Technologická suverenita
Verze: 1.0 | Efektivní od: 1. ledna 2026
1. Účel
Tato směrnice definuje principy a požadavky pro zajištění technologické suverenity organizace - schopnosti udržet kontrolu nad kritickými technologickými systémy a daty bez nežádoucí závislosti na jednotlivých vendorech nebo geopolitických jurisdikcích.
2. Scope
Směrnice se vztahuje na:
- Všechny kritické informační systémy
- Cloud služby a infrastrukturu
- AI/ML nástroje a platformy
- SaaS aplikace zpracovávající firemní data
- Vendor management a procurement
3. Klíčové pojmy
| Pojem | Definice |
|---|---|
| Tech Sovereignty | Schopnost organizace udržet kontrolu nad technologiemi bez nežádoucí závislosti |
| Vendor Lock-in | Situace, kdy změna poskytovatele je nepřiměřeně nákladná nebo složitá |
| Data Residency | Fyzická lokace, kde jsou data uložena a zpracovávána |
| Exit Strategy | Dokumentovaný plán migrace od současného vendora |
| Exit Costs | Kvantifikované náklady na změnu poskytovatele |
| CLOUD Act | US zákon umožňující US vládě přístup k datům US společností bez ohledu na lokaci |
4. Governance struktura
4.1 Role a odpovědnosti
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape .label rect%2c%23mermaid-0 .image-shape .label rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .label-icon%7bdisplay:inline-block%3bheight:1em%3boverflow:visible%3bvertical-align:-0.125em%3b%7d%23mermaid-0 .node .label-icon path%7bfill:currentColor%3bstroke:revert%3bstroke-width:revert%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker id='mermaid-0_flowchart-v2-pointEnd' class='marker flowchart-v2' viewBox='0 0 10 10' refX='5' refY='5' markerUnits='userSpaceOnUse' markerWidth='8' markerHeight='8' orient='auto'%3e%3cpath d='M 0 0 L 10 5 L 0 10 z' class='arrowMarkerPath' style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b'/%3e%3c/marker%3e%3cmarker id='mermaid-0_flowchart-v2-pointStart' class='marker flowchart-v2' viewBox='0 0 10 10' refX='4.5' refY='5' markerUnits='userSpaceOnUse' markerWidth='8' markerHeight='8' orient='auto'%3e%3cpath d='M 0 5 L 10 10 L 10 0 z' class='arrowMarkerPath' style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b'/%3e%3c/marker%3e%3cmarker id='mermaid-0_flowchart-v2-circleEnd' class='marker flowchart-v2' viewBox='0 0 10 10' refX='11' refY='5' markerUnits='userSpaceOnUse' markerWidth='11' markerHeight='11' orient='auto'%3e%3ccircle cx='5' cy='5' r='5' class='arrowMarkerPath' style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b'/%3e%3c/marker%3e%3cmarker id='mermaid-0_flowchart-v2-circleStart' class='marker flowchart-v2' viewBox='0 0 10 10' refX='-1' refY='5' markerUnits='userSpaceOnUse' markerWidth='11' markerHeight='11' orient='auto'%3e%3ccircle cx='5' cy='5' r='5' class='arrowMarkerPath' style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b'/%3e%3c/marker%3e%3cmarker id='mermaid-0_flowchart-v2-crossEnd' class='marker cross flowchart-v2' viewBox='0 0 11 11' refX='12' refY='5.2' markerUnits='userSpaceOnUse' markerWidth='11' markerHeight='11' orient='auto'%3e%3cpath d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9' class='arrowMarkerPath' style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b'/%3e%3c/marker%3e%3cmarker id='mermaid-0_flowchart-v2-crossStart' class='marker