Jarosław Grzywiński, prezes NASK SA, w komentarzu eksperckim dla ISBtech o nadchodzących nowościach w legislacji dot. cyberbezpieczeństwa oraz sztucznej inteligencji.
W październiku 2024 roku zacznie obowiązywać Dyrektywa NIS2, a na początku 2025 roku wejdzie w życie Rozporządzenie DORA. Te regulacje wpłyną znacząco na sektor finansowy, bankowy, energetyczny, transportowy, zbrojeniowy czy ochronę zdrowia. Nasze analizy pokazują, że wiele przedsiębiorstw z tych sektorów nie jest jeszcze gotowych do dostosowania się do nowych wymogów. Często nie mają one nawet świadomości, w jakim zakresie będą pod nie podlegać, choć pozostało im niewiele czasu. Takim spółkom potrzebna jest dodatkowe doradztwo i pomoc w zakresie wdrożeń, ekspertyz czy audytów wzmacniających poziom ciągłości działania oraz ochrony danych przed incydentami niepożądanymi.
Tematem istotnym dla funkcjonowania spółek jest również AI Act, pierwsza w historii regulacja sztucznej inteligencji na poziomie unijnym. Dotyczy ona dostawców, importerów, dystrybutorów oraz użytkowników AI i dzieli systemy sztucznej inteligencji na kategorie w oparciu o poziom ryzyka. Przedsiębiorcy już niedługo będą musieli spełnić odpowiednie obowiązki, aby móc korzystać z danego systemu lub komercjalizować jego rozwiązania. Niektóre praktyki unijny ustawodawca uznał już za niedopuszczalne, np. techniki podprogowe wpływające na decyzje zakupowe czy identyfikację twarzy w czasie rzeczywistym. W Polsce rozpoczęto właśnie proces legislacyjny AI Act.
Nasze analizy rynkowe dowodzą także, że inwestorzy i spółki publiczne szukają dodatkowych rekomendacji i zwracają coraz większą uwagę na cyberbezpieczeństwo swoich danych oraz wpływ kwestii IT na reputację. NASK wspólnie z partnerami przygotowuje właśnie wytyczne dla spółek publicznych, dotyczące zarządzania cyberbezpieczeństwem w organizacji. Cybersecurity Corporate Governance to trend zyskujący znaczenie globalnie, jesteśmy pionierem w jego wdrażaniu w Polsce. Naszym celem jest wskazanie polityk, procesów i praktyk, które powinny zostać wdrożone przez spółki publiczne w celu zapewnienia skutecznego i efektywnego nadzoru oraz ochrony nad ich systemami informatycznymi i zasobami cyfrowymi.
