Evropský IT trh se v posledních letech proměnil způsobem, který ještě před pěti lety málokdo předvídal. Na jedné straně tu máme obří poptávku po specialistech, extrémní tlak na digitalizaci a rekordní investice firem do technologií. Na straně druhé stojí re
alita, která je mnohem méně komfortní: neefektivní regulace, nedůvěra ve vlastní talent, tlak na náklady, odliv seniorů do zahraničí a především fenomén, o kterém se ve veřejném prostoru moc nemluví – rostoucí šedá ekonomika IT contractingu.
Jako majitel agentury SiVe, který už téměř deset let stojí mezi firmami a vývojáři, jsem zažil jeho vrchol i dnešní podobu. A pokud mám být upřímný, Evropa dnes nevytváří jen chyby v systému, ale tvoří si bezpečnostní problém, protože ignoruje signály, které lidi z praxe vidí každý den.
Šedý trh IT contractingu
Contracting sám o sobě není nic špatného. Naopak, je to jeden z nejefektivnějších způsobů, jak evropské firmy dokážou rychle získat experty, které by jinak nedostaly ani za dvojnásobnou mzdu. Bez kontraktorů by se dnes zastavily klíčové bankovní migrace, telekomunikační sítě, velká část e-commerce a drtivá většina modernizačních projektů ve státní správě.
Jenže to, co v Evropě roste v posledních letech, už není klasický, transparentní contracting, ale paralelní, těžko kontrolovatelná ekonomika. Šedý trh, který vznikl jako přímý důsledek tří faktorů: extrémní averze evropských investorů k riziku, regulatorní paralýzy, kde má každé rozhodnutí právní a compliance dopady, a tlaku firem na cenu místo hodnoty.
Výsledkem je systém s dvojí realitou. Oficiální trh funguje podle pravidel, rámců a postupů. Ten druhý, neoficiální, jede kolem něj rychleji, hlasitěji a bez kontrolních mechanismů, které by měly být samozřejmostí. Dopad je dramatický. Podle Deloitte Europe Workforce Report 2024 přiznává 27 procent technologických firem v EU využívání neformálních subdodavatelských struktur, které nejsou plně auditovatelné ani transparentní. Jenže to je jen číslo, které firmy uvedly. Reálná situace je horší.
Z vlastní praxe mohu potvrdit, že existuje celá vrstva „neviditelného“ outsourcingu, kterou management firem vůbec nevidí. Typický scénář vypadá takto. Firma si objedná seniorního vývojáře přes agenturu, ale ve skutečnosti senior existuje jen papírově. Přístup do infrastruktury totiž získá někdo úplně jiný. První měsíce vše funguje, protože jde o úkoly, které zvládne i méně zkušený vývojář. Problém se objeví až v momentě, kdy systém začne selhávat nebo je nutné provést zásah do architektury. Teprve tehdy se ukáže, že senior ve skutečnosti delegoval práci dvěma dalším lidem v jiné zemi a firma ani netuší, komu vlastně svěřila přístup k datům.
A tady už se nebavíme o neefektivním nákupu služeb, ale o bezpečnostním riziku, které evropské firmy samy nevědomky vytvářejí.
Jak vznikají falešné profily a množírna talentů
Pokud evropský trh začal chronicky odmítat riziko, našel trh cestu, jak se mu přizpůsobit. Začaly se objevovat profily napsané tak, aby se líbily AI systémům: vývojáři, kteří outsourcují své úkoly dál, falešní seniorní kandidáti, kteří se reálně opírají o jiné lidi, kandidáti, kteří se vydávají za Evropany, ale v Evropě nikdy nebyli.
Tento trend potvrzují i data. ENISA Cybersecurity Report 2024 uvádí, že až 38 procent bezpečnostních incidentů spojených s externisty mělo původ v „identity mismatch“, tedy rozdíl mezi deklarovaným a skutečným pracovníkem. To je meziroční nárůst o 67 procent.
Když k tomu připočteme i takzvané Interview Farms, které jsem popisoval v jiném článku, najednou vidíme obraz, který není ani náhodný, ani okrajový. Je to nový typ outsourcing talentu, který funguje zcela mimo právní rámec. A teď přichází část, o které se nevedou diskuze. Evropské firmy tohle často neodhalí. Ne proto, že by byly naivní. Ale protože nemají nástroje, procesy ani mentalitu, která by riziko očekávala.
