NIS2, DORA i AI Act weszły już w życie. Czy to koniec wyzwań dla zespołów compliance i cybersec?

AI Act już działa

Choć unijny AI Act formalnie wszedł w życie, jego przepisy będą wdrażane stopniowo. Od 2 lutego 2025 r. na terenie Europejskiego Obszaru Gospodarczego (EOG) zaczął obowiązywać zakaz stosowania systemów sztucznej inteligencji uznanych za stwarzające „nieakceptowalne ryzyko”. Oznacza to, że firmy nie mogą wdrażać m.in. systemów społecznej oceny obywateli (social scoring) ani technologii masowego zbierania danych biometrycznych z internetu.

Kolejny ważny etap nastąpi 2 sierpnia 2025 r. – twórcy generatywnej AI (np. firm rozwijających duże modele językowe i obrazowe) zostaną zobowiązani do minimalizowania ryzyk systemowych oraz dokumentowania środków cyberbezpieczeństwa. W praktyce oznacza to konieczność szczegółowego raportowania potencjalnych zagrożeń oraz wdrażania procedur ograniczających negatywne skutki działania AI.

Nowe przepisy zwiększają kompetencje regulatorów, którzy zyskają szersze możliwości kontroli i egzekwowania zgodności. Firmy wykorzystujące AI nie mogą traktować AI Act jako jednorazowego obowiązku – to długoterminowy proces wymagający ciągłego dostosowywania strategii compliance i monitorowania wdrożonych systemów. Brak zgodności może skutkować poważnymi konsekwencjami prawnymi i finansowymi.

NIS2 – większe bezpieczeństwo i nowe ryzyka

Nowe przepisy mogą nie tylko zwiększyć bezpieczeństwo firm, ale także stać się narzędziem szantażu dla cyberprzestępców. Podobnie jak po wprowadzeniu RODO, cybeprzestępcy mogą wykorzystywać groźbę wysokich kar do wymuszania okupu. Jeśli organizacja nie spełni wymogów NIS2, grożą jej sankcje sięgające 10 mln euro lub 2% globalnych przychodów – a atakujący mogą to wykorzystać, żądając zapłaty w zamian za milczenie o lukach w zabezpieczeniach.

Jednocześnie firmy objęte dyrektywą będą zmuszone do podniesienia standardów cyberbezpieczeństwa, co może skierować uwagę hakerów na mniejsze podmioty, które nie podlegają nowym regulacjom i w związku z tym mogą być słabiej zabezpieczone.



Znane zagrożenia, większe konsekwencje

W minionym roku liczba wycieków danych osiągnęła rekordowy poziom – tylko w USA naruszenia bezpieczeństwa dotknęły ponad 353 miliony użytkowników . Cyberprzestępcy coraz częściej wykorzystują skradzione loginy i hasła oraz kupują gotowe narzędzia do ataków, które są dostępne na czarnym rynku. To sprawia, że nawet mniej zaawansowani cyberprzestępcy mogą przeprowadzać skuteczne i dobrze zaplanowane kampanie.

Dodatkowo rozwój generatywnej sztucznej inteligencji sprawia, że oszustwa oparte na socjotechnice stają się coraz bardziej wiarygodne. AI pomaga przestępcom lepiej podszywać się pod firmy i klientów oraz znajdować słabo zabezpieczone systemy. Organizacje, które nie podniosą poziomu ochrony, ryzykują nie tylko cyberatakami, ale także konsekwencjami prawnymi – globalni regulatorzy coraz częściej przyglądają się firmom, które nie dbają o prywatność i bezpieczeństwo danych.

AI a wyzwania dla compliance i ochrony danych

Wraz z dynamicznym rozwojem sztucznej inteligencji rośnie ryzyko naruszeń prywatności i powstają nowe obowiązki dla firm. Modele AI często są trenowane na ogromnych zbiorach danych, które mogą pochodzić z internetu lub baz klientów. Jeśli organizacje nie uzyskały na to wyraźnej zgody, narażają się na ryzyko prawne – czego doświadczył LinkedIn w Wielkiej Brytanii. Po interwencji regulatora (ICO) platforma musiała wstrzymać wykorzystywanie danych użytkowników do trenowania AI i umożliwić im rezygnację z udziału w tym procesie.

Dodatkowym problemem jest brak pełnej kontroli nad danymi przetwarzanymi przez AI. Wiele firm może nie być w stanie skutecznie usunąć lub poprawić informacji na żądanie użytkownika, co stanowi naruszenie przepisów o ochronie danych. W odpowiedzi na te wyzwania regulatorzy na całym świecie intensyfikują prace nad nowymi przepisami, np. w USA kilka stanów przygotowuje własne regulacje dotyczące AI.

Nowe regulacje, rozwój sztucznej inteligencji i coraz bardziej zaawansowane cyberataki sprawiają, że organizacje muszą nieustannie dostosowywać swoje strategie bezpieczeństwa. Zespoły ds. compliance i cyberbezpieczeństwa stoją przed wyzwaniem nie tylko spełnienia nowych wymogów prawnych, ale także skutecznej ochrony danych w dynamicznie zmieniającym się środowisku. Aby ograniczyć ryzyko i uniknąć kosztownych konsekwencji, warto skupić się na kilku kluczowych działaniach:

•  Śledzenie zmian w przepisach i dostosowywanie wewnętrznych procedur do nowych wymogów, a następnie bezwzględne przestrzeganie nowych procedur.
• Jasne określenie właścicieli danych w organizacji i stworzenie skutecznego systemu raportowania.
• Przeprowadzanie analiz wpływu na ochronę danych (DPIA) przed wdrożeniem nowych narzędzi, zwłaszcza opartych na AI, oraz wdrażanie odpowiednich zabezpieczeń.
• Regularny monitoring bezpieczeństwa, przegląd procedur i szybkie reagowanie na zagrożenia.

Źródło: Dagma