Jedna strona zamiast dziesiątek dashboardów: co miesiąc ipIII składa syntetyczny obraz stanu bezpieczeństwa i zgodności dla zarządu i CISO — trend ryzyka, nowe P0/P1, wynik retestów, ekspozycja regulacyjna, incydenty AI, zaległości i konkretne następne działania. Poniższy przykład operuje na danych syntetycznych. Automatyczne generowanie i wysyłka digestu to ROADMAP — dziś pokazujemy układ i źródła danych.
Poniżej pełny przykładowy raport miesięczny wygenerowany na danych demonstracyjnych. Każda sekcja czerpie z tego samego źródła co CISO Dashboard (stan operacyjny) i Regulatory Packs (ekspozycja regulacyjna), tyle że skrócona do jednego ekranu dla poziomu zarządu.
Interpretacja: indeks ryzyka lekko rośnie na skutek 1 nowego P0 i wolniejszego domykania w obszarze dostawców. Poduszka na terminy regulacyjne wystarczająca, pod warunkiem uruchomienia działań z sekcji 7.
| Okres | Indeks ryzyka | Otwarte P0 | Otwarte P1 | Zmiana |
|---|---|---|---|---|
| 2026-04 | 58 | 0 | 4 | — |
| 2026-05 | 62 | 1 | 5 | ↗ +4 |
| 2026-06 | 66 | 1 | 6 | ↗ +4 |
Indeks 0–100 to złożenie liczby i wagi otwartych findingów, wieku najstarszego P0/P1 oraz udziału retestów zakończonych sukcesem. Wartości syntetyczne — metodyka scoringu opisana w CISO Dashboard.
| ID | Tytuł (syntetyczny) | Obszar | Priorytet | Status |
|---|---|---|---|---|
| INC-2418 | Ujawniony endpoint zarządzania bez uwierzytelniania | Aplikacja | P0 | otwarte |
| INC-2431 | Nieaktualna biblioteka z podatnością w KEV | Zależności | P1 | w toku |
| INC-2447 | Brak rotacji sekretów u zewnętrznego dostawcy | Dostawcy | P1 | otwarte |
Każdy retest zakończony statusem OK ma powiązany evidence-package (hash integralności + chain-of-custody). Ścieżka „import → incydent → evidence-package → retest → close" jest LIVE; podpis formalny PAdES/TSA pozostaje ROADMAP (patrz znane ograniczenia).
| Reżim | Powiązane obowiązki | Najbliższy termin (orientacyjny) | Stan przygotowania |
|---|---|---|---|
| DORA | Rejestr incydentów ICT, testy odporności | bieżący | w toku |
| NIS2 | Zgłaszanie istotnych incydentów | < 90 dni | w toku |
| AI Act | Obowiązki przejrzystości (art. 50) | 2026-08-02 | do uzupełnienia |
Mapowanie pochodzi z Regulatory Packs i jest wsparciem decyzji, nie oceną prawną. Terminy orientacyjne — każdy draft do organu wymaga przeglądu przez radcę prawnego przed wysyłką.
| ID | Typ (syntetyczny) | Wpływ | Status |
|---|---|---|---|
| AI-0093 | Nadmierny zakres uprawnień agenta w integracji | Średni | mitigacja w toku |
| AI-0101 | Brak logu decyzji modelu przy odmowie usługi | Niski | otwarte |
Sekcja zbiera zdarzenia dotyczące systemów AI/agentowych (dostęp, przejrzystość decyzji, ślad audytowy). Klasyfikacja pod kątem AI Act to decision-support — nie zastępuje kwalifikacji prawnej.
| Działanie | Właściciel (rola) | Termin | Priorytet |
|---|---|---|---|
| Domknięcie INC-2418 (endpoint bez auth) + retest | Zespół aplikacji | 7 dni | P0 |
| Aktualizacja biblioteki z KEV (INC-2431) | Zespół platformy | 14 dni | P1 |
| Uzupełnienie obowiązków art. 50 AI Act | Compliance + radca | przed 2026-08-02 | P1 |
| Wyjaśnienie 2 nieudanych retestów | Zespół bezpieczeństwa | 10 dni | P2 |
| Element | Stan | Uwaga |
|---|---|---|
| Układ digestu (7 sekcji) | LIVE (strona) | ten dokument |
| Dane w przykładzie | syntetyczne | demonstracja formatu |
| Źródła: incydenty / retesty / Legal Engine | LIVE | zob. roadmap-dev |
| Automatyczne generowanie + rozsyłka | ROADMAP (F13) | krok 4 powyżej |
Powiązane: stan operacyjny w czasie rzeczywistym → /ciso-dashboard · pakiety regulacyjne i mapowanie obowiązków → /regulatory-packs.