Co musi umieć system DMS, żeby przejść przez kontrolę KNF i DORA?

Spis treści

Audytowalność i pełna ścieżka dokumentu

Zgodność z politykami bezpieczeństwa

Obsługa dokumentów regulacyjnych

Gotowość na incydenty i odzyskiwanie danych

Integracje i gotowość do raportowania

Wnioski?

FAQ – najczęstsze pytania o zgodność systemu DMS z KNF i DORA

System DMS (Document Management System) w sektorze finansowym nie jest już tylko repozytorium plików. To narzędzie strategiczne – wspiera zgodność z regulacjami, automatyzuje obieg dokumentów i zabezpiecza dane. Wprowadzenie Rozporządzenia DORA, obowiązującego od 17 stycznia 2025 r., diametralnie zmienia wymagania wobec instytucji finansowych. DORA nie pyta „czy masz DMS” – tylko „czy wspiera on odporność cyfrową Twojej firmy”.

Wybór dostawcy systemu DMS nie może opierać się dzisiaj tylko na znanej nazwie. System musi pasować do procesów, ludzi i ryzyk danej organizacji. Zarówno KNF, jak i DORA stawiają konkretne wymagania, których nie da się spełnić, jeśli DMS to tylko cyfrowe archiwum. 

Audytowalność i pełna ścieżka dokumentu 

Dobry DMS śledzi każdą operację: kto, co, kiedy i dlaczego. Logi aktywności (audit trail), wersjonowanie dokumentów i możliwość generowania raportów z historią to warunki niezbędne do przejścia kontroli.

Zgodnie z DORA (art. 9) oraz praktyką KNF instytucja musi wykazać rozliczalność – np. w procesie zatwierdzania aneksu do umowy. Dodatkowym atutem systemu jest opcja podglądu PDF, możliwość segregacji dokumentów oraz rozbudowane ustawienia powiadomień.

                   

Zgodność z politykami bezpieczeństwa

Bezpieczeństwo w DMS to nie tylko szyfrowanie. System musi umożliwiać zarządzanie dostępem według ról i uprawnień, działać w oparciu o zasadę najmniejszych uprawnień i oferować uwierzytelnianie dwuskładnikowe (MFA), również dla zewnętrznych partnerów. DORA (art. 6, 10) oraz zalecenia KNF z 2023 r. jasno wskazują obowiązki w tym zakresie. System powinien być zgodny z ISO 27001, a jego architektura skalowalna i elastyczna. Dobrze, jeśli wspiera integrację z IAM/AD i dostępność na urządzeniach mobilnych.

Obsługa dokumentów regulacyjnych

DMS w instytucji finansowej musi obsługiwać dokumenty AML, RODO, MiFID II, a także wewnętrzne polityki compliance. Powinien umożliwiać automatyczne przypomnienia o przeglądach, kategoryzację dokumentów, stosowanie checklist oraz definiowanie ścieżek akceptacyjnych.

Według DORA (art. 14, 56) i KNF, organizacja musi aktywnie zarządzać cyklem życia dokumentu – od utworzenia, przez przechowywanie, po bezpieczne usunięcie. Funkcja samodzielnej modyfikacji procesów to dodatkowy plus.

Gotowość na incydenty i odzyskiwanie danych

DORA (art. 11 i 15) wymaga gotowości na awarie i incydenty – także po stronie dostawcy systemu. DMS powinien wspierać kopie zapasowe zgodnie z zasadą 3-2-1, oferować funkcję „legal hold” (zamrożenie danych), a także prowadzić dzienniki zdarzeń umożliwiające analizę post-mortem.

KNF nakłada konkretne RTO i RPO – np. poniżej 4h odzysku systemu w bankach systemowych. System musi wspierać integrację z narzędziami SIEM, DRP, BCP i zapewniać rzeczywistą ciągłość działania.

Integracje i gotowość do raportowania

DMS musi być otwarty – umożliwiać integrację przez API z systemami księgowymi, CRM, GRC, e-doręczeniami czy podpisami elektronicznymi (np. mSzafir, ePUAP). Raportowanie do KNF (np. SSD, SOID) wymaga szybkiego dostępu do dokumentacji, generowania raportów i zestawień.

DORA nakłada obowiązek zgłaszania incydentów, monitorowania dostawców ICT oraz archiwizowania danych nawet do 15 lat. Warto zwrócić uwagę na systemy zintegrowane z GUS i NBP – co przyspiesza pracę zespołów księgowych i compliance.

Warto wiedzieć:

Od 1 kwietnia 2025 r. wiele podmiotów musi korzystać z e-Doręczeń. DMS musi więc integrować się z systemem ePUAP, mSzafir czy Profilem Zaufanym – i obsługiwać kwalifikowane podpisy elektroniczne. 

Wnioski?

DMS to dziś narzędzie strategiczne – wspiera zgodność, bezpieczeństwo i cyfrową odporność organizacji. DORA i KNF jasno definiują obowiązki, a kontrola dotyczy nie deklaracji, lecz działania. Przed wyborem dostawcy warto ocenić nie tylko funkcje, ale też workflow, integracje i gotowość do raportowania.

FAQ – najczęstsze pytania o zgodność systemu DMS z KNF i DORA

Czy każda instytucja finansowa musi mieć DMS zintegrowany z e-Doręczeniami?

Tak – od 1 kwietnia 2025 r. wiele podmiotów (m.in. ASI, TFI, instytucje objęte NIS2) musi korzystać z e-Doręczeń. Oznacza to konieczność integracji z systemami takimi jak ePUAP, Profil Zaufany czy mSzafir. System DMS musi obsługiwać kwalifikowane podpisy elektroniczne i umożliwiać wymianę dokumentów zgodnie z przepisami.

Czy DMS musi mieć funkcję „legal hold”? Co to właściwie znaczy?

Tak. „Legal hold” to możliwość tymczasowego zamrożenia dokumentów, które nie mogą być usunięte lub zmienione – np. w trakcie kontroli KNF, audytu lub postępowania sądowego. To obowiązkowa funkcjonalność w instytucjach finansowych. Jeśli jej nie ma, system nie spełnia wymogów ciągłości i zgodności z DORA.

Jak często trzeba testować plany awaryjne i kopie zapasowe?

Zgodnie z DORA: minimum raz w roku, a w razie istotnych zmian – bezzwłocznie. KNF również precyzuje częstotliwość: w bankach systemowo istotnych testy powinny potwierdzać, że odzysk systemu (RTO) trwa <4 godz., a dane (RPO) są odtwarzane w czasie krótszym niż 15 minut. DMS powinien wspierać testowe odtwarzanie backupów i przełączanie awaryjne.

Czy wystarczy, że mam DMS, który przechowuje dokumenty cyfrowo?

Nie. DORA i KNF nie oceniają „czy masz system”, tylko czy działa zgodnie z przepisami. Dokumenty to nie tylko pliki – to elementy procesów, ścieżki decyzyjnej i historii organizacji. DMS musi m.in. rejestrować zmiany, wspierać szyfrowanie, integrować się z innymi systemami i umożliwiać raportowanie incydentów do nadzoru.

Czy każdy system DMS spełnia wymagania DORA?

Nie. Wiele rozwiązań DMS koncentruje się na archiwizacji, a nie na zgodności regulacyjnej. System, który nie wspiera audytowalności, retencji, legal hold, testów awaryjnych, integracji z systemami nadzorczymi i podpisami kwalifikowanymi, nie przejdzie pozytywnie kontroli KNF.