# 09 - GO CONTROLLED PILOT P0-P1

## Cel dokumentu

Ten dokument ustala wykonawczą ścieżkę przejścia od bezpłatnej analizy P0 do pilotażu GO CONTROLLED. Jego funkcją jest odróżnienie diagnozy, symulacji, pilotażu i wdrożenia produkcyjnego.

## Pozycja w architekturze CST

```text
/Common-Source-of-Truth/go-controlled
/Common-Source-of-Truth/go-controlled/p0-analysis
/Common-Source-of-Truth/go-controlled/pilot-scope
/Common-Source-of-Truth/go-controlled/validation
/Common-Source-of-Truth/go-controlled/final-report
```

## Etap P0 - analiza bezpłatna

Cel: szybkie ustalenie, czy podmiot publiczny ma ryzyka wymagające interwencji i czy K0NSULT może dostarczyć wartość.

### Zakres P0

- analiza struktury cyfrowej podmiotu,
- analiza publicznie dostępnych ryzyk,
- analiza ekspozycji domen, usług, komunikacji i AI,
- identyfikacja potencjalnych incydentów,
- wstępna mapa zagrożeń,
- wstępna mapa zależności BigTech,
- wstępna ocena AI Act / NIS2 / RODO,
- propozycja wdrożenia minimalnego,
- prezentacja dokumentacji,
- rekomendacja decyzji: brak działań / pilotaż / pełne wdrożenie.

## Etap P1 - pilotaż GO CONTROLLED

Cel: wdrożyć minimalne rozwiązania potrzebne do sprawdzenia skuteczności bez wchodzenia w pełny tryb produkcyjny.

### Zakres pilotażu

- konfiguracja rejestru incydentów,
- konfiguracja rejestru dowodów,
- konfiguracja dashboardu,
- podłączenie wybranych źródeł monitoringu,
- wdrożenie playbooków,
- szkolenie operatorów,
- symulacja kontrolnego incydentu,
- raport skuteczności,
- rekomendacja wdrożenia docelowego.

## Warunki bezpieczeństwa

Każdy pilotaż musi mieć pisemny zakres, osoby odpowiedzialne, brak testów ofensywnych bez zgody, log działań, minimalizację danych, rozdzielenie środowisk, procedurę eskalacji, raport końcowy i decyzję o dalszej współpracy.

## Minimalny zestaw wdrożeniowy

| Moduł | Funkcja | Priorytet |
|---|---|---|
| Incident Register | rejestr incydentów | P0 |
| Evidence Layer | dowody, hashe, chain of custody | P0 |
| Watch Sources | źródła monitoringu | P0 |
| Risk Map | mapa ryzyk i incydentów | P0 |
| Playbook Engine | procedury reakcji | P1 |
| Dashboard | panel decyzyjny | P0 |
| Report Engine | raporty PDF/CSV | P1 |
| Training Module | szkolenie operatorów | P2 |
| BigTech Dependency Map | mapa zależności od dostawców | P1 |
| AI Governance Register | rejestr systemów AI | P1 |

## Kryteria skuteczności

| Kryterium | Miara |
|---|---|
| Wykrywanie | liczba wykrytych sygnałów |
| Klasyfikacja | procent poprawnie sklasyfikowanych incydentów |
| Dowody | procent incydentów z pełnym evidence package |
| Czas reakcji | MTTD / MTTR |
| Naprawa | procent incydentów verified |
| Zgodność | flagi AI Act / NIS2 / RODO |
| Szkolenia | liczba certyfikowanych operatorów |
| BigTech | liczba zidentyfikowanych zależności |
| Odporność | spadek ryzyka po wdrożeniu |
| Skalowanie | możliwość replikacji w innych jednostkach |

## Definition of Done dla P0

P0 jest zakończone, gdy istnieją: raport P0, mapa ryzyk, mapa zależności BigTech, tabela potencjalnych incydentów, tabela luk, rekomendowany pilotaż, prezentacja decyzyjna i propozycja modelu dalszej współpracy.

## Definition of Done dla pilotażu

Pilotaż jest zakończony, gdy działa dashboard, działa rejestr incydentów, działa evidence layer, działa co najmniej 5 playbooków, operatorzy są przeszkoleni, wykonano test incydentu, wygenerowano raport skuteczności i podmiot publiczny może podjąć decyzję o wdrożeniu docelowym.

## Decyzja po pilotażu

| Decyzja | Znaczenie |
|---|---|
| STOP | brak kontynuacji |
| EXTEND | wydłużenie pilotażu |
| DEPLOY | wdrożenie operacyjne |
| PPP | uruchomienie PPP |
| CONSORTIUM | budowa konsorcjum |
| GRANT | projekt finansowany publicznie/UE |
| SCALE | skalowanie na inne jednostki |
