K0NSULT // Common-Source-of-Truth/mapa-kompetencji
k0nsult.cloud / Common-Source-of-Truth / mapa-kompetencji

Mapa organów — reakcja i gotowość

Aby obywatele wiedzieli, co naprawdę się dzieje — dowodowy obraz tego, jak organy reagują na zgłoszenia i czy są gotowe wobec AI Act / NIS2 / KSC. Oceniamy instytucje i departamenty, nie osoby.

Podstawa wskaźnika. Wskaźnik oparty na udokumentowanych faktach (reakcja / czas reakcji / podjęte działanie), nie na ocenie osób. Dane orientacyjne; podmiotom przysługuje sprostowanie (appeal path). claim ≤ proof.

1. Jak liczymy wskaźnik

Wskaźnik sumaryczny wynosi 0–100 pkt (4 składowe po 0–25, każda dowodowa):

Reakcja (0–25)

Czy organ udzielił odpowiedzi na przesłane zgłoszenie/pismo? Brak odpowiedzi = 0. Odpowiedź formalna = 25.

Czas reakcji (0–25)

Udokumentowany czas od nadania pisma do odpowiedzi. Norma KPA: 30/60 dni. Przekroczenie obniża składową.

Podjęte działanie (0–25)

Czy odpowiedź skutkowała konkretnym działaniem (wszczęcie postępowania, decyzja, wyjaśnienie merytoryczne)?

Gotowość regulacyjna (0–25)

Czy organ ma udokumentowane procedury / strukturę dedykowaną AI Act / NIS2 / KSC na dzień badania?

Wszystkie składowe opierają się na udokumentowanej korespondencji lub publicznie dostępnych informacjach. Brak dokumentu = GAP = 0 dla danej składowej.

2. Mapa (dowodowo)

Stan wyjściowy: orientacyjny / SIMULATION — dane do aktualizacji w miarę napływu odpowiedzi organów. Podstawa: udokumentowana korespondencja prowadzona przez K0NSULT Sp. z o.o. (2025–2026).

Organ / departament Obszar Reakcja Czas Działanie Wskaźnik
Ministerstwo Cyfryzacji
Dep. AI i transformacji cyfrowej
AI Act / KSC Częściowa >60 dni Potwierdzenie odbioru; brak merytorycznej odpowiedzi na zarzuty
42 / 100  [SIMULATION]
KPRM
Dep. ds. cyfryzacji / KRMC
AI Act koordynacja Brak odpowiedzi Brak udokumentowanego działania
12 / 100  [SIMULATION]
CSIRT NASK / CERT Polska NIS2 / incydenty AI Częściowa 15–30 dni Formalne potwierdzenie zgłoszenia; brak dalszych kroków
48 / 100  [SIMULATION]
CSIRT GOV
ABW — Dep. Bezpieczeństwa Teleinf.
NIS2 / KSC infrastruktura krytyczna Brak odpowiedzi Brak udokumentowanego działania
10 / 100  [SIMULATION]
NASK-PIB
Dyrekcja / dział regulacyjny
AI Act / edukacja cyfrowa Częściowa 30–45 dni Odpowiedź ogólna; brak odniesienia do konkretnych zarzutów regulacyjnych
38 / 100  [SIMULATION]
UODO
Dep. ds. sektorów regulowanych / AI
AI Act art. 5 / RODO × AI Częściowa 45–60 dni Odpowiedź formalna; brak wszczęcia postępowania wyjaśniającego
45 / 100  [SIMULATION]
UKE
Dep. ds. regulacji rynku
KSC / NIS2 telecom Brak odpowiedzi Brak udokumentowanego działania
15 / 100  [SIMULATION]
KNF
Dep. ds. ryzyk technologicznych / DORA
AI Act / DORA / sektor fin. Częściowa 30–60 dni Odpowiedź formalna; przekierowanie do BRK; brak decyzji merytorycznej
40 / 100  [SIMULATION]
MON
Dep. Transformacji Cyfrowej / CYBERDOW
KSC / bezp. AI dual-use Brak odpowiedzi Brak udokumentowanego działania
8 / 100  [SIMULATION]
MSWiA
Dep. Cyberbezpieczeństwa
KSC / NIS2 porządek publiczny Brak odpowiedzi Brak udokumentowanego działania
10 / 100  [SIMULATION]
MF / KAS
Dep. Cyfryzacji KAS / AI w administracji skarbowej
AI Act / transparentność algorytmiczna Częściowa 30–45 dni Odpowiedź formalna; brak ujawnienia modeli AI stosowanych w decyzjach
35 / 100  [SIMULATION]

Legenda słupków: b-hi (75–100)   b-mid (30–74)   b-lo (0–29). Brak odpowiedzi udokumentowany na podstawie rejestrów korespondencji K0NSULT (sygnatura pisma dostępna na żądanie).

