Zalecenie audytowe: każde twierdzenie regulacyjne w portalu musi nieść źródło, datę i status legislacyjny. Ta strona jest rejestrem tych twierdzeń. Portal nie orzeka o zgodności Twojej organizacji — śledzi zmiany prawa i oznacza, co jest już obowiązujące, a co dopiero projektem, który może się zmienić.
Reguła portalu: żadna liczba, data ani obowiązek nie pojawia się w panelach compliance bez wpisu w tym rejestrze. Jeśli status brzmi PROPOSAL lub DRAFT, panel musi to pokazać, a nie prezentować projektu jako obowiązującego prawa.
| Regulacja | Czego dotyczy | Data wejścia / zmiany | Status | Źródło |
|---|---|---|---|---|
| AI Act — art. 50 Rozp. (UE) 2024/1689 |
Obowiązki transparentności: oznaczanie treści generowanych przez AI, ujawnianie interakcji z systemem AI, znakowanie deepfake. | Stosowanie od 2.08.2026 | OFFICIAL | EUR-Lex 2024/1689 |
| AI Act — high-risk, Aneks III Rozp. (UE) 2024/1689 |
Systemy wysokiego ryzyka (scoring kredytowy, HR/rekrutacja, biometria i in.). Zapowiadane odroczenie w pakiecie „Digital Omnibus". | Pierwotnie 2.08.2026 → propozycja przesunięcia do 2.12.2027 może się zmienić | PROPOSAL / DRAFT | EUR-Lex 2024/1689 · Digital Omnibus (proj. KE, 11.2025) |
| AI Act — GPAI Rozp. (UE) 2024/1689 |
Modele ogólnego przeznaczenia: dokumentacja techniczna, polityka praw autorskich, obowiązki dla modeli z ryzykiem systemowym. | Stosowanie od 2.08.2025 | OFFICIAL | EUR-Lex 2024/1689 |
| NIS2 Dyrektywa (UE) 2022/2555 |
Cyberbezpieczeństwo podmiotów kluczowych i ważnych: zarządzanie ryzykiem, zgłaszanie incydentów, odpowiedzialność zarządu. | Dyrektywa obowiązuje; transpozycja do PL (nowelizacja KSC / ustawy o KSC) w toku | DRAFT (PL) / OFFICIAL (dyrektywa UE) | EUR-Lex 2022/2555 · proces legislacyjny KSC (RCL/Sejm) |
| DORA Rozp. (UE) 2022/2554 |
Operacyjna odporność cyfrowa sektora finansowego: zarządzanie ryzykiem ICT, zgłaszanie incydentów, testowanie, ryzyko dostawców. | Obowiązuje od 17.01.2025 | OFFICIAL | EUR-Lex 2022/2554 |
| RODO — art. 33 / 34 Rozp. (UE) 2016/679 |
Zgłaszanie naruszeń ochrony danych organowi (PUODO) w 72h oraz zawiadamianie osób, których dane dotyczą, przy wysokim ryzyku. | Obowiązuje od 25.05.2018 | OFFICIAL | EUR-Lex 2016/679 |
| PSD2 Dyrektywa (UE) 2015/2366 |
Usługi płatnicze: silne uwierzytelnianie (SCA), dostęp podmiotów trzecich (TPP), zgłaszanie poważnych incydentów operacyjnych. | Obowiązuje (implementacja PL: ustawa o usługach płatniczych) | OFFICIAL | EUR-Lex 2015/2366 |
| PSD3 + PSR projekty KE |
Nowa dyrektywa o usługach płatniczych i rozporządzenie (PSR): rewizja SCA, przeciwdziałanie oszustwom, dostęp do danych finansowych. | W procesie legislacyjnym UE — data stosowania nieustalona może się zmienić | PROPOSAL | EUR-Lex 52023PC0366 (wniosek KE) |
Powyższy rejestr jest migawką na dzień publikacji strony. Daty i statusy projektów (DRAFT/PROPOSAL) zmieniają się — wpis nie zastępuje weryfikacji w źródle pierwotnym (EUR-Lex, Dziennik Ustaw, RCL).
Akt obowiązujący nie znaczy, że każdy obowiązek stosuje się do Twojej organizacji. Zakres podmiotowy (podmiot kluczowy? system high-risk?) to osobna ocena — tu jej nie robimy.
Do czasu przyjęcia i publikacji wiążący pozostaje stan obecny. Nie planuj wyłącznie na podstawie zapowiedzi odroczenia — ono może nie wejść lub wejść w innym kształcie.
Każda data w panelach compliance portalu powinna dać się cofnąć do wiersza w tym rejestrze i dalej do źródła. Brak tej ścieżki = status GAP.
→ Compliance i raportowanie · → Legal Board · ← powrót do ipIII hub