Prostor, kde má Evropa díru
V praxi to často probíhá tak, že si firma objedná seniorního vývojáře přes dodavatelský řetězec, na papíře vše vypadá perfektně a profil kandidáta splňuje veškeré parametry. Jenže skutečnou práci nakonec nevykonává člověk, jehož jméno stojí ve smlouvě, ale někdo úplně jiný.
První týdny či měsíce vše funguje, úkoly se odevzdávají včas a firma nemá důvod cokoli zpochybňovat. Skutečný problém se ukáže až ve chvíli, kdy je pozdě, tedy když se začne řešit bezpečnostní incident, audit přístupů nebo selhání, které odhalí, že k interní infrastruktuře měl ve skutečnosti přístup někdo, koho firma nikdy neprověřila a kdo v jejím systému neměl být vůbec přítomen.
A je to logické. Evropské firmy tradičně excelují v dokumentaci, auditech a procesních kontrolách. Mají detailně popsané směrnice, robustní compliance rámce a složité schvalovací postupy. Bohužel v oblastech, které dnes mají vliv na skutečnou bezpečnost digitálních systémů, jsou naopak překvapivě slabé. Ověřování identity externistů, průběžné sledování přístupů, detekce anomálního chování nebo budování skutečné bezpečnostní kultury v IT týmech, to vše je stále spíše výjimkou než standardem.
Podle zprávy IBM Cost of Data Breach 2024 stojí lidský faktor u zrodu přibližně 74 procent všech incidentů spojených s únikem dat a externisté či subdodavatelé figurují v největším podílu těchto případů. A právě zde se ukazuje zásadní problém, rychle rostoucí šedá zóna contractingu už není jen provozní riziko. Stává se strukturální slabinou evropské kybernetické bezpečnosti.
Je důležité říct to naprosto přesně, protože chyba neleží v samotném modelu contractingu. Ten je pro evropskou ekonomiku a technologické firmy zcela zásadní. Bez externích specialistů by nebylo možné realizovat velké cloudové transformace, modernizace bankovních systémů, obnovu telco infrastruktury ani rozsáhlé projekty v oblasti datové analytiky či governance. Contracting sám o sobě není problém, ve skutečnosti je to jeden z pilířů evropského technologického ekosystému.
Problém je způsob, jakým s ním Evropa pracuje. Příliš často se outsourcing odehrává bez základních bezpečnostních mechanismů, to znamená bez důsledného ověření identity, bez kontroly přístupů, bez transparentního řetězce subdodavatelů, často dokonce bez přímého kontaktu mezi firmou a skutečnými lidmi, kteří mají přístup do kritické infrastruktury. To je situace, která by byla v USA nebo Izraeli zcela nepřijatelná.
Není to tedy kritika bodyshoppingu ani externích kapacit jako takových. Je to kritika evropského přístupu. Evropa má tendenci outsourcovat bez odpovědnosti, bez jasných standardů a bez pochopení, že s rostoucím využitím externích týmů musí růst i úroveň kontroly. A pokud firmy neumějí riziko řídit, nedokáží rozlišit mezi kvalitním partnerem, který přináší hodnotu, a šedou zónou, která přináší bezpečnostní hrozbu.
Proč Evropa vytváří černý trh kontraktorů
Abychom pochopili, proč se právě v Evropě tak výrazně rozvíjí šedá zóna contractingu, musíme se podívat na kombinaci tří systémových faktorů, které dohromady tvoří prostředí, v němž neefektivita doslova generuje podvodné chování.
Regulace, které měly chránit, vytlačují firmy do zkratek: Evropská unie vytvořila v posledních deseti letech robustní rámec ochrany dat a kybernetické bezpečnosti – GDPR, NIS2, DORA, eIDAS 2.0, ESG reportovací standardy, nařízení o digitálních službách (DSA) nebo nově AI Act. Každý z těchto nástrojů má nějaký cíl a sám o sobě může dávat smysl. Problém však vzniká kumulací. Firmy, které čelí souběhu povinností, auditu a odpovědnosti, začínají hledat způsoby, jak administrativní zátěž obejít. A zkratky se obvykle neodehrávají uvnitř firmy, ale právě v externích dodávkách.
