Sdělení ČNB k Doporučení ohledně zajištění cloudových služeb u externích poskytovatelů

(EBA/Rec/2017/03)

Dne 20. prosince 2017 vydal Evropský orgán pro bankovnictví (EBA) na základě zmocnění uvedeného v čl. 16 nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES - dále jen „nařízení o zřízení EBA“ – Doporučení ohledně zajištění cloudových služeb u externích poskytovatelů (externí odkaz) (dále jen „doporučení“).

Podle čl. 16 odst. 3 nařízení o zřízení EBA musí příslušné orgány a účastníci finančního trhu vynaložit veškeré úsilí, aby se těmito doporučeními řídili. Česká národní banka potvrdila v souladu s čl. 16 odst. 3 nařízení o zřízení EBA, že se těmito doporučeními hodlá řídit.

Tato doporučení upřesňují podmínky pro externí zajištění služeb institucemi podle čl. 4 odst. 1 bodu 3 nařízení (EU) č. 575/2013 (dále jen „CRR“)1 u poskytovatelů cloudových služeb. Mj. specifikují, jak posoudit závažnost outsourcingu cloudové služby, jaká jsou očekávání dohledových orgánů v oblasti smluvního zajištění práva na auditování poskytovatele cloudových služeb ze strany institucí a příslušných orgánů i práva na jejich fyzický přístup do prostor poskytovatelů cloudových služeb. Doporučení obsahují i pokyny pro zajištění bezpečnosti dat a systémů, způsob zpracování dat a jeho lokaci a zahrnují specifické požadavky na instituce s cílem řídit a zmírnit rizika spojená s řetězovým outsourcingem2. Uvedeny jsou i pokyny týkající se smluvních a organizačních opatření pro pohotovostní plány a exit strategie, které by v rámci outsourcingu cloudových služeb měly být zavedeny.

Doporučení jsou určena příslušným orgánům podle čl. 4 odst. 2 bodu i) nařízení o zřízení EBA a finančním institucím podle čl. 4 odst. 1 bodu 3 CRR.

Plné znění Doporučení k outsourcingu poskytovatelů cloudových služeb (externí odkaz, pouze v angličtině) zahrnuje rovněž prováděcí shrnutí, odůvodnění a doprovodné dokumenty (Executive Summary, Background and rationale, Accompanying documents).

Pokyny nabývají účinnosti dne 1. 7. 2018, což je i termín, ke kterému ČNB oznámila, že bude postupovat při výkonu dohledu v souladu s těmito pokyny.  


1 Nařízení Evropského parlamentu a Rady (EU) č. 575/2013 ze dne 26. června 2013 o obezřetnostních požadavcích na úvěrové instituce a investiční podniky a o změně nařízení (EU) č. 648/2012.

2 Tj. kdy poskytovatel cloudových služeb odebírá prvky služby od jiných poskytovatelů.