Dokument referencyjny dla działów prawnych, compliance i DPO. Opisuje, jak Evidence & Resilience Orchestrator mapuje obowiązki z DORA, NIS2, RODO, AI Act i CRA na materiał dowodowy — jako decision-support, nie porada prawna. Wskazuje granice narzędzia, role ludzkie (DPO, radca prawny) oraz ramy umowne (RoE / NDA / DPA), retencję i obsługę dowodów. Zgodnie z doktryną claim ≤ proof: rozdzielamy to, co LIVE, od tego, co ROADMAP.
Whitepaper opisuje ścieżkę: finding/incydent → mapowanie obowiązku (decision-support) → pakiet dowodowy → przegląd DPO/radcy → decyzja i ewentualna komunikacja do organu. Narzędzie skraca czas przygotowania materiału i porządkuje ślad audytowy; nie zastępuje oceny prawnej ani nie wydaje wiążących terminów.
Poniższa tabela pokazuje, które obszary obowiązków są dziś objęte wstępnym mapowaniem (LIVE mapowanie), a które są w planie (ROADMAP). Mapowanie = orientacyjne wskazanie potencjalnie właściwych przepisów i artefaktów dowodowych, nie kwalifikacja prawna. Data weryfikacji: 2026-07-05. Dane w przykładach są syntetyczne.
| Reżim | Obszar obowiązku (przykład) | Co robi ipIII | Rola człowieka | Status |
|---|---|---|---|---|
| DORA UE 2022/2554 |
Zgłaszanie poważnych incydentów ICT, rejestr, testy odporności cyfrowej. | Klasyfikuje incydent wg progów orientacyjnych, składa pakiet dowodowy (timeline, findings, chain-of-custody) i wskazuje potencjalne okna czasowe do rozważenia. | Radca / zespół DORA potwierdza kwalifikację „poważny" i faktyczne terminy wobec właściwego organu. | LIVE mapowanie |
| NIS2 UE 2022/2555 |
Obowiązki podmiotów kluczowych/ważnych, wczesne ostrzeżenie i raport incydentu. | Powiązuje incydent z sektorem i wskazuje artefakty do przygotowania (wczesne ostrzeżenie, raport pośredni) jako listę kontrolną decision-support. | Compliance / prawnik ustala status podmiotu i termin wobec CSIRT/organu krajowego. | LIVE mapowanie |
| RODO UE 2016/679 |
Naruszenie ochrony danych: ocena, ewidencja, ewentualne zgłoszenie i zawiadomienie osób. | Wskazuje, że incydent może dotyczyć danych osobowych, przygotowuje szkielet rejestru naruszeń i materiał dla oceny ryzyka. | DPO ocenia ryzyko dla praw i wolności osób oraz decyduje o zgłoszeniu do organu nadzorczego. | LIVE mapowanie |
| AI Act UE 2024/1689 |
Klasyfikacja systemów AI, obowiązki przejrzystości (art. 50), terminy etapowe. | Porządkuje orientacyjne terminy (m.in. art. 50, etap high-risk odroczony do 2.12.2027) i wiąże je z komponentami — jako materiał do dyskusji, nie kwalifikacja. | Prawnik / zespół AI governance klasyfikuje system i ustala właściwe obowiązki. | ROADMAP |
| CRA UE 2024/2847 |
Cyber Resilience Act: obowiązki dla produktów z elementami cyfrowymi, obsługa podatności. | Planowane: powiązanie findings/CVE z obowiązkami obsługi podatności i dokumentacją produktową. | Producent / prawnik ustala zakres obowiązków dla konkretnego produktu. | ROADMAP |
Ocena naruszenia RODO, ryzyko dla osób, decyzja o zgłoszeniu i zawiadomieniu. Właściciel rejestru naruszeń.
ipIII dostarcza materiał; decyzję podejmuje DPO.
Kwalifikacja prawna incydentu, ustalenie terminów i treści komunikatów do organów (DORA/NIS2), interpretacja AI Act/CRA.
ipIII przygotowuje draft; prawnik weryfikuje przed wysyłką.
Utrzymanie mapowań, listy kontrolne, ślad audytowy, spójność z politykami wewnętrznymi.
ipIII porządkuje dowody; compliance zatwierdza proces.
Kontekst techniczny, zakres produktu (CRA), decyzje o remediacji i priorytetach.
ipIII wiąże findings z komponentami; właściciel decyduje o działaniu.
| Dokument | Po co | Co reguluje w kontekście ipIII |
|---|---|---|
| RoE Rules of Engagement |
Granice dozwolonych działań w ramach współpracy blue/GRC. | Zakres, cele, wyłączenia i formy pracy. ipIII działa wyłącznie w granicach pisemnych Rules of Engagement — bez nieautoryzowanych działań na systemach klienta. |
| NDA poufność |
Ochrona informacji poufnych obu stron. | Traktowanie findings, dowodów i danych klienta jako poufnych; zasady dostępu i przekazywania artefaktów. |
| DPA powierzenie danych |
Powierzenie przetwarzania danych osobowych (art. 28 RODO). | Role administrator/podmiot przetwarzający, cele, kategorie danych, podpowierzenie, retencja i usuwanie. Wymagane, gdy w dowodach mogą wystąpić dane osobowe. |
package_sha256 i zapisuje chain-of-custody w PostgreSQL. Podpis PAdES / znacznik TSA są w planie (ROADMAP) — dziś integralność opiera się na hashu, nie na kwalifikowanym podpisie.Powiązane: pełne mapowanie jurysdykcji → /global-compliance · gotowe pakiety regulacyjne → /regulatory-packs · zasady przetwarzania danych → /privacy-policy · granice narzędzia → /known-limitations.