Zbliża się pierwsza rocznica. Pamiętacie ekscytację sprzed roku?! DORA, DORA, DORA, DORA, DORA, DORA! W każdym razie 17 stycznia 2025 w sumie nic się nie wydarzyło! Systemy finansowe działały, zero spektakularnych newsów, blackout nie nastał. W sumie jedynym obowiązkiem było ocena i zgłaszanie incydentów w nowej procedurze.
By ułatwić instytucjom finansowym odpowiedź na te pytania zbudowaliśmy moduł incydenty w RED INTO GREEN, który odpowiada na te pytania zgodnie z RTS.
Dla wszystkich był to dodatkowy czas by uzupełnić wdrożenie.
Ówcześnie nie było ustawy, która ustanowiła KNF „strażnikiem” DORA. Ustawa weszła w życie 7 sierpnia 2025. Do tego czasu KNF edukował rynek na potęgę, ale nie żądał raportów i nie kontrolował, bo nie miał formalnych uprawnień nadzorczych.
Od końcówki 2024 króluje temat „aneksów DORA”. Never ending story. Zaczęło się pod koniec 2024, gdy dostawcy ICT dla instytucji finansowych zostali zarzuceni aneksami i z uwagi na brak przygotowania oraz ograniczone zasoby organizacyjne (w tym ludzkie) nie było możliwości, aby podołać w tak krótkim czasie tak dużej ilości nowej dokumentacji. Do tej pory trwają liczne negocjacje. W rozmowie z jednym dostawców podał mi statystyki na podstawie około 90 kontraktów, które mają zawarte. 30% jest nie podpisanych, przy czym 15% w drodze, a 15% przypadków czeka na projekty aneksów. Na podstawie rozmów z różnymi instytucjami, mógłbym oszacować, że status podpisywania tych aneksów DORA wynosił wtedy 70%. Nie prowadziłam badań, ale taką miałem intuicję.
Niektórzy dostawcy ICT próbowali zaprzeczyć rzeczywistości przez szukanie sposobów (interpretacyjnych i prawnych) na odebranie sobie statusu dostawcy ICT – przekonywali usilnie podmioty finansowe, że usługi lub produkty, które dostarczają, nie kwalifikują się w kategoriach ICT.
No i ankiety bezpieczeństwa dostawcy ICT… problem leżał po obu stronach. Jedni musieli uzupełnić (wiem coś o tym), drudzy sprawdzić i uwzględnić w analizie ryzyka. Ankiety były bardzo różne od krótkich do ogromnych, od ogólnych do szczegółowych. Często bez podziału na ankiety dla dostawców i dostawców zakwalifikowanych do wspierania funkcji krytycznych lub istotnych. Tylko jedna, po wyborze z listy konkretnego standardowego rozwiązania, z automatu odznaczyła 20% pytań powiązanych.
W Polsce 17 stycznia 2025 to też uchylenie rekomendacji KNF, które jako soft law obowiązywały od wielu lat i były stosowane przez instytucje finansowe. Co wprowadziło sporo dyskusji. Te rekomendacje dawały pewność interpretacji w niepewnych czasach. Stąd zrozumiała nostalgia prawników, doradców i organizacji, bo zmiana jest zawsze trudna.
Kiedy odczuliśmy ten moment – “czas start”?
Moim zdaniem wszystko tak naprawdę zaczęło się w marcu 2025. To moment wezwania od KNF do dostarczenia pierwszego raportu dotyczącego rejestru informacji tzw. SPR_PF_18. Nikt nie chciał się spóźnić i pojawić na świeczniku. Ustawy wciąż nie było, ale KNF realizował wytyczne EUNB, która zażądała dostarczenia tych raportów. Kontakt z regulatorem zwiększał presje.
Pamiętacie kwiecień 2025? My w RED INTO GREEN zapamiętamy go na zawsze. Całymi dnami i nocami wspieraliśmy wszystkich, którzy tego potrzebowali, aby wszystkie raporty zostały złożone z sukcesem. Dla nas proces rozpoczął się już w piątek 4 kwietnia raportowaniem w Irlandii. Była godzina 19, czyli final countdown, ostatnie 5 godzin. Raport nie przechodził przez walidator raportu w Irlandii. Włosów nie wyrywaliśmy, bośmy ich z Tomkiem już nie mieli. Pamiętam, jak zadzwoniłem do Tomka by powiedzieć „wracam do biura, siadamy jeszcze raz i sprawdzamy wszystko od początku, ale w słuchawce usłyszałem tylko śmiech. „Udało się. Udało się! We made it, We made it.”. UFFF.
