Biuro Porad Prawnych
Oskar Zacharski

ul. Żwirki i Wigury 33/43
26-600 Radom

NIP: 7962987711

600 784 526

o.zacharski@bppz.pl

+48 600 784 526

Jak DORA wpływa na umowy z dostawcami usług ICT?

Strona główna / Blog / Jak DORA wpływa na umowy z dostawcami usług ICT?
rozporządzenie DORA

Rozporządzenie DORA (Digital Operational Resilience Act) wprowadza kompleksowe wymagania wobec umów zawieranych przez instytucje finansowe z dostawcami usług ICT. Od 17 stycznia 2025 roku wszystkie kontrakty dotyczące chmury obliczeniowej, oprogramowania bankowego czy hostingu muszą spełniać rygorystyczne standardy cyberodporności oraz umożliwiać nadzór nad ryzykiem operacyjnym.​

Zapraszamy do współpracy

Szczegółowe informacje o ofercie i warunkach współpracy można uzyskać telefonicznie lub wysyłając zapytanie za pomocą formularza kontaktowego.

BPPZ – Biuro Porad Prawnych Zacharski

Obsługa naruszeń ochrony danych

Zadzwoń Napisz wiadomość

Jakie elementy powinny znaleźć się w umowie zgodnej z DORA?

Rozporządzenie DORA nakłada szczegółowe wymagania na treść umów z dostawcami usług ICT, aby zapewnić pełną przejrzystość i kontrolę nad ryzykiem operacyjnym. Umowa musi być precyzyjnym dokumentem opisującym wszystkie aspekty współpracy, od zakresu usług po procedury kryzysowe. Jakie elementy powinny powinny się w niej znaleźć?

Szczegółowy opis usług i parametrów SLA

Umowa powinna dokładnie określać przedmiot świadczenia, w tym:

  • Rodzaj usług ICT (chmura, SaaS, hosting, przetwarzanie danych transakcyjnych);
  • Lokalizację geograficzną infrastruktury (kraje UE, trzecie państwa);
  • Dokładne wskaźniki SLA dla krytycznych funkcji, np. 99,99% dostępności dla systemów płatniczych;
  • Okresy backupu i retencji danych oraz procedury ich odzyskiwania.​

Regulacje dotyczące podwykonawstwa

DORA wprowadza ścisłą kontrolę nad łańcuchem dostaw ICT. Umowa musi zawierać:

  • Obowiązek uzyskania pisemnej zgody instytucji finansowej przed zlecaniem usług podwykonawcom;
  • Prawo do audytu wszystkich podmiotów w łańcuchu dostaw (w tym zagranicznych);
  • Wykaz aktualnych i planowanych podwykonawców z oceną ich ryzyka;
  • Gwarancję, że podwykonawcy spełniają te same standardy bezpieczeństwa co główny dostawca.​

Prawo do testów penetracyjnych i audytów

Instytucje finansowe zyskują bezprecedensowe uprawnienia kontrolne:

  • Możliwość przeprowadzania testów penetracyjnych zagrożonych funkcji ICT (TLPT) w systemach dostawcy;
  • Dostęp do logów, dokumentacji technicznej i wyników własnych testów bezpieczeństwa dostawcy;
  • Prawo do niezapowiedzianych audytów bezpieczeństwa (minimum raz w roku dla dostawców krytycznych);
  • Obowiązek udostępnienia danych w formacie umożliwiającym migrację w ciągu 30 dni.​

Procedury zgłaszania i zarządzania incydentami

Dostawca zobowiązuje się do:

  • Zgłaszania incydentów ICT w ciągu 4 godzin (wstępna informacja) i 72 godzin (szczegółowy raport);
  • Natychmiastowego powiadomienia o zagrożeniach systemowych mogących wpłynąć na użytkownika;
  • Współpracy w dochodzeniu poincydentalnym i wdrożeniu działań naprawczych;
  • Udziału w corocznej wymianie informacji o zagrożeniach ICT w ramach ekosystemu dostawców.​

Klauzule dotyczące polityki wyjścia

Umowa musi gwarantować ciągłość działania w przypadku zakończenia współpracy:

  • Dokładny plan exit strategy z harmonogramem (maksymalnie 30-60 dni);
  • Zwrot wszystkich danych w formacie nadającym się do automatyzowanego przetwarzania;
  • Usunięcie danych po zakończeniu migracji (z potwierdzeniem zniszczenia);
  • Kary umowne za niedotrzymanie terminów migracji danych.​

Bezpieczeństwo danych osobowych (RODO-DORA)

W kontekście przetwarzania danych klientów finansowych umowa powinna określać:

  • Rodzaj przetwarzanych danych osobowych i ich klasyfikację ryzyka;
  • Środki techniczne i organizacyjne ochrony danych (pseudonimizacja, szyfrowanie);
  • Procedury DPIA dla funkcji wysokiego ryzyka oraz zgłaszania naruszeń w 72h (RODO);
  • Lokalizację przetwarzania danych osobowych (preferowane: UE/EEA).​

Kary umowne i prawa odstąpienia

Standardowe klauzule obejmują:

  • Kary za niedostępność usług powyżej SLA (np. 0,5% wartości kontraktu za każdy dzień);
  • Prawo do natychmiastowego rozwiązania umowy przy wysokim ryzyku cyberbezpieczeństwa;
  • Odpowiedzialność dostawcy za działania podwykonawców;
  • Ograniczenie odpowiedzialności dostawcy do 100-200% wartości rocznego kontraktu.​

Praktyczne znaczenie tych regulacji polega na przeniesieniu części odpowiedzialności za cyberodporność na dostawców ICT. Institution finansowe zyskują realne narzędzia kontroli, podczas gdy dostawcy muszą udowodnić swoją gotowość do współpracy w zakresie bezpieczeństwa operacyjnego. Prawidłowo skonstruowana umowa DORA to fundament zgodności regulacyjnej i ochrona przed karami administracyjnymi.​

Jaka jest rola rejestru umów ICT?

Rejestr umów ICT stanowi kluczowy element systemu zarządzania ryzykiem operacyjnym wymaganego przez DORA, tworząc centralną bazę wiedzy o wszystkich relacjach biznesowych instytucji finansowej z zewnętrznymi dostawcami usług technologicznych. To nie zwykła lista kontraktów, lecz dynamiczny dokument strategiczny, który umożliwia bieżące monitorowanie ekspozycji na ryzyko cyberbezpieczeństwa i podejmowanie świadomych decyzji dotyczących łańcucha dostaw ICT.​

Każda umowa – niezależnie od wartości czy krytyczności usług – podlega ocenie ryzyka na jednej z czterech skal: niskie, średnie, wysokie lub krytyczne. Kryteria oceny obejmują przede wszystkim wpływ potencjalnego incydentu na kluczowe funkcje biznesowe, takie jak autoryzacja transakcji, core banking czy systemy rozliczeniowe. Rejestr musi zawierać szczegółowy opis usług, dane kontaktowe dostawcy, informacje o podwykonawstwie oraz aktualną ocenę zgodności z wymogami DORA.​

Rola dokumentu wykracza daleko poza administrację. Rejestr służy jako podstawa do tworzenia indywidualnych planów wyjścia dla każdego krytycznego dostawcy, określając harmonogram migracji danych, procedury testowe oraz scenariusze awaryjne. W przypadku planowanych lub nagłych zmian kontraktowych – jak fuzja dostawców czy cyberincydent – rejestr umożliwia szybką ocenę konsekwencji systemowych i podjęcie działań zapobiegawczych.

DORA wymaga również, aby rejestr był stale aktualizowany i dostępny dla organów nadzoru, takich jak KNF czy EBA, podczas kontroli tematycznych. Brak pełnego rejestru lub nieprawidłowa klasyfikacja ryzyka może skutkować karami administracyjnymi do 1% rocznego globalnego obrotu instytucji finansowej, co w przypadku dużych banków oznacza dziesiątki milionów euro. W praktyce menedżerowie IT i compliance spędzają obecnie znaczną część czasu na mapowaniu całego ekosystemu ICT, identyfikując luki w dokumentacji i korygując umowy niespełniające standardów.​

Dla instytucji finansowych rejestr staje się strategicznym narzędziem konkurencyjności. Umożliwia nie tylko zgodność regulacyjną, ale przede wszystkim świadome zarządzanie ryzykiem koncentracji u pojedynczych dostawców chmurowych czy SaaS. Dzięki temu banki i fintechy mogą podejmować decyzje o dywersyfikacji łańcucha dostaw oparte na danych, a nie intuicji, minimalizując ryzyko systemowego zakłócenia działalności.​

Jak zmieniły się negocjacje kontraktowe po wejściu DORA w życie?

