Wymogi techniczne dla skarbców, sejfów depozytowych i wrzutni w bankach komercyjnych — klasy odporności wg PN-EN 1143-1, rekomendacje KNF, wpływ DORA.
Dostarczamy sejfy, skarbce, drzwi antywłamaniowe i pełne pomieszczenia specjalne — rozwiązania spełniające wskazane obowiązki techniczne, z certyfikatami OC SITB i wsparciem od projektu po montaż.
20 obowiązków w bazie
Rodzaj zabezpieczenia
Tryb / stopień alarmowy
Stopnie alarmowe dodają przedsięwzięcia do obowiązków stałych — nie zastępują ich. Przy wyższym stopniu wykonuje się również zadania stopni niższych (rozporządzenie PRM, t.j. Dz.U. 2022 poz. 2065). Przedsięwzięcia stopni alarmowych obowiązują wprost organy administracji publicznej oraz służby; podmioty prywatne — gdy ich obiekty znajdują się w wykazach obszarów i obiektów podlegających obowiązkowej ochronie albo infrastruktury krytycznej.
MechaniczneObowiązek stałyBank krajowy
Skarbiec — odporność mechaniczna (klasa wg PN-EN 1143-1)
Skarbiec klasy ≥V wg PN-EN 1143-1; drzwi tej samej klasy lub wyższej
„Zabezpieczenie techniczne wartości pieniężnych podczas ich przechowywania (...) następuje przez zastosowanie pomieszczeń i urządzeń. Klasy wg PN-EN 1143-1 — zał. nr 1." — § 3 i § 14, zał. nr 1
Akt PL:
Dz.U. 2016 poz. 793 (TJ rozp. wartości pien.)
Norma:
PN-EN 1143-1, PN-EN 1300
Certyfikacja:
Atest IMP / cert. jedn. notyf.
Rekomendacja:
Rekomendacja M KNF
Praktyka: W praktyce klasę skarbca dobiera się do limitu przechowywanych wartości: jednostka obliczeniowa (j.o.) to 120-krotność przeciętnego wynagrodzenia, a wymagana klasa skarbca i drzwi skarbcowych wg PN-EN 1143-1 rośnie wraz z j.o.
Skarbiec — system sygnalizacji włamania i napadu (SSWiN)
SSWiN stopnia 3 (Grade 3; dawn. SA3) z transmisją do stacji monitorowania
„Elektroniczne systemy zabezpieczeń (...). W razie niesprawności trwającej > 12 godz. wprowadza się ochronę fizyczną." — § 4, zał. nr 1 cz. III
Akt PL:
Dz.U. 2016 poz. 793
Akt UE:
DORA 2022/2554 art. 7-8
Norma:
PN-EN 50131 St. 3, PN-EN 50136
Certyfikacja:
Cert. zgodności PN-EN 50131
Rekomendacja:
Rekomendacja D KNF
Praktyka: SSWiN stopnia 3 z transmisją do stacji monitorowania zapewnia stały dozór skarbca; monitoring 24/7 wpisuje się zarazem w wymagania DORA dotyczące raportowania incydentów do KNF.
VSS (dozór wizyjny) z archiwizacją min. 30 dni; pokrycie wszystkich wejść do skarbca
„Elektroniczne systemy zabezpieczeń budynków, pomieszczeń, urządzeń (...)." — § 3 ust. 1 pkt 3
Akt PL:
Dz.U. 2016 poz. 793 + RODO art. 32
Akt UE:
RODO 2016/679 art. 32
Norma:
PN-EN 62676
Rekomendacja:
Wytyczne UODO ws. monitoringu wizyjnego (2024)
Praktyka: Ogólny limit 3 miesięcy retencji nagrań ustępuje przepisowi szczególnemu o wartościach pieniężnych (lex specialis). W praktyce archiwizację projektuje się na min. 30 dni z pokryciem wszystkich wejść do skarbca.
Sejf klasy ≥III wg PN-EN 1143-1 dla wartości > 0.2 j.o.
„Wymagania techniczne sejfów dla różnych ilości j.o. — zał. nr 1." — § 3, zał. nr 1 cz. I tabela
Akt PL:
Dz.U. 2016 poz. 793
Norma:
PN-EN 1143-1, PN-EN 14450 (S1/S2 — tylko < 0.2 j.o.)
Certyfikacja:
Atest IMP
Praktyka: Progi wartości dla poszczególnych klas sejfów określa załącznik nr 1 do rozporządzenia. Dla wartości poniżej 0,2 j.o. dopuszcza się szafę klasy S1 lub S2 wg PN-EN 14450, powyżej — sejf co najmniej klasy III.
Bankowóz A — > 24 j.o.; B — 8-24 j.o.; C — do 8 j.o. + IBNS
„§ 6: > 1 j.o. transport bankowozem. § 7: > 24 j.o. — bankowóz typu A." — § 6, § 7, § 14, zał. nr 4
Akt PL:
Dz.U. 2016 poz. 793
Norma:
PN-EN 1063, PN-EN 1522
Certyfikacja:
Świadectwo homologacji (typ A/B/C)
Praktyka: Typ bankowozu dobiera się do limitu transportowanych wartości: powyżej 24 j.o. wymagany jest typ A, w przedziale 8–24 j.o. typ B, a do 8 j.o. typ C z systemem IBNS.
ElektroniczneDodatkowo od stopnia BRAVOBank krajowy
Centrala banku (OOO) — przedsięwzięcia stopnia BRAVO
BRAVO+: kontrola wstępu, sprawdzanie pojazdów, dyżury 24h
„Po wprowadzeniu BRAVO: kontrola wstępu osób i pojazdów, dyżury 24h, ograniczenie wstępu." — § 6 rozp. stopni alarmowych
Praktyka: Centrale banków figurują zwykle w prowadzonym przez wojewodę wykazie obszarów i obiektów podlegających obowiązkowej ochronie. Po ogłoszeniu stopnia BRAVO oznacza to kontrolę wstępu, sprawdzanie pojazdów i całodobowe dyżury.
