Kyberbezpečnost se stává osobní odpovědností jednatelů

26.5.2025

Kybernetická bezpečnost již není jen technickou záležitostí IT oddělení – s příchodem evropské směrnice NIS2 a nového českého zákona o kybernetické bezpečnosti se z ní stává prioritní téma pro vrcholové vedení firem. Legislativa si klade za cíl podstatně zvýšit kybernetickou odolnost organizací v Evropské Unii a zásadně rozšiřuje okruh firem a institucí, na které dopadne – odhady hovoří o několika tisících subjektů v ČR.

Autoři článku: ARROWS advokátní kancelář (JUDr. Kateřina Müllerová a Mgr. Petr Hanzel, LL.M., office@arws.cz, +420 245 007 740)

Pro jednatele a další členy statutárních orgánů to znamená nejen nové povinnosti, ale také osobní odpovědnost za jejich plnění.

Tento článek vysvětluje hlavní změny a povinnosti, zdůrazňuje rizika neplnění a nabízí praktická doporučení, jak se připravit – to vše srozumitelně a s důrazem na odpovědnost vrcholného managementu.

Tento článek vysvětluje hlavní změny a povinnosti, zdůrazňuje rizika neplnění a nabízí praktická doporučení, jak se připravit – to vše srozumitelně a s důrazem na odpovědnost vrcholného managementu.

Nový zákon o kybernetické bezpečnosti, který transponuje směrnici NIS2, byl zatím schválen Poslaneckou sněmovnou a v době psaní článku čeká na projednání v Senátu a podpis prezidenta. Pokud legislativní proces proběhne bez neočekávaných zdržení, nabude účinnosti k 1. říjnu, nejpozději k 1. listopadu 2025.

Nové povinnosti pro vedení společností v oblasti kyberbezpečnosti

Nový zákon o kybernetické bezpečnosti klade mnohem větší důraz na zapojení vrcholového vedení do zajištění kybernetické bezpečnosti. Jednatelé a členové představenstva ponesou přímou odpovědnost za to, že jejich firma splňuje nové požadavky tohoto předpisu. Prakticky to znamená, že pokud vaše společnost spadá do regulace, musíte zajistit zavedení všech potřebných opatření, dohlížet na jejich dodržování a vyčlenit na kybernetickou bezpečnost dostatečné lidské i finanční zdroje. Bez ohledu na technické znalosti – zákon předpokládá aktivní dohled statutárního orgánu, nikoli formální delegaci odpovědnosti. Kybernetická bezpečnost se v důsledku nové právní úpravy stává další ze složek péče řádného hospodáře, kterou jsou členové statutárních orgánů povinni při výkonu své funkce dodržovat.

Ještě před tím, než firma začne plnit konkrétní bezpečnostní opatření, musí vyhodnotit, zda na ni zákon dopadá. K tomu slouží proces tzv. samoidentifikace, při němž podnik posoudí ve zkratce svou velikost, obor činnosti a další kritéria stanovená zákonem a doprovodnými vyhláškami. Pokud zjistí, že spadá pod regulaci, má povinnost ohlásit poskytování regulované služby Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Následně je nutné zavést technická a organizační opatření, mezi něž patří v režimu nižších povinností zejména:

1. Technická bezpečnost, řízení přístupů a hesel

Zavedení technických opatření na ochranu sítí, systémů a dat, včetně řízení přístupových práv a správy identit. To zahrnuje i pravidla pro tvorbu a správu silných hesel, vícefaktorovou autentizaci a kontrolu přístupových oprávnění podle principu nejnižších nutných práv.

2. Školení a řízení lidských zdrojů

Pravidelné školení zaměstnanců i vedení o bezpečnostních hrozbách a správném chování. Zahrnuje také prověřování osob na klíčových pozicích, důsledné informování o povinnostech a odpovědnosti jednotlivců.

3. Strategické řízení bezpečnosti

Základem je jmenování odpovědných osob, tvorba bezpečnostní politiky a vedení přehledu přijatých opatření. Vrcholové vedení nese odpovědnost za schválení a průběžnou kontrolu funkčnosti celého systému řízení bezpečnosti.

