Hybridní války, dezinformace a mezinárodní právní rámec Orientace v právních rizicích a odpovědnosti v době hybridních konfliktů

JUDr. Jakub Dohnal, Ph.D., LL.M.
JUDr. Jakub Dohnal, Ph.D., LL.M.
25.3.2026 | ARROWS advokátní kancelář

Hybridní hrozby kombinují vojenské i nevojenské prostředky od kyberútoků po dezinformace. Pokud operujete v Evropě, čelíte systematickému tlaku, který nemusí vypadat jako vojenský útok. Právníci z ARROWS advokátní kanceláře vám pomohou pochopit právní rizika a připravit účinnou obranu, protože vaše společnost může být cílem, aniž by si to uvědomila.

Fotografie ukazuje právníka při konzultaci ohledně právní rizika hybridních hrozeb.

Rychlé shrnutí

  • Hybridní hrozby nejsou jen vojenským problémem – zahrnují dezinformační kampaně, kyberútoky a manipulaci s veřejným míněním, které mohou destabilizovat váš byznys a pověst.
  • Mezinárodní právní rámec je složitý – zatímco  zakazuje vojenskou agresi, státy se mohou bránit v režimu sebeobrany. Definice „ozbrojeného útoku“ v kyberprostoru jsou však stále předmětem výkladu a vyvíjející se judikatury.
  • Česká a evropská legislativa je přísná – povinnosti dle  (implementované v novém zákoně o kybernetické bezpečnosti),  a dalších předpisů se vztahují na široké spektrum společností. Hrozí vysoké správní tresty a přímá odpovědnost statutárních orgánů.
  • Příprava a právní ochrana jsou klíčové – bez strategické přípravy a compliance může dezinformační útok či kybernetický incident vážně poškodit vaši firmu, její pověst a finanční hodnotu.

Co jsou hybridní hrozby a proč by vás měly zajímat

Hybridní hrozby představují komplexní druh bezpečnostní výzvy, kterou si dlouhodobě uvědomují především státy a vojenští stratégové, ale v praxi se stávají zásadním problémem soukromých společností. Jde o kombinaci vojenských a civilních nástrojů, informačních operací, kybernetických útoků a ekonomického nátlaku. Tyto kampaně často míří „pod práh“ toho, co by mezinárodní společenství jednoznačně považovalo za ozbrojenou agresi.

Útočník se přitom snaží využít slabiny cíle, zamaskovat své aktivity, znesnadnit interpretaci událostí a paralyzovat rozhodovací proces napadené strany. Pro soukromé společnosti to znamená, že se mohou stát terčem bez jasné identifikace útočníka a bez možnosti okamžitě a jednoduše prokázat původce škody.

Vaše společnost nemusí čelit přímému vojenskému útoku, ale může být zasažena informačním útokem, kdy se na sociálních sítích objevují lži o vašem produktu nebo integritě vedení. 

Takové kampaně mohou být financovány ze zahraničí a koordinovány s kybernetickými útoky. Právníci z ARROWS advokátní kanceláře se s takovými případy setkávají a umí vám pomoci s nastavením právní ochrany.

Struktura DIMEFIL: jak se hybridní hrozby prosazují

Aby bylo jasné, s čím vším se při hybridní kampani můžete potýkat, používá se v bezpečnostní praxi koncept DIMEFIL. Jde o zkratku představující klíčové domény, které hybridní útočník typicky kombinuje. Porozumění těmto dimenzím vám pomůže pochopit rizika pro vaši společnost a oblasti vyžadující právní ochranu.

První dimenzí je Diplomacie a politika, druhou Informace zahrnující sociální sítě, třetí Vojenské prostředky a čtvrtou Ekonomika v podobě sankcí či nátlaku. Pátou dimenzí jsou Finance a šestou Zpravodajství a Právo, což zahrnuje zneužívání právních systémů k oslabení protivníka.

Pokud je vaše společnost součástí kritické infrastruktury nebo „regulované služby“, jako je energetika, zdravotnictví či bankovnictví, je vůči kombinaci těchto nástrojů zvlášť zranitelná. Vztahují se na ni proto přísné regulatorní požadavky vyplývající zejména ze zákona o kybernetické bezpečnosti.

