K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / regulatory-evidence-pack

Regulatory Evidence: DORA / NIS2 / RODO / AI Act

Jeden pillar zamiast czterech osobnych regulacji: jak incydent bezpieczeństwa lub zdarzenie AI przechodzi drogę wykrycie → mapowanie na obowiązek → termin → owner → dowód → paczka dla regulatora. To strona decision-support — pomaga zespołowi compliance zebrać i uporządkować dowody, ale nie zastępuje prawnika ani formalnej oceny prawnej konkretnego zdarzenia.

Po co ta strona. Cztery reżimy regulacyjne (DORA, NIS2, RODO, AI Act) mają różne terminy, różnych ownerów i różne wymogi dowodowe — ale to samo źródłowe zdarzenie (np. incydent bezpieczeństwa z komponentem AI w banku) może uruchomić obowiązki w kilku reżimach naraz. Ten pillar nie duplikuje istniejących paczek regulacyjnych — łączy je w jedną mapę nawigacyjną i pokazuje wspólny szkielet dowodowy pod spodem.
Od incydentu do paczki dla regulatora: jeden szkielet dowodowy, cztery reżimy.

ipIII buduje evidence-package (manifest + sha256 + chain-of-custody) dla każdego zamkniętego incydentu na żywej PostgreSQL. Ten pillar pokazuje, jak ten sam pakiet dowodowy jest odczytywany przez różne reżimy: DORA patrzy na klasyfikację incydentu ICT i termin zgłoszenia do organu nadzoru; NIS2 — na obowiązek wobec CSIRT; RODO — na naruszenie ochrony danych osobowych i 72h do UODO; AI Act — na incydent poważny związany z systemem wysokiego ryzyka. To MVP warstwy evidence, nie gotowy silnik zgłoszeń — każdy draft wymaga przeglądu prawnego przed wysyłką.

ŚCIEŻKA: incydentmapowanie na obowiązektermin (deadline clock)ownerevidence-packagepaczka dla organu

Dlaczego jedno zdarzenie = wiele reżimów

Praktyka sektora regulowanego (bank, ubezpieczyciel, operator usługi kluczowej) pokazuje, że incydenty rzadko mieszczą się w jednej szufladce prawnej. Przykład syntetyczny wykorzystywany w materiałach pilotażowych: awaria modelu scoringowego wspieranego przez dostawcę chmurowego, który jest jednocześnie krytycznym dostawcą ICT. Takie zdarzenie może jednocześnie:

Bez wspólnego szkieletu dowodowego zespół compliance musi ręcznie kopiować te same fakty (co się stało, kiedy, jaki miało wpływ, jaki dowód to potwierdza) do czterech osobnych rejestrów i czterech osobnych terminarzy. Ten pillar dokumentuje, gdzie K0NSULT buduje jeden punkt prawdy dla tych faktów — i gdzie to dopiero ROADMAP.

Cztery reżimy — skrót i status pokrycia

DORA MVP

Rozporządzenie o cyfrowej odporności operacyjnej sektora finansowego. Klasyfikacja incydentu ICT, terminy zgłoszenia do organu nadzoru, testy odporności (TIBER-EU). Powiązane strony: DORA / TIBER (metodyka testów i pilot), DORA pack (szablon zgłoszenia + checklisty).

NIS2 MVP

Dyrektywa o cyberbezpieczeństwie sieci i systemów informacyjnych — obowiązki podmiotów kluczowych i ważnych, zgłoszenia do CSIRT, ocena łańcucha dostaw. Szczegóły i szkielet dowodowy: NIS2 pack.

RODO MVP

Ogólne rozporządzenie o ochronie danych — naruszenia ochrony danych osobowych, 72h do organu nadzorczego, rejestr czynności przetwarzania. Szablon i rejestr: RODO pack.

AI Act MVP

Rozporządzenie o sztucznej inteligencji — klasyfikacja ryzyka systemu, obowiązki dla systemów wysokiego ryzyka, zgłaszanie poważnych incydentów. Terminy Aneksu III (scoring, HR) zostały odroczone z 2.08.2026 na 2.12.2027 (Digital Omnibus) — art. 50 i obowiązki GPAI pozostają bez zmian. Szablon: AI Act pack.

Wspólny szkielet dowodowy pod czterema reżimami

Niezależnie od tego, który reżim jest właściwy, dowód pod spodem ma tę samą strukturę. To jest faktyczny, jawny format evidence-package generowany przez ipIII dla zamkniętego incydentu (MVP, na żywej PostgreSQL, z audytem):

Element pakietuCo zawieraStatus
Manifest Lista findings, timeline zdarzenia, klasyfikacja istotności, powiązany incydent/ticket. LIVE (MVP)
Integralność (sha256) Hash pakietu — dowód, że treść nie została zmieniona po wygenerowaniu. LIVE (MVP)
Chain-of-custody Kto, kiedy i w jakim kroku dotknął dowodu (import → triage → retest → close). LIVE (MVP)
Mapowanie na obowiązek regulacyjny Który reżim (DORA/NIS2/RODO/AI Act) i który konkretny artykuł/próg jest potencjalnie zaangażowany. MVP — Legal Trigger Engine, decision-support
Termin (deadline) Okno czasowe na zgłoszenie liczone od momentu wykrycia/potwierdzenia — patrz Deadline Clock. MVP — orientacyjne, wymaga weryfikacji prawnej
Owner Osoba/rola odpowiedzialna za decyzję o zgłoszeniu i kontakt z organem (CISO, DPO, compliance officer). ROADMAP — przypisanie ownera per organizacja
Podpis formalny (PAdES/TSA) Kwalifikowany podpis elektroniczny i znacznik czasu dla pakietu przed wysyłką do organu. ROADMAP — dziś tylko hash integralności

Oś czasu: od wykrycia do wysyłki

Poniżej uproszczony przebieg — każdy krok odsyła do strony, która dokumentuje go szczegółowo (metodykę, szablon lub zegar terminów). To jest opis procesu decyzyjnego, nie automatyczna wysyłka do organu.

1. Wykrycie i triage. Finding lub incydent trafia do ipIII (import z parsera skanera lub zgłoszenie ręczne). Klasyfikacja wstępna istotności.
2. Mapowanie na obowiązek. Legal Trigger Engine wskazuje, które reżimy (DORA/NIS2/RODO/AI Act) mogą być zaangażowane — jako sugestia decision-support, do weryfikacji przez compliance/prawnika. Pełna oś triggerów: Legal Trigger Timeline.
3. Sprawdzenie terminu. Każdy reżim ma inne okno czasowe (np. 72h RODO, godziny/dni DORA w zależności od istotności). Zestawienie: Deadline Clock.
4. Przypisanie ownera. Kto decyduje o treści zgłoszenia i podpisuje je organizacyjnie — dziś proces ręczny, przypisanie roli w systemie to ROADMAP.
5. Budowa evidence-package. Manifest + hash + chain-of-custody generowane automatycznie z danych incydentu — LIVE (MVP).
6. Przegląd prawny i wysyłka. Draft zgłoszenia trafia do przeglądu prawnika/compliance przed wysyłką do organu — to krok obowiązkowy, nigdy pomijany, niezależnie od tego, co sugeruje narzędzie.

Konkretne paczki regulacyjne — gdzie znaleźć szczegóły

Ten pillar celowo nie powiela treści czterech paczek regulacyjnych i dwóch stron narzędziowych — linkuje do nich jako do źródła szczegółów:

Co ta strona NIE oznacza

To nie jest silnik automatycznego zgłaszania do regulatora. Legal Trigger Engine sugeruje, które obowiązki mogą być zaangażowane i w jakim oknie czasowym — ale ostateczna decyzja o treści i wysyłce zgłoszenia zawsze wymaga przeglądu prawnika lub zespołu compliance. Narzędzie nie zastępuje tej oceny.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność ani zgodność formalną. Deklarujemy dokładnie tyle, ile potrafimy pokazać kodem, testem i endpointem. Elementy oznaczone ROADMAP (owner per organizacja, podpis PAdES/TSA) nie istnieją dziś jako gotowa funkcja — nie sprzedajemy ich jako LIVE.
Materiały pilotażowe i demonstracyjne są syntetyczne. Wszystkie przykłady incydentów użyte w paczkach i na tej stronie to dane syntetyczne przygotowane zgodnie z pisemnymi Rules of Engagement. Strona nie opisuje technik ofensywnych ani rzeczywistych ataków — dokumentuje wyłącznie stronę dowodową i obronną procesu.
Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue). Nie wykonuje nieautoryzowanych skanów ani exploitacji. Mapowania regulacyjne na tej stronie i w powiązanych paczkach to wsparcie decyzji, nie porada prawna — kwalifikację prawną każdego konkretnego zdarzenia wykonuje radca prawny/kancelaria właściwa dla jurysdykcji i sektora. Działania testowe wyłącznie w granicach pisemnych Rules of Engagement.

Następny krok

Zobacz Regulatory Packs

Zbiorczy widok wszystkich czterech paczek (DORA/NIS2/RODO/AI Act) w jednym miejscu.

→ /ai-truth/ipIII/regulatory-packs

Sprawdź Deadline Clock

Zegar terminów regulacyjnych — ile czasu zostaje od wykrycia incydentu do zgłoszenia.

→ /ai-truth/ipIII/deadline-clock

Legal Trigger Timeline

Pełna oś czasu triggerów prawnych z uzasadnieniem dla każdego reżimu.

→ /ai-truth/ipIII/legal-timeline

Powiązane: znane ograniczenia MVP → /known-limitations · metodyka DORA/TIBER → /dora-tiber.