Kariera w IT bez programowania: zawody związane z AI, prawem i bezpieczeństwem

Przez
Maria Pawłowski
-
0
8
Rate this post

Nawigacja:

Dlaczego IT bez programowania ma dziś sens

Kariera w IT bez programowania przestała być niszą. Rozwój sztucznej inteligencji, eksplozja regulacji prawnych i coraz bardziej wyrafinowane zagrożenia bezpieczeństwa sprawiają, że potrzebni są ludzie łączący technologię z biznesem, prawem i organizacją pracy. To obszar, w którym osoby nietechniczne mogą zbudować bardzo solidną pozycję zawodową.

Rosnąca złożoność systemów i potrzeba ról „pomiędzy”

Systemy IT i rozwiązania AI są na tyle złożone, że sam zespół programistów nie wystarcza. W każdej większej organizacji rośnie zapotrzebowanie na osoby, które:

  • rozumieją język biznesu i wymagania użytkowników,
  • potrafią przełożyć je na zrozumiałe dla zespołu technicznego wymagania,
  • ogarniają ryzyka prawne i bezpieczeństwa,
  • tworzą procedury, polityki i dokumentację,
  • pilnują, aby projekt był zgodny z regulacjami i celami firmy.

To właśnie role „pomiędzy”: product managerowie, specjaliści ds. zgodności (compliance), analitycy biznesowi, specjaliści ds. bezpieczeństwa informacji, AI governance. Nie wymagają one programowania na poziomie zawodowym, ale wymagają rozumienia, jak technologia działa i jakie niesie konsekwencje.

Regulacje jako napęd nowych zawodów: RODO, AI Act, NIS2

Prawo technologiczne zmienia się tak szybko, że firmy nie nadążają bez wyspecjalizowanych ról. Kilka przykładów, które mocno napędzają popyt na stanowiska nietechniczne:

  • RODO / GDPR – wymusza obecność Inspektora Ochrony Danych (IOD/DPO), budowę procesów ochrony danych, audyty, szkolenia pracowników.
  • AI Act – regulacja UE dotycząca sztucznej inteligencji; tworzy zapotrzebowanie na specjalistów od klasyfikacji systemów AI, dokumentacji, oceny ryzyka i nadzoru nad ich stosowaniem.
  • NIS2 – dyrektywa dotycząca cyberbezpieczeństwa; nakłada obowiązki na firmy w zakresie zarządzania ryzykiem, incydentami i ciągłością działania.

Te przepisy generują konkretne role: AI compliance officer, konsultant RODO w IT, specjalista ds. zgodności NIS2, audytor bezpieczeństwa informacji. Większość z nich nie wymaga umiejętności kodowania, ale łączy prawo, procedury i ogólną wiedzę o IT.

AI automatyzuje kodowanie, ale rośnie rola kompetencji koncepcyjnych

Systemy typu GitHub Copilot, ChatGPT czy inne narzędzia generujące kod zmieniają pracę programistów. Coraz więcej powtarzalnych zadań koderskich przejmują maszyny. Zostaje projektowanie systemów, analiza wymagań, definiowanie problemów i ocena ryzyka. To przestrzeń, w której osoby bez twardych umiejętności programistycznych mogą być bardzo silne, o ile:

  • potrafią precyzyjnie opisywać problemy i cele,
  • umieją formułować dobre zapytania do modeli AI,
  • rozumieją konsekwencje biznesowe i regulacyjne zastosowań AI,
  • czują odpowiedzialność za etyczne wykorzystanie technologii.

Programowanie staje się jedną z kompetencji, a nie jedynym przepustką do branży. Wygrywają ci, którzy łączą myślenie analityczne z rozumieniem ludzi, organizacji i prawa.

Mity: „w IT musisz być programistą” i „humaniści nie mają tam czego szukać”

Dwa szkodliwe przekonania skutecznie zniechęcają osoby z „miękkim” lub prawniczym zapleczem:

  • Mit 1: „W IT wszyscy programują”. W wielu firmach udział programistów w całej załodze IT to kilkanaście–kilkadziesiąt procent. Reszta to administratorzy, analitycy, product ownerzy, specjaliści ds. bezpieczeństwa, compliance, support, UX, trenerzy, dokumentaliści.
  • Mit 2: „Humanista nic nie zrozumie z IT”. Prawnik, psycholog, socjolog czy filolog, który ogarnie podstawy działania systemów i pozna specyfikę branży, może być bardzo skuteczny właśnie dlatego, że umie patrzeć szerzej: na ludzi, procesy, komunikację i prawo.

W praktyce dużo trudniej znaleźć osobę, która rozumie RODO, ryzyka biznesowe i potrafi porozmawiać z działem IT, niż kolejnego programistę z podstawowym doświadczeniem. Ta luka to duża szansa na karierę.

Wynagrodzenia i stabilność ról nietechnicznych w IT

Poziomy wynagrodzeń różnią się między krajami, firmami i poziomem seniority, ale układ jest podobny: dobrze obsadzone role nietechniczne w obszarach AI, prawa i bezpieczeństwa często zarabiają w widełkach zbliżonych do programistów średniego poziomu. Szczególnie dotyczy to stanowisk takich jak:

  • Inspektor Ochrony Danych / DPO w organizacji technologicznej,
  • AI compliance / AI governance specialist,
  • product manager w obszarze cyberbezpieczeństwa lub AI,
  • konsultant ds. bezpieczeństwa informacji.