V tu chvíli se outsourcing mění na jakýsi „outsourcing bez kontroly“, což je přesně prostor pro černou ekonomiku kontraktorů. Prostředí, kde identita pracovníka není ověřena, kde neexistuje jasný řetězec subdodavatelů a kde se práce ztrácí někde mezi EU, Balkánem, Indií nebo Pákistánem.
Evropský kapitál se bojí riskovat: Evropská ekonomika je postavená na obezřetnosti. Podle OECD Venture Capital Outlook 2024 míří v EU pouhých 23 procent venture kapitálu do early stage projektů, zatímco v USA je to 46 procent. V praxi to znamená, že investoři i firmy se vyhýbají riziku a hledají úspory tam, kde se jim to jeví bezpečné. A outsourcing levné práce se jako bezpečný jeví téměř vždy. Jenže úspora nákladů na papíře často vede k mnohem vyšším nákladům v reálu; k horší kvalitě, vyšší fluktuaci, nízké odpovědnosti a v extrémních případech i ke ztrátě kontroly nad systémem. Nedostatek kapitálové odvahy tak vede firmy k tomu, že nahrazují seniorní talent levnějšími, méně transparentními externisty. A tím znovu posilují šedou ekonomiku.
Nedostatek seniorních odborníků vytváří tlak, který systém nezvládá: Evropa dlouhodobě trpí strukturálním nedostatkem technologických specialistů. Eurostat eviduje přibližně 620 tisíc neobsazených IT pozic napříč EU. To je obrovské číslo a stačí k tomu, aby se vytvořil trh, kde poptávka dramaticky převyšuje nabídku. Pokud navíc firmy trvají na vysoké senioritě, přirozeně se obracejí mimo Evropu, a čím větší je tlak na rychlé obsazení pozic, tím méně se řeší kvalita, identita a kontrola. Šedý trh je tedy logickým důsledkem makroekonomického nedostatku talentů, ne nutně individuálního selhání. A jeho růst bude pokračovat, dokud se strukturálně nezmění evropský přístup k rozvoji a přilákání technických odborníků.
Zkušenost z praxe
Za poslední dva roky jsem se ve své agenturní praxi setkal s více než sto případy, kdy kandidát nebyl tím, kým tvrdil. Nešlo o drobné nekonzistence v životopisu, ale o kandidáty, kteří prezentovali senioritu, kterou ve skutečnosti dodával někdo úplně jiný.
V několika situacích jsem narazil na outsourcing v outsourcingu, kdy vývojář najatý evropskou firmou předával práci třetí osobě, často bez jakéhokoli souhlasu nebo povědomí klienta.
Viděl jsem projekty, kde senior developer fakturoval přes 600 eur denně, ale reálnou práci dělali dva junioři v jiné zemi, skrytí za jeho identitou. Mluvil jsem s firmami, které po dvou letech spolupráce s offshore týmem zjistily, že nemají použitelný produkt, že ztratily kontext, dokumentaci i kontrolu a byly nuceny začít od nuly, a zaplatit za to několikanásobně víc, než kdyby najaly kvalitní evropský tým.
Nejsou to ojedinělé incidenty. Bavíme se o novém strukturálním fenoménu evropského technologického sektoru. Fenomén, který vzniká na průsečíku regulací, nedostatku talentů a nedostatku odvahy otevřeně řídit riziko. Pokud ho Evropa nezačne adresovat, povede k erozi důvěry v kontraktorský model, který přitom evropské firmy životně potřebují.
Systémová chyba se obrací proti nám
Ve chvíli, kdy pochopíme, jak evropská kultura opatrnosti, regulační tíže a tlak na nízké náklady formují chování firem, začne být jasné, že černá ekonomika contractingu není náhoda. Je to přirozený (byť nežádoucí) důsledek prostředí, které vzniklo kombinací nedostatku talentů, nedůvěry v riziko a neochoty změnit zaběhlé vzorce. Ale jen málokdo si uvědomuje, jak hluboko problém sahá a jaké může mít dopady na celou evropskou technologickou budoucnost.