Související otázky k hybridní hrozbě:

1. Kdo jsou typičtí pachatelé hybridních hrozeb?
Státní aktéři (často spojováni s Ruskou federací, Čínou či Íránem), ale také nestátní skupiny, hacktivisté a zločinecké organizace najímané státy (tzv. proxy aktéři). Právníci z ARROWS advokátní kanceláře mají zkušenosti s řešením dopadů těchto útoků a právním zajištěním důkazů pro účely náhrady škody či pojištění.

2. Jak poznám, že jsem cílem hybridní hrozby?
Varovnými signály mohou být koordinované útoky na vaši pověst na sociálních sítích, opakované a sofistikované kybernetické incidenty (DDoS, phishing), negativní články v dezinformačních médiích bez reálného základu či fyzické incidenty v provozech.

3. Jaké právní kroky mohu podniknout, pokud zjistím hybridní útok?
To závisí na povaze útoku – kybernetické incidenty musíte hlásit NÚKIB (dle zákona o kybernetické bezpečnosti) a v případě úniku osobních údajů ÚOOÚ. Dezinformace lze řešit občanskoprávní cestou (ochrana pověsti) či trestním oznámením. ARROWS advokátní kancelář vám zajistí kompletní právní podporu a krizové řízení.

Dezinformace jako součást hybridních hrozeb

V hybridní logice dezinformace nejsou náhodným jevem, ale součástí strategické kampaně. Dezinformace se obvykle chápe jako verifikovatelně nepravdivá nebo zavádějící informace, která je vytvářena za účelem hospodářského prospěchu nebo podvedení veřejnosti. Liší se od tzv. misinformací, což jsou neúmyslné chyby, zatímco zde jde o úmyslný útok.

V právním smyslu se s regulací dezinformací setkáváme zejména v právu EU a v českém právu, kde jsou postihovány extrémní formy prostřednictvím trestního zákoníku. Patří sem například šíření poplašné zprávy nebo podněcování k nenávisti, případně občanský zákoník a ochrana osobnosti a pověsti právnické osoby.

Vaše společnost čelí riziku, že se o ní budou šířit falešné informace ovlivňující obchodní tržby, pověst a hodnotu akcií. Právníci z ARROWS advokátní kanceláře řeší takové případy běžně a pomáhají klientům s právní ochranou pověsti a efektivním uplatňováním mechanismů „notice and action“ vůči online platformám.

Jak dezinformace zneužívají algoritmy a digitální infrastrukturu

Velké online platformy používají algoritmy, které často privilegují obsah vyvolávající silné emoce. Evropská unie proto přijala Akt o digitálních službách (DSA), který je v roce 2026 plně účinný a vyžaduje od velkých platforem, aby analyzovaly systémová rizika svých služeb a přijímaly zmírňující opatření.

Pokud vaše společnost čelí dezinformačnímu útoku na sociálních sítích, právníci z ARROWS advokátní kanceláře mohou využít nástrojů, které DSA a české právo nabízí. Cílem je vymáhání rychlého zákroku proti nezákonnému obsahu a ochrana zájmů klienta.

Související otázky k dezinformacím:

1. Jaký právní nástroj mohu použít, pokud se na sociální síti šíří lež o mé firmě?
Můžete využít ochranu názvu a pověsti právnické osoby podle § 135 zákona č. 89/2012 Sb., občanský zákoník, podat nahlášení platformě (využít mechanismus dle DSA) nebo iniciovat předběžné opatření soudu.

2. Mohu zažalovat autora dezinformace?
Ano. Pokud jde o fyzickou osobu ve vedení firmy, může jít o trestný čin pomluvy (§ 184 trestního zákoníku). U firmy jde o civilní žalobu na ochranu pověsti, kde lze požadovat odstranění závadného stavu, omluvu a přiměřené zadostiučinění (i v penězích). V závažných případech hrozí pachateli postih za šíření poplašné zprávy (§ 357 trestního zákoníku).

