Jeden model dowodu, który spina finding ze skanera/pentestu/SOC z dowodem gotowym do pokazania zarządowi, audytowi i regulatorowi — na rynku macierzystym (EU/PL) i równolegle na rynkach docelowych (US, AU, dalsze jurysdykcje). To strona uruchomienia produktu: pokazuje timing regulacyjny, liczby z kodu i jasny status MVP/ROADMAP — bez obietnic, których nie potwierdza dowód.
DORA, NIS2, AI Act w EU; obowiązki ujawnień SEC i mozaika stanowych regulacji AI w US; reforma Privacy Act
i SOCI Act w AU — każdy rynek wymaga innego formatu raportu, ale ten sam fundament: udokumentowany, spójny
w czasie dowód incydentu i działania korygującego. ipIII buduje ten fundament raz —
import → incydent → evidence-package (hash) → retest → close — i konfiguruje wyjście
(regulatory pack) pod rynek, na którym działa klient.
Poniższe daty i nazwy aktów są faktami publicznymi z dnia przeglądu (2026-07-05), przywołanymi informacyjnie. To nie jest porada prawna — kwalifikację dla konkretnej spółki, sektora i stanu faktycznego ustala prawnik/DPO/kancelaria klienta. Terminy bywają przesuwane (patrz Digital Omnibus poniżej) — zawsze weryfikuj aktualny stan w Dzienniku Urzędowym / rejestrze właściwym dla jurysdykcji.
| Rynek | Kluczowe ramy i terminy | Status wsparcia ipIII |
|---|---|---|
| EU rynek macierzysty |
DORA — Rozporządzenie (UE) 2022/2554, stosowane od 17.01.2025 (odporność operacyjna sektora finansowego) · NIS2 — Dyrektywa (UE) 2022/2555, transpozycja do prawa krajowego w toku w państwach członkowskich · AI Act — zakazane praktyki od 2.02.2025, obowiązki GPAI bez zmian, wysokie ryzyko (Aneks III, m.in. scoring/HR) przesunięte z 2.08.2026 na 2.12.2027 (pakiet Digital Omnibus, do potwierdzenia w Dz.U. UE) · RODO/GDPR — ochrona danych osobowych, obowiązek zgłoszenia naruszenia do 72h. | MVP — Legal Trigger Engine i evidence-package mapują na te ramy dziś; patrz /legal-engine i /dora-tiber. |
| US rynek docelowy |
SEC cyber disclosure rules — obowiązek ujawnienia istotnego incydentu cyber w Form 8-K (Item 1.05) dla spółek notowanych · stanowe prawa AI, np. Colorado AI Act (regulacja algorytmicznej dyskryminacji, termin wejścia w życie bywał przesuwany — weryfikuj aktualny status stanowy) · breach notification laws — obowiązki powiadomienia o naruszeniu danych zróżnicowane stan po stanie. | ROADMAP — mapowanie US wymaga osobnego regulatory pack; dziś dostępne jako materiał informacyjny, patrz /global-compliance. |
| AU rynek docelowy |
Privacy Act 1988 — reforma (kolejne tranche zmian w toku, m.in. wzmocnienie transparentności i praw jednostki) · SOCI Act (Security of Critical Infrastructure Act) — obowiązki zgłaszania incydentów cyber dla podmiotów infrastruktury krytycznej, terminy zgłoszeń zróżnicowane wg wagi incydentu. | ROADMAP — brak dedykowanego regulatory pack; rynek w kolejce priorytetyzacji po US. |
| Global trend przekrojowy |
Rosnący, przekrojowy obowiązek udokumentowanego dowodu incydentu cyber i AI — niezależnie od jurysdykcji: ramy dobrowolne (NIST AI RMF, ISO/IEC 42001, ISO/IEC 27001) coraz częściej stają się punktem odniesienia dla regulatorów i audytorów przy ocenie dojrzałości zarządzania ryzykiem. | MVP — model evidence import → incydent → evidence-package →
retest → close jest z założenia niezależny od konkretnej ramy; regulatory pack to warstwa konfiguracji na wierzchu. |
Doktryna, na której zbudowany jest ipIII, nie zależy od rynku: każde twierdzenie ma kod, test i endpoint albo jest jawnie oznaczone ROADMAP. To samo evidence-package (hash, chain-of-custody) działa jako punkt wyjścia dla przeglądu EU, US czy AU.
