K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / regulatory-packs / dora-pack

DORA Pack (MVP) — wsparcie zgłoszenia major ICT incident (art.19)

Szkielet decision-support, który pomaga zespołowi ułożyć zgłoszenie poważnego incydentu ICT zgodnie z rozporządzeniem DORA (art.19): oś czasu raportowania, checklist kompletności i szablon pakietu dowodowego. To wsparcie decyzji, nie porada prawna. Każda pozycja wymaga evidence basis — bez dowodu (link/hash/incydent) pole zostaje otwarte, nie domknięte.

Status i zakres. DORA Pack jest dziś na etapie MVP — szkielet decision-support (checklist + timeline + szablon pakietu). Nie jest to porada prawna ani zautomatyzowane ustalenie obowiązku zgłoszenia. Klasyfikacja incydentu jako „poważnego" (major) oraz terminy raportowania wymagają weryfikacji przez radcę/kancelarię i właściwy organ nadzoru. Zgodnie z doktryną claim ≤ proof: elementy działające oznaczamy MVP, planowane — ROADMAP. Nie deklarujemy funkcji, których nie ma.
Jeden pakiet: klasyfikacja → timeline → checklist → evidence.

DORA art.19 nakłada na podmioty finansowe obowiązek zgłaszania poważnych incydentów związanych z ICT właściwemu organowi w ustalonych oknach czasowych (wstępne / pośrednie / końcowe). DORA Pack porządkuje ten proces jako wsparcie decyzji: pomaga zebrać fakty, przyporządkować je do wymaganych pól i wygenerować szkielet pakietu (JSON), z którego można przygotować dokument PDF do przeglądu prawnego przed wysyłką.

PRZEBIEG: wykrycieklasyfikacja (major?)zgłoszenie wstępneraport pośredniraport końcowyprzegląd prawny → wysyłka

Oś czasu raportowania (DORA art.19)

Poniższe okna są orientacyjne i służą jako wsparcie planowania. Dokładne terminy, definicja „istotnej zmiany statusu" oraz progi klasyfikacji wynikają z rozporządzenia DORA i aktów wykonawczych (RTS/ITS) — zawsze potwierdź z prawnikiem i wytycznymi organu. Data weryfikacji treści: 2026-07-05.

EtapOrientacyjne oknoCo zawiera (wsparcie)Evidence basis
Zgłoszenie wstępne
(initial notification)
Możliwie najszybciej po klasyfikacji jako poważny — orientacyjnie w ciągu godzin od ustalenia; potwierdź RTS/ITS. Fakt wystąpienia, wstępny zakres, dotknięte usługi, status. Minimalny zestaw pól. Wpis incydentu + znacznik czasu wykrycia/klasyfikacji.
Raport pośredni
(intermediate report)
Po istotnej zmianie statusu obsługi lub w oknie wskazanym przez akty wykonawcze. Aktualizacja zakresu, wpływ, działania naprawcze w toku, przyczyna wstępna. Log działań + zmiany statusu incydentu.
Raport końcowy
(final report)
Po zamknięciu i analizie przyczyn źródłowych — w oknie z RTS/ITS. Root cause, pełny wpływ, wnioski, działania zapobiegawcze. Pakiet dowodowy zamknięcia (evidence-package) + chain-of-custody.

Interaktywny odliczacz okien → /deadline-clock · graficzna oś → /dora-timeline. Oba jako wsparcie planowania, nie jako wiążący termin prawny.

Checklist kompletności zgłoszenia

Pola oparte na strukturze zgłoszenia DORA art.19. Każde pole ma mieć evidence basis — dopóki brak dowodu, pole traktujemy jako otwarte (nie zaznaczone). To checklist wsparcia, nie automatyczne domknięcie obowiązku.

#PoleOpisWymagany dowód
1Identyfikacja podmiotuNazwa, kod LEI, rola, właściwy organ nadzoru.Rejestr podmiotu.
2Klasyfikacja incydentuCzy spełnia progi „poważnego" (major) wg kryteriów DORA/RTS.Ocena progowa + akceptacja prawna.
3Czas wykrycia / wystąpieniaZnaczniki czasu: wystąpienie, wykrycie, klasyfikacja.Log/monitoring z timestampem.
4Dotknięte usługi i systemyLista usług ICT, funkcji krytycznych, klientów/kontrahentów.Mapa zależności / CMDB.
5WpływZakres geograficzny, liczba dotkniętych, wpływ finansowy/reputacyjny.Dane operacyjne + wyliczenia.
6Działania naprawczePodjęte i planowane kroki mitigacji oraz przywrócenia usług.Log działań / playbook.
7Przyczyna źródłowaRoot cause (wstępny → końcowy) i wektor.Analiza RCA (raport końcowy).
8Powiadomienia stron trzecichCzy i kiedy poinformowano klientów, dostawców ICT, inne organy.Rejestr komunikacji.
9Pakiet dowodowyZałączony evidence-package z hashem integralności i chain-of-custody.package_sha256 + manifest.
10Przegląd prawnyDraft przejrzany przez radcę/kancelarię przed wysyłką do organu.Akceptacja prawna (podpis/log).

Szkielet pakietu — JSON

Struktura wyjściowa DORA Pack (MVP). To szkielet — pola bez dowodu pozostają puste/oznaczone evidence: null. Wartości poniżej są przykładowe/syntetyczne, wyłącznie ilustracyjne.

{
  "pack": "dora-major-ict-incident",
  "version": "mvp-0.1",
  "doctrine": "claim <= proof",
  "disclaimer": "decision-support, nie porada prawna",
  "entity": {
    "name": null,
    "lei": null,
    "competent_authority": null
  },
  "incident": {
    "classification": { "major": null, "basis": "RTS thresholds", "evidence": null },
    "timestamps": {
      "occurred": null,
      "detected": null,
      "classified": null
    },
    "affected_services": [],
    "impact": { "geographic": null, "clients": null, "financial": null }
  },
  "reporting": {
    "initial":      { "due_window": "orientacyjne — potwierdz RTS/ITS", "status": "open", "evidence": null },
    "intermediate": { "due_window": "orientacyjne — potwierdz RTS/ITS", "status": "open", "evidence": null },
    "final":        { "due_window": "orientacyjne — potwierdz RTS/ITS", "status": "open", "evidence": null }
  },
  "remediation": [],
  "root_cause": { "preliminary": null, "final": null },
  "evidence_package": { "package_sha256": null, "chain_of_custody": [] },
  "legal_review": { "reviewed_by": null, "approved": false }
}
Zasada evidence basis. Pole status może przejść z open na ready dopiero, gdy evidence nie jest null (link do incydentu, hash pakietu, log akceptacji). Bez dowodu pakiet zostaje szkicem — zgodnie z doktryną claim ≤ proof.

Generowanie PDF (opis)

DORA Pack ma docelowo produkować dokument PDF do przeglądu prawnego. Poniżej opis zamierzonego procesu — uczciwie oznaczony statusem.

Krok 1 — złożenie JSON. Zespół wypełnia szkielet powyżej danymi z incydentu; pola bez dowodu pozostają otwarte. MVP (szkielet + walidacja pól ręcznie).
Krok 2 — render do PDF. Szablon dokumentu (nagłówek podmiotu, sekcje art.19, checklist, timeline) renderowany z JSON do PDF. ROADMAP — automatyczny renderer nie jest jeszcze podpięty.
Krok 3 — integralność. Do PDF dołączany package_sha256 i manifest chain-of-custody (jak w evidence-package ipIII). ROADMAP dla PAdES/TSA — dziś tylko hash treści.
Krok 4 — przegląd prawny. PDF trafia do radcy/kancelarii; akceptacja logowana jako dowód. Wysyłka do organu wyłącznie po przeglądzie. always — ograniczenie trwałe z założenia.

Co LIVE / MVP, a co ROADMAP

ElementStatusUwaga
Checklist 10 pól + evidence basisMVPSzkielet do wypełnienia ręcznego; walidacja kompletności manualna.
Oś czasu raportowania (opis)MVPOkna orientacyjne; terminy wiążące z RTS/ITS + prawnik.
Szkielet pakietu JSONMVPStruktura pól; wartości syntetyczne/przykładowe.
Automatyczny render PDF z JSONROADMAPRenderer nie jest podpięty.
Podpis PAdES + znacznik czasu TSAROADMAPDziś tylko hash integralności treści.
Automatyczna klasyfikacja „major"ROADMAPWymaga oceny progowej + akceptacji prawnej; nie automatyzujemy obowiązku.
Odliczacz okien (deadline-clock)ROADMAPWsparcie planowania → /deadline-clock.
Przegląd prawny przed wysyłkąalwaysTrwałe z założenia — narzędzie nie zastępuje prawnika.

Skrót

MVP
Etap DORA Pack
szkielet decision-support
3
Etapy raportowania
wstępny · pośredni · końcowy
10
Pól w checkliście
każde z evidence basis
claim ≤ proof
bez dowodu = pole otwarte
Granica etyczna i prawna. DORA Pack jest narzędziem wsparcia zgodności (GRC/blue). Nie ustala samodzielnie obowiązku zgłoszenia ani nie wysyła zgłoszeń do organu. Klasyfikacja incydentu, terminy i treść komunikacji z nadzorem to decision-support, nie porada prawna — wymagają weryfikacji przez radcę/kancelarię. Wszelkie dane w szkielecie są syntetyczne/przykładowe. Działania o charakterze testu bezpieczeństwa wyłącznie w granicach pisemnych Rules of Engagement.

Powiązane: katalog pakietów → /regulatory-packs · panel prawny → /legal-board · oś czasu DORA → /dora-timeline · odliczacz terminów → /deadline-clock.