Miniony rok przyniósł szereg kluczowych zmian w regulacjach dotyczących prywatności, cyberbezpieczeństwa i sztucznej inteligencji. Nowe przepisy, precedensowe decyzje sądowe oraz gwałtowny rozwój technologii sprawiły, że firmy i instytucje muszą dostosować swoje strategie do dynamicznie zmieniającego się środowiska prawnego. Choć AI Act, NIS2 i DORA już obowiązują, to dopiero początek nowych wyzwań, które mogą wpłynąć na sposób działania zespołów compliance oraz bezpieczeństwa IT.
AI Act – regulacje na rzecz bezpiecznej sztucznej inteligencji
Unijny AI Act wszedł w życie, jednak jego wdrażanie odbywa się stopniowo. Od 2 lutego 2025 r. w Europejskim Obszarze Gospodarczym zakazane będą systemy sztucznej inteligencji ocenione jako stanowiące „nieakceptowalne ryzyko”. W praktyce oznacza to zakaz wdrażania technologii społecznej oceny obywateli czy masowego gromadzenia danych biometrycznych z otwartych źródeł.
Kolejna istotna zmiana wejdzie w życie 2 sierpnia 2025 r. – firmy rozwijające generatywne AI, takie jak modele językowe czy obrazowe, będą zobligowane do minimalizowania zagrożeń systemowych oraz dokumentowania działań w zakresie cyberbezpieczeństwa. Oznacza to konieczność bieżącej analizy ryzyka, raportowania potencjalnych zagrożeń i wdrażania środków ochronnych.
Dla przedsiębiorstw oznacza to nie tylko konieczność dostosowania się do nowych regulacji, ale także ciągłe monitorowanie swoich systemów AI. Regulatorzy zyskają nowe uprawnienia do kontroli i egzekwowania zgodności, a niedostosowanie się do wymogów może skutkować poważnymi konsekwencjami finansowymi oraz prawnymi.
NIS2 – cyberbezpieczeństwo na nowym poziomie
Nowe przepisy mogą wpłynąć na wzrost bezpieczeństwa firm, ale jednocześnie mogą stać się narzędziem wykorzystywanym przez cyberprzestępców. Analogicznie do sytuacji po wdrożeniu RODO, hakerzy mogą szantażować organizacje, grożąc ujawnieniem luk w ich zabezpieczeniach i powołując się na grożące im wysokie kary. Firmy, które nie spełnią wymogów NIS2, mogą być narażone na sankcje sięgające 10 mln euro lub 2% rocznych przychodów.
Wprowadzenie nowych regulacji oznacza konieczność zwiększenia standardów cyberbezpieczeństwa, co z kolei może spowodować, że mniejsze firmy, nieobjęte nowymi przepisami, staną się bardziej atrakcyjnym celem dla cyberataków.
– Wejście w życie dyrektywy NIS2 to sygnał dla wszystkich firm, nie tylko tych objętych nowymi regulacjami, że cyberbezpieczeństwo musi stać się priorytetem. Organizacje, które nie podlegają dyrektywie, nie mogą zakładać, że są poza strefą ryzyka – wręcz przeciwnie, właśnie teraz mogą stać się celem ataków. Tymczasem aż 41% polskich firm wciąż nie korzysta z oprogramowania zabezpieczającego, a jedynie 32% regularnie testuje swoje systemy pod kątem podatności. W obliczu rosnącej skali zagrożeń taki poziom przygotowania jest niewystarczający – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Cyberzagrożenia: skala rośnie, konsekwencje również
W ubiegłym roku liczba naruszeń danych osiągnęła rekordowy poziom – tylko w USA ataki dotknęły ponad 353 miliony użytkowników. Przestępcy coraz częściej wykorzystują skradzione dane uwierzytelniające oraz kupują gotowe narzędzia do cyberataków dostępne na czarnym rynku. To sprawia, że nawet mniej zaawansowani cyberprzestępcy mogą realizować skuteczne ataki.
Dodatkowo rozwój generatywnej sztucznej inteligencji przyczynił się do wzrostu liczby ataków opartych na inżynierii społecznej. Nowoczesne systemy AI ułatwiają podszywanie się pod klientów i firmy, a także pomagają w identyfikowaniu słabo zabezpieczonych systemów. Organizacje, które nie wzmocnią swojej ochrony, mogą stać się celem cyberataków, a jednocześnie narazić się na kary ze strony regulatorów za niewłaściwą ochronę danych.
Compliance a rozwój AI – wyzwania dla firm
Coraz większe wykorzystanie sztucznej inteligencji stawia przed przedsiębiorstwami nowe wyzwania związane z prywatnością i zgodnością z przepisami. Modele AI bazują na olbrzymich zbiorach danych, które często są pobierane z internetu lub baz klientów. Jeśli firmy nie uzyskały na to zgody, mogą narazić się na konsekwencje prawne – czego przykładem jest sprawa LinkedIn w Wielkiej Brytanii. Po interwencji regulatora (ICO) platforma musiała zaprzestać wykorzystywania danych użytkowników do trenowania AI i umożliwić im rezygnację z takiego procesu.
Dodatkowym problemem jest brak pełnej kontroli nad danymi przetwarzanymi przez AI – firmy mogą mieć trudności z usunięciem lub poprawieniem informacji na żądanie użytkownika, co narusza przepisy ochrony danych osobowych. W odpowiedzi na te wyzwania regulatorzy na całym świecie intensyfikują działania mające na celu stworzenie nowych ram prawnych dotyczących AI – w USA kilka stanów już opracowuje własne regulacje w tej kwestii.
W obliczu rosnących wyzwań organizacje powinny podjąć kluczowe działania, aby zminimalizować ryzyko i uniknąć konsekwencji prawnych. Priorytetem powinno być śledzenie zmian w przepisach, dostosowanie procedur wewnętrznych do nowych wymogów oraz ich konsekwentne przestrzeganie. Istotne jest również określenie właścicieli danych w organizacji oraz wdrożenie efektywnego systemu raportowania i analizy ryzyka.
Ochrona danych często bywa postrzegana jako biurokratyczny obowiązek, tymczasem to realna szansa na wzmocnienie pozycji rynkowej. Firmy, które strategicznie podchodzą do cyberbezpieczeństwa i compliance, nie tylko minimalizują ryzyko kosztownych naruszeń, ale także budują zaufanie klientów i partnerów. W czasach rosnących zagrożeń i coraz bardziej rygorystycznych regulacji organizacje powinny traktować bezpieczeństwo jako inwestycję, a nie dodatkowy koszt – komentuje Paweł Jurek, dyrektor ds. rozwoju biznesu w DAGMA Bezpieczeństwo IT.
źródło: informacja prasowa
OFERTA
