K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / regulatory-packs

Pakiety regulacyjne — DORA · NIS2/KSC · RODO · AI Act

Cztery pakiety raportowe składane z jednego incydentu — po jednym na reżim regulacyjny. Każdy pakiet zbiera zdarzenie, zegary terminów, rejestr dowodów i szkic powiadomienia w format czytelny dla danego odbiorcy (regulator, organ nadzoru, osoby, których dane dotyczą). To wsparcie procesu przygotowania, nie samo zgłoszenie i nie porada prawna. Strona jest jawnym rejestrem: co jest LIVE MVP (z dowodem), a co pozostaje ROADMAP.

Wsparcie procesu — nie zgłoszenie, nie certyfikacja, nie porada prawna. Pakiety porządkują materiał dowodowy i liczą terminy orientacyjne (doktryna DECISION-SUPPORT). System nie składa powiadomień do KNF, CSIRT/organu właściwego, PUODO ani innego organu — to zawsze robi upoważniony człowiek po weryfikacji prawnej. Zegary są orientacyjne: bieg i moment startu terminu ustala podmiot na podstawie własnej oceny prawnej, nie ta aplikacja. Treść pakietu nie jest opinią prawną ani gwarancją zgodności. Statusy jawne: LIVE MVP = jest kod + test + endpoint (dowód); ROADMAP = specyfikacja docelowa bez działającego kodu.
Jeden incydent → cztery pakiety. Claim ≤ proof.

Silnik legal-triggers mapuje incydent na obowiązki czterech reżimów (DORA / NIS2 / RODO / AI Act) i wylicza zegary. Warstwa evidence-package dokłada rejestr dowodów z sumą kontrolną. Złożenie tych dwóch = pakiet regulacyjny w statusie LIVE MVP. Branding regulatora i podpisany eksport pozostają ROADMAP.

SKŁADANIE: incydentlegal-triggers (mapowanie + zegary)evidence-package (rejestr + hash)pakiet per regulatorweryfikacja człowieka → zgłoszenie

Cztery pakiety — skrót

DORA pack LIVE MVP

Raport incydentu ICT wg art.19 DORA (rozp. 2022/2554) dla instytucji finansowej. Klasyfikacja istotności, zegary etapów, rejestr dowodów, szkic zawiadomienia.

NIS2 / KSC pack LIVE MVP

Trójetapowe zgłoszenie do CSIRT/organu: wczesne ostrzeżenie 24h, zgłoszenie właściwe 72h, raport końcowy. Mapowanie na obowiązki podmiotu kluczowego/ważnego.

RODO pack LIVE MVP

Naruszenie ochrony danych: zgłoszenie do PUODO (art.33, ≤72h) + zawiadomienie osób (art.34) przy wysokim ryzyku. Ocena ryzyka, kategorie danych, szkice.

AI Act pack LIVE MVP

Poważny incydent systemu AI wg art.73 AI Act (rozp. 2024/1689): zgłoszenie do organu nadzoru rynku, zegary, klasa incydentu, powiązanie z rejestrem dowodów.

Kanon statusów per element: /status-matrix. Kanon liczby testów (bez własnych „NN/NN"): Evidence Matrix na /roadmap-dev. Silnik terminów i mapowania: Legal Board + Deadline Clock.

DORA pack — raport incydentu ICT (art.19)

Sekcja pakietuCo zawieraStatus
Klasyfikacja istotnościOcena „major ICT-related incident" wg kryteriów DORA (wpływ na usługi, klientów, dane, czas trwania). Flagi wejściowe: ?entity&sector&high_risk.LIVE MVP
Zegary etapówPowiadomienie wstępne / raport pośredni / raport końcowy — deadline ISO liczony od created_at incydentu (orientacyjnie). Widok: Deadline Clock.LIVE MVP
Rejestr dowodów (evidence)Załączone dowody z sumą sha256 + chain-of-custody + package_sha256 całego pakietu (integralność, nie podpis prawny).LIVE MVP
Szkic zawiadomieniaDraft treści powiadomienia dla organu (DECISION-SUPPORT) — do weryfikacji i złożenia przez człowieka.LIVE MVP
Branding KNF + podpisFormatka z identyfikacją organu, podpisany eksport PAdES/PQC + znacznik czasu TSA.ROADMAP

Doktryna: pakiet wspiera przygotowanie raportu art.19 — nie jest zgłoszeniem do KNF ani oceną, czy incydent jest „major". Kwalifikację i moment startu zegara ustala podmiot. Szczegóły cyklu TLPT: DORA / TIBER.

