Hybridní válka: propojení dronů, kybernetických útoků a dezinformací

JUDr. Jakub Dohnal, Ph.D., LL.M.
JUDr. Jakub Dohnal, Ph.D., LL.M.
7.2.2026 | ARROWS advokátní kancelář

V dnešním obchodním prostředí čelí společnosti koordinované hrozbě, která dalece přesahuje rámec tradiční kyberkriminality. Hybridní válka – integrace taktik zahrnujících kybernetické útoky, operace dronů a dezinformační kampaně – má přímý dopad na podnikovou infrastrukturu. Pokud vaše organizace působí v kritických sektorech nebo spravuje citlivá data, je pochopení těchto hrozeb nezbytné. Tento článek vysvětluje rizika a způsoby, jak vybudovat obranu chránící kontinuitu vaší společnosti.

Obrázek znázorňuje specialistu vysvětlujícího obranu proti hybridnímu způsobu vedení války.

Porozumění hybridnímu válčení a jeho dopadům na podnikání

Hybridní válčení představuje zásadní posun v tom, jak protivníci cílí na organizace a státy. Namísto vyhlášení otevřeného konfliktu využívají aktéři koordinované kombinace konvenčních vojenských taktik, kybernetických útoků, dezinformací, sabotáží a ekonomického tlaku. Cílem těchto strategií je destabilizovat cíle při zachování věrohodné popíratelnosti, přičemž se tyto metody dramaticky vyvinuly díky integraci umělé inteligence.

Pro komerční podniky již hybridní hrozby nejsou teoretickými obavami, ale projevují se jako kybernetické útoky narušující výrobu nebo drony provádějící sledování. Propojená povaha těchto taktik znamená, že jediný incident může vyvolat kaskádové selhání napříč více systémy. Vaše dodávky energie mohou být narušeny sabotáží, zatímco vaše komunikace bude ochromena kybernetickými útoky.

To, co činí hybridní hrozby pro podnikání obzvláště nebezpečnými, je jejich nejednoznačnost. Společnosti mají potíže s atribucí útoků, určováním vhodných reakcí a orientací v právních složitostech, které vznikají, když se tradiční bezpečnostní opatření ukáží jako nedostatečná. Advokátní kancelář ARROWS pravidelně radí komerčním subjektům v oblasti těchto vznikajících bezpečnostních rizik a pomáhá jim porozumět právnímu rámci, v němž musí působit.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Tři pilíře hybridního útoku: Jak drony, kyberútoky a dezinformace spolupracují

Bezpilotní letadla (UAV) se stala primárním nástrojem v hybridních operacích zaměřených na odvětví infrastruktury. Na rozdíl od tradičních letadel nabízejí drony protivníkům rychlost, nízké náklady, snížené riziko atribuce a schopnost operovat mimo konvenční obranné perimetry. Pro společnosti spravující energetická zařízení nebo telekomunikační sítě se hrozby dronů vyvinuly z teoretických rizik v doloženou realitu.

Při nedávných incidentech v Evropě i mimo ni byly drony využity ke sledování elektráren, ropných a plynových zařízení a telekomunikační infrastruktury. Dokumentované případy ve Spojených státech a Evropě ukázaly, jak snadno lze komerční platformy upravit k vyvolání úmyslných škod. Novější případy zahrnují koordinované operace dronů určené ke sběru zpravodajských informací o uspořádání objektů před zahájením útoků.

Hrozba přesahuje přímé fyzické poškození, protože drony vybavené sledovací technikou mohou identifikovat vzorce ve vašem provozu. V kombinaci s kybernetickými útoky na vaše systémy SCADA a dezinformačními kampaněmi, které se k útokům hlásí, se škody násobí exponenciálně. Tyto kombinované taktiky vytvářejí multiplikační efekt, který tradiční fyzická bezpečnost nemůže izolovaně vyřešit.

Kybernetické útoky jako multiplikátory síly v hybridních operacích

Kybernetické útoky slouží jako digitální složka strategií hybridního válčení, často koordinovaná s fyzickými operacemi za účelem maximalizace narušení. Na rozdíl od samostatných kyberkriminálních útoků motivovaných finančním ziskem, hybridní kybernetické operace podporují širší geopolitické cíle. Mezi ně patří destabilizace ekonomik, podkopávání důvěry veřejnosti v instituce a oslabování schopností protivníka.

Sofistikovanost hybridních kybernetických operací se dramaticky zvýšila, přičemž útoky již nevyžadují přímý přístup k systémům. Protivníci nyní provádějí předběžný kybernetický průzkum, napadají partnery v dodavatelském řetězci a využívají zranitelnosti v propojených systémech. Kybernetické útoky na ukrajinskou rozvodnou síť ukázaly, jak může kybernetické narušení ovlivnit miliony civilistů a způsobit sekundární ekonomické škody.

Pro vaši organizaci je riziko umocněno konvergencí kybernetických hrozeb s fyzickými operacemi. Vaše dodávky energie závisí na digitálních řídicích systémech zranitelných vůči kyberútokům a vaše komunikační infrastruktura může být rušena nebo kompromitována. Vaši partneři v dodavatelském řetězci se mohou stát cílem ransomwaru, což naruší vaši výrobu a prokáže, že tradiční rozpočty na kybernetickou bezpečnost jsou nedostatečné.

Důležité je, že právní odpovědnost za kybernetické incidenty se v posledních letech dramaticky rozšířila. Od společností se stále častěji očekává, že zavedou „přiměřená“ kybernetická bezpečnostní opatření úměrná jejich rizikovému profilu a průmyslovému sektoru. Advokátní kancelář ARROWS pomáhá podnikům orientovat se v těchto složitých povinnostech v oblasti compliance a bránit se proti sankčním opatřením regulačních orgánů.

Dezinformace jako zbraň proti důvěře v korporace a trhům

Dezinformační kampaně zaměřené na korporace jsou stále sofistikovanější a ekonomicky škodlivější. Na rozdíl od tradiční propagandy využívají moderní dezinformace algoritmické zesílení, deepfakes a koordinované sítě botů. Tyto nástroje šíří falešné narativy v takovém rozsahu a rychlosti, kterým tradiční ověřování faktů nemůže konkurovat.

Korporátní dezinformační kampaně mohou cílit na vaši pověst, bezpečnost vašich produktů, integritu vašeho vedení nebo vaši finanční životaschopnost. Zvažte dopad tržních „bleskových propadů“ (flash crashes) vyvolaných falešnými informacemi, jako byl incident z roku 2013 týkající se hacknutého tweetu o Bílém domě. Pro společnosti s veřejně obchodovanými cennými papíry představují dezinformace přímé finanční riziko, které může vyvolat rychlý pokles hodnoty.

