Sektor finansowy7 min czytania

Relacja KSC i rozporządzenia DORA — obowiązki sektora finansowego

Dwa reżimy regulacyjne

Sektor finansowy w Polsce podlega jednocześnie dwóm ramom regulacyjnym w zakresie cyberbezpieczeństwa: rozporządzeniu DORA (Digital Operational Resilience Act, rozporządzenie 2022/2554) oraz znowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa. DORA obowiązuje bezpośrednio jako rozporządzenie UE od 17 stycznia 2025 roku, natomiast ustawa o KSC transponuje dyrektywę NIS 2.

Zasada lex specialis derogat legi generali — DORA jako regulacja sektorowa ma pierwszeństwo przed ogólnymi przepisami KSC w zakresie, w jakim reguluje te same kwestie. Ustawa o KSC wprost potwierdza tę zasadę.

Wyłączenia dla podmiotów DORA

Podmioty finansowe podlegające rozporządzeniu DORA są wyłączone z części obowiązków ustawy o KSC, aby uniknąć podwójnej regulacji tych samych obszarów. Wyłączenia dotyczą przede wszystkim zarządzania ryzykiem ICT i zgłaszania incydentów — obszarów kompleksowo uregulowanych w DORA.

Obowiązek KSCStatus dla podmiotów DORA
Wdrożenie SZBI (art. 8)Częściowo wyłączony — większość art. 8 zastąpiona ramami DORA, ale art. 8 ust. 1 pkt 1 (szacowanie ryzyka) i pkt 2 lit. j (cyberhigiena) nadal obowiązują (art. 8i ust. 1)
Zgłaszanie incydentów poważnychWyłączony — zgłaszanie wg DORA do KNF
Audyt bezpieczeństwa co 3 lataWyłączony — testy odporności operacyjnej wg DORA
Odpowiedzialność kierownika i szkolenia (art. 8c-8f)Stosowane odpowiednio (art. 8i ust. 2) — szkolenie kierownika NIE jest wyłączone

Obowiązki pozostające w mocy

Mimo wyłączeń, podmioty finansowe podlegające DORA nadal muszą spełniać szereg obowiązków wynikających z ustawy o KSC. Wyłączenia nie obejmują rejestracji w wykazie, współpracy z CSIRT ani obowiązków związanych z dostawcą wysokiego ryzyka.

  • Rejestracja w wykazie podmiotów kluczowych lub ważnych przez system S46
  • Współpraca z właściwym CSIRT sektorowym
  • Stosowanie się do polecenia zabezpieczającego Ministra Cyfryzacji
  • Obowiązki wynikające z decyzji o dostawcy wysokiego ryzyka
  • Udział w krajowym mechanizmie wymiany informacji o cyberzagrożeniach
  • Poddanie się nadzorowi organu właściwego w zakresie niepokrytym przez DORA

Praktyczne wskazówki

Dla podmiotów finansowych kluczowe jest przeprowadzenie analizy luk (gap analysis) pomiędzy wymaganiami DORA a obowiązkami KSC, aby zidentyfikować obszary, w których muszą spełnić dodatkowe wymagania. Warto wyznaczyć jedną osobę lub zespół odpowiedzialny za koordynację zgodności z oboma regulacjami.

  1. Przeprowadź analizę luk: porównaj wymagania DORA z obowiązkami KSC.
  2. Zarejestruj podmiot w wykazie KSC przez system S46 — ten obowiązek nie jest wyłączony.
  3. Zidentyfikuj właściwy CSIRT sektorowy i nawiąż kontakt.
  4. Uwzględnij w polityce zarządzania dostawcami ICT wymogi KSC dot. dostawcy wysokiego ryzyka.
  5. Przygotuj procedurę reagowania na polecenie zabezpieczające Ministra Cyfryzacji.
  6. Koordynuj raportowanie — incydenty ICT do KNF (DORA), inne obowiązki do organu właściwego KSC.
Podmioty wymienione w art. 16 rozporządzenia DORA (np. mikroprzedsiębiorcy finansowi) mogą podlegać uproszczonym wymogom DORA, ale nie są automatycznie wyłączone z pełnych obowiązków KSC. Każdy przypadek wymaga indywidualnej analizy.
Spis treści
Dwa reżimy regulacyjne
Wyłączenia dla podmiotów DORA
Obowiązki pozostające w mocy
Praktyczne wskazówki
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.