Oprogramowanie compliance - RODO, DORA, NIS2, Data Act, AI Act

Budujemy dedykowane aplikacje i moduły dla zespołów compliance, IOD-ów, CISO i działów ryzyka. Pomagamy spełnić wymogi RODO, DORA, NIS2, Data Act i AI Act bez kupowania przerośniętej platformy, której i tak musisz dokonfigurować pod swoją branżę.

Porozmawiajmy o wdrożeniu → Co obejmujemy

Problem: compliance to nie jest "kupić licencję"

Większość organizacji w Polsce próbowała rozwiązać RODO przez kupno gotowego narzędzia. Sześć miesięcy później rejestr czynności jest niezaktualizowany, analiza ryzyka istnieje tylko w prezentacji PowerPoint sprzed dwóch lat, a IOD odpowiada na każde zapytanie podmiotu danych ręcznym przeszukiwaniem dysku.

Z DORA i NIS2 jest jeszcze gorzej: to znacznie bardziej operacyjne regulacje, które wymagają żywych procesów - register of information o dostawcach trzeciej strony, plan testów odporności, formalne procedury raportowania incydentów, oceny ryzyka ICT z konkretną metodyką. Gotowe platformy do tego istnieją, ale są drogie i wymagają dokupywania modułów per regulacja. AI Act dochodzi do tego od 2024–2026 i wymaga inwentarza systemów AI, którego praktycznie nikt jeszcze nie ma.

Co budujemy

Projektujemy dedykowane aplikacje i moduły, które realnie żyją wewnątrz Twoich procesów. Nie "kolejny system do uzupełniania na koniec roku", tylko narzędzie, które IOD / compliance / CISO używa w pracy codziennej i które ma w sobie wbudowany audit log gotowy do okazania regulatorowi.

RODO - rejestr czynności i ROPA

Strukturalny rejestr czynności przetwarzania zgodny z art. 30 RODO, z mapowaniem podstaw prawnych, kategorii danych, odbiorców, terminów retencji. Z workflow akceptacji zmian i automatycznym generowaniem ROPA do audytu.

RODO - obsługa praw podmiotów

System przyjmowania i obsługi żądań dostępu, sprostowania, usunięcia, przeniesienia danych. Z routowaniem do właściwych właścicieli systemów, terminami 30-dniowymi, audytem.

RODO - DPIA i analiza ryzyka

Strukturalny szablon DPIA, z biblioteką zagrożeń i środków technicznych, oceną ryzyka 5×5 (lub Twoją własną metodyką), automatycznym generowaniem raportu.

DORA - register of information

Rejestr dostawców ICT (zwykłych i krytycznych) zgodny z DORA, z mapowaniem funkcji, kategorii ryzyka, kontraktów, exit plans. Ekspory do ESMA / KNF w wymaganym formacie.

DORA - incident reporting

Pełen workflow zarządzania incydentem ICT zgodny z DORA: detekcja, klasyfikacja (major / significant / cyber-threat), eskalacja, raport do KNF w wymaganych terminach (4h / 72h / 1 miesiąc).

NIS2 - incident reporting

Procedura raportowania znaczących incydentów cyberbezpieczeństwa do CSIRT zgodnie z NIS2, z workflow notyfikacji wstępnej, raportu wstępnego i końcowego.

AI Act - inwentarz systemów AI

Rejestr systemów AI używanych w organizacji, z klasyfikacją ryzyka (zakazane / wysokie / ograniczone / minimalne), dokumentacją techniczną, oceną wpływu i workflow akceptacji nowych wdrożeń AI.

Data Act - zarządzanie umowami o danych

Rejestr umów o dostępie do danych (B2B/B2G), dokumentacja przepływów, mapowanie obowiązków informacyjnych i prawa dostępu użytkownika. Praktyczny moduł - jeszcze ekspresowo nowa regulacja.

Inwentarz aktywów i ryzyk

Wspólne podstawy dla DORA / NIS2 / RODO: inwentarz systemów, ocen ryzyka (NIST CSF / ISO 27005 / własna metodyka), mapowanie kontrolek, dashboard zgodności.