Jedním z nejzávažnějších důsledků šedého trhu contractingu je fakt, že mnoho evropských firem postupně ztrácí přehled o tom, kdo ve skutečnosti pracuje na jejich systémech, kdo píše jejich kód, kdo má přístup k datům a kdo drží oprávnění k produkční infrastruktuře. A na rozdíl od tradičních outsourcingových rizik, která lze řídit smlouvami a SLA, je problém identity v dodavatelském řetězci mnohem hlubší a strukturální.
Pokud firma nedokáže ověřit, kdo stojí na druhé straně, žádný audit, governance rámec ani papírová smlouva nedokáže zabránit tomu, aby se klíčové části jejího ekosystému ocitly v rukou lidí, kteří nikdy neprošli kontrolou, bezpečnostním screeningem ani základním onboardingem.
Dopady přitom nejsou omezené na sektor financí nebo bankovnictví. V telekomunikačním prostředí může neprověřený dodavatel získat přístup k síťové infrastruktuře, logům hovorů nebo zákaznickým metadatům. Ve zdravotnictví se stejný mechanismus týká citlivých zdravotních záznamů, u e-commerce jde o platební brány, API klíče a integrace s bankami, a ve státním sektoru dokonce o části kritické infrastruktury. V každém z těchto odvětví platí jednoduché pravidlo: pokud firma neví, KDO přesně pracuje na jejím softwaru, nemůže vědět ani CO přesně má pod kontrolou.
Podle zprávy ENISA Threat Landscape 2024 vzniká téměř 43 procent všech závažných kybernetických incidentů právě skrze dodavatelský řetězec. A situace je ještě horší, pokud se podíváme na úroveň transparentnosti: 72 procent evropských firem podle ENISA neumí s jistotou identifikovat své 3rd nebo 4th party suppliers, tedy subdodavatele jejich subdodavatelů. Jinými slovy, většina firem neví, kdo všechno má klíče k jejich systémům.
Asi vám už teď je jasné, že dávno nejde o drobnou administrativní chybu, ale o strukturální slabinu, která vznikla souběhem několika faktorů: tlaku na rychlé najímání, složitosti evropské regulace, nedostatku seniorních odborníků a chronické podinvestovanosti do bezpečnostní kultury.
A právě na tomto průsečíku vzniká prostředí, ve kterém se falešné identity, nepřiznané subdodávky a outsourcing v outsourcingu mohou maskovat lépe než kdy dřív. Ztráta kontroly nad tím, kdo má přístup k infrastruktuře, není hypotetické riziko. Je to bohužel realita, kterou dnes vidíme napříč EU a firmy ji často zjistí až ve chvíli, kdy je pozdě.
Proč je Evropa zranitelnější než USA
Často zaznívá argument, že podobné problémy s falešnými kontraktory a neprůhledným dodavatelským řetězcem mají i Spojené státy. To je do určité míry pravda, ale dopady jsou zásadně odlišné. Důvodem je především rozdílná struktura obou trhů.
USA fungují jako jeden technologický prostor se sjednoceným právním rámcem, jednotnou regulací, jasně definovanými standardy ověřování pracovníků a silně zakořeněnou bezpečnostní kulturou. Procesy, které zajišťují ověřování identity kontraktorů, přístupů a bezpečnostních norem, se opírají o dlouhodobý tržní tlak ze strany investorů, pojišťoven i samotného trhu práce. Pokud dojde k incidentu, reakce bývá rychlá, transparentní a procesně promítnutá do celého ekosystému.
Evropa naproti tomu funguje jako 27 fragmentovaných realit. Každý členský stát má vlastní právní prostředí, vlastní daňový systém, vlastní regulace zaměstnávání, vlastní bezpečnostní rámce, a dokonce i odlišnou úroveň digitalizace státní správy. To vytváří prostředí, ve kterém neexistuje jednotný mechanismus pro kontrolu kontraktorů ani jednotná definice bezpečnostní odpovědnosti. V praxi to znamená, že firma ve Francii, bankovní dům v Německu nebo startup v Česku musí stejné problémy řešit úplně jiným způsobem.
Dalším rozdílem je kultura odpovědnosti. V USA je standardem, že jakmile dojde k bezpečnostnímu incidentu, management reaguje okamžitě tím, že nastaví nové procesy, změní dodavatele, posílí kontrolní mechanismy. Trh si to vinutí, protože reputační a finanční dopady jsou okamžité a tvrdé. V Evropě je reakce často pomalejší, více formální a často se odehrává na úrovni papírového souladu, nikoliv skutečné změny v praxi. Zatímco americká firma aktualizuje bezpečnostní procedury během týdnů, evropská může čekat na metodiku, auditní rámec nebo regulatorní výklad měsíce.
