Nastavení vnitřních řídících mechanismů a korporátní compliance pro kyberbezpečnostní firmu
Od listopadu 2025 platí nový zákon o kybernetické bezpečnosti, který přináší tisícům českých firem nejen přísnější pravidla, ale také osobní odpovědnost managementu. Pro kyberbezpečnostní společnosti to znamená dvojí výzvu: musí nejen zajistit kybernetickou bezpečnost svým klientům, ale současně prokázat, že samy mají funkční systém řízení bezpečnosti a compliance. V tomto článku najdete praktický návod, jak správně nastavit vnitřní řídící mechanismy, aby vaše firma nejen splnila zákonné požadavky, ale také minimalizovala rizika pokut a osobní odpovědnosti vedení.
Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Petr Hanzel, LL.M.", expert na dané téma.
Proč compliance není volba, ale strategická nutnost
Kyberbezpečnostní firmy se ocitají v paradoxní situaci. Poskytují služby, které mají chránit ostatní před kybernetickými hrozbami, přesto právě ony čelí nejpřísnějšímu dohledu regulátorů. Nový zákon o kybernetické bezpečnosti č. 264/2025 Sb., který vstoupil v účinnost 1. listopadu 2025, rozšířil okruh povinných subjektů z několika set na přibližně 6 000 až 10 000 organizací.
Pokud vaše firma poskytuje regulované služby v oblasti kybernetické bezpečnosti nebo digitálních služeb, spadáte pod tento zákon. To znamená, že musíte splnit řadu technických i organizačních požadavků, jejichž nedodržení může mít dramatické následky. Sankce za porušení povinností mohou dosáhnout až 10 milionů eur nebo 2% celosvětového obratu u subjektů v režimu vyšších povinností, respektive 7 milionů eur nebo 1,4% obratu u režimu nižších povinností.
Ještě závažnější je však osobní odpovědnost členů vrcholového vedení. Zákon nově ukládá manažerům přímou odpovědnost za kybernetickou bezpečnost organizace. Členům statutárních orgánů hrozí osobní pokuty až 20 milionů korun a zákaz výkonu funkce nejméně na šest měsíců. Management již nemůže tvrdit, že kybernetická bezpečnost je záležitostí IT oddělení – jde o strategickou prioritu, za kterou ručí svým jménem i majetkem.
|
Rizika a sankce |
Jak pomáhá ARROWS (office@arws.cz) |
|
Neregistrování regulované služby u NÚKIB do 31. 12. 2025 – pokuta až 250 mil. Kč nebo 2% obratu |
Posouzení, zda spadáte pod zákon, příprava a kontrola registrace na Portálu NÚKIB, zajištění všech potřebných podkladů |
|
Osobní odpovědnost managementu – pokuty až 20 mil. Kč a zákaz výkonu funkce |
Příprava compliance programu, který chrání před osobní odpovědností, právní poradenství k povinnostem statutárních orgánů |
|
Nepodání hlášení o bezpečnostním incidentu v zákonné lhůtě 24-72 hodin – správní řízení a sankce |
Nastavení krizových plánů a incident response postupů, právní asistence při hlášení incidentů |
Co je compliance a proč ji kyberbezpečnostní firmy nemohou podcenit
Compliance v tomto kontextu představuje systematický přístup k zajištění souladu s právními předpisy, interními směrnicemi a etickými standardy. Compliance Management System (CMS) je ucelený systém vnitřních opatření zaměřených na prevenci, detekci a reakci na porušování pravidel.
Pro kyberbezpečnostní firmy má compliance zcela konkrétní podobu. Musíte být schopni kdykoli prokázat, že vaše organizace řádně identifikuje a vyhodnocuje kybernetická rizika podle zákona. Stejně tak musíte doložit, že máte zavedený Systém řízení bezpečnosti informací (ISMS), provádíte pravidelná školení zaměstnanců, řídíte bezpečnost dodavatelského řetězce a disponujete funkčními krizovými plány.
Právníci advokátní kanceláře ARROWS běžně pomáhají firmám nastavit compliance programy šité na míru jejich potřebám. Díky zkušenostem s více než 150 akciovými společnostmi a 250 společnostmi s ručením omezeným známe specifika různých odvětví a dokážeme implementovat řešení, která skutečně fungují v praxi. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
Právní rámec je složitější než jen NIS2
Compliance v oblasti kybernetické bezpečnosti se neomezuje pouze na jeden předpis. Kromě samotného zákona o kybernetické bezpečnosti (NIS2) musí firmy současně dodržovat Nařízení GDPR pro ochranu dat, občanský zákoník upravující péči řádného hospodáře a zákon o trestní odpovědnosti právnických osob. Do toho vstupují interní směrnice a normy ISO (27001, 37001).
