Narzędzie oceny

Ocena zgodności
DORA

Sprawdź gotowość Twojej instytucji finansowej do wymagań Rozporządzenia (UE) 2022/2554 (DORA). Ocena 10 obszarów operacyjnej odporności cyfrowej z mapą drogową wdrożenia. Raport dostępny po weryfikacji danych.

🎯
Kwalifikacja
Identyfikujemy kategorię podmiotu finansowego, wielkość organizacji i wymóg TLPT (RDA 2025/1190)
📊
Ocena dojrzałości
10 obszarów DORA — poziomy 1–5 — od braku działań do pełnej gotowości audytowej
📋
Raport z mapą drogową
Top 3 luki, mapa drogowa pilne/średnio/strategiczne, mapowanie na artykuły DORA + RTS/ITS
🔒
Weryfikacja danych
Raport dostępny po weryfikacji NIP i służbowego adresu email
⏱ Czas wypełnienia: ok. 10–15 minut  ·  🔁 Tryb: Biznes / Techniczny  ·  💾 Dane: przetwarzane zgodnie z RODO  ·  📜 DORA: obowiązuje od 17.01.2025
Krok 1 / 14 — Kategoria podmiotu finansowego
Czym zajmuje się Twoja organizacja? Wybierz kategorię najbliżej opisującą działalność. Do której kategorii podmiotu wg art. 2 ust. 1 Rozporządzenia (UE) 2022/2554 (DORA) należy organizacja?
Instytucja kredytowa
Bank, SKOK, instytucja kredytowa
Instytucja płatnicza / EMI
Instytucja płatnicza lub pieniądza elektronicznego
Firma inwestycyjna
Dom maklerski, broker, firma inwestycyjna
TFI / ZAFI
Towarzystwo funduszy inwestycyjnych, ZAFI/AIF
Ubezpieczenia
Zakład ubezpieczeń, reasekuracji, pośrednik
IORP / PPE
Pracownicze programy emerytalne
CASP (kryptoaktywa)
Dostawca usług w zakresie kryptoaktywów (MiCA)
CSD
Centralny depozyt papierów wartościowych
CCP
Kontrahent centralny
System obrotu
Giełda, MTF, OTF
Repozytorium transakcji
Repozytorium transakcji / sekurytyzacji
Agencja ratingowa
Agencja ratingowa zarejestrowana w UE
Firma audytorska
Audytor / firma audytorska
Administrator wskaźników
Administrator wskaźników referencyjnych (np. WIBOR)
Crowdfunding
Dostawca usług finansowania społecznościowego
Inny podmiot finansowy
Inny podmiot wymieniony w art. 2 DORA
NIE jestem podmiotem finansowym
DORA Cię nie dotyczy — może podlegasz NIS2/UKSC?
Krok 2 / 14 — Wielkość organizacji
Jak duża jest Twoja organizacja? Kategoria przedsiębiorstwa wg zalecenia KE 2003/361 (definicja przyjęta w art. 3 pkt 60 DORA):
Mikroprzedsiębiorstwo
<10 pracowników i obrót/suma bilansowa <2M EUR
Małe
<50 pracowników i obrót/suma bilansowa <10M EUR
Średnie
<250 pracowników i obrót <50M EUR lub suma bilansowa <43M EUR
Duże
≥250 pracowników lub obrót >50M EUR
Krok 3 / 14 — Status istotności (TLPT)
Czy Twoja organizacja jest dużym, znaczącym podmiotem na rynku finansowym? Zaznacz wszystkie pasujące — lub "Żadne z powyższych". Czy organizacja spełnia kryteria istotności wymagające TLPT (Threat-Led Penetration Testing) wg RDA 2025/1190? Multi-select.
Bank klasyfikowany jako G-SII lub O-SII
Globalnie istotny lub krajowo istotny bank
Bank z aktywami >€30 mld
Aktywa według ostatniego sprawozdania finansowego
Centralny kontrahent (CCP)
Niezależnie od wielkości
