Compliance 2026: jak změní DORA, EUCS a AI Act fungování (českých) finančních institucí
Které milníky formují IT compliance v Evropě roku 2026? Pro Českou republiku jsou klíčové zejména DORA, EUCS a AI Act. Podívejme se podrobněji, co to znamená pro banky, pojišťovny a investiční firmy – zejména pro týmy compliance, ICT risk a outsourcingu.
Lenka Lipová
Compliance ve finančním sektoru: realita roku 2026
Nařízení DORA (Digital Operational Resilience Act) je už účinné déle než rok. Teprve rok 2026 ale ukazuje jeho skutečný dopad v praxi. Instituce totiž postupně přecházejí z projektové fáze do každodenního fungování pod dohledem regulátora.
V roce 2025 se finanční instituce soustředily především na:
- gap analýzy vůči DORA,
- mapování vazeb mezi kritickými funkcemi (CIF) a ICT službami,
- revize smluv s klíčovými dodavateli.
Mnoho institucí přitom počítalo s plnou compliance až v letech 2026–2027. Dnes je jasné proč je implementace komplexní a zasahuje celou organizaci.
DORA v praxi (2026)
Rok 2026 přináší první plnou zkušenost s DORA v provozu:
- rozvoj reportingu a testování digitální odolnosti,
- vyšší očekávání regulátorů (včetně ČNB),
- důraz na reálné řízení ICT rizik a závislostí.
Zásadní novinkou je také označení kritických ICT third-party providers (CTPP) ze strany evropských dohledových orgánů (EBA, EIOPA, ESMA). Na seznamu jsou vedle hyperscalerů (Microsoft, AWS, Google Cloud) i další významní technologičtí a datoví poskytovatelé.
Jaký to bude mít důsledek pro finanční instituce?
- Vyšší regulatorní pozornost u využívaných dodavatelů
- Tlak na kvalitní exit strategie a řízení koncentrace rizik
- Potřeba detailního mapování závislostí na ICT službách
Nyní se tedy naplno projevuje problém, který instituce podceňovaly:
Bez něj nelze efektivně nastavit monitoring, testování ani řízení výpadků.
EUCS a suverenita cloudu
Velkým tématem roku 2026 je také EUCS (European Cybersecurity Certification Scheme for Cloud Services), které je stále ve fázi finalizace na evropské úrovni.
EUCS vzniká jako reakce na otázku:
Je tedy reakcí na rostoucí závislost EU na non-EU cloudových gigantech (Microsoft, Amazon, Google). Obavy o data sovereignty vzrostly zejména po Snowdenových únicích (2013) a po zavedení CLOUD Act (2018).
Připravované schéma počítá se třemi úrovněmi:
- Basic – základní bezpečnost
- Substantial – vyšší úroveň ochrany
- High – nejvyšší úroveň bezpečnosti a kontroly
Diskuse kolem EUCS se výrazně točí kolem tématu digitální suverenity, zejména u kritických služeb (CIF).
V praxi to pro banky znamená:
- sledování vývoje EUCS a jeho dopadu na cloud strategie,
- tlak na transparentnost a bezpečnost cloudových providerů,
- větší důraz na řízení vendor lock-in a přenositelnost služeb.
Jak se EUCS vyvíjí?
- 2019: základní rámec
Přijetí Cybersecurity Act (EU) 2019/881 dává ENISA mandát vytvářet evropská certifikační schémata. EUCS je jedním z nich a zaměřuje se na cloudové služby (IaaS, PaaS, SaaS).
- 2020: první návrhy
První verze EUCS obsahují výrazný důraz na bezpečnost a také prvky digitální suverenity. Diskutují se například
požadavky na lokalizaci dat nebo omezení přístupu ze třetích zemí.
- 2021–2022: intenzivní debata
Návrh vyvolává silnou reakci. Některé členské státy (zejména Francie a Německo) prosazují přísnější „suverénní“ přístup. Globální cloudoví poskytovatelé a část trhu upozorňují na riziko omezení konkurence. Výsledkem je období intenzivního vyjednávání mezi regulatory a členskými státy.
- 2023: úpravy návrhu
Další verze návrhu postupně upravují požadavky:- větší diferenciace mezi jednotlivými úrovněmi certifikace
- zmírnění některých požadavků u nižších úrovní (basic, substantial)
- pokračující diskuse o rozsahu požadavků pro nejvyšší úroveň (high)
- 2024–2026: finalizace na evropské úrovni
EUCS zůstává předmětem politického i odborného vyjednávání. V této fázi:- probíhá sladění finální podoby schématu,
- řeší se jeho vztah k digitální suverenitě a evropské cloudové strategii,
- diskutuje se jeho praktická aplikace v regulovaných sektorech (včetně financí).
Schéma zatím není finálně přijato, ale jeho dopad je už nyní patrný – zejména v tom, jak finanční instituce přemýšlí o cloudu, dodavatelích a lokalizaci dat.
AI Act: druhá vlna compliance
Další zásadní milník nás čeká v srpnu 2026, kdy se začnou naplno uplatňovat klíčové povinnosti AI Actu, zejména pro vysoce rizikové AI systémy.
Finanční instituce tak řeší:
- governance AI modelů,
- řízení rizik, včetně bias a explainability,
- evidenci a případnou registraci vybraných systémů,
- propojení AI s ICT risk managementem.
S rostoucím využitím AI v cloudu se tato oblast přirozeně propojuje s DORA i s širšími otázkami digitální suverenity.
Tři paralelní výzvy v compliance roku 2026
Compliance dnes tedy není jedno téma, ale kombinace několika oblastí:
- DORA → ICT risk management, incidenty, třetí strany
- AI Act → governance a regulace AI systémů
- Cloud / suverenita (EUCS) → kontrola nad daty a dodavateli
Instituce, které tyto oblasti řeší odděleně, narážejí na limity. Naopak roste význam propojeného přístupu napříč
organizací.
Co se ukazuje jako klíčové?
- propojení compliance, ICT risku, IT a businessu
- vznik centrální governance pro AI a cloud
- důraz na reálnou (ne papírovou) odolnost
Co se často přehlíží?
Vedle DORA, AI Act a EUCS je potřeba sledovat i širší regulatorní kontext.
Do hry vstupuje zejména implementace směrnice NIS2, která rozšiřuje požadavky na kybernetickou bezpečnost napříč sektory a dopadá i na dodavatelské řetězce. Zároveň zůstávají relevantní existující regulatorní rámce (např. EBA guidelines pro ICT risk a outsourcing), které se v praxi s DORA překrývají.
Výsledek?
Compliance v IT se neposouvá jen směrem k novým regulacím, ale k vrstvení požadavků, které se vzájemně prolínají. Rok 2026 je přitom zlomový. Nejde v něm už o „readiness“, ale o prokazatelnou compliance v praxi.
A rok 2027? Ten pravděpodobně přinese další posun směrem k Open Finance (PSD3, PSR, FiDA). Ale to už je kapitola sama pro sebe.