Dostawcy usług ICT zobowiązani są do zgłaszania incydentów operacyjnych w ciągu 4 godzin zarówno użytkownikowi, jak i organom nadzoru (KNF, EBA). Umowy wymagają corocznych raportów dotyczących podatności systemów oraz udziału dostawców w mechanizmach wymiany informacji o zagrożeniach ICT.​

Instytucje finansowe uzyskują możliwość negocjowania kar umownych za niedostępność usług powyżej 99,99% oraz prawa do natychmiastowego rozwiązania umowy w przypadku stwierdzenia wysokiego ryzyka cyberbezpieczeństwa.​

cyberbezpieczeństwo DORA

Powiązania między DORA a RODO w kontekście usług ICT

Rozporządzenie DORA i RODO tworzą komplementarny system regulacyjny, w którym ochrona danych osobowych spotyka się z cyberodpornością operacyjną. DORA wzmacnia wymagania RODO poprzez specyficzne regulacje technologiczne dla usług ICT w sektorze finansowym, eliminując luki w ochronie danych wynikające z zależności od zewnętrznych dostawców.​

Podwójna zgodność: art. 32 RODO + zarządzanie ryzykiem ICT

DORA nie zastępuje RODO, lecz uzupełnia jego art. 32 dotyczący bezpieczeństwa przetwarzania. Obejmuje to wdrożenie procedur DPIA dla operacji wysokiego ryzyka prowadzonych przez dostawców ICT, nawet jeśli nie są administratorami danych. Umowy muszą szczegółowo określać rodzaj przetwarzanych danych osobowych (np. dane wrażliwe klientów), zastosowane środki ochrony (szyfrowanie end-to-end, tokenizacja, pseudonimizacja) oraz ich zgodność z zasadą minimalizacji danych.​

Różnice w terminach raportowania incydentów

Kluczowa różnica czasowa:

  • RODO: zgłoszenie naruszenia do UODO w ciągu 72 godzin
  • DORA: wstępna notyfikacja incydentu ICT w ciągu 4 godzin do użytkownika i organów nadzoru (KNF, EBA)

Dostawcy ICT muszą posiadać zintegrowane procedury wczesnego ostrzegania, automatycznie klasyfikujące zdarzenia jako naruszenia RODO lub incydenty DORA. W umowach określa się, kto odpowiada za wstępne powiadomienie – zazwyczaj dostawca w 4 godziny, instytucja finansowa za pełny raport do obu organów.​

Lokalizacja danych: podwójna kontrola geograficzna

Ścisłe wymagania lokalizacyjne:

  • RODO preferuje jurysdykcje z adequacy decisions (decyzje o odpowiednim poziomie ochrony)
  • DORA wymaga precyzyjnego opisu lokalizacji infrastruktury (data centers, edge computing) i mechanizmów repatriacji danych

W chmurach hybrydowych umowy gwarantują, że dane osobowe nie będą przekazywane do państw trzecich bez standardowych klauzul umownych (SCC) zgodnych z obiema regulacjami.

Ciągłe monitorowanie i audyty zgodności

DORA nakłada na dostawców obowiązek corocznych audytów systemów przetwarzających dane osobowe oraz raportowania podatności. Instytucje finansowe mogą żądać dowodów na:

Współdzielona odpowiedzialność za RODO

Dla krytycznych dostawców ICT odpowiedzialność jest współdzielona:

  • Dostawca: środki techniczne i organizacyjne ochrony danych
  • Użytkownik: adekwatność wyboru środków do ryzyka operacyjnego

Dostawcy muszą implementować privacy by design już na etapie projektowania usług ICT, synchronizując cyberodporność DORA z wymogami ochrony danych RODO.