3. Co když dezinformace pochází ze zahraničí a nemohu zjistit autora?
Přeshraniční vymáhání je složité, ale možné. Naše síť ARROWS International vám pomůže s právními kroky v jurisdikcích EU i mimo ně. Často je však efektivnější cílit na platformy, které obsah hostují, a využít regulační nástroje.

Mezinárodní právní rámec: co dovoluje a zakazuje

Mezinárodní právo v oblasti hybridních konfliktů naráží na limity definic z 20. století. Charta OSN (čl. 2 odst. 4) zakazuje hrozbu silou nebo použití síly proti územní celistvosti nebo politické nezávislosti jakéhokoli státu.

Článek 51 Charty OSN přiznává státům „přirozené právo na individuální nebo kolektivní sebeobranu“, avšak pouze v případě, že dojde k ozbrojenému útoku.

Problém v roce 2026 stále spočívá v tom, že kybernetické útoky a dezinformační kampaně často nedosahují intenzity „kinetického“ ozbrojeného útoku. Nelze na ně proto automaticky reagovat vojenskou silou. Expertní skupiny se snaží tato pravidla vykládat pro kyberprostor, ale konsensus mezi státy se hledá obtížně.

Úloha Rady bezpečnosti OSN a NATO

Rada bezpečnosti OSN je v otázkách hybridních hrozeb často paralyzována právem veta stálých členů. Proto je pro ČR klíčové členství v NATO. Severoatlantická aliance uznala, že i kybernetický útok nebo hybridní kampaň může za určitých okolností vést k aktivaci článku 5 Washingtonské smlouvy. NATO má vypracované strategie, což poskytuje ČR určitou míru institucionální ochrany.

Mezinárodní humanitární právo

Pokud hybridní konflikt přeroste v ozbrojený konflikt, aplikuje se mezinárodní humanitární právo. To platí i pro kybernetické operace v rámci konfliktu, kdy útoky nesmí cílit na civilní infrastrukturu či civilní obyvatelstvo. Právníci z ARROWS řeší tyto otázky v kontextu sankčních režimů a compliance pro firmy obchodující v rizikových oblastech.

Česká a evropská legislativa: co se změnilo pro vaši firmu

V roce 2026 je v České republice plně etablován nový legislativní rámec kybernetické bezpečnosti, který vychází ze směrnice EU 2022/2555 (NIS2). Tento rámec zásadně rozšířil okruh povinných subjektů a zpřísnil sankce. Zákon o kybernetické bezpečnosti (ZKB) nyní dopadá na tisíce českých firem.

Pokud podnikáte v energetice, dopravě, bankovnictví či digitální infrastruktuře, pravděpodobně spadáte do režimu regulace jako subjekt zásadní nebo důležitý.

Klíčovou změnou je odpovědnost vrcholového vedení. Statutární orgány jsou přímo odpovědné za schvalování opatření k řízení kybernetických rizik a dohled na jejich plnění. Nelze se již vymlouvat na neznalost IT. Nečinnost může být považována za porušení péče řádného hospodáře.

Sankce a vymáhání práva

Nový zákon o kybernetické bezpečnosti zavedl vysoké pokuty za nedodržení povinností. U zásadních subjektů může pokuta dosáhnout až 10 000 000 EUR nebo 2 % z celkového celosvětového ročního obratu. U důležitých subjektů je strop 7 000 000 EUR nebo 1,4 % obratu.

Pokud nedojde k nápravě ani po opakovaných výzvách úřadu, může dojít k dočasnému pozastavení platnosti certifikace nebo zákazu výkonu řídící funkce pro konkrétní fyzickou osobu.

Právníci z ARROWS advokátní kanceláře provádějí pro klienty GAP analýzy, nastavují interní směrnice a připravují vedení společnosti na plnění jejich zákonných povinností. Cílem je zajistit soulad s předpisy a vyhnout se těmto drakonickým postihům.

Hlášení incidentů

Při významném kybernetickém incidentu běží neúprosné lhůty. Subjekt musí podat tzv. včasné varování NÚKIB do 24 hodin od okamžiku zjištění incidentu a následně hlášení incidentu do 72 hodin. Pokud incident zahrnuje únik osobních údajů, běží paralelní lhůta 72 hodin pro hlášení ÚOOÚ dle GDPR.

