Zarządzanie ryzykiem prawnym, kontraktowym i regulacyjnym w branży IT – o czym musisz pamiętać?

Dla polskich firm IT, które do niedawna poruszały się w relatywnie przewidywalnym otoczeniu regulacyjnym, nadeszła nowa era. Pakiet przełomowych regulacji Unii Europejskiej – takich jak AI Act, DORA, NIS2, Data Act i CRA – nie jest kolejną kosmetyczną zmianą. Wymagają one od zarządów, menedżerów i zespołów prawnych zintegrowanego i proaktywnego zarządzania ryzykiem.

• Nowe regulacje UE wymagają natychmiastowych działań: Rozporządzenia DORA (obowiązuje od 17.01.2025) i Data Act (od 12.09.2025) są już stosowane bezpośrednio. Polska wdraża dyrektywę NIS2 z opóźnieniem, co skraca czas na adaptację. AI Act i CRA wchodzą w życie etapami, ale wymagają przygotowań już teraz.
• Odpowiedzialność zarządu za cyberbezpieczeństwo jest osobista: Dyrektywa NIS2 wprowadza możliwość nałożenia osobistej odpowiedzialności na członków zarządu za zaniedbania w obszarze cyberbezpieczeństwa. Ignorowanie ryzyka przestało być opcją.
• AI Act klasyfikuje ryzyko: Dostawcy systemów AI muszą zidentyfikować, czy ich produkty należą do kategorii niedopuszczalnego, wysokiego, ograniczonego czy minimalnego ryzyka. Systemy wysokiego ryzyka (np. w rekrutacji, ocenie kredytowej) podlegają rygorystycznym obowiązkom, w tym oceny zgodności i rejestracji.
• Umowy z sektorem finansowym (DORA) i chmurowe (Data Act) na nowych zasadach: DORA narzuca dostawcom ICT dla branży finansowej precyzyjne wymogi kontraktowe. Data Act zakazuje stosowania nieuczciwych klauzul w umowach B2B dotyczących danych i ułatwia klientom migrację między dostawcami chmury.
• Własność intelektualna (IP) i AI: Co do zasady, polskie prawo autorskie chroni jedynie twory ludzkiego intelektu. Dzieła w pełni wygenerowane przez AI nie podlegają tej ochronie. Kwestia wykorzystania danych chronionych prawem autorskim do trenowania modeli pozostaje kluczowym ryzykiem prawnym.
• Polska wprowadziła Krajową Certyfikację Cyberbezpieczeństwa: Ustawa, która weszła w życie 28 sierpnia 2025 r., tworzy dobrowolny system certyfikacji. Uzyskanie certyfikatu może stać się rynkowym standardem i dowodem należytej staranności w świetle NIS2 i CRA.
• Umowy międzynarodowe a podatek u źródła (WHT): Świadcząc usługi niematerialne (np. licencyjne, doradcze) dla zagranicznych kontrahentów, polskie firmy muszą zarządzać ryzykiem podatku u źródła (WHT). Kluczowe jest pozyskanie certyfikatu rezydencji podatkowej klienta i analiza właściwej umowy o unikaniu podwójnego opodatkowania.

Sprawdź również: Akademia Cyber Compliance – program edukacyjny dla prawników (i nie tylko!)

Czym jest zintegrowane podejście do ryzyka?

Zintegrowane podejście oznacza odejście od myślenia silosowego, w którym dział prawny analizuje umowy, dział IT dba o bezpieczeństwo, a zarząd skupia się na finansach. W nowym otoczeniu regulacyjnym ryzyka te przenikają się nawzajem:

Ryzyko regulacyjne (np. kara z NIS2) staje się ryzykiem finansowym.
Ryzyko kontraktowe (np. niejasne zapisy o IP w umowie na system AI) generuje ryzyko utraty własności intelektualnej.
Ryzyko technologiczne (np. luka w zabezpieczeniach) przekłada się na ryzyko reputacyjne i operacyjne.

