Posúdenia vplyvu prenosov údajov v cloudovom prostredí v roku 2026

Maria, CISO v spoločnosti InnovatePay, sa zahľadela na stranu 12 dotazníka due diligence.

Jej spoločnosť, rýchlo rastúci európsky poskytovateľ FinTech SaaS, bola tesne pred podpisom zmluvy so svojím doposiaľ najväčším zákazníkom, významnou bankou s prísnymi očakávaniami v oblasti prevádzkovej odolnosti. Dotazník nepožadoval iba certifikát ISO 27001, zhrnutie penetračného testovania alebo balík bezpečnostných politík. Vyžadoval úplné posúdenie vplyvu prenosu pre primárneho cloudového poskytovateľa InnovatePay so sídlom v USA, rozpis ďalších sprostredkovateľov, uplatniteľné štandardné zmluvné doložky (SCC), vyhlásenie o geografickom umiestnení a prenosoch údajov a dôkaz, že doplnkové opatrenia sú namapované na ISO/IEC 27001:2022, NIS2 a DORA.

Právne oddelenie malo dodatok o spracúvaní údajov. Obstarávanie malo dodávateľský portál. Vývojový tím mal nastavenia cloudových regiónov. Bezpečnostný tím mal diagramy šifrovania. Tím starostlivosti o zákazníkov počas obchodného hovoru prisľúbil „hosting v EÚ“. Nikto však nevedel okamžite preukázať, či je do rozsahu zahrnutý prístup podpory z Indie, či analytický doplnok využíva ďalšieho sprostredkovateľa v USA alebo či sa chybové logy replikujú cez globálneho poskytovateľa monitorovania.

Taká je realita roku 2026 pre SaaS spoločnosti, cloudových poskytovateľov, FinTech dodávateľov a poskytovateľov riadených IKT služieb. Posúdenie vplyvu prenosu, teda TIA, už nie je poznámkou o ochrane súkromia vytvorenou na konci obstarávania. Je to balík dôkazov pre viaceré oblasti súladu, ktorý musí vysvetliť, kam osobné údaje smerujú, kto k nim môže pristupovať, aký právny mechanizmus prenosu sa uplatňuje, ktoré doplnkové opatrenia znižujú riziko a ako organizácia prenos priebežne monitoruje.

Pre mnohé tímy nie je problémom nedostatok úsilia. Problémom je fragmentácia. Štandardné zmluvné doložky (SCC) sú v zmluvnom repozitári. Zoznamy ďalších sprostredkovateľov sú v portáloch dodávateľov. Nastavenia lokalizácie údajov sú v cloudovej konzole. Rizikové rozhodnutia sú ukryté v e-mailoch. Dôkazy o šifrovaní sú v Confluence. Kvalitné cloudové posúdenie vplyvu prenosu spája tieto fragmenty do jedného obhájiteľného reťazca dôkazov.

Prečo sa cloudové TIA stali rizikovou témou na úrovni predstavenstva

Posúdenie vplyvu prenosu hodnotí, či osobné údaje prenášané mimo Európskeho hospodárskeho priestoru zostávajú v praxi chránené. Posúdenie má identifikovať údaje, strany, účely spracúvania, miesta uloženia, miesta prístupu, následné prenosy, právny mechanizmus prenosu, riziká krajiny príjemcu a doplnkové opatrenia.

Podľa GDPR je východisko široké. Osobné údaje, spracúvanie, prevádzkovateľ, sprostredkovateľ, pseudonymizácia a porušenie ochrany osobných údajov sú definované široko. Cloudová telemetria, tickety podpory, autentifikačné logy, fakturačné záznamy, identifikátory používateľov, IP adresy a produktová analytika môžu patriť do rozsahu. Preukázateľná zodpovednosť podľa GDPR Article 5 vyžaduje, aby organizácie vedeli preukázať súlad, zatiaľ čo povinnosti sprostredkovateľa podľa Article 28 a pravidlá medzinárodných prenosov podľa Chapter V závisia od presného poznania toho, aké údaje sa presúvajú, kam sa presúvajú a kto k nim môže pristupovať.