„Banki jako podmioty kluczowe NIS2 stosują środki techniczne i organizacyjne odpowiednie do ryzyka, w tym zarządzanie ryzykiem łańcucha dostaw, kontrolę dostępu, kryptografię, plan ciągłości." — art. 8 KSC + art. 13 KSC
Praktyka: Zgodnie z art. 5 DORA organ zarządzający ponosi ostateczną, osobistą odpowiedzialność za zarządzanie ryzykiem ICT. W praktyce polityki i procedury wymagają formalnego zatwierdzenia przez zarząd.
Identyfikacja i klasyfikacja zasobów ICT; rejestr zasobów krytycznych
„Bank inwentaryzuje zasoby ICT, klasyfikuje pod kątem krytyczności i wprowadza środki adekwatne do klasyfikacji." — art. 8 KSC
Akt PL:
Dz.U. 2026 poz. 20 + 252
Akt UE:
DORA 2022/2554 art. 8
Norma:
ISO/IEC 27001 A.8 (zarządzanie aktywami)
Certyfikacja:
Audyt ISO 27001 (zalecany)
Praktyka: Klasyfikacja zasobów ICT wskazuje w praktyce, które pomieszczenia serwerowni wymagają zaostrzonej kontroli dostępu fizycznego — rejestr zasobów krytycznych warto powiązać z ich fizyczną lokalizacją.
Ochrona i zapobieganie — kontrola dostępu, segregacja środowisk, kryptografia
„Środki bezpieczeństwa proporcjonalne do ryzyka — kontrola dostępu, autentykacja, szyfrowanie w tranzycie i w spoczynku." — art. 8 ust. 2 KSC
Akt PL:
Dz.U. 2026 poz. 20 + 252
Akt UE:
DORA 2022/2554 art. 9
Norma:
ISO/IEC 27001 A.5-A.18
Rekomendacja:
Rekomendacja D KNF
Praktyka: DORA wymaga stosowania kryptografii zgodnie ze stanem wiedzy. Kontrola dostępu powinna obejmować także warstwę fizyczną — wejście do pomieszczenia serwerowni ograniczone i rejestrowane.
Serwerownia — kopie zapasowe i odtwarzanie (RPO/RTO)
Kopie zapasowe i odtwarzanie po incydencie — RPO/RTO określone, testowane
„Zarządzanie incydentami obejmuje plan ciągłości działania, kopie zapasowe, testy odtwarzania." — art. 13 KSC
Akt PL:
Dz.U. 2026 poz. 20 + 252
Akt UE:
DORA 2022/2554 art. 12
Norma:
ISO/IEC 22301
Praktyka: Testy kopii zapasowych i odtwarzania przeprowadza się minimum raz w roku, a w podmiotach krytycznych częściej. Parametry RPO/RTO warto weryfikować w ćwiczeniach, a nie tylko deklarować w dokumentacji.
Raportowanie incydentów do KNF — 24h od wykrycia (poważny), 4h dla najpoważniejszych
„Raporty wstępne, pośrednie i końcowe — w określonych terminach." — art. 13a KSC
Akt PL:
Dz.U. 2026 poz. 20 + 252
Akt UE:
DORA 2022/2554 art. 19
Praktyka: KNF jest organem właściwym dla DORA w Polsce, a incydenty zgłasza się przez portal KNF. Warto z góry przypisać role, by dotrzymać terminów 24h dla poważnych i 4h dla najpoważniejszych incydentów.
Praktyka: Rejestr umów ICT prowadzi się w formacie określonym w RTS i raportuje do KNF. Umowy z dostawcami powinny zawierać obowiązkowe klauzule dotyczące subkontraktorów, prawa audytu i strategii wyjścia.
TLPT (Threat-Led Penetration Testing) dla podmiotów krytycznych
„Testy penetracyjne kierowane zagrożeniami — symulacja działań realnego adwersarza."
Akt UE:
DORA 2022/2554 art. 26-27
Norma:
TIBER-EU framework
Praktyka: Testy TLPT przeprowadza się co 3 lata dla istotnych systemów krytycznych. Obowiązek dotyczy wyłącznie większych banków wskazanych przez KNF jako podlegające TLPT.
Bank spółdzielczy — system ICT (DORA z proporcjonalnością)
DORA zwykle stosowana z proporcjonalnością — banki spółdzielcze często traktowane jako 'mikropodmioty' (próg 20-30 mln € aktywów / 11 osób)
„DORA przewiduje uproszczenia dla mikropodmiotów i mniejszych podmiotów finansowych — proporcjonalność wymagań."
Akt PL:
ustawa o funkcjonowaniu banków spółdzielczych Dz.U. 2025 poz. 265
Akt UE:
DORA 2022/2554 art. 4 (zasada proporcjonalności)
Rekomendacja:
Rekomendacja D KNF (banki spółdzielcze stosują proporcjonalnie)
Praktyka: Na mocy art. 4 ust. 2 DORA mikropodmioty stosują uproszczone ramy zarządzania ryzykiem ICT. Banki spółdzielcze mają zwykle niższe wymagania w obszarze TLPT i audytów, lecz pełne w zakresie raportowania incydentów.
Praktyka: Banki spółdzielcze w mniejszych miejscowościach z reguły nie figurują w wykazie obiektów podlegających obowiązkowej ochronie. Podstawą pozostają wtedy dozór wizyjny (VSS), system alarmowy i ochrona w godzinach pracy.