NIS2, DORA i AI Act weszły już w życie. Czy to koniec wyzwań dla zespołów compliance i cybersec?

Nowe przepisy, kluczowe decyzje sądowe (m.in. nałożenie bardzo wysokich kar na Meta, Uber czy LinkedIn) i rozwój technologii sprawiły, że ostatni rok był przełomowy dla kwestii prywatności. Jednak to dopiero początek – nadchodzące regulacje, rosnąca skala cyberzagrożeń oraz coraz łatwiejszy dostęp do zaawansowanych narzędzi AI, takich jak DeepSeek, stawiają przed firmami i regulatorami jeszcze większe wyzwania. Dodatkowo możliwe zmiany w podejściu do międzynarodowych przepisów nowej administracji USA mogą wprowadzić niemałe zamieszanie na globalnym rynku. W efekcie zespoły ds. bezpieczeństwa i zgodności muszą przygotować się na rok pełen niepewności i dynamicznych zmian.

AI Act już działa

Choć unijny AI Act formalnie wszedł w życie, jego przepisy będą wdrażane stopniowo. Od 2 lutego 2025 r. na terenie Europejskiego Obszaru Gospodarczego (EOG) zaczął obowiązywać zakaz stosowania systemów sztucznej inteligencji uznanych za stwarzające „nieakceptowalne ryzyko”. Oznacza to, że firmy nie mogą wdrażać m.in. systemów społecznej oceny obywateli (social scoring) ani technologii masowego zbierania danych biometrycznych z internetu.

Kolejny ważny etap nastąpi 2 sierpnia 2025 r. – twórcy generatywnej AI (np. firm rozwijających duże modele językowe i obrazowe) zostaną zobowiązani do minimalizowania ryzyk systemowych oraz dokumentowania środków cyberbezpieczeństwa. W praktyce oznacza to konieczność szczegółowego raportowania potencjalnych zagrożeń oraz wdrażania procedur ograniczających negatywne skutki działania AI.

Nowe przepisy zwiększają kompetencje regulatorów, którzy zyskają szersze możliwości kontroli i egzekwowania zgodności. Firmy wykorzystujące AI nie mogą traktować AI Act jako jednorazowego obowiązku – to długoterminowy proces wymagający ciągłego dostosowywania strategii compliance i monitorowania wdrożonych systemów. Brak zgodności może skutkować poważnymi konsekwencjami prawnymi i finansowymi.

NIS2 – większe bezpieczeństwo i nowe ryzyka

Nowe przepisy mogą nie tylko zwiększyć bezpieczeństwo firm, ale także stać się narzędziem szantażu dla cyberprzestępców. Podobnie jak po wprowadzeniu RODO, cybeprzestępcy mogą wykorzystywać groźbę wysokich kar do wymuszania okupu. Jeśli organizacja nie spełni wymogów NIS2, grożą jej sankcje sięgające 10 mln euro lub 2% globalnych przychodów – a atakujący mogą to wykorzystać, żądając zapłaty w zamian za milczenie o lukach w zabezpieczeniach.

Jednocześnie firmy objęte dyrektywą będą zmuszone do podniesienia standardów cyberbezpieczeństwa, co może skierować uwagę hakerów na mniejsze podmioty, które nie podlegają nowym regulacjom i w związku z tym mogą być słabiej zabezpieczone.

Wejście w życie dyrektywy NIS2 to sygnał dla wszystkich firm, nie tylko tych objętych nowymi regulacjami, że cyberbezpieczeństwo musi stać się priorytetem. Organizacje, które nie podlegają dyrektywie, nie mogą zakładać, że są poza strefą ryzyka – wręcz przeciwnie, właśnie teraz mogą stać się celem ataków. Tymczasem aż 41% polskich firm wciąż nie korzysta z oprogramowania zabezpieczającego, a jedynie 32% regularnie testuje swoje systemy pod kątem podatności. W obliczu rosnącej skali zagrożeń taki poziom przygotowania jest niewystarczający

Kamil Sadkowski

analityk laboratorium antywirusowego ESET

Znane zagrożenia, większe konsekwencje

W minionym roku liczba wycieków danych osiągnęła rekordowy poziom – tylko w USA naruszenia bezpieczeństwa dotknęły ponad 353 miliony użytkowników . Cyberprzestępcy coraz częściej wykorzystują skradzione loginy i hasła oraz kupują gotowe narzędzia do ataków, które są dostępne na czarnym rynku. To sprawia, że nawet mniej zaawansowani cyberprzestępcy mogą przeprowadzać skuteczne i dobrze zaplanowane kampanie.