4. Detekce útoků, řízení incidentů a plán obnovy

Organizace musí být schopna včas detekovat kybernetické incidenty, správně na ně reagovat, ohlásit je NÚKIB a následně obnovit bezpečný provoz. Nezbytný je plán reakce na incidenty a obnova kritických systémů.

5. Bezpečnost ve smluvních vztazích s dodavateli

Smlouvy s dodavateli musí obsahovat požadavky na bezpečnost – např. závazky mlčenlivosti, úroveň technických opatření, reakční lhůty, případně právo na audit. Dodavatelský řetězec je často nejslabším článkem.

Všechna přijatá opatření je nutné nejen zavést, ale také efektivně zdokumentovat, pravidelně aktualizovat a auditovat. Při kontrole ze strany dozorového orgánu nebude stačit poukázat na interní směrnice – klíčové bude doložit, že systém kybernetické bezpečnosti reálně funguje v praxi. Úřady budou požadovat důkazy o tom, že nastavená pravidla jsou známá, uplatňovaná a průběžně ověřovaná.

Rizika a sankce při neplnění povinností

Nová regulace dává kyberbezpečnosti podobnou váhu, jakou má například finanční účetnictví – a tomu odpovídají i sankce. Nesplnění povinností může mít pro firmu i její vedení velmi citelné následky. Regulované společnosti mohou dostat pokuty až do výše 2 % z celkového ročního obratu (u subjektů v režimu vyšších povinností) nebo 1,4 % u ostatních subjektů. To může pro velké podniky znamenat sankce v řádu desítek či stovek milionů korun. Kromě těchto finančních postihů zavádí nový zákon také nefinanční sankce – úřady mohou například pozastavit platnost evropských bezpečnostních certifikací (např. ISO 27001, NIST, TISAX aj.), což může způsobit významné obtíže při dodržování smluvních povinností.

Ještě významnější novinkou je však přímá osobní odpovědnost statutárních orgánů. Pokud firma poruší povinnosti kybernetické bezpečnosti, mohou být postiženi přímo její jednatelé či členové představenstva. Hrozí jim osobní odpovědnost za způsobenou škodu (včetně nemajetkové újmy) – například pokud kvůli podceněné bezpečnosti uniknou citlivá data obchodních partnerů, mohou po nich poškození vymáhat náhradu. Dále může dojít i na ručení věřitelům za dluhy společnosti, pokud se firma kvůli bezpečnostnímu incidentu dostane do platební neschopnosti. Návrh zákona o kybernetické bezpečnosti předpokládá, že NÚKIB bude moci v závažných případech uložit členovi statutárního orgánu pokutu až do výše 20 milionů Kč. Za opakované nebo závažné porušení povinností může úřad také rozhodnout o zákazu výkonu funkce, a to na dobu nejméně 6 měsíců.

Ve výjimečných situacích, kdy by došlo k hrubému zanedbání povinností, nelze vyloučit ani případné posouzení odpovědnosti podle trestního práva.

Tyto sankce nejsou jen teoretické hrozby. Osobní postihy vedoucích pracovníků by znamenaly vážné reputační dopady jak pro dotčené manažery, tak pro celou firmu – málokterá společnost si může dovolit, aby byl její jednatel veřejně pokutován či dočasně odstaven z vedení. Už samotné vyšetřování či řízení o sankci může paralyzovat vnitřní chod firmy a poškodit důvěru klientů. I proto je cílem nové úpravy motivovat vedení firem, aby kyberbezpečnost nepodceňovalo. Tento moderní přístup „accountability“ ze strany EU má firmy vtáhnout do aktivní ochrany: když management ví, že nese kůži na trh, bude oblasti věnovat patřičnou pozornost. Skutečnost, že to funguje, ukazuje příklad ze Slovenska – tam již podobný zákon (rovněž podle NIS2) platí a firmy raději nic neponechávají náhodě. Při tzv. sebeidentifikaci se na Slovensku raději přihlásilo pod regulaci o 60 % více společností, než se očekávalo (přes 15 000 místo původně odhadovaných 9 000). Tento trend jasně ukazuje, že podniky a jejich vedení si rizika neplnění uvědomují – a čeští jednatelé by měli učinit totéž dříve, než nastanou první kontroly či incidenty.

