Digitální compliance není jen další módní slovo
Ještě před pár lety si většina firem vystačila s tím, že „nějak řeší GDPR“, občas se podívá na kyberbezpečnost a zbytek digitální regulace nechá „na později“. Tahle doba končí.
Pod pojmem digitální compliance si dnes můžeme představit souhrn povinností, které podnikům a organizacím ukládají nové evropské a národní předpisy tzv. Digitální dekády. Nejde přitom o jednu oblast, ale o celý prostor propojených pravidel, které lze zařadit do čtyř vertikál: ochrana osobních údajů a dat, kybernetická bezpečnost a digitální provozní odolnost, datová ekonomika a platformy a konečně umělá inteligence. Nová pravidla se přitom dotknout nejen dat, technologií či bezpečnostních procesů, ale především lidí, obchodních modelů a nebo dodavatelských vztahů a řetězců.
Je vhodné zdůraznit, že digitální compliance není jenom „sbírka právních předpisů pro online ekonomiku“, ale nový způsob, jak v digitálním prostředí firmu řídit a rozvíjet.
Je několik důvodů, proč tohle řešit právě teď. A všechny jsou racionální
Evropa dohání regulatorní dluh, který se nahromadil během covidových let a po nich. Zároveň reaguje na technologické megatrendy: prudký rozvoj AI, závislost byznysu na datech a cloudu, platformizaci ekonomiky i zhoršenou bezpečnostní a geopolitickou situaci. V praxi to znamená, že témata, která byla dříve vnímána odděleně, se dnes začínají potkávat: bezpečnost technologií, ochrana spotřebitele a základních práv, férová soutěž a odpovědnost digitálních hráčů. Právě stále častější průniky mezi oblastmi soukromí, bezpečnosti a AI budou jedním z klíčových cílů, které budou muset organizace aktivně řešit.
Kterou legislativu musí firmy v rámci digitální compliance řešit?
- Směrnice NIS2 – a její implementace do českého právního řádu prostřednictvím nového zákona o kybernetické bezpečnosti
- Směrnice CER (Critical Entities Resilience): směrnice o odolnosti kritických subjektů
- Nařízení DORA (Digital Operational Resilience Act): nařízení o digitální provozní odolnosti
- Nařízení Cyber Resilience Act: akt o kybernetické odolnosti
- Nařízení AI Act: akt o umělé inteligenci
- Oborové technické normy a standardy, např. ISO 27000 (norma pro řízení bezpečnosti informací), ISO 42000 (norma pro řízení systémů umělé inteligence), CMMC (certifikace úrovně kybernetické vyspělosti)
Současně ale platí, že nová regulace nebyla ideálně koordinována. Výsledkem jsou překryvy, různé definice, odlišné dozorové režimy a někdy i duplicitní povinnosti. Vzniká tak oprávněná obava z dalšího zahušťování existující „regulační džungle“, ve které nároky na compliance byznysu dramaticky porostou – personálně, technicky, investičně i časově.
To je mimochodem i jeden z důvodů, proč se v roce 2025 objevila myšlenka tzv. digitálních omnibusů: tedy pokusu některé digitální předpisy sladit, zjednodušit a odstranit duplicity, například v oblasti hlášení incidentů.
Čtyři vertikály, jeden problém managementu
Když se na digitální compliance podíváme bez právnických detailů, firmy dnes musí řešit čtyři hlavní okruhy.
- Prvním je ochrana osobních údajů a dat. Tedy nejen GDPR a ePrivacy, ale i otázky sdílení dat, jejich využívání, retenčních dob, transparentnosti nebo vztahu mezi osobními a neosobními daty.
- Druhý okruh tvoří kybernetická bezpečnost a digitální provozní odolnost – sem patří NIS2, CER, DORA a do budoucna i další návazné standardy jako např. CRA.
- Třetí oblastí je datová ekonomika a platformy, tedy Data Act, Data Governance Act, otevřená data, digitální služby a pravidla pro fungování digitálních trhů.
- A čtvrtou vertikálou je samozřejmě umělá inteligence, dnes reprezentovaná hlavně AI Actem.
Z pohledu vedení firmy je ale klíčové něco jiného: všechny tyto oblasti se ve skutečnosti potkávají v řadě podnikových procesů. V řízení rizik. V tvorbě a oběhu řídící dokumentace. V auditu. V odpovědnosti vedení. V bezpečnostních incidentech. V dodavatelském řetězci. V kvalitě dat. Jinými slovy: právní předpisy jsou různé, ale dopad do provozní sféry bývá často společný. To je přesně důvod, proč se digitální compliance nedá dlouhodobě řídit odděleně, v modelu oddělených gesčních týmů bez koordinace.
Nová regulace mění styl hry
Nové předpisy už často nefungují jako staré precizní návody „co musíte udělat (přesně krok za krokem)“. Místo toho častěji stanoví obecné cíle, kterých má být dosaženo – jde o jakési performativní požadavky.
To je pro firmy náročnější, ale vlastně i rozumnější. Regulátor vám řekne, že máte zajistit přiměřenou bezpečnost, řídit rizika, zavést vhodná opatření, chránit data nebo zajistit dohled nad AI. Už vám ale neřekne univerzálně, jak to udělat ve vaší konkrétní organizaci. To si musí každá firma vyhodnotit sama podle své velikosti, expozice, technologií, obchodního modelu a rizikového profilu. Široce se přitom uplatní zásada přiměřenosti: postupovat musíte podle priorit, neřešit všechno najednou a investovat hlavně do opatření, která skutečně snižují přítomná rizika. Pokud uvedeme příklad, jiné povinnosti bude mít výrobní firma o deseti tisících zaměstnancích a jiné např. její dodavatel IT služeb. Vzhledem k tomu, že ta IT firma je bezpečnostně exponovaná, bude muset plnit překvapivě více požadavků, i když má třeba jen pár zaměstnanců.
