz innych osób fizycznych odpowiedzialnych za naruszenie.
Pełne brzmienie: „W przypadku gdy ust. 2 lit. c) i ust. 4 mają zastosowanie do osób prawnych, państwa członkowskie powierzają właściwym organom uprawnienie do stosowania kar administracyjnych i środków naprawczych, z zastrzeżeniem warunków przewidzianych w prawie krajowym, wobec członków organu zarządzającego oraz innych osób fizycznych, które w świetle prawa krajowego ponoszą odpowiedzialność za naruszenie". To korelacja z art. 5 ust. 2 DORA, który nakłada „ostateczną odpowiedzialność za zarządzanie ryzykiem związanym z ICT" wprost na organ zarządzający.
Jakie kryteria bierze organ pod uwagę przy wymiarze kary?
Art. 51 ust. 2 DORA wymienia siedem kryteriów wymiaru kary administracyjnej (lit. a–g).
- a) Istotność i waga naruszenia oraz czas jego trwania
- Im poważniejsze i dłuższe naruszenie, tym wyższa kara.
- b) Stopień przyczynienia się osoby fizycznej lub prawnej do naruszenia
- Indywidualizacja odpowiedzialności w przypadku zbiegu sprawców.
- c) Sytuacja finansowa odpowiedzialnej osoby
- Kara musi być odczuwalna, ale proporcjonalna do możliwości finansowych.
- d) Skala korzyści uzyskanych lub strat unikniętych
- Eliminacja korzyści ekonomicznej z naruszenia.
- e) Straty poniesione przez osoby trzecie
- Uwzględnienie skutków zewnętrznych naruszenia.
- f) Poziom współpracy z właściwym organem
- Pełna współpraca z udokumentowanymi działaniami naprawczymi może łagodzić wymiar kary.
- g) Uprzednie naruszenia
- Recydywa zaostrza wymiar.
Czy DORA przewiduje sankcje karne?
DORA nie wprowadza unijnego reżimu sankcji karnych — pozostawia decyzję państwom członkowskim (art. 52 DORA).
Zgodnie z art. 52 ust. 1 DORA: „Państwa członkowskie mogą zadecydować o nieustanowieniu przepisów dotyczących kar administracyjnych lub środków naprawczych w odniesieniu do naruszeń, które podlegają sankcjom karnym na podstawie ich prawa krajowego". W polskim porządku prawnym DORA jest egzekwowana przede wszystkim w trybie sankcji administracyjnych, z możliwością równoległego stosowania przepisów karnych ogólnych.
Co z karami dla kluczowych zewnętrznych dostawców ICT?
Reżim sankcji wobec kluczowych zewnętrznych dostawców usług ICT jest odrębny — okresowa kara pieniężna do 1 % średniego dziennego światowego obrotu (art. 35 ust. 8 DORA).
Zgodnie z art. 35 ust. 8 DORA: „Kwota okresowej kary pieniężnej, naliczana od dnia określonego w decyzji nakładającej okresową karę pieniężną, wynosi maksymalnie 1 % średniego dziennego światowego obrotu kluczowego zewnętrznego dostawcy usług ICT w poprzedzającym roku obrotowym".
| Element kary z art. 35 DORA | Wartość / zasada |
|---|---|
| Maksymalna stawka dzienna | 1 % średniego dziennego światowego obrotu w poprzedzającym roku obrotowym |
| Okres naliczania | Za każdy dzień niezastosowania się, maksymalnie 6 miesięcy |
| Termin uruchomienia | Najwcześniej po 30 dniach kalendarzowych od powiadomienia o środkach |
| Charakter prawny | Administracyjny, podlega egzekucji wg prawa cywilnego państwa członkowskiego |
| Beneficjent | Budżet ogólny Unii Europejskiej (art. 35 ust. 9 DORA) |
Z naszej oceny dla globalnych dostawców chmurowych daje to sankcje rzędu kilkudziesięciu milionów euro na dzień — całkowicie wykraczające poza standard sankcji znanych dotychczas z dyrektywy NIS2 czy RODO. Dla porządku rekonstrukcyjnego warto zestawić to z obowiązkami zgłaszania incydentów, ramami zarządzania ryzykiem ICT oraz obowiązkami outsourcingowymi — większość naruszeń, które prowadzą do kar, dotyczy właśnie tych obszarów.
Czy decyzje o karach są publiczne?
Tak — art. 54 ust. 1 DORA wymaga publikacji decyzji o karach administracyjnych na oficjalnej stronie internetowej organu nadzoru.
Publikacja, zgodnie z art. 54 ust. 2 DORA, zawiera informacje o rodzaju i charakterze naruszenia oraz tożsamości osób odpowiedzialnych. Art. 54 ust. 3 DORA przewiduje wyjątki — w określonych sytuacjach (np. ryzyko dla stabilności rynków, dla ochrony danych osobowych) publikacja może być odroczona, zanonimizowana lub całkowicie pominięta. Publikacja ma być dostępna nie dłużej niż pięć lat (art. 54 ust. 6 DORA).
Co teraz zrobić?
W naszej ocenie z perspektywy zarządu instytucji finansowej w maju 2026 r. najważniejsze są trzy rzeczy:
- Dokończyć wdrożenie DORA — stosowanie rozporządzenia trwa od 17 stycznia 2025 r., a brak wdrożenia jest stanem ciągłego naruszenia.
- Udokumentować wszystko, co da się udokumentować — w postępowaniu przed organem nadzoru dokumentacja działań prewencyjnych i naprawczych jest istotnym czynnikiem łagodzącym (art. 51 ust. 2 DORA).
- Wbudować odpowiedzialność za DORA w strukturę zarządczą — uchwałami organu zarządzającego, macierzą RACI, regulaminem organu zarządzającego.
Cykl 18 wpisów o DORA zamykamy w tym miejscu. Jeżeli potrzebujesz wsparcia w jakimkolwiek z opisywanych obszarów — od identyfikacji zasobów ICT po przygotowanie się do postępowania nadzorczego KNF — w Legal Geek wspieramy fintechy, instytucje płatnicze i dostawców usług ICT we wdrożeniu DORA i utrzymaniu zgodności.
