Czas na zmianę podejścia. Nie da się już traktować dostępności jako „dodatku” ani cyberbezpieczeństwa jako „warstwy technicznej”. To dwa filary tego samego systemu. Ich rozdzielenie to iluzja – a każda iluzja w obszarze bezpieczeństwa prędzej czy później kończy się incydentem. Najrozsądniejsze pytanie brzmi dziś nie „czy łączyć audyty?”, tylko „dlaczego jeszcze tego nie robimy?”.

 

Regulacje, które się przecinają – nie konkurują
Transformacja cyfrowa wchodzi w etap, w którym nie wystarczy już „działać” – trzeba działać zgodnie z równoległymi reżimami regulacyjnymi. Cyber Resilience Act (CRA), NIS2 czy DORA wyznaczają standardy odporności systemów, podczas gdy Europejski Akt o Dostępności (EAA) określa, kto i w jaki sposób może z tych systemów korzystać. Problem polega na tym, że w praktyce te dwa światy wciąż funkcjonują osobno. A to błąd – i to kosztowny.

Zgodność wybiórcza to brak zgodności
Z perspektywy prawa można bronić tezy, że audyt cyberbezpieczeństwa i audyt dostępności to dwa niezależne procesy. Ale z perspektywy biznesu, technologii i odpowiedzialności – to jeden organizm. Produkt cyfrowy nie istnieje w próżni regulacyjnej. Jeśli ma być dopuszczony do obrotu w Unii Europejskiej i oznakowany symbolem CE, musi spełniać wszystkie mające zastosowanie dyrektywy. Strategia „najpierw bezpieczeństwo, potem dostępność” jest w praktyce nieskuteczna.

Niedostępność jako luka bezpieczeństwa
Niedostępność to nie tylko problem wizerunkowy czy społeczny – to realna podatność. Jeśli użytkownik nie jest w stanie samodzielnie przejść procesu uwierzytelniania, bo CAPTCHA jest nieczytelna dla czytnika ekranu albo kod 2FA wygasa zbyt szybko, system przestaje być bezpieczny. Użytkownik zaczyna szukać obejść: udostępnia dane logowania, korzysta z pomocy osób trzecich, zapisuje hasła w niebezpieczny sposób. W tym momencie zawodzi projekt, nie człowiek.

Security by Design + Accessibility by Design
Kluczowe jest odejście od myślenia silosowego. „Security by Design” bez „Accessibility by Design” to strategia niepełna. Projektowanie mechanizmów bezpieczeństwa musi uwzględniać różnorodność użytkowników – w tym osoby korzystające z technologii asystujących. Nowoczesne podejścia, takie jak uwierzytelnianie bezhasłowe (np. FIDO2/WebAuthn), pokazują, że bezpieczeństwo i dostępność mogą się wzajemnie wzmacniać.

Audyt zintegrowany zamiast równoległego
W praktyce oznacza to konieczność integracji procesów już na poziomie organizacyjnym. Audyty nie powinny być prowadzone równolegle, lecz wspólnie. Testy penetracyjne i testy dostępności muszą się przenikać. Każda zmiana w warstwie bezpieczeństwa powinna automatycznie uruchamiać weryfikację wpływu na dostępność.

Sektory, gdzie nie ma miejsca na kompromisy
Szczególnie istotne jest to w sektorach regulowanych – finansach, telekomunikacji, e-commerce – gdzie zarówno odporność cyfrowa, jak i dostępność są bezpośrednio powiązane z prawami użytkownika. Tu nie ma miejsca na półśrodki. System albo jest dostępny i bezpieczny jednocześnie, albo staje się ryzykiem – prawnym, operacyjnym i reputacyjnym.

Jedna dokumentacja, jeden obraz zgodności
Organizacje często tworzą osobne raporty: jedne dla bezpieczeństwa (np. SBOM), inne dla dostępności (np. VPAT/ACR). Tymczasem regulator oczekuje spójnego obrazu zgodności. Wspólny pakiet dokumentacyjny nie tylko upraszcza proces certyfikacji, ale też wymusza realną integrację działań wewnątrz organizacji.