Walidacja Sprawozdania DORA przez EUNB w naszej grupie: bez błędów. DORA w BUP Gi Pay pod kontrolą.
Kilka słów celem podsumowania:
Zakres i terminy sprawozdawczości DORA
Zgodnie z komunikatami KNF, obowiązki sprawozdawcze wynikające z DORA realizowane są wyłącznie elektronicznie przez dedykowany System Sprawozdawczości DORA (CRP). KNF stworzyła specjalny portal („System Sprawozdawczości DORA”) do wymiany formularzy oraz osobny system do zgłaszania incydentów ICT. Właśnie przez ten portal podmioty finansowe (także BUP) pobierają obowiązujące formularze sprawozdawcze, wypełniają je offline (np. w Excelu) i przesyłają z powrotem do KNF. Pierwsze obowiązki sprawozdawcze na podstawie DORA rozpoczęły się 17 stycznia 2025 r.
W praktyce regulator wezwał instytucje do przekazania pełnego rejestru informacji o umowach ICT do końca kwietnia 2025 r. – pierwsza tura zakończyła się 28 kwietnia 2025 r. (termin składania formularza SPR-PF-18 został wydłużony).
Dla podmiotów, które opóźniły się ze zgłoszeniem, KNF otworzyło drugi etap – uzupełniający rejestry do końca maja 2025 r. (o czym KNF informował na bieżąco).
Kolejne sprawozdania (np. na temat testów ciągłości działania czy wyników testów odporności) oraz raporty incydentów realizowane są według osobnych procedur i harmonogramów wynikających z DORA i komunikatów KNF.
Formy sprawozdań DORA – SPR-PF-18, 19, 20 i inne
KNF udostępnia szereg formularzy sprawozdawczych DORA z oznaczeniem „SPR-PF-xx”. Kluczowe dla BUP są m.in.:
SPR-PF-18 – „Sprawozdanie dotyczące rejestru informacji” – pełny rejestr wszystkich umownych ustaleń dotyczących korzystania z usług ICT (z krytycznymi lub istotnymi funkcjami). W tym formularzu wypisuje się wszystkie aktualnie zawarte umowy ICT oraz dane identyfikujące dostawców usług (np. kod LEI).
SPR-PF-19 – „Sprawozdanie dotyczące planowanych ustaleń umownych…” – dotyczy planowanych (zawartych lub przewidywanych) umów na usługi ICT wspierające funkcje krytyczne lub istotne.
SPR-PF-20 – „Sprawozdanie dotyczące planowanych ustaleń umownych…” – podobnie jak SPR-PF-19, ale dla sytuacji, gdy dana funkcja stała się krytyczna/istotna w trakcie świadczenia usługi.
Ponadto istnieją inne formularze (np. SPR-PF-03 dotyczące testów ciągłości ICT, SPR-PF-07 – wstępne powiadomienie itp.), które KNF będzie wykorzystywać w kolejnych etapach. Warto zapoznać się z listą dostępnych formularzy na stronie KNF. Obecnie kluczowym pierwszym zadaniem dla BUP było wypełnienie formularza SPR-PF-18 i przekazanie go do KNF w wyznaczonym terminie.
Przygotowanie i przesyłka sprawozdań
Proces przygotowania sprawozdania DORA rozpoczyna się od zebrania wewnątrz firmy wszystkich niezbędnych danych: listy umów na usługi ICT (szczególnie te dotyczące funkcji krytycznych/istotnych), dane dostawców (LEI, nazwy, kraj przetwarzania danych), informacji o funkcjach biznesowych, datach obowiązywania umów, itp. Następnie:
Należy zalogować się do Systemu Sprawozdawczości DORA (portal CRP KNF: https://crp.knf.gov.pl) i pobrać najnowsze formularze oraz Instrukcję wypełniania.
Wypełnić formularz offline (arkusz Excel) zgodnie z instrukcją, uzupełniając wszystkie obowiązkowe pola. Formularz zawiera przygotowane arkusze (np. „Ustalenia umowne – informacje ogólne”, „Zewnętrzni dostawcy usług ICT” itp.) z odpowiednimi kodami kolumn. Należy stosować tylko dopuszczalne kody i listy rozwijane, jak opisano w instrukcji.
Upewnić się, że firma posiada aktywny kod LEI (identyfikator jednostki prawnej) – DORA wymaga jego podawania dla wszystkich podmiotów prawnych (zwłaszcza zagranicznych dostawców).
BUP mają obowiązek posiadania kodu LEI, bez tego kodu nie można złożyć sprawozdania do systemu KNF.
Po wypełnieniu, zalogować się ponownie do CRP i zaimportować wypełniony plik. System automatycznie zweryfikuje poprawność danych (walidacje zgodnie z instrukcją). Należy przejrzeć ewentualne komunikaty o błędach i je poprawić.
Po prawidłowej walidacji przesłać formularz do KNF. System powinien wygenerować potwierdzenie złożenia raportu. Kopię wysłanego pliku i potwierdzenia warto zachować.
W procesie warto korzystać z pomocy udostępnionej przez KNF – na stronie KNF dostępne są instrukcje wypełniania oraz film instruktażowy „Jak wypełnić i przekazać formularz sprawozdania DORA”
KNF prowadziło szkolenia i webinaria (CEDUR) omawiające szczegóły poszczególnych formularzy, co znacznie ułatwiło rzetelne przygotowanie danych.
Praktyczne wskazówki i najczęstsze błędy
Aktualność formularzy: Zawsze pobieraj najnowszą wersję formularza z CRP. Po aktualizacjach (np. kwietniowa aktualizacja SPR-PF-18) trzeba wypełnić dane na nowym szablonie.
Kody i formaty: Upewnij się, że wpisujesz kody zgodnie z instrukcją. Ponadto firma spoza UE powinna mieć wpisany wyłącznie kod LEI – alternatywny kod jest dopuszczalny tylko dla osób fizycznych prowadzących działalność.
Pole „Kraj przetwarzania danych”: Nie zostawiaj wartości „EOG” ani ogólników – wybierz konkretny kraj z listy rozwijanej.
Wypełnianie pól i dat: Nie pomijaj pól wymaganych (np. dat, nazw). Dokładnie czytaj nagłówki kolumn w pliku – przykładowo kod 0090 w arkuszu „Ustalenia umowne – szczegółowe” dotyczy przyczyny zakończenia umowy.
Podawaj daty w formacie zgodnym z instrukcją (najczęściej RRRR-MM-DD).
Sprawdzanie poprawności: Wykonaj samodzielną weryfikację przed wysłaniem: czy liczba wierszy jest adekwatna, czy każdy dostawca ma poprawny LEI lub kod, czy nie występują błędy walidacyjne w kolejnych arkuszach. Dzięki temu unikniesz wielokrotnego uzupełniania tych samych danych.
Terminowość: Zwróć uwagę na terminy. Pierwszy termin (SPR-PF-18) upłynął w kwietniu 2025, ale gdyby zdarzył się nowy podobny obowiązek (np. okresowe aktualizacje rejestru), warto przygotować dane z wyprzedzeniem.