W Polsce mieliśmy więcej czasu, bo termin był na 28 kwietnia. Za to wytyczne i wzory ciągle aktualizowane przez EUNB i KNF:
1) niewiążące prawnie wytyczne, zalecenia i opinie EUNB, które doprecyzowywały akty wykonawcze, lub też nadawały im nowego brzmienia (czasami wzajemnie się wykluczając)
2) opinie doradców prawnych i ekspertów z rynku, którzy udzielali odmiennych konsultacji instytucjom finansowym (czemu z resztą trudno się dziwić – rynek do tej pory próbuje wypracować swoje praktyki)
3) webinary i własne wytyczne KNF, a także
4) odmiennie niż w całej Unii Europejskiej skonstruowany system IT służący do przesyłania i sprawdzania plików z raportami, wraz z dodatkowymi, krajowymi instrukcjami.
Excele klientów puchły, stale się zmieniały wzory. W Polsce KNF „upraszczając” dał swój odmienny od reszty Europy wzór raportu, co wymagało konwersji już wprowadzonych danych. System raportowy był nowy, więc nie zawsze sprawnie działał. Często odrzucał poprawne raporty. Ta sytuacja regularnie się powtarzała, z kilkoma klientami składaliśmy ten sam plik kilkanaście razy. U niektórych przechodził poprawnie za pierwszym. System IT KNF był bardzo obciążony pod koniec okresu raportowania, co dodatkowo dokładało stresu i problemów po stronie instytucji finansowych.
Ta przygoda zakończyła się ostatecznie drugiej połowie maja 2025, kiedy system został zamknięty, a raporty przesłano dalej do EUNB.
Pomogliśmy zaraportować przeszło 50 podmiotom w Polsce, oraz 32 w Europie.
Time out – przeorganizowanie szyków czy wyparcie traumy?
Po okresie raportowym do końca II kwartału nastąpiła cisza; mam wrażenie, że nastąpił okres wyparcia – „ale to był koszmar – najlepiej zapomnijmy o tym”. Co zrozumiałe, bo ból w dużych instytucjach finansowych pracujących w Excelu był duży. Wyobrażasz sobie przygotować ręcznie raporty skonsolidowany na 15 tysięcy wierszy? Potem lato, czas przerwy, ale we wrześniu wszyscy „zobaczyli” nadchodzący moment „rozliczenia”, czas budżetowania oraz rocznych podsumowań … Nikt już nie chce po nocach ślęczeć nad Excelem, w którym nie wiadomo, gdzie jest błąd. Dostawcy się zmieniają. Trzeba usuwać starych, dodawać nowych. Ręcznie ciężko.
Wspieramy instytucje w onboardingu, szczególnie we wprowadzeniu danych do systemu i uruchomianiu odpowiednich procesów wewnętrznych.
Ruszyły też projekty zmieniające kwalifikacje dostawców wspierających krytyczne lub istotne funkcje. W pierwszym odruchu, chcąc być jak najbardziej “dilligent & compliant” wszyscy dostawcy zostali zakwalifikowaniu jako “krytyczni lub wspierający istotne funkcje”. Co więcej nie sposób zarządzać organizacją, jeśli wszyscy dostawcy są taka samo „krytyczni”.
W sierpniu połączyliśmy analizę ryzyka ICT i RODO ze skanerem podatności. Dzięki czemu zbudowaliśmy i uruchomiliśmy wraz z OpenBiZ pierwszy w Polsce system, który przenosi aktualne zagrożenie (wynikające ze znalezionych w produkcji podatności) na analizę ryzyka. Dzięki temu każdy zainteresowany wie jakie jest aktualne ryzyko.
