Důkazy z certifikace cloudových služeb EUCS pro audity v roce 2026
Záře projektoru v zasedací místnosti osvětlovala Ameliinu tvář, když sledovala snímek s názvem „Horizont souladu 2026“. Jako CISO rychle rostoucí fintech společnosti měla na obrazovce tři zkratky a za nimi jeden opakující se provozní problém: NIS2, DORA i GDPR se všechny vracely ke stejným cloudovým platformám.
Auditor DORA požadoval důkazy o řízení ICT rizik třetích stran u cloudových služeb hostujících platební aplikace. Příslušný orgán podle NIS2 klasifikoval společnost jako důležitý subjekt a ptal se, jak je řízeno zabezpečení dodavatelského řetězce. Pověřenec pro ochranu osobních údajů připravoval přezkum podle GDPR zaměřený na bezpečnost zpracovatele, umístění dat a připravenost na porušení zabezpečení. Nákupní oddělení následně přeposlalo krátký e-mail od poskytovatele cloudové analytiky:
„Připravujeme se na certifikaci EUCS. Může to nahradit vaše bezpečnostní posouzení dodavatele?“
Pro vytíženého CISO, pracovníka odpovědného za soulad nebo zakladatele je lákavá odpověď ano. Evropská certifikace kybernetické bezpečnosti cloudových služeb zní přesně jako důkazní artefakt, který má omezit dotazníky, uklidnit auditory a uspokojit zákazníky.
Lepší odpověď je přesnější: certifikace cloudových služeb EUCS se může stát silným důkazem pro ujištění o poskytovateli cloudových služeb, ale pouze tehdy, když je namapována do vašeho vlastního posouzení rizik podle ISO/IEC 27001:2022, Prohlášení o použitelnosti, registru dodavatelů, registru cloudových služeb, smluvních opatření, postupů pro řešení incidentů a záznamů o odpovědnosti podle GDPR.
Na tomto rozlišení záleží. NIS2 činí ze zabezpečení dodavatelského řetězce a odolnosti digitální infrastruktury předmět dohledu. DORA stanoví, že finanční subjekty zůstávají odpovědné za ICT rizika třetích stran, i když jsou cloudové služby outsourcovány. GDPR vyžaduje, aby správci a zpracovatelé prokazovali odpovědné, zákonné a bezpečné zpracování. ISO/IEC 27001:2022 vyžaduje vymezený systém řízení založený na rizicích, který zohledňuje právní, regulační, smluvní závislosti a závislosti na třetích stranách.
EUCS tyto povinnosti neruší. Poskytuje strukturovaný důkazní artefakt, který lze hodnotit, normalizovat, zpochybňovat a opakovaně používat.
Přístup Clarysec je jednoduchý: považujte EUCS za vysoce hodnotný vstup pro ujištění o dodavateli, nikoli za zkratku k dosažení souladu. V Zenith Controls: průvodce napříč požadavky na soulad začíná cloudový blok ujištění opatřením ISO/IEC 27002:2022 5.23, Bezpečnost informací při používání cloudových služeb, a propojuje jej s 5.20, řešení bezpečnosti informací ve smlouvách s dodavateli, a 5.22, monitorování, přezkum a řízení změn služeb dodavatelů. Tato tři opatření tvoří páteř obhajitelného přezkumu důkazů EUCS.
Proč ujištění o cloudu podle NIS2, DORA a GDPR naráží na své limity
V roce 2026 už ujištění o cloudu není pouze nákupním procesem. Je to téma pro řídicí orgány, regulační orgány i audit.
Směrnice NIS2, směrnice (EU) 2022/2555, rozšiřuje povinnosti v oblasti kybernetické bezpečnosti pro základní a důležité subjekty. Její působnost zahrnuje řadu odvětví výrazně závislých na cloud computingu a její prostředí digitální infrastruktury zahrnuje poskytovatele cloud computingu, poskytovatele služeb datových center, sítě pro doručování obsahu, poskytovatele služeb vytvářejících důvěru, poskytovatele služeb DNS a registry názvů TLD. V popředí jsou také poskytovatelé řízených služeb a poskytovatelé řízených bezpečnostních služeb.
Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření, včetně analýzy rizik, zvládání incidentů, kontinuity činností, zabezpečení dodavatelského řetězce, bezpečného pořizování a vývoje, zvládání zranitelností, hodnocení účinnosti, kybernetické hygieny, kryptografie, řízení přístupu, správy aktiv a autentizace. Article 23 stanoví postupná očekávání pro hlášení incidentů, včetně včasného varování do 24 hodin a oznámení incidentu do 72 hodin, s ohledem na směrnici a její vnitrostátní provedení. Article 24 umožňuje členským státům za určitých okolností vyžadovat používání ICT produktů, služeb nebo procesů certifikovaných podle evropských schémat certifikace kybernetické bezpečnosti. Article 25 podporuje používání relevantních evropských a mezinárodních norem.
DORA, nařízení (EU) 2022/2554, je pro finanční subjekty ještě přímější. Od 17. ledna 2025 vyžaduje, aby finanční organizace řídily ICT rizika, hlásily závažné incidenty související s ICT, testovaly digitální provozní odolnost a řídily ICT rizika třetích stran. Pro subjekty spadající do její působnosti funguje DORA jako odvětvový právní akt Unie pro odpovídající povinnosti v oblasti kybernetické bezpečnosti, které se překrývají s vnitrostátními pravidly NIS2.
DORA neumožňuje outsourcovat odpovědnost. Articles 28 to 30 vyžadují, aby finanční subjekty prováděly náležitou péči, posuzovaly riziko koncentrace, udržovaly registry smluvních ujednání, zahrnovaly povinné smluvní ochranné mechanismy, zachovávaly auditní a přístupová práva, zajišťovaly součinnost při incidentech, spolupracovaly s příslušnými orgány a udržovaly exit strategie pro ICT služby podporující kritické nebo důležité funkce.
GDPR, nařízení (EU) 2016/679, doplňuje vrstvu odpovědnosti a ochrany osobních údajů. Article 5 vyžaduje, aby správci dodržovali zásady ochrany osobních údajů a byli schopni jejich dodržování doložit. Article 28 upravuje vztahy se zpracovateli a vyžaduje dostatečné záruky od zpracovatelů. Article 32 vyžaduje vhodná technická a organizační opatření k zajištění zabezpečení zpracování.
Výsledkem je problém konvergence. Jeden poskytovatel cloudových služeb může být kritickou ICT třetí stranou podle DORA, přímým dodavatelem v dodavatelském řetězci podle NIS2 a zpracovatelem nebo dílčím zpracovatelem podle GDPR. Pokud je ujištění řízeno oddělenými dotazníky, PDF certifikáty a smluvními složkami, každý audit se mění v rekonstrukci důkazů.
EUCS může tento chaos omezit, ale pouze tehdy, když je začleněn do řízeného důkazního modelu.
Co EUCS může prokázat a co nikoli
Evropské schéma certifikace kybernetické bezpečnosti pro cloudové služby, běžně označované jako EUCS, je navrženo tak, aby poskytovalo evropský mechanismus ujištění o cloudu v širším rámci certifikace kybernetické bezpečnosti EU. Jeho praktická hodnota nespočívá pouze v označení. Hodnota je v podkladovém rozsahu certifikátu, úrovni ujištění, posuzovaných službách, regionech, právnických osobách, hranicích posouzení, době platnosti a modelu dohledu.
Správná otázka k ujištění o cloudu nezní jen: „Má tento poskytovatel EUCS?“ Zní takto:
- Které konkrétní cloudové služby jsou zahrnuty?
- Které regiony, umístění dat a právnické osoby jsou zahrnuty?
- Jaká úroveň ujištění se uplatní?
- Jaká metoda posouzení byla použita?
- Které předpoklady sdílené odpovědnosti zůstávají na zákazníkovi?
- Jaké důkazy lze zpřístupnit zákazníkům, regulačním orgánům a auditorům?
- Jak certifikát ovlivňuje práva na audit, oznamování incidentů, transparentnost subdodavatelů a plánování ukončení služby?
Cloudový certifikát jen zřídka pokrývá vaši konfiguraci. Pokud vaše organizace vypne MFA, zpřístupní úložiště, udělí nadměrná administrátorská oprávnění, neprotokoluje privilegovaný přístup nebo chybně nakonfiguruje regiony, certifikace poskytovatele váš audit nezachrání.