Konvergence dezinformací s kybernetickými útoky a operacemi dronů škody umocňuje. Poté, co kybernetický útok kompromituje vaše systémy, šíří se falešné zprávy tvrdící, že data byla ukradena ve prospěch protivníků. V těchto scénářích se vaše vlastní pravda v tržním prostředí reálného času, kde obchodní chování určuje vnímání, prosazuje jen obtížně.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Regulační orgány nyní uznávají dezinformace jako systémové riziko vyžadující pozornost v rámci správy a řízení společností (corporate governance). Finanční regulátoři v mnoha jurisdikcích začali po společnostech vyžadovat zavedení kontrolních mechanismů pro detekci a reakci na falešné narativy. Advokátní kancelář ARROWS radí společnostem v oblasti těchto vznikajících povinností správy a řízení a zastupuje podniky v regulatorních šetřeních po dezinformačních incidentech.

microFAQ – Právní tipy pro rozpoznávání korporátních hybridních hrozeb

1. Jak může moje společnost odlišit hybridní útoky od běžné kyberkriminality nebo provozních incidentů?
Hybridní útoky se obvykle vyznačují koordinací napříč více doménami – kybernetické útoky sladěné se sledováním drony nebo dezinformačními kampaněmi. Běžná kyberkriminalita se obvykle zaměřuje na finanční krádeže nebo požadavky na výkupné (ransomware). Hybridní operace cílí na destabilizaci a nejednoznačnost atribuce. Časová koordinace je často hlavním vodítkem: incidenty, které se zdají být náhodné, mohou být ve skutečnosti synchronizovány.

2. Jaké právní povinnosti má moje společnost v oblasti detekce a hlášení hybridních incidentů?
Povinnosti závisí na vašem odvětví a jurisdikci. Provozovatelé kritické infrastruktury čelí povinnému hlášení incidentů podle odvětvových předpisů. Finanční instituce musí v EU dodržovat rámec DORA (nařízení o digitální provozní odolnosti), který vyžaduje rychlé informování úřadů. Úniky dat týkající se osobních údajů aktivují ohlašovací povinnosti podle GDPR nebo státních zákonů o ochraně soukromí. Pro pochopení vašich konkrétních povinností kontaktujte office@arws.cz.

3. Pokud nemohu okamžitě identifikovat zdroj útoku, nesu odpovědnost za to, že jsem jej nenahlásil?
Nikoliv automaticky, ale musíte nahlásit incident samotný. Předpisy obvykle vyžadují oznámení „bez zbytečného odkladu“ nebo v přísných časových lhůtách (např. 24 nebo 72 hodin) poté, co potvrdíte, že došlo k významnému incidentu, a to bez ohledu na jeho přisouzení konkrétnímu útočníkovi. Nejistota ohledně identity útočníka neomlouvá prodlení v hlášení samotného narušení nebo výpadku. Dokumentace procesu vašeho vyšetřování je zásadní pro pozdější obhajobu proti postihům ze strany dozorových orgánů.

Státy a nadnárodní regulační orgány kodifikovaly požadavky, aby se společnosti připravily na hybridní hrozby a reagovaly na ně. Nejpodrobnější rámce pocházejí z Evropské unie, jejíž geografická blízkost k zónám hybridních konfliktů z ní činí inovátora v oblasti regulace. Její významná technologická infrastruktura dále zvyšuje potřebu robustních právních norem v této oblasti.

Směrnice EU NIS2 vyžaduje, aby „základní“ a „důležité“ subjekty v kritických odvětvích zavedly opatření kybernetické bezpečnosti založená na analýze rizik. NIS2 se vztahuje na střední a velké subjekty v energetice, dopravě, bankovnictví, zdravotnictví, vodním hospodářství a digitální infrastruktuře. Zásadní je, že NIS2 činí řídicí orgány osobně odpovědnými za dodržování kybernetické bezpečnosti, což znamená, že členové statutárních orgánů mohou čelit odpovědnosti za pochybení.

Ve Spojených státech fungují odvětví kritické infrastruktury podle specifických sektorových předpisů. Odvětví elektroenergetiky podléhá standardům NERC CIP, zatímco finanční instituce musí dodržovat zákon GLBA a předpisy orgánů, jako je SEC. Každý rámec sdílí společné prvky: posouzení rizik, plánování reakce na incidenty, řízení bezpečnosti dodavatelského řetězce a povinnosti rychlého oznámení.

U společností s mezinárodní působností se regulatorní složitost násobí. Evropská dceřiná společnost musí dodržovat vnitrostátní zákony transponující NIS2, zatímco dceřiná společnost v USA se orientuje ve federálních a státních rámcích. Advokátní kancelář ARROWS pravidelně radí společnostem působícím ve více jurisdikcích ohledně harmonizace programů souladu s předpisy o kybernetické bezpečnosti.

Výzva osobní odpovědnosti pro vedení korporací

Moderní předpisy o kybernetické bezpečnosti přenesly odpovědnost z IT oddělení na představenstva a vrcholový management. Soudy v Delaware vytvořily precedens, podle kterého mohou ředitelé čelit osobní odpovědnosti za to, že nezavedli odpovídající systémy dohledu. Akcionáři úspěšně napadli rozhodnutí představenstev týkající se investic do kybernetické bezpečnosti s argumentem, že nedostatečná příprava představuje porušení péče řádného hospodáře.

Standardy, které soudy a regulátoři uplatňují, vyžadují, aby vedení jednalo proaktivně. Vedení musí aktivně monitorovat kybernetická rizika, nikoli pouze pasivně přijímat zprávy IT oddělení. Kromě toho musí prověřovat, zda jsou investice do bezpečnosti úměrné identifikovaným rizikům, a stanovit jasnou odpovědnost za výsledky v oblasti kybernetické bezpečnosti.

Pro evropské společnosti vytvářejí ustanovení NIS2 o osobní odpovědnosti srovnatelné riziko. Vnitrostátní implementace výslovně činí řídicí orgány odpovědnými za nedodržení předpisů. Pokuty pro subjekt mohou dosáhnout 10 milionů EUR nebo 2 % celosvětového ročního obratu, přičemž specifická ustanovení zakládají osobní odpovědnost vedoucích pracovníků.