Dodatkowo rozwój generatywnej sztucznej inteligencji sprawia, że oszustwa oparte na socjotechnice stają się coraz bardziej wiarygodne. AI pomaga przestępcom lepiej podszywać się pod firmy i klientów oraz znajdować słabo zabezpieczone systemy. Organizacje, które nie podniosą poziomu ochrony, ryzykują nie tylko cyberatakami, ale także konsekwencjami prawnymi – globalni regulatorzy coraz częściej przyglądają się firmom, które nie dbają o prywatność i bezpieczeństwo danych.

AI a wyzwania dla compliance i ochrony danych

Wraz z dynamicznym rozwojem sztucznej inteligencji rośnie ryzyko naruszeń prywatności i powstają nowe obowiązki dla firm. Modele AI często są trenowane na ogromnych zbiorach danych, które mogą pochodzić z internetu lub baz klientów. Jeśli organizacje nie uzyskały na to wyraźnej zgody, narażają się na ryzyko prawne – czego doświadczył LinkedIn w Wielkiej Brytanii. Po interwencji regulatora (ICO) platforma musiała wstrzymać wykorzystywanie danych użytkowników do trenowania AI i umożliwić im rezygnację z udziału w tym procesie.

Dodatkowym problemem jest brak pełnej kontroli nad danymi przetwarzanymi przez AI. Wiele firm może nie być w stanie skutecznie usunąć lub poprawić informacji na żądanie użytkownika, co stanowi naruszenie przepisów o ochronie danych. W odpowiedzi na te wyzwania regulatorzy na całym świecie intensyfikują prace nad nowymi przepisami, np. w USA kilka stanów przygotowuje własne regulacje dotyczące AI.

Nowe regulacje, rozwój sztucznej inteligencji i coraz bardziej zaawansowane cyberataki sprawiają, że organizacje muszą nieustannie dostosowywać swoje strategie bezpieczeństwa. Zespoły ds. compliance i cyberbezpieczeństwa stoją przed wyzwaniem nie tylko spełnienia nowych wymogów prawnych, ale także skutecznej ochrony danych w dynamicznie zmieniającym się środowisku. Aby ograniczyć ryzyko i uniknąć kosztownych konsekwencji, warto skupić się na kilku kluczowych działaniach:

• Śledzenie zmian w przepisach i dostosowywanie wewnętrznych procedur do nowych wymogów, a następnie bezwzględne przestrzeganie nowych procedur.
• Jasne określenie właścicieli danych w organizacji i stworzenie skutecznego systemu raportowania.
• Przeprowadzanie analiz wpływu na ochronę danych (DPIA) przed wdrożeniem nowych narzędzi, zwłaszcza opartych na AI, oraz wdrażanie odpowiednich zabezpieczeń.
• Regularny monitoring bezpieczeństwa, przegląd procedur i szybkie reagowanie na zagrożenia.

Ochrona danych często bywa postrzegana jako biurokratyczny obowiązek, tymczasem to realna szansa na wzmocnienie pozycji rynkowej. Firmy, które strategicznie podchodzą do cyberbezpieczeństwa i compliance, nie tylko minimalizują ryzyko kosztownych naruszeń, ale także budują zaufanie klientów i partnerów. W czasach rosnących zagrożeń i coraz bardziej rygorystycznych regulacji organizacje powinny traktować bezpieczeństwo jako inwestycję, a nie dodatkowy koszt

Paweł Jurek

Business Development Director, DAGMA Bezpieczeństwo IT

Źródła:
Raport „Cyberportret polskiego biznesu. Bezpieczeństwo cyfrowe oczami ekspertów i pracowników”, stworzony przez ESET i DAGMA Bezpieczeństwo IT
TRC Annual Data Breach Report
LinkedIn suspends AI training using UK user data | BBC