Transformacja cyfrowa w biznesie. Wyzwania w zakresie compliance i regulacji

Aby w pełni wykorzystać potencjał, jaki wiąże się z transformacją cyfrową, trzeba wiedzieć, jak to zrobić. Celem jest wzrost efektywności, bezpieczeństwo operacyjne i trwałe zaufanie klientów, a narzędziem – przemyślana strategia compliance. Poniżej podejmujemy próbę przedstawienia w dużym skrócie filarów takiej strategii.

Rosnący ciężar regulacyjny

DMA, DSA, NIS2, DORA, RODO, AI Act, ESG… Na pierwszy rzut oka wygląda to jak katalog skrótów dla wtajemniczonych, ale to nic innego jak zestaw regulacji, które coraz silniej wpływają na biznes – od cyberbezpieczeństwa (NIS2, DORA), przez compliance w zakresie przetwarzania danych i funkcjonowania w sieci (RODO, DSA, DMA), po zrównoważony rozwój i raportowanie (ESG). Przepisy te są coraz bardziej szczegółowe i dynamicznie się zmieniają – często szybciej, niż można je wdrożyć. Dodatkowe wyzwanie stanowią orzecznictwo sądów i interpretacje organów nadzorczych, które również trzeba systematycznie śledzić. Utrzymanie zgodności bez wsparcia specjalistów staje się coraz trudniejsze, wobec czego wzrasta rola prawników i specjalistów compliance, którzy z tłumaczy przepisów stali się dla biznesu partnerami w budowaniu strategii operacyjnej firmy.

Dane – kluczowy zasób i ryzyko

Firmy przetwarzają coraz więcej danych – zarówno osobowych, jak i biznesowych (np. dane produkcyjne, informacje o łańcuchach dostaw czy dane dotyczące wydajności maszyn i systemów). Trudno przecenić wartość tych danych dla optymalizacji działalności przedsiębiorstwa. Należy jednak pamiętać, że ich przetwarzanie podlega ścisłej regulacji – zarówno na poziomie unijnym, jak i krajowym.

Firmy powinny zadbać o zgodność przetwarzania danych z prawem także w kontekście współpracy z partnerami zewnętrznymi, dostawcami technologii oraz operatorami usług chmurowych. Brak przejrzystych procedur i odpowiednich zabezpieczeń może prowadzić do poważnych konsekwencji prawnych, finansowych i wizerunkowych.

Cyberbezpieczeństwo jako kwestia regulacyjna

W miarę postępującej cyfryzacji i zależności od systemów OT (Operational Technology, technologie operacyjne), wzrasta podatność biznesu na ataki cybernetyczne. W odpowiedzi na to zagrożenie, na poziomie unijnym przyjęta została dyrektywa NIS2 (Network and Information Security Directive), która dla wielu sektorów gospodarki zmieniła postrzeganie cyberbezpieczeństwa jako fakultatywnego dodatku, przekształcając je w obowiązek prawny. W Polsce implementacja NIS2 odbywa się w drodze nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która aktualnie znajduje się na etapie projektu rządowego.

Dla wielu firm oznacza to szereg nowych obowiązków obwarowanych surowymi sankcjami, takich jak audyty polityk bezpieczeństwa, inwestycje w nowe zabezpieczenia organizacyjne i techniczne oraz wdrożenie systemów zarządzania incydentami.

Incydenty bezpieczeństwa mogą generować wielomilionowe straty, o czym wiele firm zdążyło się niestety dotkliwie przekonać. Atak ransomware na jednego z największych na świecie producentów aparatów słuchowych – duńską firmę Demant – spowodował straty szacowane na ponad 95 mln dolarów i trwałe zakłócenie w globalnym łańcuchu dostaw. Firma zmuszona była wyłączyć całą swoją wewnętrzną infrastrukturę IT, a wskutek ataku ucierpiały systemy ERP przedsiębiorstwa oraz zakłady produkcyjne i dystrybucyjne na całym świecie, w tym w Polsce. W serii ataków NotPetya z 2017 r. tacy giganci, jak Maersk czy FedEx ponieśli straty w wysokości ponad 300 mln dolarów każdy.1 W wyniku innego ataku ransomware norweski producent aluminium Norsk Hydro stracił 70 mln dolarów, a naruszenie dotknęło wszystkich 35 000 pracowników firmy w 40 krajach, blokując pliki na tysiącach serwerów i komputerów.2

W świetle powyższego, konstatacja, że warto zadbać o cyberbezpieczeństwo firmy, wydaje się być truizmem.

