Ptáme se právníka: Právní odpovědnost za kybernetické incidenty

Kybernetické incidenty se staly běžnou realitou dnešní digitální doby a představují hrozbu jak pro soukromé firmy, tak i pro veřejné instituce. Nezaměřují se pouze na velké hráče na trhu a žádná společnost si již dnes nemůže být jistá svou bezpečností. S narůstající závislostí na informačních technologiích se zvyšuje i potřeba jasně vymezit právní odpovědnost za tyto incidenty.

Od 1. listopadu 2025 vstupuje v platnost nový zákon o kybernetické bezpečnosti č. 264/2025 Sb. (dále jen „ZKB“), který zásadně mění pohled na kybernetickou bezpečnost, přesouvá ji z čistě technické oblasti do roviny strategického řízení a právní odpovědnosti tzv. vrcholového vedení.

Tento článek poskytuje základní vodítka pro určení, kdy je za kybernetický incident odpovědné vedení společnosti a kdy lze odpovědnost přenést na dodavatele. Jaká je tedy skutečná odpovědnost vrcholového vedení za kybernetické incidenty?

Právní rámec kybernetické bezpečnosti v ČR

Nový zákon o kybernetické bezpečnosti (ZKB), který nabývá účinnosti 1. listopadu 2025, nahrazuje původní úpravu z roku 2014 a zásadně rozšiřuje okruh regulovaných subjektů. Zavádí dvoustupňový režim povinností – vyšší a nižší. Zákon stanoví minimální úroveň kybernetického zabezpečení pro všechny regulované subjekty, které musejí např. formálně schválit a pravidelně aktualizovat bezpečnostní politiku, provádět analýzu rizik, zavést vícefaktorovou autentizaci, zálohování dat, řízení přístupů, připravit plány reakce na incidenty a zajištění kontinuity provozu.

Současně posiluje dozorové mechanismy a sankce. Dozorový orgán (NÚKIB) může nově ukládat velmi vysoké pokuty až do výše 250 mil. Kč nebo 2 % celosvětového obratu u subjektů, které spadají pod režim vyšších povinností, a až 175 mil. Kč nebo 1,4 % celosvětového obratu u subjektů v nižším režimu povinností. Dále mohou být ukládány pokuty ve výši 100 mil. Kč, 50 mil. Kč a 35 mil. Kč podle závažnosti přestupku. Kromě pokut ZKB zavádí i osobní postihy pro vrcholové vedení společnosti, pokud závažně zanedbá své povinnosti.

Kybernetická bezpečnost se tím výslovně stává předmětem právně vymahatelné odpovědnosti statutárních orgánů. Podle ZKB musejí vrcholové orgány organizace dohlížet na oblast kybernetické bezpečnosti, být v ní řádně proškoleny a činit strategická rozhodnutí pro posílení odolnosti. Nový zákon explicitně ukládá vrcholnému vedení řadu úkolů od schválení bezpečnostní politiky a integrace bezpečnosti do procesů až po alokaci zdrojů na kybernetickou ochranu. Vrcholové vedení musí např. ustanovit bezpečnostní role (manažer a architekt kyberbezpečnosti, auditor apod.) a zřídit výbor pro řízení kybernetické bezpečnosti, který se pravidelně schází a monitoruje rizika i incidenty. Tím se potvrzuje, že odpovědnost za kybernetickou bezpečnost již neleží a nemůže ležet pouze na IT oddělení, ale na managementu.

Obecná odpovědnost statutárních orgánů

Členové statutárních orgánů českých obchodních společností (jednatelé, členové představenstva apod.) mají ze zákona povinnost jednat s péčí řádného hospodáře. Podle § 159 odst. 1 občanského zákoníku to znamená vykonávat funkci s nezbytnou loajalitou, potřebnými znalostmi a pečlivostí. Manažer tedy musí mít i dostatečné povědomí o rizicích, kterým čelí jeho organizace, a aktivně je řídit. Pokud člen orgánu tyto požadavky ignoruje nebo hrubě nesplní, a způsobí tím společnosti škodu, může za ni být odpovědný.

Zákon dokonce stanoví, že jestliže škodu způsobenou porušením povinností neuhradí, ručí věřitelům společnosti za její dluhy až do výše způsobené (a neuhrazené) škody. Tím může být potenciálně ohrožen osobní majetek členů managementu, zejména v případě závažných incidentů s finančními dopady pro společnost. V praxi to znamená, že ani člen statutárního orgánu, který není odborníkem v oblasti IT nebo kybernetické bezpečnosti, se nemůže své odpovědnosti vyhnout poukazem na nedostatek technických znalostí. Péče řádného hospodáře se totiž posuzuje i podle schopnosti rozpoznat, kdy je nutné zajistit odbornou expertízu nebo delegovat odpovědnost na kvalifikované osoby, nikoli podle toho, zda manažer umí problém vyřešit sám.

