Compliance 13. února 2026 · Milan Cák

Self-host vs. cloud: které řešení pro banku nebo zdravotnictví?

Regulační požadavky, TCO porovnání, data residency a hybridní scénáře pro banky, zdravotnictví a finanční sektor. Jak rozhodnout v roce 2026.

Debata „cloud nebo on-premise” probíhá od roku 2010. V běžných odvětvích ji cloud definitivně vyhrál — v roce 2026 byste dnes jen těžko našli marketingovou agenturu nebo e-shop, který provozuje vlastní servery. V regulovaných odvětvích (banky, pojišťovny, nemocnice, veřejné zakázky) je však otázka stále živá a má své dobré důvody. V tomto článku si projdeme aktuální stav regulace, uděláme TCO porovnání a ukážeme, kdy se skutečně vyplatí self-host, kdy cloud a kdy hybrid.

Rok 2026 přinesl do evropského prostoru konsolidaci regulace. Bankám a pojišťovnám vládne DORA (Digital Operational Resilience Act), kritické infrastruktuře NIS2, celé EU ekosystém GDPR a AI Act. Pro zdravotnictví přibyla lokální pravidla Ministerstva zdravotnictví ČR a sektorové směrnice ČNB pro fintech.

DORA od ledna 2025 vyžaduje od finančních institucí plnou kontrolu nad dodavatelským řetězcem ICT. Každý dodavatel cloudu, který zpracovává „důležité funkce”, musí mít explicitní smlouvu s rights-to-audit, plánem exit strategie a demonstrovanou odolností vůči výpadkům. ČNB pravidelně kontroluje, zda banka umí v reálném čase prokázat, kde se nacházejí její data, kdo k nim měl přístup a jak by dopadla 48hodinová ztráta poskytovatele.

NIS2 od října 2024 rozšiřuje povinnosti i na větší zdravotnická zařízení, vodárny, energetiku a veřejnou správu. Klíčová je 24hodinová incident response, 72hodinové hlášení a povinná MFA pro administrátorské účty.

GDPR řeší ochranu osobních údajů. Pro zdravotnické údaje (čl. 9) a biometrii platí přísnější pravidla, včetně povinnosti DPIA (Data Protection Impact Assessment) před nasazením.

Tip: Než se začnete rozhodovat mezi cloud a self-host, vyžádejte si od svého compliance oddělení nebo právníka písemný seznam regulačních požadavků, které musí vaše IT řešení splňovat. Bez tohoto seznamu se budete rozhodovat pocitem, ne fakty.

Cloud — co skutečně znamená v regulovaném prostředí

Cloud v běžné řeči znamená „někde na internetu”. V regulovaném světě je to jemnější. Rozlišujeme čtyři varianty:

Public cloud — AWS, Azure, Google Cloud. Vaše aplikace běží vedle tisíce jiných. Pro regulovaná odvětví akceptovatelný jen při EU regionech a při splnění všech SCC (Standard Contractual Clauses), CLOUD Act řešení a ideálně přes „sovereign cloud” varianty (Azure EU Data Boundary, AWS European Sovereign Cloud).

Private cloud — vyhrazená infrastruktura u cloud dodavatele, ale jen pro vás. Dražší, ale plná kontrola nad síťovou segmentací. Mnohem snáze se obhajuje před regulátorem.

Sovereign cloud — cloud pod jurisdikcí EU/CZ, bez možnosti přístupu zahraničních orgánů (CLOUD Act immune). V ČR k dispozici např. přes DATA CLOUD od O2 nebo Cloud4com.

SaaS na úrovni aplikace — Modulario, Salesforce Financial Cloud, Epic (zdravotnictví). Dodavatel řeší infra i aplikaci. Nejjednodušší na adopci, ale vyžaduje pečlivé vendor due diligence.

Pro banku a zdravotnictví v roce 2026 je public cloud přípustný — ale jen přes sovereign nebo evropský regionální variant s jasným GDPR SCC. ČSOB, KB, ČS i Raiffeisen mají dnes části infrastruktury v Azure EU, ale nikdy ne v US regionu.