Rozsudok Schrems II túto praktickú záťaž spresnil. Samotné podpísanie štandardných zmluvných doložiek (SCC) nestačí. Organizácie musia zvážiť, či právne predpisy a prax cieľovej krajiny nemôžu oslabiť ochranu prisľúbenú v zmluve, a tam, kde je to potrebné, uplatniť doplnkové opatrenia.

Pre cloudové podniky sa to rýchlo komplikuje. Produkt SaaS môže využívať jedného poskytovateľa infraštruktúry, samostatnú platformu podpory, e-mailovú službu, nástroj na monitorovanie chýb, CDN, dátový sklad a analytickú funkciu AI. Každý poskytovateľ môže mať ďalších sprostredkovateľov. Každý ďalší sprostredkovateľ môže priniesť miesto uloženia, miesto prístupu, cestu prevádzkovej podpory alebo následný prenos.

Preto sa ISO/IEC 27001:2022, NIS2, DORA a NIST CSF 2.0 stali súčasťou diskusie o TIA:

• GDPR sa pýta, či existuje zákonný mechanizmus prenosu, primerané podmienky pre sprostredkovateľa, kontrola ďalších sprostredkovateľov a účinné doplnkové opatrenia.
• ISO/IEC 27001:2022 sa pýta, či je riziko prenosu identifikované, ošetrené, riadené, monitorované a zahrnuté vo vyhlásení o uplatniteľnosti.
• NIS2 sa pýta, či základné a dôležité subjekty riadia kybernetické riziká dodávateľov a poskytovateľov služieb pod dohľadom manažmentu.
• DORA požaduje, aby finančné subjekty preukázali správu a riadenie externých poskytovateľov IKT, zmluvné doložky, viditeľnosť subdodávateľských vzťahov, transparentnosť umiestnení, riziko koncentrácie a pripravenosť na ukončenie spolupráce.
• NIST CSF 2.0 pomáha previesť tieto požiadavky na výsledky v oblasti správy, dodávateľských rizík, ochrany, reakcie a obnovy.

Praktický záver je jednoduchý: TIA má byť súčasťou ISMS, nie stáť mimo neho.

Používajte ISMS ako centrum súladu

Snaha riadiť TIA, GDPR, DORA a NIS2 v samostatných tabuľkových prehľadoch vytvára duplicitnú prácu a auditné medzery. Škálovateľnejší prístup je použiť ISO/IEC 27001:2022 ako systém manažérstva, ktorý prepája povinnosti, riziká, kontroly a dôkazy.

ISO/IEC 27001:2022 vyžaduje, aby organizácie rozumeli svojmu kontextu, požiadavkám zainteresovaných strán, rozhraniam a závislostiam od iných organizácií. Vyžaduje aj opakovateľné posúdenie rizík informačnej bezpečnosti, proces ošetrenia rizík, vyhlásenie o uplatniteľnosti a dôkazy, že vybrané kontroly fungujú podľa zámeru.

Táto štruktúra presne zodpovedá TIA. Riziko „k osobným údajom EÚ môže mať prístup z tretej krajiny cloudový poskytovateľ alebo ďalší sprostredkovateľ bez účinných ochranných opatrení“ patrí do registra rizík. Ošetrenie patrí do plánu ošetrenia rizík. Vybrané kontroly patria do SoA. Podporné artefakty patria do indexu dôkazov.

Zenith Blueprint: 30-kroková cestovná mapa audítora od Clarysec zachytáva tento vzťah vo fáze riadenia rizík, krok 13:

SoA je v skutočnosti premostením: prepája vaše posúdenie/ošetrenie rizík so skutočnými kontrolami, ktoré máte zavedené. Jeho dokončením zároveň overíte, či ste nevynechali niektoré kontroly.

Táto veta je kľúčová pre pripravenosť TIA. TIA nie je kontrola. Je to posúdenie, ktoré vysvetľuje, prečo sú kontroly potrebné a ako znižujú zvyškové riziko prenosu. SoA je mostom, ktorý prepája riziko s cloudovou správou a riadením, zmluvami s dodávateľmi, kryptografiou, riadením prístupu, monitorovaním, reakciou na incidenty, kontinuitou a právnym súladom.