Nová úprava kybernetické bezpečnosti dále zvyšuje standard péče, která je po manažerech vyžadována. ZKB výslovně ukládá vrcholovému vedení konkrétní povinnosti, jejichž nesplnění může být snáze prokazatelné než obecné porušení péče řádného hospodáře. Např. je stanovena povinnost absolvovat odborné školení zaměřené na kybernetickou bezpečnost pro členy řídicích orgánů. Zatímco dříve bylo často obtížné prokázat, že manažer „měl a mohl vědět“ o konkrétním riziku, nyní postačí doložit, že nesplnil jasně formulovanou povinnost stanovenou zákonem. Důkazní břemeno při vymáhání odpovědnosti managementu se tak v praxi posouvá. Poškozená společnost či dozorový orgán se nemusí zabývat zkoumáním vnitřních úvah manažera, ale postačí, pokud prokáže nesplnění konkrétní zákonné povinnosti.

Významnou novinkou ZKB je možnost dočasně zakázat výkon funkce člena statutárního orgánu u subjektů v režimu vyšších povinností. NÚKIB může uložit takový zákaz členovi orgánu, pokud opakovaně nebo závažně poruší své povinnosti, a tím znemožní řádné odstranění nedostatků v zabezpečení. Sankce zákazu činnosti trvá nejméně šest měsíců a skončí až po prokazatelné nápravě nedostatků. Rozhodnutí se zveřejňuje ve veřejném rejstříku a na webu NÚKIB, takže má i citelný reputační dopad. Tento mechanismus má především preventivní funkci, kdy signalizuje, že kybernetická bezpečnost je integrální součástí řádného výkonu funkce člena statutárního orgánu a její dlouhodobé zanedbávání může mít nejen finanční, ale i osobní následky.

Důležité je si připomenout, že opatření se vztahuje pouze na soukromoprávní funkce, nikoli na veřejné činitele ve státních orgánech. Ve veřejném sektoru sice vedoucí představitelé odpovídají za kybernetickou bezpečnost obdobně (např. vedoucí úřadů, ředitelé příspěvkových organizací), avšak postihy mají spíše podobu institucionálních sankcí (pokuty pro úřad, nápravná opatření) či kárné a politické odpovědnosti, nikoli zákaz výkonu funkce podle ZKB.

Odpovědnost vrcholového vedení nelze delegovat ani outsourcovat. Management může úkoly kybernetické bezpečnosti svěřit interním odborníkům či externím dodavatelům, nicméně kybernetická bezpečnost se stala osobní, zákonem vymahatelnou odpovědností vedení. Ani sofistikovaný útok zvenčí vedení nezbavuje povinností. Jak potvrdil Nejvyšší správní soud, i v případě kybernetického útoku zůstává organizace (resp. její statutární orgán jako správce dat) odpovědná za včasné a efektivní řešení incidentu podle zákona a ani vnější útok neomlouvá nesplnění povinností vůči regulatorním orgánům či dotčeným osobám. Vedení organizace proto musí prokazatelně zajistit, že má nastavený systém řízení bezpečnosti, jasné eskalační mechanismy a připravené scénáře reakce. Formální existence interních směrnic sama o sobě nepostačuje. Rozhodující je jejich faktické uplatňování v praxi a dohled ze strany managementu.

Vrcholové vedení musí tedy vždy prokázat, že splnilo své zkonné povinnosti (např. zavedlo přiměřená opatření a ohlásilo incident včas. Z pohledu civilní odpovědnosti navíc členové orgánů nesou odpovědnost vůči společnosti. Jestliže by svým zanedbáním (např. ignorováním varování bezpečnostních auditů) přispěli k újmě firmy, mohou být povinni tuto škodu nahradit.

Odpovědnost dodavatelů IT služeb a role smluv

S rostoucím trendem a potřebou outsourcingu IT služeb vyvstává otázka, nakolik lze odpovědnost za kybernetické incidenty přenést na externí dodavatele. Z hlediska soukromého práva platí, že dodavatel může nést odpovědnost za škodu způsobenou kybernetickým incidentem, pokud k ní přispěla jeho nedbalost nebo porušení smlouvy. Právním základem takového nároku bývá porušení smluvní povinnosti podle § 2913 občanského zákoníku. Typicky se posuzuje, zda dodavatel dodržel aktuální technické standardy zabezpečení a zda nezanedbal žádná známá rizika.

V praxi bývá odpovědnost dodavatelů často smluvně omezena. Ve smlouvách o poskytování IT služeb nebo v dohodách o úrovni služeb (SLA) si dodavatelé běžně sjednávají limity pro náhradu škody, ty je nutné s ohledem na novou právní úpravu revidovat. U kritických systémů se však zákazníci snaží dojednat garanční ujednání, např. smluvní pokuty za nedodržení dohodnuté úrovně zabezpečení. Textace smlouvy je klíčová v preventivním rozdělení odpovědnosti a měla by jasně určit, jaké bezpečnostní požadavky musí dodavatel splňovat, jak rychle reagovat na incidenty a jaké budou následky neplnění stanovených povinností.

