Evropský orgán pro cenné papíry a trhy (ESMA) vydal koncem září 2025 nové pokyny, které se dotknou každého depozitáře alternativních investičních fondů (AIF) i depozitáře UCITS, kteří nejsou přímo pod nařízením DORA. Téma, které může působit technicky, má přitom velmi praktický dopad – od ochrany dat až po stabilitu finančních služeb. Jde totiž o to, kdo nese odpovědnost, když cloud selže.
Jak velký je dopad?
Podle ESMA bude muset mít každý depozitář jasně popsanou strategii outsourcingu cloudových služeb, včetně odpovědnosti, kontroly a evidence všech dohod s poskytovateli. Každý externí vztah se má dokumentovat v rozsahu, který připomíná mini-due diligence. Organizace musí znát, kde se jejich data fyzicky nacházejí, kdo má k nim přístup a jak rychle se dokážou obnovit po výpadku.
Z pohledu řízení rizik se jedná o významný posun. ESMA výslovně vyžaduje, aby podnik vyhodnotil i „koncentrační riziko“ – tedy situaci, kdy více finančních institucí využívá stejného poskytovatele cloudových služeb. Pokud by se takový poskytovatel dostal do problémů, mohlo by to narušit celý segment trhu.
Podle odhadu konzultačních firem využívá dnes pět největších poskytovatelů (v čele s AWS a Microsoft Azure) přes 80 % evropských finančních datových úložišť. V praxi to znamená, že i malý lokální fond se stává součástí systémového rizika.
Co se bude musí dělat jinak
Nové pokyny jdou do detailu: požadují analýzu každého outsourcingu před jeho uzavřením, hloubkovou kontrolu poskytovatele, písemnou dohodu s jasně stanovenými právními vztahy a možnost okamžitého odstoupení. Nejde přitom jen o formality – ESMA například nařizuje, že smlouva musí obsahovat právo na audit, strategii odstoupení a popis, jak se naloží s daty po ukončení spolupráce.
Zvláštní pozornost se věnuje bezpečnosti informací. Podniky budou muset prokázat, že mají zavedené šifrování, vícefaktorové ověřování, kontrolu přístupu i plány obnovy po havárii. Pokud jde o zásadní nebo důležité funkce, budou auditoři vyžadovat pravidelné testování těchto mechanismů.
Z praktického hlediska se depozitáři a investiční společnosti ocitnou v podobné situaci, jako když DORA vstoupila do života bank. Povinnost zavést interní dohled, jasně stanovit zodpovědnosti a zajistit možnost nezávislého auditu bude znamenat další administrativní i finanční zátěž. V případě neplnění pokynů může být ze strany dohledových orgánů uloženo opatření nebo pokuta.
Co by měli správci fondů udělat hned
Nečekat na vnitrostátní transpozici. Pokyny ESMA jsou účinné od data zveřejnění a vztahují se na všechna nová, obnovená nebo pozměněná ujednání o využívání cloudových služeb. To znamená, že už při prodloužení smlouvy s poskytovatelem musí depozitář přehodnotit, zda splňuje všechny požadavky – od smluvních ustanovení po dokumentaci rizik.
Rozumným krokem je vytvořit vlastní cloudovou politiku, která definuje, jaké typy služeb mohou být outsourcovány a za jakých podmínek. Přestože se může zdát, že jde o velké korporátní téma, dopad na menší hráče je mnohem citelnější – chybí jim oddělení IT bezpečnosti i interní audit. ESMA však nenechává místo pro kompromisy.
Připravit by se měly i správcovské společnosti, které využívají cloud pro reporting nebo data o klientech. I když nejsou primárně depozitáři, jejich poskytovatelé mohou spadat do řetězce dalšího externího zajišťování a odpovědnost se na ně může přenést.
Jde o další krok k sjednocení digitální odvahy Evropy – a test odvahy každé instituce, která se na cloud spoléhá.