Proto EUCS patří do důkazní matice, nikoli na piedestal. Může podpořit ujištění na straně poskytovatele, ale vaše organizace musí stále prokázat vlastní správu a řízení, konfiguraci, smluvní opatření a monitorování.
Zenith Blueprint: 30krokový plán auditora to jasně vysvětluje ve fázi řízení rizik, krok 13, Plánování ošetření rizik a Prohlášení o použitelnosti:
SoA je ve skutečnosti přemosťovací dokument: propojuje vaše posouzení a ošetření rizik s konkrétními opatřeními, která máte zavedena. Jeho dokončením si zároveň ověříte, zda jste některá opatření neopomenuli.
To je správný mentální model pro EUCS. Certifikát je dodavatelský důkaz. Vaše Prohlášení o použitelnosti vysvětluje, proč jsou související opatření použitelná, jak vaše organizace implementovala svou část sdílené odpovědnosti, které dodavatelské důkazy byly přijaty a jaká zbytková rizika přetrvávají.
Páteř ISO 27001 pro důkazy EUCS
ISO/IEC 27001:2022 dává EUCS místo v systému. Její kapitoly vyžadují, aby organizace rozuměly interním a externím otázkám, identifikovaly zainteresované strany a požadavky, definovaly rozsah ISMS, přiřadily odpovědnosti vedení, posuzovaly rizika, vybíraly opatření, udržovaly Prohlášení o použitelnosti a neustále se zlepšovaly.
Pro ujištění o cloudu by EUCS měl být zachycen nejméně v šesti artefaktech ISMS.
| Artefakt ISMS | Jak má být EUCS použit | Otázka auditora |
|---|---|---|
| Rozsah ISMS | Identifikovat cloudové služby, regiony, právnické osoby, zákaznická data a outsourcované závislosti | Zahrnuje ISMS významné cloudové závislosti a outsourcované služby? |
| Registr rizik | Zaznamenat rizika selhání poskytovatele, chybné konfigurace, umístění dat, subdodavatelů a hlášení incidentů | Jsou cloudová rizika posuzována vůči dopadu na činnost organizace a sdílené odpovědnosti? |
| Prověrka dodavatelů | Použít EUCS jako důkaz a následně ověřit rozsah, úroveň ujištění, platnost a mezery | Pokrývá certifikát přesně používanou službu? |
| Prohlášení o použitelnosti | Propojit cloudová, dodavatelská, přístupová, protokolovací, incidentní a kontinuitní opatření s riziky a regulací | Je výběr opatření odůvodněný a dohledatelný? |
| Registr cloudových služeb | Zaznamenat poskytovatele, účel, typy dat, umístění, přístup a smluvní údaje | Dokáže organizace identifikovat všechny schválené cloudové služby? |
| Smluvní a auditní spis | Ukládat certifikaci, smlouvy, práva na audit, podmínky oznamování, podmínky subdodavatelů a ustanovení o ukončení | Dokáže organizace prokázat vymahatelné povinnosti dodavatele? |
Knihovna politik Clarysec převádí tyto požadavky do provozní disciplíny.
SME Politika používání cloudových služeb - SME, oddíl Požadavky na správu a řízení, ustanovení 5.2, stanoví základní požadavky pro schválené cloudové služby:
Schválené cloudové služby musí splňovat následující základní kritéria: 5.2.1 Poskytovatel si udržuje silnou reputaci v oblasti dostupnosti a bezpečnosti 5.2.2 Vícefaktorové ověřování (MFA) je podporováno a lze jej aktivovat 5.2.3 Umístění dat a postupy ochrany soukromí jsou v souladu s příslušnými právními požadavky (např. GDPR) 5.2.4 Služba poskytuje bezpečné řízení přístupu, protokolování a možnosti ochrany údajů
Certifikát EUCS může podpořit 5.2.1 a prvky 5.2.3 a 5.2.4. Neprokazuje, že ve vašem tenantovi je zapnuto MFA, nakonfigurováno protokolování, vynuceno umístění dat nebo přezkoumán administrátorský přístup.
Pro větší organizace nastavuje Enterprise Politika používání cloudových služeb, oddíl Požadavky na správu a řízení, ustanovení 5.2, vyšší laťku:
Veškeré používání cloudu musí před aktivací projít náležitou péčí založenou na rizicích, včetně posouzení poskytovatele, ověření právního souladu a ověření účinnosti opatření.