3. Aktualizacja wskaźnika

Wskaźnik rośnie, gdy organ podejmuje udokumentowane działanie. Każda zmiana składowej wymaga nowego dowodu (odpowiedź, decyzja, protokół spotkania). Log zmian powiązany z osią czasu: /Common-Source-of-Truth/os-czasu. Aktualizacje datowane i wersjonowane — nie ciche edycje.

Organy lub departamenty, które prześlą udokumentowaną odpowiedź merytoryczną lub uruchomią procedurę, otrzymają zaktualizowany wskaźnik w ciągu 7 dni roboczych od wpływu dokumentu. Prosimy o kontakt: biuro@k0nsult.cloud.

4. Odpowiedzialność (regres)

Udokumentowany brak reakcji lub działania pozwala precyzyjnie wskazać, gdzie na poziomie organu (nie osoby) zabrakło wymaganego prawem działania. Stanowi to potencjalną podstawę:

Pełny rejestr luk i nadużyć proceduralnych: /Common-Source-of-Truth/gap-abuse-register.

5. Koszt bezczynności — szacunek (model)

Poniższe zestawienie przedstawia modelowy, orientacyjny szacunek wpływu bezczynności/zaniechania danego organu w przypisanym obszarze regulacyjnym. Analiza uwzględnia dwa wymiary:

Model orientacyjny oparty na skali i częstotliwości udokumentowanych luk oraz porównaniu z europejską praktyką egzekucji NIS2/AI Act. Nie stanowi wyceny ani dowodu winy. Poziom analizy: organ (nie osoba). claim ≤ proof.

