Sektor finansowy7 min czytania

KSC a DORA — obowiązki sektora finansowego

Dwa reżimy regulacyjne

Sektor finansowy w Polsce podlega jednocześnie dwóm ramom regulacyjnym w zakresie cyberbezpieczeństwa: rozporządzeniu DORA (Digital Operational Resilience Act, rozporządzenie 2022/2554) oraz znowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa. DORA obowiązuje bezpośrednio jako rozporządzenie UE od 17 stycznia 2025 roku, natomiast ustawa o KSC transponuje dyrektywę NIS 2. Porównanie KSC z innymi regulacjami znajdziesz także w artykule o różnicach między KSC a RODO.

Zasada lex specialis derogat legi generali — DORA jako regulacja sektorowa ma pierwszeństwo przed ogólnymi przepisami KSC w zakresie, w jakim reguluje te same kwestie. Ustawa o KSC wprost potwierdza tę zasadę.

Wyłączenia dla podmiotów DORA

Podmioty finansowe podlegające rozporządzeniu DORA są wyłączone z części obowiązków ustawy o KSC, aby uniknąć podwójnej regulacji tych samych obszarów. Zakres wyłączeń zależy m.in. od tego, czy podmiot jest klasyfikowany jako podmiot kluczowy czy ważny. Wyłączenia dotyczą przede wszystkim zarządzania ryzykiem ICT i zgłaszania incydentów — obszarów kompleksowo uregulowanych w DORA.

Obowiązek KSCStatus dla podmiotów DORA
Wdrożenie SZBI (art. 8)Częściowo wyłączony — większość art. 8 zastąpiona ramami DORA, ale art. 8 ust. 1 pkt 1 (szacowanie ryzyka) i pkt 2 lit. j (cyberhigiena) nadal obowiązują (art. 8i ust. 1)
Zgłaszanie incydentów poważnychWyłączony — zgłaszanie wg DORA do KNF
Audyt bezpieczeństwa co 3 lataWyłączony — testy odporności operacyjnej wg DORA
Odpowiedzialność kierownika i szkolenia (art. 8c-8f)Stosowane odpowiednio (art. 8i ust. 2) — szkolenie kierownika NIE jest wyłączone

Obowiązki pozostające w mocy

Mimo wyłączeń, podmioty finansowe podlegające DORA nadal muszą spełniać szereg obowiązków wynikających z ustawy o KSC. Wyłączenia nie obejmują rejestracji w wykazie, współpracy z CSIRT ani obowiązków związanych z dostawcą wysokiego ryzyka.

  • Rejestracja w wykazie podmiotów kluczowych lub ważnych przez system S46
  • Współpraca z właściwym CSIRT sektorowym
  • Stosowanie się do polecenia zabezpieczającego Ministra Cyfryzacji
  • Obowiązki wynikające z decyzji o dostawcy wysokiego ryzyka
  • Udział w krajowym mechanizmie wymiany informacji o cyberzagrożeniach
  • Poddanie się nadzorowi organu właściwego w zakresie niepokrytym przez DORA

Praktyczne wskazówki

Dla podmiotów finansowych kluczowe jest przeprowadzenie analizy luk (gap analysis) pomiędzy wymaganiami DORA a obowiązkami KSC, aby zidentyfikować obszary, w których muszą spełnić dodatkowe wymagania. Podmioty z sektora energetycznego i innych sektorów mają inne profile obowiązków. Warto wyznaczyć jedną osobę lub zespół odpowiedzialny za koordynację zgodności z oboma regulacjami.

  1. Przeprowadź analizę luk: porównaj wymagania DORA z obowiązkami KSC.
  2. Zarejestruj podmiot w wykazie KSC przez system S46 — ten obowiązek nie jest wyłączony.
  3. Zidentyfikuj właściwy CSIRT sektorowy i nawiąż kontakt.
  4. Uwzględnij w polityce zarządzania dostawcami ICT wymogi KSC dot. dostawcy wysokiego ryzyka.
  5. Przygotuj procedurę reagowania na polecenie zabezpieczające Ministra Cyfryzacji.
  6. Koordynuj raportowanie — incydenty ICT do KNF (DORA), inne obowiązki do organu właściwego KSC.
Podmioty wymienione w art. 16 rozporządzenia DORA (np. mikroprzedsiębiorcy finansowi) mogą podlegać uproszczonym wymogom DORA, ale nie są automatycznie wyłączone z pełnych obowiązków KSC. Każdy przypadek wymaga indywidualnej analizy.
FAQ4 pytania

Najczęstsze pytania

Czy bank podlega KSC czy DORA?
Bank podlega obydwu regulacjom, ale w relacji lex specialis. DORA (rozporządzenie 2022/2554) ma pierwszeństwo w zakresie odporności operacyjnej cyfrowej sektora finansowego — od 17.01.2025 r. Tam gdzie DORA reguluje kwestię szczegółowo (ICT risk management, TLPT, rejestr dostawców ICT, klasyfikacja incydentów), stosuje się DORA. KSC uzupełnia w zakresach nieobjętych DORA.
Jakie są kluczowe różnice między KSC a DORA?
DORA: koncentruje się na operacyjnej odporności cyfrowej instytucji finansowych, wprowadza TLPT (zaawansowane testy penetracyjne), rejestr zewnętrznych dostawców ICT (third-party), klasyfikację incydentów wg kryteriów ESMA/EBA. KSC: horyzontalny, obejmuje wszystkie sektory zał. 1 i 2, inne progi klasyfikacji, odrębny, sektorowy reżim nadzoru. W finansach DORA = lex specialis.
Czy raportować incydent do KNF i CSIRT równolegle?
Tak — w sektorze finansowym incydent istotny w rozumieniu DORA raportuje się do KNF (i za pośrednictwem KNF do EBA/ESMA zgodnie z RTS), a incydent poważny w rozumieniu KSC — do CSIRT sektorowego. Jeden incydent może wymagać obu zgłoszeń, z różną klasyfikacją i zakresem. W praktyce wiele instytucji harmonizuje obie procedury wewnętrznie.
Czy fintech podlega DORA?
Tak, jeśli jest instytucją finansową w rozumieniu DORA — obejmuje to m.in. krajowe instytucje płatnicze, biura usług płatniczych (TPP), instytucje pieniądza elektronicznego, dostawców usług zarządzania informacją o rachunku (AISP). Firmy wyłącznie technologiczne (bez licencji finansowej) nie podlegają DORA bezpośrednio, ale mogą podlegać KSC (np. jako dostawcy ICT do podmiotów finansowych).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.