CISO pod presją regulacyjną. „Odpowiedzialność nie idzie w parze z wpływem na decyzje biznesowe”
Kiedyś specjalista techniczny, dziś osoba odgrywająca strategiczną rolę w organizacji, łącząca kompetencje prawnika, menedżera i eksperta od technologii. Rola dyrektorów ds. bezpieczeństwa informacji ewoluuje, a sami menedżerowie mówią o nadmiarze obowiązków i rosnącej presji regulacyjnej.
Z tego artykułu dowiesz się…
- Jak zmienia się rola CISO, czyli dyrektora ds. bezpieczeństwa informacji – od specjalisty technicznego do strategicznego partnera zarządu.
- Jak menedżerowie radzą sobie z presją regulacyjną związaną z wdrażaniem NIS2, DORA, DSA i AI Act.
- Jakie nowe kompetencje zyskują na znaczeniu na rynku pracy w związku z rosnącą skalą cyberzagrożeń.
Z jednej strony rośnie skala cyberzagrożeń, z drugiej – przybywa przepisów i regulacji, które firmy muszą wdrożyć. Na menedżerów ds. bezpieczeństwa informacji, czyli CISO (Chief Information Security Officer), spadła ogromna odpowiedzialność – i to w czasie, gdy są oni potrzebni na rynku bardziej niż kiedykolwiek wcześniej. Nasi rozmówcy mówią o presji regulacyjnej, większej rotacji na stanowisku CISO, a także o stresie i wypaleniu zawodowym. Jak w ostatnich latach zmieniła się ich pozycja w organizacjach i na rynku pracy?
Nowe miejsca pracy dla specjalistów ds. cyberbezpieczeństwa
Aż 96 proc. firm odnotowało w minionym roku przynajmniej jeden incydent zagrażający cyberbezpieczeństwu. Tak wynika z tegorocznego „Barometru cyberbezpieczeństwa” KPMG. Wraz ze wzrostem skali zagrożeń przybywa regulacji i stanowisk związanych z bezpieczeństwem informacji. Z badania wynika również, że liczba firm zatrudniających CISO podwoiła się w ciągu roku. Takie stanowisko ma już co czwarta ankietowana firma.
– Rola menedżera ds. cyberbezpieczeństwa ma dziś kluczowe znaczenie i coraz wyraźniej wykracza poza obszar IT. Staje się elementem zarządzania całym ryzykiem biznesowym organizacji. To funkcja strategiczna. Osoby na tym stanowisku coraz częściej nie tylko odpowiadają za bezpieczeństwo systemów, lecz przede wszystkim wspierają zarząd w podejmowaniu decyzji. Przekładają złożone kwestie techniczne na realne konsekwencje dla biznesu, reputacji i ciągłości działania firmy. Rola takich menedżerów staje się nie tylko coraz bardziej potrzebna, ale wręcz niezbędna w każdej nowoczesnej organizacji funkcjonującej w środowisku cyfrowym i podlegającej regulacjom – mówi Tomasz Pietrzyk, dyrektor techniczny Palo Alto Networks w Europie Środkowo-Wschodniej.
Wniosek? Mamy do czynienia z postępującą profesjonalizacją zarządzania bezpieczeństwem informacji w firmach. Jeśli nie wymusi jej rynek, zrobią to przepisy.
Presja regulacyjna
Warto w tym miejscu wspomnieć o prawnej odpowiedzi na rosnącą falę zagrożeń w cyberprzestrzeni.
W styczniu ubiegłego roku firmy z sektora finansowego musiały dostosować działalność do wymogów rozporządzenia DORA, czyli rozporządzenia Parlamentu Europejskiego i Rady UE 2022/2554. Unijne przepisy mają zwiększyć operacyjną odporność cyfrową sektora finansowego.
Kolejnym wyzwaniem mogą okazać się przepisy związane z NIS2. To dyrektywa Parlamentu Europejskiego i Rady UE 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE. Nowe regulacje nakładają dodatkowe obowiązki na podmioty odgrywające strategiczną rolę w funkcjonowaniu gospodarki.
– W większości dużych organizacji, szczególnie w sektorach regulowanych i międzynarodowych grupach, programy dostosowawcze już trwają. Rynek jest obecnie na etapie domykania luk, przygotowywania się do audytów, testowania odporności operacyjnej oraz porządkowania odpowiedzialności wewnątrz organizacji – mówi Robert Lindert, dyrektor zarządzający w Michael Page.
