Cloud pod dohledem

autor: | Lis 4, 2025

Evropský orgán pro cenné papíry a trhy (ESMA) vydal koncem září 2025 nové pokyny, které se dotknou každého depozitáře alternativních investičních fondů (AIF) i depozitáře UCITS, kteří nejsou přímo pod nařízením DORA. Téma, které může působit technicky, má přitom velmi praktický dopad – od ochrany dat až po stabilitu finančních služeb. Jde totiž o to, kdo nese odpovědnost, když cloud selže.

Jak velký je dopad?

Podle ESMA bude muset mít každý depozitář jasně popsanou strategii outsourcingu cloudových služeb, včetně odpovědnosti, kontroly a evidence všech dohod s poskytovateli. Každý externí vztah se má dokumentovat v rozsahu, který připomíná mini-due diligence. Organizace musí znát, kde se jejich data fyzicky nacházejí, kdo má k nim přístup a jak rychle se dokážou obnovit po výpadku.

Z pohledu řízení rizik se jedná o významný posun. ESMA výslovně vyžaduje, aby podnik vyhodnotil i „koncentrační riziko“ – tedy situaci, kdy více finančních institucí využívá stejného poskytovatele cloudových služeb. Pokud by se takový poskytovatel dostal do problémů, mohlo by to narušit celý segment trhu.
Podle odhadu konzultačních firem využívá dnes pět největších poskytovatelů (v čele s AWS a Microsoft Azure) přes 80 % evropských finančních datových úložišť. V praxi to znamená, že i malý lokální fond se stává součástí systémového rizika.

Co se bude musí dělat jinak

Nové pokyny jdou do detailu: požadují analýzu každého outsourcingu před jeho uzavřením, hloubkovou kontrolu poskytovatele, písemnou dohodu s jasně stanovenými právními vztahy a možnost okamžitého odstoupení. Nejde přitom jen o formality – ESMA například nařizuje, že smlouva musí obsahovat právo na audit, strategii odstoupení a popis, jak se naloží s daty po ukončení spolupráce.

Zvláštní pozornost se věnuje bezpečnosti informací. Podniky budou muset prokázat, že mají zavedené šifrování, vícefaktorové ověřování, kontrolu přístupu i plány obnovy po havárii. Pokud jde o zásadní nebo důležité funkce, budou auditoři vyžadovat pravidelné testování těchto mechanismů.

Z praktického hlediska se depozitáři a investiční společnosti ocitnou v podobné situaci, jako když DORA vstoupila do života bank. Povinnost zavést interní dohled, jasně stanovit zodpovědnosti a zajistit možnost nezávislého auditu bude znamenat další administrativní i finanční zátěž. V případě neplnění pokynů může být ze strany dohledových orgánů uloženo opatření nebo pokuta.

Co by měli správci fondů udělat hned

Nečekat na vnitrostátní transpozici. Pokyny ESMA jsou účinné od data zveřejnění a vztahují se na všechna nová, obnovená nebo pozměněná ujednání o využívání cloudových služeb. To znamená, že už při prodloužení smlouvy s poskytovatelem musí depozitář přehodnotit, zda splňuje všechny požadavky – od smluvních ustanovení po dokumentaci rizik.

Rozumným krokem je vytvořit vlastní cloudovou politiku, která definuje, jaké typy služeb mohou být outsourcovány a za jakých podmínek. Přestože se může zdát, že jde o velké korporátní téma, dopad na menší hráče je mnohem citelnější – chybí jim oddělení IT bezpečnosti i interní audit. ESMA však nenechává místo pro kompromisy.

Připravit by se měly i správcovské společnosti, které využívají cloud pro reporting nebo data o klientech. I když nejsou primárně depozitáři, jejich poskytovatelé mohou spadat do řetězce dalšího externího zajišťování a odpovědnost se na ně může přenést.

Jde o další krok k sjednocení digitální odvahy Evropy – a test odvahy každé instituce, která se na cloud spoléhá.

The views expressed in this article are not to be construed as personal advice. Therefore, you should contact a qualified, and ideally, regulated adviser in order to obtain up-to-date personal advice with regard to your own personal circumstances. Consequently, if you do not, then you are acting under your own authority and deemed “execution only”. The author does not accept any liability for people acting without personalised advice, who base a decision on views expressed in this generic article. Importantly, where this article is dated then it is based on legislation as of the date. Legislation changes but articles are rarely updated, although sometimes a new article is written; so, please check for later articles or changes in legislation on official government websites, as this article should not be relied on in isolation.

Vyjádřené názory v tomto článku nelze považovat za osobní poradenství. Vždy se proto obraťte na kvalifikovaného, ideálně regulovaného poradce, který vám poskytne aktuální, osobní doporučení šitá na míru vaší konkrétní situaci. Pokud se rozhodnete jednat bez takového poradenství, činíte tak na vlastní odpovědnost a vaše jednání spadá pod režim „execution only“ (pouhá realizace pokynu bez poradenství). Autor nepřijímá žádnou odpovědnost za rozhodnutí osob, které se spoléhají na názory uvedené v tomto obecném článku bez personalizovaného poradenství. Je důležité si uvědomit, že pokud je článek datován, vychází z právních předpisů platných k uvedenému datu. Právní předpisy se mohou měnit a články jsou aktualizovány jen zřídka. Doporučujeme proto vždy ověřit případné novější články nebo změny legislativy na oficiálních vládních stránkách, protože na tento článek nelze spoléhat izolovaně.

Follow us on Social Media

Post written by:
Autorem článku je:

Monika Škubalová

Monika působí v oblasti compliance a prevence finanční kriminality, kde se specializuje na nastavování vnitřních pravidel a kontrolních mechanismů chránících firmu před finančními a regulatorními riziky. Má zkušenosti s poskytováním odborného poradenství a zaváděním procesů v souladu s legislativou. Aktivně se podílí na vzdělávání interního týmu a podporuje firemní kulturu odpovědnosti a transparentnosti.

Aisa International is the only financial advice service company specialising in advice for expats that is regulated as a Securities Trader in the Czech Republic, USA, and UK.