Do napisania tego tekstu zainspirowały mnie dyskusje panelistów podczas wczoraj zakończonej konferencji „PINT 25 – Prawo i Nowe Technologie”, organizowanej przez Okręgową Izbę Radców Prawnych w Krakowie. To wydarzenie kolejny rok stanowi przestrzeń do spotkania praktyków prawa, nowych technologii i biznesu. Tym razem szczególnie mocno wybrzmiały słowa prof. Dariusza Szostka o zbliżającej się rocznicy braku implementacji dyrektywy NIS2 do polskiego prawa, czyli nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Ten kontekst dobrze pokazuje pewien szerszy problem – w Polsce wciąż częściej czekamy (lub nie 😉) na ramy prawne, niż samodzielnie podejmujemy działania.
Dlaczego czekamy na przepisy zamiast działać?
Zastanawiam się, dlaczego tak wiele firm i instytucji traktuje implementację dyrektyw unijnych jako punkt startowy, a nie inspirację do wcześniejszych działań. W przypadku NIS2 mamy do czynienia z precyzyjnymi i trafnymi wytycznymi, które jasno wskazują, w jaki sposób podnosić poziom cyberbezpieczeństwa. Ich wdrożenie nie wymaga czekania na krajowy akt prawny. Mimo to w praktyce wiele podmiotów odkłada decyzje, tłumacząc się niepewnością regulacyjną czy ograniczeniami formalnymi. Problem polega na tym, że zagrożenia w cyberprzestrzeni nie poczekają na implementację prawa – a każdy dzień zwłoki to kolejne ryzyka dla biznesu.
AI Literacy – obowiązek czy realna potrzeba?
Podobne pytania pojawiają się przy art. 4 AI Act, który nakłada na państwa członkowskie obowiązek promowania edukacji w zakresie sztucznej inteligencji (AI literacy). To bez wątpienia krok w dobrym kierunku, ale niepokojąca jest myśl, że w wielu firmach do działań w tym obszarze dojdzie dopiero wtedy, gdy pojawi się obowiązek prawny. Czy naprawdę musimy czekać, aż ustawodawca nakaże nam szkolić pracowników z technologii, która już dziś realnie wpływa na decyzje biznesowe i operacyjne? Edukacja w zakresie AI powinna być naturalnym elementem rozwoju organizacji – nie tylko formalnym wymogiem.
Od audytu do kultury bezpieczeństwa
Konferencja uświadomiła mi również, że wiele organizacji wciąż działa w modelu reaktywnym: „robię tylko to, co każe audytor”. Taki sposób myślenia pozwala przetrwać kontrolę, ale nie buduje realnej odporności ani przewagi konkurencyjnej. Kluczowym wyzwaniem jest więc przejście od compliance jako obowiązku do compliance jako elementu kultury organizacyjnej. Cyberbezpieczeństwo czy odpowiedzialne wykorzystanie AI muszą być postrzegane nie jako koszt, ale jako inwestycja w rozwój i zaufanie klientów. To wymaga świadomego przywództwa, spójnej komunikacji i codziennych działań, które zmieniają praktyki pracowników.
Największe bariery w zmianach
Co naprawdę blokuje zmiany w zakresie podnoszenia cyberodporności i wdrażania AI? Czy to brak środków finansowych, niedobór wiedzy, czy raczej opór ludzi wobec nowych rozwiązań? W mojej praktyce obserwuję, że największym problemem jest czynnik ludzki. Brak pieniędzy można uzupełnić poprzez planowanie i poszukiwanie źródeł finansowania. Brak wiedzy – przez edukację i współpracę z ekspertami. Ale jeśli menedżerowie i pracownicy nie akceptują potrzeby zmian, żadna strategia nie przyniesie oczekiwanych efektów. Dlatego budowanie świadomości i przekonywanie do wartości płynących z bezpieczeństwa i etycznego wykorzystania technologii jest tak kluczowe.
Interdyscyplinarne zespoły – warunek skuteczności
Podczas wykładu inauguracyjnego Prezesa UODO r.pr. Mirosława Wróblewskiego oraz paneli wielokrotnie podkreślano, że nowe technologie wymagają nowych sposobów pracy. Nie wystarczy powierzyć projektów IT jedynie zespołom technicznym czy działowi prawnemu. Sukces możliwy jest tylko wtedy, gdy w organizacji powstają zespoły interdyscyplinarne – łączące kompetencje technologiczne, prawne, compliance, zarządcze i etyczne. Takie podejście pozwala patrzeć na projekt z wielu perspektyw: bezpieczeństwa, prawa, biznesu i użytkownika końcowego. To właśnie w tej różnorodności powstają rozwiązania naprawdę odporne, użyteczne i zgodne z regulacjami.
Prawnicy 2.0 – most między światem prawa i technologii
Hasło konferencji przypomniało, jak istotna jest rola prawników nowej generacji – określanych niekiedy jako „prawnicy 2.0”. To specjaliści, którzy nie tylko znają przepisy, ale również rozumieją działanie technologii, potrafią pracować z zespołami inżynierów, oceniać ryzyka algorytmiczne czy projektować procesy zgodne z regulacjami technicznymi. Bez tego połączenia wiedzy prawnej i technologicznej trudno będzie skutecznie doradzać firmom, które wdrażają AI, automatyzację czy rozwiązania oparte na danych. Prawnik 2.0 nie jest jedynie strażnikiem zgodności – staje się partnerem biznesowym i doradcą strategicznym.
IT managerowie 2.0 – kompetencje komplementarne
Podobnie jak prawnicy powinni rozwijać swoje kompetencje w obszarach nowych technologii, tak samo managerowie IT – szczególnie ci odpowiedzialni za wdrożenia nowych technologii – powinni systematycznie poszerzać wiedzę o obowiązujące regulacje, compliance, etykę i prawa podstawowe. Dzięki temu będą lepiej identyfikować i rozumieć wynikające ryzyka, a także skuteczniej komunikować się z prawnikami, specjalistami compliance czy ekspertami ds. etyki. Efektem takiego podejścia będzie zwiększenie potencjału organizacji, szybsze wprowadzanie nowych technologii na rynek oraz minimalizowanie ryzyk, które mogłyby zagrozić reputacji czy ciągłości działania firmy.
Podsumowanie
Konferencja PINT 25 pokazała, że polskie organizacje często wciąż działają reaktywnie – czekając na przepisy zamiast wyprzedzać zmiany. Tymczasem to właśnie proaktywne podejście, edukacja, budowanie kultury bezpieczeństwa, praca w interdyscyplinarnych zespołach, rozwój kompetencji „prawników 2.0” i „IT managerów 2.0” będą decydować o tym, które firmy zbudują przewagę konkurencyjną i zdobędą zaufanie rynku. NIS2 czy AI Act to nie tylko wyzwania regulacyjne, lecz także szansa na wzmocnienie biznesu – pod warunkiem, że przestaniemy czekać i zaczniemy działać.
