Cloud compliance 2023: co přinesl minulý rok a co nás čeká a (nejspíš) nemine letos?

 

Rok 2022 je za námi. Rozdávají se ceny za kdeco a bilancuje se. Pokusme se tedy také o malou rekapitulaci. Jaký byl rok 2022 v oblasti compliance? A s čím přijde ten aktuální? Máme se nechat překvapit, nebo už víme, na co se připravit?  

Dana Yussupova

 

Co přinesl v cloud compliance rok 2022

Na začátku roku byly ještě znát dozvuky covidu a všichni se těšili, jak vše začne být zase normální. Dlouho to nevydrželo. Když už jsme se chtěli nadechnout, začala válka na Ukrajině. Evropa se ponořila do energetické krize, vedou se nekonečné diskuse o její příčině a řešeních, hospodářský rozvoj začalo obcházet strašidlo recese.

Ve všech těch změnách roku 2022 zůstalo alespoň něco stejné, a sice směřování EU v oblasti digitalizace. EU drží linii a realizuje svou digitální strategii podle plánu. Na její cestě se z pohledu compliance vloni stalo pár důležitých událostí.

 

Nakládání s daty

Byly schváleny a publikovány zásadní, dlouho očekáváné předpisy pro evropskou digitální cestu, na níž zůstává prioritou obezřetné nakládání s daty:

• Akt o správě dat (Digital Governance Act)
  Stanovuje podmínky umožňující využívání dat napříč veřejným sektorem.
• Akt o digitálních službách (Digital Services Act)
  Zavádí nové podmínky a povinnosti pro podnikání v rámci zprostředkovatelských služeb; v roce 2023 musí jednotlivé členské státy určit koordinátory Digitálních služeb a zároveň bude EU Komise postupně vydávat pokyny a pravidla pro implementaci.
• Akt o digitálních trzích (Digital Markets Act)
  Nastavuje pravidla pro největší světové hráče, pravidla vstupu na digitální trh a hospodářské soutěže.
• Adequacy decision for the EU-US Data Privacy Framework
  Evropská komise zahájila proces pro přijetí řešení transatlantických datových toků, které vyřeší obavy Soudního dvora EU z rozhodnutí Schrems II z července 2020. Další detaily k tomuto tématu můžete najít v tomto článku Encyklopedie cloudu nebo na našem LinkedIn profilu.

 

Kyberbezpečnost

V této oblasti zájmu EU bylo schváleno:

• DORA
  Nařízení o digitální provozní odolnosti finančního sektoru; jde o nařízení, to znamená, že je přímo účinné. Není potřeba žádná lokální úprava. Už se čeká jen na tzv. Regulatorní technické standardy (RTS).
• NIS2
  Směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti; protože se jedná o směrnici, ještě si chvíli počkáme na lokální transpozici.
• CER
  Směrnice o posílení odolnosti kritických subjektů v odvětvích jako energetika, doprava, zdravotnictví, vodohospodářství a vesmír. Některá ustanovení návrhu směrnice se týkají i orgánů veřejné správy. Kritické subjekty budou muset identifikovat příslušná rizika, která mohou významně narušit poskytování základních služeb, a budou muset aplikovat opatření k zajištění své odolnosti a hlásit příslušným orgánům incidenty způsobující narušení.

 

Důležité spolupráce

Započaly zajímavé a důležité spolupráce jako třeba:

• ENISA & European Data Protection Supervisor (EDPS)
  Obě instituce spojí síly v tématech kyberbezpečnost a ochrana osobních údajů (v čemž budou podporovat také ostatní instituce EU). Cílem plánu je mj. prosazovat společný přístup k ochraně údajů, zavádět technologie zvyšující soukromí a posilovat kapacity a dovednosti v rámci institucí EU.
• ČNB & NÚKIB
  Obě instituce budou spolupracovat při dohlídkách u finančních institucí, při určování prvků kritické infrastruktury, v oblasti metodologie a při testování kybernetické odolnosti, vzájemně si budou poskytovat konzultace a vzdělávání.
• ČBA & NÚKIB
  Užší spolupráce se zaměří především na prevenci před kybernetickými hrozbami, na výměnu informací o zaznamenaných hrozbách i přímo o kybernetických útocích.

 

Co nás čeká v cloud compliance v roce 2023

Očekáváme tyto předpisy:

• Adequacy decision for the EU-US Data Privacy Framework
  Po získání stanoviska k rozhodnutí od Evropskému výboru pro ochranu údajů (EDPB) a poté, co Komise bude mít zelenou od výboru zástupců členských států, půjde rozhodnutí na schválení.
• Dokončení Aktu o umělé inteligenci
  Cílem je podchytit odpovědnosti výrobců produktů umělé inteligence. Předpis řeší předpoklad kauzality tam, kde by zranění mohlo souviset s produkty umělé inteligence, které jsou na vysoké technické úrovni. Směrnice také vytváří právo na přístup k informacím o technologii, aby obětem pomohla získat důkazy o odpovědnosti výrobce. Směrnice může mít vliv na hromadné žaloby, odškodňování, ochranu obchodního tajemství atd.
• Právní rámec pro ochranu zdravotních údajů
  Nařízení cílí na poskytovatele digitálního zdraví, které má donutit ke splnění řady nových právních požadavků platných pro systémy používající pro zpracování zdravotních údajů. Nařízení se vztahuje na výměnu zdravotních údajů mezi pacienty a zdravotnickými pracovníky i napříč státy EU. Míří také na sekundární využití těchto údajů pro vědecké účely, inovace a rozvoj.
• eIDAS
  V roce 2023 je očekáváno oznámení o přezkumu nařízení (EU) č. 910/2014 (Nařízení eIDAS). Cílem přezkumu bude rozšířit jeho přínosy pro soukromý sektor a propagovat digitální identitu. Reforma by měla zahrnovat mimo jiné:
  • Zavedení evropské digitální identity
  • Schémata elektronické identifikace
  • Kvalifikovaná archivační služba pro kvalifikované elektronické podpisy
  • Kvalifikované elektronická archivační služba pro elektronické dokumenty
  • Elektronická atestace atributů
  • Kvalifikované důvěryhodné služby.

 

Na co má smysl se připravit již nyní 

• DORA
  Budou vydány tzv. Regulatorní technické standardy (RTS). Proto je nejlepším postupem do doby jejich zveřejnění provést due dilligence stávajícího stavu a až následně implementovat kroky v oblastech, na které RTS dopadnou.
• NIS2
  Jedním ze stěžejních bodů, který má smysl realizovat již nyní před národní transpozicí (nejdéle do září 2024), je zrevidovat smluvní vztahy s dodavateli. Pokud bude společnost dojednávat nové smlouvy s dodavateli, je vhodné mít NIS2 na paměti a zapracovat její požadavky již nyní. Jinak je lepší si počkat na národní transpozici. V ČR lze očekávat, že bude rychlá, protože NÚKIB již vše připravil. Stačí, aby sněmovna pracovala, jak má.

 

Digitální transformace zůstává i nadále prioritou naší vlády. ČNB a NÚKIB si potvrdili spolupráci. Na základě nutnosti implementovat výše uvedené předpisy proto můžeme očekávat rozvoj digitalizace na všech úrovních. Z pohledu doby před 30 lety prožíváme díky digitalizaci už nyní sci-fi – a to je jen začátek. Dveře už jsme otevřeli a je na nás, co bude následovat.