Do tego dochodzi wysoka stabilność. Regulacje nie znikną, ryzyka nie wyparują, a odpowiedzialność osobista kadry zarządzającej (np. za naruszenia RODO czy NIS2) sprawia, że firmy nie traktują tych ról jako „miłego dodatku”, tylko jako konieczność.

Jakie kompetencje „zastępują” programowanie w tych rolach

Skoro nie kod, to co staje się „głównym narzędziem pracy”? W rolach związanych z AI, prawem i bezpieczeństwem kluczowe są umiejętności koncepcyjne, organizacyjne i komunikacyjne. To one „niosą” Twoją wartość w projekcie.

Myślenie systemowe i umiejętność zadawania właściwych pytań

Myślenie systemowe oznacza, że widzisz proces i zależności, nie tylko pojedyncze zadanie. W praktyce w karierze w IT bez programowania przekłada się to na:

  • umiejętność rozłożenia problemu biznesowego na kroki i elementy,
  • dostrzeganie miejsc, w których dane są przetwarzane (ważne przy RODO i AI),
  • rozumienie, jakie skutki organizacyjne ma zmiana systemu lub procedury,
  • świadomość, że jedno ryzyko wpływa na inne (np. bezpieczeństwo + reputacja + prawo).

Sercem tej kompetencji jest zadawanie dobrych pytań: „co się stanie, jeśli…”, „kto ma dostęp do…”, „jak rozpoznamy, że system działa niezgodnie z polityką?”, „jak to udowodnimy audytorowi?”. To nie jest abstrakcyjna filozofia, tylko bardzo praktyczne podejście, które ułatwia współpracę z zespołem technicznym.

Zrozumienie podstaw technologii na poziomie koncepcyjnym

Nie musisz znać składni języków programowania, ale potrzebujesz orientacji, jak działa środowisko, w którym pracujesz. Podstawa to:

  • co to jest serwer, klient, API, baza danych, szyfrowanie,
  • jak działa sieć w organizacji – ogólnie, nie na poziomie konfiguracji routera,
  • czym różni się system on-premise od chmury (SaaS, PaaS, IaaS),
  • jak powstaje i jest trenowany model AI, skąd bierze dane, jakie ma ograniczenia.

Ta wiedza przydaje się przy ocenie ryzyka (security, RODO, AI governance), w rozmowie z dostawcami i w projektowaniu procedur. Wystarczy poziom, który pozwala zrozumieć, „co się dzieje z danymi” i „gdzie może być słaby punkt”.

Praca z dokumentacją, normami i procedurami

Zawody w IT bez programowania często kręcą się wokół dokumentów. Chodzi nie o nudne „papierki dla papierków”, ale o czytelne zasady, które:

  • chronią organizację przed karami i incydentami,
  • ułatwiają wdrażanie systemów AI i rozwiązań IT,
  • służą jako dowód zgodności przy audytach.

Przykładowe typy dokumentów, z którymi się pracuje:

  • polityki bezpieczeństwa informacji, polityki użycia AI,
  • procedury obsługi incydentów, backupów, testowania,
  • rejestry czynności przetwarzania (RODO), DPIA, oceny ryzyka,
  • dokumentacja zgodności z normami (np. ISO 27001).

Silna strona to umiejętność czytania norm, rozporządzeń, wytycznych i przekładania ich na konkretne procesy i zapisy wewnętrzne. Kto umie to zrobić prosto i precyzyjnie, jest na wagę złota.

Komunikacja między technologią a biznesem

W roli product managera, analityka bezpieczeństwa czy specjalisty ds. AI governance spędzasz dużo czasu na rozmowach. Twoje zadanie:

  • tłumaczyć ograniczenia techniczne na język decyzji biznesowych,
  • pokazywać skutki prawne i wizerunkowe określonych rozwiązań,
  • facylitować spotkania, na których techniczni i nietechniczni muszą się dogadać,
  • tworzyć materiały, które są zrozumiałe dla osób spoza IT (zarząd, marketing, HR).

To nie jest „miła miękka kompetencja”. Od jakości komunikacji zależy, czy firma wdroży system AI legalnie i bez katastrofy wizerunkowej, czy spali projekt na etapie nieporozumień między zespołami.

Gotowość do ciągłej nauki i pracy z narzędziami

Branża IT zmienia się szybko, ale to nie znaczy, że musisz znać wszystkie technologie. Znacznie ważniejsze jest, czy:

  • umiesz szybko nauczyć się nowego narzędzia (GRC, SIEM, system do zarządzania incydentami, narzędzie do etykietowania danych, platforma do projektów AI),
  • śledzisz zmiany regulacyjne (np. kolejne wytyczne EROD, aktualizacje AI Act),
  • masz nawyk czytania dokumentacji i krótkich kursów zamiast polegania na „opowieściach z korytarza”.

Osoby, które potrafią „na bieżąco podmieniać zestaw narzędzi”, mają przewagę nad tymi, którzy znają jedno narzędzie perfekcyjnie, ale boją się nowości.

