Index cloud-native bankovnictví 2026: DORA, platformové inženýrství, suverénní cloud a provozní odolnost

TL;DR. Index cloud-native bankovnictví 2026 pro měření připravenosti na DORA, vyspělosti platformového inženýrství, koncentračního cloudového rizika, evidence o exitu a provozní odolnosti.

Points clés

Proč je cloudová odolnost podle DORA v auditní fázi. Tři důvody, proč je rámování „přípravy" v roce 2026 chybné.
Aktuální signály ke sledování. Cloud-native vyspělost se v roce 2026 redukuje na pět inženýrských primitiv, která se prolínají, aby produkovala dozorovou evidenci rychlostí pipeline nasazení.
Platformové inženýrství: pět pojmenovaných primitiv. Cloud-native vyspělost se v roce 2026 redukuje na pět inženýrských primitiv, která se prolínají, aby produkovala dozorovou evidenci rychlostí pipeline nasazení.
Suverénní cloud jako inženýrství, ne branding. Strategie suverénního cloudu musí v roce 2026 odpovědět na čtyři konkrétní otázky Schrems II + DORA + EBA outsourcing:.

Cloud-native bankovnictví je v roce 2026 v auditní fázi DORA. Nařízení (EU) 2022/2554 ⧉ je v účinnosti od 17. ledna 2025. Režim určování kritických poskytovatelů třetích stran (CTPP) podle článků 28–44 se otevírá v průběhu let 2025–2026, přičemž AWS, Microsoft (Azure), Google (GCP) a Salesforce se nacházejí uvnitř nebo na hranici perimetru určení. Evropské orgány dohledu (EBA, EIOPA, ESMA) v roce 2024 zveřejnily finální RTS a ITS k Registru informací ⧉. Tým bankovního dohledu ECB má v dozorových prioritách 2026–28 ⧉ explicitní programy připravenosti na výpadek cloudu a penetračního testování řízeného hrozbami. Institucionální otázkou není, zda sladit cloudovou strategii s DORA — to je vyřešeno —, ale zda primitiva platformového inženýrství instituce produkují evidenci rychlostí pipeline nasazení namísto PDF složených týden před kontrolou.

Manažerské shrnutí / Klíčové závěry

Cloudová odolnost podle DORA je v aktivním vymáhání od 17. ledna 2025. Články 6, 8, 18, 26 i 28–44 jsou v účinnosti. Dozorová zjištění z první vlny kontrol přišla ve 4. čtvrtletí 2025. Rámování „přípravy" je o dva cykly pozadu.

Režim určování CTPP se otevírá. AWS, Microsoft, Google, Salesforce — uvnitř nebo na hranici. Určení dává ESA přímá oprávnění dohledu, včetně informačních žádostí, kontrol na místě a dozorových doporučení.

Platformové inženýrství je dodávkou. Paved roads na Kubernetes (EKS / AKS / GKE / OpenShift), vývojářský portál ve stylu Backstage, GitOps (ArgoCD nebo Flux), Open Policy Agent při admission, OpenTelemetry napříč prostředím. Pět pojmenovaných primitiv; cokoli chybějícího je zjištění.

Suverénní cloud je inženýrství, ne branding. AWS European Sovereign Cloud, Microsoft EU Data Boundary, Bleu (Capgemini + Orange + Microsoft), Thales / S3NS, Oracle EU Sovereign Cloud — každý řeší konkrétní rozměr Schrems II + článku 28 DORA; žádný není odpovědí na klíč.

Ověřená evidence o exitu je vyžadována. Paragrafy 81 a 113–117 EBA/GL/2019/02. Čtvrtletní stolní cvičení nestačí; dozorové orgány očekávají roční end-to-end test provedení exitu pro každou kritickou nebo důležitou funkci.

