Legal/Compliance Engine (Moduł 6) i Faza 5 łańcucha reagowania. Silnik przekłada sklasyfikowany incydent na obowiązki regulacyjne, generuje szablony raportów do organów z zachowaniem terminów ustawowych i utrzymuje audytowalny rejestr decyzji. Doktryna: claim ≤ proof — żaden raport nie wychodzi bez powiązanego łańcucha dowodowego.
Silnik czyta flagi prawne ustawione przez Classification Engine, mapuje je na reżimy (AI Act / NIS2 / KSC / RODO / DORA), wylicza terminy od momentu wykrycia i podpowiada właściwy organ. Operator decyduje o wysyłce — system dostarcza kompletny, spójny materiał.
Classification Engine ustawia poniższe flagi boolean na rekordzie incydentu. Każda flaga aktywna uruchamia odpowiedni szablon raportu i zegar terminu.
| Flaga | Definicja operacyjna | Reżim / podstawa | Skutek |
|---|---|---|---|
AI_ACT_RELEVANT | Incydent dotyczy systemu AI w rozumieniu Rozporządzenia (UE) 2024/1689 (dostawca/wdrażający). | AI Act | Ocena ryzyka + obowiązki transparentności (art. 50). |
AI_HIGH_RISK | System należy do wysokiego ryzyka wg Aneksu III (m.in. scoring kredytowy, biometria, HR). | AI Act, Aneks III | Zaostrzone obowiązki nadzoru i logowania. |
AI_SERIOUS_INCIDENT | Poważny incydent AI: śmierć/uszczerbek, poważna szkoda infrastruktury krytycznej, naruszenie praw podstawowych, szkoda mienia/środowiska. | AI Act, art. 73 | Zgłoszenie do organu nadzoru rynku. |
GDPR_PERSONAL_DATA | W incydencie występują dane osobowe (klienci, pracownicy, beneficjenci). | RODO (UE) 2016/679 | Ocena, czy doszło do naruszenia. |
GDPR_BREACH | Naruszenie ochrony danych: utrata poufności/integralności/dostępności danych osobowych. | RODO art. 33/34 | Zgłoszenie do PUODO ≤72h; ew. zawiadomienie osób. |
NIS2_RELEVANT | Podmiot kluczowy/ważny objęty dyrektywą NIS2; incydent istotny dla ciągłości usługi. | Dyrektywa (UE) 2022/2555 | Ścieżka 24h / 72h / raport końcowy. |
KSC_RELEVANT | Podmiot/incydent objęty krajowym systemem cyberbezpieczeństwa (implementacja NIS2 w PL). | Ustawa o KSC | Zgłoszenie do właściwego CSIRT. |
CRITICAL_INFRA | Dotyczy infrastruktury krytycznej (finanse, energia, zdrowie, transport, woda). | Sektorowa + NIS2 | Podwyższony priorytet i eskalacja. |
LAW_ENFORCEMENT | Podejrzenie przestępstwa; zasadność zawiadomienia organów ścigania. | k.k. / k.p.k. | Zabezpieczenie dowodów, zawiadomienie. |
RAMKA/NORMA Powyższe to interpretacja obowiązków na podstawie publicznie znanej treści regulacji — nie porada prawna dla konkretnego stanu faktycznego.
AI_SERIOUS_INCIDENT = true. Dostawca systemu AI wysokiego ryzyka zgłasza poważny incydent organowi nadzoru rynku państwa, w którym incydent wystąpił.| Pole raportu | Źródło w systemie |
|---|---|
| Identyfikator systemu AI, wersja, rola (dostawca/wdrażający) | Rejestr agentów / metadane incydentu |
| Opis incydentu i charakter poważnej szkody | Incident Intake + Evidence Layer |
| Łańcuch przyczynowo-skutkowy (o ile ustalony) | Analiza / trace działań |
| Środki naprawcze i korygujące | Playbook Engine — log działań |
| Dowody (hash, timestamp, chain-of-custody) | Evidence Board |
RAMKA/NORMA AI Act przewiduje niezwłoczne zgłoszenie po ustaleniu związku przyczynowego (lub jego rozsądnego prawdopodobieństwa), z terminami zależnymi od skali skutku. System nie zastępuje oceny prawnej dostawcy.
