Warstwa Legal/Compliance systemu. Każdy incydent z ustawionymi flagami prawnymi (AI Act, RODO, NIS2/KSC) uruchamia zegary raportowania do właściwych organów. Tablica pokazuje sprawy, ich flagi, obowiązujące terminy, właściciela (Legal/DPO/AI Safety Officer) oraz status decyzji prawnej — od otwarta po zgłoszona/zamknięta.
Ustawienie flagi NIS2_RELEVANT, GDPR_BREACH czy AI_SERIOUS_INCIDENT nie jest etykietą informacyjną — uruchamia liczony obowiązek raportowy. System śledzi upływ terminu i wymaga artefaktu potwierdzającego zgłoszenie.
| sprawa | flagi | termin org. | właściciel | status decyzji | prio |
|---|---|---|---|---|---|
LGL-3011wyciek danych klientów |
GDPR_BREACHPERSONAL_DATANIS2_RELEVANT | RODO 72h → 18h left NIS2 24h → wysłane |
Legal/DPO | RODO art.33 W TOKU | P0 |
LGL-3009poważny incydent systemu AI (scoring) |
AI_HIGH_RISKAI_SERIOUS_INCIDENTLAW_ENFORCEMENT? | AI Act art.73 → bez zbędnej zwłoki | AI Safety Officer | ANALIZA KWALIFIKACJI | P0 |
LGL-3006ransomware — usługa kluczowa |
NIS2_RELEVANTCRITICAL_INFRAKSC_RELEVANT | NIS2 wczesne 24h → wysłane raport 72h → 44h left |
Operator + Legal | 24h ZŁOŻONE | P0 |
LGL-3002phishing → przejęcie skrzynki |
PERSONAL_DATAAI_ACT? | RODO ocena ryzyka → w toku | Legal/DPO | OCENA CZY BREACH | P1 |
LGL-2998deepfake głosowy — próba oszustwa |
FALSE_IDENTITYLAW_ENFORCEMENT | zawiadomienie organów ścigania | Legal + CISO | ZGŁOSZONE | P1 |
LGL-2990misconfig — ekspozycja logów |
PERSONAL_DATA? | ocena art.34 (zawiadomienie osób) | Legal/DPO | BRAK DOWODU ZAKRESU | P2 |
Kolumna „status decyzji" dziedziczy dowodowo z Evidence Board — sprawa nie może być „ZGŁOSZONA jako breach", jeśli zakres danych jest w statusie GAP.
Poniżej: ramki obowiązków wynikające z publicznie znanej treści regulacji. Charakter: norma / ramka, nie opis incydentu. Zawsze weryfikuj z aktualnym tekstem aktu i implementacją krajową.
Dostawcy systemów AI wysokiego ryzyka zgłaszają poważny incydent (serious incident) organowi nadzoru rynku państwa, w którym incydent wystąpił, bez zbędnej zwłoki po ustaleniu związku przyczynowego (lub jego uzasadnionego prawdopodobieństwa) między systemem AI a incydentem.
Flagi wyzwalające: AI_HIGH_RISK + AI_SERIOUS_INCIDENT. Uwaga na terminy szczegółowe zależne od typu skutku (m.in. zdarzenia śmiertelne — krótsze). Zależność od wejścia w życie i przepisów przejściowych AI Act.
Adresat: CSIRT właściwy / organ krajowy. W PL powiązane z KSC_RELEVANT (ustawa o krajowym systemie cyberbezpieczeństwa). Flaga: NIS2_RELEVANT, przy usługach kluczowych też CRITICAL_INFRA.
Flagi: GDPR_PERSONAL_DATA, GDPR_BREACH. Prowadź rejestr naruszeń (art.33 ust.5) niezależnie od tego, czy zgłoszenie było wymagane.
| flaga | obowiązek (ramka) | termin | adresat | właściciel |
|---|---|---|---|---|
| AI_SERIOUS_INCIDENT | zgłoszenie poważnego incydentu AI | bez zbędnej zwłoki | organ nadzoru rynku | AI Safety Officer |
| NIS2_RELEVANT | notyfikacja 3-etapowa | 24h / 72h / 1 mies. | CSIRT / organ krajowy | Operator + Legal |
| KSC_RELEVANT | obowiązki KSC (PL) | wg ustawy KSC | CSIRT poziomu krajowego | Operator + Legal |
| GDPR_BREACH | art.33 zgłoszenie | ≤ 72h | PUODO | Legal/DPO |
| PERSONAL_DATA + wysokie ryzyko | art.34 zawiadomienie | bez zbędnej zwłoki | osoby, których dane dotyczą | Legal/DPO |
| LAW_ENFORCEMENT | zawiadomienie o przestępstwie | niezwłocznie | organy ścigania | Legal + CISO |
Status decyzji prawnej dziedziczy z dowodu — GAP blokuje kwalifikację breach.
Zgłoszenie do organu jest działaniem z terminem due_at i dowodem złożenia.
Szablony i rejestr pism do organów (PUODO, CSIRT, nadzór rynku).
Ścieżka kwalifikacji poważnego incydentu AI i zgłoszenia art.73.
Zegar art.33 rusza od stwierdzenia naruszenia, ale zgłoszenie zależy od oceny ryzyka. Checklista decyzyjna DPO:
| Pytanie | Konsekwencja |
|---|---|
| Czy to naruszenie ochrony danych osobowych? | Nie → poza RODO art.33/34 |
| Czy istnieje ryzyko dla praw i wolności osób? | Tak → zgłoszenie do PUODO ≤72h (art.33) |
| Czy ryzyko jest wysokie? | Tak → zawiadomienie osób (art.34) |
| Kiedy nastąpiło „stwierdzenie naruszenia"? | Start zegara 72h |
| Czy dane były szyfrowane / nieczytelne? | Może obniżyć obowiązek zawiadomienia osób |
| Kto podjął decyzję (DPO)? | Wpis do rejestru + uzasadnienie |
| Czy retencja danych jest uzasadniona? | Weryfikacja podstawy i okresu |
| Pole | Wartości |
|---|---|
| Sektor objęty | tak / nie / nieustalone |
| Wielkość podmiotu | średni / duży / inny |
| Podmiot kluczowy | tak / nie / nieustalone |
| Podmiot ważny | tak / nie / nieustalone |
| CSIRT właściwy | NASK / GOV / MON / sektorowy |
| Obowiązek wpisu | tak / nie / nieustalone |
| Status notyfikacji | early warning (24h) / notification (72h) / final (1 mies.) |
| Odpowiedzialny | zarząd / kierownik / security owner |
Ramka normatywna, nie porada prawna. Klasyfikacja podmiotu należy do organizacji i jej doradców. Zob. Law Change Watch.