Konieczność dostosowania się do zmieniających się zasad cyfrowego świata spoczywa nie tylko na największych lub strategicznych podmiotach, które dysponują rozbudowanymi działami wdrożeniowymi, prawnymi i IT. Warto wspomnieć również o rozporządzeniu DSA, czyli akcie o usługach cyfrowych, oraz AI Act, czyli akcie o sztucznej inteligencji. Przepisy te nakładają na firmy obowiązki związane m.in. z odpowiedzialnością za treści publikowane w internecie oraz sposobem wykorzystywania narzędzi AI. W przypadku sztucznej inteligencji chodzi m.in. o jej zastosowanie w procesach rekrutacyjnych czy analizach wynagrodzeń.
– Dyrektywa NIS2 wymusza bardziej rygorystyczne podejście do zarządzania ryzykiem oraz szybsze i bardziej uporządkowane raportowanie incydentów. Z kolei rozporządzenie DSA nakłada dodatkowe obowiązki związane z bezpieczeństwem usług cyfrowych oraz reagowaniem na zagrożenia w internecie. Ma to szczególne znaczenie w przypadku dużych platform i systemów o szerokim zasięgu. AI Act porządkuje natomiast obszar sztucznej inteligencji, wprowadzając wymagania dotyczące kontroli, przejrzystości i bezpieczeństwa systemów AI na każdym etapie ich wykorzystania. W praktyce oznacza to, że cyberbezpieczeństwo przestaje być wyłącznie funkcją techniczną, a staje się integralnym elementem zarządzania ryzykiem, zgodnością regulacyjną i odpowiedzialnością biznesową. Bezpośrednio zwiększa to presję na osoby pełniące takie funkcje – dodaje Tomasz Pietrzyk.
„Odpowiedzialność nie idzie w parze z wpływem na decyzje biznesowe”
Eksperci Palo Alto Networks zwracają uwagę na drugą stronę medalu. Wraz ze wzrostem odpowiedzialności menedżerów rosną również presja oraz poczucie ograniczonego wpływu na decyzje podejmowane przez najwyższe kierownictwo. Ich zdaniem obecny model funkcjonowania CISO staje się coraz mniej zrównoważony, co prowadzi do wypalenia zawodowego i dużej rotacji na tych stanowiskach.
Z danych Cybersecurity Ventures wynika, że na świecie średni czas pełnienia funkcji CISO wynosi od 18 do 26 miesięcy. Dla całej kadry zarządzającej średnia długość pozostawania na stanowisku wynosi niespełna pięć lat. Badania wskazują jednocześnie na wysoki poziom stresu, z którym mierzą się menedżerowie ds. cyberbezpieczeństwa.
Przyczyną rotacji nie jest brak kompetencji, lecz przede wszystkim ogromna presja i odpowiedzialność, które często nie idą w parze z realnym wpływem na decyzje biznesowe.
– Dane pokazują, że wielu menedżerów odchodzi jeszcze przed zakończeniem kluczowych, wieloletnich inicjatyw. To wyraźny paradoks. Od osób zajmujących to stanowisko oczekuje się prowadzenia strategicznych projektów, takich jak transformacja cyfrowa czy wdrażanie rozwiązań AI, które z definicji wymagają stabilności i czasu. Przyczyną rotacji nie jest brak kompetencji, lecz przede wszystkim ogromna presja i odpowiedzialność, które często nie idą w parze z realnym wpływem na decyzje biznesowe. CISO odpowiadają za skutki incydentów i zarządzanie ryzykiem, ale nie zawsze w pełni uczestniczą w procesie decyzyjnym. Może to prowadzić do frustracji i wypalenia zawodowego – mówi Tomasz Pietrzyk.
Nasi rozmówcy są zgodni, że odpowiedzialność za cyberbezpieczeństwo nie powinna skupiać się w rękach jednej osoby. Jak wyjaśniają, model współdzielenia odpowiedzialności mógłby ograniczyć rotację i ułatwić realizację długoterminowych celów.
„Odpowiedzialność nie powinna spoczywać na jednej osobie”
– W przypadku regulacji unijnych ciężar wdrożeń zwykle spoczywa na zespołach prawnych oraz zespołach ds. zgodności regulacyjnej. Coraz częściej pojawia się również funkcja lidera lub liderki ds. AI, określana jako AI Champion. To kluczowa osoba w firmie, która łączy wiedzę technologiczną ze zrozumieniem celów biznesowych. Musi sprawnie poruszać się w przepisach dotyczących działalności cyfrowej, w tym w regulacjach dotyczących sztucznej inteligencji. Odpowiedzialność jednak nigdy nie powinna spoczywać na jednej osobie – mówi Adriana Zdanowicz-Leśniak, adwokat w kancelarii CMS.
