Reglyze jest poniżej progu MŚP z art. 2 ust. 1 NIS2.
Dobrowolnie wdrażamy środki z art. 21, używając Reglyze (produktu) jednocześnie jako przedmiotu i narzędzia. To dogfooding, nie obowiązek regulacyjny. Publikujemy tę stronę, abyś przed zakupem mógł zweryfikować, jak naprawdę wygląda baza dowodów NIS2 zbudowana przez AI.
Nasza własna baza dowodów NIS2 — jawnie
Każda polityka, wpis szkolenia, pozycja rejestru dostawców i KPI skuteczności poniżej zostały wygenerowane, ocenione i przejrzane wewnątrz produktu Reglyze, przez założyciela firmy Reglyze, na tym samym planie, z którego korzystają nasi płacący klienci.
Całą naszą bazę dowodów NIS2 udokumentowaliśmy w mniej niż 1 godzina.
Dla porównania szacunek pracy ręcznej konsultanta: 80–120 godzin.
Minuty zegarowe z dziennika pomiarów dogfoodingu (docs/research/self-compliance-timing.md). Obejmuje generowanie przez AI, redakcję Cyrila i pakiet do przeglądu. Nie obejmuje 36-godzinnej nocnej przerwy między fazami.
Punkt odniesienia dla pracy ręcznej to dolna granica typowych europejskich zleceń doradczych NIS2 dla MŚP (5–25 osób): 10–15 dni pracy starszego konsultanta po 80–100 €/h. Źródło: wyceny rynkowe z sieci członkowskich CLUSIF, Clusit i APDC (2025–2026).
19 May 2026
19 Aug 2026
Kwartalna samokontrola zgodnie z art. 21 ust. 2 lit. f. Cykl Q2-2026 przeprowadzono 2026-05-19 — przejrzano 5 KPI, 4 na poziomie celu + 1 powyżej celu, bez luk poniżej celu. Cykl podmienia wcześniejsze PDF-y na tej stronie; metryka i daty aktualizują się z każdym cyklem.
Co oznacza ta strona
Reglyze (podmiot prawny) to firma 5-osobowa o obrocie poniżej 10 mln € — wyraźnie poniżej progu małego przedsiębiorstwa, którego art. 2 ust. 1 dyrektywy NIS2 używa do obejmowania podmiotów zakresem. Nie moglibyśmy złożyć zgłoszenia incydentu z art. 23 do ANSSI, nawet gdybyśmy chcieli; jesteśmy poza zakresem dyrektywy. Uczciwe powody, dla których i tak publikujemy tę bazę dowodów:
- Dogfooding. Skoro nasi klienci przechodzą przez produkt Reglyze, aby zbudować bazę dowodów NIS2, założyciel powinien przejść tę drogę pierwszy. Problemy znalezione po drodze stają się zadaniami produktowymi (zob. jawny brief planu).
- Marketing. Każdy, kto ocenia platformę NIS2 opartą na AI, zasługuje na to, by zobaczyć, co AI naprawdę produkuje. Zredagowana, ale prawdziwa baza dowodów jest uczciwsza niż syntetyczne demo.
- Przyszłe zatrudnienie. W dniu, w którym Reglyze przekroczy 50 pracowników lub 10 mln € obrotu, dyrektywa zacznie obowiązywać. Polityki z tej strony to baza, względem której będziemy audytowani. Taniej zbudować je teraz niż pod presją terminu.
- Rytm kwartalny. Art. 21 ust. 2 lit. f wymaga okresowego przeglądu skuteczności. Nasz dobrowolny rytm jest kwartalny — taki sam, jaki rekomendujemy płacącym klientom.
