Glosariusz to rzadki gatunek. Nie jest artykułem, nie jest raportem, nie jest podręcznikiem. Jest słownikiem - i jako słownik jest narzędziem. Ocena słownika polega na sprawdzeniu trzech rzeczy: czy definicje są poprawne, czy źródła są żywe, czy zakres odpowiada potrzebom czytelnika.
IAPP pierwsze dwie pozycje zalicza bez zastrzeżeń. Definicje są cytatami ustawowymi lub urzędowymi, źródła linkowane, metoda czysta. Trzeci punkt wymaga rozmowy - i właśnie rozmowa o tym, czego w glosariuszu nie ma, jest dla polskiej kancelarii wartością.
O czym jest ten materiał
IAPP (International Association of Privacy Professionals) to największa na świecie organizacja zrzeszająca specjalistów ochrony prywatności i cyberbezpieczeństwa, z ponad osiemdziesięcioma tysiącami członków. Cybersecurity Law Key Terms jest uzupełnieniem istniejącego Glossary of Privacy Terms i odrębnego Key Terms for AI Governance - trzy glosariusze, trzy oddzielne światy pojęciowe.
Glosariusz liczy sześćdziesiąt dwa hasła ułożone alfabetycznie od Access po Zero-day. Źródła: federalne ustawy (Computer Fraud and Abuse Act 18 U.S.C. § 1030, Homeland Security Act 6 U.S.C. § 650, E-Government Act, HIPAA 45 C.F.R. § 160.103), stanowe (California Civil Code § 1798.82, New York DFS 23 NYCRR 500, California Consumer Privacy Act), publikacje NIST (SP 800-30, 800-39, 800-53, 800-61, 800-82r3, 800-94, 800-137, 800-150, 800-171, 800-216), orzeczenia federalne (Van Buren v. United States, hiQ Labs v. LinkedIn), CISA, CSRC, NICCS. Metoda redakcji: bezpośrednie cytaty, minimalna synteza, nawiasy kwadratowe tam, gdzie definicja dotyczy tylko information system, a IAPP rozszerza na computer system obejmujący operational technology.
IAPP wprost deklaruje granice: tylko prawo USA, tylko wersja początkowa, internacjonalizacja planowana. Ta deklaracja jest ważniejsza niż się wydaje. To jest nie pomyłka, to jest ramka - i trzeba czytać w tej ramce, nie poza nią.
Jednym zdaniem: to jest amerykański słownik referencyjny dla prawnika cyberbezpieczeństwa, napisany uczciwie w ograniczonym zakresie, który ogłasza się wprost.
Recenzja właściwa
Co w tym słowniku działa
Trzy rzeczy. Po pierwsze, precyzja cytatu. IAPP nie próbuje parafrazować advanced persistent threat, cyber threat indicator albo protected computer - daje literalny tekst NIST SP 800-39, 6 U.S.C. § 650(5), 18 U.S.C. § 1030(e)(2). Dla kancelarii pracującej z umowami transatlantyckimi albo z klauzulami SOC 2 i NIST CSF jest to cenne - można skopiować i wkleić do notatki, bez ryzyka zniekształcenia. Po drugie, systematyka źródeł. Każde hasło ma link wydawalny do miejsca, gdzie definicja żyje. Po trzecie, rozróżnienie między computer crime a cybercrime - pozornie to samo pojęcie, w literaturze często mylone, tu osobno z odwołaniem do Cybersecurity Law Fundamentals (2. ed.). Takie niuanse w codziennej praktyce kancelaryjnej mają znaczenie, szczególnie w sporach karnych i arbitrażu.
Drugi klaster terminów, który działa dobrze: pojęcia, które mają dosłowne odpowiedniki w reżimie europejskim. Multifactor authentication, encryption, access control, backup, resilience, security audit, vulnerability, vulnerability disclosure, zero-day - to jest wspólny język techniczny. NIS2 i DORA używają tej samej terminologii, choć w innych przepisach. Kancelaria, która doradza klientowi sektora finansowego lub energetycznego, może tych haseł używać bez tłumaczenia - różnica jest tylko w obowiązku (polski klient ma obowiązek z art. 8 ustawy o krajowym systemie cyberbezpieczeństwa albo z art. 9 DORA, amerykański klient ma obowiązek z NY DFS 23 NYCRR 500 albo z HIPAA Security Rule).
Gdzie zaczyna się problem tłumaczenia
Najciekawsze są hasła, które pozornie są te same, a w praktyce oznaczają cztery różne reżimy regulacyjne.