Zarządzanie tymi ryzykami wymaga współpracy na wszystkich szczeblach organizacji i zrozumienia, że zgodność z prawem (compliance) nie jest celem samym w sobie, lecz narzędziem budowania odpornego i konkurencyjnego biznesu. Aby efektywnie działać firmy muszą obecnie budować całe systemy zarządzania ryzykiem, które uchwycą wielowymiarowy charakter regulacji, które dodatkowo się ze sobą zazębiają.

Sprawdź również: Nowe uprawnienia PIP: Jak przygotować umowę B2B, by uniknąć przekwalifikowania na umowę o pracę?

Zamów wzory umów IT!

Nowe regulacje UE. Co każdy dostawca IT musi wiedzieć?

1. AI Act: Jakie obowiązki nakłada na moją firmę Rozporządzenie o Sztucznej Inteligencji?

AI Act, czyli Akt o sztucznej inteligencji, to pierwsza na świecie tak kompleksowa próba uregulowania AI. Jego najważniejszym założeniem jest podejście oparte na ryzyku. Dostawcy technologii muszą dokonać samooceny i zaklasyfikować swoje systemy do jednej z czterech grup:

Ryzyko niedopuszczalne: Systemy zakazane, np. systemy oceny obywatelskiej (social scoring) prowadzonej przez władze publiczne.
Ryzyko wysokie: Najbardziej regulowana kategoria, obejmująca m.in. systemy stosowane w infrastrukturze krytycznej, edukacji, zatrudnieniu, czy wymiarze sprawiedliwości. Dostawcy takich systemów muszą wdrożyć system zarządzania ryzykiem, zapewnić wysoką jakość danych treningowych, prowadzić szczegółową dokumentację techniczną i zapewnić ludzki nadzór.
Ryzyko ograniczone: Systemy, które wchodzą w interakcję z ludźmi (np. chatboty) lub generują treści (deepfakes). Podstawowym obowiązkiem jest tu transparentność – użytkownik musi wiedzieć, że ma do czynienia z maszyną lub treścią syntetyczną.
Ryzyko minimalne: Większość systemów AI (np. filtry antyspamowe, systemy rekomendacyjne w e-commerce). Nie podlegają one dodatkowym obowiązkom, choć zachęca się do stosowania dobrowolnych kodeksów postępowania.

2. NIS2 i CRA: Jakie są nowe standardy cyberbezpieczeństwa i kto za nie odpowiada?

Dyrektywa NIS2 znacząco rozszerza katalog podmiotów objętych regulacjami cyberbezpieczeństwa, dzieląc je na kluczowe i ważne. Obejmuje m.in. dostawców usług chmurowych, centra danych, a także szeroko pojętą branżę produkcyjną i cyfrową. Kluczowe zmiany to:

Zarządzanie ryzykiem: Wymóg wdrożenia konkretnych polityk i procedur, np. analizy ryzyka, planów ciągłości działania.
Odpowiedzialność zarządu: Organy zarządzające muszą zatwierdzać plany zarządzania ryzykiem i przechodzić szkolenia. To na nich spoczywa ostateczna odpowiedzialność.
Zgłaszanie incydentów: Skrócenie czasu na zgłaszanie poważnych incydentów do właściwego organu CSIRT (ostrzeżenie w ciągu 24h, raport w ciągu 72h).

Z kolei Cyber Resilience Act (CRA) skupia się na produktach z elementami cyfrowymi (od oprogramowania po urządzenia IoT). Nakłada na producentów obowiązek zapewnienia bezpieczeństwa przez cały cykl życia produktu, w tym:

• Stosowanie zasady „security-by-design”.
• Dostarczanie aktualizacji bezpieczeństwa.
• Informowanie o wykrytych lukach.