Centralny depozyt papierów wartościowych (CSD)
Niezależnie od wielkości
System obrotu z udziałem rynkowym >25%
W którymkolwiek państwie członkowskim UE
Instytucja płatnicza przetwarzająca >€150 mld transakcji rocznie
Wartość rocznych transakcji
Zakład ubezpieczeń z aktywami brutto >€20 mld
Według ostatniego sprawozdania
Inny podmiot wskazany przez KNF jako istotny systemowo
Decyzja właściwego organu nadzoru
Żadne z powyższych
TLPT nie jest dla nas obowiązkowy
Profil organizacji — gotowość do wdrożenia
Te informacje pomogą nam oszacować realistyczny harmonogram wdrożenia wymagań DORA dla Twojej organizacji. Dane o zasobach i strukturze organizacyjnej umożliwią precyzyjne wyliczenie ścieżki krytycznej wdrożenia.
A. Kto odpowiada za cyberbezpieczeństwo w Waszej organizacji?
Dedykowany CISO / Security Manager
Osoba zatrudniona wyłącznie do zarządzania bezpieczeństwem informacji
Wyznaczona osoba z częściowym zakresem
IT Manager, Compliance Officer lub inna osoba z bezpieczeństwem jako jednym z zadań
Ktoś robi to "przy okazji"
Administrator IT, pracownik działu IT lub inna osoba bez formalnego przydziału
Nikt nie jest wyznaczony
Brak osoby odpowiedzialnej za cyberbezpieczeństwo
B. Ile czasu tygodniowo można przeznaczyć na wdrożenie wymagań DORA?
Ponad 20h tygodniowo
Dedykowany projekt — priorytet organizacyjny
10–20h tygodniowo
Znaczące zasoby, projekt realizowany równolegle z innymi zadaniami
5–10h tygodniowo
Ograniczone zasoby, wdrożenie jako zadanie dodatkowe
Poniżej 5h tygodniowo
Minimalne zasoby — wdrożenie będzie bardzo rozciągnięte w czasie
C. Jakie są wewnętrzne kompetencje w zakresie cyberbezpieczeństwa i zgodności?
Posiadamy pełne kompetencje
Doświadczenie w ISO 27001, audycie, compliance — możemy działać samodzielnie
Mamy częściowe kompetencje
Znamy temat ogólnie, ale brakuje nam doświadczenia w szczegółach wdrożenia
Brak kompetencji w tym obszarze
Potrzebujemy zewnętrznego prowadzenia projektu
D. Czy planujecie zewnętrzne wsparcie konsultingowe przy wdrożeniu?
Mamy zakontraktowanego konsultanta / vCISO
Zewnętrzny ekspert jest już zaangażowany w projekt
Planujemy zatrudnić konsultanta
Decyzja podjęta, trwają lub planowane są poszukiwania
Rozważamy, ale jeszcze nie zdecydowaliśmy
Zależy od budżetu i wyników tej oceny
Działamy samodzielnie
Wdrożenie wyłącznie zasobami wewnętrznymi
E. Jak oceniasz zaangażowanie zarządu w projekt cyberbezpieczeństwa?
Zarząd aktywnie sponsoruje projekt
Cyberbezpieczeństwo jest priorytetem, decyzje zapadają szybko, budżet zabezpieczony
Zarząd wspiera, ale decyzje wymagają czasu
Pozytywne nastawienie, standardowy proces decyzyjny
Zarząd jest świadomy, ale projekt nie jest priorytetem
Temat jest znany, ale konkuruje z innymi inicjatywami
Zarząd nie jest zaangażowany
Projekt realizowany bez aktywnego wsparcia i sponsorowania przez kierownictwo
Krok 12 / 14 — Pytania uzupełniające DORA
Trzy szybkie pytania o gotowość operacyjną