Self-host — kontrola za cenu složitosti

Self-host (on-premise) znamená, že infrastrukturu provozujete sami — vaše servery, váš datový sklad, váš tým, váš risk. V roce 2026 je self-host stále relevantní pro tři scénáře:

Striktní sektorové předpisy. Například vybrané vojenské nebo strategicky významné instituce, kde regulátor explicitně vyžaduje air-gapped deployment.
Obrovské objemy dat. Pokud denně generujete 50 TB logů, cloud vás finančně zruinuje; vlastní SAN/NAS dává ekonomický smysl.
Specializované legacy systémy. Existující mainframe core bankingy, které se v cloudu nenabízejí a jejich migrace by stála stovky milionů.

Mimo tyto tři scénáře je self-host v roce 2026 finančně a operačně těžko obhajitelný. Důvody:

Chronický nedostatek SRE a bezpečnostních specialistů. Senior sysadmin s certifikáty a 5letou praxí stojí v ČR hrubě 4 500 EUR měsíčně, přičemž jich je málo. Cloud dodavatel jich má tisíce.
24/7 provoz. Bankovní aplikace musí běžet 99,99 % času. Dodržet to vlastním týmem znamená minimum 4 lidí na rotaci — ročně 200 000 EUR na mzdách.
Patching a zero-day záplaty. V roce 2025 vyšlo 45 000 CVE. Reakční čas u self-hostu je dny, u dobrého cloud dodavatele hodiny.

Tip: Self-host, který se „zdá levný”, obvykle skrývá tři položky — chlazení, redundantní spojení a bezpečnostní specialisty na 24/7 rotaci. Pokud váš TCO model tyto tři položky neobsahuje, porovnání s cloudem není férové.

TCO porovnání — reálná čísla z roku 2025

Udělali jsme 5letý TCO model pro středně velkou regionální banku (kapacita 50 000 klientů, 250 interních uživatelů, 1 TB dat měsíčně, požadavek 99,99 % uptime).

Scénář A — self-host on-premise

Položka	1. rok	Následující roky
Hardware (servery, SAN, síť)	180 000 EUR	Obnova 20 % ročně
Licence OS, databáze, zálohy	45 000 EUR	35 000 EUR ročně
Datové centrum + chlazení	24 000 EUR	24 000 EUR ročně
Personál (4 lidé, 24/7)	220 000 EUR	230 000 EUR ročně
Bezpečnostní audity	30 000 EUR	20 000 EUR ročně
Certifikace (ISO 27001)	50 000 EUR	15 000 EUR ročně
Celkem rok 1	549 000 EUR
Průměr ročně (5 let)		~360 000 EUR

Scénář B — EU sovereign cloud s aplikací SaaS

Položka	1. rok	Následující roky
SaaS licence (250 uživatelů)	90 000 EUR	95 000 EUR ročně
Cloud infra navíc (storage, backup)	24 000 EUR	26 000 EUR ročně
Integrace a vlastní vývoj	60 000 EUR	30 000 EUR ročně
Personál (2 lidé, správa)	130 000 EUR	135 000 EUR ročně
Bezpečnostní audity	20 000 EUR	15 000 EUR ročně
Celkem rok 1	324 000 EUR
Průměr ročně (5 let)		~215 000 EUR

Úspora cloudu proti self-hostu: ~40 % přes 5 let, za předpokladu, že zvolíte EU sovereign variant s plným compliance.

Čísla platí pro střední banku. Pro mikrofintech s 5 zaměstnanci je cloud výhodnější 10:1. Pro velkou globální banku s vlastním DC a už vybudovaným týmem může být self-host výhodnější o 10–15 %.

Data residency a sovereignty — nejdůležitější otázka

Kde fyzicky leží vaše data? Toto je otázka, kterou si musí banka a zdravotnictví odpovědět písemně před každou smlouvou. V Česku máme tři úrovně:

Data v ČR — ideální pro kritické systémy veřejné správy a zdravotnictví. Poskytovatelé: DATA CLOUD O2, T-Mobile, některá krajská datová centra.
Data v EU — přijatelné pro banky, pokud dodavatel poskytuje data residency guarantee a CLOUD Act immune. Poskytovatelé: Azure EU Data Boundary, AWS Frankfurt/Dublin s European Sovereign Cloud, OVHcloud.
Data mimo EU — přípustné jen pro nekritické funkce s plnou anonymizací a Standard Contractual Clauses.

