Sprawozdawczość DORA weszła w kolejny, bardzo konkretny etap. Mowa o sprawozdaniu SPR-PF-01, które do 2 lutego 2026 r. należy złożyć w systemie sprawozdawczości CRP w KNF.
DORA w praktyce, nie w definicjach
Rozporządzenie DORA, czyli Digital Operational Resilience Act, porządkuje temat odporności cyfrowej instytucji finansowych. W dużych instytucjach oznacza rozbudowane struktury, zespoły IT i compliance. W BUP-ach, które w większości są mikroprzedsiębiorstwami, chodzi o coś innego. O jasne zasady, kto za co odpowiada, jak zarządzane jest ryzyko ICT i czy to, co mamy na papierze, ma cokolwiek wspólnego z rzeczywistością.
I dokładnie to widać w zakresie danych raportowanych w SPR-PF-01.
SPR-PF-01 jako mapa do kontroli KNF
Patrząc na konstrukcję formularza trudno oprzeć się wrażeniu, że to gotowa checklista dla kontrolera z KNF. Pytania nie są przypadkowe. Dotykają procedur, które KNF sprawdzi w pierwszej kolejności przy kontroli stosowania DORA w BUP.
Raport obejmuje m.in.:
- sposób zarządzania ryzykiem ICT,
- polityka i środki bezpieczeństwa informacji.
- zarządzanie ryzykiem związanym z ICT,
- bezpieczeństwo fizyczne i środowiskowe,
- kontrola dostępu,
- bezpieczeństwo operacji ICT,
- bezpieczeństwo danych, systemu i sieci,
- testy bezpieczeństwa ICT,
- pozyskiwanie, rozwój i utrzymanie systemów ICT,
- elementy planu ciągłości działania w zakresie ITC,
- testowanie planów ciągłości działania,
- zarządzanie incydentami związanymi z ICT oraz wykrywanie nietypowych działań i kryteria wykrywania incydentów związanych z ICT,
- zarządzanie ryzykiem ze strony zewnętrznych dostawców usługi ICT, w tym ryzkiem koncentracji,
- prowadzenie rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących z korzystania z usług ICT świadczonych przez zewnętrznych dostawców usługi ICT.
Jeżeli coś zostało wpisane na potrzeby sprawozdania np. SPR-PF-18, a nie działa w praktyce, bardzo łatwo to teraz wychwycić. Właśnie dlatego traktujemy SPR-PF-01 nie jako formularz sprawozdawczy, tylko jako test dojrzałości organizacyjnej BUP w obszarze DORA.
Uproszczone ramy zarządzania ryzykiem w BUP
DORA nie wymaga od biura usług płatniczych budowy korporacyjnego systemu zarządzania ryzykiem. Wymaga adekwatności, dostosowania do specyfiki i charakteru prowadzonej działalności. Dla mikroprzedsiębiorstwa oznacza to proste, ale spójne ramy.
W praktyce:
- jasno określone systemy ICT, które faktycznie wspierają działalność,
- jedna, realna ścieżka decyzyjna w sytuacjach awaryjnych,
- procedury, które są znane osobom pracującym w biurze, a nie tylko zapisane w plikach,
Dobrze wdrożona DORA w BUP to porządek w dokumentach, ale przede wszystkim porządek w procesach. Sprawozdanie SPR-PF-01 tylko to obnaża.
Termin i system raportowy
Sprawozdanie należy złożyć od 2 lutego 2026 r. wyłącznie przez system CRP KNF. Warto pamiętać, że liczy się nie tylko samo wysłanie formularza, ale również pozytywna walidacja. Błędy formalne, niespójności danych lub nieprawidłowe zależności powodują odrzucenie sprawozdania.
Jak wygląda to w praktyce u naszych partnerów
Większość naszych partnerów ma już sprawozdanie SPR-PF-01 złożone, a walidacja zakończyła się sukcesem. To efekt wcześniejszego uporządkowania procedur, systemów ICT i podejścia do DORA jako procesu, a nie jednorazowego obowiązku.
Jeżeli prowadzisz biuro usług płatniczych i jeszcze nie masz pewności, czy Twoje sprawozdanie SPR-PF-01 przejdzie walidację bez problemów, albo dopiero przygotowujesz się do raportowania DORA, skontaktuj się z nami.
Pomagamy BUP-om przejść przez DORA spokojnie, bez chaosu i bez ryzyka „papierowej zgodności”. Zapraszamy do rozmowy i współpracy.
DORA (Digital Operational Resilience Act) to rozporządzenie Unii Europejskiej wzmacniające odporność cyfrową instytucji finansowych, takich jak banki, dostawców usług płatniczych, firmy ubezpieczeniowe i inwestycyjne, oraz dostawców usług ICT, poprzez wprowadzenie jednolitych zasad zarządzania ryzykiem technologicznym (ICT), raportowania incydentów i testowania systemów, aby chronić stabilność sektora finansowego przed cyberatakami i awariami.
