3 czerwca 2026 r. europejskie organy nadzoru – EBA, EIOPA i ESMA (łącznie: „ESA”) – opublikowały pierwszy roczny raport o poważnych incydentach ICT w unijnym sektorze finansowym, przygotowany na podstawie art. 22 ust. 2 rozporządzenia DORA. Po raz pierwszy dane o incydentach ICT z całego sektora finansowego UE zostały zebrane, zanonimizowane i zagregowane w ramach jednolitego mechanizmu raportowania.
Raport stanowi punkt odniesienia dla kształtowania oczekiwań nadzorczych wobec odporności cyfrowej instytucji finansowych oraz pokazuje, które obszary zarządzania ryzykiem ICT będą w praktyce wymagały najpilniejszego wzmocnienia.
Skala i charakter zagrożeń: co mówią dane
Raport obejmuje 3 383 poważne incydenty ICT zgłoszone w 2025 r., czyli średnio 282 incydenty miesięcznie. Znaczenie tych danych nie sprowadza się jednak do samej skali, lecz do struktury incydentów i ich konsekwencji dla sposobu zarządzania odpornością operacyjną.
Ponad 60% incydentów dotyczyło sektora kredytowego, a 16% sektora płatniczego, co potwierdza, że ryzyko operacyjne ICT koncentruje się tam, gdzie infrastruktura jest najbardziej złożona, a ciągłość usług ma największe znaczenie systemowe.
Jedna trzecia incydentów miała charakter transgraniczny, a 8% dotknęło ponad 10 państw członkowskich. Dane te potwierdzają, że awaria jednego dostawcy lub elementu infrastruktury może wywołać skutki kaskadowe w całej Europie, dlatego odporność operacyjna nie może być oceniana wyłącznie z perspektywy lokalnej instytucji.
Istotnym wnioskiem jest również to, że cyberataki odpowiadały jedynie za ok. 10% incydentów, podczas gdy awarie systemowe stanowiły 51%, a zdarzenia zewnętrzne – 27%. Najczęstsze techniki ataków, takie jak DDoS, eksfiltracja danych i kradzież tożsamości, pozostają istotne, ale raport pokazuje, że równie duże ryzyko wynika z kompleksowości infrastruktury, zależności od dostawców oraz podatności na zakłócenia zewnętrzne.
Szczególnie istotny pozostaje wymiar dostawców zewnętrznych: 29% poważnych incydentów powstało w wyniku awarii po stronie podmiotów trzecich. W połączeniu z wynikami ćwiczenia dry-run z 2024 r., w którym jedynie 6,5% z niemal 1 000 instytucji pomyślnie przeszło wszystkie kontrole jakości danych w rejestrze informacji, wskazuje to, że zarządzanie ryzykiem dostawców ICT pozostaje jednym z najsłabszych ogniw sektora.
Dojrzałość raportowania i wyzwania compliance
Raport wskazuje również na potrzebę dalszego uspójnienia praktyk raportowania. 15% zgłoszeń nie miało raportu końcowego, podobny odsetek podmiotów nie uzupełnił pola kosztów, a ok. 40% incydentów wykazało zerowe koszty. ESA podkreślają, że często jest to efekt błędnego raportowania, a nie rzeczywistego braku kosztów. Zgodnie z wytycznymi oraz Q&A 2025_7439 kalkulacja powinna obejmować m.in. czas pracy personelu, nadgodziny, rekonfigurację infrastruktury, odszkodowania dla klientów i kary kontraktowe. Brak metodyki szacowania kosztów może więc prowadzić do problemów walidacyjnych, odrzucenia zgłoszeń lub ryzyka sankcji administracyjnych.
Kierunki działań dla instytucji
Z perspektywy instytucji finansowych raport przekłada się na cztery praktyczne priorytety. Po pierwsze, konieczny jest kompleksowy przegląd zarządzania ryzykiem dostawców ICT, obejmujący pełny łańcuch zależności oraz ocenę ryzyka koncentracji. Po drugie, ramy ciągłości działania powinny zostać rozszerzone o scenariusze zdarzeń zewnętrznych, takich jak regionalne awarie zasilania, zakłócenia telekomunikacyjne lub katastrofy naturalne. Po trzecie, strategia cyberbezpieczeństwa powinna uwzględniać zagrożenia wspierane przez AI, w tym rozwój mechanizmów detekcji anomalii i integrację z threat intelligence. Po czwarte, instytucje powinny wdrożyć spójną metodykę szacowania kosztów incydentów, aby ograniczyć ryzyko błędów raportowych.
Od raportowania do nadzoru
W 2026 r. ESA planują wdrożenie narzędzia IT z automatycznymi kontrolami walidacyjnymi, a rejestr informacji DORA ma zostać powiązany z danymi o incydentach. Oznacza to przejście od formalnego raportowania do bardziej analitycznego nadzoru, w którym jakość danych, identyfikacja zależności od dostawców i spójność procesów incydentowych będą miały bezpośrednie znaczenie dla oceny instytucji.
Przekaz dla banków, instytucji płatniczych i ubezpieczycieli jest jasny: compliance ICT nie powinno być traktowane jako jednorazowy projekt wdrożeniowy, lecz jako stały element zarządzania odpornością cyfrową. Dotychczasowe założenia dotyczące raportowania incydentów, zarządzania dostawcami i ciągłości działania mogą okazać się niewystarczające wobec rosnących oczekiwań nadzorczych.
Najważniejsze wnioski
Podmioty finansowe powinny traktować odporność cyfrową jako element zarządzania biznesową ciągłością działania, a nie wyłącznie jako obszar cyberbezpieczeństwa - raport pokazuje, że istotne ryzyka wynikają również z awarii systemowych, zdarzeń zewnętrznych i złożoności infrastruktury ICT.
Priorytetem na najbliższy okres powinno być wzmocnienie nadzoru nad dostawcami ICT, w tym lepsze mapowanie zależności, ocena ryzyka koncentracji oraz poprawa jakości danych w rejestrze informacji DORA.
Instytucje powinny uporządkować proces raportowania incydentów, w szczególności w zakresie kompletności raportów końcowych i metodyki kalkulacji kosztów, ponieważ jakość danych raportowych będzie coraz silniej wpływać na ocenę nadzorczą.
Raport ESA wskazuje na przesunięcie oczekiwań nadzorczych z formalnego spełnienia wymogów DORA na faktyczną skuteczność procesów zarządzania ryzykiem ICT, dlatego podmioty finansowe powinny regularnie testować i aktualizować swoje ramy odporności operacyjnej.
Zapisz się na newsletter: Prawo
Skontaktuj się z nami
Partner, Adwokat, Warszawa, PwC Polska
Łukasz Łyczko
Jakub Derulski