Ekspertka dodaje, że takie zespoły powinny składać się z przedstawicieli działów HR, IT, prawnych oraz marketingu. Przepisy dotyczące cyberbezpieczeństwa obejmują bowiem również praktyki stosowane w tym obszarze działalności firmy.
– CISO pełni rolę lidera i koordynatora, ale rzeczywista odpowiedzialność musi być rozłożona na całą organizację oraz obejmować zarząd i właścicieli poszczególnych procesów biznesowych. Bezpieczeństwo coraz częściej jest elementem decyzji strategicznych, a nie tylko reakcją na incydenty. Dlatego osoby odpowiedzialne za cyberbezpieczeństwo muszą uczestniczyć w podejmowaniu decyzji, które wpływają na kierunek rozwoju firmy. W praktyce oznacza to przejście na model wspólnej odpowiedzialności, wspierany przez technologię i zaangażowanie przedstawicieli biznesu – dodaje Tomasz Pietrzyk.
Ze wspomnianego raportu KPMG wynika również, że prezesi zarządów ponad dwukrotnie rzadziej niż rok wcześniej odpowiadali za bezpieczeństwo informacji. Odsetek wskazań spadł z 19 do 8 proc. Jednocześnie niemal co trzeci ankietowany menedżer ds. cyberbezpieczeństwa uznał brak wsparcia najwyższego kierownictwa za największą barierę w swojej działalności.
Zdaniem eksperta
„Nie chodzi o to, by prezes był specjalistą ds. cyberbezpieczeństwa”
Nie chodzi o to, aby stali się ekspertami od technologii, lecz o to, by potrafili prowadzić świadomy dialog z zespołami odpowiedzialnymi za cyberbezpieczeństwo i podejmować decyzje uwzględniające ryzyko cyfrowe w strategii całego przedsiębiorstwa. Współpraca biznesu z ekspertami ds. bezpieczeństwa będzie w najbliższych latach jednym z kluczowych elementów budowania odporności firm, w tym ich zdolności do elastycznego reagowania na rosnące zagrożenia.
Nowe kompetencje na rynku pracy
Wzrost liczby firm tworzących stanowiska CISO budzi pytanie o kompetencje poszukiwane na rynku pracy. Jak wyjaśnia Robert Lindert, firmy nadal potrzebują specjalistów z rozległą wiedzą techniczną. Coraz częściej jednak szukają osób, które potrafią współpracować z zarządem, audytorami i zespołami ds. zgodności regulacyjnej i przedstawicielami biznesu.
Najbardziej poszukiwani są dziś liderzy, którzy potrafią połączyć bezpieczeństwo technologiczne z zarządzaniem ryzykiem i realiami biznesowymi. To właśnie taka kombinacja kompetencji jest obecnie najtrudniejsza do znalezienia na rynku.
– Kluczowe jest doświadczenie w obszarze GRC, czyli ładu organizacyjnego, zarządzania ryzykiem i zgodności regulacyjnej, a także w zarządzaniu ryzykiem związanym z dostawcami, reagowaniu na incydenty, zapewnianiu ciągłości działania oraz przedstawianiu ryzyka w sposób zrozumiały dla osób bez wiedzy technicznej. Najbardziej poszukiwani są dziś liderzy, którzy potrafią połączyć bezpieczeństwo technologiczne z zarządzaniem ryzykiem i realiami biznesowymi. To właśnie taka kombinacja kompetencji jest obecnie najtrudniejsza do znalezienia na rynku – wyjaśnia ekspert.
Cyberodporność w małych firmach. Czy grozi im nadregulacja?
W dyskusji o wdrażaniu unijnych przepisów dotyczących odporności cyfrowej często poruszana jest również kwestia sektora MŚP, stanowiącego fundament polskiej gospodarki. Odgórne standardy zgłaszania incydentów, precyzyjny podział odpowiedzialności czy rozbudowane zespoły specjalistów są zwykle domeną dużych przedsiębiorstw. Jak jednak wygląda sytuacja mniejszych firm?