Regulacje, w których czujemy się jak w domu

  • RODO / GDPR - od podstaw po sytuacje skomplikowane (transfery międzynarodowe, prawnie uzasadniony interes, profilowanie, DPIA).
  • DORA (Digital Operational Resilience Act) - dla podmiotów rynku finansowego od 17 stycznia 2025; rejestr informacji, zarządzanie ryzykiem ICT, TLPT, incident reporting do KNF/ESMA.
  • NIS2 - dyrektywa o cyberbezpieczeństwie dla podmiotów istotnych i ważnych; w Polsce wdrażana m.in. nowelizacją UoKSC.
  • Data Act - od września 2025 r.; obowiązki dla producentów wyrobów IoT, dostawców usług powiązanych i dostawców usług przetwarzania danych.
  • AI Act - stopniowo od 2024–2026; klasyfikacja systemów AI, dokumentacja, transparentność, nadzór człowieka, inwentarz.
  • eIDAS 2, KSC, UoŚUDE - uzupełniająco, w zależności od profilu organizacji.
  • Sektorowe - wytyczne KNF, EBA, EIOPA, ESMA dla podmiotów rynku finansowego.

Nasze podejście

Compliance software jest na styku dwóch dziedzin, w których pomyłka jest kosztowna: prawa (źle zinterpretowany wymóg = mandat regulatora) i inżynierii (źle zbudowany system = nieaudytowalne logi, brakujące dane, nieobsłużone edge case'y). Dlatego:

  • Każdy projekt prowadzimy z udziałem osób, które rozumieją obie strony - kontekst prawny i implementację.
  • Każdy moduł projektujemy zaczynając od mapowania wymagań regulacji na konkretne struktury danych i procesy. Wynikiem jest traceability matrix - który fragment kodu pokrywa który artykuł regulacji.
  • Audit log jest cechą pierwszej klasy, nie dodatkiem. Każda zmiana danych compliance jest logowana z kto/kiedy/co/dlaczego.
  • Eksporty do regulatorów (KNF, UODO, ESMA, CSIRT) projektujemy od początku - żeby w godzinie kryzysu nie szukać "jak wygenerować raport".

Kiedy ma to sens

Ma sens, jeżeli:

  • Jesteś podmiotem rynku finansowego pod DORA i Twoja organizacja jest za mała na pełnoetatowy GRC software w klasie OneTrust / IBM OpenPages.
  • Jesteś podmiotem istotnym/ważnym pod NIS2 i potrzebujesz uporządkowania incident reportingu i zarządzania ryzykiem.
  • Jesteś dużą organizacją (kilkadziesiąt+ systemów) i Twój obecny rejestr RODO jest w Excelu, którego nikt nie aktualizuje.
  • Wdrażasz lub planujesz wdrożyć więcej niż jeden system AI i chcesz mieć kontrolę zgodną z AI Act od początku.
  • Jesteś dostawcą software'u/SaaS dla podmiotów regulowanych i Twoi klienci proszą o dokumentację zgodności, której obecnie nie masz.

Łączenie z innymi naszymi usługami

Compliance software rzadko żyje sam - najczęściej zasysa dane z innych systemów (HR, IT asset management, identity provider, systemy biznesowe). Dlatego naturalnie łączymy go z integracjami systemowymi, a dla automatycznego klasyfikowania incydentów / aktów / dokumentów - z systemami AI.

FAQ

Najczęściej zadawane pytania

Czy lepiej kupić gotowe narzędzie (OneTrust, TrustArc, Securiti) czy zamówić dedykowane?

Gotowce sprawdzają się przy bardzo standardowych implementacjach RODO w dużych organizacjach z międzynarodowymi wymaganiami. Dla średniej polskiej organizacji są często przerośnięte, drogie i wymagają długiego implementation projektu - który i tak kończy się dopisywaniem własnych integracji. Dedykowany software ma sens, gdy: (1) masz nietypowe procesy/branżę, (2) chcesz spójności z resztą stacku, (3) potrzebujesz integracji z polskimi rejestrami i systemami, których gotowce nie obsługują, (4) Twoja skala nie uzasadnia rocznych licencji 6-cyfrowych. Często rekomendujemy hybrydę: gotowe dla podstaw, dedykowane moduły dla specyfiki.

