Plan skoordynowanego wejścia na trzy rynki wokół wspólnego okna regulacyjnego (AI Act, DORA/NIS2, SEC cyber disclosure, SOCI/Privacy Act). To dokument strategiczny — opisuje mechanikę, kanały i cele, a nie obietnicę zasięgu, sprzedaży czy partnerstw. Warstwa badawcza (Kernel 12 / ENVOIS) jest tu celowo nieobecna — to osobny materiał, nie mieszany z komunikacją korporacyjną.
W tym samym oknie czasowym zbiegają się w trzech jurysdykcjach niezależne, ale spójne tematycznie wymogi: w UE obowiązek raportowania incydentów (DORA od 17.01.2025, NIS2 w transpozycji krajowej) oraz nadzoru nad ryzykiem AI (AI Act — obowiązki art. 50/przejrzystość i GPAI bez zmian; wysokie ryzyko Aneksu III przesunięte zgodnie z Digital Omnibus na 2.12.2027 — status uczciwie, bez obiecywania zgodności); w US obowiązek ujawniania istotnych incydentów cyber w raportach 8-K (SEC Item 1.05) oraz rosnąca uwaga na AI-risk (NIST AI RMF); w Australii rozszerzone obowiązki krytycznej infrastruktury (SOCI Act) i reforma Privacy Act. Wspólny mianownik: zarząd i regulator oczekują dowodu, nie tylko deklaracji. To jest okno na komunikację — nie na obietnicę, że ipIII rozwiązuje wymogi za klienta.
Trzy rynki wchodzą równolegle, ze wspólnym rdzeniem przekazu i lokalnie dostosowanym hookiem regulacyjnym. Terminy poniżej to punkty odniesienia z kalendarza branżowego — nie deklaracja obecności K0NSULT na każdym z nich (do potwierdzenia per fala).
| Rynek | Hook regulacyjny | Kanały lokalne | Orientacyjny timing |
|---|---|---|---|
| EU | DORA (raportowanie incydentów finansowych), NIS2 (transpozycje krajowe), AI Act (art. 50, GPAI, harmonogram Aneksu III). | LinkedIn ekspercki (PL/DE/NL), lokalne oddziały OWASP, konferencje branżowe (np. CONFidence, it-sa, Infosecurity Europe). | Rocznica DORA (17 stycznia), terminy AI Act jako punkty odniesienia — do potwierdzenia kalendarzowo. |
| US | SEC cyber disclosure (Item 1.05 8-K), stanowe prawa prywatności, NIST AI RMF. | Społeczność RSA Conference, Black Hat / DEF CON (pentest/CISO), grupy AI safety. | RSA Conference (maj), Black Hat/DEF CON (sierpień) — okna orientacyjne, nie potwierdzona obecność. |
| AU | SOCI Act (infrastruktura krytyczna), reforma Privacy Act. | AISA (Australian Information Security Association), lokalne roundtable CISO. | AISA CyberCon (Melbourne, orientacyjnie marzec) — do potwierdzenia. |
Hasło opisuje kierunek pracy narzędzia — przejście od pojedynczego findingu skanera do zweryfikowanego dowodu z chain-of-custody. Nie oznacza gwarancji wykrycia ani certyfikacji.
Skrót przepływu evidence-package: import → weryfikacja → pakiet dla zarządu. Board Pack = artefakt raportowy, nie decyzja regulatora ani opinia biegłego.
Ramowanie kategorii jako doktryny środowiska (pentest/CISO/compliance), nie wyłącznie funkcji jednego produktu — zaproszenie do współtworzenia standardu, nie tylko zakupu.
Wiral opiera się na zaproszeniu środowiska pentesterów i CISO do współtworzenia (Evidence Challenge, Hall of Fame reviewerów, otwarty program recenzencki) — nie na jednostronnej kampanii reklamowej.
Treści eksperckie, jawnie oznaczona afiliacja z K0NSULT przy każdym poście promującym ipIII.
Lokalne oddziały OWASP, grupy CISO/pentest na Slack/Discord — udział merytoryczny, nie spam linkami.
Cykl z udziałem Founding Reviewers, tematy dopasowane per rynek (DORA / SEC 8-K / SOCI).
Zadania oparte o dane syntetyczne, zgodnie z pisemnym Rules of Engagement.
Jawnie oznaczone jako syntetyczne (np. case-study-ai-lab) — nie realny klient.
Dokument budujący kategorię, nie tylko opis produktu — do dystrybucji przez kanały eksperckie.
| Mechanizm | Jak działa | Warunek transparentności |
|---|---|---|
| Reviewer program → rekomendacje | Founding Reviewers testują moduły i publikują opinie w swoich kanałach (program). | Każda rekomendacja oznaczona jako współpraca (disclosure statement), zgodnie z zasadami dot. nieuczciwych praktyk rynkowych / FTC Endorsement Guides. Zero ukrytej reklamy. |
| Evidence Challenge (miesięczny) | Cykliczne wyzwanie dla społeczności (community) — zadania oparte o dane syntetyczne. | Regulamin publiczny, kryteria oceny jawne, wyniki publikowane bez selekcji „tylko dobrych". |
| Open metrics (benchmark miesięczny) | Publiczna publikacja metryk programu (liczba reviewerów, uczestnictwo w Challenge) jako dowód, nie tylko marketing. | Metryki opisane jako osiągnięte / w toku, cele przyszłe osobno oznaczone jako ROADMAP/target. |
Poniższe widełki to cele operacyjne dla pierwszej fali (Wave 1), przyjęte do rozliczenia po zakończeniu okresu — nie prognoza gwarantowanego wyniku ani obietnica handlowa.
| Ryzyko | Opis | Mitygacja |
|---|---|---|
| Overclaim | Pokusa użycia haseł jak gwarancja zgodności lub certyfikacji, by przyspieszyć wiral. | Doktryna claim ≤ proof wymuszona lintem (tests/ip3-overclaim-lint.js) na każdej stronie envois przed publikacją. |
| Ukryta reklama | Rekomendacje reviewerów/partnerów mogłyby wyglądać jak niezależna opinia, choć są współpracą. | Obowiązkowe oznaczenie „współpraca / partnership" przy każdej publikacji z korzyścią, zgodnie z UOKiK / FTC Endorsement Guides. |
| Zbyt szeroka narracja | Ryzyko wymieszania komunikacji korporacyjnej z warstwą badawczą (Kernel 12 / ENVOIS / symbolika research). | Twardy rozdział warstw: ten dokument i strony envois = korpo/due-diligence; materiały badawcze publikowane osobno, bez odnośników krzyżowych w treści. |
| Zmiana kalendarza regulacyjnego | Terminy (np. przesunięcie AI Act Aneks III przez Digital Omnibus) mogą unieważnić hook użyty w komunikacji. | Bieżący monitoring + odnośnik do known-limitations; komunikacja regulacyjna zawsze jako decision-support, nie porada prawna. |
| Zmęczenie kanału | Zbyt częsta publikacja obniża jakość odbioru w środowisku eksperckim. | Kadencja miesięczna dla Evidence Challenge i webinarów, nie codzienna kampania. |
Powiązane: wartość produktu → /wartosc-produktu · program recenzentów → /reviewer-program · community hub → /community · oferta partnerska → /partner-program · global launch → /global · znane ograniczenia → /known-limitations.