Tabulka základních rizik: Co hrozí vaší firmě a jak pomáhá ARROWS

Rizika a sankce

Jak pomáhá ARROWS (office@arws.cz)

Neplnění povinností dle ZKB (NIS2): Pokuta až 10 mil. EUR / 2 % obratu; u zásadních subjektů teoreticky až dočasný zákaz výkonu funkce.

Compliance a GAP analýza: Provedeme audit, identifikujeme mezery, nastavíme směrnice a zajistíme soulad s legislativou, čímž chráníme firmu i statutární orgány.

Kybernetický incident bez hlášení: Pokuta od NÚKIB; sankce za porušení GDPR; odpovědnost za škodu vůči třetím stranám.

Krizové řízení (Incident Response): Právní podpora v reálném čase, formulace hlášení pro NÚKIB/ÚOOÚ, koordinace s IT forenzními experty.

Dezinformační útok na pověst: Ztráta důvěry, pokles hodnoty brandu, finanční škody.

Ochrana pověsti: Uplatnění práv dle občanského zákoníku, výzvy platformám (DSA mechanismy), žaloby na ochranu pověsti právnické osoby.

Ransomware a vydírání: Zastavení provozu, ztráta dat, právní rizika spojená s platbou výkupného (sankční seznamy).

Vyjednávání a legal assessment: Právní posouzení možnosti platby (z hlediska sankcí), komunikace s policií, řešení pojistné události.

Selhání dodavatele (Supply Chain): Únik vašich dat přes třetí stranu, smluvní pokuty.

Smluvní agenda: Revize smluv s dodavateli, nastavení SLA a odpovědnosti za kybernetickou bezpečnost ve smluvním řetězci.

Připravenost a prevence: Co musíte udělat teď

Hybridní hrozby cílí na slabá místa. Prvním krokem je analýza rizik, abyste věděli, jaká data a systémy jsou pro vás klíčová. Právníci z ARROWS vám pomohou identifikovat právní povinnosti, které se na tato aktiva vážou, jako je GDPR, obchodní tajemství nebo sektorové regulace.

Musíte mít jasný manuál, komu volat, co hlásit a jak komunikovat s veřejností, aby nedošlo k poškození dobrého jména. V krizi není čas číst zákony a hledat postupy. Plán reakce na incidenty (Incident Response Plan) je proto nezbytnou součástí přípravy.

Třetí vrstvou je pojištění kybernetických rizik. Standardní pojištění odpovědnosti často kybernetické škody vylučuje. Právníci ARROWS pomáhají klientům revidovat pojistné podmínky, aby kryly reálná rizika, jako jsou výpadky provozu, náklady na obnovu dat či právní zastoupení.

Prokazatelné proškolení zaměstnanců je důležitým důkazem o plnění péče řádného hospodáře ze strany vedení. Lidský faktor zůstává nejčastějším vektorem útoku, ať už jde o phishing nebo sociální inženýrství.

Jak se mohou dezinformace šířit a jak jim čelit

V případě napadení dezinformacemi je nutná rychlá a koordinovaná reakce:

  1. Právní kroky: Využití § 135 občanského zákoníku (ochrana názvu právnické osoby) a podání žaloby na zdržení se jednání a odstranění následků. V případě závažných útoků podání trestního oznámení.
  2. Notice and Action: Využití mechanismů hlášení nezákonného obsahu dle nařízení DSA u provozovatelů platforem. Pokud je obsah zjevně nezákonný, platforma musí jednat bez zbytečného odkladu, jinak se vystavuje riziku sankcí.
  3. Komunikace: Transparentní a faktická komunikace směrem k veřejnosti a obchodním partnerům.

Právníci z ARROWS advokátní kanceláře tyto kroky koordinují, aby minimalizovali dopad na klienta. Máme zkušenosti s řešením útoků v digitálním prostředí i s vymáháním práv u soudů.

