V každém z těchto modelů je odpovědnost za bezpečnost sdílená mezi zákazníkem a poskytovatelem – tzv. shared responsibility model.
Povinnosti a odpovědnost organizace využívající cloud
Podle ISO 27001, NIS2, DORA, TISAX, GDPR i dalších norem a nařízení platí, že odpovědnost za ochranu dat zůstává na straně organizace – nikoliv poskytovatele cloudu.
Organizace má povinnost:
provést analýzu rizik spojenou s přesunem dat do cloudu,
ověřit důvěryhodnost poskytovatele (certifikace, historie, lokace dat),
mít uzavřené smlouvy a zpracovatelské dohody (DPA),
zajistit šifrování dat – při přenosu i v úložišti,
řídit přístupy a oprávnění uživatelů,
mít plán obnovy a reakce na incidenty,
zahrnout cloud do interních auditů ISMS a plánů kontinuity činností.
Cloud a soulad s regulacemi
🔹 ISO/IEC 27001
Cloud musí být ošetřen ve všech oblastech ISMS:
Řízení přístupů, šifrování, zálohování, odpovědnosti, smluvní vztahy.
🔹 NIS2
Organizace kritické a významné infrastruktury (např. zdravotnictví, energetika, finance) musí:
řídit rizika dodavatelského řetězce,
monitorovat poskytovatele cloudových služeb,
zajistit kontinuitu činností i při výpadku cloudu,
hlásit incidenty do 24/72 hodin (v závislosti na závažnosti).
🔹 DORA (Digital Operational Resilience Act)
Finanční sektor musí:
klasifikovat cloud jako ICT třetí stranu s kritickým dopadem,
mít plán na ukončení spolupráce (exit strategy),
pravidelně testovat odolnost systémů,
zahrnout cloud do řetězce odpovědnosti a řízení rizik.
🔹 TISAX
Automotive dodavatelé musí:
používat pouze ověřené a auditované cloudové služby,
dokumentovat přístupová pravidla a šifrování prototypových dat.
🔹 GDPR
Organizace zůstává správcem dat i v cloudu. Musí:
mít s poskytovatelem uzavřenou zpracovatelskou smlouvu (DPA),
zajistit lokalizaci dat v EU, nebo mít platný právní základ pro přeshraniční přenosy,
umožnit realizaci práv subjektů údajů i v cloudovém prostředí.
Cloud a risk management
Cloud zvyšuje:
Proto musí být:
zahrnut do mapy rizik,
podléhat interním auditům,
testován (např. penetračními testy, zátěžovými scénáři),
dokumentován – přístupová práva, lokace dat, eskalační scénáře.
Nejčastější chyby při nasazení cloudu
🚫 Chybějící bezpečnostní konfigurace (např. otevřené bucket storage)
🚫 Používání veřejných Wi-Fi bez VPN
🚫 Ukládání firemních dat do osobních cloudových úložišť (např. Dropbox bez správy)
🚫 Absence MDM při BYOD
🚫 Nedostatečná smluvní dokumentace
🚫 Nedostatečná kontrola identity a přístupů
🚫 Neexistence plánu obnovy (Disaster Recovery)
Doporučená opatření pro bezpečný cloud
✅ Vytvoření cloud security policy
✅ Centralizované řízení přístupů a identit (IAM, SSO, MFA)
✅ Šifrování dat (TLS, AES), logování přístupů
✅ Nasazení SIEM a monitoring 24/7
✅ Interní cloud audit a penetrační testy
✅ Pouze certifikovaní poskytovatelé (ISO 27017/18, SOC 2, ENS…)
✅ Jasný exit plán a přenositelnost dat
Závěr: Cloud ano – ale chytře, odpovědně a auditovatelně
Cloud přináší organizacím obrovské výhody – od úspor přes škálovatelnost až po rychlost nasazení nových služeb.
Ale přechod do cloudu nezbavuje odpovědnosti. Naopak – vyžaduje větší důraz na řízení rizik, právní rámce, technická opatření a bezpečnostní kulturu.
Cloud je nástroj. A jako každý nástroj musí být správně nastaven, řízen a kontrolován.
Pomáháme organizacím s:
výběrem a ověřením poskytovatele cloudu,
nastavením bezpečnostních politik a konfigurací,
auditem souladu s ISO 27001, NIS2, DORA, GDPR, TISAX,
správou a monitoringem cloudové infrastruktury,
školením uživatelů a podporou 24/7,
řízením cloudového risk managementu a dokumentací.
Bezpečný cloud začíná u správného rozhodnutí. Rádi vám s ním pomůžeme.