cross flowchart-v2' viewBox='0 0 11 11' refX='-1' refY='5.2' markerUnits='userSpaceOnUse' markerWidth='11' markerHeight='11' orient='auto'%3e%3cpath d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9' class='arrowMarkerPath' style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath d='M291.246%2c110L291.246%2c114.167C291.246%2c118.333%2c291.246%2c126.667%2c291.246%2c134.333C291.246%2c142%2c291.246%2c149%2c291.246%2c152.5L291.246%2c156' id='L_BOARD_CISO_0' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' style='%3b' data-edge='true' data-et='edge' data-id='L_BOARD_CISO_0' data-points='W3sieCI6MjkxLjI0NjA5Mzc1LCJ5IjoxMTB9LHsieCI6MjkxLjI0NjA5Mzc1LCJ5IjoxMzV9LHsieCI6MjkxLjI0NjA5Mzc1LCJ5IjoxNjB9XQ==' marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)'/%3e%3cpath d='M291.246%2c238L291.246%2c242.167C291.246%2c246.333%2c291.246%2c254.667%2c291.246%2c262.333C291.246%2c270%2c291.246%2c277%2c291.246%2c280.5L291.246%2c284' id='L_CISO_DSO_0' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' style='%3b' data-edge='true' data-et='edge' data-id='L_CISO_DSO_0' data-points='W3sieCI6MjkxLjI0NjA5Mzc1LCJ5IjoyMzh9LHsieCI6MjkxLjI0NjA5Mzc1LCJ5IjoyNjN9LHsieCI6MjkxLjI0NjA5Mzc1LCJ5IjoyODh9XQ==' marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)'/%3e%3cpath d='M181.536%2c414L174.28%2c418.167C167.024%2c422.333%2c152.512%2c430.667%2c145.256%2c438.333C138%2c446%2c138%2c453%2c138%2c456.5L138%2c460' id='L_DSO_PROC_0' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' style='%3b' data-edge='true' data-et='edge' data-id='L_DSO_PROC_0' data-points='W3sieCI6MTgxLjUzNTgyMjA4ODA2ODIsInkiOjQxNH0seyJ4IjoxMzgsInkiOjQzOX0seyJ4IjoxMzgsInkiOjQ2NH1d' marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)'/%3e%3cpath d='M400.956%2c414L408.212%2c418.167C415.468%2c422.333%2c429.98%2c430.667%2c437.236%2c440.333C444.492%2c450%2c444.492%2c461%2c444.492%2c466.5L444.492%2c472' id='L_DSO_ITOPS_0' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' style='%3b' data-edge='true' data-et='edge' data-id='L_DSO_ITOPS_0' data-points='W3sieCI6NDAwLjk1NjM2NTQxMTkzMTgsInkiOjQxNH0seyJ4Ijo0NDQuNDkyMTg3NSwieSI6NDM5fSx7IngiOjQ0NC40OTIxODc1LCJ5Ijo0NzZ9XQ==' marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg class='label' data-id='L_BOARD_CISO_0' transform='translate(0%2c 0)'%3e%3cforeignObject width='0' height='0'%3e%3cdiv xmlns='http://www.w3.org/1999/xhtml' class='labelBkg' style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg class='label' data-id='L_CISO_DSO_0' transform='translate(0%2c 0)'%3e%3cforeignObject width='0' height='0'%3e%3cdiv xmlns='http://www.w3.org/1999/xhtml' class='labelBkg' style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg class='label' data-id='L_DSO_PROC_0' transform='translate(0%2c 0)'%3e%3cforeignObject width='0' height='0'%3e%3cdiv xmlns='http://www.w3.org/1999/xhtml' class='labelBkg' style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg class='label' data-id='L_DSO_ITOPS_0' transform='translate(0%2c 0)'%3e%3cforeignObject width='0' height='0'%3e%3cdiv xmlns='http://www.w3.org/1999/xhtml' class='labelBkg' style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg class='node default' id='flowchart-BOARD-0' transform='translate(291.24609375%2c 