Kto odpowiada za decyzje algorytmów

Firmy prześcigają się w pomysłach na zastosowania sztucznej inteligencji. Stawka jest wysoka – istotne zwiększenie efektywności procesów przekłada się na gigantyczne oszczędności, a kto szybciej skaluje innowacje, automatycznie zyskuje przewagę konkurencyjną. Poważne są jednak także ewentualne konsekwencje braku zgodności.

W ubiegłym roku amerykański federalny regulator właściwy w sprawach bezpieczeństwa ruchu drogowego stwierdził, że „krytyczna luka bezpieczeństwa” w systemie Autopilot Tesli przyczyniła się do co najmniej 467 kolizji, wskutek których 14 osób poniosło śmierć, a wiele innych odniosło poważne obrażenia (ustalenia pochodzą z analizy przeprowadzonej w latach 2020–2023, obejmującej 956 wypadków).3

Stosowanie systemów opartych na sztucznej inteligencji (AI), uczeniu maszynowym czy robotyce przemysłowej generuje pytania o odpowiedzialność za decyzje podejmowane przez algorytmy. Próbą odpowiedzi na to wyzwanie jest przyjęty w 2024 r. przez Parlament Europejski Akt o Sztucznej Inteligencji (AI Act), który kategoryzuje systemy AI według poziomu ryzyka oraz wprowadza szczegółowe wymagania dla ich stosowania.

Dla biznesu oznacza to konieczność zidentyfikowania rozwiązań, które objęte są nowymi regulacjami, przeprowadzenia ocen zgodności, analizy konsekwencji prawnych wdrożeń AI, a także wprowadzenia mechanizmów audytu i nadzoru nad ich działaniem. Z uwagi na stopień zaawansowania tej technologii, dla zarządzania zgodnością konieczne będzie tworzenie interdyscyplinarnych zespołów ekspertów, składających się z inżynierów, prawników, specjalistów ds. compliance, a w niektórych przypadkach również etyków.

Bezpieczeństwo łańcucha dostaw

Transformacja cyfrowa dotyka także łańcuchów dostaw. Jednak integracja technologiczna z partnerami biznesowymi oznacza także konieczność zapewnienia zgodności całej infrastruktury z przepisami prawa.

Przepisy takie jak RODO, NIS2 czy zasady ESG wymagają nie tylko własnych procedur compliance, ale też ścisłej kontroli dostawców i partnerów biznesowych. Z tego względu szczególnie istotne jest zadbanie o rzetelne due diligence kontrahentów, weryfikacja i ewentualna renegocjacja zapisów umownych regulujących kwestie compliance oraz zapewnienie mechanizmu zarządzania incydentami w całym łańcuchu dostaw.

Kultura zgodności – nowe oblicze compliance

Transformacja cyfrowa to przede wszystkim duża szansa dla biznesu, ale jej powodzenie zależy od zdolności firm do odnalezienia się w coraz bardziej wymagającym środowisku regulacyjnym. Compliance nie pełni już jedynie dla biznesu funkcji pomocniczej, a stało się jednym z elementów kreujących strategię operacyjną firm.

Zintegrowanie wymagań regulacyjnych i zarządzania zgodnością z długoterminowymi planami rozwoju firmy wymaga nie tylko wdrożenia narzędzi technicznych, ale także kształtowania kultury organizacyjnej opartej na budowaniu świadomości pracowników, etyce i transparentności. Wdrażanie programów compliance, szkoleń, systemów ochrony sygnalistów czy mechanizmów due diligence nie powinno być ujmowane jedynie w kategorii kosztu, ponieważ w perspektywie długofalowej jest to inwestycja w bezpieczeństwo, renomę i przewagę konkurencyjną firmy. 

Maciej Kubiak

Specjalizuje się w zagadnieniach prawa autorskiego, mediów, filmowego i prasowego, IT i nowych technologii, reklamy i własności przemysłowej oraz ochrony dóbr osobistych. Reprezentuje klientów w sporach sądowych związanych z ochroną własności intelektualnej, renomy oraz w sprawach gospodarczych.

Kontakt: m.kubiak@skplaw.pl.

Strony internetowe: www.skplaw.pl, www.skpipblog.pl.

Aleksandra Kubiś

Specjalizuje się w prawie nowych technologii, ochronie danych osobowych oraz własności intelektualnej. Doradza start-upom, firmom technologicznym i międzynarodowym korporacjom w zakresie zgodności z regulacjami prawnymi dotyczącymi innowacyjnych rozwiązań, umów IT oraz cyberbezpieczeństwa.

Kontakt: a.kubis@skplaw.pl.

Strony internetowe: www.skplaw.pl, www.skpipblog.pl.

źródło: Automatyka 5/2025