Jak se připravit a chránit (praktická doporučení)

Dobrou zprávou je, že na splnění nových povinností nejste sami a při včasné přípravě se dá mnohým rizikům předejít.

Níže uvádíme několik praktických kroků, jak se jako jednatel či manažer na novou regulaci připravit a ochránit tak sebe i svou firmu:

  • Zjistěte, zda se na vás regulace vztahuje: Projděte proces samoidentifikace – zhodnoťte sektor své činnosti a velikost podniku dle kritérií zákona. Pokud si procesem nevíte rady, naši specializovaní advokáti Vám rádi pomohou.
  • Nepodceňte plánování a zdroje: Kyberbezpečnost začleňte do strategií firmy a alokujte na ni odpovídající rozpočet i personál. Jmenujte nebo najměte kvalifikovaného člověka odpovídajícího za kybernetickou bezpečnost či vytvořte specializovaný tým, který se bude agendě věnovat. Pamatujte, že zavedení funkčního systému může trvat měsíce až roky – čím dříve začnete, tím lépe. Pokud plánujete spolupráci s externími specialisty, počítejte s tím, že jejich kapacita bývá omezená – zajistěte si ji proto včas.
  • Zaveďte potřebná opatření krok za krokem: Sestavte plán implementace bezpečnostních opatření podle požadavků zákona. Zmapujte existující slabiny a postupně zavádějte zmíněné prvky: analýzu a řízení rizik, bezpečnostní politiky, systémy detekce incidentů, zálohování dat, kontrolu přístupu (např. vícefaktorové ověřování) apod. Každý krok si průběžně dokumentujte.
  • Delegujte, ale udržte si přehled: Rozdělte agendu kybernetické bezpečnosti mezi kompetentní osoby – IT manažery, bezpečnostní specialisty, právníky a externí konzultanty. Delegace úkolů je nezbytná, nezbavuje vás však odpovědnosti. Nastavte proto mechanismy reportování na úroveň vedení: pravidelné zprávy o stavu bezpečnosti, incidentech a plnění opatření. Jednatel či člen představenstva by měl mít o stavu kybernetické bezpečnosti ve firmě neustále aktuální přehled.
  • Vzdělávejte sebe i ostatní: Absolvujte povinné školení a dále se aktivně vzdělávejte v kyberbezpečnosti – sledujte trendy hrozeb, poučte se z incidentů u jiných firem. Zároveň zaveďte pravidelná školení pro zaměstnance zaměřená na bezpečnostní zásady (např. práce s hesly, rozpoznání phishingu, reakce na incident). Podporujte bezpečnostní kulturu ve firmě – když zaměstnanci chápou rizika, výrazně tím snížíte pravděpodobnost lidské chyby.
  • Vypracujte krizový scénář: I přes veškerou prevenci se nelze 100% vyhnout incidentům. Připravte proto plán reakce na kybernetický incident (Incident Response Plan) – kdo co bude dělat při napadení systému, koho kontaktovat (NÚKIB, policie, právníci, PR), jak obnovit provoz. Pravidelně tento plán testujte simulacemi. Tím prokážete, že plníte svou povinnost nejen v prevenci, ale i v reakci na krizové situace.
  • Konzultujte právní aspekty: Nová regulace je komplexní a průběžně upřesňovaná prováděcími předpisy. Spolupracujte s právníky, kteří vám pomohou správně vyložit konkrétní povinnosti a nastavit interní procesy v souladu se zákonem. Právní audit připravenosti může odhalit mezery, na které by se úřad zaměřil při kontrole.
  • Pojištění a další ochranná opatření: Zvažte uzavření pojištění kybernetických rizik, které může zmírnit finanční dopady případného útoku či úniku dat. Přestože pojištění nenahradí nutnost plnit kyberbezpečností opatření, může poskytnout prostředky na rychlé zvládnutí krizové situace (např. úhradu odborníků na obnovení systému, PR komunikaci, právní výlohy nebo výkupné za znovuzpřístupnění dat).

