Zabezpieczenia dla sektora: Ubezpieczenia i rynek kapitałowy
Wymogi dla zakładów ubezpieczeń, TFI, domów maklerskich — przechowywanie dokumentów polisowych, dostęp do danych klientów, KNF.
Dostarczamy sejfy, skarbce, drzwi antywłamaniowe i pełne pomieszczenia specjalne — rozwiązania spełniające wskazane obowiązki techniczne, z certyfikatami OC SITB i wsparciem od projektu po montaż.
11 obowiązków w bazie
Rodzaj zabezpieczenia
Tryb / stopień alarmowy
Stopnie alarmowe dodają przedsięwzięcia do obowiązków stałych — nie zastępują ich. Przy wyższym stopniu wykonuje się również zadania stopni niższych (rozporządzenie PRM, t.j. Dz.U. 2022 poz. 2065). Przedsięwzięcia stopni alarmowych obowiązują wprost organy administracji publicznej oraz służby; podmioty prywatne — gdy ich obiekty znajdują się w wykazach obszarów i obiektów podlegających obowiązkowej ochronie albo infrastruktury krytycznej.
DORA pełen reżim — ZU jako podmiot finansowy w rozumieniu DORA art. 2
„ZU stosują system zarządzania ICT, plan ciągłości działania, procedury raportowania incydentów do KNF." — art. 31, 36 ustawy + DORA art. 5-30
Akt PL:
Dz.U. 2025 poz. 1526 (TJ ustawy o działalności ubezpieczeniowej i reasekuracyjnej)
Akt UE:
DORA 2022/2554 art. 1-30
Norma:
ISO/IEC 27001, ISO/IEC 22301
Rekomendacja:
Wytyczne KNF dla ZU (ICT i zarządzanie ryzykiem)
Praktyka: Zakłady ubezpieczeń nie podlegają osobnemu sektorowemu rozporządzeniu o cyberbezpieczeństwie — rdzeniem wymagań jest DORA. Poważne incydenty zgłasza się do KNF w ciągu 24 godzin.
ZU jako jednostka organizacyjna UOIN — gdy przetwarza dane mobilizacyjne lub umowy obronne
„Każdy przedsiębiorca wykonujący umowy z dostępem do informacji niejawnych — świadectwo bezpieczeństwa przemysłowego." — art. 1, 14 UOIN
Akt PL:
Dz.U. 2025 poz. 1209 (UOIN)
Norma:
PN-EN 14450 (S2), PN-EN 1627 (RC3+)
Certyfikacja:
Świadectwo bezpieczeństwa przemysłowego III stopnia
Praktyka: Wymóg dotyczy selektywnie zakładów obsługujących ubezpieczenia obronne lub wojskowe. Strefa ochronna III dla klauzuli ZASTRZEŻONE oznacza wtedy m.in. szafę klasy S2 i drzwi o odporności RC3 lub wyższej.
Praktyka: Dla KDPW jako podmiotu krytycznego testy TLPT są obowiązkowe. Równolegle operator utrzymuje plan ochrony infrastruktury krytycznej, a plan odporności wg CER jest w toku transpozycji.
ElektroniczneObowiązek stałyTFI / PTE / Dom maklerski
System ICT TFI/DM
DORA z proporcjonalnością — TFI/DM zwykle nie są podmiotami krytycznymi
„Mniejsze TFI podlegają DORA z proporcjonalnością wg art. 4 ust. 2." — art. 50, 75, 215 ustawy + DORA art. 4
Akt PL:
Dz.U. 2026 poz. 60 (TJ ustawa o funduszach inw.)
Akt UE:
DORA 2022/2554 + UCITS V/AIFMD
Norma:
ISO/IEC 27001 (zalecane)
Rekomendacja:
Wytyczne KNF dla TFI (zarządzanie ryzykiem)
Praktyka: Domy maklerskie obsługujące gotówkę podlegają dodatkowo wymaganiom rozporządzenia o wartościach pieniężnych — obok stosowanej z proporcjonalnością DORA.
MechaniczneObowiązek stałyDom maklerski (z obsługą gotówki klienta)
Sejf / kasa DM
Sejf klasy zależnej od j.o. (zwykle II-III)
Akt PL:
Dz.U. 2016 poz. 793 + Dz.U. 2024 poz. 722
Norma:
PN-EN 1143-1, PN-EN 14450
Certyfikacja:
Atest IMP
Praktyka: Większość domów maklerskich prowadzi wyłącznie rachunki i nie obsługuje gotówki. Jeśli gotówka się pojawia, klasę sejfu dobiera się do limitu w j.o. — zwykle wystarcza klasa II–III.
System ICT KNF do przyjmowania incydentów DORA — dostępność 24/7
„KNF jako organ właściwy dla DORA — odbiera raporty incydentów w czasie rzeczywistym." — DORA art. 19 + art. 13 KSC
Akt PL:
Dz.U. 2025 poz. 640 + DORA + KSC
Akt UE:
DORA art. 19
Norma:
ISO/IEC 27001
Praktyka: Portal KNF do raportowania incydentów DORA działa od 17 stycznia 2025 r. — warto zawczasu nadać uprawnienia osobom odpowiedzialnym za zgłoszenia.
Strefa III ZASTRZEŻONE — dane o stanie banków przed publikacją
„BFG jako jednostka organizacyjna UOIN — dane o restrukturyzacji banków pod klauzulą." — art. 5 ustawy o BFG + UOIN art. 1, 14
Akt PL:
Dz.U. 2025 poz. 643 (TJ ustawa o BFG) + UOIN
Akt UE:
BRRD 2014/59
Norma:
PN-EN 14450 (S2), PN-EN 1627 (RC3+)
Praktyka: BFG przetwarza dane o stanie banków przed publikacją — informacje rynkowo wrażliwe. W praktyce strefa ochronna III oznacza m.in. szafę klasy S2 i drzwi o odporności RC3 lub wyższej.
Threat-Led Penetration Testing — dla największych ZU oznaczonych przez KNF
„TLPT obowiązkowe dla podmiotów istotnych pod kątem ich wpływu na sektor." — DORA art. 26-27
Akt PL:
Dz.U. 2025 poz. 1526 + DORA
Akt UE:
DORA 2022/2554 art. 26-27 + ESA RTS
Norma:
TIBER-EU framework
Certyfikacja:
Cert. dostawcy TLPT (zatwierdzony przez KNF)
Praktyka: Testy TLPT przeprowadza się co najmniej raz na 3 lata, a po istotnym incydencie częściej. Listę zakładów ubezpieczeń objętych TLPT KNF aktualizuje corocznie.
ElektroniczneDodatkowo od stopnia DELTAKDPW jako podmiot krytyczny
Infrastruktura krytyczna — system depozytariusza
DELTA: pełna mobilizacja, eskorty kierownictwa, pełna kontrola wstępu
Akt PL:
Dz.U. 2022 poz. 2065
Praktyka: Awaria systemu depozytariusza oznacza blokadę rozliczeń giełdowych, krytyczną dla całego rynku. Procedury stopnia DELTA — pełną kontrolę wstępu i eskorty kierownictwa — warto ująć w planach ćwiczeń.
Pomożemy dobrać sejfy, drzwi i pełne pomieszczenia specjalne spełniające obowiązki sektora Ubezpieczenia i rynek kapitałowy. Wsparcie od analizy wymagań po odbiory.