Tato věta představuje politické stanovisko, které má následovat každý přezkum EUCS: posouzení poskytovatele, ověření právního souladu a ověření účinnosti opatření, nikoli slepé přijetí.
Mapování EUCS na ISO 27001, NIS2, DORA a GDPR
EUCS se stává použitelným pro audit tehdy, když jsou fakta z certifikátu namapována na povinnosti. CISO by měl vytvořit matici ujištění o cloudu napříč požadavky na soulad, která převádí důkazy poskytovatele na opakovaně použitelné důkazy o opatřeních.
| Důkazní položka EUCS | Relevance pro ISO 27001 a ISO 27002 | Relevance pro NIS2 | Relevance pro DORA | Relevance pro GDPR |
|---|---|---|---|---|
| Rozsah certifikátu a zahrnuté služby | Podporuje posouzení dodavatelského rizika a opatření 5.19, 5.20, 5.22 a 5.23 | Podporuje zabezpečení dodavatelského řetězce a certifikační důkazy | Podporuje náležitou péči u poskytovatele ICT a přesnost registru | Podporuje posouzení zpracovatele a dílčího zpracovatele |
| Úroveň ujištění a metoda posouzení | Podporuje ověření účinnosti opatření a odůvodnění SoA | Prokazuje přiměřenost vůči riziku a kritičnosti služby | Podporuje posouzení kritické nebo důležité funkce | Podporuje odpovědnost za hostované osobní údaje |
| Důkazy o umístění dat a jurisdikci | Podporuje mapování právních, regulačních a smluvních požadavků | Podporuje kontinuitu služby a analýzu rizik dodavatelského řetězce | Podporuje posouzení rizika koncentrace a subdodávek | Podporuje analýzu umístění dat a rizik předávání |
| Závazky k oznamování incidentů | Podporuje plánování incidentů a smluvní opatření s dodavateli | Podporuje připravenost na hlášení významných incidentů | Podporuje závislosti při hlášení závažných ICT incidentů | Podporuje připravenost reakce na porušení zabezpečení osobních údajů |
| Důkazy o subdodavatelích a dodavatelském řetězci | Podporuje monitorování dodavatelů a řízení změn | Podporuje posouzení zranitelností specifických pro dodavatele | Podporuje řetězec subdodávek a analýzu rizika koncentrace | Podporuje odpovědnost v řetězci zpracovatelů |
| Důkazy o ukončení a vrácení dat | Podporuje kontinuitu, ukončení a bezpečné nakládání s daty | Podporuje odolnost vůči všem typům hrozeb a kontinuitu | Podporuje otestované exit strategie pro kritické ICT služby | Podporuje důkazy o výmazu, uchovávání a omezení zpracování |
Tato tabulka není určena pouze pro dokumentaci souladu. Je mostem mezi ujištěním poskytovatele a odpovědností vaší organizace.
NIS2 se ptá, zda váš subjekt přijal vhodná a přiměřená opatření. DORA se ptá, zda váš finanční subjekt řídí ICT rizika třetích stran prostřednictvím náležité péče, smluv, monitorování a plánování ukončení služby. GDPR se ptá, zda je zpracování osobních údajů zákonné, bezpečné a prokazatelné. ISO/IEC 27001:2022 se ptá, zda je toto vše začleněno do systému řízení založeného na rizicích.
Praktický příklad: přezkum EUCS u poskytovatele cloudové analytiky
Vraťme se k Ameliině fintech společnosti Northstar Pay. Společnost chce zařadit cloudovou analytickou platformu pro detekci podvodů a reportování transakcí. Poskytovatel předkládá certifikát EUCS a tvrdí, že by měl splnit požadavky bezpečnostního přezkumu.
Clarysec by strukturoval přezkum důkazů do šesti kroků.
Krok 1: Aktualizujte registr cloudových služeb
Politika používání cloudových služeb - SME, oddíl Požadavky na správu a řízení, ustanovení 5.3, vyžaduje registr, který zaznamenává název cloudové služby, účel, odpovědného vlastníka, typy dat, zemi nebo region, přístupová oprávnění, administrátorské účty, smluvní údaje, data obnovení a kontakty podpory.
U podniků začíná Politika používání cloudových služeb, oddíl Požadavky na správu a řízení, ustanovení 5.1, vlastnictvím:
Organizace musí udržovat centralizovaný registr cloudových služeb ve vlastnictví CISO, který obsahuje:
Northstar Pay zaznamená službu před schválením, nikoli až po uvedení do produkčního prostředí.
| Pole registru | Příklad záznamu |
|---|---|
| Cloudová služba | Analytická platforma poskytovatele |
| Obchodní účel | Analýza podvodů a reportování trendů transakcí |
| Vlastník aplikace | Vedoucí datových platforem |
| Typy dat | Identifikátory zákazníků, metadata transakcí, pseudonymizované analytické události |
| Umístění dat | Pouze region EU, smluvně omezeno |
| Přístup | SSO, MFA, pojmenované administrátorské účty, role podle zásady minimálních oprávnění |
| Důkazy | Certifikát EUCS, certifikát ISO 27001, bezpečnostní technická zpráva, DPA, smlouva, seznam dílčích zpracovatelů |
| Datum přezkumu | Každoroční přezkum a přezkum při významné změně služby |
Krok 2: Ověřte rozsah certifikátu
Tým ověří, zda certifikát EUCS pokrývá přesnou analytickou službu, model nasazení, region a právnickou osobu, kterou Northstar Pay použije. Pokud certifikát pokrývá infrastrukturní služby, ale vylučuje analytický modul, je jeho důkazní hodnota omezená.
Právě zde řada auditů selhává. Poskytovatel tvrdí, že je „certifikovaný“, ale zákazník nedokáže doložit, že se certifikát vztahuje na službu zpracovávající regulovaná data.
Krok 3: Namapujte EUCS na ošetření rizik a SoA
Pomocí Zenith Blueprint, krok 13, Northstar Pay mapuje certifikát do registru rizik a Prohlášení o použitelnosti.
| Rizikový scénář | Důkazní hodnota EUCS | Opatření na straně zákazníka, které je stále vyžadováno |
|---|---|---|
| Neoprávněný přístup k analytickým datům | Podporuje ujištění o bezpečnosti infrastruktury poskytovatele | Vynutit SSO, MFA, RBAC, přezkum administrátorů a protokolování |
| Data uložená mimo schválený region | Může podpořit opatření poskytovatele pro umístění dat | Smluvní ukládání pouze v EU, konfigurace tenantu a pravidelné ověření |
| Zpoždění poskytovatele při hlášení incidentu | Může podpořit ujištění o procesu řízení incidentů | Smluvní lhůty oznamování, eskalační kontakty a postup pro řešení incidentů |
| Změna dílčího zpracovatele ovlivní riziko | Může podpořit správu a řízení dodavatelského řetězce | Smluvní práva ke schválení, monitorování dílčích zpracovatelů a opětovné posouzení |
| Výpadek cloudu ovlivní reportování | Může podpořit opatření dostupnosti | Plán kontinuity činností, analýza RTO a RPO, strategie zálohování nebo exportu |
SoA poté zaznamená opatření ISO/IEC 27002:2022 5.20, 5.22 a 5.23 jako použitelná, protože organizace používá cloudové služby pro regulované zpracování a důležité analytické pracovní postupy.
Krok 4: Potvrďte smluvní doložky a práva na audit
SME Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran - SME, oddíl Požadavky na správu a řízení, ustanovení 5.3, vyžaduje povinné smluvní doložky:
Smlouvy musí obsahovat povinné doložky upravující: 5.3.1 Důvěrnost a zákaz zpřístupnění 5.3.2 Povinnosti v oblasti bezpečnosti informací 5.3.3 Lhůty pro oznámení porušení zabezpečení dat (např. do 24–72 hodin) 5.3.4 Práva na audit nebo dostupnost důkazů o souladu 5.3.5 Omezení dalšího subdodavatelství bez schválení 5.3.6 Podmínky ukončení včetně bezpečného vrácení nebo zničení dat
Důkazy EUCS a smluvní práva slouží odlišným účelům. Certifikát podporuje ujištění. Smlouva vytváří vymahatelnost.
Enterprise Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran, oddíl Požadavky na implementaci politiky, ustanovení 6.1.2.2, výslovně zahrnuje:
Přezkum auditních zpráv (např. SOC 2, ISO 27001, ISAE 3402)
EUCS patří do této rodiny důkazů vedle dalších zpráv poskytujících ujištění. Nemá nahrazovat přezkum smlouvy, práva na audit, součinnost při incidentech ani ustanovení o exit strategii požadovaná DORA.