Mapka różnych ścieżek: AI, prawo, bezpieczeństwo i obszary pokrewne

Kariera w IT bez programowania nie jest jedną drogą, tylko zestawem ścieżek. Dobrze zobaczyć je jako mapę, a potem wybrać tę, która najlepiej pasuje do Twojego profilu i doświadczeń.

Główne obszary: AI & data, prawo/zgodność, cyberbezpieczeństwo, produkt

Prosty podział, który pomaga się odnaleźć:

  • AI & data – praca z systemami AI, danymi, modelami, ale raczej od strony treści, procesów, nadzoru niż czystego kodu.
  • Prawo/zgodność (compliance) – RODO, AI Act, umowy IT, licencje, własność intelektualna, wewnętrzne polityki.
  • Cyberbezpieczeństwo – bezpieczeństwo informacji, zarządzanie ryzykiem, audyty, incydenty, szkolenia.
  • Produkt / UX / operacje – prowadzenie produktów i projektów, badanie potrzeb użytkowników, dokumentacja, szkolenia.

W każdym z tych obszarów są role bardziej „prawne”, bardziej „biznesowe” albo bardziej „procesowe”. To pozwala dopasować ścieżkę do tego, co już umiesz.

Ścieżka „AI + prawo”: od AI compliance do policy analyst

Jeśli masz tło prawnicze, administracyjne lub doświadczenie w compliance, ścieżka „AI + prawo” może być bardzo naturalna. Przykładowe role:

  • AI compliance specialist – weryfikuje, czy systemy AI są projektowane i wdrażane zgodnie z wymogami prawnymi i wewnętrznymi standardami.
  • AI policy analyst – śledzi regulacje i tworzy rekomendacje oraz polityki dotyczące wykorzystania AI w organizacji.
  • AI governance officer – koordynuje procesy oceny ryzyka, nadzoru i audytów systemów AI.

To ścieżka dla osób, które lubią łączyć analityczne myślenie z przepisami i odpowiedzialnością. Potrzebne są tu: dobra znajomość prawa (szczególnie europejskiego), zrozumienie działania systemów AI i umiejętność rozpisania wymogów na praktyczne procedury.

Ścieżka „bezpieczeństwo + procesy”: audyty i zarządzanie ryzykiem

Dla osób o bardziej organizacyjnym i procesowym podejściu, naturalna może być ścieżka związana z bezpieczeństwem informacji:

  • audytor bezpieczeństwa informacji – sprawdza, czy organizacja spełnia określone standardy (np. ISO 27001, NIS2, wewnętrzne polityki),
  • specjalista ds. zgodności bezpieczeństwa – buduje i utrzymuje procesy bezpieczeństwa, prowadzi analizy ryzyka, przygotowuje dokumentację,
  • koordynator incydentów – organizuje reakcję na naruszenia bezpieczeństwa, kontaktuje się z różnymi działami.

Tu bardziej liczy się znajomość standardów, umiejętność rozmowy z biznesem i technologią, dobra organizacja pracy niż pisanie skryptów. To dobre miejsce dla osób po zarządzaniu, administracji, ekonomii czy logistyce.

Gdzie ścieżki się przenikają: AI + bezpieczeństwo + ochrona danych

Granice między AI, prawem i bezpieczeństwem są w praktyce rozmyte. Przykłady ról, gdzie te obszary się łączą:

Przykładowe role na styku AI, prawa i bezpieczeństwa

W wielu firmach nazwy tych stanowisk dopiero się kształtują, ale zakres odpowiedzialności bywa podobny. Typowe przykłady:

  • AI risk & compliance officer – koordynuje oceny ryzyka dla systemów AI, łączy wymagania RODO, AI Act i standardów bezpieczeństwa,
  • specjalista ds. ochrony danych w projektach AI – wspiera zespoły przy projektowaniu modeli używających danych osobowych, prowadzi DPIA,
  • konsultant ds. etyki i odpowiedzialnego AI – pomaga projektować zasady użycia AI (fairness, przejrzystość, nadzór człowieka).

Tego typu role dobrze „chwytają” osoby, które lubią łączyć kropki między regulacjami, ryzykiem technologicznym i realnymi procesami w firmie. Często zaczyna się od udziału w jednym projekcie AI jako „osoba od RODO” albo „od bezpieczeństwa”, a potem to się zamienia w pełnoprawną rolę.

Jak wybrać swoją ścieżkę: szybki test dopasowania

Zamiast zgadywać „co jest przyszłościowe”, lepiej sprawdzić, co faktycznie pasuje do Twoich predyspozycji. Prosty test refleksyjny:

  • Lubisz przepisy, precyzyjne definicje, analizę konsekwencji prawnych? Sprawdź obszar: prawo/zgodność + AI.
  • Masz zacięcie organizacyjne, dobrze ogarniasz procesy i ryzyko? Sprawdź: bezpieczeństwo informacji, GRC, audyty.
  • Interesuje Cię AI „od strony treści” – dane, scenariusze użycia, nadzór nad modelem? Sprawdź: AI operations, data curation, AI governance.
  • Lubisz koordynować ludzi i zadania, łączyć różne działy? Sprawdź: product management, project management w obszarze AI / security.

