K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / global-launch

K0NSULT ipIII — Evidence-first Cyber & AI Incident Orchestrator. Global launch.

Jeden model dowodu, który spina finding ze skanera/pentestu/SOC z dowodem gotowym do pokazania zarządowi, audytowi i regulatorowi — na rynku macierzystym (EU/PL) i równolegle na rynkach docelowych (US, AU, dalsze jurysdykcje). To strona uruchomienia produktu: pokazuje timing regulacyjny, liczby z kodu i jasny status MVP/ROADMAP — bez obietnic, których nie potwierdza dowód.

Jak czytać tę stronę. Liczby o produkcie (strony, endpointy, parsery, moduły, testy) są realne i weryfikowalne w /pages.json oraz /dev-api-reference. Wszystko, co dotyczy regulacji, terminów i rynków, jest oznaczone jako decision-support — materiał porządkujący, nie porada prawna. Status MVP = działa dziś i ma kod/test/endpoint. Status ROADMAP = zaplanowane, jeszcze nie zbudowane. ipIII nie zastępuje skanerów, SIEM ani systemów GRC — jest warstwą evidence i orkiestracji komplementarną wobec nich, nie ich substytutem.
Fala regulacyjna cyber+AI trafia równolegle w kilka rynków. Jeden model dowodu wystarcza na wszystkie.

DORA, NIS2, AI Act w EU; obowiązki ujawnień SEC i mozaika stanowych regulacji AI w US; reforma Privacy Act i SOCI Act w AU — każdy rynek wymaga innego formatu raportu, ale ten sam fundament: udokumentowany, spójny w czasie dowód incydentu i działania korygującego. ipIII buduje ten fundament raz — import → incydent → evidence-package (hash) → retest → close — i konfiguruje wyjście (regulatory pack) pod rynek, na którym działa klient.

MODEL: findingincydentevidence-package (hash)mapowanie regulacyjne per rynekBoard Pack / raport do organu

Rynki i timing regulacyjny (decision-support)

Poniższe daty i nazwy aktów są faktami publicznymi z dnia przeglądu (2026-07-05), przywołanymi informacyjnie. To nie jest porada prawna — kwalifikację dla konkretnej spółki, sektora i stanu faktycznego ustala prawnik/DPO/kancelaria klienta. Terminy bywają przesuwane (patrz Digital Omnibus poniżej) — zawsze weryfikuj aktualny stan w Dzienniku Urzędowym / rejestrze właściwym dla jurysdykcji.

RynekKluczowe ramy i terminyStatus wsparcia ipIII
EU
rynek macierzysty
DORA — Rozporządzenie (UE) 2022/2554, stosowane od 17.01.2025 (odporność operacyjna sektora finansowego) · NIS2 — Dyrektywa (UE) 2022/2555, transpozycja do prawa krajowego w toku w państwach członkowskich · AI Act — zakazane praktyki od 2.02.2025, obowiązki GPAI bez zmian, wysokie ryzyko (Aneks III, m.in. scoring/HR) przesunięte z 2.08.2026 na 2.12.2027 (pakiet Digital Omnibus, do potwierdzenia w Dz.U. UE) · RODO/GDPR — ochrona danych osobowych, obowiązek zgłoszenia naruszenia do 72h. MVP — Legal Trigger Engine i evidence-package mapują na te ramy dziś; patrz /legal-engine i /dora-tiber.
US
rynek docelowy
SEC cyber disclosure rules — obowiązek ujawnienia istotnego incydentu cyber w Form 8-K (Item 1.05) dla spółek notowanych · stanowe prawa AI, np. Colorado AI Act (regulacja algorytmicznej dyskryminacji, termin wejścia w życie bywał przesuwany — weryfikuj aktualny status stanowy) · breach notification laws — obowiązki powiadomienia o naruszeniu danych zróżnicowane stan po stanie. ROADMAP — mapowanie US wymaga osobnego regulatory pack; dziś dostępne jako materiał informacyjny, patrz /global-compliance.
AU
rynek docelowy
Privacy Act 1988 — reforma (kolejne tranche zmian w toku, m.in. wzmocnienie transparentności i praw jednostki) · SOCI Act (Security of Critical Infrastructure Act) — obowiązki zgłaszania incydentów cyber dla podmiotów infrastruktury krytycznej, terminy zgłoszeń zróżnicowane wg wagi incydentu. ROADMAP — brak dedykowanego regulatory pack; rynek w kolejce priorytetyzacji po US.
Global
trend przekrojowy
Rosnący, przekrojowy obowiązek udokumentowanego dowodu incydentu cyber i AI — niezależnie od jurysdykcji: ramy dobrowolne (NIST AI RMF, ISO/IEC 42001, ISO/IEC 27001) coraz częściej stają się punktem odniesienia dla regulatorów i audytorów przy ocenie dojrzałości zarządzania ryzykiem. MVP — model evidence import → incydent → evidence-package → retest → close jest z założenia niezależny od konkretnej ramy; regulatory pack to warstwa konfiguracji na wierzchu.

Wartość globalna — jeden model dowodu, wiele rynków

Claim ≤ proof, niezależnie od jurysdykcji

Doktryna, na której zbudowany jest ipIII, nie zależy od rynku: każde twierdzenie ma kod, test i endpoint albo jest jawnie oznaczone ROADMAP. To samo evidence-package (hash, chain-of-custody) działa jako punkt wyjścia dla przeglądu EU, US czy AU.

Regulatory packs — konfigurowalne per rynek

Mapowanie obowiązków na terminy i pola formularza jest warstwą konfiguracji nad wspólnym modelem incydentu — nie osobnym systemem per kraj. EU już działa (MVP); US/AU to ROADMAP priorytetyzowany wg popytu pilotów.

Jedna definicja incydentu, wiele odbiorców

Ten sam evidence-package zasila Board Pack dla zarządu, pakiet dla audytora i draft zgłoszenia do regulatora — bez ręcznego przepisywania danych między formatami krajowymi.

Komplementarność, nie zastępstwo

ipIII nie jest skanerem, SIEM-em ani systemem GRC. Przyjmuje ich wyniki (8 parserów importu) i buduje z nich warstwę dowodową ponad istniejącym stosem narzędzi klienta — na każdym rynku, na którym klient już działa.

Liczby z kodu — weryfikowalne, nie marketingowe

Każda liczba poniżej ma źródło w repo lub żywym rejestrze — zero szacunków rynkowych podanych jako fakt.

202
strony modułu ipIII (PL)
rejestr /pages.json
42
endpointy /api/ip3/v1
8
parsery importu
SARIF, SBOM, secrets, cloud posture, DefectDojo, Burp, Nessus, CSV
27
moduły backend
routes/ip3-*.js
34
pakiety testów
unit + integracyjne + E2E, tests/
6
MCP tools
podpięcie agentów AI (read-only)

Warstwy hardeningu w toku (status ROADMAP, patrz /known-limitations): OIDC/federacja tożsamości, hash-chain + podpis dowodów (PAdES/TSA), izolacja wielodostępna (tenancy/RLS), mTLS transportu.

Dla kogo jest global launch

Korporacje finansowe

Banki, ubezpieczyciele, instytucje płatnicze — pod presją DORA (EU) i SEC disclosure (US); potrzebują Board Packu i evidence gotowego przed audytorem/regulatorem.

Podmioty infrastruktury krytycznej

Energetyka, telekomunikacja, zdrowie — pod NIS2 (EU) i SOCI Act (AU); potrzebują spójnego rejestru incydentów niezależnie od tego, który regulator pyta.

Dostawcy systemów AI

Firmy budujące/wdrażające systemy wysokiego ryzyka pod AI Act (EU) i stanowe prawa AI (US); potrzebują evidence z model card i nadzoru człowieka, nie tylko deklaracji.