Krok 5: Vynucujte umístění dat u regulovaných dat
Politika používání cloudových služeb, oddíl Požadavky na implementaci politiky, ustanovení 6.6.2, stanoví:
Požadavky na umístění dat musí být vynuceny smluvně (např. ukládání pouze v EU pro data regulovaná GDPR).
Pro odpovědnost podle GDPR je certifikát popisující regionální opatření užitečný. Stále však nestačí. Northstar Pay potřebuje smlouvu o zpracování osobních údajů, smluvní formulaci o ukládání pouze v EU, důkazy o konfiguraci tenantu a metodu monitorování změn.
Pokud analytická platforma umožňuje administrátorům vybírat regiony, auditní spis má obsahovat snímky obrazovky konfigurace, exportovaná nastavení nebo jiné záznamy prokazující schválený region EU.
Krok 6: Naplánujte každoroční přezkumy a přezkumy vyvolané událostmi
Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran - SME, oddíl Požadavky na implementaci politiky, ustanovení 6.3.1, vyžaduje každoroční přezkum kritických nebo vysoce rizikových dodavatelů za účelem ověření bezpečných metod přístupu, platných bezpečnostních certifikací nebo aktualizovaných důkazů o opatřeních, historie incidentů a smluvního souladu.
Přezkum má být spuštěn také tehdy, když poskytovatel změní subdodavatele, regiony, služby, architekturu identit, model šifrování, historii incidentů nebo stav certifikátu. Důkazy poskytující ujištění stárnou a dodavatelské riziko není statické.
Důkazní balíček EUCS podle Clarysec
Vyspělý balíček ujištění EUCS obsahuje více než PDF certifikátu. Clarysec strukturuje důkazy do sedmi částí.
| Část důkazů | Obsah | Proč je důležitá |
|---|---|---|
| 1. Schválení cloudu | Obchodní odůvodnění, vlastník, hodnocení rizika, rozhodnutí o schválení | Prokazuje řízené pořizování a používání cloudových služeb |
| 2. Ujištění poskytovatele | Certifikát EUCS, další certifikace, bezpečnostní přehled, model sdílené odpovědnosti | Prokazuje bezpečnostní důkazy dodavatele a rozsah |
| 3. Právní oblast a ochrana soukromí | DPA, podmínky umístění dat, seznam dílčích zpracovatelů, mapování zákonného zpracování | Podporuje odpovědnost podle GDPR a smluvní požadavky |
| 4. Technická konfigurace | MFA, SSO, RBAC, šifrování, protokolování, zálohování, síťová omezení | Prokazuje stranu zákazníka v rámci sdílené odpovědnosti |
| 5. Smlouva s dodavatelem | Bezpečnostní povinnosti, práva na auditní důkazy, oznamování incidentů, subdodavatelství, ukončení | Podporuje správu dodavatelů podle ISO, NIS2 a DORA |
| 6. Incidenty a odolnost | Eskalační cesta poskytovatele, integrace postupu pro řešení incidentů, RTO a RPO, záznamy o testech | Podporuje hlášení podle NIS2 a provozní odolnost podle DORA |
| 7. Monitorování a přezkum | Každoroční přezkum, platnost certifikátu, incidenty, změny služeb, výjimky | Podporuje průběžné monitorování dodavatelů a neustálé zlepšování |
Politika právního a regulačního souladu, oddíl Požadavky na implementaci politiky, ustanovení 6.2.1, zachycuje provozní princip:
Všechny právní a regulační povinnosti musí být v rámci Systému řízení bezpečnosti informací (ISMS) namapovány na konkrétní politiky, opatření a vlastníky.
To je rozdíl mezi sběrem certifikátů a budováním obhajitelného provozního modelu souladu.
Důkazy k incidentům a odolnosti: kde EUCS nestačí
NIS2 i DORA činí z připravenosti na incidenty a odolnost zásadní test správy a řízení cloudu.
Certifikát EUCS poskytovatele cloudových služeb může ukazovat, že poskytovatel má opatření pro řízení incidentů. Vaše organizace však stále musí vědět, kdo přijímá oznámení, jak se upozornění třídí, jak se uchovávají důkazy, jak se posuzuje dopad na osobní údaje a kdo komunikuje s regulačními orgány, zákazníky a interním vedením.