| Etap | Termin | Zawartość | Adresat |
|---|---|---|---|
| Wczesne ostrzeżenie (early warning) | ≤ 24h od wykrycia incydentu istotnego | Wstępny sygnał: czy podejrzenie działania bezprawnego/złośliwego, możliwy wpływ transgraniczny. | Właściwy CSIRT / organ |
| Zgłoszenie właściwe (incident notification) | ≤ 72h od wykrycia | Aktualizacja early warning: ocena istotności, wskaźniki kompromitacji (IoC), wstępna klasyfikacja. | Właściwy CSIRT / organ |
| Raport końcowy (final report) | ≤ 1 miesiąc od zgłoszenia właściwego | Szczegółowy opis, przyczyna źródłowa, zastosowane środki, skutki transgraniczne. | Właściwy CSIRT / organ |
RAMKA/NORMA Ścieżka 24h/72h/1 mies. odwzorowuje reżim art. 23 NIS2. W trakcie trwania incydentu możliwe raporty pośrednie na żądanie organu.
≤ 72h od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by skutkowało ryzykiem dla praw i wolności.
Zawiera: charakter naruszenia, kategorie i przybliżoną liczbę osób/rekordów, możliwe konsekwencje, zastosowane środki.
Gdy naruszenie może powodować wysokie ryzyko dla praw i wolności — bez zbędnej zwłoki, prostym i jasnym językiem.
Wyjątki: skuteczne szyfrowanie danych, środki eliminujące wysokie ryzyko, nieproporcjonalny wysiłek (komunikat publiczny).
GDPR_PERSONAL_DATA → automatyczne przypisanie roli Legal/DPO.GDPR_BREACH (utrata poufności/integralności/dostępności). Decyzja + uzasadnienie zapisane w rejestrze.Każda decyzja wpływająca na reżim prawny lub działanie wysokiego ryzyka jest logowana weryfikowalnie (kto, kiedy, na jakiej podstawie dowodowej). To fundament audytowalności wobec KNF, PUODO, organu nadzoru rynku AI.
| ID | Decyzja | Rola | Podstawa dowodowa | Status | Znacznik |
|---|---|---|---|---|---|
| HITL-0417 | Uznanie zdarzenia za GDPR_BREACH | Legal/DPO | EV-2211 (log dostępu) | SYMULACJA | 2026-07-04 09:12Z |
| HITL-0418 | Zatwierdzenie zgłoszenia NIS2 24h | Operator | EV-2212, EV-2213 | SYMULACJA | 2026-07-04 09:40Z |
| HITL-0419 | Odmowa autonomicznego blokowania rachunków przez agenta | AI Safety Officer | TRACE-8890 | SYMULACJA | 2026-07-04 10:05Z |
Powyższe wiersze to SYMULACJA — dane demonstracyjne ilustrujące strukturę rejestru, nie rzeczywiste decyzje.
Silnik generuje paczkę dowodową dołączaną do każdego raportu. Integralność zapewnia hash łańcuchowy (chain-of-custody), tak by materiał był użyteczny w postępowaniu przed organem lub sądem.
POST /api/incidents/:id/export
{
"format": "evidence-bundle", // pdf-signed | json-manifest | evidence-bundle
"include": ["timeline","evidence","classification","decisions","report"],
"seal": "sha256-chain", // hash każdego artefaktu + hash zbiorczy
"recipient": "CSIRT | PUODO | market-surveillance"
}
--> 200 { "bundle_id":"EXB-0091", "sealed_hash":"…", "artifacts": 14 }
RAMKA/NORMA Kalendarz odwzorowuje terminy ustawowe, nie odnosi się do żadnego rzeczywistego incydentu. Zegary uruchamiają się dopiero po sklasyfikowaniu realnego zdarzenia.
| Obowiązek | Data | Status |
|---|---|---|
| Zakazane praktyki AI + obowiązki wiedzy o AI (AI literacy) | 2.02.2025 | OBOWIĄZUJE |
| Modele ogólnego przeznaczenia (GPAI) | 2.08.2025 | OBOWIĄZUJE |
| Art. 50 — transparentność (oznaczanie treści/interakcji AI, deepfake) | 2.08.2026 | WCHODZI |
| Systemy wysokiego ryzyka — Aneks III (scoring, HR, biometria) | 2.02.2026 → 2.12.2027 | ODROCZONE (Digital Omnibus) |
Powiązane: Legal Board · Classification Engine · Evidence Board · Playbook AI Act · Playbook wyciek danych · Demo bankowe