Dne 19. srpna 2016 ČNB vydala Úřední sdělení k výkonu činnosti na finančním trhu – cloud computing. Úřední sdělení se vztahuje na banky, družstevní záložny, pojišťovny a zajišťovny, tj. na poskytovatele finančních služeb.
Protože se pojem „cloud computing“ dosud nevyskytuje v právních předpisech pro oblast finančního trhu, používá Česká národní banka následující definici:
„…pod pojmem cloud computing se rozumí model uplatňovaný v oblasti informačních a komunikačních systémů a technologií, který umožní získat síťový přístup ke konfigurovatelným výpočetním prostředkům (např. sítě, servery, datová úložiště, aplikace a služby), které jsou sdíleny větším množstvím uživatelů a jejichž kapacita je poskytována a opět uvolňována s minimálními nároky na jejich správu anebo na intervenci poskytovatele cloud computingu.“
Tato definice odráží definici Národního ústavu pro normalizaci a technologie USA NIST (2009).
Podle úředního sdělení nese cloud computing všechny znaky outsourcingu a poskytovatelé finančních služeb jsou povinni zajistit, že činnosti, které provádějí, jsou v souladu se všemi relevantními právními požadavky (tj. řízení rizik, vnitřní kontrolní mechanizmus, informační toky, ochrana osobních dat a kybernetická bezpečnost), a zajistit tak soustavně řádný a obezřetný výkon své činnosti na finančním trhu. Je rovněž aplikován princip proporcionality. Zmírnění nebo modifikace regulatorních požadavků jsou tedy přípustné, např. v případě, že jde o informační a komunikační systémy na podporu spolupráce a sdílení informací pouze v rámci poskytovatele finančních služeb anebo v rámci skupiny, jejímž je členem, nebo o uložení nebo zpracovávání veřejně dostupných dat.
ČNB při provádění dohledu nad poskytovateli finančních služeb bude mimo jiné posuzovat, zda poskytovatel finančních služeb stanovil ve svých strategiích svůj celkový přístup a hlavní zásady využívání cloud computingu, a zda rozpoznává, posuzuje a adekvátně zohledňuje všechny další významné vlivy specifik cloud computingu, která jsou relevantní pro posouzení rizik souvisejících s daným outsourcingem, včetně vysledovatelnosti a rekonstruovatelnosti informací o řídících a kontrolních procesech poskytovatele cloud computingu.
15-9-2017