Nový zákon akcentuje odpovědnost za bezpečnost v dodavatelském řetězci. Regulované organizace mají podle ZKB výslovnou povinnost řídit kybernetická rizika u svých dodavatelů a smluvně vyžadovat dodržování adekvátních bezpečnostních standardů. V praxi to znamená povinnost doplnit do dodavatelských smluv minimální bezpečnostní požadavky, např. kritéria pro výběr dodavatele a jeho povinnost plnit konkrétní bezpečnostní opatření.

Tím se vytváří propojení odpovědnosti, kdy dodavatel je smluvně vázán, avšak primární odpovědnost vůči regulatorním orgánům zůstává na straně objednatele. Outsourcing tedy nezbavuje povinnou osobu jejích zákonných závazků, a pokud dodavatel selže, sankcím bude čelit primárně objednatel služby. Ten pak může vzniklou škodu regresně vymáhat po dodavateli, ovšem pouze v případných mezích sjednaných smluvních podmínek.

Prevence, dokumentace a vnitřní řízení bezpečnosti

Prevence je v oblasti kybernetických incidentů zcela zásadní. Nový zákon o kybernetické bezpečnosti (ZKB) a jeho prováděcí vyhlášky definují soubor technických a organizačních opatření, která musejí povinné subjekty implementovat. Mezi technická opatření patří zejména řízení přístupů, vícefaktorová autentizace, šifrování nebo zajištění síťové bezpečnosti. K organizačním opatřením pak náleží řízení rizik, pravidelná školení zaměstnanců, plán reakce na incidenty a plán kontinuity provozu.

Základním principem je přiměřenost. Zákon nevyžaduje absolutní bezpečnost, ale přiměřenou úroveň zabezpečení s ohledem na význam aktiv, povahu služeb a dopady případného incidentu.

Neoddělitelnou součástí prevence je dokumentace. Z právního hlediska platí zásada: co není zdokumentováno, jako by neexistovalo. Organizace by proto měly vést úplnou a aktuální dokumentaci, zejména bezpečnostní politiku, záznamy o školeních, výsledky analýzy rizik, interní audity, evidenci incidentů a přijatých opatření.

Řádná dokumentace představuje nejen zákonnou povinnost, ale také důkazní nástroj. V případě incidentu nebo kontroly ze strany NÚKIB může rozhodnout o tom, zda bude organizace posuzována jako odpovědná či nikoli. Dobře vedená evidence může managementu pomoci prokázat, že jednal s péčí řádného hospodáře a naplnil své povinnosti podle ZKB.

Součástí prevence je i vnitřní řízení kybernetické bezpečnosti, tedy nastavení jasné organizační struktury, odpovědností a procesů. Mnoho organizací bude muset formálně ustavit funkce manažera kybernetické bezpečnosti, architekta nebo výboru pro kyberbezpečnost. Tyto role zajišťují dohled, koordinaci a komunikaci s vrcholovým vedením. Klíčové je však i propojení kybernetické bezpečnosti s celkovým řízením podniku. Kybernetická rizika by měla být integrována do systému řízení rizik společnosti a pravidelně reportována nejvyššímu vedení stejně jako finanční či provozní rizika. Úkolem managementu je vytvořit prostředí, v němž se bezpečnost stane součástí firemní kultury, nikoli pouze formální povinností, ale trvalou součástí každodenního rozhodování a chování zaměstnanců.

Závěr

Právní odpovědnost za kybernetické incidenty je v současném českém právním rámci sdílená. Statutární orgány nesou strategickou odpovědnost za řízení kybernetické bezpečnosti, nastavení interních procesů a zajištění souladu s právními předpisy. Tuto odpovědnost nelze smluvně přenést ani delegovat a zůstává vždy na úrovni vrcholového vedení. Dodavatelé IT služeb mají naproti tomu odpovědnost smluvní a odbornou. Pokud svým pochybením či nedbalostí přispějí ke vzniku incidentu, mohou být činěni k náhradě škody, a to podle rozsahu porušení svých povinností.

Účinné řízení kybernetických rizik proto vyžaduje propojení právních, technických a organizačních nástrojů. Právní compliance vytváří rámec, který musí být naplněn konkrétními technickými a procesními opatřeními. Pouze kombinací těchto přístupů lze dosáhnout skutečné odolnosti vůči kybernetickým hrozbám a zároveň zajistit právní jistotu organizace i jejích manažerů.

Z hlediska odpovědnosti platí, že prevence, připravenost a řádná dokumentace jsou nejúčinnější obranou, a to nejen proti útočníkům, ale i proti sankcím a osobní odpovědnosti.