K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / compliance-whitepaper

Legal/Compliance Whitepaper — jak ipIII wspiera decyzje regulacyjne

Dokument referencyjny dla działów prawnych, compliance i DPO. Opisuje, jak Evidence & Resilience Orchestrator mapuje obowiązki z DORA, NIS2, RODO, AI Act i CRA na materiał dowodowy — jako decision-support, nie porada prawna. Wskazuje granice narzędzia, role ludzkie (DPO, radca prawny) oraz ramy umowne (RoE / NDA / DPA), retencję i obsługę dowodów. Zgodnie z doktryną claim ≤ proof: rozdzielamy to, co LIVE, od tego, co ROADMAP.

Status dokumentu: MVP. To whitepaper, nie opinia prawna i nie oświadczenie o spełnieniu wymogów. ipIII dostarcza wsparcia decyzji: mapuje findings i incydenty na potencjalnie właściwe obowiązki regulacyjne oraz porządkuje materiał dowodowy. Ostateczną kwalifikację prawną, terminy i treść komunikatów do organów zawsze potwierdza radca prawny / kancelaria po stronie klienta. Terminy i mapowania mają charakter orientacyjny i wymagają weryfikacji dla konkretnej jurysdykcji i sektora.
5 reżimów. Jedna warstwa dowodowa. Człowiek podejmuje decyzję.

Whitepaper opisuje ścieżkę: finding/incydent → mapowanie obowiązku (decision-support) → pakiet dowodowy → przegląd DPO/radcy → decyzja i ewentualna komunikacja do organu. Narzędzie skraca czas przygotowania materiału i porządkuje ślad audytowy; nie zastępuje oceny prawnej ani nie wydaje wiążących terminów.

ŚCIEŻKA: finding / incydentmapowanie (decision-support)evidence-packageprzegląd DPO / radcydecyzja człowieka

Reżimy w zasięgu — jako roadmap mapowania

Poniższa tabela pokazuje, które obszary obowiązków są dziś objęte wstępnym mapowaniem (LIVE mapowanie), a które są w planie (ROADMAP). Mapowanie = orientacyjne wskazanie potencjalnie właściwych przepisów i artefaktów dowodowych, nie kwalifikacja prawna. Data weryfikacji: 2026-07-05. Dane w przykładach są syntetyczne.

ReżimObszar obowiązku (przykład)Co robi ipIIIRola człowiekaStatus
DORA
UE 2022/2554
Zgłaszanie poważnych incydentów ICT, rejestr, testy odporności cyfrowej. Klasyfikuje incydent wg progów orientacyjnych, składa pakiet dowodowy (timeline, findings, chain-of-custody) i wskazuje potencjalne okna czasowe do rozważenia. Radca / zespół DORA potwierdza kwalifikację „poważny" i faktyczne terminy wobec właściwego organu. LIVE mapowanie
NIS2
UE 2022/2555
Obowiązki podmiotów kluczowych/ważnych, wczesne ostrzeżenie i raport incydentu. Powiązuje incydent z sektorem i wskazuje artefakty do przygotowania (wczesne ostrzeżenie, raport pośredni) jako listę kontrolną decision-support. Compliance / prawnik ustala status podmiotu i termin wobec CSIRT/organu krajowego. LIVE mapowanie
RODO
UE 2016/679
Naruszenie ochrony danych: ocena, ewidencja, ewentualne zgłoszenie i zawiadomienie osób. Wskazuje, że incydent może dotyczyć danych osobowych, przygotowuje szkielet rejestru naruszeń i materiał dla oceny ryzyka. DPO ocenia ryzyko dla praw i wolności osób oraz decyduje o zgłoszeniu do organu nadzorczego. LIVE mapowanie
AI Act
UE 2024/1689
Klasyfikacja systemów AI, obowiązki przejrzystości (art. 50), terminy etapowe. Porządkuje orientacyjne terminy (m.in. art. 50, etap high-risk odroczony do 2.12.2027) i wiąże je z komponentami — jako materiał do dyskusji, nie kwalifikacja. Prawnik / zespół AI governance klasyfikuje system i ustala właściwe obowiązki. ROADMAP
CRA
UE 2024/2847
Cyber Resilience Act: obowiązki dla produktów z elementami cyfrowymi, obsługa podatności. Planowane: powiązanie findings/CVE z obowiązkami obsługi podatności i dokumentacją produktową. Producent / prawnik ustala zakres obowiązków dla konkretnego produktu. ROADMAP
Kluczowe rozróżnienie. ipIII nie stwierdza, że dany obowiązek „obowiązuje" ani że „termin wynosi X". Wskazuje potencjalnie właściwe przepisy i przygotowuje materiał, aby człowiek (DPO, radca) mógł szybciej podjąć decyzję. To jest wsparcie decyzji, nie porada prawna i nie oświadczenie o statusie regulacyjnym.