59)'%3e%3crect class='basic label-container' style='' x='-130' y='-51' width='260' height='102'/%3e%3cg class='label' style='' transform='translate(-100%2c -36)'%3e%3crect/%3e%3cforeignObject width='200' height='72'%3e%3cdiv xmlns='http://www.w3.org/1999/xhtml' style='display: table%3b white-space: break-spaces%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b width: 200px%3b'%3e%3cspan class='nodeLabel'%3e%3cp%3eBOARD / MANAGEMENT%3cbr /%3eSchvaluje sovereignty strategii a budget%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='node default' id='flowchart-CISO-2' transform='translate(291.24609375%2c 199)'%3e%3crect class='basic label-container' style='' x='-128.265625' y='-39' width='256.53125' height='78'/%3e%3cg class='label' style='' transform='translate(-98.265625%2c -24)'%3e%3crect/%3e%3cforeignObject width='196.53125' height='48'%3e%3cdiv xmlns='http://www.w3.org/1999/xhtml' style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b'%3e%3cspan class='nodeLabel'%3e%3cp%3eCISO / CTO%3cbr /%3eVlastn%c3%adk sovereignty politiky%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='node default' id='flowchart-DSO-4' transform='translate(291.24609375%2c 351)'%3e%3crect class='basic label-container' style='' x='-130' y='-63' width='260' height='126'/%3e%3cg class='label' style='' transform='translate(-100%2c -48)'%3e%3crect/%3e%3cforeignObject width='200' height='96'%3e%3cdiv xmlns='http://www.w3.org/1999/xhtml' style='display: table%3b white-space: break-spaces%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b width: 200px%3b'%3e%3cspan class='nodeLabel'%3e%3cp%3eDIGITAL SOVEREIGNTY OFFICER %e2%80%94 DSO*%3cbr /%3eOperativn%c3%ad %c5%99%c3%adzen%c3%ad sovereignty%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='node default' id='flowchart-PROC-6' transform='translate(138%2c 515)'%3e%3crect class='basic label-container' style='' x='-130' y='-51' width='260' height='102'/%3e%3cg class='label' style='' transform='translate(-100%2c -36)'%3e%3crect/%3e%3cforeignObject width='200' height='72'%3e%3cdiv xmlns='http://www.w3.org/1999/xhtml' style='display: table%3b white-space: break-spaces%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b width: 200px%3b'%3e%3cspan class='nodeLabel'%3e%3cp%3ePROCUREMENT%3cbr /%3eVendor assessment a smluvn%c3%ad ochrana%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='node default' id='flowchart-ITOPS-8' transform='translate(444.4921875%2c 515)'%3e%3crect class='basic label-container' style='' x='-126.4921875' y='-39' width='252.984375' height='78'/%3e%3cg class='label' style='' transform='translate(-96.4921875%2c -24)'%3e%3crect/%3e%3cforeignObject width='192.984375' height='48'%3e%3cdiv xmlns='http://www.w3.org/1999/xhtml' style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b'%3e%3cspan class='nodeLabel'%3e%3cp%3eIT OPERATIONS%3cbr /%3eImplementace a monitoring%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
*DSO role může být sdílená s CISO/CTO u menších organizací
4.2 Digital Sovereignty Officer (DSO)
Odpovědnosti:
| Oblast | Úkoly |
|---|---|
| Monitoring | Sledování geopolitických rizik, vendor news, regulatorních změn |
| Assessment | Quarterly vendor sovereignty review, aktualizace skóre |