Organ / obszar Wpływ na obywateli / przedsiębiorców Ryzyko/koszt dla Skarbu Państwa Uwagi
Ministerstwo Cyfryzacji
AI Act / KSC
Średni
Niepewność prawna podmiotów wdrażających AI Act; brak wytycznych skutkuje opóźnieniami i podwójnymi kosztami compliance po stronie przedsiębiorców.
Średni–Wysoki
Ryzyko postępowania naruszeniowego KE; koszty spóźnionej transpozycji rzędu wielokrotności rocznych budżetów departamentów (model: analogia RODO 2018–2019).
Częściowa reakcja — potencjał redukcji ryzyka przy podjęciu merytorycznego działania.
KPRM
AI Act koordynacja
Wysoki
Brak koordynacji na poziomie centrum rządu powoduje rozbieżne stanowiska resortów; obywatele i firmy nie wiedzą, do kogo się zwrócić w sprawach AI Act.
Wysoki
Koordynacyjna próżnia zwiększa ryzyko kar KE, duplikacji kosztów implementacyjnych i roszczeń wobec SP za szkody wynikłe z braku organu nadzorczego AI.
Brak odpowiedzi — wskaźnik bezczynności maksymalny na dziś.
CSIRT NASK / CERT Polska
NIS2 / incydenty AI
Średni
Niezgłoszone incydenty AI mogą narastać; opóźniona reakcja CSIRT wydłuża ekspozycję obywateli na zagrożenia.
Średni
Koszty rozszerzonej ekspozycji na incydenty NIS2; ryzyko nałożenia kar za niewystarczające CSIRT-capabilities przez KE.
Formalne potwierdzenia bez follow-up — ryzyko skumulowane w czasie.
CSIRT GOV (ABW)
NIS2 / KSC infrastruktura krytyczna
Wysoki
Brak reakcji na zgłoszenia dot. infrastruktury krytycznej i AI naraża obywateli na systemowe ryzyko bezpieczeństwa; efekty mogą być nieodwracalne przy incydencie.
Wysoki
Potencjalne konsekwencje: naruszenie art. 21 NIS2, roszczenia od podmiotów infrastruktury krytycznej, sankcje KE; skala: model „worst case" analogiczny do incydentów w UE 2023–2024.
Całkowity brak odpowiedzi — najwyższy priorytet w modelu ryzyka.
NASK-PIB
AI Act / edukacja cyfrowa
Średni
Luka edukacyjna w zakresie AI pogłębia nierówności; brak wytycznych utrudnia samorządom i szkołom dostosowanie do AI Act.
Niski–Średni
Ryzyko nieefektywnego wydatkowania środków UE (DSA/AI Act) bez koordynacji NASK; trudne do kwantyfikacji, lecz skumulowane w perspektywie 3–5 lat.
Odpowiedź ogólna — działanie merytoryczne obniżyłoby ryzyko.
UODO
AI Act art. 5 / RODO × AI
Średni–Wysoki
Brak postępowań wyjaśniających przy zarzutach AI art. 5 pozostawia obywateli bez ochrony; precedens dla podobnych naruszeń przez podmioty komercyjne.
Średni
Ryzyko zarzutu pasywności przez EDPB/KE; koszty ewentualnych postępowań naruszeniowych i odszkodowań zbiorowych kierowanych przez obywateli wobec SP.
Odpowiedź formalna bez wszczęcia — okno ryzyka otwarte.
UKE
KSC / NIS2 telecom
Średni
Sektor telekomunikacyjny bez jasnych wytycznych KSC/NIS2 naraża użytkowników końcowych na luki bezpieczeństwa sieci.
Średni
Ryzyko kar art. 21 NIS2 dla państwa za niewystarczający nadzór nad operatorami telekomunikacyjnymi; koszty remediacji post factum.
Brak odpowiedzi — ryzyko kumuluje się z upływem czasu (deadline NIS2).
KNF
AI Act / DORA / sektor fin.
Średni
Brak decyzji merytorycznej w sprawach AI/DORA utrzymuje niepewność dla instytucji finansowych i ich klientów; ryzyko nieujawnionego modelowania algorytmicznego.
Średni
DORA: pełna aplikacja od 01.2025 — passivity KNF może skutkować postępowaniem EBA; ryzyko roszczeń klientów instytucji finansowych za nienadzorowane ryzyki AI.
Przekierowanie do BRK bez decyzji — opóźnia ochronę systemu finansowego.
MON
KSC / bezp. AI dual-use
Wysoki
Brak stanowiska MON w sprawach AI dual-use tworzy lukę w bezpieczeństwie narodowym; potencjalnie najpoważniejszy skutek społeczny w zestawieniu.
Wysoki
Ryzyko systemowe: brak regulacyjnego ramowania AI dual-use przez MON może skutkować odpowiedzialnością SP za incydenty z użyciem nienadzorowanej technologii AI w obszarze obronności.
Całkowity brak odpowiedzi — obszar o najwyższej wadze strategicznej.
MSWiA
KSC / NIS2 porządek publiczny
Średni–Wysoki
Luki w KSC/NIS2 w obszarze porządku publicznego bezpośrednio narażają obywateli na incydenty cybernetyczne dotykające służby mundurowe i systemy identyfikacji.
Średni–Wysoki
Roszczenia odszkodowawcze przy incydentach KSC w obszarze MSWiA; potencjalne postępowania naruszeniowe KE za brak implementacji art. 21 NIS2.
Brak odpowiedzi — wrażliwość obszaru uzasadnia pilny monitoring.
MF / KAS
AI Act / transparentność algorytmiczna
Wysoki
Nieujawnione modele AI stosowane w decyzjach administracyjnych/skarbowych naruszają prawa podatnika (AI Act art. 5 lit. f); obywatele tracą możliwość zakwestionowania algorytmicznej decyzji KAS.
Wysoki
Ryzyko masowych odwołań od decyzji KAS opartych na nieujawnionej logice algorytmicznej; potencjalne orzeczenia sądów administracyjnych skutkujące uchyleniem decyzji i wypłatą nadpłat (model: analogia do spraw RODO × KAS).
Kluczowy obszar — transparentność algorytmiczna jest obowiązkiem, nie opcją (AI Act).
Skumulowany efekt czasu. Im dłużej organ pozostaje bezczynny, tym wyższy skumulowany koszt po obu stronach — dla obywateli i Skarbu Państwa. Wskaźnik kosztów bezczynności jest aktualizowany wraz z reakcją organu i powiązany z osią czasu: /Common-Source-of-Truth/os-czasu.
Regres. Udokumentowana bezczynność stanowi podstawę do precyzyjnego wskazania odpowiedzialności organu (nie osoby) i może być podstawą skargi, ponaglenia lub regresu odszkodowawczego (art. 417 KC).
SIMULATION — szacunki modelowe i orientacyjne. Powyższa sekcja prezentuje model orientacyjny oparty na analogiach regulacyjnych (RODO 2018, NIS 2016, praktyka EBA/EDPB) i udokumentowanej skali luk w korespondencji z organami. Nie stanowi wyceny, audytu finansowego ani dowodu winy imiennej osoby lub organu. Celem jest pokazanie rzędu wielkości ryzyka systemowego. Każdemu podmiotowi przysługuje prawo do sprostowania danych go dotyczących (appeal path: biuro@k0nsult.cloud).
Zastrzeżenie końcowe. Niniejszy materiał stanowi stanowisko i ocenę badawczą K0NSULT Sp. z o.o. opartą na zasadzie claim ≤ proof. Ma charakter informacyjno-badawczy. Nie stanowi certyfikacji, nie jest opinią jednostki notyfikowanej ani konkluzją prawną (not a certification · not a notified body · not a legal conclusion). Każdemu podmiotowi przysługuje prawo do sprostowania danych go dotyczących (appeal path: biuro@k0nsult.cloud). Wskaźniki i statusy odzwierciedlają stan wiedzy na dzień publikacji i podlegają aktualizacji.