RTO / RPO z inventáře CIF. Tier 1: 2 h / 15 min. Tier 2: 4 h / 1 h. Tier 3: 24 h / 4 h. Odvozeno z analýzy dopadu na podnikání, ne z kapacity platformového týmu.

Proč je cloudová odolnost podle DORA v auditní fázi #

Tři důvody, proč je rámování „přípravy" v roce 2026 chybné.

Zaprvé, časová osa. DORA bylo vyhlášeno v prosinci 2022. 24měsíční aplikační lhůta skončila 17. ledna 2025. Finální RTS a ITS od ESA — včetně ITS k Registru informací používanému pro určování CTPP — byly zveřejňovány v průběhu roku 2024. První vlna dozorových kontrol probíhala v průběhu roku 2025; zjištění o úplnosti rámce řízení ICT rizik podle článku 6 a o sesouhlasení registru podle článku 8 přišla ve 4. čtvrtletí 2025 napříč více institucemi první úrovně.

Zadruhé, režim určování CTPP. Článek 31 stanoví kritéria pro určení za kritického poskytovatele třetí strany: systémový dopad v případě selhání, kritičnost poskytovaných služeb, rozsah a komplexita služeb, nahraditelnost. ESA vedou registr a zveřejňují rozhodnutí o určení. AWS, Microsoft (Azure), Google (GCP) a Salesforce se nacházejí uvnitř nebo na hranici perimetru určení v závislosti na podílu trhu finančních služeb podle členského státu. Určení dává hlavnímu dohlížiteli (jednomu z ESA, přiděleného podle poskytovatele) přímou dohledovou pravomoc: informační žádosti podle článku 37, kontroly na místě podle článku 38, doporučení podle článku 35 a režim veřejného zpřístupňování podle článku 41. Banky dohlížené nad těmito CTPP podléhají odpovídajícím dozorovým očekáváním ohledně toho, jak řídí onu určenou závislost.

Zatřetí, dozorové priority ECB 2026–28. Dokument priorit jmenuje dva explicitní programy, které se přímo dotýkají cloud-native bankovnictví: připravenost na výrazný výpadek cloudové služby (modelované dozorové scénáře testují schopnost instituce absorbovat dlouhotrvající výpadek určeného CTPP) a TLPT v souladu s TIBER-EU (každé cvičení TIBER-EU vymezuje kritické a důležité funkce instituce, což nyní zahrnuje služby hostované ve veřejném cloudu). Kontrolní vlna roku 2026 přinese zjištění k obojímu.

Rámování pro rok 2026 není „DORA přichází"; je to „zjištění z kontrol DORA přicházejí do schránky vaší instituce a rozhodnutí platformového inženýrství, která jste učinili v letech 2024–2025, jsou tím, co dohlížitel v těchto zjištěních zkoumá".