Začnite mapou prenosov, nie štandardnými zmluvnými doložkami

Mnohé organizácie začínajú TIA otázkou, či zmluva obsahuje štandardné zmluvné doložky (SCC). Je to potrebné, ale nie je to prvá otázka. Štandardné zmluvné doložky (SCC) majú význam iba vtedy, keď organizácia vie, na ktoré prenosy sa vzťahujú.

Praktické cloudové TIA sa začína piatimi otázkami.

Clarysec SME Politika používania cloudových služieb pre MSP to operacionalizuje požiadavkou na register:

Register cloudových služieb musí viesť poskytovateľ IT služieb alebo GM. Musí zaznamenávať:

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.

Rovnaká skupina ustanovení obsahuje požiadavku na umiestnenie, ktorá je pre TIA zásadná:

Krajina alebo región, v ktorom sú údaje uložené

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.4.

Pre väčšie prostredia Clarysec Politika používania cloudových služieb výslovne prepája cloudovú správu a riadenie s mechanizmami prenosu:

Preskúmať štandardné zmluvné doložky (SCC) a mechanizmy prenosu podľa GDPR, ak sú uplatniteľné.

Zo sekcie „Roly a zodpovednosti“, ustanovenie politiky 4.5.2.

Tá istá politika dopĺňa prierezovú regulačnú požiadavku:

Cezhraničné prenosy údajov musia byť v súlade s GDPR Chapter V a, ak je to uplatniteľné, s DORA Article 28.

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.6.3.

Tým sa diskusia o TIA mení. Otázka neznie „máme štandardné zmluvné doložky (SCC)?“ Otázka znie „ktorá cloudová služba, ktoré osobné údaje, ktorá krajina, ktorá prístupová cesta, ktorý ďalší sprostredkovateľ, ktorý mechanizmus prenosu, ktoré doplnkové opatrenia a aké zvyškové riziko?“

Mapujte cloudové TIA na dôkazy podľa ISO/IEC 27001:2022

ISO/IEC 27001:2022 poskytuje štruktúru na preukázanie toho, že TIA je súčasťou fungujúceho kontrolného prostredia. Najrelevantnejšie oblasti dôkazov sú správa a riadenie dodávateľov, cloudová správa a riadenie, zákonné povinnosti, ochrana súkromia, kryptografia, riadenie prístupu, monitorovanie, reakcia na incidenty a kontinuita.

Clarysec Zenith Controls: Sprievodca prierezovým súladom je tu obzvlášť užitočný. V Zenith Controls sa ISO/IEC 27002:2022 control 5.23, Informačná bezpečnosť pri používaní cloudových služieb, chápe ako preventívna kontrola podporujúca dôvernosť, integritu a dostupnosť naprieč oblasťami správy, ekosystému a ochrany. Prepája používanie cloudu so vzťahmi s dodávateľmi, zabezpečením koncových bodov, bezpečnosťou sietí, prenosom informácií, maskovaním údajov, prevenciou úniku údajov, evidenciou aktív a životným cyklom bezpečného vývoja.

Toto mapovanie je dôležité, pretože TIA sa zriedka vyrieši jedinou právnou doložkou. Často zahŕňa administrátorský prístup do cloudu, rozhrania API presúvajúce údaje medzi regiónmi, konzoly podpory, logy, buckety objektového úložiska, monitorovacie platformy a umiestnenia záloh.

Zenith Controls tiež mapuje 5.23 na súvisiace normy vrátane ISO/IEC 27017 pre zdieľanú zodpovednosť v cloude a auditné stopy, ISO/IEC 27018 pre ochranu osobne identifikovateľných informácií (PII) vo verejnom cloude, ISO/IEC 27701 pre požiadavky rozšírenia ochrany súkromia, ISO/IEC 27036-4 pre monitorovanie cloudových služieb a ISO/IEC 27005 pre posúdenie rizík v cloude.