Tato strukturální roztříštěnost má jeden zásadní dopad. Evropské firmy mnohem častěji hledají zkratky. Ne proto, že by byly méně zodpovědné, ale proto, že systém jim nenabízí rychlé, jednotné a bezpečné mechanismy pro nábor a kontrolu externistů. Když proces ověřování trvá týdny, zatímco projekt potřebuje začít v řádu dnů, část firem zvolí cestu nejmenšího odporu a tím nechtěně otevře dveře šedé ekonomice contractingu.
Evropa tedy není zranitelnější kvůli tomu, že by firmy byly méně kompetentní. Je zranitelnější proto, že její systém není navržen pro rychlost, škálování ani práci s rizikem v digitálním věku. A právě tato kombinace, tedy fragmentace, byrokracie a pomalá adaptace, vytváří prostor, ve kterém se falešné identity, neprůhledné subdodávky a šedý outsourcing mohou množit rychleji než v kterékoli jiné technologické oblasti světa.
Deformace ekosystému
Dopady šedého contractorského trhu nejsou jen bezpečnostní. V mnoha případech zasahují do kvality softwaru, ekonomické udržitelnosti projektů, mobility talentu i celkové důvěry v evropský IT trh. A co je možná největší problém, tyto dopady se vrství a vzájemně posilují.
Prvním viditelným efektem je pokles kvality softwaru. Firmy, tlačené rozpočtem a někdy i interním tlakem na rychlost, často volí „outsource-light“ model, kde se důraz přesouvá z kompetence na cenu. Produktem takových rozhodnutí jsou projekty, které trpí vysokou fluktuací lidí, nekonzistentní architekturou, nízkou odpovědností a chaotickým řízením verzí.
Mnohé společnosti v posledních letech přiznávají, že po dvou až třech letech musely kompletně zahodit systém vyvinutý levným offshore týmem a celý produkt přepsat s pomocí lokálních seniorních architektů. Podle studie Standish Group se v Evropě každoročně přepisuje nebo vyhazuje 17 až 22 procent softwarových projektů právě kvůli nekvalitnímu outsource vývoji, číslo, které v USA dosahuje zhruba poloviny. To samo o sobě ukazuje, jak drahé krátkodobé úspory ve skutečnosti jsou.
Druhým efektem je tlak na evropské seniory. Šedý trh vytváří prostředí, ve kterém se cena práce stává jediným měřítkem. Seniorní vývojáři, architekti a experti se tak ocitají v situaci, kdy jejich trh devalvují lidé, kteří se vydávají za seniory, ale nedodávají seniorní práci.
Výsledkem je odliv talentů do zemí, kde je kvalita práce i odpovědnost lépe chráněna do USA, Švýcarska, Velké Británie nebo do globálních firem fungujících remote-first. Podle Eurostatu odešlo z EU mezi roky 2015 až 2023 přes 620 tisíc vysoce kvalifikovaných IT specialistů, což je dopad, který nemá v historii evropského technologického trhu obdoby. Část z nich neodešla kvůli vyšším platům, ale kvůli prostředí, které neumí rozlišit kvalitního profesionála od levné šedé náhrady.
Třetí dopad je nejméně viditelný, ale pro evropský trh potenciálně nejnebezpečnější. Postupná eroze důvěry firem v externí talenty. Pokud se firma jednou spálí, například zjistí, že jejich seniorní vývojář byl ve skutečnosti anonymní tým juniorů někde v Asii, reaguje typicky tím, že výrazně zpřísní audity dodavatelů, zavede extrémně rigidní onboarding, zpomalí nábor externích lidí a začne preferovat interní zaměstnance i v situacích, kde to nedává ekonomický nebo strategický smysl.
To by samo o sobě bylo logické, kdyby to nemělo jeden zásadní paradoxní efekt: ještě více to prohlubuje již existující nedostatek odborníků. Podle Gartneru v roce 2024 uvádělo 64 procent evropských CIO, že největší překážkou jejich digitalizace není technologie ani rozpočet, ale nedostatek dostupných seniorních lidí. Když firmy reagují zpřísněním, celý cyklus se jen zacyklí. Méně důvěry vede k pomalejšímu náboru, pomalejší nábor vede k většímu tlaku na outsourcing, a větší tlak na outsourcing vede k růstu šedého trhu.
