K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / legal / legal-timeline

Legal Trigger Timeline — oś czasu obowiązków zgłoszeniowych MVP

Jedna oś czasu incydentu odpowiadająca na pytanie „kiedy, komu i na jakiej podstawie trzeba było zgłosić?". Od wykrycia przez kwalifikację po progi RODO 72h, NIS2, DORA i AI Act — z zapisem kto podjął decyzję i jaki dowód był jej podstawą. To wsparcie decyzji (decision-support), NIE porada prawna. Terminy orientacyjne — wiążącą kwalifikację robi prawnik.

Po co ta strona. Kiedy dochodzi do incydentu, zespół nie ma czasu przeglądać czterech reżimów naraz. Ta oś czasu porządkuje sekwencję pytań (RODO 72h? NIS2? DORA? AI Act?) i przy każdym progu pokazuje, kto ma podjąć decyzję i jaki dowód jest jej podstawą. Nie zastępuje kwalifikacji prawnej — oznacza tylko, gdzie i kiedy taka kwalifikacja jest wymagana. Dane w przykładzie są syntetyczne.
Jeden incydent, cztery reżimy, jasna sekwencja decyzji.

Zamiast osobno pilnować RODO, NIS2, DORA i AI Act, ipIII układa je na wspólnej osi czasu liczonej od momentu wykrycia. Każdy próg to pytanie decyzyjne z przypisanym właścicielem i wymaganym dowodem — nie automatyczna kwalifikacja. Kwalifikacja prawna pozostaje po stronie człowieka.

OŚ: wykrytozakwalifikowanoRODO 72h?NIS2?DORA?AI Act?kto zdecydowałjaki dowód

Oś czasu — przykład syntetyczny

Poniższy przebieg jest syntetyczny (dane przykładowe, nie realny incydent). Czasy liczone od T0 = moment wykrycia. Kolory węzłów: próg / zegar · zdarzenie · decyzja człowieka.

T0 · 2026-07-01 09:14
Wykryto

Konektor zaciągnął finding ze skanera (przykład: eksfiltracja logów z systemu przetwarzającego dane osobowe klientów). Utworzono incydent, nadano ID, zapisano hash artefaktu.

Źródło: import findings (parser) · rola: SOC / analityk
Dowód podstawowy: finding_sha256 + wpis audit-log (timestamp wykrycia)
T0 + 00:41 · 09:55
Zakwalifikowano (wstępnie)

Triaż: potwierdzono, że zdarzenie dotyczy danych osobowych i systemu istotnego dla usług. Nadano wstępną kategorię wagi. To kwalifikacja techniczna, nie prawna.

Kto: analityk + koordynator incydentu (human-in-the-loop)
Dowód: karta incydentu, klasyfikacja zasobu, chain-of-custody w DB
zegar startuje: T0
RODO 72h? — próg zgłoszenia do organu nadzorczego

Pytanie: czy doszło do naruszenia ochrony danych osobowych o ryzyku dla praw i wolności osób? Jeśli tak — orientacyjny termin 72 h od stwierdzenia naruszenia (zgłoszenie do organu nadzorczego, np. UODO). Zegar i checklistę prowadzi Deadline Clock; pakiet dowodowy → RODO Pack.

Decyzję o zgłoszeniu podejmuje: IOD / DPO + radca prawny — NIE narzędzie
Dowód pod decyzję: opis naruszenia, kategorie danych, ocena ryzyka, rejestr
zegar zależny od kwalifikacji podmiotu
NIS2? — obowiązki podmiotu kluczowego / ważnego

Pytanie: czy organizacja jest podmiotem objętym NIS2 i czy incydent jest istotny? Jeśli tak — reżim przewiduje etapowe powiadomienia CSIRT (m.in. wczesne ostrzeżenie orientacyjnie w krótkim oknie oraz raport następczy). Konkretne progi i okna zależą od kwalifikacji podmiotu i implementacji krajowej — ustala prawnik / compliance.

Decyzję podejmuje: CISO + compliance + radca prawny
Dowód pod decyzję: status podmiotu wg NIS2, ocena istotności, log komunikacji z CSIRT
reżim sektorowy (finansowy)
DORA? — istotny incydent ICT w podmiocie finansowym

Pytanie: czy podmiot podlega DORA i czy incydent ICT jest „istotny"? Jeśli tak — reżim przewiduje raportowanie do właściwego organu (wstępne / pośrednie / końcowe) w oknach zależnych od klasyfikacji. Pakiet i mapowanie obowiązków → DORA Pack. Klasyfikacja istotności jest decyzją człowieka.

Decyzję podejmuje: właściciel ryzyka ICT + compliance + radca prawny
Dowód pod decyzję: klasyfikacja istotności DORA, oś czasu ICT, artefakty forensic
jeśli w grze system AI
AI Act? — poważny incydent systemu wysokiego ryzyka

Pytanie: czy w incydencie uczestniczy system AI wysokiego ryzyka i czy zaszedł „poważny incydent"? Jeśli tak — reżim przewiduje zgłoszenie do właściwego organu. Uwaga: część obowiązków high-risk (Aneks III) ma orientacyjnie odroczony termin stosowania (do 2027) — kwalifikacja i harmonogram to sprawa prawnika.

Decyzję podejmuje: właściciel systemu AI + compliance + radca prawny
Dowód pod decyzję: klasyfikacja systemu wg AI Act, opis incydentu, ocena wpływu
T0 + 02:10 · 11:24
Kto podjął decyzję

Zapis imienny/ról: kto zatwierdził (lub odrzucił) każde zgłoszenie w każdym reżimie, z uzasadnieniem. Narzędzie rejestruje decyzję — nie podejmuje jej za człowieka.

Rejestr decyzji: koordynator incydentu · DPO · CISO · radca prawny (podpisy/role)
Dowód: wpisy audit-log z autorstwem i czasem, powiązane z ID incydentu
domknięcie
Jaki dowód był podstawą

Do każdej decyzji dowiązany jest materiał dowodowy (finding, klasyfikacja, ocena ryzyka, korespondencja) z sumą kontrolną i chain-of-custody. Pełny przegląd i eksport → Legal Board.

Weryfikacja przed wysyłką: radca prawny / kancelaria
Dowód: evidence-package (sha256) + łańcuch dowiązań decyzja→artefakt

Co jest LIVE, a co ROADMAP

Zgodnie z doktryną claim ≤ proof: rozdzielamy to, co dowiedlnie działa, od tego, co planowane. Data weryfikacji: 2026-07-05.

Element osi czasuCo robi dziśStatus
Węzły „wykryto / zakwalifikowano" Import findings, utworzenie incydentu, hash artefaktu, audit-log z czasem — warstwa evidence MVP. LIVE (MVP)
Progi RODO 72h / NIS2 / DORA / AI Act Prezentacja sekwencji pytań decyzyjnych z właścicielem i wymaganym dowodem. Terminy orientacyjne, mapowanie poglądowe. MVP
Automatyczne liczenie zegarów per reżim Zegar odliczający okna raportowe i alerty przy zbliżaniu terminu — dziś częściowo w Deadline Clock, pełne spięcie z osią czasu planowane. ROADMAP
Wiążąca kwalifikacja prawna progu Nie realizujemy i nie planujemy automatyzować. Kwalifikacja „czy trzeba zgłosić" pozostaje przy prawniku — trwałe z założenia. always human
Eksport osi czasu do pakietu dla organu Złożenie węzłów + dowodów w podpisany pakiet (znacznik czasu) — planowane; dziś eksport evidence-package z sumą kontrolną. ROADMAP

Powiązane narzędzia

Legal Board

Przegląd wszystkich decyzji i dowiązanych dowodów w jednym miejscu.

→ /legal-board

Deadline Clock

Zegary okien raportowych per reżim i checklisty terminów.

→ /deadline-clock

RODO Pack

Pakiet dowodowy i szablony pod zgłoszenie naruszenia ochrony danych.

→ /rodo-pack

DORA Pack

Mapowanie obowiązków i pakiet pod istotny incydent ICT (sektor finansowy).

→ /dora-pack

Skrót

4
Reżimy na jednej osi
RODO · NIS2 · DORA · AI Act
2
Węzły decyzji człowieka
kto zdecydował · jaki dowód
1
Doktryna
decision-support, NIE porada prawna
0
Automatycznych kwalifikacji prawnych
próg zawsze potwierdza człowiek
To narzędzie porządkuje pytania, nie odpowiada za Ciebie. Oś czasu pokazuje, gdzie i kiedy pojawia się obowiązek do rozstrzygnięcia oraz kto ma go rozstrzygnąć — ale samą decyzję „zgłaszamy / nie zgłaszamy" podejmuje człowiek (DPO, CISO, radca prawny). Terminy są orientacyjne i zależą od jurysdykcji, sektora i implementacji krajowej.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Węzły oznaczone LIVE mają za sobą kod, test i endpoint (warstwa evidence MVP). Elementy planowane — pełne zegary per reżim i podpisany eksport osi — oznaczamy uczciwie jako ROADMAP, a nie jako gotową funkcję.
Zastrzeżenie prawne. Legal Trigger Timeline to wsparcie decyzji (decision-support), nie porada prawna. Przedstawione progi i terminy (RODO / NIS2 / DORA / AI Act) są orientacyjne i poglądowe. Wiążącą kwalifikację obowiązków zgłoszeniowych oraz przegląd każdego draftu przed wysyłką do organu wykonuje radca prawny / kancelaria. Dane w przykładzie są syntetyczne.

Powiązane: przegląd decyzji → /legal-board · zegary terminów → /deadline-clock · znane ograniczenia → /known-limitations.