W okolicach października pojawiło się wymaganie raportowania SPR_PF_26 i 27. Termin krótki, bo na 12 listopada. Czyli tuż po długim weekendzie. Dla banków standard, bo wcześniej podobne wskaźniki raportowały, ale dla sporej części rynku – nowość. Dwa raporty, które weryfikują praktyczne wdrożenie DORA. Które pytania wydają się najtrudniejsze dla klientów?
Co to zasoby? Co to aktywa? Co to znaczy “dostawca krytyczny”?
Koniec roku
W dniu 19 listopada 2025 r. EUNB opublikowała wykaz kluczowych dostawców ICT. Co zaskoczyło? Raczej niewiele. Coś się zmieniło? Niewiele. Podmioty wytypowane raczej nie zostały zaskoczone.
23 grudnia – raport o danych kontaktowych. Niby prosty, ale termin niefortunny i ci co zostawili składanie go na ostatni dzień mieli drobne zamieszania. Niemniej zakładam, że udało się poskładać. Tu pomogliśmy dwóm podmiotom!
Ciąg dalszy gry
Teraz, początek 2026, instytucje finansowe w Polsce raportują SPR_PF_01 – znowu możemy pomóc! To w niektórych elementach uzupełnienie dla SPR_PF_26.
W dniu 12.01.2026 KNF opublikował długo wyczekiwane wzory raportów SPR_PF_19 i 20.
Niebawem będzie można je składać wprost z RED INTO GREEN.
Trwała faktyczna weryfikacja jakości wdrożenia: czy mamy dane potrzebne do raportowania? Niektóre budżety na wdrożenie DORA były wielomilionowe, a i tak brakowało danych by sprawnie raportować. Podatności, zasoby, incydenty, zgłoszenia, wymiana informacji, umowy, tabele – dużo danych niespójnych. Wiadomo na tym etapie nie jest idealnie. Ciągle nie wszystkie umowy z dostawcami ICT są zawarte zgodnie z DORA. Audytów dostawców jak na lekarstwo.
Jak pomagamy?
Jako RED INTO GREEN pomagamy ponad 100 instytucjom finansowym w realizacji obowiązków DORA. Wspieramy we wszystkich raportowaniach! Technicznie stworzyliśmy moduły do przygotowania gotowego raportu SPR_PF_18 oraz oceny i rejestrowania incydentów. W innych raportach mapujemy wymagania i wskazujemy skąd brać dane do raportowania. Obecnie pracujemy nad automatyzacją innych raportów (19 i 20).
Obserwujemy, że analiza ryzyka jest ciągle wyzwaniem. I tu też pomagamy metodyką RIG, radą, czasem kompleksową usługą.
Priorytetowo skupiamy się na rozwoju karty dostawców. TPRM to kolejny etap rozwoju aplikacji na potrzeby instytucji finansowych. Bez automatyzacji trudno realizować obowiązki, a nikt nie lubi ankiet i zbierania informacji.
Kluczowe dla nas są dane. RIG ma być „jednym źródłem prawdy” dla instytucji finansowych, który będzie dawał odpowiedzi na maksymalnie dużo pytań ze strony regulatora, sądu, audytora, ubezpieczyciela czy kontrahentów.
Co dalej:
- automatyzacja raportów,
- automatyzacja zbierania informacji o dostawcach ICT,
- automatyzacja analizy ryzyka ICT.
Na koniec, czyli kto to czyta?
Ja osobiście przez cały rok zastanawiałem się kto czyta procedury opisane przez sztab prawników, raporty i sprawozdania uzupełnione przez sztab IT? Dostawcy przesyłają papiery, a to tylko pośrednio zwiększa bezpieczeństwo ICT. Odpowiedź na swoje pytanie uzyskałem w ostatnim punkcie dokumentu z grudnia 2025 – Priorytety nadzorcze UKNF na 2026 r. „Sztuczna inteligencja w działaniach nadzorczych. Zwiększenie efektywności analizy i przetwarzania danych przekazywanych przez podmioty nadzorowane. Rozwój rozwiązań opartych na sztucznej inteligencji, w szczególności modeli przetwarzania języka naturalnego (NLP), wspierających automatyczną analizę dokumentów, raportów i innych materiałów przekazywanych do UKNF. No i mamy jasność.