Toto jsou dopady, které cítí každý CTO, který musel znovu přepisovat projekt, každý product owner, který vysvětloval zpoždění boardu, a každý founder, který sleduje, jak mu kvalita produktu kolabuje pod rukama. Šedý trh není jen neetický. Je ekonomicky destruktivní, technologicky regresivní a lidsky vyčerpávající.
Co z toho plyne pro evropské firmy
Pokud si to máme říct naplno, Evropa netrpí nedostatkem talentu, peněz ani technické kvality. Tyto tři ingredience máme a v mnoha ohledech na světové špičce. Naše univerzity produkují špičkové inženýry, naše firmy mají kapitál na ambiciózní projekty a naše technologická komunita má hlubokou odbornost. Problém není v tom, co Evropa má. Problém je v tom, co s tím nedokáže udělat.
Mnoho firem se dnes nachází ve stejné situaci. Čelí chronickému nedostatku seniorních lidí, jsou pod tlakem na snižování nákladů, musí reagovat na investory, kteří vyžadují rychlou efektivitu, a zároveň se pohybují v prostředí, kde každá chyba může znamenat regulatorní problém. K tomu všemu roste jejich závislost na externích dodavatelích, protože interní kapacity nestačí pokrýt objem práce. Výsledkem je toxická kombinace ekonomického tlaku, legislativní nejistoty a strukturální závislosti na externistech.
A právě v této kombinaci vzniká prostor pro šedý trh. Když firma nemá dostatek seniorních lidí, sahá po externistech. Když externista stojí příliš mnoho, sahá po levnější alternativě. Když levnější alternativa není transparentní, firma si to často raději nechce příliš ověřovat, protože projekt musí běžet podle nastaveného rámce. A když do toho přidáme evropskou kulturu opatrnosti, „hlavně nic nepokazit, hlavně mít krytá záda“, máme recept na prostředí, kde riziko není řízeno, ale spíše odsouváno. A to skvěle nahrává šedému trhu.
To, co dnes vidíme, není nijak náhodný trend ani dílčí selhání. Je to strukturální následek evropského přístupu k řízení rizika. A dokud budeme stavět procesy tak, aby minimalizovaly odpovědnost místo podpory kvality, bude šedý trh dál růst. Ne proto, že by Evropa neměla talenty, ale proto, že neumí vytvořit prostředí, ve kterém se talenty vyplatí využívat naplno a transparentně.
Co se musí změnit
Pokud chceme evropský IT trh stabilizovat a zbavit ho šedých praktik, nemá smysl dál opakovat obecné fráze o potřebě digitalizace nebo budování důvěry. Potřebujeme konkrétní kroky, které lze reálně zavést v každé firmě, bez ohledu na její velikost. A musí to být kroky, které řeší samotnou podstatu problému: nedostatečné ověřování identity, minimální kontrolu přístupů a okolnosti, kdy firmy outsourcují rychleji, než dokáží zajistit odpovědnost.
Prvním nezbytným pilířem je systematické ověřování identity externích IT specialistů. Není důvod, aby technologické firmy nadále pracovaly s lidmi, jejichž identitu si neumí ověřit na úrovni, kterou běžně vyžadují banky u svých klientů. Biometrická ověření při onboardingu, kontrola geografické lokace, povinné ověřené videohovory a průběžné náhodné validace identity během spolupráce nejsou přehnaný požadavek, jsou základní hygienou. Kdyby firmy tento proces zavedly plošně, významná část šedého trhu by zmizela během několika měsíců. Je to jednoduché, levné a hlavně efektivní.
Druhou oblastí je kontrola přístupů a auditovatelnost práce externistů. Mnoho firem stále funguje způsobem „dáme přístup seniorovi z agentury“, aniž by realita ověřila, kdo se pod tímto účtem skutečně přihlašuje, odkud a s jakými oprávněními. Pravidelné auditování přístupových logů, oddělené účty pro každého člena externího týmu, detailní monitoring aktivit v infrastruktuře a nástroje pro detekci anomálií chování by měly být standardem. Tyto praktiky jsou běžné v amerických technologických firmách už dekádu, Evropa je však často zavádí až po incidentu, nikoliv preventivně.