| Strategie | Exit strategy maintenance, alternativy scouting, budget plánování |
| Reporting | Board-level reporting, KPIs, risk escalace |
Kvalifikace:
- Znalost IT architektury a cloud služeb
- Povědomí o EU regulacích (NIS2, AI Act, GDPR)
- Analytické schopnosti (vendor assessment)
- Komunikační dovednosti (board reporting)
5. Data Classification pro Sovereignty
5.1 Tří-vrstvý model
| Tier | Název | Popis | Požadavky |
|---|---|---|---|
| TIER 1 | EU-ONLY | Státní data, zdravotnictví, PII, kritická obchodní tajemství | EU sovereign cloud, self-hosted AI, EU klíče |
| TIER 2 | EU-PRIMARY | Interní procesy, analytics, business data | EU primární, US fallback, exit strategy ready |
| TIER 3 | GLOBAL | Marketing, veřejná data, non-sensitive | Best-of-breed bez omezení |
5.2 Rozhodovací matice
| Business Criticality / Data Sensitivity | Low | Medium | High |
|---|---|---|---|
| Low | TIER 3 — Global | TIER 2 — EU-Primary | TIER 1 — EU-Only |
| Medium | TIER 3 — Global | TIER 2 — EU-Primary | TIER 1 — EU-Only |
| High | TIER 2 — EU-Primary | TIER 1 — EU-Only | TIER 1 — EU-Only |
6. Vendor Sovereignty Assessment
6.1 Assessment oblasti
Každý kritický vendor musí být hodnocen ve 4 oblastech:
Oblast 1: Data Residency (0-25 bodů)
| Kritérium | Bodování |
|---|---|
| Fyzická lokace dat | ČR=5 / EU=4 / US=2 / Mix=3 / Nevíme=0 |
| Podléhá CLOUD Act? | Ne=5 / Ano=1 |
| GDPR compliance reálná? | Reálná=5 / Papírová=2 / Nevíme=0 |
| Šifrování s našimi klíči? | Ano=5 / Ne=0 |
| Audit trail přístupu? | Ano=5 / Částečně=3 / Ne=0 |
Oblast 2: Vendor Lock-in & Data Act Compliance (0-25 bodů)
| Kritérium | Bodování |
|---|---|
| Datové formáty | Standard=5 / Hybrid=3 / Proprietární=1 |
| Exit costs kvantifikovány? | Ano=5 / Odhad=3 / Ne=0 |
| Dostupnost alternativ | Mnoho=5 / Některé=3 / Žádné=1 |
| API závislost | Nízká=5 / Střední=3 / Vysoká=1 |
| Data Act compliance | Full=5 / Částečná=3 / Ne=0 |
Data Act compliance kritéria:
- Switching rights ve smlouvě
- Max 2 měsíce notice period
- Self-service data export
- Switching fees = 0 (nebo plán do 2027)
Oblast 3: Geopolitická expozice (0-25 bodů)
| Kritérium | Bodování |
|---|---|
| Podíl US vendorů v kritické infra | <30%=5 / 30-60%=3 / >60%=1 |
| Závislost na US vládních kontraktech | Nízká=5 / Střední=3 / Vysoká=1 |
| Politická angažovanost vedení | Nízká=5 / Střední=3 / Vysoká=1 |
| Sankční riziko | Nízké=5 / Střední=3 / Vysoké=1 |
| Historie stability | Stabilní=5 / Měnící se=3 / Turbulentní=1 |
Oblast 4: Kontinuita & Resilience (0-25 bodů)
| Kritérium | Bodování |
|---|---|
| Single point of failure identifikován? | Ano+řešen=5 / Ano=3 / Ne=0 |
| Alternativní dodavatel připraven? | Ready=5 / Identifikován=3 / Ne=0 |
| DR bez vendora testován? | Ano=5 / Částečně=3 / Ne=0 |
| Interní kompetence? | Ano=5 / Částečně=3 / Ne=0 |
| Time-to-switch odhadnut? | Ano=5 / Hrubě=3 / Ne=0 |
6.2 Interpretace skóre
| Celkové skóre | Úroveň | Akce |
|---|---|---|
| 80-100% | Vysoká suverenita | Udržovat, quarterly review |
| 50-79% | Střední riziko | Identifikovat priority, 90-denní plán |
| 0-49% | Vysoké riziko | Urgentní akční plán, board eskalace |
7. Exit Strategy požadavky
7.1 Povinné komponenty
Každý kritický vendor musí mít dokumentovanou exit strategy obsahující:
| Komponenta | Popis |
|---|---|
| Alternativní vendor | Identifikován a předběžně vyhodnocen |
| Data export | Procedura a formát exportu dokumentovány |
| Časový odhad | Realistický time-to-switch |
| Nákladový odhad | Kvantifikované exit costs |
| Zodpovědnosti | Kdo co dělá při migraci |
| Trigger kritéria | Kdy aktivovat exit strategy |
7.2 Data Act rozšíření Exit Strategy
Pro cloud/SaaS vendory přidat Data Act assessment:
| Komponenta | Data Act verifikace |
|---|---|
| Switching rights | Jsou ve smlouvě? Odpovídají Čl. 25? |
| Notice period | Max 2 měsíce dle Data Act |
| Switching costs | Dokumentovány? V souladu s Čl. 25? (0 od 2027) |
| Data export | Self-service? Machine-readable formát? |
| Technická asistence | Poskytuje vendor podporu při migraci? |
| Eskalační cesta | Regulátor jako backup při porušení |
7.3 Testování
| Aktivita | Frekvence |
|---|---|
| Exit strategy review | Čtvrtletně |
| Data export test | Pololetně |
| Data Act compliance check | Ročně |
| Failover drill (pokud možné) | Ročně |
8. Procurement požadavky
8.1 Vendor onboarding
Před onboardingem kritického vendora:
- Sovereignty Assessment provedeno
- Data residency ověřena
- Exit costs odhadnuty
- Alternativa identifikována
- Smluvní ochrana zajištěna
- Data Act compliance ověřena (pro cloud/SaaS)
8.2 Smluvní klauzule
Do smluv s kritickými vendory zahrnout:
| Klauzule | Účel |
|---|---|
| Data residency | Garantovaná lokace dat (EU/ČR) |
| Data portability | Právo na export dat ve standardním formátu |
| Audit rights | Právo na audit bezpečnosti |
| Subprocessor notification | Oznámení změn subdodavatelů |
| Exit assistance | Podpora při migraci |
| Price caps | Omezení cenových zvýšení |
8.3 Data Act smluvní klauzule (pro cloud/SaaS)
Pro poskytovatele cloud služeb dodatečně zahrnout:
| Klauzule | Základ | Účel |
|---|---|---|
| Switching rights | Data Act Čl. 25 | Právo na switching kdykoli |
| Max notice period | Data Act Čl. 25 | Max 2 měsíce |
| No switching fees | Data Act Čl. 25 | Zákaz poplatků (plně od 2027) |
| Data export SLA | Data Act Čl. 24 | Garantovaný export do X dní |
| Machine-readable formát | Data Act Čl. 24 | JSON/CSV/standardní formát |
| Migration support | Data Act Čl. 24 | Technická asistence při switchingu |
Template klauzule:
"Poskytovatel potvrzuje plnou shodu s Nařízením (EU) 2023/2854(Data Act), zejména Kapitolou VI týkající se přechodu meziposkytovateli služeb zpracování dat. Zákazník má právo:
a) Požádat o switching kdykoli během trvání smlouvyb) Obdržet všechna svá data v machine-readable formátuc) Očekávat zahájení switching procesu do 2 měsíců od žádostid) Neplatit žádné switching fees (od 12.1.2027)e) Obdržet technickou asistenci při migraci
Porušení těchto ustanovení zakládá právo na okamžité ukončenísmlouvy a náhradu škody."9. EU Alternativy
9.1 Referenční katalog
| US Stack | EU Alternativa | Poznámka |
|---|---|---|
| Azure/AWS/GCP | OVHcloud, Hetzner, T-Systems | Multi-cloud EU primární |
| OpenAI GPT | Mistral AI (FR), Aleph Alpha (DE) | Self-hosted Llama/Mixtral |
| GitHub Copilot | Codeium, Tabnine (self-hosted) | Local LLM pro citlivý kód |
| Salesforce | SAP, Pipedrive (EU) | Headless CRM + vlastní FE |
| Snowflake | ClickHouse, DuckDB | On-prem + EU cloud |