Pri zmluvách s dodávateľmi Zenith Controls pokrýva ISO/IEC 27002:2022 control 5.20, Riešenie informačnej bezpečnosti v zmluvách s dodávateľmi. Táto kontrola premieňa požiadavky na prenos na vynútiteľné záväzky. Zmluvné podmienky pre sprostredkovateľa podľa GDPR Article 28, kontroly ďalších sprostredkovateľov, očakávania pre dodávateľský reťazec podľa NIS2 a zmluvné ustanovenia podľa DORA Article 30 sa všetky stávajú zmluvnými dôkazmi.

Pre priebežný dohľad je kľúčová ISO/IEC 27002:2022 control 5.22, Monitorovanie, preskúmanie a riadenie zmien služieb dodávateľov. TIA dokončené počas onboardingu môže zastarať po tom, ako poskytovateľ pridá ďalšieho sprostredkovateľa, zmení lokality podpory, upraví architektúru logovania alebo uvedie novú funkcionalitu.

Odstráňte slabé miesto v oblasti ďalších sprostredkovateľov

Najčastejším zlyhaním TIA nie je chýbajúca štandardná zmluvná doložka (SCC). Je ním neaktuálna znalosť ďalších sprostredkovateľov.

Cloudoví poskytovatelia a SaaS platformy často menia regióny služieb, modely podpory, telemetrické pipeline, CDN a subdodávateľov. Ak TIA závisí od zoznamu ďalších sprostredkovateľov stiahnutého raz počas obstarávania, rýchlo sa stane nespoľahlivým.

Clarysec Politika bezpečnosti tretích strán a dodávateľov to rieši zmluvnou požiadavkou:

Používanie subdodávateľov podlieha predchádzajúcemu písomnému súhlasu

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.5.

Clarysec Politika právneho a regulačného súladu identifikuje právne dôkazy, ktoré sa majú uchovávať:

Vyhlásenia ďalších sprostredkovateľov a vyhlásenia o geografických prenosoch údajov

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.3.1.2.

Táto požiadavka je stručná, ale často predstavuje rozdiel medzi dôveryhodným a neúplným TIA. Ak organizácia nevie predložiť vyhlásenia ďalších sprostredkovateľov a vyhlásenia o geografických prenosoch, nevie spoľahlivo vysvetliť následné prenosy.

Zenith Blueprint, fáza Kontroly v praxi, krok 23, dopĺňa prevádzkové očakávanie:

Pri každom kritickom dodávateľovi identifikujte, či využíva subdodávateľov (ďalších sprostredkovateľov), ktorí môžu mať prístup k vašim údajom alebo systémom. Zdokumentujte, ako sa vaše požiadavky na informačnú bezpečnosť prenášajú na tieto strany, či už prostredníctvom zmluvných podmienok vášho dodávateľa alebo vašich vlastných priamych doložiek.

V praxi to znamená, že vysokorizikoví dodávatelia majú mať ročné preskúmanie ďalších sprostredkovateľov, proces oznamovania zmien, zdokumentovaný schvaľovací pracovný tok a spúšťač prehodnotenia rizika. Pri službách relevantných pre DORA rovnaké dôkazy podporujú aj analýzu subdodávateľských vzťahov a rizika koncentrácie.

Urobte doplnkové opatrenia konkrétnymi a preukázateľnými

Doplnkové opatrenia sa nikdy nemajú dokumentovať len vetou „používame šifrovanie“ bez detailov. Audítori a podnikoví zákazníci sa budú pýtať, čo je šifrované, kde sa šifrovanie uplatňuje, kto kontroluje kľúče, či personál poskytovateľa môže pristupovať k nešifrovaným údajom, či logy obsahujú osobné údaje a ako sa schvaľuje privilegovaný prístup.

Silný balík doplnkových opatrení kombinuje technické, zmluvné, organizačné a odolnostné ochranné opatrenia.

Clarysec Politika kryptografických kontrol pre MSP poskytuje základ:

Šifrovanie sa musí uplatniť na:

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.