U NIS2 musí podmínky oznamování ze strany poskytovatele podporovat povinnosti včasného varování a oznamování incidentů. U DORA musí cloudové incidenty vstupovat do procesů klasifikace incidentů souvisejících s ICT, eskalace, hlášení a komunikace s klienty. U GDPR musí pracovní postup pro porušení zabezpečení podporovat posouzení, zda došlo k porušení zabezpečení osobních údajů a zda je vyžadováno oznámení dozorovému úřadu nebo subjektům údajů.
NIST CSF 2.0 je zde užitečný jako integrační jazyk. Jeho funkce GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND a RECOVER pomáhají organizacím převádět právní povinnosti a technická opatření na provozní výsledky. Výstupy pro dodavatelský řetězec vyžadují, aby dodavatelé byli známí, prioritizovaní, smluvně řízení, monitorovaní, zahrnutí do plánování incidentů a řízeni při ukončení. Výstupy reakce a obnovy pokrývají třídění, eskalaci, koordinaci třetích stran, informování zainteresovaných stran, provedení obnovy a ověření obnovení.
Certifikát patří do spisu. Postup pro řešení incidentů prokazuje připravenost.
Jak auditoři budou testovat důkazy EUCS
Různí auditoři přistupují k ujištění o cloudu z různých úhlů. Důkazní model napříč požadavky na soulad brání tomu, aby se stejná fakta pro každý přezkum skládala znovu.
| Auditní pohled | Na co se auditor zaměří | Jaké důkazy bude očekávat |
|---|---|---|
| Auditor ISO 27001 | Rozsah ISMS, posouzení rizik, SoA, dodavatelská opatření, správa cloudu, neustálé zlepšování | Registr cloudových služeb, registr rizik, SoA, posouzení dodavatele, smlouva, konfigurační záznamy, důkazy z přezkumu |
| Orgán dohledu nebo hodnotitel podle NIS2 | Schválení vedením, opatření Article 21, zabezpečení dodavatelského řetězce, připravenost na hlášení incidentů | Reportování řídicím orgánům, analýza dodavatelských rizik, postup pro řešení incidentů, důkazy o kontinuitě činností, notifikační pracovní postup |
| Auditor DORA | Registr ICT třetích stran, posouzení kritické nebo důležité funkce, smlouvy, práva na audit, exit plány, testování odolnosti | Registr ICT smluv, náležitá péče, analýza rizika koncentrace, smluvní doložky Article 30, záznamy o testech, exit strategie |
| Přezkoumávající podle GDPR | Odpovědnost, účel zpracování, kategorie údajů, umístění dat, bezpečnost, připravenost na porušení zabezpečení | Vstupy RoPA, DPA, podmínky umístění dat, řízení přístupu, pracovní postup posouzení porušení zabezpečení, důkazy zpracovatele |
| Hodnotitel NIST CSF | Aktuální a cílové profily, správa a řízení, řízení rizik dodavatelského řetězce, monitorování, reakce a obnova | Analýza mezer profilu, záznamy životního cyklu dodavatelů, monitorovací reporty, cvičení incidentů, ověření obnovy |
| Auditor COBIT 2019 nebo ISACA | Cíle správy a řízení, odpovědnost vedení, dohled nad poskytovateli služeb, optimalizace rizik, monitorování souladu | Zápisy z jednání orgánů správy a řízení, vlastnictví opatření, výkonnostní metriky, záznamy dohledu nad třetími stranami, řídicí panel souladu |
Zenith Blueprint, fáze Opatření v praxi, krok 23, upozorňuje, že cloudová opatření jsou podrobována intenzivnímu zkoumání:
Toto opatření je často podrobně prověřováno. Auditoři se budou ptát:
✓ „Které cloudové služby používáte?“ ✓ „Kdo je schválil?“ ✓ „Jak zajišťujete ochranu dat?“
Tyto otázky vystihují podstatu ujištění EUCS. Certifikát může pomoci odpovědět, jak je doložena ochrana na straně poskytovatele, ale nedokáže odpovědět, které služby se používají ani kdo je schválil, pokud váš registr cloudových služeb a schvalovací pracovní postup nejsou aktuální.
