Prediktivní systémy obrany a preventivní útoky podle mezinárodního práva

JUDr. Jakub Dohnal, Ph.D., LL.M.
JUDr. Jakub Dohnal, Ph.D., LL.M.
12.3.2026 | ARROWS advokátní kancelář

Firmy s mezinárodní působností a korporace se stále častěji pohybují v prostředí konfliktů a kybernetických hrozeb. Pokud zvažujete opatření proti potenciálním útokům, musíte znát právní hranice prediktivní obrany. V tomto článku vysvětlíme střet nutné obrany a mezinárodních sankcí a poradíme, jaké kroky jsou udržitelné bez rizika drakonických trestů.

Fotografie ukazuje právníka / odborníka na právní hranice prediktivní obrany.

Rychlé shrnutí

  • Mezinárodní i vnitrostátní právo se na preventivní akce dívá přísně. Koncept tzv. anticipatory self-defense je v mezinárodním právu vyhrazen primárně státům, zatímco soukromé subjekty se řídí přísnými pravidly nutné obrany.
  • Podnikatelé musí rozlišovat mezi legální obranou a nelegální agresí. Zatímco odvracení přímo hrozícího útoku je přípustné, útočné preventivní kybernetické operace jsou v ČR i EU nelegální.
  • Compliance a právní posudky jsou nutností. Aby vaše společnost nebyla vystavena riziku trestní odpovědnosti právnických osob, měla by svá bezpečnostní opatření konzultovat s odborníky již v přípravné fázi.

Co se rozumí pod prediktivní obranou v právním kontextu

Pojem prediktivní systém obrany vychází z konceptu, kdy se subjekt snaží jednat dříve, než se konkrétní hrozba plně projeví. V mezinárodním právu veřejném jde o takzvanou anticipatory self-defense, tedy právo státu jednat v sebeobraně poté, co je jasné, že ozbrojený útok bezprostředně hrozí.

To, co se v geopolitice nazývá preventivním úderem, je v soukromém právu často kvalifikováno jako trestný čin. Rozdíl mezi aktivní obranou a nelegálním protiútokem je právně rozhodující, a právě zde mnohé společnosti chybují, když se domnívají, že mohou vrátit úder bez rizika.

Právníci z ARROWS advokátní kanceláře řeší podobné situace denně a umí vám pomoci odlišit legitimní obranu od jednání, které by mohlo být považováno za porušení zákonů. Pomůžeme vám nastavit procesy tak, aby vaše obrana zůstala v mezích českého trestního zákoníku i legislativy EU.

Kdy je sebeobrana legitimní

Právní základ pro sebeobranu států proti útoku najdete v čl. 51 Charty OSN. Pro soukromé firmy se však uplatňuje primárně vnitrostátní právo, v České republice konkrétně § 29 trestního zákoníku o nutné obraně. Podle tohoto ustanovení čin jinak trestný, kterým někdo odvrací přímo hrozící nebo trvající útok na zájem chráněný trestním zákonem, není trestným činem. Klíčová je zde bezprostřednost, kdy útočník již útočí nebo se k tomu evidentně chystá.

Pokud se pokusíte odůvodnit své jednání pouze hypotetickým rizikem v budoucnu, nejde o nutnou obranu a vystavujete se plné trestní i hmotné odpovědnosti. V takovém případě hrozí, že vaše preventivní akce bude posouzena jako neoprávněný útok.

Související otázky k pojetí sebeobrany

1. Jak dlouho můžu jednat v sebeobraně?
Nutná obrana musí trvat jen po dobu, kdy útok přímo hrozí nebo trvá. Jakmile je útok ukončen, jakékoli další jednání vůči útočníkovi je již považováno za mstu nebo nový útok, což je právně nepřípustné.

2. Musí být útok fyzický?
Nikoli, v moderním právu včetně českého se institut nutné obrany vztahuje i na útoky proti majetku, datům nebo kybernetické bezpečnosti. Nicméně způsob obrany proti kyberútoku nesmí být zcela zjevně nepřiměřený způsobu útoku.

3. Musím nejdřív informovat státní orgány?
U nutné obrany jakožto bezprostřední reakce tato povinnost neplatí. U preventivních opatření však může být povinnost hlásit incidenty, například dle zákona o kybernetické bezpečnosti Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Prediktivní obrana: Kde končí právo a začíná zločin

Zde se dostáváme k nejpalčivějšímu bodu, kdy máte indicie, že vás konkurent nebo zločinecká skupina plánuje napadnout. Chcete jednat dřív a eliminovat hrozbu v zárodku, což z pohledu strategie zní logicky, ale z pohledu práva jde o extrémně riskantní území.