Situaci dále komplikuje skutečnost, že soudy stále častěji vyvozují odpovědnost vůči ředitelům za zavádějící zveřejňování informací o kybernetické bezpečnosti. Pokud vaše výroční zpráva tvrdí, že jste zavedli „nejlepší bezpečnostní postupy ve své třídě“, ale narušení odhalí významné nedostatky, mohou ředitelé čelit žalobám za podstatné zkreslení skutečnosti. Advokátní kancelář ARROWS pomáhá představenstvům a vrcholovému managementu při vytváření rámců správy kybernetické bezpečnosti, které splňují právní požadavky a zároveň zohledňují provozní realitu.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

microFAQ – Právní tipy k odpovědnosti vedení společností za hybridní hrozby

1. Jaké konkrétní aktivity v oblasti správy kybernetické bezpečnosti by mělo naše představenstvo provádět?
Vedení by mělo čtvrtletně přezkoumávat posouzení kybernetických rizik, schvalovat plány reakce na incidenty, sledovat investice do bezpečnosti a jejich účinnost, zajišťovat školení vedoucích pracovníků o kybernetických rizicích a dokumentovat své dozorové činnosti. Mnoho společností nyní jmenuje specializované výbory pro kybernetickou bezpečnost nebo vyžaduje, aby se členové představenstva účastnili školení v této oblasti. Tato dokumentace chrání jednotlivé ředitele tím, že prokazuje aktivní řešení rizik.

2. Pokud hybridní útok uspěje i přes naše investice do bezpečnosti, můžeme čelit odpovědnosti za nedostatečnou přípravu?
Možná, ale odpovědnost obvykle závisí na nedbalosti, nikoli na samotném narušení. Soudy uznávají, že dokonalé zabezpečení je nemožné, takže standardem je „přiměřená“ příprava vzhledem k identifikovaným rizikům ve vašem odvětví a velikosti společnosti. Pokud byla vaše úroveň zabezpečení prokazatelně nižší než u srovnatelných společností nebo pokud jste ignorovali známé zranitelnosti a zároveň tvrdili, že jste je vyřešili, riziko odpovědnosti se výrazně zvyšuje.

3. Musí naše společnost udržovat kybernetické pojištění vzhledem k těmto rizikům odpovědnosti?
I když to není vždy povinné ze zákona, jde o kritickou součást řízení rizik. Kybernetické pojištění plní dvě funkce: kryje finanční ztráty z incidentů a signalizuje regulátorům i akcionářům, že vedení bralo přenos rizik vážně. Mnoho finančních institucí nyní čelí požadavkům na udržování kybernetického pojištění. Důležitější je, že kybernetické pojištění často zahrnuje krytí právního zastoupení – pojistitelé poskytují právníky pro obhajobu ředitelů a vedoucích pracovníků v regulatorních šetřeních nebo akcionářských sporech.

Hybridní hrozby a kritická infrastruktura: Odvětvová rizika

Energetická infrastruktura čelí trvalým kampaním hybridních hrozeb ze strany státních i nestátních aktérů. Dokumentované kampaně se zaměřily na elektrické sítě pomocí koordinovaných kybernetických útoků a úderů dronů navržených tak, aby maximalizovaly narušení života civilního obyvatelstva. Energetická infrastruktura na Blízkém východě byla rovněž napadena kombinací komerčně dostupných dronů a pokročilých vojenských systémů.

Pro energetické společnosti je hrozba vícerozměrná, kombinuje fyzickou sabotáž s kybernetickými operacemi. Fyzická sabotáž zaměřená na podmořské kabely a potrubí se pojí s kybernetickými operacemi kompromitujícími systémy SCADA. Důsledek je jasný: kritická infrastruktura funguje v prostředí, kde samotná fyzická bezpečnostní opatření již nestačí.

Regulační reakce se v souladu s tím zintenzivnily. Směrnice EU o odolnosti kritických subjektů (CER) vyžaduje, aby provozovatelé v energetice identifikovali kritická aktiva a posoudili zranitelnosti. Advokátní kancelář ARROWS pomáhá provozovatelům v energetice orientovat se v těchto sbíhajících se povinnostech a poskytuje poradenství v oblasti souladu s předpisy a protokolů reakce na incidenty.

Finanční služby a manipulace s trhem prostřednictvím hybridních operací

Finanční instituce čelí hybridním hrozbám z mnoha směrů. Kybernetické útoky se zaměřují na údaje o zákaznících a transakční systémy, zatímco dezinformační kampaně cílí na institucionální stabilitu a důvěru zákazníků. V nedávném významném případě byly k autorizaci podvodných převodů finančních prostředků použity deepfakes firemních manažerů vytvořené umělou inteligencí.

Manipulace s trhem prostřednictvím dezinformací představuje systémové finanční riziko. Bleskové propady (flash crashes) a rychlé změny ocenění způsobené neověřenými narativy ukazují, jak mohou nepravdivé informace vyvolat masivní pohyby na trhu. Pro finanční instituce vzniká regulační expozice v několika směrech, včetně povinnosti zveřejňovat významná kybernetická rizika.

Průnik hybridních hrozeb a finančních trhů vytváří novou právní odpovědnost. Instituce musí zavést kontrolní mechanismy pro ověřování identity, které jsou dostatečně sofistikované, aby odhalily zneužití identity založené na deepfakes. Advokátní kancelář ARROWS pomáhá finančním institucím při navrhování rámců správy a řízení (governance), které řeší tyto sbíhající se hrozby a zajišťují obranu proti regulatorním opatřením.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Voda a telekomunikace: Zranitelná kritická místa

Infrastruktura pro zásobování vodou a telekomunikační sítě představují kritická místa, která jsou stále častěji terčem hybridních operací. Vodárenské systémy v mnoha vyspělých zemích byly navrženy bez ohledu na moderní kybernetickou bezpečnost. Systémy řídící hladiny chemických látek v úpravnách vody často fungují na zastaralé infrastruktuře s minimálním zabezpečením.

Nedávné incidenty demonstrují jak zranitelnost, tak následky. V USA se hackeři pokusili zvýšit hladinu hydroxidu sodného v zásobách vody na nebezpečnou koncentraci. V Evropě došlo k poškození podmořských telekomunikačních kabelů při incidentech, které vyvolaly obavy ze sabotáže.

Pro společnosti provozující vodovody nebo telekomunikační infrastrukturu kombinují hybridní hrozby kybernetické útoky s dronovým průzkumem. Advokátní kancelář ARROWS radí těmto operátorům v oblasti strategií souladu s předpisy (compliance), vývoje protokolů pro reakci na incidenty a řízení odpovědnosti v případě vzniku incidentů.