NIS2 / KSC pack — 24h / 72h / raport końcowy

EtapCo zawieraStatus
Wczesne ostrzeżenie ≤ 24hWstępny sygnał do CSIRT/organu właściwego: podejrzenie działania bezprawnego/złośliwego, potencjalny wpływ transgraniczny. Zegar 24h od powzięcia wiedzy (orientacyjnie).LIVE MVP
Zgłoszenie właściwe ≤ 72hOcena wstępna incydentu: dotkliwość, wpływ, wskaźniki kompromitacji (IoC). Aktualizacja wczesnego ostrzeżenia. Zegar 72h.LIVE MVP
Raport końcowyOpis incydentu, przyczyna źródłowa, zastosowane środki zaradcze, wpływ transgraniczny. Wymaga zamkniętego rejestru dowodów (reguła: raport końcowy ≤ dowód).LIVE MVP
Mapowanie podmiotuRozpoznanie roli: podmiot kluczowy / ważny, sektor (Załącznik I/II NIS2), odwzorowanie na krajowy KSC.LIVE MVP (mapowanie orientacyjne)
Kanał + branding organuFormatka pod właściwy CSIRT (CSIRT NASK / CSIRT GOV / CSIRT MON) i podpisany eksport.ROADMAP

Zegary 24h/72h są orientacyjne; ich bieg i moment startu (powzięcie wiedzy o incydencie) ustala podmiot. System nie składa zgłoszenia do CSIRT ani organu właściwego.

RODO pack — art.33 (PUODO) + art.34 (osoby)

Sekcja pakietuCo zawieraStatus
Ocena ryzyka naruszeniaCharakter naruszenia, kategorie i orientacyjna liczba osób oraz rekordów, możliwe konsekwencje. Flaga wejściowa: ?personal_data.LIVE MVP
Zgłoszenie do PUODO (art.33)Szkic zgłoszenia „bez zbędnej zwłoki, w miarę możliwości ≤ 72h" od stwierdzenia naruszenia. Zegar 72h (orientacyjnie).LIVE MVP
Zawiadomienie osób (art.34)Szkic komunikatu do osób, których dane dotyczą, gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności. Prosty język, zalecane środki.LIVE MVP
Rejestr naruszeń (art.33 ust.5)Wpis do wewnętrznego rejestru: okoliczności, skutki, podjęte działania — z sumą kontrolną w evidence-package.LIVE MVP
Formatka PUODO + podpisOdwzorowanie na oficjalny wzór zgłoszenia PUODO + podpisany eksport.ROADMAP

Ocena „wysokiego ryzyka" i decyzja o zgłoszeniu/zawiadomieniu należą do administratora danych (po konsultacji z IOD/prawnikiem). Pakiet dostarcza szkic i materiał dowodowy — nie zastępuje tej oceny.

AI Act pack — poważny incydent (art.73)

Sekcja pakietuCo zawieraStatus
Klasa incydentu AITyp zdarzenia (m.in. prompt injection, agent hijack, data poisoning, awaria nadzoru HITL) i powiązanie z systemem AI wysokiego ryzyka. Flaga: ?high_risk.LIVE MVP
Zgłoszenie do organu nadzoruSzkic powiadomienia o poważnym incydencie do organu nadzoru rynku (w PL rola w organizacji — status krajowy zmienny). Zegar wg art.73 (orientacyjnie).LIVE MVP
Powiązanie z dowodamiLog incydentu + evidence-register + package_sha256 — ślad dla analizy przyczyny i korelacji z innymi reżimami.LIVE MVP
Detektory AI + corpus testówAutomatyczna detekcja klas zagrożeń AI i biblioteka scenariuszy red-team (w granicach RoE).ROADMAP
Branding organu + podpisFormatka pod organ nadzoru + podpisany eksport.ROADMAP

Uwaga na terminy AI Act: część obowiązków high-risk (Aneks III) przesunięta — zob. Legal Board. Klasyfikacja systemu jako „wysokiego ryzyka" i obowiązek zgłoszenia należą do dostawcy/operatora, nie do tej aplikacji.

