Usługi Demo Compliance Check Zespół Blog FAQ Konsultacja → English version
Narzędzie diagnostyczne

Compliance Check:
DORA, NIS2, SOC 2

Osiem pytań o profil Twojej firmy, strukturę, rynki i stan pipeline CI/CD. Wynik: precyzyjna mapa regulacyjna z obowiązkami, wymaganiami technicznymi i priorytetami wdrożeniowymi — dopasowana do Twojego profilu, nie do ogólnej checklisty.

Czas~5 minut
Pytań8 kroków
RegulacjeDORA · NIS2 · SOC 2
RejestracjaNie wymagana
PodstawaOryginalne teksty UE
Krok 1 z 8 · Profil działalności
Czym zajmuje się Twoja firma?
Zakres obowiązków regulacyjnych wynika bezpośrednio z sektora działalności. Inne przepisy obowiązują fintech z licencją KNF, inne software house sprzedający do klientów Enterprise.
Krok 2 z 8 · Profil regulacyjny
Jaki jest status Waszej licencji lub rejestracji regulacyjnej?
Status licencyjny determinuje czy jesteś podmiotem objętym Art. 2 ust. 1 DORA — rozporządzenie stosuje się do podmiotów wymienionych wprost w katalogu, nadzorowanych przez KNF lub właściwy organ UE.
DORA obowiązuje od 17 stycznia 2025 r.
Krok 2 z 8 · Profil sprzedażowy
Jaki jest Wasz docelowy segment klientów?
Klienci Enterprise z USA, UK i DACH standardowo wymagają raportu SOC 2 Type 1 lub Type 2 zanim podpiszą kontrakt z dostawcą SaaS. To determinuje priorytet certyfikacji.
Krok 2 z 8 · Profil kontraktowy
Jaki jest charakter Waszej usługi dla instytucji finansowej?
DORA Art. 28 i 30 nakłada obowiązki kontraktowe na instytucje finansowe wobec dostawców ICT. Zakres zależy od krytyczności usługi dla ciągłości operacyjnej klienta.
Art. 28 ust. 1 lit. a DORA
Krok 2 z 8 · Klasyfikacja NIS2
Jaka jest Wasza klasyfikacja wg dyrektywy NIS2?
Dyrektywa 2022/2555 różnicuje obowiązki i kary między podmiotami kluczowymi (Essential) i ważnymi (Important). Implementacja w Polsce przez nowelizację ustawy o KSC.
NIS2 Art. 2 + Załączniki I i II
Krok 3 z 8 · Wielkość organizacji
Jaka jest skala Waszej działalności?
NIS2 Art. 2 ust. 4 wyłącza mikroprzedsiębiorstwa (poniżej 10 pracowników i poniżej 2 mln EUR obrotu) z zakresu dyrektywy — z wyjątkiem podmiotów w sektorach krytycznych. DORA nie ma progu wielkości dla licencjonowanych podmiotów finansowych.
NIS2 Art. 2 ust. 4; zalec. 2003/361/WE
Krok 4 z 8 · Jurysdykcja i rynki
Na jakich rynkach operujecie i gdzie siedzą Wasi główni klienci?
Lokalizacja klientów determinuje presję certyfikacyjną — SOC 2 to wymaganie rynku USA i UK, NIS2 to wymaganie rynku UE. Kombinacja obu rynków oznacza podwójną presję.
Krok 5 z 8 · Stack CI/CD
Jak zorganizowany jest Wasz proces wytwarzania i wdrażania oprogramowania?
Poziom dojrzałości pipeline determinuje możliwość zbierania dowodów compliance i zakres prac wdrożeniowych. To bezpośrednio wpływa na harmonogram i wycenę.
Krok 6 z 8 · Kontrole w pipeline
Jakie automatyczne kontrole bezpieczeństwa działają w Waszym CI/CD?
Pytamy o konkretne narzędzia działające w każdym PR lub deploymencie — nie o ogólne podejście do security, szkolenia ani polityki wewnętrzne.
Krok 7 z 8 · Ścieżka audytu
Czy możesz pokazać audytorowi pełny log zmian wdrożonych na produkcję w ostatnich 90 dniach?
To jest konkretne pytanie audytorów SOC 2 (CC7.2), kontrolerów DORA (Art. 11) i weryfikatorów NIS2 (Art. 21). Skanery bezpieczeństwa i ścieżka audytu to dwie niezależne kontrole — możesz mieć jedno bez drugiego.
SOC 2 CC7.2 · DORA Art. 11 · NIS2 Art. 21
Krok 8 z 8 · Horyzont czasowy
Co jest głównym triggerem tej analizy i jaki macie horyzont czasowy?
Trigger i deadline determinują priorytety wdrożeniowe — inne podejście gdy audyt jest za 6 tygodni, inne gdy jest to planowanie proaktywne na kolejny rok.
Wynik · Analiza compliance
Ocena ekspozycji regulacyjnej
Status regulacyjny
DORA
NIS2
SOC 2
Zakres obowiązków regulacyjnych
Regulacja
Obowiązki wynikające z Twojego profilu
Status
Priorytety wdrożeniowe
Priorytet
Wymagane działanie
Odpowiada
Wymagania techniczne w pipeline CI/CD
Obszar
Kontrola techniczna
Nakład
Następny krok: 30-minutowa rozmowa diagnostyczna

Na podstawie Twojego profilu określamy dokładny zakres, harmonogram i cenę stałą. Jeśli wasz stan nie wymaga naszej pomocy — powiemy to wprost. Żadnych ogólnych prezentacji, żadnego sprzedażowego pitchu.

Umów rozmowę → Zobacz Demo
Zastrzeżenie prawne: Narzędzie dostarcza orientacyjnej oceny technicznej opartej na publicznie dostępnych tekstach regulacji UE. Nie stanowi opinii prawnej ani formalnego audytu compliance. Zgodność z DORA, NIS2 i SOC 2 w pełnym zakresie wymaga działań organizacyjnych, prawnych i proceduralnych wykraczających poza zakres tego narzędzia. Zalecamy konsultację z prawnikiem specjalizującym się w prawie finansowym lub cyberbezpieczeństwie.
Postęp analizy
01Profil działalności
02Profil regulacyjny
03Wielkość organizacji
04Jurysdykcja i rynki
05Stack CI/CD
06Kontrole w pipeline
07Ścieżka audytu
08Horyzont czasowy
Podstawa prawna
DORA — Rozp. UE 2022/2554
NIS2 — Dyr. UE 2022/2555
SOC 2 — AICPA TSC 2017
NIS2 próg — Zalec. 2003/361/WE

Wynik nie zastępuje opinii prawnej.