Všechny výše uvedené kroky je důležité řádně zaznamenat a archivovat – od analýz rizik, přes záznamy o školeních, až po zprávy pro vedení. Tato dokumentace poslouží jednak k internímu monitoringu pokroku, ale také jako důkaz při případné kontrole, že management jednal proaktivně a s náležitou péčí. Jednateli, který bude moci doložit, že bezpečnost nepodcenil a podnikl rozumná opatření, hrozí mnohem menší riziko osobních sankcí. Naopak ignorování povinností či spoléhání na “to nás určitě mine” by bylo v dnešní situaci velmi nebezpečné.

Závěr: Začněte ještě dnes

Pro vedení firem v Česku nastává nový věk kybernetické odpovědnosti. Jednatelé už nemohou považovat kyberbezpečnost za okrajovou technickou záležitost, kterou stačí přenechat IT specialistům. Nový zákon o kybernetické bezpečnosti jasně říká, že pokud firma spadá do jejího rozsahu, vrcholový management musí aktivně konat – a osobně ručí za proces zavedení technických a organizačních opatření. Výše naznačené sankce a rizika představují pádný důvod, proč se tématu věnovat s maximální vážností. Zároveň však platí, že kdo se včas připraví, může tímto sítem projít bez úhony a dokonce z toho vytěžit konkurenční výhodu (firmy s pověstí bezpečných partnerů budou pro klienty atraktivnější).

Nevyplatí se čekat až na první inspekce nebo incidenty. Naopak, začít s přípravou už nyní je strategický krok, kterým ochráníte jak svou firmu, tak sebe. Pokud si nejste jisti, kde začít nebo zda plníte vše potřebné, neváhejte využít odbornou pomoc. Naše advokátní kancelář má s problematikou kyberbezpečnostní regulace bohaté zkušenosti a rádi vám pomůžeme – od úvodní analýzy dopadů zákona, přes nastavení vnitřních procesů a dokumentace, až po školení managementu či řešení bezpečnostních incidentů. Kyberbezpečnost je novou výzvou pro jednatele – postavte se jí čelem a ujistěte se, že vaše společnost splňuje veškeré požadavky. Tím ochráníte nejen firemní data a dobré jméno, ale i sebe před osobní právní odpovědností.

Zajímají vás legislativní novinky v roce 2025? Připravili jsme si pro vás webinář.

Proč si vybrat právě nás?

Podnikání dnes představuje nejen příležitost k růstu a seberealizaci, ale také řadu právních a organizačních otázek, které je třeba správně uchopit již od samotného začátku. E-book Firma nabízí podnikatelům a firmám jasný a praktický návod, jak zvládnout zásadní kroky při zakládání a řízení společnosti s důrazem na právní jistotu a prevenci rizik. Co vám přinášíme?

  • Právní jistotu a přehlednost v podnikání - přehledně vysvětlujeme právní rámec, který podnikatelé potřebují znát. Od volby vhodné právní formy společnosti až po nastavení vnitřních vztahů ve firmě a ochranu duševního vlastnictví.
  • Praktická a srozumitelná řešení - naše zkušenosti transformujeme do konkrétních doporučení a návodů. E-book se neomezuje na teoretický výklad práva, ale nabízí praktické postupy pro každodenní rozhodování ve firmě.
  • Prevence právních a provozních rizik - upozorňujeme na časté chyby, se kterými se podnikatelé setkávají. Pomáháme jim jim předcházet tak, aby byla zajištěna kontinuita podnikání a minimalizovány dopady případných sporů.

V ebooku najdete:

✅ Praktické rady pro založení a efektivní vedení společnosti
✅ Přehled nejčastějších právních omylů a doporučení, jak se jim vyhnout
✅ Ukázku našeho přístupu — důraz na jasnost, použitelnost a orientaci na reálnou podnikatelskou praxi

Správně nastavené právní procesy tvoří základ bezpečného a dlouhodobě udržitelného podnikání. E-book Firma je cenným zdrojem pro každého, kdo chce podnikat v souladu se zákonem a současně s maximální mírou právní jistoty.

Napište si o e-book Firma ZDE 

Nechcete tenhle problém řešit sami? Věří nám více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference.