Ptáme se právníka: Kyberbezpečnost a odpovědnost vrcholného vedení

Nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb., dále jen nZKB), účinný od 1. listopadu 2025, ukládá řadě organizací povinnosti v oblasti kybernetické bezpečnosti. Některé z těchto povinností a související sankce se přímo dotýkají vrcholného vedení. Kybernetická bezpečnost tak přestává být otázkou IT oddělení a stává se klíčovou součástí řízení společnosti, jejíž nedodržení může mít závažné právní i finanční dopady jak na organizaci, tak na její vrcholné vedení, kam spadá nejen statutární orgán, ale i jiná osoba nebo skupina osob v obdobném postavení.

nZKB transponuje do českého právního řádu požadavky evropské směrnice NIS2¹ , která značně rozšiřuje okruh regulovaných odvětví a služeb. Vedle původně regulovaných oblastí dle předchozí směrnice NIS (energetika, zdravotnictví, doprava, vodohospodářství, digitální infrastruktura, poskytovatelé řízených ICT služeb, infrastruktura finančních trhů a bankovnictví) se nyní regulace vztahuje např. na veřejnou správu, výrobní průmysl, potravinářství, vesmírný sektor, poštovní služby, chemický průmysl či řízené IT služby. Z digitálních služeb se povinnosti dotýkají poskytovatelů softwarových služeb, provozovatelů cloudových úložišť a datacenter, online platforem včetně e-tržišť a také firem nabízejících řízené IT či bezpečnostní služby. Pokud naplní další kritéria, spadne nově pod regulaci většina sektorů.

Cílem tohoto článku je poskytnout vrcholnému vedení praktický přehled, který umožní snadno zhodnotit, jaké povinnosti jsou v jejich organizaci již splněny a kde stále existují nedostatky.

Implementace povinností dle nZKB krok za krokem

1. Samoidentifikace a ohlášení
   Prvním krokem, který každá společnost musí učinit, je samoidentifikace. Společnost sama posoudí, zda na ni nZKB dopadá, a to z hlediska velikosti, poskytovaných služeb nebo významnosti. Pokud jsou kritéria naplněna, je společnost povinna oznámit poskytování regulované služby Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Do 30 dnů po oznámení služby je nutné nahlásit kontaktní osoby.
2. Aktualizace vnitřních předpisů
   Po případném ohlášení služby je třeba aktualizovat vnitřní předpisy. To zahrnuje zejména formální schválení bezpečnostní politiky, zavedení procesu řízení rizik a vedení registru ICT aktiv, pravidelný audit souladu prováděný akreditovaným auditorem a doplnění smluv s dodavateli o požadavky na bezpečnost v dodavatelském řetězci.
3. Technická a organizační opatření
   Následuje postupné zavádění technických a organizačních opatření podle vyhlášek nZKB, přičemž se zohledňuje, zda společnost spadá pod režim nižších či vyšších povinností. Mezi nejdůležitější patří:
   • Technická bezpečnost a řízení přístupů: Společnost musí zajistit ochranu systémů a dat a zavést řízení přístupových práv (tj. tvorba a správa silných hesel, implementace vícefaktorové autentizace a kontrola přístupových oprávnění).
   • Školení: Je zavedena povinnost pravidelně školit zaměstnance, ale i přímo vedení o bezpečnostních hrozbách, prověřovat osoby na klíčových pozicích a důsledně je informovat o jejich odpovědnosti.
   • Strategické řízení bezpečnosti: Vrcholné vedení odpovídá za jmenování odpovědných osob, tvorbu kyberbezpečnostní politiky a vedení přehledu přijatých opatření. Klíčové je schválení a průběžná kontrola funkčnosti celého systému řízení bezpečnosti
   • Detekce útoků, řízení incidentů a plán obnovy: Organizace musí být schopna včas detekovat kybernetické incidenty, efektivně na ně reagovat, ohlásit je NÚKIB a zajistit obnovu bezpečného provozu. Nezbytný je plán reakce na incidenty a plán obnovy kritických systémů.
   • Bezpečnost ve smluvních vztazích s dodavateli: Dodavatelské smlouvy musejí obsahovat požadavky na bezpečnost (např. NDA, požadavky na minimální úroveň technických opatření, reakční lhůty, právo na audit).
     
     Všechna opatření musejí být nejen zavedena, ale i dokumentována, pravidelně aktualizována a auditována. Při kontrolách nestačí poukázat na interní směrnice, klíčové je doložit, že systém kybernetické bezpečnosti reálně funguje. Úřady očekávají důkazy, že pravidla jsou známa, aktivně uplatňována a průběžně prověřována.
4. Hlášení incidentů a plnění protiopatření NÚKIB
   Organizace mají také povinnost hlásit kybernetické incidenty v předepsaných lhůtách. V praxi se může stát, že notifikace bude duplicitní s povinností podle GDPR. Kromě toho musejí organizace reagovat na protiopatření NÚKIB, která mohou být vydána formou výstrahy, varování nebo reaktivního protiopatření.

Klíčové povinnosti top managementu dle nZKB

Vrcholný management je odpovědný za celkové řízení společnosti včetně oblasti kybernetické bezpečnosti. Členové statutárního orgánu musejí postupovat s péčí řádného hospodáře a zajistit, aby společnost plnila všechny relevantní právní a regulatorní povinnosti. Nesou tak i osobní odpovědnost za případné ztráty společnosti způsobené jejich nedostatečnou péčí. V oblasti kybernetické bezpečnosti jsou povinnosti vrcholného vedení vymezeny zejména v § 5 vyhlášek nZKB o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšší, resp. nižší povinnosti. Vrcholné vedení musí zejména zajistit následující povinnosti:

1. Alokace lidských a finančních zdrojů Zajistit kvalifikované lidi a adekvátní rozpočet na nástroje pro monitoring, ochranu dat, školení zaměstnanců, audit a testování bezpečnostních opatření. Praktický tip: Rozpočet plánujte podle reálných rizik a pravidelně revidujte, nestačí jednorázová investice.
2. Stanovení a udržování bezpečnostní politiky
   Management musí stanovit aktuální bezpečnostní politiku a cíle systému řízení bezpečnosti informací s ohledem na reálná rizika a hrozby. Praktický tip: Dokumentace by měla být centrálně dostupná, pravidelně aktualizovaná a obsahovat pravidla pro přístupy a oprávnění, postupy pro řízení incidentů, zálohování a obnovu dat.
3. Integrace bezpečnosti do všech procesů
   Kybernetická bezpečnost by měla být součástí každého klíčového firemního procesu od vývoje produktů přes nákup, HR až po finance, aby rizika byla identifikována a řešena přímo tam, kde vznikají. Praktický tip: Při zavádění nových projektů či procesů vložte tzv. security gate – krátký checklist, který musí tým projít, než se proces nebo systém spustí do provozu. Kontroluje např. dodržení přístupových pravidel, zálohování dat a povinné revize bezpečnostních nastavení.
4. Řízení rizik a incidentů
   Management musí zavést procesy pro identifikaci, hodnocení a řešení incidentů. Praktický tip: Provádějte pravidelné audity systémů, testujte krizové scénáře (simulace incidentů), zajistěte reporting incidentů vedení a dokumentujte všechny kroky.
5. Definice bezpečnostních rolí a výboru
   Je nutné definovat klíčové role: manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiv, auditora kybernetické bezpečnosti a výbor pro řízení kybernetické bezpečnosti. Praktický tip: Každá role musí mít jasně definované odpovědnosti, reportovací povinnosti a přístup k relevantním informacím.
6. Komunikace, aktivní zapojení a podpora ze strany vrcholného vedení
   Vrcholné vedení musí vést aktivní dialog o významu kybernetické bezpečnosti, vysvětlovat její význam a podporovat zaměstnance v plnění bezpečnostních cílů. Nestačí formální souhlas nebo podpis směrnic. Praktický tip: Vedení by mělo jít příkladem, např. používat bezpečné nástroje, dodržovat přístupová pravidla a účastnit se školení.
7. Školení vrcholného vedení a zaměstnanců
   Zajistit školení „na míru“ rizikům společnosti, jejich aktualizaci a ověřování účinnosti testy. Praktický tip: Kombinujte teoretické školení s praktickými simulacemi, phishing testy a případovými scénáři.

Sankce a právní důsledky

Nesplnění povinností dle nZKB může mít za následek citelné nejen finanční dopady. Zákon umožňuje uložení velmi vysokých pokut až do výše 2% z celkového ročního obratu nebo 250 mil. Kč (u subjektů v režimu vyšších povinností), ale i pozastavení platnosti evropských bezpečnostních certifikátů kybernetické bezpečnosti, což může vyústit v nemožnost dodržovat smluvní povinnosti ze strany organizace.