DORA dotyczy mnie czy tylko banków?

DORA dotyczy wszystkich podmiotów rynku finansowego w UE: banki, ubezpieczyciele, TFI, towarzystwa emerytalne, fintechy z licencją KNF, dostawcy usług płatniczych, dostawcy informacji o rachunkach, część firm leasingowych. Plus dostawców ICT krytycznych dla tych podmiotów (TPP). Jeżeli świadczysz software dla banku, DORA Cię dotyczy przez umowę z bankiem. W praktyce DORA = formalne zarządzanie ryzykiem ICT, testy odporności (TLPT), zarządzanie incydentami, rejestr dostawców trzeciej strony.

Czym różni się NIS2 od DORA?

NIS2 to ogólna dyrektywa cyberbezpieczeństwa dla "podmiotów istotnych i ważnych" - energetyka, transport, zdrowie, telco, infrastruktura cyfrowa, usługi publiczne, część firm średnich i dużych. DORA to lex specialis dla finansów. Wymagania są zbliżone (zarządzanie ryzykiem, incident reporting, governance), ale DORA jest bardziej szczegółowa i bardziej operacyjna (TLPT, register of information o dostawcach). Jeżeli podlegasz obu - DORA ma pierwszeństwo dla wymagań ICT, NIS2 pokrywa resztę.

Czy potraficie wdrożyć inwentarz systemów AI pod AI Act?

Tak - to częste zapytanie. AI Act wymaga, żeby organizacje wdrażające AI prowadziły inwentarz systemów AI z klasyfikacją ryzyka (zakazane / wysokie / ograniczone / minimalne), dokumentacją techniczną, oceną wpływu i logami. Budujemy dedykowane moduły (lub osobne aplikacje) zarządzające takim rejestrem - z integracją do systemów źródłowych, audit logiem i workflow akceptacji.

Co dokładnie dostarczacie poza kodem?

Kod to ok. 60% wartości - reszta to dokumentacja zgodności: opis architektury z mapowaniem na wymogi regulacyjne, register of processing activities (jeśli aplikacja przetwarza dane), data flow diagrams, ocena ryzyka, raport z analizy DPIA (jeśli wymagane), procedura zarządzania incydentem, model dokumentacji do audytu. Wszystko po polsku i angielsku, w formacie gotowym do przedstawienia audytorowi, KNF, UODO albo regulatorowi sektorowemu.

Sprawdź też inne usługi

Aplikacje, portale, case management

Tworzenie oprogramowania

Budujemy własne, modułowe oprogramowanie dopasowane do procesów i spraw Twojej kancelarii - portale klienckie, systemy case management, e-doręczenia. Stack TypeScript/React/Node, z naciskiem na poufność i RODO.

Zobacz więcej →
API, ETL, KSeF, e-doręczenia

Integracje z zewnętrznymi systemami

Spinamy Twoje narzędzia w jeden ekosystem - łączymy oprogramowanie kancelarii z systemami zewnętrznymi (księgowość, CRM, KSeF, e-doręczenia, KRS) przez API, bez dublowania pracy i ręcznego przepisywania danych.

Zobacz więcej →
Audyt AI, roadmapa, governance

Consulting AI dla kancelarii

Najpierw poznajemy Twoje procesy i potrzeby, potem wdrażamy AI, które realnie odciąża zespół. Audyt zastosowań, ocena ryzyka i ROI, roadmapa, szkolenia i governance zgodny z AI Act.

Zobacz więcej →

Mierzysz się z DORA, NIS2, AI Act albo nowym rejestrem RODO?

Opisz krótko swoją sytuację - branżę, regulację, obecny stan. W ciągu 1–2 dni roboczych odezwiemy się z propozycją zakresu i orientacyjną wyceną.

Umów konsultację →