Gdy incydent eskaluje, zespół nie ma czasu przełączać się między dziesięcioma narzędziami. War Room zbiera w jednym układzie paneli to, czego kryzys potrzebuje jednocześnie: timeline, ownerów, wyzwolone obowiązki prawne (legal triggers), evidence, komunikację, aktualizację dla zarządu, szkic pisma do regulatora oraz decision log. Wszystkie dane na tej stronie są syntetyczne (demonstracja układu), a warstwa łącząca panele to ROADMAP — poniżej rozdzielamy, co jest gotowe, a co dopiero planowane.
W trybie kryzysowym liczy się wspólny obraz sytuacji: kto jest ownerem, co już wiemy (evidence), jakie terminy prawne zaczęły biec, co komunikujemy na zewnątrz i jaką decyzję właśnie podjęliśmy — wszystko z jednym znacznikiem czasu. War Room porządkuje to w osiem paneli i utrzymuje decision log jako źródło prawdy o przebiegu.
ID: INC-SYN-2026-0042 SYNTETYCZNE
Tytuł: Podejrzenie eksfiltracji danych — segment płatności
Severity: P0 / SEV-1
Wykryto: 2026-07-05 08:14 CEST
Status: CONTAINMENT
Incident Commander: A. Kowalska
Tech lead: M. Nowak
Legal: radca (kancelaria zewn.)
Comms: zespół PR
Sponsor: CISO
RODO 72h: do 2026-07-08 08:14 T-64h
DORA raport wstępny: orientacyjnie do 4h od klasyfikacji pilne
NIS2 wczesne ostrzeżenie: orientacyjnie 24h monitoruj
Terminy orientacyjne — wsparcie decyzji, weryfikacja prawna wymagana.
Sygnalizacja potencjalnie wyzwolonych obowiązków. To wsparcie decyzji, nie porada prawna — kwalifikację potwierdza radca. Powiązania i pełna oś terminów: /legal-timeline.
| Reżim | Możliwy obowiązek | Orientacyjny termin | Status |
|---|---|---|---|
| RODO | Zgłoszenie naruszenia do organu nadzorczego, jeśli potwierdzone ryzyko dla osób. | ≤ 72h od stwierdzenia | DO WERYFIKACJI |
| DORA | Raport wstępny incydentu ICT (podmiot finansowy), jeśli spełnia progi istotności. | orientacyjnie kilka godzin od klasyfikacji | DO WERYFIKACJI |
| NIS2 | Wczesne ostrzeżenie do właściwego CSIRT/organu. | orientacyjnie 24h | MONITORUJ |
| Umowy / kontrakty | Notyfikacja klientów/partnerów wg klauzul SLA. | wg umowy | DO SPRAWDZENIA |
Materiał dowodowy z chain-of-custody i sumą kontrolną integralności. Import findings oraz evidence-package (z sha256) są dowodliwe w module orchestratora; ich automatyczne dociągnięcie do War Room to ROADMAP.
| ID | Artefakt | Integralność | Źródło |
|---|---|---|---|
| E-01 | Zrzut logów segmentu płatności (08:35) | sha256:9f2a…c71b | SYNTETYCZNE |
| E-02 | Eksport reguł korelacyjnych / alert | sha256:41de…08a4 | SYNTETYCZNE |
| E-03 | Snapshot konfiguracji zapory (pre/post izolacja) | sha256:b0c7…12ef | SYNTETYCZNE |
Holding statement: gotowy do zatwierdzenia przez PR + legal.
Klienci: szablon powiadomienia w kolejce (wstrzymany do decyzji).
Kanały: status page, e-mail, kontakt z kluczowymi partnerami.
Treść zatwierdza legal przed publikacją.
Wersja: v1 (09:10)
Zakres: co wiemy, co robimy, jakie ryzyka, następny update.
Kadencja: co 60 min lub przy zmianie statusu.
Odbiorca: zarząd + sponsor (CISO).
Szkic pisma budowany z pól incydentu i mapowań legal. Generowany jako draft do przeglądu prawnego — nie jest wysyłany automatycznie. Gotowe pakiety i szablony: /regulatory-packs.
DRAFT — WYMAGA PRZEGLĄDU PRAWNEGO PRZED WYSYŁKĄ Do: [właściwy organ nadzorczy] Dotyczy: Wstępne zgłoszenie incydentu — INC-SYN-2026-0042 Data zdarzenia: 2026-07-05, wykrycie 08:14 CEST Charakter: Podejrzenie nieuprawnionego dostępu / eksfiltracji (w toku ustaleń) Zakres: Segment płatności — analiza trwa, ostateczny zakres do potwierdzenia Podjęte kroki: Izolacja hosta, zebranie materiału dowodowego, powołanie zespołu Ryzyko: Ocena w toku; klasyfikacja i decyzja o pełnym zgłoszeniu — po weryfikacji prawnej Kontakt: [IOD / punkt kontaktowy] [Pola uzupełniane z rekordu incydentu. Treść orientacyjna — wsparcie decyzji, nie porada prawna.]
Źródło prawdy o tym, co i dlaczego zdecydowano, z ownerem i znacznikiem czasu. Trwały ślad audytowy przebiegu incydentu.
| ID | Czas | Decyzja | Owner | Uzasadnienie |
|---|---|---|---|---|
| DL-01 | 08:22 | Powołanie Incident Commandera, otwarcie bridge'a | CISO | P0 wymaga jednego punktu koordynacji |
| DL-02 | 08:35 | Izolacja punktowa hosta | Tech lead | Ograniczenie rozprzestrzeniania bez przerywania usługi |
| DL-03 | 09:34 | Brak wyłączenia całego segmentu | Incident Commander | Bilans ryzyka: ciągłość usługi vs. izolacja punktowa wystarczająca |
| DL-04 | 09:40 | Skierowanie do radcy przed jakimkolwiek zgłoszeniem | Legal | Kwalifikacja obowiązków wymaga weryfikacji prawnej |
| Element | Stan | Uwaga |
|---|---|---|
| Układ paneli War Room (ten widok) | MVP | Demonstracja na danych syntetycznych |
| Import findings / evidence-package z hash | LIVE | Dowodliwe w module orchestratora |
| Decision log jako trwały ślad | LIVE | Wzorzec audytowy (zapis + owner + czas) |
| Legal Trigger Engine (sygnalizacja obowiązków) | LIVE | Wsparcie decyzji, nie porada prawna |
| Automatyczne spięcie paneli na żywym incydencie | ROADMAP | Wiązanie danych w czasie rzeczywistym |
| Powiadomienia i eskalacje ownerów | ROADMAP | Kanały comms, kadencja board update |
| Eksport pakietu incydentu jednym kliknięciem | ROADMAP | Evidence + decision log + draft w jednym pliku |
Powiązane: rejestr i klasyfikacja incydentów → /ai-incident · oś terminów obowiązków → /legal-timeline · pakiety i szablony do regulatora → /regulatory-packs · granice systemu → /known-limitations.