Co jest LIVE MVP — dowód

legal-triggersGET /api/ip3/v1/incidents/:id/legal-triggers mapuje incydent na obowiązki DORA art.19 / NIS2 (24h/72h) / RODO art.33-34 / AI Act art.73, z zegarami (deadline ISO od created_at) i draftem powiadomienia. Doktryna DECISION-SUPPORT. LIVE MVP
evidence-packageGET /reports/evidence-package/:id (JSON + realny PDF): manifest, rejestr dowodów, chain-of-custody, package_sha256 (integralność, nie podpis prawny). Wspólny materiał dowodowy dla wszystkich czterech pakietów. LIVE MVP
Złożenie legal-triggers + evidence-package = pakiet regulacyjny. To jest istota statusu MVP tej strony: mapowanie obowiązków + rejestr dowodów w jednym artefakcie per reżim. LIVE MVP

Liczby testów (unit / integracja / smoke) — jedyne źródło prawdy: Evidence Matrix na /roadmap-dev. Ta strona świadomie nie wpisuje własnych „NN/NN", żeby nie rozjechać kanonu.

Co jest ROADMAP

ElementDziśCelCo potrzebne do awansuPrio
Branding regulatora (KNF / CSIRT / PUODO / organ AI)formatka generycznaformatka per organszablony pod oficjalne wzory zgłoszeń + identyfikacja odbiorcyP1
Podpisany eksportsha256 integralnościPAdES / PQC + TSApodpis PAdES + znacznik czasu TSA (dziś jest suma kontrolna, nie podpis prawny)P1
Automatyczne złożenie do organubrak (świadomie)poza zakresem MVPzgłoszenie zawsze przez upoważnionego człowieka — automatyzacja składania nie jest celem
Detektory incydentów AI (art.73)klasa ręcznadetektorysilnik detekcji klas zagrożeń AI + corpus testów w RoEP2

Reguła statusów (§16)

Każdy element pakietu nosi dokładnie jeden status. Kanon per element: /status-matrix.

StatusZnaczenieWarunek nadania
LIVE MVPDziała na gałęzi/produkcji z dowodem.Kod + test + endpoint (lub link do artefaktu).
DEMOŚcieżka odczytu na danych przykładowych.Endpoint read-path działa, dane oznaczone jako demo.
SIMULATIONWartości/formatki ilustracyjne.Jawnie oznaczone „symulacja", nie stan realnego zgłoszenia.
ROADMAPSpecyfikacja docelowa, jeszcze nie zbudowane.Opisane kryteria akceptacji, brak działającego kodu.
GAPLuka bez pokrycia dowodowego.Brak dowodu — nie wolno przedstawiać jako fakt.
Zasada nadrzędna. Pakiet regulacyjny nie jest zgłoszeniem, opinią prawną ani deklaracją zgodności. Jest uporządkowanym materiałem: mapowanie obowiązku + zegar + rejestr dowodów, gotowy do weryfikacji przez człowieka. Decyzję o kwalifikacji incydentu, momencie startu terminu i złożeniu do organu podejmuje podmiot — nie ta aplikacja. Claim ≤ proof: elementy bez dowodu (kod+test+endpoint) noszą status ROADMAP, nie LIVE.
Granica prawna. Terminy (24h / 72h / etapy DORA / art.73) są orientacyjne i podane wyłącznie jako wsparcie decyzji. Nie stanowią porady prawnej i nie zwalniają z własnej analizy zgodności. Aktualny stan przepisów i przesunięć terminów: Legal Board. Zegary i ich bieg: Deadline Clock. W razie realnego incydentu skonsultuj się z działem prawnym / IOD / kancelarią przed jakimkolwiek zgłoszeniem.