Konsekwencje niespełnienia podwójnych wymogów

Niezgodność z DORA i RODO generuje podwójne ryzyko kar:

  • UODO: do 4% globalnego obrotu rocznego (RODO)
  • Organy finansowe: do 1% globalnego obrotu (DORA)

Prawidłowa synchronizacja obu regulacji minimalizuje ryzyko sankcji, buduje zaufanie klientów i tworzy standard cyberbezpiecznych usług finansowych przetwarzających dane osobowe.​

Jak przygotować się do kontroli nadzorczych w 2026 roku?

Pierwszym krokiem jest kompleksowy audyt istniejących kontraktów ICT – około 70% z nich wymaga dostosowania do wymogów DORA. Następnie należy wdrożyć politykę zarządzania ryzykiem ICT oraz przeprowadzić testy scenariuszy awaryjnych z kluczowymi dostawcami. Dla polskich dostawców usług ICT oznacza to konieczność opracowania standardowych załączników umownych (riderów DORA) oraz uzyskania certyfikacji zgodności z technicznymi standardami regulacyjnymi (RTS). Zgodność z DORA wzmacnia pozycję konkurencyjną instytucji finansowych poprzez zapewnienie cyberodporności całego łańcucha usług ICT.​

Wsparcie prawne Biura Porad Prawnych Zacharski w procesie zgodności DORA

Biuro Porad Prawnych Zacharski oferuje kompleksowe wsparcie prawne na każdym etapie przygotowań do kontroli nadzorczych KNF i EBA. Specjaliści przeprowadzają szczegółową analizę istniejących umów ICT, identyfikując luki zgodności z DORA i przygotowując konkretne rekomendacje zmian umownych. W ramach usługi opracowują dedykowane ridery DORA, które można stosować do wszystkich nowych kontraktów z dostawcami technologii.

Wspomagamy również wdrożenie polityki zarządzania ryzykiem ICT, w tym utworzenie i bieżące prowadzenie rejestru umów ICT zgodnego z wymogami rozporządzenia. Przeprowadzamy symulacje kontroli nadzorczych, przygotowując instytucje finansowe do prezentacji dokumentacji przed organami nadzoru oraz efektywnego odpowiadania na zapytania kontrolerów.

Dla dostawców usług ICT Biuro Porad Prawnych Zacharski oferuje wsparcie w uzyskaniu certyfikacji RTS oraz przygotowaniu standardowych klauzul umownych. Profesjonalne doradztwo prawne minimalizuje ryzyko kar administracyjnych, optymalizuje procesy negocjacyjne z instytucjami finansowymi i buduje przewagę konkurencyjną na rynku usług ICT regulowanych DORA.

Współpraca z Biurem Porad Prawnych Zacharski pozwala instytucjom finansowym i dostawcom ICT skoncentrować się na rozwoju biznesu, pozostawiając kwestie regulacyjne specjalistom. Prawidłowe przygotowanie do kontroli to nie tylko zgodność z prawem, ale przede wszystkim inwestycja w stabilność operacyjną i zaufanie klientów.

| Redakcja BPPZ.pl

Jak zgłosić naruszenie ochrony danych osobowych do UODO?

Jak zgłosić naruszenie ochrony danych osobowych do UODO?

7 pytań, które musi zadać sobie firma korzystająca z AI

7 pytań, które musi zadać sobie firma korzystająca z AI

Analiza ryzyka RODO. Kompletny poradnik dla biznesu

Analiza ryzyka RODO. Kompletny poradnik dla biznesu

zobacz więcej
Opublikowano: 04.03.2026

Zobacz również

Obowiązek informacyjny RODO. Darmowy wzór klauzuli RODO

Shadow AI w firmie – jak ograniczyć ryzyko naruszenia RODO?

Shadow AI w firmie – jak ograniczyć ryzyko naruszenia RODO?

Jakie dane pracownika może zbierać pracodawca?

Jakie dane pracownika może zbierać pracodawca?

Kiedy potrzebna jest zgoda na przetwarzanie danych osobowych?

Kiedy potrzebna jest zgoda na przetwarzanie danych osobowych?

Dyrektywa policyjna w Polsce. Dlaczego wymaga zmian?

Dyrektywa policyjna w Polsce. Dlaczego wymaga zmian?