SaaS a Cloud Services

Compliance požadavky pro SaaS platformy a cloud služby.

---

Profil sektoru

Atribut	Hodnota
AI Act dopad	🟡 HIGH
NIS2 kategorie	Essential (Annex I – Digital Infrastructure)
GDPR dopad	🔴 HIGH
Typická velikost	10-500 zaměstnanců
Typický obrat	€1M - €100M

---

AI Act pro SaaS

Typické AI systémy

Systém	Klasifikace	Povinnosti
Recommendation engine	Low/Medium	Transparentnost
Fraud detection	Medium	DPIA, monitoring
Customer support chatbot	Medium	Označit jako AI
Content moderation	Medium	Transparentnost
Predictive analytics	Low	Minimální

Použití GPAI (Claude, GPT-4)

GPAI — typické použití a povinnosti

Typické use-cases:

• Customer support automation
• Content generation
• Code assistance
• Data analysis
• Personalization

Povinnosti:

• DPA s vendor (Anthropic, OpenAI)
• Audit Terms of Service
• Monitoring: log prompts + outputs
• NO PII do GPAI bez encryption
• Informovat uživatele o AI použití

---

NIS2 pro SaaS

Scope Determination

Typ služby	NIS2 Annex	Kategorie	Povinnosti
Cloud computing	Annex I	Essential	VYŠŠÍ povinnosti
DNS provider	Annex I	Essential	VYŠŠÍ povinnosti
Online marketplace	Annex II	Important	NIŽŠÍ povinnosti
Search engine	Annex II	Important	NIŽŠÍ povinnosti
SaaS (other)	—	Závisí na kritičnosti	Závisí na kritičnosti služby

ISMS požadavky

Control	Požadavek	Priorita
Encryption at rest	AES-256 pro všechna data	🔴 Critical
Encryption in transit	TLS 1.3 pro všechna API	🔴 Critical
MFA	Pro všechny admin účty	🔴 Critical
Access logging	SIEM, 1 rok retention	🔴 Critical
Backup	Daily, testováno měsíčně	🔴 Critical
Patch management	<30 dní pro critical	🟡 High
Penetration testing	1-2x ročně	🟡 High
ISO 27001	Doporučeno	🟡 High

Incident Response SLA

Severity	Response Time	Notification
Critical	1h	NÚKIB 24h
High	4h	NÚKIB 72h
Medium	24h	Internal
Low	72h	Internal

---

GDPR pro SaaS

Role

GDPR role v SaaS

• Vy jste CONTROLLER pro data o vašich zákaznících
• Vy jste PROCESSOR pro data zákazníků vašich zákazníků
• Cloud provider (Azure, AWS) je váš SUB-PROCESSOR

Klíčové povinnosti

Oblast	Povinnost	Status
ROPA	Dokumentace všech zpracování	Required
DPA	Smlouvy s cloud providers	Required
DSAR	Workflow pro práva subjektů	Required
Breach	72h notification	Required
Privacy Policy	Jasná, kompletní	Required
Cookie consent	GDPR-compliant banner	Required

Multi-tenancy specifika

Multi-tenancy — co zajistit

• Data isolation mezi tenanty
• Per-tenant encryption keys (optional)
• Per-tenant audit logs
• Per-tenant data deletion (DSAR)
• Per-tenant DPA (pokud B2B)

---

Checklist pro SaaS

Týden 1-2 (Audit & Scope)

• Určit NIS2 kategorii (Essential/Important/Out)
• AI inventura (interní + third-party)
• GDPR data mapping

Měsíc 1-3 (Planning)

• Risk assessment (NIS2 + AI Act)
• ISMS roadmap
• DPA update se všemi vendors

Měsíc 3-6 (Implementation)

• Technical controls (encryption, MFA, logging)
• DSAR workflow
• Incident Response Plan

Měsíc 6-12 (Certification)

• ISO 27001 audit
• Penetration testing
• AI documentation complete

---

Typické náklady

Položka	Odhad
ISMS setup (CISO consultant)	€20-40k
ISO 27001 certifikace	€30-50k
Legal review (DPA, policies)	€10-20k
Penetration testing	€5-15k/rok
Compliance tooling	€5-15k/rok
Celkem Y1	€70-140k

---

Zdroje

• ENISA Cloud Security Guidelines
• CSA STAR Certification