Časté chyby v ujištění EUCS, kterým je třeba se vyhnout
První chybou je považovat EUCS za univerzální propustku. Jde o důkaz s konkrétním rozsahem. Pokud certifikát nepokrývá vámi pořízenou službu, region, model nasazení nebo právnickou osobu, jeho hodnota pro ujištění může být omezená.
Druhou chybou je zaměňovat opatření poskytovatele za opatření zákazníka. Certifikace poskytovatele neprokazuje MFA tenantu, RBAC, protokolování, nastavení šifrování, zálohy, přezkum administrátorských přístupů ani monitorování.
Třetí chybou je přehlížení smluvních požadavků DORA. Finanční subjekty potřebují písemná práva a povinnosti, včetně popisů služeb, umístění dat, požadavků na bezpečnost informací, přístupových a auditních práv, úrovní služeb, součinnosti při incidentech, spolupráce s orgány, práv na ukončení a exit strategií pro kritické nebo důležité funkce.
Čtvrtou chybou je ignorování důkazů podle GDPR. Formulace k umístění dat, transparentnost dílčích zpracovatelů, zvládání porušení zabezpečení, zákonné zpracování a záznamy o odpovědnosti zůstávají nezbytné. EUCS může podpořit bezpečnostní důkazy podle Article 32, ale nedefinuje váš právní základ, účel zpracování ani pravidla uchovávání.
Pátou chybou je nemonitorovat stav certifikátu. Pokud certifikace vyprší, změní se rozsah, objeví se zjištění z dohledu nebo poskytovatel změní architekturu, váš přezkum dodavatelského rizika musí změnu zachytit.
Praktický kontrolní seznam pro přezkum EUCS v roce 2026
Před přijetím EUCS jako důkazu pro ujištění o poskytovateli cloudových služeb použijte tento kontrolní seznam:
- Potvrďte certifikační schéma, úroveň ujištění, držitele certifikátu a dobu platnosti.
- Potvrďte přesné služby, regiony, modely nasazení a právnické osoby v rozsahu.
- Porovnejte rozsah certifikátu se záznamem v registru cloudových služeb.
- Namapujte důkazy na opatření ISO/IEC 27002:2022 5.20, 5.22 a 5.23.
- Aktualizujte registr rizik a SoA o důkazy z certifikátu a zbytkové riziko.
- Ověřte opatření na straně zákazníka, zejména identitu, MFA, protokolování, šifrování, zálohy a administrátorský přístup.
- Potvrďte umístění dat, dílčí zpracovatele, oznamování porušení zabezpečení, auditní důkazy a ustanovení o ukončení.
- Propojte cesty oznamování incidentů s lhůtami podle NIS2, DORA a GDPR.
- Přezkoumejte riziko koncentrace a exit strategii pro kritické nebo důležité služby.
- Naplánujte každoroční přezkum a opětovné posouzení vyvolané událostmi.
Zajistěte, aby důkazy EUCS fungovaly uvnitř vašeho ISMS
Certifikace cloudových služeb EUCS může v roce 2026 významně zlepšit ujištění o poskytovateli cloudových služeb. Může snížit únavu z dotazníků, posílit prověrku dodavatelů a podpořit důkazy pro ISO 27001, NIS2, DORA a GDPR. Obhajitelnou se však stává pouze tehdy, když je namapována do vašeho systému správy a řízení.
Clarysec pomáhá organizacím převádět důkazy z certifikace cloudových služeb do auditovatelných provozních činností zajišťujících soulad prostřednictvím Zenith Blueprint, Zenith Controls, Politika používání cloudových služeb, Politika používání cloudových služeb - SME, Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran - SME, Bezpečnostní politika dodavatelů a poskytovatelů služeb třetích stran a Politika právního a regulačního souladu.
Pokud váš plán pro rok 2026 zahrnuje EUCS, připravenost na NIS2, ICT rizika třetích stran podle DORA, cloudové zpracování podle GDPR nebo certifikaci ISO/IEC 27001:2022, začněte jedním praktickým krokem: vytvořte registr cloudových služeb, připojte důkazy poskytovatele pro ujištění a namapujte každou kritickou cloudovou službu na rizika, smlouvy, opatření a vlastníky. Právě tam se ujištění o cloudu stává obhajitelným.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
