Primárním nástrojem vlivu evropského zákazníka není regulace v abstraktní rovině — jsou to konkrétní ustanovení v konkrétních smlouvách. Tato kapitola poskytuje kontrolní seznam pro IT a cloudové smlouvy. Většina položek konsoliduje stávající regulatorní požadavky (DORA, EU Data Act, Cyber Resilience Act, NIS2) do jednoho provozního rámce, namísto zavádění nových vrstev.
Regulatorní kontext: co je již v platnosti
Smluvní prostředí v roce 2026 formuje pět nástrojů:
- DORA (Digital Operational Resilience Act) — v platnosti od 17. ledna 2025 pro 22 000 finančních institucí. Vyžaduje formální strategii ukončení, právo na audit a sledování subdodavatelů. Dne 18. listopadu 2025 bylo jako kritických (CTPP) označeno 19 poskytovatelů ICT — včetně AWS, Azure a Google Cloud. , Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) , EUR-Lex, 2022-12-14 · link · archived
- EU Data Act — přechod k jinému poskytovateli cloudových služeb — účinný od 12. září 2025. , Data Act , Directorate-General for Communications Networks, Content and Technology, 2025-09-12 · link · archived Zákazník musí mít možnost zahájit migraci s dvouměsíční výpovědní lhůtou, po níž následuje 30 dní přechodu a 30 dní pro vyzvednutí dat. Postupný zákaz poplatků za přechod od ledna 2027.
- NIS2 — transponována ve většině členských států v letech 2024–2025. Rozšířená působnost na přibližně 160 000 subjektů.
- Cyber Resilience Act (CRA) — plné povinnosti od 11. prosince 2027. Vyžaduje SBOM a správu zranitelností v průběhu celého životního cyklu produktu.
- AI Act — postupně vstupuje v platnost v letech 2025–2027.
Kontrolní seznam
| # | Oblast | Požadavek | Regulatorní základ |
|---|---|---|---|
| 1 | Umístění dat | Smluvní záruka umístění dat v EU/EHP; explicitní seznam datových center; oznámení při změně | GDPR čl. 44–49, Data Act |
| 2 | Šifrovací klíče | BYOK nebo HYOK; zákazník drží hlavní klíč; poskytovatel nemá přístup ke klíčům v nešifrované podobě | DORA, osvědčená praxe |
| 3 | Právo na ukončení | Zdokumentovaná strategie ukončení; migrace dat v otevřeném formátu; maximální doba ukončení ≤ 6 měsíců; žádné sankční poplatky za odchod | Data Act čl. 23–31, DORA |
| 4 | SBOM | Poskytovatel dodává aktuální Software Bill of Materials pro všechny dodávané produkty | CRA |
| 5 | Subdodávky | Explicitní seznam subdodavatelů; právo zákazníka na veto při změně subdodavatele | DORA, NIS2 |
| 6 | Bezpečnostní záplaty | SLA pro kritické záplaty ≤ 72 h; právo zákazníka testovat záplaty v testovacím prostředí před nasazením | CRA, osvědčená praxe |
| 7 | Právo na audit | Zákazník nebo třetí strana (auditor) má právo auditovat bezpečnostní kontroly poskytovatele | DORA čl. 28 |
| 8 | Kontinuita provozu | Poskytovatel dokládá otestovaný plán BC/DR; zákazník se účastní ročního testu BC | DORA, NIS2 |
| 9 | Jurisdikční transparentnost | Explicitní identifikace jurisdikcí, v nichž sídlí mateřská společnost, provozovatel a subdodavatelé; analýza rizik extrateritoriální legislativy | Osvědčená praxe |
| 10 | Limity koncentrace | Organizace provádí interní přezkum — žádný jediný dodavatel neposkytuje více než dva kritické systémy bez souhlasu vedení | DORA (řízení ICT rizik) |
Jak tento kontrolní seznam používat
Kontrolní seznam není šablonou smlouvy. Je to seznam ustanovení, která je třeba vyjednat. Větší poskytovatelé se některým z nich budou bránit; některá jsou v rámci standardních podmínek nevyjednatelná; některá jsou dosažitelná pouze při určitém rozsahu smlouvy. Realistická aplikace:
- Při každém obnovení smlouvy projděte kontrolní seznam a zjistěte, která ustanovení jsou přítomna, která chybí a která je třeba posílit.
- U 10 nejvýznamnějších kritických dodavatelů nečekejte na obnovení smlouvy — iniciujte proaktivní dodatky.
- U nových smluv použijte kontrolní seznam jako výchozí pozici při výběru dodavatele. Dodavatelé, kteří odmítají většinu položek, odhalují, kde leží jejich obchodní zájmy.
- Zdokumentujte mezeru. Tam, kde kontrolní seznam není splněn, zdokumentujte proč a jaká kompenzační opatření jsou zavedena. Tento dokument je sám o sobě aktivem při regulatorních přezkumech v rámci DORA.
Co tento kontrolní seznam neřeší
Kontrolní seznam poskytuje páku; páka je nezbytná, ale nestačí sama o sobě.
Neřeší politickou rovinu (vyjednávání s USA ohledně CLOUD Act, regulatorní diplomacii v rámci WTO).
Neřeší otázky vyžadující kolektivní akci EU — výstavbu nových továren, podporu ekosystému RISC-V, energetickou politiku pro datová centra. Ta patří státním plánovačům, nikoli jednotlivým ředitelům IT.
Co řeší: vlastní smluvní pozici organizace vůči stávajícím i budoucím dodavatelům. Právě tato pozice činí regulaci funkční, nikoli pouze deklaratorní.
Citované zdroje
- European Parliament and Council of the European Union, Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) , EUR-Lex , 2022-12-14 . link · archived
- European Commission, Data Act , Directorate-General for Communications Networks, Content and Technology , 2025-09-12 . link · archived