Przejdź do treści
Compliance UE

Software,
który przejdzie audyt.

WCAG, NIS2, AI Act, RODO, MDR. Pracujemy z tymi regulacjami w warstwie technicznej. Twój system od pierwszego commitu ma RLS, audit log, kontrolę retencji i subprocessorów. Formalne opinie i certyfikację zostawiamy audytorom i kancelariom, z którymi się dogadujemy.

Porozmawiajmy o Twoim projekcieZobacz, jak pracujemy

Regulacje, z którymi pracujemy

Pięć regulacji UE, które realnie kształtują architekturę systemów dla branż regulowanych. Nie wszystkie naraz, nie wszystkie dla każdego. Dobieramy zakres do firmy.

WCAG 2.2 / EAA

Europejski Akt o Dostępności

Dostępność cyfrowa stron i aplikacji. Od czerwca 2025 obowiązkowa dla większości serwisów komercyjnych w UE. Sprawdzamy istniejące pod kątem technicznym, projektujemy nowe od razu zgodnie z wytycznymi.

  • Skan techniczny WCAG 2.2 AA z listą poprawek
  • Komponenty zgodne z ARIA i nawigacją klawiaturą
  • Kontrast, focus, prefers-reduced-motion
  • Raport techniczny dla Twojego audytora lub działu compliance

NIS2

Dyrektywa o cyberbezpieczeństwie

Ochrona infrastruktury IT, zarządzanie ryzykiem, raportowanie incydentów. Wprowadzamy techniczne kontrole, których wymaga dyrektywa. Wymogi organizacyjne i prawne pozostają po Twojej stronie albo po stronie Twojego konsultanta NIS2.

  • Inwentaryzacja systemów IT i mapa zależności
  • Techniczny runbook incydentu, plan restore (RTO / RPO)
  • Logi bezpieczeństwa, MFA, kontrola dostępu w aplikacji
  • Wsparcie techniczne procesu zgłaszania incydentu prowadzonego przez Twój compliance

AI Act

Rozporządzenie o sztucznej inteligencji

Klasyfikacja ryzyka systemów AI, dokumentacja techniczna, nadzór nad modelami. Pomagamy w technicznej części: jak udokumentować system, jakie warstwy bezpieczeństwa wprowadzić. Formalną klasyfikację prowadzi Twój dział compliance lub kancelaria.

  • Wsparcie techniczne klasyfikacji ryzyka prowadzonej przez Twój compliance
  • Dokumentacja techniczna systemu i karta modelu
  • Wzór technicznych części FRIA do akceptacji przez Twój compliance
  • Wzór technicznej polityki użycia AI w aplikacji

RODO

Ogólne rozporządzenie o ochronie danych

Privacy by design w warstwie kodu i bazy danych. Szczególnie dla danych szczególnej kategorii (art. 9): zdrowie, dane biometryczne, pochodzenie. Opinie prawne i decyzje IODO pozostają poza naszym zakresem.

  • Szyfrowanie at rest i in transit
  • Row-Level Security w bazie danych
  • Audit log każdego dostępu do danych wrażliwych
  • Wzór DPIA do akceptacji przez Twoje IODO, mechanizmy retencji, kontrola subprocessorów

MDR 2017/745

Rozporządzenie o wyrobach medycznych

Oprogramowanie medyczne (SaMD), dokumentacja techniczna, walidacja. Wspieramy projekty na poziomie technicznym. Klasyfikację, ocenę kliniczną i decyzje regulacyjne prowadzi Twój regulatory affairs lub konsultant.

  • Wsparcie techniczne klasyfikacji SaMD prowadzonej przez Twój regulatory affairs
  • Techniczna część dokumentacji wg Aneksu II (do uzupełnienia przez Twój RA)
  • Wsparcie techniczne planu zarządzania ryzykiem (ISO 14971)
  • Walidacja, testy, kontrola wersji

Jak to wygląda w kodzie

Compliance to nie deklaracje w polityce prywatności. To konkretne decyzje architektoniczne, które podejmujemy w każdym projekcie.

DPIA i ocena ryzyka jako template

Każdy projekt z danymi wrażliwymi startuje od DPIA. Mamy własny szablon, który przechodził kontrolę IODO. Klient dostaje gotowy dokument do akceptacji.

Audit log w każdym systemie

Kto, kiedy, do czego się dostał. Niezmienialny, z timestampem, gotowy na zapytanie organu. Standard, nie dopłata.

RLS i izolacja danych w bazie

Row-Level Security w PostgreSQL. Dane jednego pacjenta nie wyciekną przez błąd w warstwie aplikacji, bo baza ich nie wyda nieuprawnionemu kontekstowi.

Runbook na incydent w umowie

Kto dzwoni do kogo, w jakim czasie, jakie kroki. RTO i RPO zdefiniowane w SLA. Plan ciągłości działania (BCP), backupy, eskalacja.

Czego nie obiecujemy

  • Nie jesteśmy kancelarią prawną. Nie wydajemy opinii prawnych.
  • Nie sprzedajemy „certyfikatów RODO". Sprzedajemy architekturę i dokumentację, która tłumaczy się przed organem.
  • Nie obsługujemy 24/7 SOC. Mamy zdefiniowany czas reakcji w godzinach roboczych, runbook i eskalację.

Twój system stanie do kontroli za 6 miesięcy?

Umów rozmowę. W 30 minut sprawdzimy, gdzie jesteś, czego brakuje i ile to kosztuje.

Umów konsultację