To je mimochodem dobrá zpráva. Znamená to, že i menší nebo střední podnik může digitální compliance zvládnout smysluplně a s menšími náklady než větší konkurence. Tedy pokud ji nebude chápat jako bezhlavé plnění seznamu povinností, ale jako strategický projekt.
Co nás čeká dál
Z pohledu firem není užitečné znát každý článek každého předpisu. Užitečné je rozumět vazbám a celkovému směru. V posledních dvou letech se evropský rámec významně posunul: do popředí se namísto GDPR dostaly AI Act, NIS2, CER a DORA. Ve výhledu dalších let se očekává další „dotahování šroubů“, větší harmonizace praxe dohledu, nástup komplexního aktu o kybernetické odolnosti (CRA) jako nového standardu pro bezpečnost digitálních produktů, software a dodavatelských řetězců, a také další debaty o budoucnosti evropské kyberbezpečnostní a datové regulace až k horizontu roku 2030.
Firmy by tuto vlnu neměly vnímat jako sérii izolovaných šoků. Je to spíše dlouhodobý trend: od improvizované digitální správy k profesionálnějšímu, důvěryhodnějšímu a odolnějšímu prostředí.
Co z toho plyne pro firmy
První doporučení je jednoduché: nedělejte všechno najednou. Největší chyba bývá panika. Firmy někdy začnou nakupovat náročné technologie, objednávat externí služby tvorby dokumentace a měnit procesy dřív, než si vyjasní, které předpisy se jich skutečně týkají a kde mají reálně největší expozici.
Mnohem lepší je začít expoziční analýzou. Tedy zjistit: jaké služby poskytujeme, jaká data a technologie používáme, v jakých regulovaných odvětvích působíme, zda vyvíjíme nebo používáme AI, zda jsme součástí kritických dodavatelských řetězců a jaké máme povinnosti už teď – a jaké pravděpodobně přijdou v následujících dvou až třech letech. Organizace musí nejprve udělat přehled o svých agendách a službách, zmapovat stávající stav opatření, a teprve pak určit priority a plán.
Když se vrátíme k předchozímu příkladu, výrobní firma může být relativně málo exponovaná na internetu. Záleží tedy ne na velikosti firmy, ale na množství jejích dat. A nejen množství, ale i citlivosti. Při jedné naší analýze jsme např. zjistili, že nemocnice musí splnit 56 povinností, aby vůbec mohla začít používat AI. A pak je tu ještě sektor bankovnictví a financí. Podle nařízení DORA musí tyto povinnosti splnit nejen banka ale i její dodavatelé. Tady je příklad pojišťovny Slavie, která plnila své povinnosti, ale neohlídala si svůj dodavatelský řetězec.
Druhé doporučení: myslete na náklady dřív, než vám utečou z ruky. Digitální compliance je dnes drahá hlavně ve třech oblastech: lidé, know–how a čas. Právě proto je nejrozumnější současná investice méně „sexy“, než by se zdálo – jde o vzdělávání lidí. To by mělo cíleně směřovat na nejdůležitější budoucí dovednosti zaměstnanců – digitální kompetence, AI, kyberbezpečnost a technologický rozhled. To není jen HR trend, ale compliance realita.
Třetí doporučení: digitalizujte i samotný compliance management. Pokud firma spravuje své regulatorní povinnosti v tabulkách, e–mailech a několika nesourodých složkách, velmi rychle se tento „systém“ rozpadne do chaosu. Už dnes existují nástroje, které umí compliance povinnosti mapovat, hodnotit, spojovat s riziky a navrhovat nápravná opatření. To je správný směr. Ale pořád platí jedna zásadní věta: software může doporučit, člověk musí rozhodnout. Pochopení byznysového kontextu, obchodních dopadů a reálné přiměřenosti zatím žádný nástroj či AI model plně neobsáhne.
Důležitý je mindset
Digitální compliance není jen ochrana před pokutami, ale investice do fungování firmy ve světě, kde je digitální důvěra klíčová. Firmy, které mají pod kontrolou data, technologie i dodavatele a umí reagovat na incidenty, získávají výhodu vůči regulátorům i trhu. Kdo digitální compliance podcení, může zaplatit nejen penězmi, ale i neefektivitou a vyšším rizikem. Dobrá zpráva: i když je regulace složitá, dává smysl – a při správném uchopení může být užitečným rámcem pro odolnější byznys.
Jindřich Kalíšek je CEO české firmy regfor, která vyvíjí intuitivní nástroj pro efektivní a přehlednou správu legislativních a regulatorních požadavků, řízení rizik a podnikové compliance, management dodavatelského řetězce, automatizaci auditů, správu incidentů a vzdělávání v digitálních kompetencích. Působí též jako advokát se specializací na právo informačních a nových technologií, regulatoriku a compliance, především v oblastech ochrany informací a osobních údajů, kybernetické bezpečnosti, digitální provozní odolnosti finančních institucí, vývoje a ochrany software a poskytování IT služeb. O kybernetické bezpečnosti a ochraně osobních údajů přednáší na Právnické fakultě UK v Praze i odborných konferencích a vzdělávacích akcích.