K0NSULT // Common-Source-of-Truth/regulatory-trigger-engine
k0nsult.cloud / Common-Source-of-Truth / regulatory-trigger-engine

Regulatory Trigger Engine v0.1

Macierz triggerów prawnych — kiedy konkretne zdarzenie uruchamia obowiązek regulacyjny. Dla każdego aktu: zakres podmiotowy, typowy trigger, wynikający obowiązek i termin.

Silnik INFORMACYJNY. Nie orzeka automatycznie, nie zastępuje analizy prawnej, nie jest opinią jednostki notyfikowanej. Treść odzwierciedla stan regulacyjny na dzień publikacji i podlega aktualizacji wraz ze zmianą prawa lub wytycznych organów.

1. Macierz triggerów

Akt prawny Zakres Typowy trigger (zdarzenie) Obowiązek Termin / uwaga
AI Act
Rozp. UE 2024/1689
Systemy AI wysokiego ryzyka (Zał. III) wprowadzane na rynek UE lub oddawane do użytku Wprowadzenie na rynek lub oddanie do użytku systemu AI wysokiego ryzyka; zmiana istotna systemu już wdrożonego Rejestracja w EU AI Database; dokumentacja techniczna; ocena zgodności; oznakowanie CE; post-market monitoring od 02.08.2026 (art. 50 transparentność AI)
AI Act
GPAI
Dostawcy modeli AI ogólnego zastosowania (GPAI) dostępnych w UE Wydanie modelu GPAI; osiągnięcie progu obliczeniowego (>10²⁵ FLOP = model systemowego ryzyka) Dokumentacja techniczna; polityka przestrzegania prawa autorskiego; podsumowanie danych treningowych; ocena systemowego ryzyka (dla modeli ponad progiem) od 02.08.2025
NIS2
Dyr. UE 2022/2555
Podmioty kluczowe i ważne w sektorach Zał. I i II (energia, transport, zdrowie, infrastruktura cyfrowa itd.) Incydent cyberbezpieczeństwa mający znaczący wpływ na ciągłość usług lub powodujący poważną stratę finansową / reputacyjną Wczesne ostrzeżenie (24 h) → zgłoszenie incydentu (72 h) → raport końcowy (1 miesiąc) do właściwego CSIRT/organu krajowego 24 h ostrzeżenie / 72 h zgłoszenie
KSC
Ustawa o KSC
Operatorzy usług kluczowych (OUK) i dostawcy usług cyfrowych w Polsce Poważny incydent naruszający bezpieczeństwo sieci i systemów informatycznych świadczonej usługi kluczowej Zgłoszenie incydentu do CSIRT (NASK, GOV lub MON w zależności od sektora); wdrożenie środków zaradczych; raport powypadkowy niezwłocznie / maks. 24 h
RODO/GDPR
Rozp. UE 2016/679
Administratorzy i podmioty przetwarzające dane osobowe osób fizycznych w UE Naruszenie ochrony danych osobowych (breach): utrata dostępności, integralności lub poufności danych osobowych Zgłoszenie naruszenia do organu nadzorczego (UODO w Polsce); jeśli wysokie ryzyko — zawiadomienie osób, których dane dotyczą 72 h do UODO
DSA
Rozp. UE 2022/2065
Bardzo duże platformy internetowe (VLOP) i bardzo duże wyszukiwarki (VLOSE) — >45 mln użytkowników UE Wykrycie treści nielegalnych; systemic risk assessment; znaczący incydent wpływający na integralność wyborów lub bezpieczeństwo publiczne Usunięcie / ograniczenie dostępu do treści; raportowanie do KE i organu koordynacyjnego ds. usług cyfrowych; audit ryzyk systemowych (co roku) od 17.02.2024 (VLOP) / 17.02.2024 (pozostałe)
CRA
Rozp. UE 2024/2847
Producenci i dystrybutorzy produktów z elementami cyfrowymi wprowadzanych na rynek UE Wykrycie aktywnie eksploitowanej podatności w produkcie; poważny incydent wpływający na bezpieczeństwo produktu Zgłoszenie do ENISA i właściwego CSIRT w ciągu 24 h (wczesne ostrzeżenie) i 72 h (zgłoszenie); wydanie aktualizacji bezpieczeństwa 24 h / 72 h; wymagania bezpieczeństwa w pełni od 11.12.2027
eIDAS
Rozp. UE 910/2014 + nowelizacja 2024/1183
Kwalifikowani dostawcy usług zaufania (QTSP); podmioty stosujące e-identyfikację transgraniczną Naruszenie bezpieczeństwa usługi zaufania lub incydent wpływający na zaufanie do usługi; zmiana statusu certyfikatu kwalifikowanego Zgłoszenie do organu nadzorczego (w PL: Ministerstwo Cyfryzacji); powiadomienie podmiotów polegających na usłudze; aktualizacja listy TSL niezwłocznie / 24 h
Odp. cywilna / regres
KC + AI Liability Dir. (projekt)
Każdy podmiot (owner systemu AI lub produktu cyfrowego) wyrządzający szkodę osobom trzecim Powstanie szkody majątkowej lub niemajątkowej w związku z działaniem systemu AI lub produktu cyfrowego; naruszenie norm bezpieczeństwa Obowiązek naprawienia szkody (odszkodowanie); możliwość regresu wobec twórcy / dostawcy; obowiązek dokumentacyjny do celów dowodowych terminy przedawnienia KC; projekt AI Liability Dir. — obowiązki dowodowe dla systemów AI HR

2. Legal Live Board (P1)

Zapowiedź — wkrótce: tabela aktów prawnych, obowiązków, statusów zgodności i terminów, aktualizowana ręcznie przez zespół K0-CST. Format: Akt | Podmiot | Status | Deadline | Owner. Dane odzwierciedlają stan weryfikowany przez radcę prawnego lub zewnętrzne źródło normalizacyjne.

Do czasu uruchomienia tablicy — punktem odniesienia jest macierz powyżej (sekcja 1) oraz dokumenty źródłowe linkowane w sekcji Dokumenty.

3. Jak używać

Zdarzenie

Zidentyfikuj konkretne zdarzenie w organizacji lub produkcie — incydent, wdrożenie, naruszenie, zmiana konfiguracji, decyzja handlowa.

Dopasowanie triggera

Porównaj zdarzenie z kolumną "Typowy trigger" w macierzy. Jeden trigger może aktywować wiele aktów jednocześnie (np. breach danych w podmiocie kluczowym = RODO + NIS2 + KSC).

Wskazany obowiązek

Odczytaj obowiązek dla każdego dopasowanego aktu. Sprawdź, czy Twoja organizacja należy do zakresu podmiotowego (kolumna "Zakres").

Owner + termin

Przypisz właściciela obowiązku (DPO, CISO, radca prawny, zarząd) oraz zarejestruj termin. Terminy 24 h / 72 h są bezwzględne — liczy się czas od wykrycia, nie od potwierdzenia.

Dowód

Utrwal ścieżkę: co, kiedy, kto zdecydował, jakie działanie podjęto, kiedy zgłoszono. Brak dokumentacji = brak dowodu wykonania obowiązku. Zob. Prawda i dowody.

not a certification · not a notified body · not a legal conclusion