Architektura indexu 2026 #

Vrstva indexu	Jak vypadá „připravenost"	Metrika připravenosti	Selhání
Vyspělost platformy	>80 % workloadů na paved-road Kubernetes platformě (EKS / AKS / GKE / OpenShift) s admission policy-as-code, nasazením přes GitOps, automatizovaným testováním DR	% CIF na paved-road platformě; počet stínových nasazení; průměrný čas onboardingu nové služby na platformu	Stínové platformy s nekonzistentními kontrolami; CIF běžící na ne-paved infrastruktuře neviditelné pro sesouhlasení registru podle článku 8
Integrita registru podle článku 8	Registr informací se automaticky sesouhlasuje s konzumací API třetích stran platformou + cloud-bill-of-materials; klasifikace kritičnosti konzistentní s inventářem CIF instituce	% záznamů registru sesouhlasených s telemetrií platformy; počet osiřelých záznamů; kontrola integrity perimetru CTPP	ESA identifikuje závislost na určeném CTPP, kterou instituce nezveřejnila podle článku 8; individuální zjištění a důsledek na perimetru CTPP
Cloudová koncentrace	Kritické funkce mapovány na cloudové poskytovatele A subregiony A služby A posouzení nahraditelnosti; korelovaná expozice napříč CIF kvantifikována	Skóre koncentrace na CIF; korelovaná expozice napříč CIF sdílejícími region určeného CTPP	Jeden výpadek IAM v AWS us-east-1 sundá čtyři CIF, o kterých instituce myslela, že jsou nezávisle zdrojované
Ověřená schopnost exitu	Roční end-to-end test provedení exitu pro každý CIF závislý na určeném CTPP; zdokumentované RTO / RPO splňuje cíle odvozené z BIA; otestovaná cesta přenositelnosti dat	Míra úspěšnosti testů na CIF; průměrný čas provedení exitu vs. cíl RTO; latence cesty přenositelnosti dat	Plán exitu existuje pouze jako PDF; stolní cvičení tvrdí 4 h RTO, skutečný test ukáže 48 h při prvním pokusu
Pozorovatelnost + hlášení incidentů	OpenTelemetry traces napříč službami; automatizovaný pomocník pro čtyřhodinovou klasifikaci podle článku 18 napojený na platformu incident managementu	% provozu CIF pokrytého OTel traces; průměrný čas od detekce incidentu k rozhodnutí o klasifikaci podle článku 18	Vážný incident klasifikován mimo čtyřhodinové okno, protože určení kritičnosti vyžadovalo triážní schůzku; zjištění k článku 18
Integrace TLPT	Rozsah TLPT odvozen z inventáře CIF a průběžně aktualizován; zjištění se vrací do policy-as-code platformy; uzavřená zjištění produkují evidenční balíky připravené pro dohlížitele	Míra uzavírání zjištění TLPT; doba cyklu od zjištění k aktualizaci politiky	TLPT odhalí zranitelnost, kterou tým platformového inženýrství instituce nedokáže opravit v méně než dvou release cyklech

Aktuální signály ke sledování #

Signál	Co znamená pro banky	Zdroj
DORA v aktivním vymáhání od 17. ledna 2025	Zjištění z první vlny dohledu přišla ve 4. čtvrtletí 2025; zjištění z druhé vlny očekávána v průběhu 2. pololetí 2026	EUR-Lex ⧉
Otevírání režimu určování CTPP v letech 2025–2026	AWS, Microsoft, Google, Salesforce uvnitř nebo na hranici perimetru; určení dává ESA přímá oprávnění dohledu	EBA ⧉
Dozorové priority ECB 2026–28 explicitně jmenují cloudový výpadek	Modelované dozorové scénáře testují schopnost absorbovat dlouhotrvající výpadek určeného CTPP	Bankovní dohled ECB ⧉
TIBER-EU sladěn s článkem 26 DORA	Rozsah TLPT pokrývá kritické / důležité funkce včetně služeb hostovaných v cloudu	TIBER-EU ECB ⧉
Pokyny EBA k outsourcingu (EBA/GL/2019/02) se prolínají s článkem 28 DORA	Podstatná přítomnost (¶64), posouzení nahraditelnosti (¶81), strategie exitu (¶113–117) — paragrafy, které dohlížitelé skutečně testují	EBA ⧉
Schéma EU Cloud Services Scheme (EUCS) postupuje	Budoucí certifikační schéma pro suverénní cloud podle Aktu o kybernetické bezpečnosti EU; návrh zveřejněn ENISA	EUCS ENISA ⧉

Platformové inženýrství: pět pojmenovaných primitiv #

Cloud-native vyspělost se v roce 2026 redukuje na pět inženýrských primitiv, která se prolínají, aby produkovala dozorovou evidenci rychlostí pipeline nasazení. Vynechání kteréhokoli z nich je zjištění čekající, až se stane.

1. Paved roads postavené na Kubernetes #

Každý CIF běží na spravované Kubernetes platformě — EKS, AKS, GKE nebo OpenShift na určeném CTPP, nebo alternativa spravovaná dodavatelem. Platformový tým provozuje vzor jediného zlatého clusteru s řízenou odchylkou: uzly z dokumentovaného base image; izolace namespace na tým; restriktivní profil pod-security-standards; síťové politiky; injekce service mesh (Istio nebo Linkerd) pro autentizaci a pozorovatelnost mezi službami. Nové služby vstupují na paved road přes šablonovaný onboarding workflow, který produkuje záznam do registru podle článku 8 jako artefakt nasazení.

2. Vývojářský portál ve stylu Backstage #

Centrální vývojářský portál — open-source Backstage ⧉ od Spotify je referenční implementací, s různými enterprise alternativami — poskytuje system of record o tom, co kde běží. Katalog uvádí každou službu, vlastníka, závislost, klasifikaci kritičnosti, runbook a on-call rotaci. Portál se prolíná s registrem podle článku 8: každý záznam v katalogu mapuje na záznam v registru; záznamy bez referencí na registr spouštějí selhání CI; záznamy v registru bez přítomnosti v katalogu spouštějí výstrahy předbíhající dohlížitele.

3. Nasazení přes GitOps s ArgoCD nebo Flux #

Produkční nasazení probíhá přes GitOps controller — ArgoCD nebo Flux je produkční standard v roce 2026 —, který sesouhlasuje verzovaný deklarativní stav v Gitu s běžícím clusterem. Ruční kubectl apply je deaktivován; jedinou cestou do produkce je sloučený pull request. Git repository je auditní stopou; dohlížitelé žádající „ukažte mi konfiguraci služby X k datu Y" dostanou Git tag, ne snímek obrazovky.

4. Open Policy Agent při admission #

Open Policy Agent (OPA) sedí v admission řetězci clusteru a vynucuje politiku platformy: soulad s profilem pod-security, původ image, limity zdrojů, přítomnost network policy, replikaci odpovídající vrstvě kritičnosti, umístění v subregionu pod omezením suverénního cloudu. Politiky jsou verzovány v Gitu a řízeny změnami souběžně s konfigurací služeb. Odmítnutá nasazení produkují přezkoumatelné odůvodnění, které vstupuje do evidenčního balíku change managementu.

5. OpenTelemetry napříč prostředím #

Každá služba emituje OpenTelemetry traces, metriky a logy. Platformový tým provozuje centralizovanou observability pipeline — typicky Tempo nebo Jaeger pro traces, Prometheus pro metriky, Loki nebo OpenSearch pro logy —, která vynáší end-to-end zdraví CIF, mapování závislostí a vstupy pro klasifikaci incidentů. Čtyřhodinové klasifikační okno podle článku 18 začíná detekcí; OTel pipeline zkracuje cestu od detekce ke klasifikaci na dotazovatelné vyhledání, ne na triážní schůzku.

Suverénní cloud jako inženýrství, ne branding #

Strategie suverénního cloudu musí v roce 2026 odpovědět na čtyři konkrétní otázky Schrems II + DORA + EBA outsourcing:

Kde jsou data zpracovávána a uložena? Umístění v členském státě EU; subregion pro toky vysoké kritičnosti; písemné závazky datové rezidence.
Kdo má právní přístup k datům? Provoz pouze místními zaměstnanci; žádosti o přístup zahraničních vlád podléhají procesu místního soudu; otestovaná odezva na žádosti o zákonný přístup.
Jaký je profil nahraditelnosti? Posouzení nahraditelnosti podle ¶81 EBA/GL/2019/02; otestované provedení exitu; identifikovaný a smluvně zajištěný alternativní poskytovatel (nebo zdokumentováno, proč není proveditelný).
Jaký je model technické suverenity? Klíče řízené zákazníkem; kryptografické oddělení; suverénní management plane; auditovatelný supply chain.

Možnosti dodavatelů adresující tyto otázky v roce 2026:

AWS European Sovereign Cloud (oznámeno 2023, GA očekáváno ve 2. pololetí 2026): fyzický region provozovaný dceřinou společností AWS s rezidencí v EU; provoz a podpora s rezidencí v EU; klíče řízené zákazníkem přes vzor KMS-XKS. Sladění obsahu smluv podle článku 28 DORA čekající v roce 2026.
Microsoft EU Data Boundary (GA 2024) + Bleu (Capgemini + Orange + Microsoft, pouze Francie): Data Boundary udržuje zákaznická data EU v regionech EU; Bleu je francouzský suverénní cloud sladěný se SecNumCloud, provozující Microsoft Azure stack pod francouzskou provozní kontrolou.
Suverénní partnerství Google Cloud: Thales / S3NS ve Francii (ekvivalent Bleu); T-Systems v Německu.
Oracle EU Sovereign Cloud (GA 2023): vzor dvou regionů (Frankfurt + Madrid) s provozem s rezidencí v EU; čistě v souladu se Schrems II.
Poskytovatelé sladění s Gaia-X (OVHcloud, Scaleway, Stackit, Aruba Cloud, IONOS): nativní EU poskytovatelé s označením Gaia-X; menší rozsah a ekosystém než hyperscaleři, ale bez expozice podle Foreign Intelligence Surveillance Act.

Strategické rozhodnutí je zřídka binární. Banky první úrovně typicky provozují konfiguraci hyperscaler-s-Data-Boundary pro objemovou většinu workloadů, možnost suverénního cloudu pro určené toky s vysokou citlivostí (např. AML / sankční case-management systémy zpracovávající osobní data rezidentů EU) a kontingentní cestu nahraditelnosti otestovanou každoročně podle článku 28 DORA.

Ověřené provedení exitu #

EBA/GL/2019/02 ⧉ paragrafy 113–117 jsou ustanovení o exit strategii. Text je jednoznačný v tom, co je vyžadováno: „Instituce a platební instituce by měly zajistit, aby byly schopné ukončit ujednání o outsourcingu bez neoprávněného narušení svých obchodních činností… Strategie exitu by také měly být zdokumentovány a otestovány jako součást pravidelných přezkumů outsourcingových ujednání."

Dozorovým očekáváním v roce 2026 je roční end-to-end test provedení exitu pro každý CIF závislý na určeném CTPP. Stolní cvičení a dokumentové přezkumy nestačí. Test musí produkovat:

Měření času do obnovy: skutečný uplynulý čas od deklarace exitu po obnovení workloadu u alternativního poskytovatele, proti cíli RTO odvozenému z BIA.
Evidenci přenositelnosti dat: otestovaný export dat z primárního prostředí, validovaný proti cestě importu cílového poskytovatele, s evidencí sesouhlasení.
Funkční ekvivalenci: otestovaný workload běžící u alternativního poskytovatele s ekvivalentními SLO.
Evidenci nákladů: zdokumentované náklady provedení exitu vs. předpoklad nákladů na obnovu v kontingentním plánování instituce.

První pokus o end-to-end test exitu pro CIF typicky odhalí 5–10× rozdíl mezi zdokumentovaným RTO a skutečným RTO. Uzavření tohoto rozdílu je inženýrská práce, která trvá měsíce. Banky, které to zjistí během dozorové kontroly namísto vlastního ročního testovacího cyklu, čelí cyklu zjištění ve 3. čtvrtletí, kterému se mohly vyhnout.

Cíle RTO / RPO z inventáře CIF #

Každá kritická nebo důležitá funkce mapuje na klasifikaci vrstvy odvozenou z analýzy dopadu na podnikání instituce. Vrstva řídí cíle RTO a RPO, k jejichž dodání se tým platformového inženýrství zavazuje.

