Regulace bez zbytečného papírování. CIO Agenda ukázala, že digitální compliance může zvýšit hodnotu
Regulací přibývá a firmy se pohybují ve stále složitějším právním prostředí. Jak ale zaznělo 9. a 10. února na 11. ročníku konference CIO Agenda, digitální compliance, neboli systematické naplňování regulatorních požadavků v oblasti kybernetické bezpečnosti, ochrany dat anebo zavádění umělé inteligence, nemusí být brzdou byznysu. Naopak se může stát nástrojem řízení rizik, zvyšování konkurenceschopnosti i zdrojem vyšší valuace podniku.
Letošní ročník CIO Agendy vůbec poprvé otevřel samostatný blok Digital Compliance Forum, jehož odborným garantem a partnerem byla společnost regfor. Ta vyvíjí intuitivní aplikaci, která firmám pomáhá plnit regulatorní povinnosti zejména v oblasti kybernetické bezpečnosti, provozní odolnosti, umělé inteligence a v dalších pilířích digitální regulace.
Úvodní řečí jej zahájil CEO regforu Jindřich Kalíšek, který nastavil rámec celé debaty o digitální regulaci a její praktické implementaci ve firmách. Dle Kalíška dnes firmy vstupují do houstnoucí džungle digitální compliance, která už dávno není jen o nařízení GDPR či směrnici NIS2. Typická společnost z žebříčku Fortune 500 spolupracuje s pěti tisíci dodavateli a zaměstnává desítky tisíc lidí. Riziková plocha se tak dramaticky rozšiřuje, nejen směrem ven, prostřednictvím dodavatelských řetězců, cloudových služeb nebo externích IT partnerů, ale i dovnitř organizace.
Digitální dovednosti a leadership jako klíč k transformaci
Kalíšek upozornil, že i v roce 2030 zůstanou u pracovníků rozhodující tzv. „brain skills“ – analytické schopnosti, úsudek a zkušenost. Rychle však poroste význam „digital skills“ – využívání AI, big data, automatizace a kyberbezpečnostní kompetence. Celoživotní vzdělávání v technologiích se podle Kalíška stává kariérní nutností, což potvrzují i doporučení konzultační firmy McKinsey.
„Digitální transformace není technologický projekt, ale manažerská disciplína,“ zdůraznil Kalíšek. Je zvládnutelná, má smysl a měřitelnou investiční návratnost – snižuje náklady i rizika, zefektivňuje klíčové procesy a posiluje propojení lidí s organizací. Zároveň je dobře přenositelná do každodenního života zaměstnanců. Klíčovou roli v odolné organizaci proto budou vždy hrát její lidé, jejich kompetence a jasná odpovědnost vedení.
„Technické role, jako jsou CIOs, CISOs nebo CTOs, už nemohou být jen správci technologického ekosystému. Do budoucna to nebude stačit. Tyto role se musí posunout na výrazně vyšší úroveň leadershipu uvnitř organizace. Musí se stát spolutvůrci strategie, kteří pomáhají organizaci připravit se na budoucnost. Kyberbezpečnost se v tomto pojetí stává klíčovým hard skillem, který musí organizace systematicky rozvíjet,“ doplňuje.
Kyberbezpečnostní rizikapohledem investorů a dopad na valuaci
Na otázku odolnosti a strategického řízení rizik navázal i Václav Exner z Exner & Vacha Advisory, odborník na fúze, akvizice a financování firem, tentokrát z pohledu investorů. Zatímco Kalíšek mluví o řízení rizik uvnitř firmy, Exner ukázal, jak je vnímají trhy.
„Hodnota firmy je vždy odrazem očekávaného budoucího zisku. A čím vyšší rizika investor vidí, tím nižší cenu je ochoten zaplatit. Digitální rizika dnes patří k těm nejzásadnějším,“ uvedl Exner.
Due diligence dnes běžně zahrnuje kybernetickou bezpečnost, ochranu dat, závislost na AI i bezpečnost dodavatelského řetězce. „Řada investorů dnes otevřeně říká: firma, která nemá pokrytá kybernetická rizika, je pro nás neinvestovatelná. A tam se nebavíme o slevě, ale o nulové hodnotě,“ zaznělo z úst Exnera.
Důvod je prostý, dle Allianz Risk Barometru kybernetické incidenty patří už pátým rokem mezi největší globální hrozby pro firmy a dokážou během krátké doby ochromit výrobu, služby i reputaci.
Vzdělávání jako prevence násobných ztrát
Oba řečníci se shodli na významu vzdělávání. Kalíšek mluví o nutnosti rozvíjet klíčové dovednosti, Exner upozorňuje na konkrétní dopad jejich absence. „Neproškolený personál dokáže náklady kybernetického incidentu znásobit až čtyřikrát,“ uvedl. Investice do vzdělávání tak není nákladem, ale ochranou hodnoty firmy.
„Proškolení zaměstnanci totiž přesně vědí, co dělat v případě hrozby: reagují rychle, bez zbytečného prodlení a správným způsobem. Díky tomu se útok nebo problém nedostane tak daleko a jeho dopady jsou mnohem menší, a tím pádem levnější na odstranění. Naopak neproškolený tým může na hrozbu reagovat pozdě nebo chybně,“ doplnil.
Regulace AI a rizika kritických sektorů
Do debaty vstoupil také zmocněnec pro umělou inteligenci a náměstek ministra průmyslu Jan Kavalírek, který přinesl pohled evropské regulace. Potvrdil, že tlak bude sílit. „Každá regulace na firmy klade nové požadavky, a tedy i nové náklady. Ty se zákonitě promítají do prostředků, které by jinak mohly směřovat do výzkumu, vývoje nebo do lidí. To ale neznamená, že by regulace byla špatná. Určitá míra kontroly je nezbytná – a v oblasti umělé inteligence to platí dvojnásob,“ hodnotil Jan Kavalírek.
Zatímco byznys upozorňuje na rizika a investoři na dopad do valuace, Kavalírek připomněl i společenský rozměr. Za správně nastavenou považuje část AI Actu týkající se zakázaných systémů, například social scoringu. „Je legitimní, aby si společnost řekla, že existují oblasti, do kterých nechceme, aby nám umělá inteligence zasahovala,“ sdělil.
Současně ale varoval před přehnanou administrativou. „Kontrola je nutná. To ale neznamená, že budeme vytvářet rozsáhlou papírovou zátěž, kterou ve výsledku stejně nikdo efektivně nevyhodnocuje,“ uvedl. Podle něj je pro střední a východní Evropu klíčové, aby regulace nebrzdila schopnost rychle adaptovat digitální technologie do praxe.
Rizika spojená s nedostatečně řízenou kyberbezpečností jsou přitom dobře viditelná zejména v citlivých sektorech, jako je zdravotnictví. Dle zástupců velkých nemocnic dnes obor čelí nejen riziku úniku citlivých dat, ale i útokům na samotné zdravotnické přístroje. Ty mohou v krajním případě ohrozit zdraví nebo životy pacientů. Moderní nemocnice již běžně disponují samostatnými odděleními kyberbezpečnosti, oddělenými od klasického IT provozu.
Společným jmenovatelem celé konference tak byla jednoduchá teze: digitální compliance nesmí být bezobsažným byrokratickým cvičením. Je to způsob, jak řídit rizika v propojeném světě a současně chránit hodnotu firmy, její reputaci i konkurenceschopnost.