3. DORA: Jakie specjalne wymogi obowiązują przy kontraktowaniu z sektorem finansowym?

DORA, czyli Rozporządzenie o cyfrowej odporności operacyjnej, tworzy jednolite ramy zarządzania ryzykiem ICT dla całego sektora finansowego w UE. Dla dostawców IT oznacza to, że ich klienci (banki, ubezpieczyciele, firmy inwestycyjne) będą wymagać w umowach spełnienia konkretnych, rygorystycznych warunków.

4. Data Act: Jak Akt w sprawie danych zmienił zasady gry w dostępie do danych i umowach chmurowych?

Data Act ma na celu odblokowanie potencjału danych generowanych przez urządzenia podłączone do internetu (IoT). Jego filary to:

Prawo dostępu dla użytkownika: Użytkownik (zarówno firma, jak i konsument), który jest właścicielem urządzenia, ma prawo dostępu do danych generowanych przez to urządzenie. Producent musi mu te dane udostępnić.
Udostępnianie danych stronom trzecim: Na żądanie użytkownika, posiadacz danych (najczęściej producent) musi udostępnić je wskazanej przez użytkownika stronie trzeciej.
Zakaz nieuczciwych klauzul: Rozporządzenie zakazuje stosowania w umowach B2B (gdy jedną ze stron jest MŚP) nieuczciwych postanowień dotyczących dostępu do danych.
Ułatwienie zmiany dostawcy chmury: Data Act nakłada na dostawców usług chmurowych obowiązek usunięcia barier utrudniających klientom migrację. Obejmuje to zarówno bariery komercyjne (np. opłaty za wyjście), jak i techniczne.

Sama znajomość nowych regulacji to jednak za mało. Kluczowe jest przełożenie tej wiedzy na konkretne postanowienia umowne, które chronią interesy firmy.

Jak minimalizować ryzyka przy zawieraniu i negocjowaniu umów IT?

Każda umowa IT to pole minowe potencjalnych sporów. Skupienie się na kilku kluczowych obszarach pozwala znacząco ograniczyć ryzyko.

Precyzyjny zakres usług i kryteria odbioru (SLA): Zamiast ogólników typu „wdrożenie systemu CRM”, umowa powinna zawierać szczegółową specyfikację funkcjonalną, mierzalne wskaźniki jakości usług (Service Level Agreement, np. dostępność na poziomie 99,5%) oraz jasną procedurę odbioru poszczególnych etapów prac.
Jasny podział odpowiedzialności: Kto odpowiada za dostarczenie danych do migracji? Kto za integrację z systemami zewnętrznymi? Umowa musi precyzyjnie alokować zadania i odpowiedzialność.
Limity odpowiedzialności (Cap): Stosowanie limitów odpowiedzialności (np. do wysokości rocznego wynagrodzenia) jest standardem rynkowym. Należy jednak pamiętać, że zgodnie z polskim prawem nie można wyłączyć odpowiedzialności za szkody wyrządzone z winy umyślnej.
Procedury zarządzania zmianą i eskalacji: Projekt IT to żywy organizm. Należy z góry ustalić, jak będą traktowane zgłoszenia zmian (change request) i jak będzie wyglądała ścieżka rozwiązywania sporów, zanim trafią one na drogę sądową.

Obsługa prawna IT – Kancelaria After Legal

Firmy, które potraktują nowe regulacje jako biurokratyczny balast, zostaną w tyle. Te, które wdrożą zintegrowane, proaktywne podejście do zarządzania ryzykiem, zbudują fundamenty pod bezpieczny i skalowalny rozwój. Zrozumienie wzajemnych powiązań między prawem, technologią a strategią biznesową nie jest już opcją – to warunek przetrwania i sukcesu na nowym, bardziej wymagającym rynku IT.

Kancelaria After Legal specjalizuje się w obsłudze prawnej dla podmiotów działających w branży IT. Niezależnie od tego czy jesteś zamawiającym, czy wykonawcą, nasz zespół zadba o należyte zabezpieczenie Twoich interesów. Skontaktuj się z nami i sprawdź, jak możemy Ci pomóc.

Potrzebujesz wsparcia prawnika IT? Napisz do mnie!