Dojde-li k hybridnímu incidentu, povinnosti hlášení dozorovým orgánům vytvářejí naléhavé právní lhůty, které výrazně omezují flexibilitu vaší reakce. Regulační prostředí vyžaduje porozumění několika rámcům současně.

Podle nařízení EU GDPR musí být porušení zabezpečení osobních údajů nahlášeno dozorovým úřadům do 72 hodin. To poskytuje méně než tři dny na prošetření rozsahu porušení, určení dotčených osob a podání formálního oznámení. Lhůta 72 hodin začíná běžet v okamžiku, kdy se o porušení dozvíte, bez ohledu na úplnost vyšetřování.

Nařízení EU DORA zrychluje lhůty pro finanční subjekty. Významné incidenty související s ICT musí být nahlášeny příslušnému orgánu v přísných lhůtách, často do 24 hodin. Tyto překrývající se požadavky vytvářejí praktické komplikace, protože právní týmy musí současně vyšetřovat technický incident a posuzovat finanční dopad.

Složitost se prohlubuje, pokud hybridní incidenty zasahují do více jurisdikcí. Kybernetický útok ovlivňující vaše operace v EU spouští lhůty podle GDPR a DORA, zatímco útoky na dceřiné společnosti v USA spouští odlišné požadavky. Advokátní kancelář ARROWS pomáhá společnostem při zavádění protokolů pro reakci na incidenty, které splňují složité lhůty pro hlášení.

Rozhodování o platbách ransomware a dodržování sankcí

Pokud hybridní operace zahrnují útoky ransomwarem, rozhodování o platbě vytváří mimořádnou právní složitost umocněnou geopolitickými faktory. Rozhodnutí zaplatit nebo odmítnout požadavky na výkupné ovlivňuje nejen okamžité vyřešení incidentu, ale také soulad s předpisy. Má také dopad na riziko budoucího zacílení a potenciální odpovědnost za financování sankcionovaných subjektů.

Sankční režimy USA (OFAC) i EU ukládají standardy objektivní odpovědnosti za platby sankcionovaným subjektům. Pokud vaše společnost zaplatí výkupné útočníkovi, který je později identifikován jako sankcionovaný, čelíte významným občanskoprávním sankcím bez ohledu na váš úmysl. To vytváří skutečné dilema: odklad platby zvyšuje provozní škody, zatímco její urychlení zvyšuje riziko porušení předpisů.

Nedávná donucovací opatření dokládají závažnost situace. Orgány stíhají prodejce a platební platformy usnadňující platby ransomwarem sankcionovaným subjektům. Regulátoři zkoumají, zda vaše společnost provedla před platbou hloubkovou kontrolu (due diligence) útočníků a zda jste prověřili příjemce platby v sankčních seznamech.

Regulační prostředí nyní předpokládá, že se společnosti s incidenty ransomware setkají, a očekává, že budou udržovat komplexní postupy reakce. Advokátní kancelář ARROWS pomáhá společnostem zavést protokoly pro reakci na ransomware splňující očekávání regulátorů, včetně postupů pro dodržování sankcí.

microFAQ – Právní tipy pro reakci na ransomware a soulad s předpisy

1. Musí naše společnost informovat orgány činné v trestním řízení okamžitě po zjištění ransomware, nebo máme nejprve vyjednávat o platbě?
Oznámení se obecně doporučuje a někdy je povinné (např. podle CIRCIA v USA nebo NIS2/DORA v EU u významných incidentů). Včasné oznámení umožňuje orgánům činným v trestním řízení poskytnout vodítko ke konkrétnímu útočníkovi. Mnoho agentur udržuje zpravodajské informace o útočnících, které identifikují, které skupiny jsou sankcionovány – včasné oznámení může zabránit neúmyslné platbě sankcionovaným subjektům. Pečlivě dokumentujte časovou osu vyšetřování, protože regulátoři budou později zkoumat, zda jste podnikli přiměřené kroky k zamezení porušení sankcí.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

2. Pokud zaplatíme výkupné a později zjistíme, že příjemce byl na sankčním seznamu, jaké to bude mít následky?
Sankce v rámci režimů OFAC nebo EU mohou být značné. Můžete čelit občanskoprávním pokutám v řádu desítek tisíc až potenciálně milionů v závislosti na okolnostech. Regulátoři mohou navíc vyšetřovat, zda vaše společnost nezavedla přiměřené postupy pro dodržování sankcí. Proto je dokumentovaný proces rozhodování o platbách (včetně kroků prověřování sankcí) kritický – prokazuje vynaložení náležité péče, i když se později ukáže, že platba odešla sankcionovanému subjektu za okolností, které jste nemohli rozumně zjistit.

3. Může nám naše kybernetické pojištění pomoci zvládnout odpovědnost za platbu výkupného?
Ano, a to několika způsoby. Přímé kybernetické krytí (first-party) často zahrnuje náklady na výkupné (i když se to liší podle pojistky). Krytí odpovědnosti vůči třetím stranám může zahrnovat náklady na obhajobu a výdaje na regulatorní narovnání, pokud po platbě čelíte donucovacím opatřením. Co je však důležitější, pojistitelé poskytující služby vyjednávání o výkupném často pomáhají identifikovat útočníky a posuzovat sankční rizika – v podstatě poskytují odborné vedení snižující vaši expozici vůči odpovědnosti. Podrobnosti o své pojistce si pečlivě projděte na adrese office@arws.cz, abyste porozuměli svému konkrétnímu krytí.

Rizikové scénáře a regulatorní důsledky

Rizika a sankce

Jak ARROWS pomáhá (office@arws.cz)

Kybernetický útok na rozvodnou síť v kombinaci se sledováním drony: Útočníci napadnou systémy SCADA ovládající přenos a distribuci, zatímco drony natáčejí umístění zařízení a bezpečnostní protokoly, což umožňuje následnou fyzickou sabotáž. Výsledné výpadky proudu způsobují kaskádová selhání.

Regulatory compliance a zastupování při řešení incidentů: ARROWS pomáhá energetickým operátorům zavádět bezpečnostní rámce v souladu se směrnicí NIS2/NERC CIP, vyvíjí protokoly pro reakci na incidenty splňující požadavky na regulatorní hlášení v povinných lhůtách a zastupuje operátory před dozorovými orgány.