Vrstva	Příklady	RTO	RPO
Tier 1 (kriticky důležité)	Konektivita RTGS (CHAPS / T2 / Fedwire), autorizace retailových plateb, autentizace klienta pro digitální kanály	2 hodiny	15 minut
Tier 2 (kritické)	Screening AML / sankcí, pipeline detekce podvodů, autorizace ATM, dávkové zpracování plateb	4 hodiny	1 hodina
Tier 3 (důležité)	Reporting a regulatorní výkaznictví, klientské znalostní báze, interní platformy spolupráce	24 hodin	4 hodiny
Tier 4 (nekritické)	Interní HR systémy, marketingové nástroje, neklientský reporting	72 hodin	24 hodin

Tato čísla jsou ilustrativní — BIA instituce produkuje vlastní. Dodávkou platformového inženýrství je regresně testovaná schopnost splnit cíle odvozené z BIA, doložená automatizovaným testováním DR na službu a validovaná ročním testem provedení exitu pro CIF závislé na CTPP.

Co to znamená podle typu banky #

Globálně systémově významné banky #

Tvrdým problémem je rozsah napříč obchodními liniemi: tisíce služeb, stovky CIF, několik expozic vůči určeným CTPP napříč produkty, jurisdikcemi a profily odolnosti. Investicí je centrální schopnost platformového inženýrství — paved roads na Kubernetes, portál Backstage, GitOps, OPA, OTel —, která produkuje sesouhlasení registru podle článku 8, mapu koncentrace CTPP a schopnost provedení exitu po jednotlivých CIF bez šité konstrukce po obchodní linii.

Univerzální a středně velké banky #

Investice do platformového inženýrství je na této úrovni odůvodněná, ale rozsah je omezený: vybrat dva nebo tři CIF s nejvyšší kritičností, postavit kolem nich vzor paved-road, akceptovat, že legacy estate pokračuje na stávajících kontrolách ve střednědobém horizontu. Dozorové pozicování je důležitější než šířka platformy — být schopen doložit integritu registru podle článku 8 DORA a otestovaný exit pro top tři CIF pokrývá primární obavy dohlížitele.

Regionální a menší banky #

Výběr dodavatele před interní stavbou. Vybrat dodavatele bankovní platformy, jehož Kubernetes-native architektura je zdokumentovaná, jehož integrace registru podle článku 8 je vestavěná a jehož závazky ke smluvnímu obsahu podle článku 28 DORA jsou jasné. Interní inženýrská schopnost se točí kolem konfigurace, monitoringu a odezvy na incidenty — ne kolem stavby platformy.

Fintechy, PSP a SaaS poskytovatelé obsluhující banky #

Produktovou otázkou pro dodavatele prodávající do bank EU v roce 2026 je, zda platforma produkuje záznamy do registru podle článku 8 a smluvní obsah podle článku 28 DORA, který funkce compliance banky potřebuje. Dodavatelé se strukturovanými výstupy vyhrávají enterprise smlouvy; dodavatelé s PDF šablonami prohrávají s konkurenty se strukturovaným JSON.

Závěr #

Cloudová odolnost podle DORA je v auditní fázi. Rozhodnutí platformového inženýrství učiněná v letech 2024–2025 jsou tím, co dozorový cyklus 2026 zkoumá. Instituce, které budou v letech 2026–2028 vypadat věrohodně před ECB a EBA, jsou ty, jež provozují paved roads na Kubernetes s portály ve stylu Backstage a nasazením přes GitOps pod admission Open Policy Agent s OpenTelemetry napříč prostředím — produkující evidenci do registru podle článku 8 jako artefakt nasazení a evidenci o provedení exitu jako roční cyklus, nikoli jako odpověď na dozorovou žádost.

Instituce, které tyto investice neučinily, zjistí, zda jejich druholiniový compliance tým dokáže absorbovat první kolo dozorových zjištění dříve, než přijde druhé.