| Microsoft 365 | Nextcloud, OnlyOffice | Self-hosted / EU cloud |
9.2 Hodnocení alternativ
Před přijetím alternativy ověřit:
- Funkční paritu (nebo akceptovatelné rozdíly)
- EU ownership/jurisdikce
- Dlouhodobá životaschopnost (funding, roadmap)
- Integrace s existující infrastrukturou
- TCO srovnání
10. Monitoring a Reporting
10.1 KPIs
| Metrika | Target | Frekvence měření |
|---|---|---|
| Sovereignty Assessment skóre | >70% | Čtvrtletně |
| Exit strategy coverage | 100% kritických vendorů | Měsíčně |
| Exit costs dokumentovány | 100% kritických vendorů | Čtvrtletně |
| EU data residency % | Dle tier klasifikace | Měsíčně |
10.2 Reporting
| Report | Audience | Frekvence |
|---|---|---|
| Sovereignty Dashboard | CISO/CTO | Měsíčně |
| Vendor Risk Summary | Management | Čtvrtletně |
| Board Sovereignty Report | Board | Pololetně |
11. Propojení s regulacemi
11.1 NIS2
Tato směrnice podporuje plnění NIS2 Article 21 (Supply chain security):
| NIS2 požadavek | Pokrytí |
|---|---|
| Vendor risk assessment | Sovereignty Assessment |
| Third-party access control | Data residency requirements |
| Supply chain resilience | Exit strategy, alternativy |
11.2 AI Act
| AI Act požadavek | Pokrytí |
|---|---|
| Transparentnost AI systémů | Vendor assessment sekce AI/ML |
| Data governance | Data classification tiers |
| High-risk oversight | EU-only tier pro high-risk AI |
11.3 GDPR
| GDPR požadavek | Pokrytí |
|---|---|
| Data transfer safeguards | Data residency assessment |
| Processor requirements | Vendor sovereignty score |
| DPA requirements | Smluvní klauzule |
11.4 Data Act (EU 2023/2854)
Změny v Tech Sovereignty směrnici (v1.1)
| Sekce | Nový obsah |
|---|---|
| 11.4 | Data Act jako právní nástroj pro sovereignty |
| 12 | Nová sekce - detailní využití Data Act |
| 12.2 | Cloud Switching Rights |
| 12.3 | Využití při vyjednávání s vendory |
| 12.4 | Exit Strategy Data Act rozšíření |
| 12.5 | Enforcement |
| 7.2 | Exit Strategy Data Act assessment |
| 8.3 | Procurement Data Act smluvní klauzule + template |
| 6.2 | Vendor Assessment - Data Act compliance kritérium |
Data Act je klíčovým právním nástrojem pro realizaci Tech Sovereignty cílů.
| Data Act ustanovení | Sovereignty využití |
|---|---|
| Cloud Switching Rights (Kap. VI) | Právně vymahatelné právo na změnu cloud poskytovatele |
| Zákaz Switching Fees (od 2027) | Eliminace finančních bariér pro exit |
| Data Portability | Právo na export dat ve standardním formátu |
| Max Notice Period (2 měsíce) | Garantovaný rychlý switching |
| Unfair Terms Protection | Ochrana před lock-in klauzulemi |
Praktické propojení:
| Tech Sovereignty cíl | Data Act právní nástroj |
|---|---|
| Snížení vendor lock-in | Cloud switching rights (Čl. 23-25) |
| Realizovatelná exit strategy | Data portability (Čl. 24) |
| Nízké switching costs | Zákaz fees od 12.1.2027 (Čl. 25) |
| Fair smluvní podmínky | Unfair terms protection (Čl. 13) |
| Multi-vendor strategie | Interoperability standards (Čl. 26-31) |
→ Detailní dokumentace: Data Act
12. Data Act jako právní nástroj
12.1 Přehled
Data Act (účinný od 12.9.2025) poskytuje právně vymahatelné nástroje pro realizaci sovereignty strategie. Organizace by měly aktivně využívat tato práva při vyjednávání s vendory.
