Multicert

Bezpłatna wycena

Regulacje UE · w 2h, bez zobowiązań

Wyceń →
Regulacje UE

DORA a ISO 27001 — odporność cyfrowa sektora finansowego (2026)

Rozporządzenie DORA obowiązuje podmioty finansowe od 17 stycznia 2025 r. ISO 27001 pokrywa większość wymogów zarządzania ryzykiem ICT, ale nie zastępuje testów TLPT ani rejestru umów z dostawcami.

Tomasz Barto 8 min czytania

DORA a ISO 27001 to pytanie, które od 2025 roku zadaje sobie każdy podmiot finansowy w Polsce. Rozporządzenie DORA (Digital Operational Resilience Act, 2022/2554) nakłada na sektor finansowy obowiązek zarządzania ryzykiem cyfrowym — a ISO/IEC 27001 jest najkrótszą udokumentowaną drogą do zbudowania jego fundamentu. Poniżej: co dokładnie norma pokrywa, czego nie załatwia i dlaczego jedno wdrożenie obsługuje kilka reżimów naraz.

Kogo obowiązuje DORA i od kiedy

DORA stosuje się bezpośrednio od 17 stycznia 2025 r. we wszystkich państwach UE — jako rozporządzenie nie wymaga transpozycji do prawa krajowego. Obejmuje szerokie grono podmiotów finansowych oraz ich dostawców technologii:

  1. Banki i instytucje kredytowe — pełen zakres wymogów odporności cyfrowej.
  2. Ubezpieczyciele i reasekuratorzy — zarządzanie ryzykiem ICT i ciągłość działania.
  3. Firmy inwestycyjne i instytucje płatnicze — w tym fintech i dostawcy usług kryptoaktywów.
  4. Kluczowi zewnętrzni dostawcy ICT — objęci nadzorem, jeśli świadczą krytyczne usługi dla sektora.

Co ISO 27001 pokrywa z wymogów DORA

DORA opiera się na kilku filarach — a znaczna ich część pokrywa się z zakresem systemu zarządzania bezpieczeństwem informacji. Norma ISO/IEC 27001:2022 odpowiada szacunkowo na 60-70% wymogów zarządzania ryzykiem ICT.

Filar DORAOdpowiednik w ISO 27001
Zarządzanie ryzykiem ICT (governance, analiza ryzyka)System zarządzania, ocena i postępowanie z ryzykiem (sekcje 6, 8)
Zarządzanie incydentami związanymi z ICTZarządzanie incydentami bezpieczeństwa informacji (Załącznik A)
Ciągłość działania i przywracanie usługZarządzanie ciągłością — wsparte przez ISO 22301
Zarządzanie ryzykiem dostawcówKontrole relacji z dostawcami (Załącznik A, grupa organizacyjna)

Organizacja z wdrożoną normą wchodzi w projekt DORA z gotowym szkieletem — politykami, rejestrem ryzyk, procedurami incydentów — zamiast budować go od zera.

Czego ISO 27001 nie załatwia w DORA

Tu potrzebna jest uczciwość, bo różnica wyznacza zakres dodatkowej pracy. DORA zawiera wymogi, których norma nie obejmuje:

  1. Zaawansowane testy odporności — w tym testy penetracyjne oparte na scenariuszach zagrożeń (TLPT) dla znaczących podmiotów, w cyklu wieloletnim.
  2. Rejestr informacji o umowach z dostawcami ICT — sformalizowany wykaz przekazywany organowi nadzoru.
  3. Raportowanie poważnych incydentów — zgłaszanie do właściwego organu nadzoru (w Polsce KNF) w określonych terminach, według ustandaryzowanych szablonów.

ISO 27001 jako fundament zgodności — i dźwignia na kilka reżimów

Największa wartość normy w kontekście DORA to efekt skali regulacyjnej. Ten sam system zarządzania bezpieczeństwem informacji stanowi bazę dla DORA, dyrektywy NIS2 oraz wymogów art. 32 RODO. Zamiast trzech osobnych projektów zgodności podmiot buduje jeden fundament i nadbudowuje nad nim wymagania specyficzne dla każdego reżimu. Certyfikat wydany w akredytacji jest przy tym niezależnym dowodem dojrzałości — argumentem wobec organu nadzoru, kontrahentów i audytorów.

Powiązane artykuły:

Najczęstsze pytania

Czy ISO 27001 wystarczy do zgodności z DORA? +
Nie w całości. ISO 27001 pokrywa większość wymogów zarządzania ryzykiem ICT, ale DORA dodaje obowiązki spoza normy: zaawansowane testy odporności (TLPT), rejestr umów z dostawcami ICT oraz raportowanie poważnych incydentów do organu nadzoru.
Kogo obowiązuje DORA? +
Podmioty finansowe w UE: banki, ubezpieczycieli, firmy inwestycyjne, instytucje płatnicze, dostawców usług kryptoaktywów oraz — pośrednio — kluczowych zewnętrznych dostawców usług ICT dla sektora finansowego.
Od kiedy obowiązuje DORA? +
Rozporządzenie DORA (2022/2554) stosuje się bezpośrednio od 17 stycznia 2025 r. we wszystkich państwach UE, bez potrzeby transpozycji do prawa krajowego.
Jak ISO 27001 pomaga w zgodności z DORA? +
ISO 27001 dostarcza gotowy system zarządzania bezpieczeństwem informacji, na którym opierają się filary DORA dotyczące ryzyka ICT, incydentów i ciągłości działania. Skraca drogę do zgodności i daje udokumentowany dowód dojrzałości.
← Wszystkie artykuły 29 czerwca 2026
Zadzwoń Bezpłatna wycena