Ransomware útok s únikem dat finanční instituce: Útočníci zašifrují vaše zálohovací systémy a požadují výkupné, přičemž hrozí zveřejněním údajů o klientech. Rozhodnutí o platbě musí splňovat lhůty pro hlášení incidentů dle nařízení DORA, požadavky na oznámení dle GDPR v případě úniku osobních údajů a prověření sankčních seznamů.

Reakce na incidenty a právní poradenství v oblasti sankcí: ARROWS pomáhá finančním institucím dokumentovat rozhodnutí o platbách tak, aby obstála při regulatorní kontrole, provádí právní prověřování útočníků vůči sankčním seznamům v reálném čase a pomáhá připravovat hlášení pro regulátory splňující 24hodinové lhůty dle DORA.

Dezinformační kampaň zaměřená na finanční stabilitu vaší společnosti: Prostřednictvím sociálních médií se šíří nepravdivá tvrzení, že infrastruktura vaší společnosti byla napadena a data zákazníků byla zcizena. Cena akcií výrazně klesne dříve, než stihnete vydat opravné informace. Akcionáři podávají derivátní žaloby.

Governance dokumentace a obhajoba v akcionářských sporech: ARROWS pomáhá dokumentovat činnost statutárních orgánů při dohledu nad kybernetickou bezpečností pro prokázání náležité péče, radí s protokoly pro reakci na dezinformace a mediální strategií a zastupuje členy orgánů v derivátních žalobách akcionářů.

Narušení dodavatelského řetězce ovlivňující více zákazníků: Útočníci napadnou váš software a vloží do něj malware, který zasáhne vaši zákaznickou základnu. Zákazníci podávají nároky s tvrzením, že jste nezavedli adekvátní postupy bezpečného vývoje. Regulátoři vyšetřují, zda dodržujete požadavky na zveřejňování zranitelností.

Řízení rizik dodavatelů a regulatorní obhajoba: ARROWS radí v oblasti bezpečnostních protokolů dodavatelského řetězce splňujících NIS2 a ekvivalentní rámce, pomáhá implementovat standardy životního cyklu bezpečného vývoje a zastupuje vaši společnost před regulátory vyšetřujícími postupy zabezpečení softwaru.

Sledování drony předcházející fyzické sabotáži v kritickém zařízení: Drony jsou po několik dní detekovány při natáčení bezpečnostního perimetru vaší úpravny vody. Následně dojde k fyzické sabotáži, která poškodí kritické vybavení. Regulační orgány zpochybňují, zda jste měli adekvátní fyzická bezpečnostní opatření.

Compliance v oblasti bezpečnosti kritické infrastruktury a reakce na incidenty: ARROWS pomáhá společnostem implementovat směrnici CER / vnitrostátní zákony o kritické infrastruktuře, radí s nasazením systémů detekce dronů a jejich právními aspekty a zastupuje společnosti v regulatorních řízeních po incidentech sabotáže.

Pochopení vašich compliance povinností: Praktický přehled

Určení, které předpisy týkající se hybridních hrozeb se vztahují na vaši organizaci, vyžaduje pochopení více faktorů. Musíte zvážit své průmyslové odvětví, velikost společnosti, geografickou polohu a typy zpracovávaných osobních údajů. Navíc musíte určit, zda jste klasifikováni jako „subjekt kritické hodnoty“ (essential) nebo „důležitý subjekt“ (important).

Společnosti v odvětvích energetiky, telekomunikací, vodohospodářství, finančních služeb, zdravotnictví a digitální infrastruktury čelí nejvyššímu zatížení v oblasti compliance. Pro tato odvětví vyžaduje směrnice EU NIS2, aby střední a velké subjekty implementovaly komplexní rámce kybernetické bezpečnosti. USA ukládají srovnatelné požadavky prostřednictvím odvětvových předpisů, jako jsou NERC CIP a HIPAA.

Geografie hraje významnou roli. Společnosti působící v EU musí dodržovat GDPR bez ohledu na to, kde se nachází jejich sídlo, pokud nabízejí zboží nebo služby rezidentům EU. To vytváří extrateritoriální povinnosti pro mezinárodní společnosti, což znamená, že například americká společnost zpracovávající data evropských zákazníků musí dodržovat požadavky na oznamování incidentů.

Velikost vaší společnosti ovlivňuje intenzitu compliance, přičemž větší organizace čelí přísnějším povinnostem než malé firmy. Malé podniky by však neměly předpokládat, že jsou osvobozeny, protože předpisy se stále častěji vztahují i na ně, pokud působí v kritických odvětvích. Advokátní kancelář ARROWS pomáhá společnostem provádět posouzení compliance a určit, které předpisy se vztahují na jejich konkrétní situaci.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Základní kroky k připravenosti na hybridní hrozby

Budování připravenosti na hybridní hrozby vyžaduje integraci fyzické bezpečnosti, kybernetické bezpečnosti, krizové komunikace a rámců právní compliance do ucelené organizační reakce. Pro většinu organizací to zahrnuje několik vzájemně propojených kroků.

Za prvé, proveďte komplexní posouzení rizik zahrnující fyzické, kybernetické a informační hrozby. NIS2 a ekvivalentní rámce výslovně vyžadují dokumentované posouzení rizik identifikující zranitelnosti a potenciální dopady. Tato posouzení by se měla zabývat scénáři hybridních hrozeb, nikoli pouze izolovanými kybernetickými útoky nebo incidenty s drony.

Za druhé, implementujte vrstvené bezpečnostní kontroly zaměřené na ochranu fyzického perimetru a posílení kybernetické bezpečnosti. Fyzická bezpečnostní opatření musí řešit hrozby ze strany bezpilotních systémů, protože tradiční oplocení perimetru selhává, pokud protivníci využívají letecké platformy. Kybernetické kontroly by se měly rovnoměrně zaměřit na operační technologie (OT) i IT systémy.

Za třetí, vytvořte postupy pro reakci na incidenty s jasnými lhůtami pro regulatorní hlášení. Vaše postupy by měly řešit současnou koordinaci mezi IT, právním oddělením, komunikací a vedením. Předem připravené šablony oznámení a rozhodovací stromy umožňují rychlou reakci splňující zákonné lhůty.

Za čtvrté, udržujte komplexní dokumentaci o bezpečnostních rozhodnutích, posouzeních rizik a činnostech v oblasti správy a řízení (governance). Dokumentace prokazuje, že vaše organizace jednala s náležitou péčí, a slouží jako klíčová obrana v případě incidentu. To je nezbytné, pokud regulátoři později zpochybní, zda jste přijali adekvátní preventivní opatření.