Kybernetické útoky a ransomware v kontextu hybridního válčení

Ransomware se stal dominantní hrozbou, kdy útočníci data nejen šifrují, ale často i kradou a vyhrožují jejich zveřejněním. V právním smyslu je důležité vědět, že zaplacení výkupného nezbavuje vedení odpovědnosti za incident.

Zaplacení výkupného nezbavuje vedení odpovědnosti za incident a může být problematické z hlediska předpisů proti praní špinavých peněz nebo mezinárodních sankcí. Pokud je útočník na sankčním seznamu EU/USA, může platba vést k závažným právním důsledkům.

Právníci z ARROWS advokátní kanceláře vám pomohou vyhodnotit situaci, komunikovat s Policií ČR a NÚKIB a posoudit pojistný nárok. Zajistíme, aby veškeré kroky byly v souladu se zákonem a nevystavily firmu dalšímu postihu.

Hybridní hrozby jsou realitou roku 2026. Legislativa klade na firmy vysoké nároky a přenáší odpovědnost přímo na statutární orgány. Ignorování těchto rizik může vést k likvidačním pokutám a nenapravitelným reputačním škodám.

Máme zkušenosti s implementací compliance programů, řešením bezpečnostních incidentů i zastupováním v řízeních před regulátory. Právníci z ARROWS advokátní kanceláře se touto problematikou denně zabývají a spolupracují s desítkami významných společností.

Pokud si nejste jisti, zda vaše firma splňuje aktuální zákonné požadavky, nebo čelíte bezpečnostnímu incidentu, kontaktujte nás. Nabízíme právní jistotu podloženou pojištěním v řádech stovek milionů korun a odborným týmem specialistů.

Nejčastější právní dotazy k hybridním válkám a kybernetické bezpečnosti

1. Má Česká republika povinnost se bránit hybridním útokům?
Ano, ochrana bezpečnosti státu a kritické infrastruktury je základní funkcí státu. ČR má v platnosti Národní strategii pro čelení hybridnímu působení. Subjekty kritické infrastruktury mají zákonné povinnosti spolupracovat na zajištění bezpečnosti. Máte-li pochybnosti o svém zařazení, kontaktujte ARROWS na office@arws.cz.

2. Mohu zažalovat firmu nebo osobu, která šíří dezinformace o mé společnosti?
Ano, český právní řád umožňuje bránit se civilní žalobou na ochranu pověsti právnické osoby (§ 135 OZ), případně podat trestní oznámení (pomluva, šíření poplašné zprávy). Právníci z ARROWS vás v těchto sporech zastoupí.

3. Co se změnilo s novým zákonem o kybernetické bezpečnosti (NIS2)?
Došlo k výraznému rozšíření regulace na nové sektory (odpadové hospodářství, výroba, potravinářství aj.), zavedení přísných lhůt pro hlášení incidentů (24/72 hodin), zvýšení pokut (až 10 mil. EUR / 2 % obratu) a zavedení přímé osobní odpovědnosti managementu za kyberbezpečnost.

4. Jak se brání soukromá firma proti hybridnímu útoku?
Kombinací technických opatření (IT bezpečnost), procesních opatření (plány kontinuity, školení) a právních kroků (smluvní ošetření dodavatelů, pojištění, aktivní právní obrana proti útokům). ARROWS advokátní kancelář pokrývá právní a compliance stránku této obrany.

5. Jaké jsou sankce za neplnění povinností dle zákona o kybernetické bezpečnosti?
U zásadních subjektů až 10 000 000 EUR nebo 2 % celosvětového ročního obratu. U důležitých subjektů až 7 000 000 EUR nebo 1,4 % obratu. V krajním případě u zásadních subjektů hrozí i pozastavení výkonu řídící funkce.

6. Mohu si vzít pojištění pro kybernetická rizika bez zavedených opatření?
Pojišťovny dnes vyžadují doložení určité úrovně zabezpečení (např. MFA, zálohování, incident response plán) před uzavřením smlouvy. Bez toho je pojistka buď nedostupná, nebo extrémně drahá a s výlukami. ARROWS vám pomůže nastavit procesy tak, abyste byli pojistitelní.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.

Čtěte také