Start w Cyber
Ekspertka Start w Cyber

Karolina Kalkowska

Cyber Governance | Compliance | RODO | NIS2 | DORA. Karolina pokazuje cyberbezpieczeństwo z perspektywy zarządzania, zgodności, ryzyka i odporności organizacji.

Cyber Governance Compliance RODO NIS2 DORA
Wróć do ekspertów LinkedIn

O ekspertce

Karolina Kalkowska zajmuje się obszarem cyber governance, compliance oraz regulacji związanych z bezpieczeństwem informacji i odpornością organizacji.

W swojej pracy łączy perspektywę regulacyjną, zarządczą, operacyjną i praktyczną. Pokazuje, że cyberbezpieczeństwo nie jest wyłącznie domeną technologii, ale także odpowiedzialności organizacyjnej, zarządzania ryzykiem, zgodności oraz budowania dojrzałości bezpieczeństwa.

Szczególnie interesują ją zagadnienia związane z RODO, NIS2 i DORA, a także praktyczne wdrażanie wymagań regulacyjnych w realnych procesach biznesowych.

Angażuje się również w mentoring i rozwój osób rozpoczynających swoją drogę w cyberbezpieczeństwie, pokazując, że w branży jest miejsce nie tylko dla osób technicznych, ale także dla specjalistów od governance, risk, privacy i compliance.

Rozmowa z Karoliną

Poniżej znajdziesz pełną rozmowę z Karoliną o cyber governance, compliance, regulacjach, mentoringu oraz wejściu do cyberbezpieczeństwa.

1. Twoja droga do cyberbezpieczeństwa

Jak wyglądała Twoja droga do obszaru cyberbezpieczeństwa i compliance? Czy od początku była to świadoma ścieżka zawodowa?

Moja droga do cyberbezpieczeństwa i compliance nie zaczęła się od jednego, konkretnego momentu, ale od stopniowego przejmowania odpowiedzialności za coraz szersze obszary związane z bezpieczeństwem organizacji.

Z czasem bardzo wyraźnie zobaczyłam, że dziś nie da się oddzielić bezpieczeństwa informacji, ochrony danych, ryzyka operacyjnego i zgodności regulacyjnej. To są obszary, które wzajemnie się przenikają i dopiero razem tworzą realny model odporności organizacji.

Nie była to więc ścieżka zaplanowana od początku w sposób liniowy, ale zdecydowanie była rozwijana świadomie. Im więcej pracowałam z organizacją, procesami, ryzykiem i odpowiedzialnością zarządczą, tym bardziej naturalne stawało się wejście w cyberbezpieczeństwo rozumiane szerzej niż tylko technologia. Dzisiaj patrzę na ten obszar jako na połączenie governance, odpowiedzialności, odporności operacyjnej i praktycznego zarządzania bezpieczeństwem.

Wiele osób kojarzy cyber głównie z technologią i hackingiem. Jak w praktyce wygląda rola compliance w cyberbezpieczeństwie?

To bardzo częste skojarzenie, ale moim zdaniem niepełne. Technologia jest kluczowa, jednak sama nie zapewni organizacji bezpieczeństwa, jeśli nie ma procesów, odpowiedzialności, nadzoru, edukacji i zgodności z wymaganiami.

Rola compliance w cyberbezpieczeństwie polega na tym, aby bezpieczeństwo było osadzone w organizacji w sposób uporządkowany, mierzalny i powtarzalny. Compliance nie powinno być rozumiane jako formalność, lecz jako mechanizm, który przekłada wymagania regulacyjne i biznesowe na konkretne działania: zarządzanie ryzykiem, procedury incydentowe, nadzór nad dostawcami, ochronę danych, audyt, raportowanie i odpowiedzialność właścicieli procesów.

W praktyce compliance porządkuje organizację i pomaga budować dojrzałość bezpieczeństwa. Dzięki temu firma nie działa dopiero po incydencie, ale funkcjonuje świadomie, systemowo i odpowiedzialnie.

Co było dla Ciebie największym wyzwaniem, kiedy zaczęłaś pracować z tematami takimi jak RODO, NIS2 czy DORA?

