Rok 2025 zamknął się najsłabszym fundraisingiem PE od 2020 roku — 578 funduszy zebrało $414 mld kapitału. Bifurkacja rynku przyspiesza, a Limited Partners zmieniają sposób oceny General Partners. Co naprawdę sprawdzają w 2026 roku — i dlaczego norma ISO bardziej tu pomoże niż kolejna prezentacja track recordu?
W tym artykule znajdziesz mapowanie clause-by-clause: jak ISO 27001, ISO 22301 i ISO 37301 odpowiadają na wymogi DORA i oczekiwania Limited Partners w 2026 roku. Plus framework wdrożeniowy dla AIFM operujących w Unii Europejskiej.
Wstęp
Branża private equity przeszła w ostatnim roku przez okres skrajnej zmienności — tariffs, eskalacja geopolityczna, niepewność stóp procentowych. Choć trzeci kwartał 2025 przyniósł rekordowe $310 mld deal value, fundraising zamknął rok na pięcioletnim minimum. Top 10 grup PE zgarnęło ~46% fundraisingu w USA — udział nienotowany od 2014 roku.
Za tymi liczbami kryje się jednak coś istotniejszego dla audytora, compliance officera i CISO sektora finansowego: strukturalna zmiana w sposobie, w jaki Limited Partners oceniają General Partners. Artykuł Frasera Tennanta w czerwcowym Financier Worldwide opisuje przesunięcie wymagań od track recordu w stronę operational robustness, cyber security controls i governance frameworks. Dla managerów funduszy alternatywnych operujących w UE oznacza to konfluencję dwóch sił: presji rynkowej Limited Partners oraz presji regulacyjnej DORA, stosowanej od 17 stycznia 2025 roku.
Bifurkacja Rynku PE i Nowe Oczekiwania Limited Partners
Tennant otwiera analizę obserwacją, że 2025 był rokiem niespójnych sygnałów. Wczesny optymizm ustąpił ostrożności wobec tariffs i niepewności stóp procentowych. Mimo rebound deal value w Q3, fundraising trwale słabnie — według PitchBook 2025 zamknął się 578 funduszami i $414.2 mld kapitału, wobec 906 funduszy i $535.2 mld rok wcześniej.
Kapitał konsoliduje się na szczycie
Publikacja podkreśla, że downturn we fundraisingu stworzył najtrudniejsze środowisko kapitałowe od kryzysu 2008 roku. Top 10 grup PE w USA zgarnęło ~46% całego fundraisingu — Blackstone, KKR, Bain Capital i Advent International każdy pozyskał ponad $10 mld. Megafunds (>$5 mld) odnotowały spadek -43% rok do roku, ale doświadczeni General Partners nadal odpowiadali za 88% pozyskanego kapitału. Apetyt LP-sów przesunął się w stronę mid-marketu ($1–5 mld), którego udział wzrósł o 7,2 punktu procentowego.
Tennant cytuje Nicolasa Mourę z PitchBook, który tłumaczy, że spowolnienie najlepiej zrozumieć w kontekście trudnego rynku exit i wynikającej z niego słabości distributions. Distributions jako procent NAV oscylowały w 2025 roku wokół 17% — znacząco poniżej 10-letniej średniej 26%. Ograniczone realizacje oznaczają mniej kapitału dostępnego do reinwestycji, co zacieśnia alokacje do nowych funduszy. VC fundraising mirror, $86.7 mld globalnie — pierwszy raz od 2015 roku poniżej $100 mld.
LP mindset shift — institutional-grade infrastructure
Najistotniejsza sekcja artykułu opisuje strukturalną zmianę w sposobie myślenia Limited Partners. Inwestorzy instytucjonalni przeszli od oceny pojedynczych funduszy w izolacji do oceny relacji z managerami przez pryzmat portfolio construction. To wzmocniło preferencję dla skali, przewidywalności i powtarzalności. Tennant pisze, że komitety inwestycyjne nasiliły scrutiny nad concentration limits, sector exposure oraz operational robustness, w tym reporting standards, governance frameworks i cyber security controls.
W rezultacie — jak argumentuje autor — PE managers są oczekiwani do demonstrowania <q>institutional-grade infrastructure from the outset</q>, co podnosi koszt i złożoność wejścia dla nowych firm. Oczekiwania LP wokół transparentności i alignment wzrosły gwałtownie. Fee structures, continuation vehicle economics oraz conflicts management są analizowane szczegółowo — to wnioski z lekcji ostatniej dekady ekspansji rynków prywatnych.
Capital formation tools — gdy klasyczny exit zwalnia
Artykuł poświęca osobną sekcję narzędziom capital formation: secondaries, NAV loans i continuation vehicles. Michael Moore z UK Private Capital wskazuje, że continuation funds i secondaries odzwierciedlają dojrzały ekosystem private capital — oferują inwestorom większą elastyczność i opcje płynności. Konkurencja na rynku secondaries pozostaje intensywna, co wzmacnia ich rolę jako narzędzia active portfolio management, a nie mechanizmu maskowania underperformance. Każde z tych narzędzi rodzi jednak nowe pytania o transparency, fairness opinions i conflicts management między GP a LP — czyli obszary, które LP-si oceniają z coraz większą drobiazgowością.
Perspektywa Norm ISO — Operacjonalizacja Wymagań LP
Pozostawiając słownik Tennanta — operational robustness, governance frameworks, cyber security controls, conflicts management, institutional-grade infrastructure — uderza, jak czysto mapuje się on na trzy znormalizowane systemy zarządzania. Tam, gdzie LP-si formułują oczekiwania, ISO i regulator europejski oferują weryfikowalne frameworki.
ISO/IEC 27001:2022 — cyber security controls weryfikowalne
Artykuł wymienia cyber security controls jako jedno z głównych kryteriów oceny GPs przez Limited Partners. ISO 27001 operacjonalizuje tę potrzebę przez ISMS oparty na ocenie ryzyka (klauzule 6.1.2–6.1.3) i katalog 93 kontroli Annex A. Dla sektora finansowego najbardziej istotne są kontrole 5.19–5.23: zarządzanie ryzykiem bezpieczeństwa informacji w relacjach z dostawcami, w łańcuchu dostaw ICT oraz w usługach chmurowych. To dokładnie obszar, który DORA — Rozporządzenie UE 2022/2554 obowiązujące od 17 stycznia 2025 — czyni obowiązkiem dla AIFM (managerów funduszy alternatywnych, w tym PE/VC). W praktyce kontrola 5.24 (incident management planning) odpowiada na DORA-owski obowiązek incident reporting. Dostawcy ICT obsługujący fundusze mogą dodatkowo podlegać NIS2.
ISO 22301:2019 — resilience across market cycles, formalnie
Klauzula końcowa publikacji — że resilience across market cycles będzie kluczem do fundraisingu — nie jest retoryczną ozdobą, lecz centralną tezą. ISO 22301 operacjonalizuje resilience przez Business Impact Analysis (klauzula 8.2.2) z parametrami MTPD i RTO, ocenę ryzyka zakłócenia (8.2.3) zharmonizowaną z ISO 31000, strategie continuity (8.3) oraz program ćwiczeń walidacyjnych (8.5). W kontekście PE oznacza to formalną identyfikację prioritized activities funduszu i jego zależności od third parties — administratorów, kustodianów, dostawców ICT, fund accountantów. DORA wymaga formalnego programu digital operational resilience testing — ISO 22301 jest jego niemal literalnym frameworkiem implementacyjnym, a klauzula 8.2.2 lit. h (zależności od partnerów i dostawców) wprost adresuje TPICT (ICT Third-Party Risk) z DORA.
ISO 37301:2021 — governance, transparency i conflicts management
Rejestr LP-owskich oczekiwań — governance frameworks, reporting standards, conflicts management, transparency, fee structures scrutiny — to słownik systemu zarządzania zgodnością. ISO 37301 wymaga identyfikacji compliance obligations (klauzula 4.5), oceny compliance risk (4.6), compliance culture (5.1.2) oraz compliance governance z bezpośrednią linią raportowania funkcji compliance do governing body (5.1.3, 3.23). System opiera się na zasadach good governance, proportionality, integrity, transparency, accountability oraz sustainability — dokładnie tych, które Tennant wymienia jako podstawę odbudowywanego zaufania LP-GP. Konflikty interesów wokół continuation vehicles, transparentność opłat i jakość raportowania — w CMS przestają być deklaracją, a stają się weryfikowalnym procesem z record-keepingiem, internal audit i management review.
Praktyczne Implikacje Dla GP-sów i AIFM w Unii Europejskiej
Dla managera funduszu pozyskującego kapitał od europejskich Limited Partners obraz wyłania się jasny. Po pierwsze: gap analysis względem DORA nie powinna być projektem compliance odrębnym, lecz wpiętym w istniejący ISMS i BCMS. Pięć filarów DORA (ICT risk management, incident reporting, resilience testing, third-party ICT risk, information sharing) ma bezpośrednie odpowiedniki w ISO 27001 (kontrole 5.19–5.24) i ISO 22301 (klauzule 8.2–8.5). Próba budowania DORA-ready compliance od zera, w oderwaniu od systemów zarządzania, generuje dwukrotnie wyższe koszty i ryzyko inconsistency podczas audytu.
Po drugie: integracja trzech systemów (ISMS + BCMS + CMS) daje synergiczny efekt przed audytem due diligence LP. Zharmonizowany cykl PDCA, wspólne mechanizmy zarządzania ryzykiem (oparte na ISO 31000), wspólny management review — redukują koszt operacyjny i podnoszą wiarygodność wobec inwestora instytucjonalnego.
Po trzecie: konkretne dowody zamiast deklaracji. Limited Partners w 2026 oczekują pokazania nie polityk, ale dowodów — wyników testów resilience, raportów incident management, Statement of Applicability dla ISO 27001, rejestru compliance obligations zawierającego DORA, zestawienia działań compliance function za ostatnie 12 miesięcy. Certyfikat akredytowanej jednostki certyfikującej staje się skrótem komunikacyjnym, którego LP łatwo używa w karcie scoringowej due diligence.