Pomaga też proste ćwiczenie: weź 10–15 ogłoszeń z jednego obszaru (np. AI compliance) i zobacz, czy większość zadań brzmi jak coś, co chcesz robić codziennie. Jeśli czujesz opór już przy czytaniu listy obowiązków, poszukaj innego kierunku.

Zespół specjalistów IT na spotkaniu projektowym w biurze
Źródło: Pexels | Autor: Kampus Production

Zawody związane z AI dla osób bez umiejętności kodowania

Specjalista ds. wdrażania narzędzi AI w biznesie (AI implementation specialist)

W tej roli jesteś „łącznikiem” między dostawcą narzędzia AI a zespołami biznesowymi (sprzedaż, HR, obsługa klienta). Twoje typowe zadania:

  • zbieranie wymagań od biznesu i przekładanie ich na konfigurację narzędzia,
  • przygotowanie scenariuszy użycia (use cases) – co system ma robić, a czego nie,
  • współpraca z dostawcą przy konfiguracji, testach, poprawkach,
  • tworzenie instrukcji, FAQ i materiałów szkoleniowych dla użytkowników,
  • monitorowanie, jak ludzie faktycznie korzystają z AI i gdzie się blokują.

Przykład z praktyki: firma wdraża asystenta AI w dziale obsługi klienta. Ty ustalasz, jakie typy spraw ma obsługiwać, jakich nie wolno przekazywać do bota (np. reklamacje prawne), jak wygląda ścieżka przekazania sprawy do człowieka i jak to opisać w procedurach.

Prompt engineer / AI content designer (w praktycznym wydaniu)

Prompt engineer w wersji „biznesowej” to osoba, która projektuje interakcję między użytkownikiem a modelem językowym. Bez kodu, ale z dużą ilością testów i iteracji. Zakres pracy:

  • projektowanie promptów i szablonów zapytań,
  • tworzenie „person” asystentów AI (np. doradca HR, doradca sprzedaży),
  • testowanie jakości odpowiedzi i wprowadzanie poprawek,
  • opracowanie wytycznych, jak pracownicy mają korzystać z narzędzia,
  • współpraca z prawnikami i bezpieczeństwem, by ustalić, jakich danych nie wolno używać.

Tu bardzo przydaje się doświadczenie z danego obszaru (np. marketing, HR, obsługa klienta). Zamiast znać algorytmy, musisz dobrze rozumieć, jak powinna wyglądać „dobra odpowiedź” dla użytkownika i gdzie model może popełniać błędy.

Specjalista ds. danych treningowych (data annotator / data curator)

Systemy AI uczą się na danych. Ktoś musi te dane wybrać, posegregować, opisać i oznaczyć. Część zadań bywa prosta, ale na wyższym poziomie to bardzo odpowiedzialna praca:

  • definiowanie kategorii i etykiet (labeli), które będą używane w projekcie,
  • tworzenie instrukcji dla zespołów oznaczających dane (czasem zewnętrznych),
  • kontrola jakości oznaczeń, wychwytywanie błędów i niekonsekwencji,
  • współpraca z prawnikami i ekspertami od ochrony danych, by dane były legalne i zanonimizowane,
  • raportowanie problemów z danymi (np. stronniczość, brak reprezentacji części użytkowników).

To dobre wejście w AI dla osób skrupulatnych, które lubią porządkować informacje i pracować z detalem. Z czasem można przejść w role AI operations lub AI governance.

AI product manager bez kodowania

Product manager w obszarze AI rzadko sam programuje. Jego rola to:

  • zrozumienie potrzeb użytkowników i rynku,
  • ustalenie, gdzie AI faktycznie pomaga, a gdzie jest zbędnym gadżetem,
  • układanie roadmapy produktu i priorytetów,
  • koordynowanie pracy zespołu (developerzy, data scientists, prawnicy, bezpieczeństwo),
  • dbanie, by produkt był zgodny z regulacjami i politykami firmy.

Dobry AI PM musi rozumieć ograniczenia modeli (np. halucynacje, zależność od danych) oraz konsekwencje prawne błędnych decyzji systemu. Nie pisze kodu, ale musi zadawać twarde pytania technicznym i prawnym.

Specjalista ds. AI governance i etyki

To rola, która z roku na rok będzie rosnąć. Zadania skupiają się na tym, żeby organizacja używała AI odpowiedzialnie i kontrolowanie:

  • tworzenie i aktualizacja polityk użycia AI w firmie,
  • prowadzenie rejestru systemów AI używanych w organizacji,
  • koordynowanie ocen ryzyka (AI risk assessment, RODO, bezpieczeństwo),
  • przygotowanie organizacji na wymagania AI Act (np. dokumentacja, nadzór, logi),
  • prowadzenie szkoleń o bezpiecznym i zgodnym użyciu AI dla pracowników.

Przydaje się tu tło prawnicze, compliance, risk lub bezpieczeństwo informacji. To dobry kierunek dla osób, które lubią łączyć procesy, regulacje i realne zastosowania technologii.