Największym wyzwaniem było przełożenie języka regulacji na realia organizacji. Same przepisy można przeczytać i zinterpretować, ale prawdziwa trudność zaczyna się wtedy, kiedy trzeba odpowiedzieć sobie na pytanie, co to konkretnie oznacza dla procesów, ludzi, odpowiedzialności i codziennego funkcjonowania firmy.

RODO, NIS2 czy DORA są wymagające właśnie dlatego, że zmuszają do spojrzenia na organizację całościowo. Trzeba połączyć perspektywę prawną, operacyjną, techniczną i zarządczą. Dla mnie bardzo ważne było to, aby nie zatrzymać się na poziomie formalnym, lecz szukać rozwiązań praktycznych, adekwatnych i możliwych do wdrożenia.

2. Compliance w cyber – dlaczego to dziś kluczowe

W swojej pracy zajmujesz się m.in. RODO, NIS2 i DORA. Jakie zmiany Twoim zdaniem najbardziej wpłyną na organizacje w najbliższych latach?

Największy wpływ będą miały te regulacje i praktyki, które przesuwają bezpieczeństwo z poziomu operacyjnego na poziom strategiczny. NIS2 i DORA są dobrym przykładem takiej zmiany, ponieważ nie koncentrują się wyłącznie na zabezpieczeniach technicznych, ale na odporności organizacyjnej, odpowiedzialności kierownictwa, zarządzaniu incydentami, testowaniu, ciągłości działania i nadzorze nad dostawcami.

Organizacje będą musiały odejść od myślenia: „mamy wdrożone narzędzia, więc jesteśmy bezpieczni”. Coraz większe znaczenie będą miały dojrzałość procesów, jakość decyzji zarządczych, gotowość do raportowania incydentów, nadzór nad dostawcami i kultura bezpieczeństwa w całej organizacji.

Jak firmy najczęściej podchodzą do compliance – jako realnej ochrony czy raczej obowiązku formalnego?

To zależy od dojrzałości organizacji. W wielu firmach compliance nadal bywa traktowane jako obowiązek formalny, czyli coś, co trzeba „mieć”, aby spełnić wymagania regulatora, klienta albo audytora. Tam jednak, gdzie organizacja rozumie ryzyko szerzej, compliance staje się realnym elementem ochrony i zarządzania.

Największa różnica polega na intencji. Jeżeli firma wdraża regulacje po to, żeby „zamknąć temat”, zwykle kończy się to dokumentacją bez realnego przełożenia na praktykę. Natomiast jeśli organizacja traktuje compliance jako narzędzie budowania odporności, wtedy regulacje zaczynają wspierać procesy, porządkować odpowiedzialność i wzmacniać bezpieczeństwo operacyjne.

Jakie błędy organizacje najczęściej popełniają przy wdrażaniu regulacji cyberbezpieczeństwa?

Najczęściej widzę trzy błędy. Pierwszy to skupienie się na dokumentach zamiast na rzeczywistych mechanizmach działania. Organizacje tworzą polityki i procedury, ale nie budują odpowiedzialności, nie testują procesów i nie sprawdzają, czy te rozwiązania działają w praktyce.

Drugi błąd to traktowanie bezpieczeństwa jako wyłącznej odpowiedzialności IT. Tymczasem regulacje takie jak NIS2 czy DORA pokazują bardzo wyraźnie, że bezpieczeństwo to obszar zarządczy i organizacyjny.

Trzeci błąd to zbyt słabe osadzenie bezpieczeństwa w kulturze organizacyjnej. Jeżeli pracownicy nie rozumieją swojej roli, a zarząd nie widzi związku między cyberbezpieczeństwem a ciągłością działania, nawet najlepsze procedury pozostają martwe.

Czy Twoim zdaniem regulacje takie jak NIS2 realnie poprawiają bezpieczeństwo firm?

Tak, ale pod jednym warunkiem: że są wdrażane dojrzale, a nie wyłącznie formalnie. Same przepisy nikogo nie chronią. To, co realnie poprawia bezpieczeństwo, to sposób, w jaki organizacja przekłada regulacje na procesy, role, decyzje, testy i działania naprawcze.