Breach. IAPP cytuje Cal. Civ. Code § 1798.82 i NY Gen. Bus. Law § 899-AA: nieuprawniony dostęp do lub uzyskanie skomputeryzowanych danych, które kompromituje bezpieczeństwo, poufność lub integralność personal information. Prosto, chirurgicznie. Polski klient, który przynosi tę samą sytuację faktyczną do kancelarii, stoi przed czterema równoległymi reżimami: naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO (obowiązek zgłoszenia do PUODO w 72 godziny z art. 33 RODO), incydent bezpieczeństwa w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa (obowiązek zgłoszenia do CSIRT w 24 godziny od wykrycia dla operatorów usług kluczowych), major ICT-related incident w rozumieniu art. 17-19 DORA (obowiązek raportowania w trybie 4-godzinnym / 24-godzinnym / 1-miesięcznym) oraz istotny incydent w rozumieniu NIS2 dla podmiotów kluczowych i ważnych (wczesne ostrzeżenie w 24 godziny, raport w 72 godziny). Jeden fakt, cztery kalendarze obowiązków, cztery adresaci zgłoszeń, cztery różne definicje zakresu. IAPP tego nie tłumaczy - i tłumaczyć nie miał obowiązku, bo to słownik amerykański.
To samo zdarzenie faktyczne w polskiej kancelarii rodzi cztery obowiązki zgłoszeniowe z czterema różnymi kalendarzami: RODO 72 godziny, UKSC 24 godziny, DORA 4/24/720 godzin, NIS2 24/72 godziny. Glosariusz IAPP ma jedno hasło: breach.
Supply chain attack. IAPP definiuje za CNSSI 4009-2015 i CISA. Polski odpowiednik operacyjny to nie jedno pojęcie, ale zestaw obowiązków z art. 28 DORA (ICT third-party risk management), art. 21 NIS2 (zarządzanie bezpieczeństwem łańcucha dostaw) oraz art. 32 RODO (odpowiednie środki techniczne i organizacyjne). SolarWinds, 3CX i MOVEit - incydenty, które w amerykańskiej narracji są supply chain attacks - w polskim raporcie zarządczym są sekcją DORA Chapter V albo NIS2 art. 21 ust. 3. IAPP nie ma obowiązku to pokazywać. Kancelaria ma.
Personal information. Hasło jest najdłuższe w całym glosariuszu. IAPP uczciwie pokazuje, że w samym amerykańskim systemie definicja różni się w CCPA (szeroka, obejmuje gospodarstwo domowe) i w stanowych ustawach breach notification (wąska, enumeratywna lista). Brakuje jednego zdania: "w UE odpowiednikiem jest dane osobowe z art. 4 pkt 1 RODO, pojęcie szersze niż CCPA i konceptualnie inne". Dla czytelnika nieznającego RODO różnica jest mylnie interpretowana - personal information i dane osobowe nie są synonimami, są kontynuentami dwóch różnych tradycji regulacyjnych.
Perspektywa bezpiecznej architektury
Patrząc z kąta architektury bezpieczeństwa, glosariusz daje solidne fundamenty. Advanced persistent threat, cybersecurity event, cyber threat indicator, defensive measure, intrusion detection, monitoring, threat intelligence, incident response, forensic analysis - to jest pełny cykl SOC w jednej tabeli. Hasła te są uniwersalne i kancelaria może z nich korzystać bez poprawek.
Dwie rzeczy architektury, które w glosariuszu są, a w polskich rozmowach o kancelariach bywają pomijane: operational technology (OT) i critical infrastructure. IAPP definiuje OT za NIST SP 800-82r3, a critical infrastructure za 42 U.S.C. § 5195c(e). Polskiej kancelarii warto mieć te hasła pod ręką - przy doradzaniu klientowi z sektora energii, wody, transportu, zdrowia. Odpowiednik europejski to podmiot krytyczny z dyrektywy CER 2022/2557 implementowanej w Polsce ustawą o ochronie infrastruktury krytycznej. Zakres nakładania się NIS2, CER i DORA to pytanie, na które glosariusz amerykański odpowiedzi nie da. Ale słownictwo techniczne jest zbieżne.
Dla doradcy architektury AI w kancelarii trzy hasła mają szczególne znaczenie: scraping (definicja za hiQ Labs v. LinkedIn, 9th Cir. 2022), ransomware (CISA) i cloud computing (NIST CSRC). Scraping - bo europejska dyskusja o legalności skrobania publicznych stron do treningu modeli AI wygląda zupełnie inaczej niż amerykańska (ByteDance v. Bright Data, pozwy autorów, sprawa Reddit-Anthropic). Ransomware - bo polski rynek w 2025 roku doświadczył serii ataków na szpitale, urzędy gmin i kancelarie, a definicja CISA nie rozwiązuje pytania, czy płacenie okupu jest dopuszczalne w świetle ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Cloud computing - bo polska kancelaria, która wysyła dokumenty klienta do chmury amerykańskiego dostawcy, ma problem nie z definicją chmury, ale z wynikającym z niej transferem danych osobowych (SCC, TIA, DPF) oraz z tajemnicą zawodową.