Role prawnicze i compliance w świecie IT i AI

Specjalista ds. RODO w projektach IT (privacy / data protection specialist)

Klasyczna rola z obszaru ochrony danych wciąż jest potrzebna, ale coraz częściej dotyczy projektów IT i AI. Główne zadania:

  • analiza, jakie dane osobowe są przetwarzane w systemach i po co,
  • przygotowywanie i aktualizacja rejestrów czynności przetwarzania,
  • prowadzenie DPIA (ocen skutków dla ochrony danych),
  • negocjowanie zapisów dotyczących przetwarzania danych w umowach z dostawcami IT,
  • udział w projektach AI, w których używa się danych klientów lub pracowników.

Wymagane jest obycie z RODO i powiązanymi przepisami, umiejętność zadawania technicznym szczegółowych pytań o przepływy danych oraz przekładania wymogów prawnych na proste wytyczne dla biznesu.

Prawnik IT / technologiczny (technology lawyer)

Prawnik specjalizujący się w IT nie musi programować, ale powinien rozumieć, jak działają systemy i modele współpracy z dostawcami. Typowe obszary pracy:

  • umowy wdrożeniowe (systemy IT, SaaS, chmura),
  • umowy licencyjne i kwestie własności intelektualnej (w tym treści generowane przez AI),
  • zapisy dotyczące bezpieczeństwa, RODO i odpowiedzialności w kontraktach,
  • analiza ryzyka prawnego przy nowych usługach cyfrowych,
  • wsparcie zespołów produktowych przy wprowadzaniu nowych funkcji.

Przykład: zespół chce wdrożyć funkcję automatycznego podpowiadania odpowiedzi klientom z użyciem modelu językowego. Prawnik IT ocenia, czy można to zrobić na danej platformie (np. chmura poza UE), jak opisać to w regulaminie usługi i gdzie leży odpowiedzialność za błędne podpowiedzi.

Ekspert ds. AI Act i regulacji AI

Nowe regulacje dotyczące sztucznej inteligencji (np. unijny AI Act) tworzą zapotrzebowanie na specjalistów, którzy potrafią:

  • zinterpretować wymagania przepisów dotyczących różnych klas systemów AI,
  • ocenić, czy dany system podpada pod AI Act i do jakiej kategorii ryzyka należy,
  • przygotować organizację do spełnienia wymagań dokumentacyjnych i nadzorczych,
  • współpracować z zespołami technicznymi przy wdrażaniu środków zgodności,
  • szkolić zarząd i kluczowe działy z nowych obowiązków.

To dobra ścieżka dla prawników i specjalistów compliance, którzy chcą się wyspecjalizować w jednym, szybko rosnącym obszarze. Start to najczęściej lektura AI Act, wytycznych organów nadzorczych i analiza case studies z rynku.

Oficer zgodności (compliance officer) w firmie technologicznej

Klasyczna rola compliance, ale mocno osadzona w realiach IT. Zakres odpowiedzialności bywa szeroki:

  • polityki i procedury związane z przetwarzaniem danych, bezpieczeństwem i użyciem AI,
  • monitorowanie przestrzegania przepisów (RODO, regulacje sektorowe, AI Act),
  • koordynacja audytów wewnętrznych i zewnętrznych,
  • badanie incydentów naruszenia zgodności i rekomendowanie działań naprawczych,
  • wsparcie przy projektowaniu nowych produktów i usług cyfrowych.

Tu przydaje się umiejętność patrzenia na organizację całościowo: jak różne systemy i działy wpływają na siebie nawzajem. To często rola „strażnika ram”, który ustawia zasady gry, a nie wykonuje każde zadanie operacyjne osobiście.

Cyberbezpieczeństwo bez kodowania – jakie są realne opcje

Specjalista ds. bezpieczeństwa informacji (Information Security Specialist)

To jedna z najbardziej wszechstronnych ról w security. W wersji „bez kodu” skupia się na:

  • budowaniu i utrzymywaniu polityk bezpieczeństwa informacji,
  • prowadzeniu analiz ryzyka dla systemów i procesów biznesowych,
  • współpracy z działem IT przy wdrażaniu zabezpieczeń organizacyjnych,
  • szkoleniach pracowników z bezpiecznej pracy w systemach IT,
  • udziale w dochodzeniach po incydentach (co się stało, jakie są wnioski).

Tu bardziej liczy się zdolność porządkowania, zadawania szczegółowych pytań i tłumaczenia wymagań bezpieczeństwa na język biznesu niż umiejętność pisania exploitów.

Specjalista GRC (Governance, Risk & Compliance)

GRC to dobre wejście do security dla osób z doświadczeniem w audycie, kontroli wewnętrznej, finansach czy administracji. Zadania:

  • mapowanie wymagań regulacyjnych i norm (np. ISO 27001, NIS2) na procesy w firmie,
  • utrzymywanie rejestru ryzyk i planów ich ograniczania,
  • współpraca z działem IT przy definiowaniu niezbędnych kontroli,
  • raportowanie poziomu ryzyka i zgodności do zarządu,
  • udział w audytach klientów i audytach zewnętrznych.

W codziennej pracy często korzystasz z narzędzi klasy GRC, arkuszy, raportów i dokumentów. Kod pojawia się raczej jako kontekst (systemy, logi, konfiguracje), nie jako coś, co sam tworzysz.