Složitost této právní sítě znamená, že je prakticky nemožné zajistit plný soulad bez specializovaného právního poradenství. Advokátní kancelář ARROWS disponuje expertním týmem, který dokáže propojit právní, technické a organizační aspekty compliance. Naše služby zahrnují audit současného stavu, identifikaci rizik, přípravu vnitřních směrnic a školení zaměstnanců i managementu. Kontaktujte nás na office@arws.cz a získejte právní řešení na míru.
Nový zákon o kybernetické bezpečnosti: Co musíte udělat jako první
Prvním a nejdůležitějším krokem je rozhodnout, zda vaše firma spadá pod nový zákon. Pokud poskytujete služby v regulovaných odvětvích, jako jsou digitální služby, vývoj softwaru pro kritickou infrastrukturu nebo správa DNS, musíte se do 31. prosince 2025 registrovat na Portálu NÚKIB.
Proces registrace začíná identifikací regulované služby a určením režimu povinností, který závisí na velikosti firmy a typu služby. Následuje pověření zástupců statutárním orgánem a samotné vyplnění formuláře s údaji o společnosti a technické infrastruktuře. Po obdržení rozhodnutí o registraci začíná běžet roční lhůta na implementaci všech bezpečnostních opatření.
Mnoho firem podcení právě fázi identifikace regulované služby a chybně usoudí, že se jich zákon netýká. To může vést k vysokým pokutám za neregistrování. Advokátní kancelář ARROWS vám pomůže s právní analýzou, zda spadáte pod zákon, připraví veškerou dokumentaci pro registraci a zajistí, aby byla splněna všechna formální kritéria. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.
FAQ – Právní tipy k registraci podle nového zákona
1. Musíme se registrovat, i když jsme malá firma s 20 zaměstnanci?
Ano, pokud poskytujete regulovanou službu. Velikost firmy nehraje roli při povinnosti registrace, ovlivňuje pouze režim povinností (vyšší vs. nižší). Pokud si nejste jistí, kontaktujte nás na office@arws.cz.
2. Co se stane, když registraci nestihnem do konce roku?
Hrozí vám správní řízení a pokuta až 250 milionů korun nebo 2% obratu. Neváhejte se obrátit na naši kancelář – napište na office@arws.cz a pomůžeme vám s urychlenou registrací.
Jak nastavit Compliance Management System krok za krokem
Compliance Management System není jen formální dokumentace na polici, ale živý systém, který prostupuje každodenním fungováním firmy. Správně nastavený CMS pomáhá předcházet problémům, snižuje riziko pokut a chrání osobní odpovědnost managementu.
Rizikoanalýza a nastavení odpovědností
Základním kamenem je systematická analýza rizik, při které identifikujete oblasti náchylné k porušení předpisů. Pro kyberbezpečnostní firmy to zahrnuje nejen samotnou bezpečnost systémů, ale také ochranu osobních údajů, smluvní vztahy, řízení subdodavatelů a prevenci trestní odpovědnosti. Tato analýza musí být živým dokumentem, který reaguje na legislativní změny i vývoj na trhu.
Nezbytnou součástí systému je určení konkrétní odpovědnosti. Funkce Compliance Officera by měla být svěřena osobě s přímou vazbou na statutární orgán. Tato role zahrnuje průběžnou kontrolu souladu předpisů, monitoring legislativy, koordinaci školení a vedení evidence incidentů. Pokud nemáte kapacity na interního specialistu, advokátní kancelář ARROWS může tuto roli zajistit formou outsourcingu. Napište nám na office@arws.cz.
Etický kodex a vnitřní směrnice
Etický kodex definuje hodnoty a principy chování všech zaměstnanců. V kontextu kybernetické bezpečnosti musí jasně stanovit pravidla pro ochranu důvěrných informací, prevenci střetu zájmů a transparentnost v obchodních vztazích. Na tento základní dokument pak navazují konkrétní směrnice řešící bezpečnostní politiku, řízení incidentů či vztahy s dodavateli.
Tyto dokumenty nemohou být jen obecné fráze – musí obsahovat konkrétní postupy, odpovědnosti a sankce při porušení. Advokátní kancelář ARROWS připraví kompletní sadu vnitřních směrnic, které budou odpovídat vašemu byznysu a současně splní veškeré právní požadavky. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
Systém řízení bezpečnosti informací (ISMS) jako základ
Zákon o kybernetické bezpečnosti ukládá povinnost zavést Systém řízení bezpečnosti informací (ISMS), ideálně podle normy ISO/IEC 27001. Celý proces začíná identifikací a oceněním aktiv – od hardwaru přes data až po know-how. Následuje analýza rizik, kde pro každou hrozbu určíte způsob jejího řízení, ať už jde o snížení rizika pomocí opatření, jeho přenesení pojištěním, nebo akceptování.