Pri TIA sa toto vyhlásenie politiky má zmeniť na explicitný dôkaz. Šifrovanie má byť opísané pre osobné údaje pri prenose medzi systémami EÚ a cloudovými službami v tretej krajine, v pokoji v cloudovom úložisku a v zálohách. Vlastníctvo kľúčov má byť definované. Ak sa používajú kľúče spravované zákazníkom, TIA má vysvetliť, či poskytovateľ môže pristupovať k nešifrovaným údajom, kedy je povolený prístup podpory a ako sa loguje administrátorský prístup.

Clarysec Politika bezpečnosti tretích strán a dodávateľov pre MSP posilňuje uistenie o umiestnení:

Ak sa od dodávateľov vyžaduje, aby ukladali údaje mimo pracoviska, spoločnosť musí získať uistenie týkajúce sa ochrany údajov, fyzickej bezpečnosti a geografického umiestnenia úložiska (napr. hosting iba v EÚ, ak to vyžaduje GDPR).

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.4.

Tá istá politika pre MSP podporuje aj úplnosť zmlúv:

Zmluvy musia obsahovať povinné doložky pokrývajúce:

Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.

Pri TIA majú tieto povinné doložky pokrývať dôvernosť, bezpečnostné opatrenia, oznámenie o porušení ochrany údajov, ďalších sprostredkovateľov, práva na audit, vrátenie údajov, výmaz, mechanizmy prenosu a záväzky týkajúce sa umiestnenia.

Vytvorte balík dôkazov TIA pripravený na audit

Predpokladajme, že európsky B2B poskytovateľ SaaS používa analytickú platformu so sídlom v USA. Platforma prijíma udalosti používania zákazníkmi, ID používateľov, IP adresy a metadáta podpory. Ponúka hosting v EÚ a štandardné zmluvné doložky (SCC), ale pracovníci podpory mimo EHP môžu pristupovať k ticketom a chybové logy môže spracúvať ďalší sprostredkovateľ v tretej krajine.

Praktický balík dôkazov možno vybudovať v šiestich krokoch.

1. Vytvorte záznam o prenose

Začnite registrom cloudových služieb požadovaným Politikou používania cloudových služieb pre MSP. Doplňte vlastníka služby, účel spracúvania, kategórie údajov, dotknuté osoby, rolu, región hostingu, krajiny prístupu, lokality podpory, ďalších sprostredkovateľov, mechanizmus prenosu, doplnkové opatrenia, hodnotenie rizika a dátum ďalšieho preskúmania.

Pri analytickej platforme zaznamenajte, že udalosti sú hostované v EÚ, prístup podpory môže nastať mimo EHP a monitorovanie chýb vytvára následný prenos.

2. Priložte zmluvné dôkazy

Priložte zmluvu o spracúvaní osobných údajov, štandardné zmluvné doložky (SCC) alebo iné dôkazy mechanizmu prenosu, bezpečnostný dodatok, podmienky oznamovania incidentov a zoznam ďalších sprostredkovateľov. Použite ustanovenie 4.5.2 Politiky používania cloudových služieb ako dôkaz preskúmania štandardných zmluvných doložiek (SCC) a mechanizmov prenosu. Použite ustanovenie 5.3.5 Politiky bezpečnosti tretích strán a dodávateľov ako dôkaz schválenia alebo súhlasu s ďalším sprostredkovateľom.

Ak sa pri poskytovateľovi spoliehate na Rámec EÚ – USA na ochranu údajov, zaznamenajte rozsah, stav certifikácie, pokrytie služby a náhradný mechanizmus. Nepredpokladajte, že pokrýva každý následný prenos.

3. Vytvorte rizikový scenár

Pridajte riziko do registra rizík ISMS:

„K osobným údajom EÚ spracúvaným prostredníctvom analytickej platformy môže mať z tretej krajiny prístup podpora poskytovateľa alebo ďalší sprostredkovatelia, čo vytvára riziko pre dôvernosť, právny súlad a regulačný súlad.“

Priraďte vlastníka, pravdepodobnosť, dopad, inherentné hodnotenie, plán ošetrenia rizík a zvyškové hodnotenie. Prepojte ho s GDPR Chapter V, záväzkami voči zákazníkom, cloudovými a dodávateľskými kontrolami podľa ISO/IEC 27001:2022, NIS2 Article 21, ak je uplatniteľný, a DORA Articles 28, 29 a 30 v kontexte finančného sektora.