Audytor bezpieczeństwa informacji / audytor ISO 27001

Audytor nie musi programować, ale musi rozumieć, jak działają procesy IT i jak je sprawdzić. Zadania obejmują:

  • planowanie i prowadzenie audytów wewnętrznych lub u klientów,
  • sprawdzanie, czy procedury bezpieczeństwa rzeczywiście działają w praktyce,
  • analizę luk (gap analysis) względem norm i regulacji,
  • przygotowywanie raportów i rekomendacji działań naprawczych,
  • czasem udział w audytach certyfikacyjnych (np. ISO 27001) jako przedstawiciel organizacji.

Przydają się tu umiejętności rozmowy z ludźmi z różnych szczebli (od admina po zarząd), dobra organizacja pracy i skrupulatność. To naturalna ścieżka dla osób po audycie finansowym, kontroli wewnętrznej czy jakości.

Koordynator incydentów bezpieczeństwa (Security Incident Coordinator)

W większych firmach za każdym incydentem bezpieczeństwa stoi ktoś, kto ogarnia komunikację i działania, nawet jeśli analizy techniczne robi inny zespół. Zakres zadań:

  • przyjmowanie zgłoszeń incydentów i ich kategoryzacja,
  • koordynacja pracy zespołów technicznych, prawnych, PR, HR,

    • Specjalista ds. szkoleń i świadomości bezpieczeństwa (Security Awareness)

    To rola na styku HR, komunikacji i cyberbezpieczeństwa. Celem jest zmiana zachowań ludzi, nie konfigurowanie firewalli. Typowy zakres obowiązków:

  • projektowanie programu szkoleń z bezpieczeństwa (onboarding, cykliczne refreshery),
  • przygotowywanie materiałów: prezentacje, krótkie wideo, checklisty, mini-kursy online,
  • organizowanie kampanii phishingowych i omawianie wyników z zespołami,
  • współpraca z działem IT / security przy formułowaniu prostych zasad dla użytkowników,
  • monitorowanie udziału w szkoleniach i raportowanie do zarządu.

Przykład: wdrożenie genAI w firmie. Specjalista awareness przygotowuje proste wytyczne „co wolno wkleić do czatu, a czego nie”, robi warsztat dla menedżerów i prostą infografikę do intranetu.

Analityk ryzyka cyber (Cyber Risk Analyst)

To rola, która mostkuje świat security i zarządzania ryzykiem. Mniej technicznego dłubania, więcej analizy wpływu na biznes.

  • identyfikowanie scenariuszy ryzyka (np. wyciek danych klientów, sabotaż modelu AI),
  • ocena prawdopodobieństwa i skutków dla procesów biznesowych,
  • priorytetyzacja działań – co trzeba zabezpieczyć jako pierwsze,
  • przygotowywanie przystępnych raportów dla zarządu i właścicieli procesów,
  • współpraca z ubezpieczycielem przy polisach cyber.

Przydaje się tu doświadczenie z ryzykiem operacyjnym, kontrolą wewnętrzną lub konsultingiem. Kod znasz „z daleka”: rozumiesz, że istnieją systemy, logi i API, ale nie musisz umieć ich pisać.

Koordynator ciągłości działania i planów awaryjnych (BCM / DR Coordinator)

W wielu firmach cyberincydent oznacza problem z ciągłością działania. Ktoś musi spiąć to procesowo:

  • opracowanie planów ciągłości działania (BCP) i planów odtwarzania po awarii (DRP),
  • mapowanie zależności: jakie systemy są krytyczne dla których procesów,
  • organizowanie testów planów (np. ćwiczenia „ransomware uderzył w piątek o 17:00”),
  • koordynacja komunikacji z biznesem w trakcie awarii,
  • analiza po incydentach: co działało, co trzeba zmienić.

To dobra ścieżka dla osób po zarządzaniu projektami, operacjami lub w administracji kryzysowej. Kontakt z techniką jest, ale głównie na poziomie „co, kiedy i kto włącza”.

Zespół specjalistów IT omawia projekt w nowoczesnym biurze
Źródło: Pexels | Autor: Pavel Danilyuk

Inne stanowiska w IT w pobliżu AI, prawa i bezpieczeństwa

Analityk biznesowy / systemowy w projektach AI

Analityk to „tłumacz” między biznesem a zespołem technicznym. W projektach AI ta rola nabiera nowego wymiaru:

  • zbieranie wymagań od biznesu (co AI ma robić, a czego nie wolno jej dotykać),
  • mapowanie procesów, które realnie mogą skorzystać na automatyzacji lub asyście AI,
  • ustalanie, jakie dane są potrzebne i skąd je wziąć (z zachowaniem RODO),
  • opisywanie scenariuszy użycia (use cases) i kryteriów sukcesu,
  • współpraca z prawnikami i security przy ocenie ryzyka i zgodności.

W praktyce robisz dużo warsztatów, rysujesz diagramy, przygotowujesz user stories i sprawdzasz, czy to, co zbudował zespół AI, faktycznie rozwiązuje problem, a nie go komplikuje.

Product owner / product manager ds. produktów regulacyjnych i security

Nie każdy produkt cyfrowy to aplikacja do zamawiania jedzenia. Coraz więcej rozwiązań dotyczy zgodności, bezpieczeństwa lub zarządzania ryzykiem.