Anticipační sebeobrana a preventivní útok

Mezi těmito pojmy existuje zásadní právní rozdíl:

  • Legitimní anticipační obrana: Útok ještě nezačal, ale je bezprostředně hrozící. Příkladem je automatizovaný systém, který detekuje spuštění škodlivého kódu a zablokuje jej v milisekundách před dopadem.
  • Preventivní útok (hack-back): Spočívá na předpokladu, že by útok mohl nastat v budoucnu, nebo jde o protiútok na infrastrukturu útočníka s cílem jej vyřadit. Toto jednání je pro soukromé subjekty v ČR i většině zemí NATO nelegální.

V praxi to znamená, že pokud máte informace o útoku v budoucnu, nemůžete server preventivně napadnout, ale pouze posílit své firewallové štíty a informovat policii. Překročení této hranice znamená trestní odpovědnost.

Související otázky k prediktivní obraně

1. Co se počítá za konkrétní hrozbu?
Konkrétní hrozba musí být reálná a bezprostřední. Vágní e-mailová výhrůžka zpravidla nestačí k ospravedlnění agresivní obrany, naopak detekce průniku do sítě opravňuje k aktivním krokům.

2. Jaké druhy preventivních akcí jsou povoleny?
Povolené je zvýšení bezpečnosti (hardening), nasazení pastí v rámci vlastní infrastruktury (honeypots), sběr dat o hrozbách z veřejných zdrojů a právní kroky. Záměrné poškození cizího systému je nepřípustné.

3. Pokud jednám v nutné obraně, mohu být žalován?
Ano, civilní žaloba je možná vždy. Důkazní břemeno, že byly splněny podmínky nutné obrany a že obrana nebyla zcela zjevně nepřiměřená, leží na vás, proto je zásadní dokumentace incidentu.

Právní rámec a mezinárodní regulace

Pokud vaše firma operuje přeshraničně, situace se komplikuje kolizí právních řádů, zejména v regionech s nestabilní bezpečnostní situací. Porozumění právnímu rámci je nezbytné také pro subjekty spadající pod regulaci směrnice NIS2, nařízení DORA nebo pro kritickou infrastrukturu.

V kontextu roku 2026 jsou důležité především trestní zákoník ČR, nový zákon o kybernetické bezpečnosti transponující NIS2 a nařízení DORA pro finanční sektor. Při obraně musíte dbát také na ochranu osobních údajů dle GDPR a respektovat sankční režimy dle Charty OSN.

Jak se vyhnout právnímu riziku

Velmi důležitým krokem je právní audit bezpečnostních procesů, který může být zásadní pro vyvinění se v rámci trestní odpovědnosti právnických osob. Pokud se později objeví spor či vyšetřování, existence zpracovaných směrnic a postupů konzultovaných s advokáty hraje ve váš prospěch. ARROWS advokátní kancelář vám poskytne právní analýzu a připraví odborné stanovisko, které definuje mantinely, kam až může váš bezpečnostní tým zajít.

Obraťte se na naše specialisty:

Praktické dopady pro vaši firmu

Pokud vaše organizace zvažuje nasazení aktivních obranných systémů, je nezbytné provést důkladné právní posouzení. V praxi doporučujeme následující kroky:

  • Identifikace aktiv: Definujte, co chráníte a jaké nástroje k tomu technicky používáte.
  • Právní review: Nechte posoudit, zda nástroje nenaplňují znaky trestného činu.
  • Nastavení procesů: Určete, kdo schvaluje aktivaci obranných opatření v krizové situaci.

Právníci z ARROWS advokátní kanceláře díky síti ARROWS International umí propojit vaši problematiku s experty v jednotlivých jurisdikcích. To je klíčové zejména v případech, kdy útok přichází ze zahraničí.

Co hrozí a jak pomáhá ARROWS advokátní kancelář

Rizika a sankce

Jak pomáhá ARROWS (office@arws.cz)

Trestní stíhání pro kybernetické trestné činy: Pokud váš preventivní zásah zasáhne cizí infrastrukturu, hrozí stíhání dle § 230 TZ (Neoprávněný přístup k počítačovému systému).

Obhajoba v trestním řízení a compliance. Nastavíme mantinely vaší obrany tak, aby byla legální.

Sankce ze strany regulátorů (NÚKIB, ČNB): Nesprávně nahlášený incident nebo neadekvátní reakce může vést k vysokým pokutám dle zákona o kybernetické bezpečnosti.

Regulatorní poradenství. Pomáháme s hlášením incidentů a nastavením procesů tak, abyste splnili požadavky NIS2/DORA.

Náhrada škody a civilní spory: Pokud při obraně způsobíte škodu třetí straně, může po vás být vymáhána náhrada škody v plné výši.

Zastupování v soudních sporech. Analyzujeme přiměřenost vaší obrany a minimalizujeme finanční dopady.