12.2 Cloud Switching Rights
Co Data Act garantuje:
| Právo | Popis | Deadline |
|---|---|---|
| Switching kdykoli | Právo požádat o switching bez ohledu na smlouvu | Platí od 12.9.2025 |
| Max 2 měsíce notice | Provider musí zahájit switching do 2 měsíců | Platí od 12.9.2025 |
| Technická asistence | Provider musí poskytnout podporu při migraci | Platí od 12.9.2025 |
| Data export | Kompletní export v machine-readable formátu | Platí od 12.9.2025 |
| Zákaz switching fees | Žádné poplatky za switching | Od 12.1.2027 |
12.3 Využití při vyjednávání
Při onboardingu nového vendora:
CHECKLIST: DATA ACT COMPLIANCE VENDORA
- Má vendor Data Act compliant smlouvu?
- Jsou switching rights explicitně uvedeny?
- Je notice period max 2 měsíce?
- Je k dispozici self-service data export?
- Jsou switching costs transparentně dokumentovány?
- Je switching fee = 0 (nebo plánováno do 2027)?
- Existuje dokumentace pro migraci?
- Jsou data formáty standardní/interoperabilní?
Při vyjednávání s existujícím vendorem:
| Situace | Data Act argument |
|---|---|
| Vendor odmítá data export | ”Data Act Čl. 24 nám garantuje právo na export” |
| Vysoké exit fees | ”Data Act Čl. 25 zakazuje switching fees od 2027” |
| Dlouhé notice periods | ”Data Act Čl. 25 limituje notice na 2 měsíce” |
| Lock-in klauzule | ”Data Act Čl. 13 činí unfair terms neplatnými” |
| Proprietární formáty | ”Data Act Čl. 24 požaduje machine-readable formát” |
12.4 Rozšíření Exit Strategy o Data Act
Každá exit strategy by měla obsahovat Data Act assessment:
| Komponenta | Tradiční | + Data Act rozšíření |
|---|---|---|
| Exit costs | Odhad nákladů | + Verifikace vs. Data Act limity |
| Timeline | Time-to-switch | + Max 2 měsíce notice |
| Data export | Procedura | + Data Act compliant formáty |
| Trigger | Kdy aktivovat | + Porušení Data Act jako trigger |
| Eskalace | Interní | + Regulátor jako eskalační cesta |
12.5 Enforcement
Pokud vendor porušuje Data Act:
- Dokumentace porušení - zachyťte důkazy
- Formální stížnost - písemně vendorovi s odkazem na Data Act
- Národní autorita - eskalace na regulátora (v ČR bude určen)
- Právní kroky - smluvní neplatnost unfair terms
13. Implementace
13.1 Timeline
| Fáze | Aktivita | Deadline |
|---|---|---|
| 1 | Inventura kritických vendorů | +30 dní |
| 2 | Sovereignty Assessment top 10 | +60 dní |
| 3 | Exit strategy dokumentace | +90 dní |
| 4 | Smluvní klauzule review | +120 dní |
| 5 | Data Act compliance check | +150 dní |
| 6 | Full implementation | +180 dní |
13.2 Quick wins
- Zmapovat data residency pro všechny kritické systémy
- Identifikovat top 3 lock-in rizika
- Dokumentovat exit strategy pro #1 kritického vendora
- Nastavit quarterly vendor review
- Nové: Ověřit Data Act compliance u top 3 cloud vendorů
14. Policy Review
- Čtvrtletně: Sovereignty skóre update
- Pololetně: Policy effectiveness review
- Ročně: Full policy review + CISO schválení
Příští revize: Q2 2026
Verze: 1.1 | Datum: Prosinec 2025 Vlastník: CISO / CTO Licence: CC BY-NC-SA 4.0
Changelog:
- v1.1 (31.12.2025): Integrace Data Act jako právního nástroje (sekce 11.4, 12), rozšíření Exit Strategy a Procurement o Data Act klauzule