Uważam jednak, że NIS2 ma bardzo dużą wartość, ponieważ zmusza organizacje do poważniejszego traktowania cyberbezpieczeństwa. Przenosi rozmowę z poziomu „czy coś mamy” na poziom „czy rzeczywiście jesteśmy gotowi działać, reagować i utrzymać odporność”.

3. Cyberbezpieczeństwo z perspektywy zarządzania

Jak wygląda współpraca między działami technicznymi (IT/SOC) a obszarem compliance?

Najlepiej działa wtedy, kiedy obie strony rozumieją, że mają wspólny cel, tylko patrzą na niego z różnych perspektyw. Zespoły techniczne odpowiadają za rozwiązania, architekturę, monitoring, wykrywanie i reagowanie. Compliance, governance i risk patrzą na odpowiedzialność, zgodność, mierzalność, procesy i dowody skuteczności.

Ta współpraca nie powinna polegać na tym, że jedna strona „kontroluje” drugą. Powinna polegać na wzajemnym uzupełnianiu się. Bardzo ważne są wspólny język, jasne role, regularny dialog i koncentracja na ryzyku, a nie na sporze o to, kto ma rację.

Jak przekonać zarząd firmy, że cyberbezpieczeństwo nie jest kosztem, tylko inwestycją?

Trzeba rozmawiać z zarządem językiem biznesu, a nie wyłącznie językiem zagrożeń technicznych. Zarząd nie podejmuje decyzji na podstawie listy podatności, tylko na podstawie ryzyka, wpływu na działalność, reputację, ciągłość operacyjną, odpowiedzialność regulacyjną i koszty zakłóceń.

Dlatego warto pokazywać cyberbezpieczeństwo jako element stabilności organizacji. To inwestycja w odporność, w zdolność do utrzymania usług, w ochronę danych, w zaufanie klientów i partnerów oraz w ograniczanie skutków incydentów.

Jakie kompetencje powinna mieć osoba, która chce rozwijać się w obszarze cyber governance lub compliance?

Przede wszystkim umiejętność łączenia kilku perspektyw jednocześnie. W tym obszarze nie wystarczy znać przepisy ani rozumieć samych ryzyk technicznych. Trzeba umieć przełożyć wymagania na procesy, rozmawiać z różnymi interesariuszami, analizować ryzyko, tworzyć uporządkowane podejście i budować praktyczne rozwiązania.

Bardzo ważne są też kompetencje komunikacyjne, krytyczne myślenie, zdolność zadawania dobrych pytań i rozumienie biznesu. W cyber governance rozwój musi być szeroki i ciągły.

4. Mentoring i rozwój nowych osób w cyber

Bierzesz udział w międzynarodowym projekcie mentoringowym w cyberbezpieczeństwie. Jak wygląda taki mentoring w praktyce?

Dobry mentoring w cyberbezpieczeństwie nie polega na przekazywaniu gotowych odpowiedzi, tylko na pomaganiu drugiej osobie w zrozumieniu, jak myśleć o tej branży, jak się rozwijać i jak budować własną ścieżkę. W praktyce to połączenie rozmów o kompetencjach, kierunkach rozwoju, realiach pracy, wyzwaniach wejścia do branży i budowaniu pewności siebie.

Bardzo ważne jest też pokazanie, że cyberbezpieczeństwo to nie tylko jedna ścieżka. Są także obszary takie jak regulacje, compliance, ryzyko, privacy, edukacja, audyt.

Jakie wyzwania najczęściej mają osoby rozpoczynające swoją drogę w cyber?

Najczęściej widzę trzy rzeczy: poczucie, że „nie wiem jeszcze wystarczająco dużo”, przekonanie, że bez bardzo technicznego doświadczenia nie ma dla nich miejsca, oraz trudność w zrozumieniu, od czego właściwie zacząć.