Modulario infrastruktura je primárně hostována v Azure Europe West (Amsterdam) se záložní replikou v Azure Europe North (Dublin), obě pod EU Data Boundary. Pro klienty z regulovaných odvětví umíme nabídnout i deployment v sovereign cloudu ČR.

Zdravotnictví — specifika, která nesmíte zanedbat

Ve zdravotnictví má cloud dvě hlavní bariéry: historickou skepsi a konkrétní lokální předpisy. Zdravotnický sektor si vyžaduje:

Šifrování AES-256 v klidu i v pohybu.
End-to-end audit trail — každý pohled do zdravotního záznamu musí být zaznamenán, kým, kdy a z jakého důvodu.
Integrace se zdravotními pojišťovnami (VZP, ZPMV, OZP) přes EZD rozhraní.
Provoz ePZP (elektronického průkazu zdravotnického pracovníka) na přihlašování.

Moderní SaaS pro zdravotnictví (nemocniční informační systémy, ambulantní softwary) v roce 2026 poskytují všechny tyto požadavky out-of-the-box. Self-host vyžaduje dodavatele, který rozumí specifikům, nebo vlastní tým — což při kapacitě menších nemocnic není reálné.

Tip: Při výběru SaaS pro ambulanci nebo polikliniku se nespoléhejte jen na marketingová prohlášení. Vyžádejte si dokumentaci o posledním penetračním testu a kopii DPIA. Pokud je dodavatel nemá, jde o varovný signál.

Finanční sektor — DORA v praxi

Finanční sektor musí od ledna 2025 plnit DORA — a cloudový dodavatel je s tím spjat smlouvou, kterou kontroluje ČNB. Minimum, co musí smlouva obsahovat:

Rights to audit — banka má právo kdykoliv provést audit u dodavatele (typicky přes třetí stranu jako KPMG nebo PwC).
Exit strategy — detailní plán, jak banka opustí dodavatele do 90 dnů bez ztráty dat.
Incident notification — dodavatel notifikuje banku do 2 hodin o závažném incidentu.
Data location guarantee — data zůstávají v konkrétních regionech.
Sub-contractor transparency — banka vidí řetěz sub-dodavatelů a může vetovat.

Cloud dodavatelé, kteří toto neumí poskytnout, jsou pro banku neakceptovatelní. Modulario, AWS EU, Azure EU a vybraní lokální poskytovatelé tyto požadavky splňují.

Hybridní scénář — nejčastější odpověď

V praxi většina bank a zdravotnických zařízení končí u hybridu. Kritické core systémy (core banking, zdravotní záznam) v sovereign cloudu nebo on-premise, ostatní systémy (e-mail, ERP, HR, marketing) v public cloudu s EU data residency.

Pro SMB fintech firmu se obvykle vyplatí public EU cloud od prvního dne. Pro střední banku bude hybrid přirozený — core banking zůstane v existujícím DC, ale vše ostatní (CRM, HR, ERP, dokumenty) se migruje do cloudu. Úspora je obvykle 30–45 % přes 5 let a současně se zachová plný soulad s DORA.

Rozhodovací strom — 5 kroků

Pokud se rozhodujete, kterou cestu zvolit, jděte následujících pěti kroky:

Identifikujte kritičnost systému. Je to core (platby, zdravotní záznam) nebo podpůrný (HR, marketing)?
Ptejte se regulátora. Máte od ČNB/MZ/ÚOOÚ písemné stanovisko nebo sektorovou vyhlášku, která vás váže?
Zmapujte data. Kde jsou osobní údaje? Jsou zdravotní nebo biometrické (čl. 9 GDPR)?
Udělejte TCO model na 5 let. Započítejte i mzdy týmu, audity, certifikace.
Zvažte hybrid. Ve většině případů je to optimum.

Závěr — 2026 patří cloudu, ale s podmínkami

V regulovaném prostředí roku 2026 cloud dávno není „nebezpečná cizota”. Naopak, při správném výběru (EU sovereign, DORA-compliant dodavatel, CLOUD Act immunity) je cloud bezpečnější než většina on-premise nasazení — právě proto, že dodavatelé investují do bezpečnosti řádově více, než si umí dovolit střední banka.

Self-host si své místo zachovává tam, kde regulátor přímo vyžaduje air-gapped deployment, nebo kde objem dat dělá cloud ekonomicky nevýhodným. V ostatních případech je cloud — zejména v hybridní podobě — racionální volba.

