Macierz triggerów prawnych — kiedy konkretne zdarzenie uruchamia obowiązek regulacyjny. Dla każdego aktu: zakres podmiotowy, typowy trigger, wynikający obowiązek i termin.
| Akt prawny | Zakres | Typowy trigger (zdarzenie) | Obowiązek | Termin / uwaga |
|---|---|---|---|---|
| AI Act Rozp. UE 2024/1689 |
Systemy AI wysokiego ryzyka (Zał. III) wprowadzane na rynek UE lub oddawane do użytku | Wprowadzenie na rynek lub oddanie do użytku systemu AI wysokiego ryzyka; zmiana istotna systemu już wdrożonego | Rejestracja w EU AI Database; dokumentacja techniczna; ocena zgodności; oznakowanie CE; post-market monitoring | od 02.08.2026 (art. 50 transparentność AI) |
| AI Act GPAI |
Dostawcy modeli AI ogólnego zastosowania (GPAI) dostępnych w UE | Wydanie modelu GPAI; osiągnięcie progu obliczeniowego (>10²⁵ FLOP = model systemowego ryzyka) | Dokumentacja techniczna; polityka przestrzegania prawa autorskiego; podsumowanie danych treningowych; ocena systemowego ryzyka (dla modeli ponad progiem) | od 02.08.2025 |
| NIS2 Dyr. UE 2022/2555 |
Podmioty kluczowe i ważne w sektorach Zał. I i II (energia, transport, zdrowie, infrastruktura cyfrowa itd.) | Incydent cyberbezpieczeństwa mający znaczący wpływ na ciągłość usług lub powodujący poważną stratę finansową / reputacyjną | Wczesne ostrzeżenie (24 h) → zgłoszenie incydentu (72 h) → raport końcowy (1 miesiąc) do właściwego CSIRT/organu krajowego | 24 h ostrzeżenie / 72 h zgłoszenie |
| KSC Ustawa o KSC |
Operatorzy usług kluczowych (OUK) i dostawcy usług cyfrowych w Polsce | Poważny incydent naruszający bezpieczeństwo sieci i systemów informatycznych świadczonej usługi kluczowej | Zgłoszenie incydentu do CSIRT (NASK, GOV lub MON w zależności od sektora); wdrożenie środków zaradczych; raport powypadkowy | niezwłocznie / maks. 24 h |
| RODO/GDPR Rozp. UE 2016/679 |
Administratorzy i podmioty przetwarzające dane osobowe osób fizycznych w UE | Naruszenie ochrony danych osobowych (breach): utrata dostępności, integralności lub poufności danych osobowych | Zgłoszenie naruszenia do organu nadzorczego (UODO w Polsce); jeśli wysokie ryzyko — zawiadomienie osób, których dane dotyczą | 72 h do UODO |
| DSA Rozp. UE 2022/2065 |
Bardzo duże platformy internetowe (VLOP) i bardzo duże wyszukiwarki (VLOSE) — >45 mln użytkowników UE | Wykrycie treści nielegalnych; systemic risk assessment; znaczący incydent wpływający na integralność wyborów lub bezpieczeństwo publiczne | Usunięcie / ograniczenie dostępu do treści; raportowanie do KE i organu koordynacyjnego ds. usług cyfrowych; audit ryzyk systemowych (co roku) | od 17.02.2024 (VLOP) / 17.02.2024 (pozostałe) |
| CRA Rozp. UE 2024/2847 |
Producenci i dystrybutorzy produktów z elementami cyfrowymi wprowadzanych na rynek UE | Wykrycie aktywnie eksploitowanej podatności w produkcie; poważny incydent wpływający na bezpieczeństwo produktu | Zgłoszenie do ENISA i właściwego CSIRT w ciągu 24 h (wczesne ostrzeżenie) i 72 h (zgłoszenie); wydanie aktualizacji bezpieczeństwa | 24 h / 72 h; wymagania bezpieczeństwa w pełni od 11.12.2027 |
| eIDAS Rozp. UE 910/2014 + nowelizacja 2024/1183 |
Kwalifikowani dostawcy usług zaufania (QTSP); podmioty stosujące e-identyfikację transgraniczną | Naruszenie bezpieczeństwa usługi zaufania lub incydent wpływający na zaufanie do usługi; zmiana statusu certyfikatu kwalifikowanego | Zgłoszenie do organu nadzorczego (w PL: Ministerstwo Cyfryzacji); powiadomienie podmiotów polegających na usłudze; aktualizacja listy TSL | niezwłocznie / 24 h |
| Odp. cywilna / regres KC + AI Liability Dir. (projekt) |
Każdy podmiot (owner systemu AI lub produktu cyfrowego) wyrządzający szkodę osobom trzecim | Powstanie szkody majątkowej lub niemajątkowej w związku z działaniem systemu AI lub produktu cyfrowego; naruszenie norm bezpieczeństwa | Obowiązek naprawienia szkody (odszkodowanie); możliwość regresu wobec twórcy / dostawcy; obowiązek dokumentacyjny do celów dowodowych | terminy przedawnienia KC; projekt AI Liability Dir. — obowiązki dowodowe dla systemów AI HR |
Do czasu uruchomienia tablicy — punktem odniesienia jest macierz powyżej (sekcja 1) oraz dokumenty źródłowe linkowane w sekcji Dokumenty.
Zidentyfikuj konkretne zdarzenie w organizacji lub produkcie — incydent, wdrożenie, naruszenie, zmiana konfiguracji, decyzja handlowa.
Porównaj zdarzenie z kolumną "Typowy trigger" w macierzy. Jeden trigger może aktywować wiele aktów jednocześnie (np. breach danych w podmiocie kluczowym = RODO + NIS2 + KSC).
Odczytaj obowiązek dla każdego dopasowanego aktu. Sprawdź, czy Twoja organizacja należy do zakresu podmiotowego (kolumna "Zakres").
Przypisz właściciela obowiązku (DPO, CISO, radca prawny, zarząd) oraz zarejestruj termin. Terminy 24 h / 72 h są bezwzględne — liczy się czas od wykrycia, nie od potwierdzenia.
Utrwal ścieżkę: co, kiedy, kto zdecydował, jakie działanie podjęto, kiedy zgłoszono. Brak dokumentacji = brak dowodu wykonania obowiązku. Zob. Prawda i dowody.