Implementace konkrétních bezpečnostních opatření je dalším logickým krokem. Zákon vyžaduje zavedení technických prvků, jako je řízení přístupu, šifrování dat, monitorování sítě či správa zranitelností. Každé takové opatření má však i svůj právní rozměr, zejména v kontextu smluvních vztahů s dodavateli technologií. Advokátní kancelář ARROWS zajistí, že vaše smlouvy budou chránit firmu před odpovědností. Neváhejte se obrátit na naši kancelář – napište na office@arws.cz.
|
Rizika a sankce |
Jak pomáhá ARROWS (office@arws.cz) |
|
Absence vnitřních směrnic – nemožnost prokázat compliance, vyšší riziko při kontrole regulátorů |
Příprava kompletní compliance dokumentace: Etický kodex, bezpečnostní politiky, krizové plány, směrnice pro řízení rizik |
|
Nedostatečné školení zaměstnanců – selhání lidského faktoru, únik dat, bezpečnostní incidenty |
Organizace odborných školení s certifikáty, příprava školicích materiálů, právní konzultace k povinnostem zaměstnanců |
|
Absence Compliance Officera nebo nejasné odpovědnosti – chaos při řešení incidentů |
Outsourcing role Compliance Officera, nastavení jasné organizační struktury, definice procesů |
Osobní odpovědnost managementu: Co musíte vědět
Nový zákon o kybernetické bezpečnosti přenáší přímou osobní odpovědnost na členy statutárních orgánů. Jednatelé a členové představenstva již nemohou delegovat odpovědnost za bezpečnost pouze na IT oddělení. Vrcholové vedení musí prokazatelně dohlížet na kybernetickou bezpečnost, schvalovat strategie a zajistit dostatečné zdroje.
Povinnost péče řádného hospodáře se zde konkretizuje do požadavku na informované rozhodování a aktivní účast. Pokud management tyto povinnosti zanedbá a dojde k incidentu, hrozí mu osobní pokuty a zákaz činnosti. Advokátní kancelář ARROWS připraví pro váš management školení a dokumentaci, která prokáže, že jste vykonali vše potřebné. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
Řízení dodavatelského řetězce a smluvní vztahy
Zákon klade silný důraz na bezpečnost dodavatelského řetězce (supply chain security). Poskytovatelé regulovaných služeb musí nastavit transparentní pravidla pro výběr dodavatelů a průběžně kontrolovat jejich bezpečnostní standardy. Před zahájením spolupráce je nutné provést důkladnou due diligence, která ověří certifikace, bezpečnostní politiky a historii incidentů partnera.
Samotná prověrka však nestačí, klíčové je smluvní ošetření vztahu. Smlouvy musí obsahovat jasné bezpečnostní standardy, právo na audit, povinnost hlásit incidenty a definici odpovědnosti za škody. Advokátní kancelář ARROWS se specializuje na přípravu a vyjednávání složitých IT smluv, které odpovídají požadavkům NIS2. Potřebujete právní pomoc? Kontaktujte nás na office@arws.cz.
Krizový plán a incident response
I s nejlepší prevencí může dojít k incidentu, a proto je nezbytné mít připravený funkční krizový plán. Ten musí jasně definovat organizační strukturu krizového týmu, eskalační matici a konkrétní postupy pro různé typy útoků. Nedílnou součástí je komunikační plán pro interní i externí informování a plány obnovy provozu (Business Continuity Plan).
Zákon navíc striktně upravuje hlášení významných incidentů v lhůtách 24 až 72 hodin. Nedodržení těchto lhůt je samo o sobě sankcionováno. Advokátní kancelář ARROWS vám pomůže nastavit kritéria pro klasifikaci incidentů a v případě krize vás provede celým procesem hlášení tak, aby byly splněny všechny zákonné povinnosti. Neváhejte se obrátit na naši kancelář – napište na office@arws.cz.
Školení a interní audit jako nástroje kontroly
Největší zranitelností každého systému je člověk, proto zákon vyžaduje pravidelné školení zaměstnanců i vedení. Tato školení nesmí být formální, ale musí pokrývat reálné hrozby jako phishing či sociální inženýrství. Současně je třeba budovat bezpečnostní kulturu, kde zaměstnanci chápou smysl opatření a nebojí se hlásit chyby.
Funkčnost celého systému pak ověřuje interní audit. Ten by měl pravidelně kontrolovat soulad vnitřních předpisů s realitou, účinnost bezpečnostních opatření a stav vedení dokumentace. Výsledkem auditu jsou konkrétní doporučení pro management. Advokátní kancelář ARROWS provádí nezávislé compliance audity, které vám poskytnou objektivní obraz o stavu vaší firmy. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.
Na koho se můžete obrátit?