Třetí zásadní změnou je transparentnost v dodavatelském řetězci. Dokud firmy nebudou schopné jasně říct, kdo tvoří jejich 3rd a 4th party suppliers, a dokud to nebude povinnou součástí smluv, bude se šedý trh dál reprodukovat. Externí tým není monolit, ale soubor jednotlivců. A pokud nechceme, aby se evropské banky, telco nebo zdravotnictví stávaly obětí vlastní neinformovanosti, musí se povinně zavést detailní identifikace všech osob, které mají přístup k produkčním systémům nebo citlivým datům.
Čtvrtou oblastí jsou partnerské vztahy. Firmy musí začít pracovat s dodavateli tak, aby byly skutečnými partnery s jasnou odpovědností, transparentností, pravidelnými kontrolami kvality a dlouhodobým závazkem. Nestačí vzít tým z offshore a doufat, že to dopadne. Kvalitní agentury v Evropě existují. Problém je v tom, že mnoho firem neumí rozlišit kvalitní partnerství od anonymního body-leasingu bez kontroly.
A konečně pátým pilířem je změna evropské bezpečnostní kultury. Musíme přijmout, že bezpečnost není dokument, ale proces. A že největší riziko nevzniká z technologií, ale z lidí. Dokud firmy budou věřit, že procesní compliance je totéž co bezpečnost, budou náchylné k incidentům. Potřebujeme kulturu, kde vedení chápe rizika externích dodavatelů, investoři nevyvíjejí jednostranný tlak na úspory a IT týmy mají dostatečné kompetence i podporu, aby mohly rizika aktivně řídit.
Transparentní subdodavatelský řetězec
Pokud chce Evropa omezit rizika spojená s černým trhem kontraktorů, musí zásadně zpřehlednit to, co dnes patří k největším slepým místům, subdodavatelský řetězec. Většina firem pracuje s předpokladem, že když mají smlouvu s jedním dodavatelem, znají lidi, kteří na projektu skutečně pracují. Realita je často opačná. Firmy musí začít vyžadovat jasnou identifikaci všech osob zapojených do vývoje, včetně jejich rolí, seniority a lokace. Součástí toho musí být i striktní zákaz neautorizovaného 3rd a 4th party outsourcingu, tedy předávání práce dalším subjektům, o kterých klient vůbec neví.
Stejně důležité jsou auditní logy všech přístupů k datům a infrastruktuře, protože bez nich není možné zpětně dohledat, kdo s čím pracoval a kdy. A nakonec role a přístupová práva musí být oddělená tak, aby nikdo neměl víc oprávnění, než nutně potřebuje. Pokud mají být evropské firmy bezpečné, nestačí jim procesy na papíře. Potřebují skutečnou viditelnost do toho, kdo píše jejich kód, kdo má přístup k citlivým systémům a kdo ovlivňuje jejich digitální infrastrukturu. Bez této transparentnosti bude šedý trh dál růst.
Změna hodnocení dodavatelů
Evropské firmy jsou historicky zvyklé řídit výběr dodavatelů přes tabulky, RFI dokumenty a procesní checklisty. Technologická realita je bohužel pro ně odlišná. Kvalitu softwaru neurčuje excelová matice, ale konkrétní tým, který na projektu skutečně pracuje.
Pokud mají evropské společnosti snížit rizika spojená s nekvalitním outsourcingem, musí změnit logiku hodnocení dodavatelů. Namísto tlaku na nejnižší cenu by měl být prioritou prověřený track record, transparentní reference, reálná seniorita lidí, kteří se projektu budou věnovat, a schopnost převzít odpovědnost, osobní i smluvní.
Certifikace, procesní standardy a deklarace kvality jsou důležité, ale bez skutečné odbornosti a odpovědnosti týmu jsou jen teorií. Pokud má Evropa obstát v technologické konkurenci, potřebuje se odklonit od mechanického tendrování a začít posuzovat dodavatele podle toho, co opravdu rozhoduje: podle kvality lidí.