– W takich przedsiębiorstwach CISO najczęściej nie funkcjonuje jako odrębne stanowisko. Odpowiedzialność za cyberbezpieczeństwo jest rozproszona i często brakuje wyraźnego podziału obowiązków między właścicielem firmy, osobą odpowiedzialną za IT oraz menedżerem łączącym kilka funkcji, dla którego cyberbezpieczeństwo jest tylko jednym z obszarów działalności. W takiej sytuacji istotną rolę powinno odgrywać wsparcie technologiczne, w szczególności autonomiczne rozwiązania bezpieczeństwa IT oparte na AI. Pozwalają one ograniczyć koszty operacyjne. Ważna może być także współpraca z zewnętrznymi partnerami świadczącymi specjalistyczne usługi, takimi jak zespoły reagowania na incydenty lub monitorowania zagrożeń. Zamiast jednego wyspecjalizowanego eksperta powstaje wówczas model mieszany, w którym odpowiedzialność, technologia i wsparcie zewnętrznych specjalistów łączą się, zapewniając podstawowy poziom ochrony przy ograniczonych zasobach – mówi Tomasz Pietrzyk.
RODO bis w erze AI
Drugą stroną medalu są koszty wdrożeń. Dla największych przedsiębiorstw dostosowanie się do unijnego prawa często nie oznacza zasadniczej zmiany sposobu działania. Odpowiednią politykę informacyjną i procedury bezpieczeństwa wymuszają na nich również standardy rynkowe.
W przypadku regulacji takich jak AI Act mniejsze firmy mogą liczyć na preferencyjne rozwiązania. Chodzi m.in. o niższe progi kar, gotowe wzory dokumentacji czy nieodpłatne przystąpienie do „piaskownic regulacyjnych”, w których będą mogły testować rozwiązania AI. W dyskusji o nowych regulacjach i sektorze stanowiącym fundament polskiej gospodarki niejednokrotnie pojawiają się jednak obawy przed nadmierną regulacją.
– Podobna dyskusja toczyła się wokół obowiązków informacyjnych wynikających z RODO, gdy pojawiały się apele o odciążenie mniejszych firm. Tymczasem mniejsze podmioty mogą być nawet bardziej narażone na incydenty bezpieczeństwa niż duże organizacje dysponujące odpowiednimi zasobami. Zwolnienie mniejszych przedsiębiorstw z obowiązku spełnienia tych samych standardów cyberbezpieczeństwa czy przejrzystości wynikających z RODO lub AI Act mogłoby pozbawić ich klientów i pracowników odpowiedniego poziomu ochrony. AI Act uwzględnia jednak sytuację mniejszych podmiotów i wprowadza liczne uproszczenia administracyjne dla MŚP oraz nowej grupy przedsiębiorstw, czyli małych spółek o średniej kapitalizacji, określanych jako small mid-caps. Pamiętajmy, że RODO chroni nasze dane osobowe. Tymczasem AI Act chroni prawa podstawowe, w tym godność oraz prawo do niepodlegania dyskryminacji algorytmicznej. Zakres tych praw nie powinien zależeć od wielkości podmiotu gospodarczego znajdującego się po drugiej stronie. Nie demonizujmy AI Act. To swego rodzaju RODO bis na czasy, w których znaczenie sztucznej inteligencji stale rośnie – podsumowuje Adriana Zdanowicz-Leśniak.
Główne wnioski
- Transformacja roli CISO pokazuje, że cyberbezpieczeństwo przestało być problemem wyłącznie dla działu IT. Zdaniem ekspertów, CISO powinien coraz częściej uczestniczyć w podejmowaniu decyzji strategicznych. Problemem pozostaje jednak asymetria między odpowiedzialnością a wpływem. W wielu organizacjach CISO odpowiada za skutki incydentów, ale nie uczestniczy wystarczająco wcześnie w podejmowaniu decyzji, które generują ryzyko.
- NIS2, DORA, AI Act i inne regulacje cyfrowe pokazują, że bezpieczeństwo informacji stało się nie tylko standardem rynkowym, lecz także wymogiem prawnym. Firmy muszą dokumentować procesy, raportować incydenty, zarządzać ryzykiem związanym z dostawcami oraz wykazywać odporność operacyjną. Ciężar tych zmian często jednak spoczywa na CISO. Od jednej osoby oczekuje się znajomości technologii, prawa, zarządzania ryzykiem oraz komunikacji z biznesem. W dłuższej perspektywie taki model jest trudny do utrzymania. Organizacje będą więc musiały przejść na model współdzielenia odpowiedzialności.
- Rynek pracy dla CISO zmierza w kierunku liderów o kompetencjach hybrydowych. Pracodawcy poszukują osób, które rozumieją technologię, a jednocześnie potrafią rozmawiać językiem biznesu, współpracować z zarządem i skutecznie zarządzać ryzykiem.