.png)
Praktická pomoc ARROWS při nastavování compliance
Advokátní kancelář ARROWS nabízí komplexní právní podporu pokrývající celý životní cyklus compliance. Naše služby začínají právní analýzou a registrací u NÚKIB, pokračují přípravou veškeré dokumentace od etických kodexů po krizové plány a zahrnují i revize smluv s dodavateli. Zajišťujeme odborná školení s certifikáty a poskytujeme průběžné poradenství pro statutární orgány.
V případě problémů vás zastoupíme při kontrolách regulátorů, ve správních řízeních i v soudních sporech. Naše zkušenosti s více než 150 akciovými společnostmi a 250 s.r.o. nám umožňují řešit i ty nejsložitější případy. Díky síti ARROWS International a pojištění odpovědnosti do 500 milionů Kč jsme silným partnerem pro vaši bezpečnost. Pokud hledáte financování či obchodní partnery, umíme vás také efektivně propojit. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
FAQ – Nejčastější právní dotazy k nastavení vnitřních řídících mechanismů a compliance pro kyberbezpečnostní firmu
1. Musíme se podle nového zákona o kybernetické bezpečnosti registrovat, i když jsme malá kyberbezpečnostní firma?
Velikost firmy není rozhodující pro povinnost registrace. Klíčové je, zda poskytujete regulovanou službu podle § 4 zákona č. 264/2025 Sb. Pokud například vyvíjíte software pro kritickou infrastrukturu, poskytujete služby správy DNS nebo cloudové služby, pravděpodobně spadáte pod zákon. Velikost firmy ovlivní jen režim povinností (vyšší vs. nižší). Pokud si nejste jistí, kontaktujte nás na office@arws.cz – provedeme právní analýzu a pomůžeme s registrací.
2. Co se stane, když nestihneme implementovat všechna bezpečnostní opatření do jednoho roku od registrace?
Hrozí vám správní řízení a uložení pokuty až do výše 10 milionů eur nebo 2% obratu (u vyšších povinností), respektive 7 milionů eur nebo 1,4% obratu (u nižších povinností). Navíc může NÚKIB uložit příkaz k odstranění nedostatků a v krajním případě pozastavit poskytování regulované služby. Proto je klíčové začít s implementací ihned po registraci. Naši právníci vám pomohou připravit realistický implementační plán a zajistí průběžnou kontrolu plnění. Napište na office@arws.cz.
3. Jsem jednatel společnosti – mohu být osobně pokutován, i když firma dodržuje zákon?
Osobní odpovědnost členů statutárních orgánů nastává tehdy, pokud porušíte své povinnosti při výkonu funkce. Podle nového zákona musíte prokazatelně dohlížet na kybernetickou bezpečnost, absolvovat školení a zajistit dostatečné zdroje pro implementaci opatření. Pokud tyto povinnosti splníte a budete moci jejich plnění prokázat, osobní sankce vám nehrozí. Advokátní kancelář ARROWS připraví dokumentaci, která prokáže, že jste vykonali vše, co lze po vás spravedlivě požadovat. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
4. Potřebujeme certifikaci ISO 27001, nebo stačí splnit požadavky zákona o kybernetické bezpečnosti?
Certifikace ISO 27001 není podle zákona formálně povinná, ale je vysoce doporučená. Mnoho klientů ji vyžaduje jako podmínku pro spolupráci, protože prokazuje, že máte funkční systém řízení bezpečnosti informací. Navíc certifikace usnadňuje prokazování souladu s požadavky zákona vůči regulátorům. Pokud řešíte, zda investovat do certifikace, kontaktujte nás na office@arws.cz – pomůžeme vám posoudit přínos vs. náklady a zajistíme právní podporu během celého certifikačního procesu.
5. Jak prověřit, že naši subdodavatelé splňují požadavky na kybernetickou bezpečnost?
Začněte due diligence analýzou, která by měla zahrnovat ověření certifikací dodavatele (např. ISO 27001), kontrolu bezpečnostních politik a historie incidentů. Následně je nutné smluvně zakotvit bezpečnostní požadavky a právo na audit. Advokátní kancelář ARROWS provádí právní due diligence dodavatelů a připraví smluvní dokumentaci, která zajistí, že budete chráněni před riziky plynoucími z dodavatelského řetězce. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.
6. Co musíme udělat jako první, pokud chceme začít s compliance programem?
První krok je rizikoanalýza – zmapujte, jaká právní a bezpečnostní rizika vaší firmě hrozí. Poté byste měli jmenovat odpovědnou osobu, vytvořit základní dokumentaci a registrovat se u NÚKIB. Advokátní kancelář ARROWS vás provede celým procesem od začátku do konce. Začneme právní analýzou rizik, připravíme veškerou dokumentaci a zajistíme průběžné právní poradenství. Neváhejte se obrátit na naši kancelář – napište na office@arws.cz.