Akcja sprawozdawcza z SPR-PF-01 dla naszych biur usług płatniczych jest już formalnie zamknięta. Status „proces walidacji zakończony sukcesem” w każdym BUP.
Na tym jednak obowiązki się nie kończą.
Następnym wymaganym raportem jest formularz SPR-PF-30 – Sprawozdanie roczne dotyczące kluczowych wskaźników ryzyka dla obszaru ICT, czyli tzw. roczna ankieta KRI. Termin złożenia upływa 9 lutego 2026 r.
Podstawą prawną są:
art. 50 ust. 1 DORA oraz art. 50 ust. 2 lit. a DORA
Obowiązek dotyczy podmiotów nadzorowanych stosujących uproszczone ramy zarządzania ryzykiem ICT, a więc dokładnie tej grupy, do której zaliczają się biura usług płatniczych.
Czym w praktyce jest ankieta KRI
SPR-PF-30 nie jest klasycznym „raportem ilościowym”. To zestaw kluczowych wskaźników ryzyka, które mają pokazać KNF, jak realnie wygląda odporność cyfrowa BUP-u w ciągu roku.
Zakres raportowania
Zakres raportowania obejmuje stan, zdarzenia oraz działania w obszarze ICT i bezpieczeństwa ICT, odnoszące się do systemów, zasobów, procesów oraz organizacji, zgodnie z wymogami Rozporządzenia DORA, z uwzględnieniem uproszczonych ram zarządzania ryzykiem ICT.
1. Zakres systemowy i technologiczny
Raportowaniem objęte są:
- Systemy ICT rozumiane jako aplikacje lub zbiory powiązanych aplikacji służących do przetwarzania, gromadzenia lub udostępniania danych, wykorzystywane wyłącznie w środowisku produkcyjnym.
- Systemy własne oraz wynajmowane/hostowane, w tym dostarczane przez podmioty zewnętrzne lub podmioty z tej samej grupy kapitałowej.
- Systemy i zasoby ICT wspierające funkcje krytyczne lub istotne (KLIF).
Z raportowania wyłączone są:
narzędzia typu End-User Computing,
incydenty dotyczące infrastruktury klienta końcowego (np. phishing na urządzeniu klienta).
2. Zakres funkcjonalny (KLIF)
Raportowanie obejmuje:
- identyfikację liczby funkcji krytycznych lub istotnych (KLIF),
- liczbę systemów, usług ICT, zasobów (hostów), dostawców i danych informacyjnych wspierających KLIF,
- ocenę krytyczności zasobów oraz ich ujęcie w analizach ryzyka ICT.
3. Zakres bezpieczeństwa ICT i odporności operacyjnej
Zakres obejmuje w szczególności:
- incydenty ICT, w tym incydenty krytyczne, zgodnie z definicją art. 3 ust. 8 DORA,
- awarie, podatności (w tym krytyczne) oraz ich status usunięcia,
- testy bezpieczeństwa (wewnętrzne i zewnętrzne), testy kopii zapasowych, testy planów ciągłości działania,
- uruchomienia środków reagowania i przywracania sprawności ICT,
- zmiany w środowisku ICT realizowane w ramach sformalizowanego procesu zarządzania zmianą.
4. Zakres organizacyjny i dostępowy
Raportowanie obejmuje:
- konta użytkowników (w tym uprzywilejowane, administracyjne i serwisowe) w środowiskach wewnętrznych i zewnętrznych,
- przeglądy uprawnień oraz wykryte nieprawidłowości,
- strefy o ograniczonym dostępie fizycznym,
- zasoby ludzkie przypisane do obszaru ICT i bezpieczeństwa ICT (w przeliczeniu na etaty).
5. Zakres relacji z dostawcami ICT
Uwzględnia się:
- liczbę dostawców ICT wspierających KLIF,
- audyty i kontrole dostawców ICT,
- liczbę krytycznych zaleceń poaudytowych pozostających do realizacji,
- incydenty i uruchomienia planów ciągłości wynikające z awarii po stronie dostawców.
6. Zakres finansowy i szkoleniowy
Raportowanie obejmuje:
- budżety i wydatki w obszarze ICT oraz bezpieczeństwa ICT,
- wydatki i budżety związane z operacyjną odpornością cyfrową (dla podmiotów stosujących uproszczone ramy),
- nakłady na szkolenia oraz liczbę przeszkolonych pracowników.
7. Zasady raportowania danych
Wartości mierników raportowane są na koniec okresu sprawozdawczego, w trakcie okresu lub za ostatnie 12 miesięcy – zgodnie z definicją danego miernika.
Wartości liczbowe raportowane są jako:
– liczby całkowite,
– liczby zmiennoprzecinkowe (do 2 miejsc),
– daty w formacie RRRR-MM-DD.
W przypadku braku danych lub braku zastosowania danego miernika należy odpowiednio uzupełnić pole „Wyjaśnienie braku wartości” zgodnie z instrukcją.
Wielu przedsiębiorców traktuje ankietę KRI jako „prostą tabelkę do wypełnienia”. Tymczasem jest to dokument, który pokazuje, czy deklarowane w procedurach zarządzanie ryzykiem ICT faktycznie działa w praktyce.
DORA w BUP to proces, nie jednorazowa akcja. To proces który działa cyklicznie.
Jeżeli prowadzisz biuro usług płatniczych i działasz samodzielnie, a temat DORA i sprawozdawczości do KNF zaczyna Cię realnie obciążać, zapraszamy do kontaktu i współpracy, zanim kolejny termin stanie się problemem.