Porušení mezinárodních sankcí: Pokud v rámci obrany jednáte se subjekty na sankčních seznamech, hrozí zmrazení majetku a blokace účtů.

Sankční compliance. Prověřujeme vaše obchodní partnery a postupy optikou aktuálních sankčních seznamů EU a OFAC.

Kdy se nacházíte v šedé zóně

Právo často nestíhá technologický vývoj a existují situace, kde není judikatura ustálená. Do této kategorie spadá použití sledovacích souborů k lokalizaci dat, sběr informací na Dark Webu nebo automatizované protiakce botů proti botům. V těchto situacích neexistuje jednoduchá odpověď, protože vždy záleží na technickém provedení a intenzitě zásahu do práv třetích osob.

Jak ARROWS pomáhá v šedé zóně
  • Právní stanoviska k IT nástrojům: Posoudíme, zda váš software pro aktivní obranu je v ČR legální.
  • Compliance program: Vytvoříme systém vnitřních předpisů, což je vyžadováno i zákonem o trestní odpovědnosti právnických osob.
  • Školení managementu: Zajistíme, aby rozhodující osoby věděly, kdy dát pokyn k odpojení a kdy volat právníka.

Kybernetika, data a obchodní zpravodajství

S rozvojem technologií se koncept obrany rozšiřuje i do oblastí datové ochrany a zpravodajství, což přináší nové právní výzvy. V EU platí konsenzus, že hack-back je vyhrazen státním složkám a pro soukromé firmy je nelegální. Vaše obrana musí být striktně defenzivní, tedy fungovat jako štít, nikoliv jako meč.

Při sběru informací o hrozbách (Threat Intelligence) často zpracováváte IP adresy, které jsou dle GDPR osobními údaji. Je nutné aplikovat oprávněný zájem správce na zajištění bezpečnosti a provést Balanční test, s čímž vám pomohou naši experti.

Dle nového zákona o kybernetické bezpečnosti mají regulované subjekty povinnost hlásit významné incidenty do 24 hodin. ARROWS advokátní kancelář vám pomůže s přípravou krizové komunikace s NÚKIB a právním hodnocením incidentu před jeho nahlášením.

Závěr

Problematika prediktivní obrany a preventivních akcí je minovým polem, kde jeden špatný krok může znamenat přechod z role oběti do role pachatele trestného činu. Hranice mezi nutnou obranou a nelegálním útokem je tenká a v digitálním světě se měří na milisekundy.

Právníci z ARROWS advokátní kanceláře vám pomohou nastavit bezpečnostní strategie tak, aby byly efektivní, ale zároveň právně průstřelné. Pokud řešíte podobnou situaci a potřebujete odborné právní posouzení, office@arws.cz je zde pro vás.

FAQ – Nejčastější právní dotazy k prediktivním systémům obrany

1. Jaký je rozdíl mezi legální obranou a nelegálním preventivním útokem?
Legální obrana reaguje na útok, který přímo hrozí nebo trvá, a zbavuje vás trestní odpovědnosti. Nelegální preventivní útok směřuje proti hrozbě, která není bezprostřední, a může vás uvrhnout do trestního stíhání.

2. Musím kontaktovat státní orgány, než se bráním?
Pokud jde o bezprostřední odvrácení útoku, nemusíte čekat na povolení. Pokud ale spadáte pod zákon o kybernetické bezpečnosti, máte následnou ohlašovací povinnost vůči NÚKIB, s jejímž nastavením vám pomůže ARROWS.

3. Co když při obraně omylem poškodím cizí data?
Pokud jste jednali v mezích nutné obrany nebo krajní nouze, zpravidla nejste trestně odpovědní a často ani povinni hradit škodu. Posouzení přiměřenosti je však složité a vždy závisí na konkrétním případu.

4. Chrání mě pojištění odpovědnosti, pokud překročím meze obrany?
Zpravidla ne, protože pojištění odpovědnosti obvykle obsahuje výluky na úmyslné trestné činy nebo hrubou nedbalost. Prevence a právní konzultace jsou proto levnější než následky zamítnutého pojistného plnění.

5. Je v ČR legální používat software pro aktivní protiútok?
Ne, použití softwaru s úmyslem narušit funkci cizího počítačového systému je trestné. Legální jsou pouze nástroje pasivní obrany, detekce, honeypots v rámci vlastní sítě a sběr informací z veřejných zdrojů.

6. Jak se ARROWS podílí na zajišťování bezpečnosti?
ARROWS advokátní kancelář neposkytuje technické IT služby, ale zajišťuje kompletní právní služby od compliance přes smluvní ošetření odpovědnosti až po krizové řízení a zastupování před orgány.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.

Čtěte také