Firmy cyber / pentest / MSSP

Zespoły produkujące findingi (Burp, ZAP, Nessus, SARIF) potrzebują warstwy, która przekłada wynik testu na dowód zamknięty w czasie — dla własnych klientów, na dowolnym rynku.

Pozycjonowanie — uczciwie

Nowa kategoria, komplementarna do istniejącego stosu. ipIII nie twierdzi, że jest jedynym ani najlepszym narzędziem na rynku — nie mamy do tego dowodu i nie będziemy tego twierdzić. Pozycjonujemy się jako warstwa evidence i orkiestracji obok skanerów (SAST/DAST/SCA), SIEM i systemów GRC, którą klient już ma.
MVP z jawnym ROADMAP, nie gotowy produkt bankowy. Global launch oznacza równoległe wejście na kilka rynków w trybie kontrolowanego pilota (PoC, dane syntetyczne, po RoE/NDA/DPA) — nie ofertę produkcyjną bez zakresu. Elementy bez dowodu (kod+test+endpoint) są oznaczone ROADMAP, nigdy jako gotowe.

Częste pytania

Czy ipIII ma już gotowe wsparcie dla wszystkich czterech rynków (EU/US/AU/Global)?

Nie. EU jest dziś MVP — Legal Trigger Engine i evidence-package mapują na DORA/NIS2/AI Act/RODO. US i AU to ROADMAP: materiał informacyjny jest dostępny (/global-compliance), ale dedykowany regulatory pack jeszcze nie jest zbudowany. Global launch opisuje kierunek i timing, nie ukończony zestaw funkcji.

Czy strona jest poradą prawną dotyczącą DORA, AI Act, SEC czy SOCI Act?

Nie. Wszystkie informacje o regulacjach i terminach są decision-support — materiałem porządkującym do rozmowy z prawnikiem/DPO/kancelarią właściwą dla jurysdykcji i sektora klienta. Terminy bywają przesuwane (przykład: odroczenie Aneksu III AI Act pakietem Digital Omnibus) i wymagają bieżącej weryfikacji.

Czy ipIII zastępuje skanery bezpieczeństwa, SIEM albo systemy GRC?

Nie. ipIII przyjmuje wyniki istniejących narzędzi (8 parserów importu: SARIF, SBOM, secrets, cloud posture, DefectDojo, Burp, Nessus, CSV) i buduje z nich evidence-package z sumą kontrolną oraz Board Pack decyzyjny. Detekcja, skanowanie i zarządzanie ryzykiem pozostają po stronie dedykowanych narzędzi klienta.

Jak zacząć — jaki jest pierwszy krok wejścia globalnego?

Kontrolowany pilot (PoC) na danych syntetycznych, po podpisaniu Rules of Engagement, NDA i DPA. Zgłoszenie przez /pilot-intake, warunki współpracy partnerskiej przez /partner i /partner-program.

Czy strona ma już wersję angielską (EN)?

Nie jeszcze — wersja EN tej strony jest ROADMAP. Znacznik hreflang="pl" wskazuje dziś jedyną dostępną wersję językową.

Zacznij tutaj

Zgłoś kontrolowany pilotPoC na danych syntetycznych, po RoE/NDA/DPA — /pilot-intake Partner & Pilot Modewarunki wejścia dla partnerów wdrożeniowych — /partner Oferta partnerskaprogram partnerski (F13) — /partner-program Wartość produktudla kogo i dlaczego, liczby z kodu — /wartosc-produktu
Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue). Nie wykonuje nieautoryzowanych skanów, exploitacji ani hack-back. Wszelkie mapowania regulacyjne i timing rynkowy to wsparcie decyzji, nie porada prawna. Dane w pilotażu są syntetyczne, działania testowe wyłącznie w granicach pisemnych Rules of Engagement.

Powiązane: rejestr znanych ograniczeń → /known-limitations · macierz statusów → /status-matrix · przegląd rynków szczegółowy → /global-compliance.