Novinkou je přímá osobní odpovědnost statutárních orgánů, zejména hrozí:

• zákaz výkonu funkce statutárního orgánu za opakované nebo závažné porušení povinností, a to minimálně na šest měsíců,
• osobní odpovědnost za škodu způsobenou porušením péče řádného hospodáře, např. pokud kvůli podceněné bezpečnosti uniknou citlivá data společnosti,
• ručení věřitelům za dluhy společnosti, pokud se firma kvůli bezpečnostnímu incidentu dostane do platební neschopnosti ve vztahu ke škodě způsobené třetím stranám,
• NÚKIB bude moci uložit členovi statutárního orgánu pokutu až do výše 20 mil. Kč.

Role softwaru a moderních nástrojů

Řízení kybernetické bezpečnosti a plnění povinností dle nZKB či NIS2 (ostatně i dalších evropských regulací) vyžaduje systematický přístup a důslednou dokumentaci. Specializované nástroje mohou managementu usnadnit správu těchto procesů a poskytují podporu při jejich efektivním zavedení a monitoringu.

Příkladem je software cybreg vyvinutý pro české prostředí ve spolupráci s naší advokátní kanceláří Finreg Partners. Nabízí robustní IT řešení pro řízení rizik a compliance s nZKB, obsahuje předpřipravená data, umožňuje centralizovat dokumentaci a interní postupy, sledovat plnění jednotlivých povinností, reportovat a vyhodnocovat incidenty. Takový nástroj nejen zvyšuje efektivitu řízení, ale zároveň poskytuje jasné důkazy o aktivním plnění povinností, což je klíčové při kontrolách regulátora.

Implementaci specializovaného softwaru doporučujeme zvážit jako součást komplexního systému řízení kybernetické bezpečnosti.

Závěrečná doporučení pro top management

Odpovědnost top managementu za kyberbezpečnost je reálná a konkrétní. Plnění povinností dle nZKB, uplatnění principu řádné péče dle zákona o obchodních korporacích (zák. č. 90/2012 Sb.) a využití moderních nástrojů nejen snižuje riziko sankcí, ale posiluje bezpečnost celé společnosti. Systematický přístup k řízení kybernetických rizik je dnes nedílnou součástí efektivního vedení společnosti.

Doporučujeme postupovat následovně:

• Prověřte dopad regulace: Identifikujte, jak se nZKB vztahuje na vaši organizaci podle sektoru činnosti a velikosti podniku dle kritérií vyhlášek nZKB.
• Alokujte zdroje: Jmenujte kvalifikovanou osobu odpovědnou za kybernetickou bezpečnost.
• Sestavte plán implementace: Zmapujte existující slabiny a postupně zavádějte zmíněné prvky: analýzu a řízení rizik, bezpečnostní politiky, systémy detekce incidentů, zálohování dat, kontrolu přístupu (např. vícefaktorové ověřování) apod. Každý krok důsledně dokumentujte.
• Delegujte, ale s dohledem: Delegace agendy je nezbytná, ale nezbavuje vás odpovědnosti. Nastavte mechanismy pravidelného reportingu o stavu bezpečnosti, incidentech a plnění opatření. Statutární orgán musí mít o stavu kybernetické bezpečnosti ve firmě neustále aktuální přehled.
• Vzdělávejte sebe i ostatní: Absolvujte povinná školení a zaveďte pravidelná školení pro zaměstnance zaměřená na bezpečnostní zásady (např. práce s hesly, rozpoznání phishingu, reakce na incident).
• Plánujte reakce na incidenty (Incident Response Plan): Vypracujte a pravidelně testujte Incident Response Plan, tj. kdo co bude dělat při napadení systému, koho kontaktovat (NÚKIB, policie, právníci, PR), jak obnovit provoz.
• Doplňková opatření: Zvažte uzavření pojištění kybernetických rizik, které může zajistit prostředky pro rychlé zvládnutí krizových situací (např. úhradu odborníků na obnovení systému, PR komunikaci, právní výlohy).

Důležité je nejen zavést opatření, ale také je důsledně dokumentovat. Záznamy o školeních, reportech, testech incidentů a rozhodnutích vedení řádně uchovávejte. Tyto záznamy jsou klíčové při interních i externích kontrolách a dokazují péči řádného hospodáře. Jednatel, který může doložit, že bezpečnost nepodcenil a přijal rozumná opatření, čelí výrazně nižšímu riziku osobních sankcí.

Kybernetická bezpečnost je proces, ne jednorázový úkol. Statutární orgán, který jedná s péčí a důsledně dokumentuje kroky, chrání nejen společnost, ale i sám sebe