Pokud jste z regulovaného odvětví a chcete si nechat posoudit vlastní situaci, napište nám. Připravíme písemné stanovisko s rozhodovacím stromem, TCO modelem a konkrétní doporučenou architekturou pro váš případ. Konzultace trvá 60 minut a je bezplatná — vy odcházíte s jasnou cestou.

Související zdroje

Milan Cák

Modulario

Často kladené otázky

Musí banka nebo nemocnice hostovat data na vlastním serveru?

Nezbytně ne. DORA (pro finanční sektor od ledna 2025) nevyžaduje on-premise, ale vyžaduje: rights-to-audit u cloud dodavatele, exit strategii, demonstrovanou odolnost vůči výpadkům. GDPR pro zdravotní data (čl. 9) vyžaduje DPIA a přísnější záruky, ale cloud je povolen při správných technických opatřeních. Klíčová je otázka data residency: data musí být v EU, pokud jinak nepostačuje DPF certifikace.

Co je data residency a proč je důležitá pro regulovaná odvětví?

Data residency znamená fyzické umístění dat - ve které zemi jsou uložena. Pro regulovaná odvětví CZ: zdravotní data musí být v EU (GDPR čl. 9), finanční data podléhají DORA a regulaci ČNB s požadavkem na lokalizaci důležitých funkcí. Bezpečná volba: EU-only hosting ideálně v DE, FR, AT. Modulario hostuje v EU datových centrech (Frankfurt). AWS/Azure EU region také splňuje podmínky.

Co je DORA a koho se týká v roce 2026?

DORA (Digital Operational Resilience Act, EU 2022/2554) platí od ledna 2025 pro: banky, pojišťovny, investiční firmy, platební instituce, krypto služby a jejich klíčové ICT dodavatele. Požadavky: dokumentované řízení ICT rizik, incident reporting při závažných IT výpadcích do 24 hodin, pravidelné penetrační testy, řízení rizik třetích stran (cloud dodavatelé). Sankce: až 1 % průměrného denního obratu za každý den porušení.

Kdy se vyplatí self-host místo cloudu pro regulovanou organizaci?

Self-host (on-premise) má smysl jen při splnění 3 podmínek současně: (1) Organizace má dedikovaný IT tým s min. 2-3 sysadminy na plný úvazek. (2) Regulátor explicitně vyžaduje fyzickou izolaci (air-gap) - týká se vojenských systémů se stupněm utajení. (3) TCO self-hostu je prokazatelně nižší než cloud. Pro 95 % českých nemocnic a finančních institucí je certifikovaný EU cloud levnější, bezpečnější a regulatorně přijatelný.

Jaký je rozdíl mezi private cloud a self-hosted on-premise?

Private cloud: infrastruktura dedikovaná pro jednu organizaci, ale hostovaná externím poskytovatelem (dedikované servery v datovém centru). Poskytovatel zajišťuje fyzickou bezpečnost a patching HW, organizace spravuje OS a aplikace. Self-hosted on-premise: fyzické servery v prostorách organizace, plná zodpovědnost za HW, síť, zálohy, fyzickou bezpečnost. Pro regulovaná odvětví CZ je private cloud dobrý kompromis - data residency v CZ/EU bez vlastní serverovny.

Související články

Bezpečnost a compliance

Bezpečnost a compliance cloudového ERP v 2026

Komplexní průvodce bezpečností a compliance pro cloudové ERP — GDPR, NIS2, DORA, AI Act, ISO 27001, CLOUD Act/Schrems II, šifrování, audit log, BCP/DRP. Pro CZ/SK SMB firmy.

22 min čítania

Compliance

GDPR compliance checklist pro SMB — aktualizace 2026

20bodový praktický GDPR checklist pro české SMB firmy. EU hosting, audit log, DPA, retenční politiky. Vyhněte se pokutám až do 20 mil. EUR.

Dokumenty

Zákonné požadavky na archivaci dokumentů v ČR 2026: Jak splnit eIDAS a GDPR

Jak splnit zákonné požadavky na digitální archivaci v ČR: eIDAS, GDPR, eFacturing. Průvodce výběrem DMS systému a e-podpisu pro české firmy.

6 min čítania