Podsumowanie
Tytuł publikacji Tennanta — „Survival of the biggest” — opisuje stan rynku w 2025 roku. Jego klauzula zamykająca — że resilience across market cycles będzie kluczem — opisuje to, co dopiero nadejdzie. Dla managerów funduszy alternatywnych w Unii Europejskiej konkluzja jest praktyczna: ISO 27001, ISO 22301 i ISO 37301, dopięte do DORA, przestają być opcją wizerunkową. Stają się językiem, w którym Limited Partners weryfikują, czy fundusz jest długoterminowym partnerem, czy tylko historią kwartalną.
FAQ: DORA i ISO 27001 w private equity
Czy fundusze private equity podlegają regulacji DORA?
Tak. Rozporządzenie UE 2022/2554 (DORA), stosowane od 17 stycznia
2025 roku, obejmuje zakresem podmiotowym alternative investment fund
managers (AIFM), a więc także managerów funduszy private equity
i venture capital. AIFM muszą wdrożyć pięć filarów rozporządzenia:
ICT risk management framework, incident reporting, digital operational
resilience testing, ICT third-party risk management oraz information
sharing arrangements.
Które kontrole ISO 27001 są najistotniejsze dla AIFM podlegających DORA?
Kluczowe są kontrole z grupy „supplier and ICT supply chain":
- 5.19 — bezpieczeństwo informacji w relacjach z dostawcami
- 5.20 — wymagania bezpieczeństwa w umowach z dostawcami
- 5.21 — zarządzanie bezpieczeństwem w łańcuchu dostaw ICT
- 5.22 — monitorowanie i zmiany w usługach dostawców
- 5.23 — bezpieczeństwo informacji dla usług chmurowych
- 5.24 — planowanie i przygotowanie zarządzania incydentami
Ten zestaw mapuje się bezpośrednio na DORA-owski obowiązek ICT
Third-Party Risk Management (TPICT) oraz incident reporting.
Co konkretnie sprawdzają Limited Partners w due diligence operacyjnym General Partners w 2026 roku?
Według artykułu Financier Worldwide z czerwca 2026, komitety
inwestycyjne LP-sów oceniają cztery główne obszary:
- governance frameworks (struktury zarządcze i accountability lines)
- reporting standards (transparency, fee disclosure, continuation
vehicle economics)
- cyber security controls (dojrzałość ISMS, ICT third-party risk)
- conflicts management (GP-LP alignment, fairness opinions)
LP-si oczekują dowodów (audyty, certyfikaty), a nie deklaracji.
Jak ISO 22301 odpowiada na wymóg DORA dotyczący digital operational resilience testing?
ISO 22301 (klauzula 8.5) wymaga programu ćwiczeń walidacyjnych BCMS
— testów scenariuszy zakłóceń, ćwiczeń desk-top, ćwiczeń pełnowymiarowych.
W połączeniu z Business Impact Analysis (8.2.2) i parametrami RTO/MTPD
norma stanowi de facto implementacyjny framework dla DORA-owskiego
obowiązku testowania odporności operacyjnej, w tym threat-led penetration
testing (TLPT) dla podmiotów o znaczeniu krytycznym.
Czy lepiej certyfikować ISO 27001, ISO 22301 i ISO 37301 osobno, czy jako zintegrowany system zarządzania?
Integracja jest zdecydowanie korzystniejsza. Wszystkie trzy normy
operują wspólnym cyklem PDCA, harmonized structure (HLS) oraz
wspólnymi mechanizmami zarządzania ryzykiem (ISO 31000). Zintegrowany
system zarządzania pozwala na:
- jeden management review zamiast trzech
- jeden internal audit zamiast trzech
- współdzieloną dokumentację ryzyk i kontroli
- niższe koszty utrzymania i audytu certyfikacyjnego
- spójną komunikację wobec Limited Partners
W praktyce GP-sów oszczędność operacyjna sięga 30–40% wobec trzech oddzielnych systemów. A certyfikację robić tą która jest akredytowana.
Bibliografia:
- Tennant, F. „Survival of the biggest: navigating a tough PE fundraising climate”. Financier Worldwide, Issue 282, June 2026, s. 24–29. [link]
- ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. International Organization for Standardization, Geneva 2022. [ISO.org]
- ISO 22301:2019. Security and resilience — Business continuity management systems — Requirements. International Organization for Standardization, Geneva 2019. [ISO.org]
- ISO 37301:2021. Compliance management systems — Requirements with guidance for use. International Organization for Standardization, Geneva 2021. [ISO.org]
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), Dz.U. UE L 333/1. [EUR-Lex]
- PitchBook. Q4 2025 Global Private Market Fundraising Report. PitchBook Data Inc., 2025. [PitchBook]
- KPMG. Q4 25 Pulse of Private Equity: US and global investment trends. KPMG International, 2025. [KPMG]
- Bain & Company. Private Equity Outlook 2026: Gaining Traction. Bain & Company, 2026. [Bain]
Ekspert w zakresie systemów zarządzania ISO, cyberbezpieczeństwa, compliance i AI governance. Audytor, konsultant, trener.