  • definiowanie funkcji w produktach typu: platformy GRC, narzędzia do oceny ryzyka AI, systemy do zarządzania incydentami,
  • rozmowy z klientami: działami compliance, prawnikami, security, audytem,
  • układanie backlogu tak, by produkt nadążał za zmianami regulacyjnymi (AI Act, NIS2, RODO),
  • koordynacja pracy zespołu developerskiego, UX i sprzedaży,
  • tworzenie materiałów produktowych dla sprzedaży i marketingu.

Tu bardziej liczy się znajomość domeny (regulacje, ryzyko, bezpieczeństwo) i umiejętność priorytetyzacji niż pisanie kodu. Często to naturalna ścieżka dla byłych konsultantów lub osób z wewnętrznego compliance.

Technical writer / dokumentalista w obszarze AI, prawa i bezpieczeństwa

Jeśli dobrze piszesz i lubisz porządkować złożone tematy, to mocny kandydat na Twoją ścieżkę. Zadania obejmują:

  • tworzenie i aktualizację dokumentacji produktów AI (API, integracje, polityki użycia),
  • przekładanie wymogów regulacyjnych na instrukcje i checklisty dla klientów,
  • opis procesów bezpieczeństwa w języku zrozumiałym dla użytkowników biznesowych,
  • współpracę z prawnikami i security przy formułowaniu komunikatów „co to dla Ciebie oznacza”,
  • przygotowywanie artykułów i przewodników dla działów wewnętrznych.

Dobry technical writer zrozumie, po co jest logowanie, audyt, retencja danych, ale nie musi sam implementować tych funkcji.

Konsultant / doradca ds. transformacji z użyciem AI

Firmy, które dopiero „dotykają” AI, często zaczynają od konsultingu. Tu pojawia się rola doradcy, który łączy wiedzę biznesową, prawną i podstawy techniki.

  • diagnoza, gdzie w organizacji są procesy nadające się do wsparcia AI,
  • ocena ograniczeń prawnych i regulacyjnych (RODO, regulacje sektorowe, AI Act),
  • propozycja roadmapy i priorytetów wdrożeń,
  • warsztaty z kadrą zarządzającą i kluczowymi działami,
  • koordynacja prac zewnętrznych dostawców (software house’y, integratorzy, kancelarie).

To rola dla osób z doświadczeniem w konsultingu biznesowym, zarządzaniu zmianą lub doradztwie strategicznym. Kod pojawia się głównie w kontekście: jakie rozwiązania są dostępne na rynku i jak je sensownie pożenić z procesami firmy.

Specjalista ds. vendor management i umów IT / AI

Coraz więcej firm nie buduje systemów samodzielnie, tylko kupuje rozwiązania chmurowe i usługi AI. Ktoś musi ogarniać dostawców.

  • ocena ofert dostawców pod kątem funkcji, bezpieczeństwa i zgodności z regulacjami,
  • koordynacja procesu due diligence (security, RODO, compliance),
  • negocjowanie warunków SLA, odpowiedzialności i zapisów dot. danych,
  • monitorowanie jakości usług i dotrzymywania parametrów umownych,
  • współpraca z prawnikami, security i biznesem przy wyborze narzędzi AI.

To dobre miejsce dla osób po zakupach, sourcingu, vendor management lub administracji kontraktami. Z techniką masz kontakt głównie w formie pytań do dostawcy i checklist bezpieczeństwa.

Specjalista ds. jakości danych (Data Quality / Data Steward)

AI bez dobrych danych jest bezużyteczna. Rola stewarda danych rośnie wraz z kolejnymi wdrożeniami modeli.

  • definiowanie zasad jakości danych (co to znaczy „kompletne”, „spójne”, „aktualne”),
  • monitorowanie błędów w danych i inicjowanie działań naprawczych,
  • współpraca z właścicielami procesów, by poprawić źródła danych,
  • pomoc przy anonimizacji / pseudonimizacji danych używanych do trenowania modeli,
  • tworzenie prostych raportów pokazujących stan danych kluczowych dla AI.

Tu przydają się zdolności analityczne i porządkowanie informacji. Często wystarczy dobra znajomość Excela, narzędzi BI i podstaw zasad ochrony danych, a nie twarde programowanie.

Koordynator projektów regulacyjnych w IT (Regulatory Project Coordinator)

Gdy firma musi dostosować systemy do nowych regulacji (AI Act, NIS2, nowe przepisy sektorowe), potrzebny jest ktoś, kto poskłada całość w projekt.

  • planowanie harmonogramu dostosowania systemów i procesów,
  • koordynacja prac zespołów IT, prawnych, bezpieczeństwa i biznesu,
  • śledzenie postępu i raportowanie do zarządu,
  • dbanie o dokumentację wymaganych działań (np. oceny ryzyka, testy, szkolenia),
  • organizowanie spotkań decyzyjnych i rozwiązywanie blokad międzydziałowych.

To naturalny kierunek dla project managerów, koordynatorów wdrożeń lub osób z PMO, które chcą wejść głębiej w tematykę regulacyjną i bezpieczeństwa.

Specjalista ds. komunikacji i PR kryzysowego w obszarze cyber i AI

Przy większych incydentach bezpieczeństwa czy kontrowersjach wokół AI kluczowe jest, jak firma komunikuje się z klientami, mediami i regulatorami.