Trzy obowiązki proceduralne wynikające z DORA. Odpowiedzi trafią do raportu — pomogą wskazać konkretne braki, które najczęściej są pomijane. Trzy pytania kontrolne pokrywające: LEI (wymagany w rejestrze ICT zgodnie z ITS 2024/2956), dostęp do Systemu Sprawozdawczości DORA (SSD), gotowość do raportowania rejestru umów ICT do KNF do 31 marca każdego roku.

PYTANIE 1 z 3 · ITS 2024/2956
LEI organizacji (Legal Entity Identifier) Posiadanie i walidacja LEI — wymóg dla rejestru ICT (ITS 2024/2956)

LEI to 20-znakowy międzynarodowy identyfikator podmiotu prawnego (ISO 17442). DORA wymaga LEI dla rejestru umów z dostawcami ICT przekazywanego do KNF. LEI jest obowiązkowy w polach B_01.01 i wszystkich innych wzorach ITS 2024/2956. Rejestracja przez LOU (Local Operating Unit) — w Polsce np. KDPW. Status musi być "issued" lub "lapsed" (renewable).

Mamy aktywny LEI
Status "issued", odnowienie aktualne
Mamy LEI, ale wygasły
Status "lapsed" — wymaga odnowienia
Planujemy rejestrację
Wiemy że potrzebujemy, w trakcie zlecania
Nie mamy LEI
Sprawa nie jest w toku
Nie wiem
Sprawdzimy przy okazji raportu
PYTANIE 2 z 3 · KNF / SSD
Dostęp do Systemu Sprawozdawczości DORA (SSD) Rejestracja w SSD KNF — kanał raportowania DORA

SSD to platforma KNF do przekazywania sprawozdań DORA — rejestru umów ICT, zgłoszeń poważnych incydentów, sprawozdań rocznych. Wymaga założenia konta i przypisania ról. System Sprawozdawczości DORA (SSD) udostępniony przez KNF. Wymaga rejestracji konta podmiotu, przypisania roli sprawozdawczej, walidacji LEI. Komunikacja przez format XBRL/CSV.

Mamy dostęp i przetestowaliśmy
Konto aktywne, role przypisane, dry-run wykonany
Mamy konto, brak testów
Rejestracja zrobiona, brak wysyłki próbnej
Planujemy rejestrację
Wiemy o systemie, w toku
Nie zarejestrowani
Sprawa nie jest w toku
Nie wiem
Sprawdzimy przy okazji raportu
PYTANIE 3 z 3 · ART. 28 UST. 3 DORA
Rejestr umów ICT — gotowość do raportowania Rejestr informacji wg ITS 2024/2956 — termin 31 marca każdego roku

DORA art. 28 ust. 3 wymaga przekazywania do KNF rocznego rejestru umów z dostawcami ICT. Wzór składa się z 15 tabel (B_01.01 do B_07.01) i obejmuje setki pól. ITS 2024/2956 definiuje 15 wzorów rozbitych na 7 obszarów: B_01.01-B_01.03 (podmiot), B_02.01-B_02.03 (umowy), B_03.01-B_03.03 (dostawcy), B_04.01 (funkcje), B_05.01-B_05.03 (podstawowe usługi), B_06.01 (ocena), B_07.01 (podwykonawcy). Termin: 31.03 każdego roku. Format: XBRL.

Rejestr gotowy w formacie ITS
Wszystkie 15 wzorów wypełnione, walidacja LEI, przekazane do KNF
Częściowy rejestr (Excel/własny)
Lista dostawców w arkuszu, ale nie w formacie ITS
Planujemy w najbliższym czasie
Wiemy o obowiązku, w planach
Brak rejestru
Sprawa nie jest w toku
Nie wiem
Sprawdzimy przy okazji raportu
Krok 15 / 15 — Dane kontaktowe i weryfikacja
Podaj dane aby odblokować raport
🔒 Dlaczego weryfikujemy dane?
Raport zawiera ocenę poziomu bezpieczeństwa Twojej organizacji. Aby zapewnić że trafi tylko do uprawnionych osób, weryfikujemy NIP firmy (przez bazy GUS) oraz potwierdzamy służbowy adres email kodem jednorazowym.
Weryfikacja przez rejestr GUS/REGON
Prosimy o służbowy adres — nie akceptujemy gmail, yahoo, wp, onet itp.
Wymagana zgoda na przetwarzanie danych osobowych.
Wynik kwalifikacji
DORA prawdopodobnie Cię nie dotyczy

Na podstawie podanych informacji Twoja organizacja nie jest podmiotem finansowym w rozumieniu art. 2 ust. 1 Rozporządzenia (UE) 2022/2554 (DORA). DORA dotyczy wyłącznie podmiotów finansowych — banków, firm inwestycyjnych, ubezpieczycieli, dostawców kryptoaktywów, CSD, CCP itp.

Sprawdź czy podlegasz UKSC/NIS2 — możliwe że jesteś podmiotem kluczowym lub ważnym (energetyka, transport, zdrowie, ICT, dostawcy chmurowi…). Wykonaj ocenę UKSC →
Jeśli świadczysz usługi ICT dla podmiotów finansowych, możesz być wyznaczony jako CTPP (Critical Third-Party Provider) i podlegać bezpośredniemu nadzorowi ESAs (RDA 2024/1502)
Każda firma przetwarzająca dane osobowe podlega RODO — niezależnie od sektora i wielkości
Dobrowolne wdrożenie podstaw cyberbezpieczeństwa (ISO 27001, CIS Controls, SOC 2) zwiększa odporność firmy i zaufanie klientów finansowych
Masz pytania dotyczące klasyfikacji?

Przepisy mogą być niejednoznaczne — DORA, NIS2 i sektorowe regulacje mogą się nakładać. Nasi eksperci pomogą ocenić Twoją sytuację.