Cloud compliance 2023: co přinesl minulý rok a co nás čeká a (nejspíš) nemine letos?

Cloud compliance 2023: co přinesl minulý rok a co nás čeká a (nejspíš) nemine letos? | Encyklopedie cloudu ORBIT

Rok 2022 je za námi. Rozdávají se ceny za kdeco a bilancuje se. Pokusme se tedy také o malou rekapitulaci. Jaký byl rok 2022 v oblasti compliance? A s čím přijde ten aktuální? Máme se nechat překvapit, nebo už víme, na co se připravit?

Dana Yussupova

Co přinesl v cloud compliance rok 2022

Na začátku roku byly ještě znát dozvuky covidu a všichni se těšili, jak vše začne být zase normální. Dlouho to nevydrželo. Když už jsme se chtěli nadechnout, začala válka na Ukrajině. Evropa se ponořila do energetické krize, vedou se nekonečné diskuse o její příčině a řešeních, hospodářský rozvoj začalo obcházet strašidlo recese.

Ve všech těch změnách roku 2022 zůstalo alespoň něco stejné, a sice směřování EU v oblasti digitalizace. EU drží linii a realizuje svou digitální strategii podle plánu. Na její cestě se z pohledu compliance vloni stalo pár důležitých událostí.

Nakládání s daty

Byly schváleny a publikovány zásadní, dlouho očekáváné předpisy pro evropskou digitální cestu, na níž zůstává prioritou obezřetné nakládání s daty:

Kyberbezpečnost

V této oblasti zájmu EU bylo schváleno:

  • DORA
    Nařízení o digitální provozní odolnosti finančního sektoru; jde o nařízení, to znamená, že je přímo účinné. Není potřeba žádná lokální úprava. Už se čeká jen na tzv. Regulatorní technické standardy (RTS).
  • NIS2
    Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti; protože se jedná o směrnici, ještě si chvíli počkáme na lokální transpozici.
  • CER
    Směrnice o posílení odolnosti kritických subjektů v odvětvích jako energetika, doprava, zdravotnictví, vodohospodářství a vesmír. Některá ustanovení návrhu směrnice se týkají i orgánů veřejné správy. Kritické subjekty budou muset identifikovat příslušná rizika, která mohou významně narušit poskytování základních služeb, a budou muset aplikovat opatření k zajištění své odolnosti a hlásit příslušným orgánům incidenty způsobující narušení.

Důležité spolupráce

Započaly zajímavé a důležité spolupráce jako třeba:

  • ENISA & European Data Protection Supervisor (EDPS)
    Obě instituce spojí síly v tématech kyberbezpečnost a ochrana osobních údajů (v čemž budou podporovat také ostatní instituce EU). Cílem plánu je mj. prosazovat společný přístup k ochraně údajů, zavádět technologie zvyšující soukromí a posilovat kapacity a dovednosti v rámci institucí EU.
  • ČNB & NÚKIB
    Obě instituce budou spolupracovat při dohlídkách u finančních institucí, při určování prvků kritické infrastruktury, v oblasti metodologie a při testování kybernetické odolnosti, vzájemně si budou poskytovat konzultace a vzdělávání.
  • ČBA & NÚKIB
    Užší spolupráce se zaměří především na prevenci před kybernetickými hrozbami, na výměnu informací o zaznamenaných hrozbách i přímo o kybernetických útocích.

Co nás čeká v cloud compliance v roce 2023

Očekáváme tyto předpisy:

  • Adequacy decision for the EU-US Data Privacy Framework
    Po získání stanoviska k rozhodnutí od Evropskému výboru pro ochranu údajů (EDPB) a poté, co Komise bude mít zelenou od výboru zástupců členských států, půjde rozhodnutí na schválení.
  • Dokončení Aktu o umělé inteligenci
    Cílem je podchytit odpovědnosti výrobců produktů umělé inteligence. Předpis řeší předpoklad kauzality tam, kde by zranění mohlo souviset s produkty umělé inteligence, které jsou na vysoké technické úrovni. Směrnice také vytváří právo na přístup k informacím o technologii, aby obětem pomohla získat důkazy o odpovědnosti výrobce. Směrnice může mít vliv na hromadné žaloby, odškodňování, ochranu obchodního tajemství atd.
  • Právní rámec pro ochranu zdravotních údajů
    Nařízení cílí na poskytovatele digitálního zdraví, které má donutit ke splnění řady nových právních požadavků platných pro systémy používající pro zpracování zdravotních údajů. Nařízení se vztahuje na výměnu zdravotních údajů mezi pacienty a zdravotnickými pracovníky i napříč státy EU. Míří také na sekundární využití těchto údajů pro vědecké účely, inovace a rozvoj.
  • eIDAS
    V roce 2023 je očekáváno oznámení o přezkumu nařízení (EU) č. 910/2014 (Nařízení eIDAS). Cílem přezkumu bude rozšířit jeho přínosy pro soukromý sektor a propagovat digitální identitu. Reforma by měla zahrnovat mimo jiné:
    • Zavedení evropské digitální identity
    • Schémata elektronické identifikace
    • Kvalifikovaná archivační služba pro kvalifikované elektronické podpisy
    • Kvalifikované elektronická archivační služba pro elektronické dokumenty
    • Elektronická atestace atributů
    • Kvalifikované důvěryhodné služby.

Na co má smysl se připravit již nyní 

  • DORA
    Budou vydány tzv. Regulatorní technické standardy (RTS). Proto je nejlepším postupem do doby jejich zveřejnění provést due dilligence stávajícího stavu a až následně implementovat kroky v oblastech, na které RTS dopadnou.
  • NIS2
    Jedním ze stěžejních bodů, který má smysl realizovat již nyní před národní transpozicí (nejdéle do září 2024), je zrevidovat smluvní vztahy s dodavateli. Pokud bude společnost dojednávat nové smlouvy s dodavateli, je vhodné mít NIS2 na paměti a zapracovat její požadavky již nyní. Jinak je lepší si počkat na národní transpozici. V ČR lze očekávat, že bude rychlá, protože NÚKIB již vše připravil. Stačí, aby sněmovna pracovala, jak má.

Digitální transformace zůstává i nadále prioritou naší vlády. ČNB a NÚKIB si potvrdili spolupráci. Na základě nutnosti implementovat výše uvedené předpisy proto můžeme očekávat rozvoj digitalizace na všech úrovních. Z pohledu doby před 30 lety prožíváme díky digitalizaci už nyní sci-fi – a to je jen začátek. Dveře už jsme otevřeli a je na nás, co bude následovat.

O autorovi
Dana Yussupova
Dana Yussupova

Compliance consultant | LinkedIn

Dana se dlouhodobě zabývá oblastí compliance a kontrolními funkcemi (audit, risk management) ve finančním sektoru. Soustředí se zejména na regulace spojené s IT riziky, cloudem a outsourcingem, a to jak v rámci EU, tak na úrovni (ne)členských států a Indie.