Polityki i dowody z art. 21
Poniższe 14 artefaktów pokrywa dziesięć środków zarządzania ryzykiem cyberbezpieczeństwa z art. 21 ust. 2 oraz szkolenie organu zarządzającego z art. 20 ust. 2 i testowanie skuteczności z art. 21 ust. 2 lit. f. Każdy wiersz prowadzi do zredagowanego PDF-a po publikacji; karty oznaczone „Tylko streszczenie” niosą wyłącznie abstrakt, dopóki Cyril nie ukończy redakcji poszczególnych PDF-ów.
Polityka bezpieczeństwa informacji
Polityka nadrzędna: analiza ryzyka, ład organizacyjny, role i odpowiedzialności. Zatwierdzona przez Cyrila (jedynego członka organu zarządzającego) dla podmiotu Reglyze.
Plan reagowania na incydenty
Wykrycie → triaż → opanowanie → usunięcie → przywrócenie → wnioski. Ścieżka komunikacji z organem jest dla Reglyze dobrowolna (poza zakresem na podstawie art. 2 ust. 1), ale udokumentowana dla kompletności.
Plan ciągłości działania
Cele RTO/RPO według poziomów usług, ścieżki przełączania awaryjnego (Hetzner jako podstawa + zimna kopia w Google Drive) oraz rytm ćwiczeń sztabowych dla samego SaaS-a Reglyze.
Plan kopii zapasowych i odtwarzania po awarii
Codzienne zrzuty PostgreSQL przez rclone do Google Drive; 7-dniowa rotacja na serwerze; próba odtworzenia w deploy-rollback.md. Skrojony na możliwości jednego założyciela.
Polityka bezpieczeństwa łańcucha dostaw
Lista kontrolna due diligence dostawców, oczekiwania wobec umów powierzenia, kaskada powiadamiania o naruszeniach. Dotyczy stosu 7 dostawców SaaS (Cloudflare, Hetzner, Anthropic, Stripe, GitHub, Resend, Google Drive).
Polityka kontroli dostępu
Model najmniejszych uprawnień, MFA na każdej powierzchni SaaS, proces wejścia/zmiany/odejścia (przy 5 osobach formalnie trywialny, ale udokumentowany). Wyznacza pułap polityki dla przyszłych pracowników.
Polityka kryptografii
TLS 1.3 w tranzycie, AES-256 w spoczynku (PostgreSQL, MinIO, kopia w GDrive), rytm rotacji kluczy, zakaz własnej kryptografii. Tam, gdzie to zasadne, dziedziczona od dostawców SaaS.
Polityka zarządzania zasobami
Granica inwentarza zasobów (laptop + konta chmurowe), oznaczanie, cykl życia i wycofywanie. Autodeklaracja w skali solo; przegląd kwartalny.
Polityka bezpieczeństwa kadrowego
Lista kontrolna bezpieczeństwa przy wdrożeniu, wzór NDA, wymóg szkoleniowy i kroki odbierania dostępów przy odejściu. Skrojona pod pierwsze zatrudnienie; stan obecny w autodeklaracji.
Polityka zarządzania podatnościami
Dependabot + alerty bezpieczeństwa GitHuba jako kanał wejściowy; SLA według wagi (krytyczne < 7 dni, wysokie < 30 dni); dowody łatania w historii commitów.
Polityka MFA i bezpiecznej komunikacji
MFA wymuszone na każdej powierzchni SaaS; preferowana aplikacja uwierzytelniająca (bez zapasowego SMS-a); macierz bezpiecznych kanałów dla wrażliwej komunikacji (Signal do incydentów, GitHub do kodu).
Polityka testowania skuteczności
Kwartalny rytm samokontroli, definicje KPI (dziś: średni czas wykrycia < 2 dni), dowody przeglądów przechowywane obok znacznika ostatniego audytu tej strony.
Plan szkoleń z cyberbezpieczeństwa
Roczny program szkoleń dla organu zarządzającego (art. 20 ust. 2) i pracowników (art. 21 ust. 2 lit. g). Przy 5 osobach to Cyril; walidacja przez stronę trzecią zaplanowana przy następnym zatrudnieniu.
Zaświadczenie ze szkolenia organu zarządzającego (art. 20 ust. 2)
Cyril ukończył szkolenie organu zarządzającego Reglyze 2026-05-17 (własne tempo, autodeklaracja). Ważne do 2027-05-17. Z uczciwym zastrzeżeniem ograniczeń skali solo.
Rejestr szkoleń (art. 20 ust. 2 + art. 21 ust. 2 lit. g)
Organ zarządzający Reglyze ukończył szkolenie z art. 20 ust. 2 wewnątrz produktu 2026-05-17. Przy zatrudnieniu 5 osób i jednym założycielu organ zarządzający to jedna osoba; uczciwie oznaczamy to jako ograniczenie skali solo, które przy najbliższym zatrudnieniu uruchomi szkolenie walidowane przez stronę trzecią.
NIS2 Article 20(2) — Management-Body Training
- Uczestnik:
- Cyril Poder
- Ukończono:
- Ważne do:
Skala solo, własne tempo, autodeklaracja. Walidacja przez stronę trzecią zaplanowana przy następnym zatrudnieniu.
Rejestr dostawców (art. 21 ust. 2 lit. d)
Reglyze działa na stosie 7 dostawców SaaS. Rejestr śledzi udostępniane dane, wynik ryzyka rezydualnego i rytm przeglądów dla każdego dostawcy. Nazwy dostawców publikujemy jawnie — widok na żywo znajdziesz na stronie Zaufanie.
| Dostawca | Usługa | Krytyczność |
|---|---|---|
| Cloudflare | CDN, DNS, WAF, terminacja TLS | Krytyczna |
| Hetzner Online GmbH | Infrastruktura chmurowa / hosting | Krytyczna |
| Anthropic | AI / LLM (Claude API do generowania dokumentów) | Krytyczna |
| Stripe | Obsługa płatności i rozliczenia | Krytyczna |
| GitHub | Hosting kodu źródłowego i CI/CD | Krytyczna |
| Google Workspace + Drive (przez rclone) | Zewnętrzny cel kopii zapasowych | Wysoka |
| Resend | Dostarczanie e-maili transakcyjnych | Średnia |
Pełny rejestr z wynikami ryzyka rezydualnego i datami przeglądów żyje w produkcie. Powyższa klasyfikacja krytyczności odpowiada polu audit_classification (critical / important / standard), z którego korzysta cron przypomnień o przeglądach dostawców.
Testowanie skuteczności (art. 21 ust. 2 lit. f)
Cykl Q2-2026 (pierwszy kwartalny audyt z art. 21 ust. 2 lit. f) odnotował 5 KPI skuteczności względem zadeklarowanych celów: średni czas wykrycia (MTTD), średni czas przywrócenia (MTTR), zgodność z SLA dla krytycznych poprawek, wykonanie próby odtworzenia z kopii oraz kompletność przeglądów dostawców. Liczba KPI będzie rosła z nowymi politykami — kręgosłup jest zablokowany.
| KPI | Zabezpieczenie podrzędne art. 21 ust. 2 lit. f | Cel | Obserwacja Q2-2026 | Status |
|---|---|---|---|---|
Średni czas wykrycia (MTTD) Czas od wystąpienia zdarzenia cyberbezpieczeństwa do jego wykrycia przez Reglyze. Monitor dostępności Hetzner + healthchecki Dockera w skali solo-CTO; bez SOC/SIEM. | nis2.21.2.f.1 | < 2 dni | 0 incydentów | Na poziomie celu |
Średni czas przywrócenia (MTTR) Czas od wykrycia incydentu do pełnego przywrócenia usługi. Kopia przed wdrożeniem + automatyczny rollback zweryfikowane w dwóch próbach 2026-05 w czasie poniżej 3 minut. | nis2.21.2.f.2 | < 4 godziny | 0 incydentów | Na poziomie celu |
Zgodność z SLA dla krytycznych poprawek Odsetek krytycznych/wysokich PR-ów bezpieczeństwa z Dependabota scalonych w ciągu 7 dni. Q2-2026: 3/3 (drizzle-orm, Next.js, @xmldom/xmldom). | nis2.21.2.f.3 | 100% | 100% | Na poziomie celu |
Wykonanie próby odtworzenia z kopii Udane próby odtworzenia na kwartał. Odtworzenie stagingu 2026-05-03 + automatyczne RESTORE_DB przy nieudanym smoke zweryfikowane 2026-05-15. | nis2.21.2.f.4 | ≥ 1 / kwartał | 2 próby | Powyżej celu |
Kompletność przeglądów dostawców Odsetek dostawców w zadanym rytmie przeglądów. 7/7 dostawców ma next_review_due_at w przyszłości na dzień audytu. | nis2.21.2.f.5 | 100% | 100% | Na poziomie celu |
Ustalenia i działania korygujące dla poszczególnych KPI są zapisane w effectiveness_reviews na produkcyjnej bazie (idempotentnie, tylko dopisywanie). Następny cykl zamyka się 2026-08-19.
Nieprzetestowane KPI (MTTD, MTTR, rytm przeglądów dostawców) to uczciwe artefakty dogfoodingu — Reglyze nie miało w Q2-2026 żadnego incydentu cyberbezpieczeństwa, więc zabezpieczeń wykrywania i przywracania nie dało się zweryfikować empirycznie. SLA poprawek i próba odtworzenia z kopii są zweryfikowane ilościowo.
Podsumowanie cyklu audytu
Pojedynczy wiersz audit_logs stempluje zakończenie cyklu. Podpis przeglądającego jest cyfrowy — obietnica dogfoodingu: organem zarządzającym jest Cyril, jedyny administrator, który przeklikał każdy ekran.
Reglyze jest poza zakresem NIS2 na podstawie art. 2 ust. 1; ten audyt jest dobrowolny. Rytm zablokowany na kwartalny — ta sama rekomendacja, którą dajemy płacącym klientom.
Gwarancje integralności
Ta strona jest częścią serwisu Reglyze, serwowaną jako statyczna trasa Next.js, a zredagowane PDF-y leżą w systemie kontroli wersji tuż obok niej. Każdy może zweryfikować oś czasu:
- Źródło: apps/web/src/app/[locale]/compliance/page.tsx w publicznym repozytorium Reglyze.
- PDF-y: apps/web/public/compliance-artifacts/ — każdy commit pokazuje zredagowany artefakt + datę jego zatwierdzenia.
- Metryka zaoszczędzonych godzin: docs/research/self-compliance-timing.md, dziennik pomiarów wiersz po wierszu; cytowana suma to łączny czas zegarowy agenta dla zadań 1.2–1.7 Fazy 1.
- Rytm kwartalny: docs/research/self-compliance/task-3.1/applied.sql to idempotentny rachunek SQL cyklu Q2-2026 (effectiveness_kpis + effectiveness_reviews + wiersz audit_logs action=effectiveness.quarterly_audit_completed). Ponowne uruchomienie nie tworzy żadnych nowych wierszy.
- Zgodnie z rytmem art. 21 ust. 2 lit. f ta strona jest ponownie audytowana co kwartał; daty „Ostatni audyt” i „Termin następnego audytu” to kotwice cyklu.
Chcesz tego samego dla swojej firmy?
Rozpocznij bezpłatną kwalifikację w pięć minut. Jeśli — tak jak my — jesteś poza zakresem art. 2 ust. 1, dobrowolną bazę dowodów zbudujesz na planie Free. Jeśli jesteś w zakresie, plan Pro Reglyze pokrywa całą powierzchnię art. 21: generowanie dokumentów przez AI, rejestr dostawców i audyty kwartalne.