Jeszcze kilka lat temu wydawało się, że transformacja technologiczna dotyczy głównie firm technologicznych i ich działów IT. Dziś coraz częściej mówi się jednak o regulacjach, nowych obowiązkach prawnych i compliance.
Joanna Ostrowska: Zdecydowanie tak, szczególnie w takich sektorach jak bankowość. Przy wdrażaniu nowych technologii nie można zapominać o regulacjach. Technologie są coraz bardziej zaawansowane, wielowarstwowe, coraz częściej wykorzystują AI i dotykają wiele obszarów regulacyjnych. Mówimy o cyberbezpieczeństwie, bezpieczeństwie danych czy odporności cyfrowej. Każdy z tych obszarów podlega regulacjom, dlatego przy wdrażaniu nowych rozwiązań trzeba brać pod uwagę cały ekosystem regulacyjny.
Piotr Ciepiela
Czy to oznacza konieczność zmian wewnątrz organizacji?
Piotr Ciepiela: Firmy bardzo mocno odczuwają tempo zmian technologicznych. Zresztą wszyscy to widzimy jako użytkownicy – technologia jest dziś wszędzie. W ostatnich latach staliśmy się obywatelami cyfrowymi i oczekujemy od firm usług dopasowanych do tego świata. Firmy muszą więc reagować szybciej niż kiedyś. Zmienia się nie tylko sposób zarządzania, ale też ład korporacyjny. Jeszcze niedawno zmiany technologiczne planowano w perspektywie pięciu czy dziesięciu lat. Dziś mówimy raczej o sześciu albo dwunastu miesiącach. Jako ciekawostkę mogę dodać, że mieliśmy projekty, w których w trakcie wdrożenia trzeba było trzykrotnie zmieniać technologię, bo rozwój rynku był tak szybki. Firmy widzą, że aby dostarczyć gotowy produkt, muszą zmieniać zarówno sposób zarządzania, jak i sposób tworzenia oraz wdrażania technologii.
Jak zarządzający firmami podchodzą do tych wymogów? Z jednej strony wszyscy chcą szybko wdrażać innowacje, z drugiej – pojawia się warstwa regulacyjna, której klienci często nawet nie widzą.
J.O.: To rzeczywiście jedno z największych wyzwań dla naszych klientów. Regulacji jest coraz więcej i są bardzo zróżnicowane. Dziś nie można już myśleć o compliance jako o pojedynczym projekcie prawnym do odhaczenia. Regulacje są rozproszone i trzeba dokładnie wiedzieć, które obowiązki dotyczą konkretnej technologii czy projektu wdrożeniowego. Dlatego kluczowa jest współpraca między działami prawnymi, technologicznymi, biznesowymi, zespołami ryzyka, ale też zarządem. Co ważne, same regulacje wymuszają dziś zmianę organizacyjną. Nie wystarczy już mieć procedury – regulator oczekuje, że przepisy będą realnie stosowane w praktyce.
Firmy muszą na bieżąco tłumaczyć sobie nowe regulacje.
P.C.: Rzeczywiście, czasami mówimy nawet o „galaktyce regulacji”. Dobra wiadomość jest jednak taka, że wiele z nich częściowo się pokrywa. Dlatego warto patrzeć kompleksowo, a nie analizować każdą osobno. Oczywiście, trzeba być zgodnym z każdą regulacją, ale najpierw należy dobrze zidentyfikować, które przepisy rzeczywiście mają zastosowanie do danej organizacji. Tu bardzo ważna jest współpraca z działami prawnymi. W praktyce okazuje się, że 70–80 proc. wymagań w różnych regulacjach bywa podobnych. Wiele z nich dotyczy np. cyberbezpieczeństwa, tylko skala się zmienia – wcześniej regulacjom podlegały setki podmiotów, dziś są to już tysiące. Dochodzi też AI Act, który pokazuje, jak mocno sztuczna inteligencja weszła już do przedsiębiorstw i jak istotne stało się jej regulowanie. Dlatego organizacje powinny się przygotowywać, jeszcze zanim przepisy formalnie zaczną obowiązywać.
A gdzie najczęściej dochodzi dziś do zderzenia między tempem wdrażania technologii a wymogami prawnymi? AI jest tu dobrym przykładem?
J.O.: Zdecydowanie. Widać to nawet w działaniach europejskich regulatorów i przy wydłużaniu terminów wdrożenia niektórych obowiązków. Technologia rozwija się tak szybko, że regulacjom trudno za nią nadążyć. Dlatego przepisy stają się coraz bardziej skomplikowane i wielowątkowe. Jednocześnie nie można już traktować ich wyłącznie jako zadania dla prawników. Żeby skutecznie wdrożyć nowe obowiązki, konieczne jest zaangażowanie zespołów technologicznych i bezpieczeństwa. To właśnie osoby rozumiejące procesy technologiczne, sposób przetwarzania danych i funkcjonowanie systemów są w stanie realnie wdrożyć wymagania wynikające z regulacji. Bez tej współpracy pełne dostosowanie się do nowych przepisów nie będzie możliwe.
Jak na tle Europy wypadają firmy w Polsce?
P.C.: Całkiem dobrze. Kiedy regulacje są już rozpoznane i zaczynają obowiązywać, polskie firmy potrafią się do nich dostosować. Czasami pojawia się jednak pułapka myślenia o compliance wyłącznie w kategorii zgodności z przepisami. Tymczasem coraz więcej przedsiębiorstw rozumie, że kwestie bezpieczeństwa czy AI to często sprawa być albo nie być – również z punktu widzenia reputacji i potencjalnych kosztów związanych z cyberatakiem albo wyciekiem danych. Rośnie więc świadomość, że bezpieczeństwo cyfrowe trzeba traktować jak wodę, prąd czy instalację przeciwpożarową – jako absolutny fundament funkcjonowania biznesu.
Czyli firmy zaczynają traktować bezpieczeństwo i compliance jako inwestycję w długoterminowy rozwój i reputację?
J.O.: Tak. Bezpieczeństwo i compliance stają się dziś strategicznymi decyzjami biznesowymi, szczególnie w obszarze odporności cyfrowej i cyberbezpieczeństwa. To już nie jest wyłącznie odpowiedzialność działu IT czy bezpieczeństwa. Zarządy mają świadomość, że są to inwestycje, które trzeba podjąć teraz, żeby w przyszłości budować przewagę konkurencyjną i stabilność organizacji. Widzimy więc bardzo intensywne prace nad wdrażaniem nowych rozwiązań właśnie po to, by firmy mogły bezpiecznie rozwijać się w kolejnych latach.
—not. Jakub Mikulski
Partner rozmowy: EY Polska