Měřte platformu tak, jak měříte jakýkoli provozní program: pokrytí paved-road, míra sesouhlasení registru, skóre koncentrace CTPP, otestovaný čas exitu vs. cíl RTO, průměrný čas klasifikace podle článku 18, míra uzavírání TLPT. Evidence rychlostí pipeline; dokumentační balíky pouze tehdy, když si je dohlížitel vyžádá.

Často kladené otázky #

Je cloudová odolnost podle DORA v roce 2026 stále ve fázi přípravy?

Ne. DORA je v aktivním vymáhání od 17. ledna 2025. Režim určování CTPP podle článků 28–44 se otevírá v průběhu let 2025–2026. Zjištění z kontrol ECB k řízení ICT rizik podle článku 6 a integritě registru podle článku 8 přišla napříč více institucemi první úrovně ve 4. čtvrtletí 2025. Dozorovou otázkou roku 2026 je institucionálně specifická evidence z kontrol, ne regulatorní připravenost.

Kteří cloudoví poskytovatelé jsou určeni jako CTPP?

ESA zveřejňují rozhodnutí o určení na svých webových stránkách. Instituce uvnitř nebo na hranici perimetru v roce 2026 zahrnují AWS, Microsoft (Azure), Google (GCP), Salesforce a malý počet dalších v závislosti na podílu trhu finančních služeb podle členského státu. Banky dohlížené nad těmito poskytovateli čelí odpovídajícím dozorovým očekáváním ohledně toho, jak řídí onu závislost.

Eliminuje suverénní cloud potřebu smluvního obsahu podle článku 28 DORA?

Ne. Suverénní cloud řeší dimenzi Schrems II + datové rezidence; smluvní obsah podle článku 28 DORA je samostatná povinnost, která platí bez ohledu na to, kde data sedí. Smlouva poskytovatele suverénního cloudu musí stále pokrývat přístupnost dat, bezpečnost, rezidenci, auditní práva, strategie exitu a kontinuitu podle článku 28.

Jaká je inženýrská dodávka, která prokazuje cloudovou odolnost podle DORA?

Pět prolínajících se primitiv platformového inženýrství: paved roads na Kubernetes (spravovaný cluster s odchylkou řízenou politikami), vývojářský portál ve stylu Backstage (katalog sesouhlasující s registrem podle článku 8), nasazení přes GitOps (ArgoCD nebo Flux), Open Policy Agent při admission, OpenTelemetry napříč prostředím. Evidence rychlostí pipeline namísto v okamžiku kontroly.

Jak často je třeba testovat provedení exitu?

Roční end-to-end test provedení exitu na CIF závislý na určeném CTPP. Stolní cvičení a dokumentové přezkumy nestačí. Test musí produkovat čas do obnovy, evidenci přenositelnosti dat, funkční ekvivalenci a evidenci nákladů — měřené proti cílům RTO a RPO odvozeným z BIA.

Reference #

Evropská unie, (2022). Nařízení (EU) 2022/2554 — Digital Operational Resilience Act (DORA) ⧉.
Evropský orgán pro bankovnictví, (2019). EBA/GL/2019/02 — Pokyny k outsourcingovým ujednáním ⧉.
Evropský orgán pro bankovnictví, (2026). Digital Operational Resilience Act ⧉.
Evropské orgány dohledu, (2024). Finální zpráva k ITS k Registru informací podle DORA ⧉.
Bankovní dohled ECB, (2025). Dozorové priority 2026–28 ⧉.
Evropská centrální banka, (2024). Rámec TIBER-EU ⧉.
ENISA, (2024). Schéma kybernetické bezpečnosti EU pro cloudové služby (EUCS) ⧉.
Spotify, (2020–2024). Vývojářský portál Backstage ⧉.
Cloud Native Computing Foundation, (2018). Open Policy Agent (OPA) ⧉.
Cloud Native Computing Foundation, (2019). OpenTelemetry ⧉.

Naposledy ověřeno 2026-06-05.

Naposledy revidováno 2026-06-05.