Odpovědnost na úrovni leadershipu
V mnoha evropských firmách se stalo samozřejmostí, že odpovědnost za rizika spojená s externími dodavateli nese výhradně agentura nebo partnerská firma. CIO a CTO často předpokládají, že pokud dodavatel deklaruje senioritu, bezpečnostní standardy a procesy, odpovědnost tím končí. Jenže skutečnost je jiná. V momentě, kdy podnik udělí přístup do své infrastruktury člověku, jehož identitu, senioritu ani kvalifikaci reálně neověřil, nejde o selhání dodavatele, ale o selhání leadershipu.
Technologie dnes prostupují celou organizací a bezpečnost není outsourcovatelná disciplína. Pokud chce evropský byznys minimalizovat rizika spojená s šedým trhem kontraktorů, musí vedení firem převzít jasnou, nezastupitelnou odpovědnost za to, kdo jejich systémy staví, spravuje a kdo má přístup k datům. Nejde o micromanagement, ale o základní předpoklad moderní technologické správy: důvěra je možná, ale jen tehdy, když je postavená na ověřených faktech, nikoliv na předpokladech.
Modernizace regulace
Evropské regulační rámce jako GDPR, NIS2 nebo AI Act mohou mít smysl. Problém ale není v samotné regulaci, nýbrž v její procesní podobě. Pravidla, která měla zvýšit bezpečnost, dnes zpomalují právě ty firmy, které je dodržují, zatímco těm nepoctivým se paradoxně vyhnout daří.
Evropa proto potřebuje posunout regulační ekosystém do 21. století: vytvořit jednotnou digitální identitu pro IT specialisty napříč členskými státy, stejně samozřejmou, jako je bankovní identita u klientů. Zavést „safe harbor“ principy pro technologické firmy, které prokazatelně investují do bezpečnosti a transparentního řízení dodavatelů. A hlavně digitalizovat regulatorní procesy tak, aby nebyly bariérou inovací, podobně jako to dělá Estonsko, které z rychlé a jasné digitalizace státu udělalo konkurenční výhodu. Regulace by měla poctivým firmám ulehčovat práci a těm podvodným ji naopak zásadně komplikovat. Dnes je to často obráceně.
Evropa si musí přiznat realitu
Evropský IT trh není v krizi kvůli nedostatku lidí, ani kvůli konkurenci z USA či levnějším offshore týmům. Ty jsou jen symptomy. Skutečný problém leží jinde. Evropa neumí pracovat s rizikem, nedokáže odlišit poctivé od nepoctivého, reguluje tam, kde to inovaci brzdí, a přehlíží místa, kde vznikají největší bezpečnostní a kvalitativní slabiny.
Černá ekonomika contractingu proto není selháním jednotlivých firem, ale selhání celého systému, který nerozumí vlastnímu technologickému rytmu. Ale je tu ještě jedna věc, která se říká mnohem méně nahlas, a přitom je stejně důležitá: podnikat v Evropě jde. A jde to dobře. Jen to vyžaduje odvahu, kterou jsme jako kontinent v posledních dvaceti letech postupně dali na čtvrtou kolej.
Byrokracie je problém, ale často se stává i pohodlnou výmluvou. Mnoho zakladatelů, manažerů i investorů používá regulace jako štít, za který se dá schovat neochota riskovat, rozhodnout nebo nést odpovědnost. Je jednodušší říct „nemůžeme kvůli GDPR“, než říct „nechceme to zkusit“. Je jednodušší vyplňovat tabulky, než postavit produkt. A je jednodušší čekat na další grant, než jít za zákazníkem. Pokud má Evropa znovu uspět, musí si tenhle nepříjemný fakt přiznat. Brzdí nás i vlastní mentalita.
Evropa nepotřebuje kopírovat Silicon Valley. Potřebuje znovu najít sama sebe. Odvahu experimentovat. Odvahu rozhodovat bez záruky. Odvahu nést zodpovědnost. Odvahu říct stačí. Dokud budeme čekat na dokonalý proces, dokonale nastavený systém nebo dokonale připravený rámec, zůstanou dveře otevřené těm, kteří čekat nemusí a často ani nechtějí. A v takové chvíli už nepůjde o kvalitu softwaru nebo efektivitu projektů. Půjde o budoucnost evropské technologické bezpečnosti a o to, jestli si své nápady a know-how dokážeme udržet doma.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