Za páté, zaveďte programy školení a zvyšování povědomí zaměstnanců zaměřené na scénáře hybridních hrozeb. Studie konzistentně ukazují, že sociální inženýrství a phishing zůstávají významnými vektory útoků. Zaměstnanci představují jak zranitelné místo, tak vaši první linii obrany proti dezinformacím.

Složitost implementace těchto opatření při zachování kontinuity provozu je pro většinu organizací výzvou. Advokátní kancelář ARROWS pomáhá společnostem navrhovat rámce compliance, které tyto požadavky řeší, aniž by vytvářely neúnosnou provozní zátěž.

Mezinárodní perspektivy: Jak různé jurisdikce přistupují k hybridním hrozbám

Regulační reakce na hybridní hrozby se v jednotlivých jurisdikcích výrazně liší, což vytváří výzvy pro nadnárodní organizace, které se snaží dosáhnout efektivního a konsolidovaného souladu s předpisy (compliance).

Přístupy Evropské unie kladou důraz na jednotné rámce použitelné ve všech členských státech. Směrnice jako NIS2 a CER stanovují základní požadavky, které musí členské státy EU implementovat do vnitrostátního práva. To vytváří srovnatelnou regulační konzistenci, která odráží geografickou expozici hybridním operacím a uznání skutečnosti, že národní fragmentace vytváří zranitelná místa.

Rámce ve Spojených státech zůstávají více odvětvově specifické a geograficky roztříštěné. Federální předpisy jako NERC CIP a HIPAA stanovují základní požadavky pro konkrétní sektory, zatímco jednotlivé státy si udržují vlastní zákony o kybernetické bezpečnosti. Pro americké společnosti je často jednodušší dodržovat nejpřísnější státní požadavky jako de facto národní standardy.

Přístupy Spojeného království po brexitu přešly z rámců EU, přičemž si zachovaly významnou regulační shodu. Subjekty ve Spojeném království nadále podléhají ekvivalentům GDPR a čelí odvětvovým požadavkům prostřednictvím orgánů, jako je Financial Conduct Authority. Přístup Spojeného království se snaží udržet regulační kompatibilitu s rámci EU a zároveň stanovit nezávislé standardy.

Srovnávací složitost vytváří pro nadnárodní organizace skutečné výzvy. Namísto implementace čtyř samostatných programů compliance budují sofistikované organizace integrované rámce zahrnující nejpřísnější požadavky napříč jurisdikcemi. Advokátní kancelář ARROWS pomáhá nadnárodním společnostem při této konsolidaci a pomáhá identifikovat překrývající se požadavky.

Náš pražský tým pravidelně řeší přeshraniční transakce a záležitosti nadnárodní compliance. Kombinujeme hlubokou znalost evropských právních požadavků se zkušenostmi s poradenstvím mezinárodním klientům pohybujícím se v jurisdikcích USA, Spojeného království a dalších. Pokud vaše organizace čelí hybridním hrozbám zasahujícím do více geografických oblastí, je nezbytné mít právního zástupce obeznámeného se srovnávacími právními povinnostmi.

microFAQ – Právní tipy pro nadnárodní compliance v oblasti hybridních hrozeb

1. Pokud plně dodržujeme požadavky EU NIS2 pro naše evropské provozy, splňuje to automaticky požadavky USA pro naše americká zařízení?
Částečně. NIS2 stanovuje komplexní základy, které často překračují odvětvové požadavky USA (s výjimkou odvětví kritické infrastruktury, kde například NERC CIP ukládá srovnatelnou přísnost). NIS2 se však nezabývá americkými zákony o ochraně osobních údajů na úrovni jednotlivých států (jako je CCPA) ani specifickými průmyslovými požadavky, jako je HIPAA. Vaše strategie compliance by měla mapovat požadavky napříč jurisdikcemi, aby identifikovala mezery, namísto předpokladu, že soulad s NIS2 se přenáší automaticky.

2. Které požadavky jurisdikce bychom měli upřednostnit v případě jejich konfliktu?
Obecně by měly být základem vaší compliance nejpřísnější požadavky, protože splnění nejpřísnějšího rámce obvykle současně splňuje i méně přísné požadavky. Například implementace postupů a lhůt pro ohlašování porušení zabezpečení podle GDPR (72 hodin) často splňuje požadavky na úrovni států USA (které mohou být až 60 dní). Identifikujte jurisdikci s nejpřísnějšími požadavky ovlivňujícími vaši organizaci a vybudujte svůj rámec compliance kolem tohoto standardu.

3. Potřebujeme samostatné pojistné smlouvy pro kybernetická rizika pro každou jurisdikci?
Není to nutné, ale ověřte si, zda vaše pojistka kryje incidenty ve všech příslušných jurisdikcích. Mnoho pojistek pro kybernetická rizika platí globálně, ale podrobnosti o krytí, výluky a ustanovení o regulační obhajobě se liší. Nechte svého pojišťovacího makléře přezkoumat pojistky a výslovně potvrdit krytí pro EU, USA, Spojené království a další relevantní jurisdikce. Dále si ověřte, zda vás pojistitelé budou obhajovat v regulačních řízeních ve všech příslušných jurisdikcích – některé pojistky rozsah obhajoby omezují.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Technologie a vznikající hrozby: AI, deepfakes a vyvíjející se hybridní operace

Technologická vyspělost hybridních operací se s pokrokem AI dramaticky zrychlila. Umělá inteligence umožňuje kybernetické útoky v rozsahu a rychlosti, které dříve vyžadovaly lidské odborné znalosti, spolu s deepfakes, které jsou tak přesvědčivé, že tradiční video ověřování selhává.

Kybernetické útoky řízené AI automatizují průzkum a zneužití, což protivníkům umožňuje rychle identifikovat a kompromitovat zranitelná místa. Technologie deepfake v kombinaci se sociálním inženýrstvím vytváří nové vektory pro obcházení autentizace. Podvodný převod ve výši 25 milionů dolarů provedený prostřednictvím deepfake videohovorů v Hong Kongu ukázal, že samotné rozpoznávání hlasu a obličeje je nedostatečné.

Dezinformace generované umělou inteligencí představují jedinečné výzvy pro detekci a reakci. Tradiční ověřování faktů vycházelo z předpokladu, že nepravdivá tvrzení budou nakonec identifikovatelná prostřednictvím vyšetřování. Pokud algoritmy dokážou generovat přesvědčivé falešné video nebo audio nerozeznatelné od autentického obsahu, tradiční cyklus oprav se hroutí.