Clarysec Politika riadenia rizík stanovuje disciplínu ošetrenia:

Risk officer zabezpečí, aby ošetrenia boli realistické, časovo ohraničené a namapované na kontroly ISO/IEC 27001 Annex A.

Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.4.2.

4. Vyberte doplnkové opatrenia

Pri analytickej platforme môžu opatrenia zahŕňať hosting v EÚ, minimalizované dátové obsahy udalostí, pseudonymné identifikátory, šifrovanie pri prenose, šifrovanie v pokoji, obmedzený prístup podpory, MFA pre administrátorov, logovanie privilegovaného prístupu, pravidlá DLP zabraňujúce prenosu citlivých polí v analytických udalostiach, povinnosti oznamovania ďalších sprostredkovateľov a ročné preskúmanie dôkazov.

Mapujte tieto opatrenia na kontroly ISO/IEC 27002:2022, ako sú 5.14 Prenos informácií, 5.15 Riadenie prístupu, 5.20 Riešenie informačnej bezpečnosti v zmluvách s dodávateľmi, 5.22 Monitorovanie, preskúmanie a riadenie zmien služieb dodávateľov, 5.23 Informačná bezpečnosť pri používaní cloudových služieb, 5.31 Právne, zákonné, regulačné a zmluvné požiadavky, 5.34 Ochrana súkromia a ochrana osobne identifikovateľných informácií (PII), 8.11 Maskovanie údajov, 8.12 Prevencia úniku údajov, 8.16 Monitorovacie aktivity a 8.24 Používanie kryptografie.

5. Definujte spúšťače preskúmania

TIA nie je úplné, kým nie sú definované spúšťače preskúmania. Spúšťače majú zahŕňať nového ďalšieho sprostredkovateľa, novú krajinu prístupu, novú kategóriu údajov, zmenu modelu podpory, bezpečnostný incident, obnovu zmluvy, novú kritickú požiadavku zákazníka, novú klasifikáciu DORA alebo podstatnú zmenu cloudovej architektúry.

Tu sa ISO/IEC 27002:2022 control 5.22 stáva prevádzkovou kontrolou. Preskúmavajte SOC reporty, ISO certifikáty, zhrnutia penetračného testovania, oznámenia o zmenách služby, históriu incidentov a aktualizácie ďalších sprostredkovateľov. Sledujte výnimky až do uzatvorenia.

6. Aktualizujte SoA a index dôkazov

Vo vyhlásení o uplatniteľnosti označte cloudové, dodávateľské, právne, súkromnostné, kryptografické, prístupové, monitorovacie, incidentné a kontinuitné kontroly ako uplatniteľné. Pridajte poznámky SoA, napríklad „podporuje TIA podľa GDPR Chapter V pre analytickú platformu“, „podporuje zmluvné dôkazy DORA pre externých poskytovateľov IKT“ alebo „podporuje dôkazy bezpečnosti dodávateľského reťazca podľa NIS2“.

Tento záverečný krok indexovania mení posúdenie ochrany súkromia na auditne pripravené dôkazy súladu.

Mapujte tie isté dôkazy na GDPR, DORA, NIS2 a ISO 27001

Dobre vytvorený balík dôkazov TIA má uspokojiť viacero auditných uhlov pohľadu bez vytvárania duplicitnej dokumentácie.

DORA je obzvlášť dôležitá vtedy, keď je zákazníkom finančný subjekt alebo služba podporuje IKT reťazec finančného sektora. DORA sa uplatňuje od 17. januára 2025 a stanovuje požiadavky na riadenie rizík IKT, hlásenie incidentov, testovanie odolnosti, zdieľanie informácií a riziko externých poskytovateľov IKT. Article 8 vyžaduje identifikáciu a klasifikáciu IKT aktív, informačných aktív a závislostí. Article 28 vyžaduje správu a riadenie rizika externých poskytovateľov IKT, registre informácií, due diligence a exit stratégie. Article 29 rieši koncentráciu IKT a riziko subdodávateľských vzťahov. Article 30 vyžaduje písomné zmluvy s opisom služieb, miestami spracúvania, ochranou údajov, prístupom, obnovou, vrátením údajov, pomocou pri incidentoch, spoluprácou s orgánmi, právami na ukončenie, právami na audit a prechodnými dojednaniami.

