Jak więc przedsiębiorcy mają sobie radzić z tym natłokiem regulacji, skoro nawet sami prawnicy mają z problem z opanowaniem całości czekających nas zmian?

Wydaje mi się, że najważniejszym zabezpieczeniem będzie w tym wypadku posiadanie odpowiednio przeszkolonego działu prawnego, który jest świadomy tego, co się zmienia i jakie będą tego skutki. Wiem, że trudno pogodzić obsługę bieżących kontraktów biznesowych, przygotowywanie umów, które generują przychody z obserwowaniem tak wielu zmian i prognozowaniem ich perspektywicznych konsekwencji, ale innej drogi nie ma. Być może w niektórych przypadkach działy prawne trzeba będzie rozbudować, szczególnie w przedsiębiorstwach, które zajmują się bardziej newralgicznymi rozwiązaniami czy też obsługują bardziej newralgiczne sektory.

A co z mniejszymi firmami, które nie są w stanie stworzyć własnego działu prawnego, czy może nawet zatrudnić prawnika na zlecenie?

Przede wszystkim, nie ma co panikować. Pamiętamy jak straszono, że RODO wywróci wszystko do góry nogami, a tymczasem w rzeczywistości nic takiego nie miało miejsca. Owszem, trzeba było wprowadzić pewne zmiany, pojawiła się konieczność podjęcia pewnych działań, które z dzisiejszej perspektywy są zazwyczaj oceniane pozytywnie, ale żaden armagedon się nie wydarzył. Podobnie będzie w przypadku tych nowych zmian z zakresu cyberbezpieczeństwa. Pojawią się przewodniki, oferty szkoleniowe, rekomendacje, bazy dobrych praktyk i wiele innych tego typu pomocy, które pomogą zapanować nad natłokiem nowych regulacji i wynikających z nich obowiązków. W każdym biznesie trzeba umieć analizować ryzyko. Nawet mały przedsiębiorca powinien potrafić oszacować ryzyko związane z wprowadzeniem nowych regulacji, by stwierdzić, czy wystarczy mu zaznajomienie się z przewodnikiem, czy też potrzebuje udziału w szkoleniu, a być może będzie musiał skorzystać z porady kancelarii prawnej lub zatrudnić u siebie właściwego specjalistę. Pojawią się na pewno na uczelniach propozycje kształcenia nowych, potrzebnych kompetencji. Nikt jednak żadnego przedsiębiorcy nie zwolni od podjęcia decyzji, z jakiej możliwości poradzenia sobie z wyzwaniami regulacyjnymi powinien skorzystać.

Gdy pojawiło się RODO, to mocno podkreślano, że nie wskazuje ono konkretnych, wymaganych do wprowadzenia rozwiązań, tylko bazuje na analizie ryzyka. Ten, którego przepisy dotyczą, sam ocenia zagrożenia i podejmuje stosowne działania. Czy to podejście będzie utrzymane również w tych nowych regulacjach dotyczących cyberbezpieczeństwa?

Tak, ten sposób formułowania wymagań został zachowany. Możemy go zauważyć zarówno w kontekście aktu o sztucznej inteligencji, jak i aktu o cyberbezpieczeństwie horyzontalnym. Chociaż pojawiają się również zarzuty, że nowe akty prawne są zbyt szczegółowe w niektórych kwestiach. Jak jednak rozumiem prawodawcę, konkretne zwroty są tylko po to, żeby umożliwić łatwiejsze powiązanie działań z normami technicznymi czy obowiązującymi standardami. Moim zdaniem, nie jest to jednak w żadnym wypadku odejście od sposobu stanowienia prawa wprowadzonego wraz z pojawieniem się RODO.

Z punktu widzenia firm, które działają na rynku, zawsze ważna jest kwestia kosztów dostosowania się do nowych regulacji. W jakim zakresie unijny prawodawca bierze obecnie te kwestie pod uwagę?

Jako prawnikowi trudno mi o tym mówić, trzeba by raczej pytać ekonomistów, czy ludzi zarządzających budżetami w firmach. Chciałbym tylko zwrócić uwagę, że na koszty można patrzeć w różny sposób. Są badania, które pokazują, że liderzy biznesu oczekują tych nowych przepisów, bo one dają szansę zmniejszenia kosztów reakcji na cyberzagrożenia.

Czy pojawienie się tych nowych aktów prawnych, o których tutaj rozmawiamy, spowoduje z kolei wysyp nowych organów regulacyjnych, które będą zajmowały się egzekwowaniem wprowadzanych przepisów.

Tak, mają pojawić się podmioty, które miałyby prowadzić pewnego rodzaju obserwacje czy też nadzór nad realizacją nowych wymogów. Jak to się dokładnie ukształtuje, co to będą za podmioty i w jaki sposób będą funkcjonowały, to dopiero zobaczymy. Będą to albo podmioty przypisane poszczególnym aktom prawnym, albo takie o bardziej uniwersalnym, przekrojowym charakterze, odnoszące się w swojej działalności generalnie do kwestii cyberbezpieczeństwa. Pamiętajmy jednak, że pewne systemy koordynacji już się kształtują, chociażby w kontekście wymiany informacji związanych z cyberbezpieczeństwem. Nie zawsze chodzi tylko i wyłącznie o twardą kontrolę czy też ścisły nadzór. Ważne jest też tworzenie odpowiedniej infrastruktury wymiany informacji i współpracy w kontekście budowania unijnej cyberodporności. Nie zawsze bowiem przedsiębiorstwa są w stanie poradzić sobie z zagrożeniami w pojedynkę. Myślę, że osobne, wyspecjalizowane podmioty pojawią się w odniesieniu do regulacji dotyczących sztucznej inteligencji.

Rozmowa została przeprowadzona w lipcu 2023 roku.

Rozmawiał Andrzej Gontarz