Regulační rámce se vyvíjejí, aby dohnaly technologickou realitu. Většina předpisů napsaných v desátých letech 21. století předpokládá obsah generovaný lidmi. Společnosti implementující systémy AI bez vyspělých rámců správy a zabezpečení čelí znásobeným rizikům. Samotné systémy AI se stávají plochou pro útoky a modely mohou být kompromitovány nebo otráveny falešnými tréninkovými daty.

Pro organizace implementující systémy AI to vytváří nové požadavky na správu a řízení (governance). Členové statutárních orgánů nyní čelí potenciální odpovědnosti, pokud jsou systémy AI nasazeny bez adekvátních bezpečnostních kontrol. Advokátní kancelář ARROWS pomáhá společnostem při navrhování rámců správy AI, které současně řeší bezpečnost, compliance a důsledky v oblasti odpovědnosti.

Budování rámce reakce vaší organizace

Připravenost na hybridní hrozby vyžaduje posun od tradičních izolovaných přístupů k bezpečnosti. Namísto oddělených týmů pro kybernetickou bezpečnost, oddělení krizové komunikace a provozu fyzické bezpečnosti integruje efektivní reakce na hybridní hrozby tyto funkce operativně i právně.

Zaveďte integrovanou správu reakce na incidenty, kde týmy kybernetické bezpečnosti, právní poradci a vrcholové vedení koordinují v reálném čase. Mnoho organizací udržuje „war rooms“ umožňující rychlé mezifunkční rozhodování. Právní složka by měla zahrnovat poradenství schopné v reálném čase podporovat rozhodování týkající se regulačních povinností a dodržování sankcí.

Implementujte plánování kontinuity provozu (BCP) specificky zaměřené na hybridní scénáře. Obecné plány kontinuity provozu v hybridních incidentech často selhávají, protože neřeší koordinované kyberneticko-fyzické útoky. Cvičení by měla simulovat scénáře, kdy kybernetické útoky vyřadí komunikaci právě ve chvíli, kdy dojde k fyzickým incidentům.

Navrhněte komunikační strategie řešící reakci na dezinformace. Mnoho organizací postrádá předem stanovené protokoly pro opravu falešných narativů šířených prostřednictvím sociálních médií. V době, kdy organizace vydají opravy, algoritmické zesílení již doručilo falešná tvrzení milionům lidí.

Zajistěte, aby pojištění kybernetických rizik řešilo vznikající scénáře hybridních hrozeb. Standardní pojistky pro kybernetická rizika často vylučují fyzické škody, sabotáže a terorismus. Pečlivě si projděte své pojištění, abyste se ujistili, že se krytí vztahuje i na hybridní scénáře a zahrnuje náklady na obhajobu při regulačním vyšetřování.

Advokátní kancelář ARROWS pomáhá společnostem navrhovat tyto integrované rámce a zajišťuje, aby splňovaly regulační požadavky a zároveň zůstaly provozně funkční. Poskytli jsme poradenství řadě společností při vytváření protokolů pro reakci na incidenty a plánů kontinuity provozu řešících scénáře hybridních hrozeb.

Manažerské shrnutí

Konvergence operací s drony, kybernetických útoků a dezinformačních kampaní představuje novou kategorii hrozeb, která vyžaduje integrovanou organizační reakci. Hybridní operace se současně zaměřují na fyzickou infrastrukturu, digitální systémy a informační prostředí. Tradiční izolované přístupy k bezpečnosti nedokážou tyto kaskádové poruchy řešit.

Regulační rámce se rychle změnily a vytvořily osobní odpovědnost členů představenstev a vrcholového managementu za řízení kybernetické bezpečnosti. Směrnice NIS2, nařízení DORA a GDPR nyní činí řídicí orgány osobně odpovědnými za selhání v oblasti souladu s předpisy o kybernetické bezpečnosti. Dokumentace bezpečnostních rozhodnutí na úrovni statutárních orgánů se stala kritickým důkazem v regulačních šetřeních.

Časové osy pro reakci na incidenty se dramaticky zkrátily, což vyžaduje právní koordinaci v reálném čase během krizí. Oznámení o porušení zabezpečení podle GDPR musí proběhnout do 72 hodin, zatímco nařízení DORA vyžaduje hlášení finančních subjektů ještě rychleji. Organizace, které postrádají předem stanovené protokoly, riskují zmeškání regulačních lhůt nebo porušení sankčních zákonů.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Dezinformační kampaně představují systémové finanční riziko, které si zaslouží zvláštní pozornost v rámci správy a řízení společnosti. Deepfakes s podporou AI umožňují falešným narativům zasáhnout miliony lidí během několika hodin, což ovlivňuje chování trhu. Společnosti napříč odvětvími zaznamenaly v důsledku dezinformačních incidentů významné dopady na svou tržní hodnotu.

Budování účinné obrany proti hybridním hrozbám vyžaduje integraci kybernetické bezpečnosti, fyzické bezpečnosti, právního compliance a schopností krizové komunikace. Kompartmentalizované přístupy, kde týmy pracují nezávisle, selhávají v okamžiku, kdy incidenty vyžadují současnou koordinaci. Efektivní připravenost prokazuje integraci těchto funkcí jak na provozní úrovni, tak v rámci dozoru nad správou a řízením.

Závěr článku

Hybridní válka přešla z teoretické geopolitické obavy do provozní reality ovlivňující korporace napříč odvětvími. Integrace sledování drony, kybernetických útoků a dezinformačních kampaní vytváří rizikové profily, které tradiční bezpečnostní přístupy řeší nedostatečně. Společnosti působící v kritické infrastruktuře a finančních službách čelí nejvyšší míře expozice.

Regulační reakce se dramaticky zrychlila a zavedla komplexní povinnosti v oblasti compliance podložené značnými sankcemi. Regulační lhůty pro reakci na incidenty zkracují rozhodovací okna na dny nebo hodiny, což vyžaduje předem naplánované protokoly. Správa kybernetické bezpečnosti na úrovni statutárních orgánů přešla z kompetence IT oddělení do sféry klíčové fiduciární odpovědnosti.

Pro vaši organizaci vyžaduje budování efektivní připravenosti na hybridní hrozby integraci fyzické bezpečnosti, kybernetické bezpečnosti, krizové komunikace a právního compliance. Tato integrace vyžaduje odborné znalosti zahrnující více domén, přičemž techničtí specialisté a právní poradci musí spolupracovat na provozní úrovni.