NIS2 pridáva zodpovednosť manažmentu. Article 20 vyžaduje, aby riadiace orgány schvaľovali opatrenia riadenia kybernetických rizík a dohliadali na ne. Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane politík rizík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečného nadobúdania a vývoja, posudzovania účinnosti kontrol, kybernetickej hygieny, kryptografie, bezpečnosti ľudských zdrojov, riadenia prístupu, správy aktív a MFA tam, kde je to vhodné.

Prekryv je zrejmý. TIA, ktoré identifikuje ďalších sprostredkovateľov, miesta prenosu, doplnkové opatrenia, incidentné povinnosti a monitorovanie dodávateľov, je zároveň dôkazom dodávateľskej odolnosti.

Ako budú audítori testovať vaše TIA

Rôzni audítori kladú rôzne otázky, ale dôkazy majú byť opakovane použiteľné.

Zenith Controls poskytuje praktickú metodiku auditu pre tieto oblasti. Pri cloudových službách audítori hľadajú register schválených cloudových služieb a dôkazy, že neoprávnené používanie cloudových služieb je monitorované. Pri zmluvách s dodávateľmi audítori vykonávajú vzorkovanie zmlúv pri vysokorizikových dodávateľoch a overujú dôvernosť, ochranu údajov, lehoty oznámenia o porušení ochrany údajov, práva na audit, schvaľovanie ďalších sprostredkovateľov a vrátenie alebo zničenie údajov. Pri monitorovaní dodávateľov audítori skúmajú záznamy o preskúmaní, KPI reporty, certifikácie dodávateľov, SOC reporty, zhrnutia penetračného testovania, výnimky a nápravné opatrenia.

Poučenie z auditu je jednoznačné: dôkazy musia preukazovať fungovanie v čase. TIA podpísané raz a nikdy nepreskúmané neobstojí pri serióznom preskúmaní cloudu, dodávateľov alebo odolnosti.

Použite NIST CSF 2.0 na vysvetlenie rizika TIA vedeniu

Predstavenstvá zvyčajne nechcú detailne diskutovať o moduloch štandardných zmluvných doložiek (SCC) alebo lokalitách cloudovej podpory. Chcú vedieť, či je riziko riadené, prioritizované a či sa zlepšuje. NIST CSF 2.0 pomáha previesť TIA do jazyka vrcholového manažmentu prostredníctvom funkcií GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND a RECOVER.

Pri TIA je obzvlášť užitočná funkcia GOVERN. Zahŕňa právne, regulačné a zmluvné požiadavky, apetít na riziko, roly, politiky, dohľad a riadenie kybernetických rizík dodávateľov. Vytvorte aktuálny profil, ktorý ukáže dnešný stav, napríklad čiastočný register cloudových služieb, repozitár štandardných zmluvných doložiek (SCC), obmedzené preskúmanie ďalších sprostredkovateľov a nedefinovanú periodicitu preskúmania TIA. Potom definujte cieľový profil, napríklad úplný inventár prenosov, rizikovo hodnotených ďalších sprostredkovateľov, overené mechanizmy prenosu, kľúče spravované zákazníkom pre vysokorizikové údaje, štvrťročné preskúmania kritických dodávateľov, mapovanie zmlúv pripravené na DORA a otestované plány ukončenia cloudových služieb.

Plán odstránenia medzier sa stáva praktickou cestovnou mapou, ktorú môže manažment financovať a sledovať.

Kontrolný zoznam Clarysec pre cloudové TIA v roku 2026

Použite tento kontrolný zoznam na overenie, či je vaše posúdenie vplyvu prenosu pripravené na audit:

• Udržiavajte register cloudových služieb s vlastníkom, účelom, kategóriami údajov, umiestneniami, krajinami prístupu a ďalšími sprostredkovateľmi.
• Identifikujte, či je každá služba vzťahom prevádzkovateľa, sprostredkovateľa, ďalšieho sprostredkovateľa alebo nezávislého poskytovateľa.
• Priložte zmluvu o spracúvaní osobných údajov, štandardné zmluvné doložky (SCC) alebo iné dôkazy mechanizmu prenosu k záznamu dodávateľa.
• Spoliehanie sa na Rámec EÚ – USA na ochranu údajov zaznamenajte iba tam, kde je overený rozsah a následné prenosy.
• Udržiavajte vyhlásenia ďalších sprostredkovateľov a vyhlásenia o geografických prenosoch.
• Vyžadujte predchádzajúci písomný súhlas alebo zmluvné oznámenie pri nových ďalších sprostredkovateľoch na základe rizika.
• Mapujte doplnkové opatrenia na konkrétne technické kontroly, nie na všeobecné vyhlásenia.
• Preukážte šifrovanie pri prenose, šifrovanie v pokoji, vlastníctvo správy kľúčov a logovanie privilegovaného prístupu.
• Minimalizujte, pseudonymizujte alebo maskujte osobné údaje pred prenosom, ak je to možné.
• Definujte spúšťače preskúmania pre nové krajiny, nových ďalších sprostredkovateľov, nové kategórie údajov, incidenty a zmeny zmlúv.
• Prepojte každé riziko TIA s registrom rizík, plánom ošetrenia rizík a SoA.
• Pravidelne preskúmavajte dôkazy dodávateľov a sledujte výnimky až do uzatvorenia.
• Zahrňte do zmlúv oznamovanie incidentov, práva na audit, vrátenie údajov, výmaz a exit povinnosti.
• Pri službách relevantných pre DORA mapujte zmluvy na požiadavky externých poskytovateľov IKT, subdodávateľské vzťahy, umiestnenia, riziko koncentrácie a exit stratégiu.
• Vysokorizikové rozhodnutia o prenosoch reportujte manažmentu ako súčasť správy a riadenia ISMS.

Premeňte neistotu pri prenosoch na dôkazy pripravené na audit

InnovatePay získala bankový obchod, pretože Maria prestala vnímať TIA ako právny dokument na poslednú chvíľu. Jej tím vytvoril register cloudových služieb, priložil štandardné zmluvné doložky (SCC) a zmluvy o spracúvaní osobných údajov, zdokumentoval ďalších sprostredkovateľov, namapoval doplnkové opatrenia na kontroly ISO/IEC 27001:2022, aktualizoval register rizík, doplnil poznámky SoA a vytvoril monitorovacie spúšťače. Výsledkom nebola iba lepšia odpoveď v dotazníku. Bol to opakovateľný proces riadenia dodávateľských rizík.

Vaša organizácia môže urobiť to isté.

Začnite s Zenith Blueprint: 30-kroková cestovná mapa audítora, aby ste prepojili riziká prenosu s registrom rizík, plánom ošetrenia rizík a vyhlásením o uplatniteľnosti. Použite Zenith Controls: Sprievodca prierezovým súladom na mapovanie cloudových kontrol ISO/IEC 27002:2022, kontrol zmlúv s dodávateľmi a kontrol monitorovania dodávateľov na GDPR, NIS2, DORA, NIST a auditné očakávania. Následne operacionalizujte dôkazy prostredníctvom politík Clarysec, ako sú Politika používania cloudových služieb, Politika bezpečnosti tretích strán a dodávateľov, Politika právneho a regulačného súladu, Politika riadenia rizík a verzie pre MSP tam, kde sú vhodné.

Cloudové posúdenie vplyvu prenosu nemá byť obchodnou núdzovou situáciou. V roku 2026 je súčasťou cloudovej správy a riadenia, uistenia dodávateľov, preukázateľnej zodpovednosti v oblasti ochrany súkromia a prevádzkovej odolnosti. Dôveru získajú organizácie, ktoré vedia rýchlo preukázať, kam údaje smerujú, kto sa ich dotýka, čo ich chráni a ako sa riziko v čase riadi.