Cyber to szeroka dziedzina i przez to może onieśmielać. Dlatego tak ważne jest uporządkowanie wiedzy, znalezienie swojego obszaru i rozwijanie się krok po kroku. Nie trzeba wiedzieć wszystkiego od razu.

Czy widzisz różnice w podejściu do cyberbezpieczeństwa u młodych osób z różnych krajów?

Tak, choć częściej niż z różnic kulturowych wynika to z dostępu do edukacji, środowiska i wzorców zawodowych. W niektórych krajach cyberbezpieczeństwo jest już mocno osadzone w systemie edukacji i świadomości społecznej, a w innych nadal jest postrzegane jako obszar elitarny lub bardzo techniczny.

Niezależnie od kraju widzę jednak coś wspólnego: młode osoby chcą rozumieć sens swojej pracy. Interesuje je wpływ, odpowiedzialność i możliwość rozwoju.

Jaką jedną rzecz doradziłabyś osobie, która chce wejść do cyber, ale nie ma jeszcze doświadczenia technicznego?

Nie zaczynaj od myślenia o brakach, tylko od zrozumienia, w którym obszarze chcesz budować swoją wartość. Cyberbezpieczeństwo potrzebuje nie tylko specjalistów technicznych, ale też osób, które rozumieją ryzyko, procesy, ochronę danych, komunikację, edukację i regulacje.

Najważniejsze to wejść w ten świat świadomie, systematycznie się uczyć i nie porównywać się z osobami, które są w branży od lat.

5. Kobiety w cyberbezpieczeństwie

Coraz więcej mówi się o roli kobiet w cyberbezpieczeństwie. Czy Twoim zdaniem branża rzeczywiście się zmienia?

Tak, widzę zmianę i uważam, że jest ona bardzo potrzebna. Coraz więcej kobiet pojawia się w cyberbezpieczeństwie nie tylko w rolach wspierających, ale również eksperckich, liderskich i strategicznych. Ta branża potrzebuje różnorodności perspektyw, sposobów myślenia i doświadczeń.

Jednocześnie uważam, że przed nami wciąż dużo pracy. Sama obecność kobiet w branży to jeszcze nie wszystko. Ważne jest również to, czy mają przestrzeń do rozwoju, realny wpływ, widoczność oraz dostęp do mentoringu i sieci wsparcia.

Jakie rady dałabyś kobietom, które chcą rozpocząć karierę w cyber?

Przede wszystkim: nie czekajcie, aż będziecie „wystarczająco gotowe”, bo ten moment bardzo często nie przychodzi sam. Warto zacząć od nauki, rozmów, pierwszych projektów, webinarów, społeczności i praktycznego poznawania branży.

Druga rzecz: nie ograniczajcie cyberbezpieczeństwa wyłącznie do ról technicznych. To bardzo szeroki obszar i naprawdę można w nim znaleźć miejsce zgodne ze swoimi kompetencjami i stylem pracy.

I trzecia rada: szukajcie ludzi, którzy wspierają, a nie oceniają. Mentoring, społeczności branżowe i dobre relacje zawodowe potrafią bardzo przyspieszyć rozwój.

Szybka runda 🔥

Jedna umiejętność, którą warto rozwijać w cyber?

Umiejętność myślenia w kategoriach ryzyka — bo to ona pozwala łączyć technologię, biznes, regulacje i realne priorytety organizacji.

Jedna książka lub źródło wiedzy, które polecasz?

Polecam źródła, które łączą praktykę z aktualnością: dobre webinary branżowe, eksperckie szkolenia i materiały przygotowywane przez praktyków bezpieczeństwa. W tym obszarze ogromne znaczenie ma regularne śledzenie zmian i budowanie wiedzy w sposób ciągły.

Najważniejsza rada dla osoby startującej w cyber w 2026 roku?

Nie próbuj nauczyć się wszystkiego naraz. Najpierw zbuduj fundamenty, zrozum logikę bezpieczeństwa, poznaj swoje mocne strony i rozwijaj się konsekwentnie. W cyber wygrywa nie ten, kto wie wszystko, tylko ten, kto potrafi stale się uczyć i odpowiedzialnie działać.