Role ludzkie — kto podejmuje jaką decyzję

DPO / Inspektor ochrony danych

Ocena naruszenia RODO, ryzyko dla osób, decyzja o zgłoszeniu i zawiadomieniu. Właściciel rejestru naruszeń.

ipIII dostarcza materiał; decyzję podejmuje DPO.

Radca prawny / kancelaria

Kwalifikacja prawna incydentu, ustalenie terminów i treści komunikatów do organów (DORA/NIS2), interpretacja AI Act/CRA.

ipIII przygotowuje draft; prawnik weryfikuje przed wysyłką.

Compliance / GRC

Utrzymanie mapowań, listy kontrolne, ślad audytowy, spójność z politykami wewnętrznymi.

ipIII porządkuje dowody; compliance zatwierdza proces.

Właściciel systemu / producent

Kontekst techniczny, zakres produktu (CRA), decyzje o remediacji i priorytetach.

ipIII wiąże findings z komponentami; właściciel decyduje o działaniu.

Ramy umowne — RoE / NDA / DPA

DokumentPo coCo reguluje w kontekście ipIII
RoE
Rules of Engagement
Granice dozwolonych działań w ramach współpracy blue/GRC. Zakres, cele, wyłączenia i formy pracy. ipIII działa wyłącznie w granicach pisemnych Rules of Engagement — bez nieautoryzowanych działań na systemach klienta.
NDA
poufność
Ochrona informacji poufnych obu stron. Traktowanie findings, dowodów i danych klienta jako poufnych; zasady dostępu i przekazywania artefaktów.
DPA
powierzenie danych
Powierzenie przetwarzania danych osobowych (art. 28 RODO). Role administrator/podmiot przetwarzający, cele, kategorie danych, podpowierzenie, retencja i usuwanie. Wymagane, gdy w dowodach mogą wystąpić dane osobowe.
Kolejność. Zanim ipIII przetworzy jakiekolwiek dane klienta, ustalamy RoE (zakres), NDA (poufność) i — jeśli w grę wchodzą dane osobowe — DPA (powierzenie). Bez tych ram narzędzie pracuje wyłącznie na danych syntetycznych lub demonstracyjnych.

Retencja i obsługa dowodów (evidence handling)

1. Zbieranie. Import findings z plików skanerów; każdy artefakt otrzymuje metrykę pochodzenia i znacznik czasu w bazie.
2. Integralność. Pakiet dowodowy liczy package_sha256 i zapisuje chain-of-custody w PostgreSQL. Podpis PAdES / znacznik TSA są w planie (ROADMAP) — dziś integralność opiera się na hashu, nie na kwalifikowanym podpisie.
3. Dostęp. JWT + RBAC + audit-log ograniczają, kto widzi i modyfikuje dowody. Każda operacja jest logowana.
4. Retencja. Okres przechowywania ustalany w DPA i polityce klienta; domyślnie minimalny niezbędny do celu (dowodowego/regulacyjnego). Zasady usuwania opisuje privacy policy.
5. Przekazanie. Eksport pakietu (JSON/PDF) z manifestem i hashem; odbiorca może zweryfikować integralność. Przekazanie do organu następuje po decyzji człowieka (DPO/radca).

Podsumowanie zakresu

3
Reżimy z LIVE mapowaniem
DORA · NIS2 · RODO (decision-support)
2
Reżimy ROADMAP
AI Act · CRA
3
Ramy umowne
RoE · NDA · DPA przed danymi
4
Role decyzyjne
DPO · radca · compliance · właściciel

Czego ten whitepaper NIE oznacza

To nie jest opinia prawna. Dokument opisuje, jak narzędzie wspiera przygotowanie decyzji regulacyjnych. Nie stwierdza, że dana organizacja spełnia wymogi ani że dany incydent podlega zgłoszeniu — to ustala człowiek (DPO/radca) w konkretnym stanie faktycznym.
„100%" u nas znaczy pokrycie dowodowe, nie status regulacyjny. Mapowania oznaczone LIVE mapowanie są zbudowane i testowane jako decision-support; elementy bez dowodu (kod+test+endpoint) opisujemy jako ROADMAP, nie jako gotową funkcję. To ta sama doktryna claim ≤ proof.
Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue). Nie wykonuje nieautoryzowanych skanów, exploitacji ani hack-back. Legal Trigger Engine i wszelkie mapowania obowiązków to wsparcie decyzji, nie porada prawna. Wszelkie działania o charakterze testu bezpieczeństwa wyłącznie w granicach pisemnych Rules of Engagement.

Powiązane: pełne mapowanie jurysdykcji → /global-compliance · gotowe pakiety regulacyjne → /regulatory-packs · zasady przetwarzania danych → /privacy-policy · granice narzędzia → /known-limitations.