Advokátní kancelář ARROWS pravidelně radí společnostem v oblasti připravenosti na hybridní hrozby a pomáhá organizacím zavádět rámce správy a řízení. Pomáháme s posuzováním rizik, vývojem programů pro dodržování regulačních předpisů a zastupováním během regulačních šetření. Ať už vaše organizace čelí evropským nebo nadnárodním požadavkům na compliance, pomůžeme vám efektivně se orientovat v této složité problematice.

Náš tým kombinuje hluboké právní znalosti s praktickým pochopením toho, jak operace kybernetické bezpečnosti skutečně fungují. Zastupovali jsme klienty při incidentech a spolupracovali se statutárními orgány na vývoji rámců správy a řízení. Jako přední pražská advokátní kancelář rozumíme tomu, jak různé jurisdikce přistupují k regulaci hybridních hrozeb.

Pokud vaše organizace zaznamenala hybridní hrozby nebo vyvíjí rámce připravenosti, kontaktujte office@arws.cz. Můžeme vám pomoci posoudit aktuální zranitelná místa a navrhnout rámce compliance řešící regulační požadavky specifické pro vaše odvětví.

1. Jaké právní povinnosti má moje společnost, pokud je nad našimi objekty zjištěno sledování drony?
Vaše povinnosti závisí na typu objektu a jurisdikci. Pokud provozujete kritickou infrastrukturu (energetika, vodní hospodářství, telekomunikace), regulační rámce (například národní zákony o ochraně kritické infrastruktury) obvykle vyžadují hlášení incidentů s drony příslušným orgánům a implementaci detekčních systémů. Měli byste dokumentovat veškerá pozorování, informovat orgány činné v trestním řízení a provést bezpečnostní posouzení identifikující, jaké informace mohl protivník shromáždit. Kontaktujte office@arws.cz pro projednání ohlašovacích povinností specifických pro váš objekt a jurisdikci.

2. Pokud během incidentu s dronem dojde ke kybernetickému útoku, které požadavky na regulační oznámení mají prioritu?
Obě oznámení mohou být vyžadována současně. Regulační lhůty obvykle běží souběžně – pokud zjistíte kybernetický útok v 9:00, vaše lhůta pro oznámení podle GDPR nebo DORA začíná okamžitě, i když incidenty s drony stále probíhají. Váš protokol pro reakci na incidenty by měl řešit koordinaci více regulačních oznámení současně, nikoli upřednostňovat jedno před druhým. Pečlivě dokumentujte časovou osu vyšetřování, protože regulátoři budou později zkoumat, zda jste adekvátně prošetřili všechny složky hybridního incidentu.

3. Může dezinformace o postupech kybernetické bezpečnosti naší společnosti vyvolat regulační odpovědnost?
Potenciálně ano. Předpisy se stále více zaměřují na to, zda společnosti neuvádějí věcně zavádějící prohlášení o svých bezpečnostních postupech. Pokud dezinformace nepravdivě tvrdí, že vaše společnost zaznamenala narušení bezpečnosti, regulátoři mohou zkoumat, zda vaše společnost adekvátně uvedla věci na pravou míru, aby zabránila manipulaci s trhem. Případně, pokud byla vlastní sdělení vaší společnosti o bezpečnostních postupech zavádějící nebo nadhodnocená (tzv. cyberwashing), mohou regulátoři zjišťovat, zda jste neporušili předpisy vyžadující přesné zobrazení stavu bezpečnosti. Proaktivní reakce na dezinformace a přesné zveřejňování informací o bezpečnosti vás před těmito riziky chrání.

4. Musí naše společnost zveřejňovat incidenty hybridních hrozeb investorům nebo veřejnosti?
Informační povinnosti závisí na statusu vaší společnosti a významnosti incidentů. Veřejně obchodované společnosti musí zveřejňovat významné incidenty v oblasti kybernetické bezpečnosti (např. SEC v USA nebo podle nařízení o zneužívání trhu v EU) – regulační výklad rozšířil posuzování významnosti tak, aby zahrnovalo incidenty ovlivňující kontinuitu provozu nebo konkurenční výhodu. I soukromé společnosti mohou mít informační povinnosti vůči zákazníkům, obchodním partnerům nebo pojistitelům v závislosti na smluvních požadavcích. V případě pochybností konzultujte informační povinnosti vztahující se na vaši situaci na office@arws.cz.

5. Jak naše kybernetické pojištění řeší hybridní incidenty kombinující kybernetické útoky, sledování drony a dezinformace?
Rozsah krytí se mezi jednotlivými pojistkami výrazně liší. Standardní kybernetické pojistky kryjí kybernetické útoky, ale mohou vylučovat fyzické škody způsobené sabotáží nebo incidenty s drony (výluky „silent cyber“). Krytí dezinformací zůstává u většiny produktů kybernetického pojištění vzácné. Prověřte svou pojistku zejména s ohledem na: krytí kybernetického vydírání (relevantní, pokud po hybridních incidentech následují požadavky na výkupné), krytí přerušení provozu řešící provozní výpadky způsobené kombinovanými kyberneticko-fyzickými útoky, krytí krizového řízení a public relations podporující reakci na dezinformace a krytí nákladů na právní obhajobu při šetřeních dozorových úřadů po incidentech. Nechte svého makléře prověřit mezery v krytí ve spolupráci s office@arws.cz pro identifikaci vašich pojistných potřeb.

6. Jakou interní dokumentaci bychom měli vést ohledně našich aktivit v oblasti připravenosti na hybridní hrozby?
Dokumentujte veškerá hodnocení rizik, procesy rozhodování o bezpečnosti, činnosti v rámci správy a řízení (governance) zaměřené na dohled nad kybernetickou bezpečností, protokoly reakce na incidenty a simulovaná cvičení (tabletop exercises) testující postupy reakce na hybridní hrozby. Tato dokumentace prokazuje vynaložení náležité péče, pokud později dojde k incidentům a regulační orgány budou zpochybňovat vaši připravenost. Zásadní je dokumentovat konzultace s právními poradci ohledně bezpečnostních rozhodnutí – tato dokumentace často podléhá advokátnímu tajemství (attorney-client privilege), což chrání citlivé informace před požadavky regulačních orgánů. Samotné záznamy o činnostech při reakci na incidenty veďte odděleně, protože ty nemusí požívat ochrany v rámci advokátního tajemství.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je proto nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme žádnou odpovědnost za případné škody či komplikace vzniklé samostatným užitím informací z tohoto článku bez naší předchozí individuální právní konzultace a odborného posouzení. Každý případ vyžaduje řešení na míru, proto nás neváhejte oslovit.