  • przygotowywanie szablonów komunikatów na wypadek incydentów (data breach, awaria systemu AI),
  • współpraca z prawnikami przy formułowaniu treści zgodnej z przepisami i umowami,
  • koordynacja komunikacji zewnętrznej i wewnętrznej w sytuacjach kryzysowych,
  • monitorowanie medialnego echa incydentów i doradzanie zarządowi,
  • tworzenie materiałów edukacyjnych, które budują zaufanie do technologii firmy.

To ścieżka dla osób z PR, komunikacji korporacyjnej lub dziennikarstwa, które chcą wyspecjalizować się w tematach nowych technologii, bezpieczeństwa i regulacji.

Specjalista ds. szkoleń wewnętrznych z AI i cyber (L&D w IT)

Gdy w firmie rośnie liczba narzędzi AI i wymagań regulacyjnych, rośnie też potrzeba sensownych szkoleń. Tu pojawia się rola L&D skoncentrowana na technologiach.

  • analiza potrzeb szkoleniowych w różnych działach (sprzedaż, HR, operacje, IT),
  • projektowanie ścieżek rozwoju kompetencji: podstawy AI, cyberhigiena, RODO w praktyce,
  • współpraca z wewnętrznymi ekspertami (AI, prawo, security) przy tworzeniu treści,
  • dobór formy: microlearning, warsztaty, e-learning, gry symulacyjne,
  • mierzenie efektów: testy wiedzy, zmiany w zachowaniu, spadek liczby incydentów „ludzkich”.

To dobry kierunek dla trenerów, metodyków szkoleń i osób z HR Development, które chcą działać bliżej technologii, ale bez wchodzenia w kod.

Specjalista ds. procesów i polityk IT (IT Process & Policy Specialist)

Duże organizacje potrzebują kogoś, kto „uszyje” procesy tak, by spełniały wymagania regulacyjne i bezpieczeństwa, a jednocześnie dało się w nich pracować.

  • projektowanie i aktualizacja procesów IT (zarządzanie zmianą, dostępami, incydentami),
  • pilnowanie, by procesy odzwierciedlały wymagania norm (np. ISO 27001) i regulacji,
  • współpraca z właścicielami systemów nad wdrażaniem polityk w praktyce,
  • przygotowywanie instrukcji i „how-to” dla użytkowników,
  • udział w audytach jako osoba pokazująca, „jak to u nas działa”.

To często naturalna ewolucja dla osób z back-office IT, administracji, PMO lub jakości, które lubią porządek w procesach i dokumentach, a jednocześnie chcą działać blisko tematów regulacyjnych i bezpieczeństwa.

Kluczowe Wnioski

  • Kariera w IT bez programowania ma solidne uzasadnienie biznesowe – rośnie potrzeba ról łączących technologię z biznesem, prawem, organizacją pracy i bezpieczeństwem.
  • W złożonych projektach IT i AI kluczowe stają się role „pomiędzy” (product manager, analityk biznesowy, specjaliści ds. compliance, bezpieczeństwa, AI governance), które nie wymagają zawodowego kodowania, ale dobrego rozumienia, jak działa technologia i organizacja.
  • Nowe regulacje (RODO, AI Act, NIS2) generują konkretne, stabilne stanowiska nietechniczne – m.in. DPO/IOD, AI compliance officer, specjalista ds. zgodności NIS2, audytor bezpieczeństwa informacji.
  • Automatyzacja kodowania przez narzędzia AI przesuwa wartość z pisania kodu na poziom koncepcji: definiowanie problemów, analiza ryzyka, projektowanie procesów, etyka i nadzór nad wykorzystaniem AI.
  • Mit, że „w IT wszyscy programują” oraz że „humaniści nie mają tam czego szukać”, jest nieaktualny – osobę łączącą prawo, ryzyka biznesowe i komunikację z IT często trudniej znaleźć niż kolejnego programistę.
  • Wynagrodzenia w dobrze obsadzonych rolach nietechnicznych (AI, prawo, bezpieczeństwo) są często zbliżone do poziomu programistów mid, a przy tym cechują się wysoką stabilnością dzięki trwałym regulacjom i odpowiedzialności zarządów.
  • Kluczowymi „narzędziami pracy” stają się kompetencje koncepcyjne: myślenie systemowe, umiejętność zadawania właściwych pytań, rozkładania problemu na elementy, rozumienie przepływu danych i skutków organizacyjnych zmian.

Bibliografia i źródła

  • Regulation (EU) 2016/679 (General Data Protection Regulation). European Union (2016) – Podstawa prawna RODO/GDPR, role DPO i obowiązki organizacji.
  • Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence (AI Act). European Union (2024) – Ramy prawne dla systemów AI, klasyfikacja ryzyka i obowiązki dostawców.
  • EN ISO/IEC 27001 Information security management systems – Requirements. International Organization for Standardization (2022) – Norma systemu zarządzania bezpieczeństwem informacji, role i procesy.
  • Guidelines on Data Protection Officers (wp243 rev.01). European Data Protection Board (2017) – Wytyczne dot. roli i zadań Inspektora Ochrony Danych w organizacjach.

Przeczytaj także: