Cztery pakiety raportowe składane z jednego incydentu — po jednym na reżim regulacyjny. Każdy pakiet zbiera zdarzenie, zegary terminów, rejestr dowodów i szkic powiadomienia w format czytelny dla danego odbiorcy (regulator, organ nadzoru, osoby, których dane dotyczą). To wsparcie procesu przygotowania, nie samo zgłoszenie i nie porada prawna. Strona jest jawnym rejestrem: co jest LIVE MVP (z dowodem), a co pozostaje ROADMAP.
Silnik legal-triggers mapuje incydent na obowiązki czterech reżimów (DORA / NIS2 / RODO / AI Act) i wylicza zegary. Warstwa evidence-package dokłada rejestr dowodów z sumą kontrolną. Złożenie tych dwóch = pakiet regulacyjny w statusie LIVE MVP. Branding regulatora i podpisany eksport pozostają ROADMAP.
Raport incydentu ICT wg art.19 DORA (rozp. 2022/2554) dla instytucji finansowej. Klasyfikacja istotności, zegary etapów, rejestr dowodów, szkic zawiadomienia.
Trójetapowe zgłoszenie do CSIRT/organu: wczesne ostrzeżenie 24h, zgłoszenie właściwe 72h, raport końcowy. Mapowanie na obowiązki podmiotu kluczowego/ważnego.
Naruszenie ochrony danych: zgłoszenie do PUODO (art.33, ≤72h) + zawiadomienie osób (art.34) przy wysokim ryzyku. Ocena ryzyka, kategorie danych, szkice.
Poważny incydent systemu AI wg art.73 AI Act (rozp. 2024/1689): zgłoszenie do organu nadzoru rynku, zegary, klasa incydentu, powiązanie z rejestrem dowodów.
Kanon statusów per element: /status-matrix. Kanon liczby testów (bez własnych „NN/NN"): Evidence Matrix na /roadmap-dev. Silnik terminów i mapowania: Legal Board + Deadline Clock.
| Sekcja pakietu | Co zawiera | Status |
|---|---|---|
| Klasyfikacja istotności | Ocena „major ICT-related incident" wg kryteriów DORA (wpływ na usługi, klientów, dane, czas trwania). Flagi wejściowe: ?entity§or&high_risk. | LIVE MVP |
| Zegary etapów | Powiadomienie wstępne / raport pośredni / raport końcowy — deadline ISO liczony od created_at incydentu (orientacyjnie). Widok: Deadline Clock. | LIVE MVP |
| Rejestr dowodów (evidence) | Załączone dowody z sumą sha256 + chain-of-custody + package_sha256 całego pakietu (integralność, nie podpis prawny). | LIVE MVP |
| Szkic zawiadomienia | Draft treści powiadomienia dla organu (DECISION-SUPPORT) — do weryfikacji i złożenia przez człowieka. | LIVE MVP |
| Branding KNF + podpis | Formatka z identyfikacją organu, podpisany eksport PAdES/PQC + znacznik czasu TSA. | ROADMAP |
Doktryna: pakiet wspiera przygotowanie raportu art.19 — nie jest zgłoszeniem do KNF ani oceną, czy incydent jest „major". Kwalifikację i moment startu zegara ustala podmiot. Szczegóły cyklu TLPT: DORA / TIBER.
| Etap | Co zawiera | Status |
|---|---|---|
| Wczesne ostrzeżenie ≤ 24h | Wstępny sygnał do CSIRT/organu właściwego: podejrzenie działania bezprawnego/złośliwego, potencjalny wpływ transgraniczny. Zegar 24h od powzięcia wiedzy (orientacyjnie). | LIVE MVP |
| Zgłoszenie właściwe ≤ 72h | Ocena wstępna incydentu: dotkliwość, wpływ, wskaźniki kompromitacji (IoC). Aktualizacja wczesnego ostrzeżenia. Zegar 72h. | LIVE MVP |
| Raport końcowy | Opis incydentu, przyczyna źródłowa, zastosowane środki zaradcze, wpływ transgraniczny. Wymaga zamkniętego rejestru dowodów (reguła: raport końcowy ≤ dowód). | LIVE MVP |
| Mapowanie podmiotu | Rozpoznanie roli: podmiot kluczowy / ważny, sektor (Załącznik I/II NIS2), odwzorowanie na krajowy KSC. | LIVE MVP (mapowanie orientacyjne) |
| Kanał + branding organu | Formatka pod właściwy CSIRT (CSIRT NASK / CSIRT GOV / CSIRT MON) i podpisany eksport. | ROADMAP |
Zegary 24h/72h są orientacyjne; ich bieg i moment startu (powzięcie wiedzy o incydencie) ustala podmiot. System nie składa zgłoszenia do CSIRT ani organu właściwego.
| Sekcja pakietu | Co zawiera | Status |
|---|---|---|
| Ocena ryzyka naruszenia | Charakter naruszenia, kategorie i orientacyjna liczba osób oraz rekordów, możliwe konsekwencje. Flaga wejściowa: ?personal_data. | LIVE MVP |
| Zgłoszenie do PUODO (art.33) | Szkic zgłoszenia „bez zbędnej zwłoki, w miarę możliwości ≤ 72h" od stwierdzenia naruszenia. Zegar 72h (orientacyjnie). | LIVE MVP |
| Zawiadomienie osób (art.34) | Szkic komunikatu do osób, których dane dotyczą, gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności. Prosty język, zalecane środki. | LIVE MVP |
| Rejestr naruszeń (art.33 ust.5) | Wpis do wewnętrznego rejestru: okoliczności, skutki, podjęte działania — z sumą kontrolną w evidence-package. | LIVE MVP |
| Formatka PUODO + podpis | Odwzorowanie na oficjalny wzór zgłoszenia PUODO + podpisany eksport. | ROADMAP |
Ocena „wysokiego ryzyka" i decyzja o zgłoszeniu/zawiadomieniu należą do administratora danych (po konsultacji z IOD/prawnikiem). Pakiet dostarcza szkic i materiał dowodowy — nie zastępuje tej oceny.
| Sekcja pakietu | Co zawiera | Status |
|---|---|---|
| Klasa incydentu AI | Typ zdarzenia (m.in. prompt injection, agent hijack, data poisoning, awaria nadzoru HITL) i powiązanie z systemem AI wysokiego ryzyka. Flaga: ?high_risk. | LIVE MVP |
| Zgłoszenie do organu nadzoru | Szkic powiadomienia o poważnym incydencie do organu nadzoru rynku (w PL rola w organizacji — status krajowy zmienny). Zegar wg art.73 (orientacyjnie). | LIVE MVP |
| Powiązanie z dowodami | Log incydentu + evidence-register + package_sha256 — ślad dla analizy przyczyny i korelacji z innymi reżimami. | LIVE MVP |
| Detektory AI + corpus testów | Automatyczna detekcja klas zagrożeń AI i biblioteka scenariuszy red-team (w granicach RoE). | ROADMAP |
| Branding organu + podpis | Formatka pod organ nadzoru + podpisany eksport. | ROADMAP |
Uwaga na terminy AI Act: część obowiązków high-risk (Aneks III) przesunięta — zob. Legal Board. Klasyfikacja systemu jako „wysokiego ryzyka" i obowiązek zgłoszenia należą do dostawcy/operatora, nie do tej aplikacji.
GET /api/ip3/v1/incidents/:id/legal-triggers mapuje incydent na obowiązki DORA art.19 / NIS2 (24h/72h) / RODO art.33-34 / AI Act art.73, z zegarami (deadline ISO od created_at) i draftem powiadomienia. Doktryna DECISION-SUPPORT. LIVE MVPGET /reports/evidence-package/:id (JSON + realny PDF): manifest, rejestr dowodów, chain-of-custody, package_sha256 (integralność, nie podpis prawny). Wspólny materiał dowodowy dla wszystkich czterech pakietów. LIVE MVPLiczby testów (unit / integracja / smoke) — jedyne źródło prawdy: Evidence Matrix na /roadmap-dev. Ta strona świadomie nie wpisuje własnych „NN/NN", żeby nie rozjechać kanonu.
| Element | Dziś | Cel | Co potrzebne do awansu | Prio |
|---|---|---|---|---|
| Branding regulatora (KNF / CSIRT / PUODO / organ AI) | formatka generyczna | formatka per organ | szablony pod oficjalne wzory zgłoszeń + identyfikacja odbiorcy | P1 |
| Podpisany eksport | sha256 integralności | PAdES / PQC + TSA | podpis PAdES + znacznik czasu TSA (dziś jest suma kontrolna, nie podpis prawny) | P1 |
| Automatyczne złożenie do organu | brak (świadomie) | poza zakresem MVP | zgłoszenie zawsze przez upoważnionego człowieka — automatyzacja składania nie jest celem | — |
| Detektory incydentów AI (art.73) | klasa ręczna | detektory | silnik detekcji klas zagrożeń AI + corpus testów w RoE | P2 |
Każdy element pakietu nosi dokładnie jeden status. Kanon per element: /status-matrix.
| Status | Znaczenie | Warunek nadania |
|---|---|---|
| LIVE MVP | Działa na gałęzi/produkcji z dowodem. | Kod + test + endpoint (lub link do artefaktu). |
| DEMO | Ścieżka odczytu na danych przykładowych. | Endpoint read-path działa, dane oznaczone jako demo. |
| SIMULATION | Wartości/formatki ilustracyjne. | Jawnie oznaczone „symulacja", nie stan realnego zgłoszenia. |
| ROADMAP | Specyfikacja docelowa, jeszcze nie zbudowane. | Opisane kryteria akceptacji, brak działającego kodu. |
| GAP | Luka bez pokrycia dowodowego. | Brak dowodu — nie wolno przedstawiać jako fakt. |