Czego w glosariuszu w ogóle nie ma
Lista jest krótka i wymowna. Brakuje hasła Zero Trust - koncepcji, która w 2026 roku jest standardem architektury bezpieczeństwa w USA (OMB Memorandum M-22-09 z 2022), CISA ZTMM, NSA Guidance. Brakuje SBOM (Software Bill of Materials) - którą Executive Order 14028 uczynił elementem federal procurement, a która w UE przez Cyber Resilience Act staje się obowiązkiem producentów. Brakuje DFIR jako osobnego hasła, chociaż forensic analysis i incident response są obecne. Brakuje threat hunting jako osobnej praktyki, odróżnionej od pasywnego monitoringu. Brakuje red team i purple team. Brakuje TLP (Traffic Light Protocol), który jest standardem klasyfikacji threat intelligence. Brakuje CVE, CVSS i EPSS jako systemów scoringu. W glosariuszu, który ma sześćdziesiąt dwa hasła, każde z tych brakujących pojęć byłoby uzasadnione.
Brak regulacji europejskich jest oczywisty i deklarowany. Brak NIS2, DORA, Cyber Resilience Act, eIDAS 2.0, CER Directive - to nie jest zarzut, to jest fakt wynikający z zakresu. IAPP zapowiada internacjonalizację. Do czasu jej publikacji polska kancelaria musi prowadzić własny dopisek - i trzymać go w tym samym pliku, w którym trzyma glosariusz IAPP.
Pytanie, którego autorzy nie zadali
Kto jest adresatem tego glosariusza. IAPP adresuje go do prawników in-house w amerykańskich korporacjach, do kancelaryjnych zespołów cybersecurity, do certyfikowanych CIPP/US i CIPM. Dla tych grup jest referencją pierwszego wyboru. Dla polskiej kancelarii piętnastoosobowej doradzającej sektorowi MŚP ten sam dokument jest narzędziem drugiego wyboru - wartościowym pod warunkiem, że kancelaria ma własną nakładkę europejską. Bez tej nakładki glosariusz usypia, bo podaje jeden termin tam, gdzie w polskiej rzeczywistości są cztery.
To jest różnica między słownikiem referencyjnym a słownikiem operacyjnym. IAPP wykonał pierwszy. Drugi czeka.
Co z tego wynika
Glosariusz IAPP polecam każdej kancelarii pracującej z klientami korporacyjnymi wchodzącymi na rynek amerykański, z umowami pod prawem stanu Delaware lub Nowego Jorku, z klauzulami breach notification w kontraktach transatlantyckich, z doradztwem cyber insurance (hostile acts exclusion jest tu wzorcowo opisane). Trzymam go w zakładkach obok tekstu RODO, NIS2 i DORA.
Nie polecam go jako jedynego słownika. Kancelaria, która zbuduje wewnętrzną bibliotekę cybersecurity wyłącznie na IAPP, nauczy młodszych prawników amerykańskiej taksonomii - a następnie ci prawnicy pójdą do klienta i nie zadadzą pytania o UKSC, DORA ani NIS2, bo w ich siatce pojęciowej te pojęcia nie istnieją. Dla polskiej praktyki jest to ryzyko operacyjne, nie akademickie.
Materiał warto przeczytać. Warto go przeczytać w parze z tekstem rozporządzenia 2022/2554 (DORA) i dyrektywy 2022/2555 (NIS2). Glosariusz i dyrektywy nie są wymienne - są komplementarne.
IAPP Cybersecurity Law Key Terms (styczeń 2026, 13 stron, 62 hasła) to solidny amerykański słownik referencyjny, z literalnymi cytatami ustaw i orzeczeń (CFAA, CCPA, HIPAA, NY DFS, NIST) - wartościowy przy doradztwie transatlantyckim, cyber insurance i umowach pod prawem amerykańskim. Dla polskiej praktyki wymaga nałożenia warstwy europejskiej: jedno hasło breach w IAPP to w Polsce cztery obowiązki zgłoszeniowe (RODO 72h, UKSC 24h, DORA 4/24/720h, NIS2 24/72h), a supply chain attack to obowiązki z art. 28 DORA, art. 21 NIS2 i art. 32 RODO. Zanim udostępnicie glosariusz zespołowi - dopiszcie jednostronicowy wkładkę MateMatic mapującą sześć kluczowych haseł (breach, data breach, incident response, supply chain attack, personal information, critical infrastructure) na polski compound regime, żeby młodszy prawnik nie trafił do klienta z amerykańską taksonomią w głowie.