Mapowanie obowiązków na terminy i pola formularza jest warstwą konfiguracji nad wspólnym modelem incydentu — nie osobnym systemem per kraj. EU już działa (MVP); US/AU to ROADMAP priorytetyzowany wg popytu pilotów.
Ten sam evidence-package zasila Board Pack dla zarządu, pakiet dla audytora i draft zgłoszenia do regulatora — bez ręcznego przepisywania danych między formatami krajowymi.
ipIII nie jest skanerem, SIEM-em ani systemem GRC. Przyjmuje ich wyniki (8 parserów importu) i buduje z nich warstwę dowodową ponad istniejącym stosem narzędzi klienta — na każdym rynku, na którym klient już działa.
Każda liczba poniżej ma źródło w repo lub żywym rejestrze — zero szacunków rynkowych podanych jako fakt.
routes/ip3-*.jstests/Warstwy hardeningu w toku (status ROADMAP, patrz /known-limitations): OIDC/federacja tożsamości, hash-chain + podpis dowodów (PAdES/TSA), izolacja wielodostępna (tenancy/RLS), mTLS transportu.
Banki, ubezpieczyciele, instytucje płatnicze — pod presją DORA (EU) i SEC disclosure (US); potrzebują Board Packu i evidence gotowego przed audytorem/regulatorem.
Energetyka, telekomunikacja, zdrowie — pod NIS2 (EU) i SOCI Act (AU); potrzebują spójnego rejestru incydentów niezależnie od tego, który regulator pyta.
Firmy budujące/wdrażające systemy wysokiego ryzyka pod AI Act (EU) i stanowe prawa AI (US); potrzebują evidence z model card i nadzoru człowieka, nie tylko deklaracji.
Zespoły produkujące findingi (Burp, ZAP, Nessus, SARIF) potrzebują warstwy, która przekłada wynik testu na dowód zamknięty w czasie — dla własnych klientów, na dowolnym rynku.
Nie. EU jest dziś MVP — Legal Trigger Engine i evidence-package mapują na DORA/NIS2/AI Act/RODO. US i AU to ROADMAP: materiał informacyjny jest dostępny (/global-compliance), ale dedykowany regulatory pack jeszcze nie jest zbudowany. Global launch opisuje kierunek i timing, nie ukończony zestaw funkcji.
Nie. Wszystkie informacje o regulacjach i terminach są decision-support — materiałem porządkującym do rozmowy z prawnikiem/DPO/kancelarią właściwą dla jurysdykcji i sektora klienta. Terminy bywają przesuwane (przykład: odroczenie Aneksu III AI Act pakietem Digital Omnibus) i wymagają bieżącej weryfikacji.
Nie. ipIII przyjmuje wyniki istniejących narzędzi (8 parserów importu: SARIF, SBOM, secrets, cloud posture, DefectDojo, Burp, Nessus, CSV) i buduje z nich evidence-package z sumą kontrolną oraz Board Pack decyzyjny. Detekcja, skanowanie i zarządzanie ryzykiem pozostają po stronie dedykowanych narzędzi klienta.
Kontrolowany pilot (PoC) na danych syntetycznych, po podpisaniu Rules of Engagement, NDA i DPA. Zgłoszenie przez /pilot-intake, warunki współpracy partnerskiej przez /partner i /partner-program.
Nie jeszcze — wersja EN tej strony jest ROADMAP. Znacznik
hreflang="pl" wskazuje dziś jedyną dostępną wersję językową.
Powiązane: rejestr znanych ograniczeń → /known-limitations · macierz statusów → /status-matrix · przegląd rynków szczegółowy → /global-compliance.