Due diligence kybernetické bezpečnosti při fúzích a akvizicích:

Plánujete fúzi či akvizici? V tomto článku vám ukážeme, jaká kybernetická rizika se mohou skrývat pod povrchem cílové společnosti a jak důkladná due diligence ochrání hodnotu vaší investice. Zjistíte, na co si dát pozor a jaké kroky podniknout, abyste se vyhnuli nákladným překvapením, která mohou ohrozit celou transakci.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Petr Hanzel, LL.M.", expert na dané téma.

 

Fúze a akvizice v digitální eře: Proč je kybernetická bezpečnost klíčovým faktorem úspěchu?

V moderním světě fúzí a akvizic (M&A) se těžiště hodnoty přesunulo od fyzických aktiv k datům, duševnímu vlastnictví a digitální infrastruktuře. Zatímco dříve se due diligence zaměřovala na prověrku budov, strojů a finančních výkazů, dnes je klíčové pochopit, že s akvizicí společnosti přebíráte i její kompletní digitální historii – včetně všech skrytých zranitelností, nezjištěných úniků dat a potenciálních regulatorních pokut. Ignorování těchto rizik není jen nedbalostí; je to strategická chyba, která může mít fatální finanční a reputační následky.

Nejlepším příkladem je nechvalně proslulá akvizice společnosti Yahoo telekomunikačním gigantem Verizon. Během transakce vyšlo najevo, že Yahoo zatajilo dva masivní úniky dat, které postihly více než miliardu uživatelských účtů. Důsledky byly okamžité a drtivé. Verizon si vyjednal snížení kupní ceny o 350 milionů dolarů, aby pokryl očekávané náklady na nápravu škod a soudní spory. 

Kromě toho americká Komise pro cenné papíry (SEC) udělila nejmenované společnosti pokutu ve výši 35 milionů dolarů za to, že o únicích včas neinformovala investory. Tento případ jasně ukazuje, jak se abstraktní kybernetické riziko přeměnilo v konkrétní, stamilionovou ztrátu, která přímo ovlivnila hodnotu celé transakce.

Podobný scénář se odehrál při akvizici hotelového řetězce Starwood společností Marriott. Marriott po akvizici zjistil, že systémy Starwoodu byly kompromitovány několik let před uzavřením obchodu, což vedlo k masivnímu úniku osobních údajů stovek milionů hostů. Následovala pokuta ve výši 18,4 milionu liber od britského úřadu pro ochranu údajů (ICO) za porušení GDPR a nedozírné poškození reputace.

Tyto případy dokazují, že kybernetická bezpečnost již není jen technickou záležitostí IT oddělení – stala se klíčovým prvkem finančního a právního hodnocení každé M&A transakce.

Co Přesně Znamená Due Diligence Kybernetické Bezpečnosti?

Due diligence kybernetické bezpečnosti je systematický proces, jehož cílem je identifikovat, analyzovat a vyhodnotit kybernetická rizika spojená s cílovou společností. Nejde o pouhé přijetí informací, které vám prodávající strana poskytne; jedná se o hloubkovou a nezávislou prověrku, která jde pod povrch a ověřuje skutečný stav její bezpečnostní vyspělosti. 

Cílem je odhalit skryté zranitelnosti, historické incidenty a nesoulad s regulacemi, které by mohly snížit hodnotu akvizice nebo dokonce ohrozit celou transakci.

Tento proces zahrnuje jak přezkum dokumentace, tak i technické testování. Mezi základní technické prověrky, se kterými se v praxi setkáte, patří dva klíčové postupy:

1. Skenování zranitelností (Vulnerability Scanning): Představte si to jako automatizovanou bezpečnostní kontrolu, která systematicky prochází IT systémy cílové společnosti a hledá známé slabiny – například neaktualizovaný software, špatně nastavené servery nebo otevřené porty. Je to rychlý a efektivní způsob, jak získat základní přehled o hygieně a stavu zabezpečení.

2. Penetrační testování (Penetration Testing): Toto je mnohem pokročilejší metoda. Tým etických hackerů se aktivně pokouší prolomit obranu cílové společnosti a simuluje reálný útok. Cílem není způsobit škodu, ale zjistit, jak daleko se útočník může dostat, jaké údaje může získat a jak efektivně fungují stávající obranné mechanismy. Jde o test odolnosti v reálných podmínkách.

Ačkoliv tyto technické testy provádějí specializovaní odborníci, právníci ARROWS jsou nepostradatelní pro právní zarámování celého procesu. Zajišťujeme přípravu smluv s etickými hackery, dohlížíme na soulad s ochranou osobních údajů během testování a především interpretujeme technická zjištění z hlediska právních a finančních rizik. Pomáháme tak přeměnit technická data v jasné a srozumitelné podklady pro vaše obchodní rozhodnutí.

Jaké Jsou Nejčastější Skryté Hrozby, Které Můžete Zdědit?

Při akvizici přebíráte nejen aktiva, ale i skryté závazky. V digitálním světě mohou mít tyto závazky podobu komplexních a vzájemně propojených hrozeb, které nejsou na první pohled zřejmé. Je klíčové vědět, na co se zaměřit.

Zastaralé (Legacy) Systémy a Technologický Dluh

Mnoho zavedených firem funguje na starších IT systémech, které již výrobce nepodporuje a nevydává pro ně bezpečnostní aktualizace. Tyto tzv. legacy systémy představují otevřené dveře pro útočníky. Akvizicí takové společnosti přebíráte i její technologický dluh – skryté náklady na budoucí modernizaci nebo výměnu těchto rizikových systémů, které musíte započítat do celkové ceny transakce.

Nevíte si s daným tématem rady?

Rizika Třetích Stran a Dodavatelského Řetězce

Bezpečnost vaší nové akvizice je jen tak silná, jak silný je její nejslabší článek. Tímto článkem jsou často externí dodavatelé, partneři a poskytovatelé služeb, kteří mají přístup do firemních systémů a k citlivým datům. Pokud cílová společnost důkladně neprověřuje bezpečnost svých partnerů, přebíráte riziko, že útok přijde právě přes jednoho z nich. Nedostatečně zabezpečený dodavatel se může stát vstupní branou do vaší nově nabyté sítě.

Nezjištěné Úniky Dat a Spící Hrozby (Advanced Persistent Threats - APTs)

Nejnebezpečnější hrozby jsou ty, o kterých nevíte. Útočníci se mohou v síti skrývat měsíce i roky, sbírat data a čekat na vhodný okamžik k útoku. Tyto pokročilé trvalé hrozby (APTs) jsou často odhaleny až po akvizici, kdy změny v IT infrastruktuře naruší jejich krytí. Jak ukázal případ Marriott/Starwood, můžete tak nevědomky převzít společnost, která je již léta kompromitovaná.

Slabá Bezpečnostní Kultura a Interní Hrozby

Technologie je jen polovina úspěchu. Tou druhou je člověk. Pokud v cílové společnosti panuje slabá bezpečnostní kultura – zaměstnanci používají slabá hesla, nedbají na bezpečnostní školení a jsou náchylní k phishingovým útokům – představuje to obrovské riziko. Lidská chyba je stále jednou z nejčastějších příčin bezpečnostních incidentů, a proto je posouzení firemní kultury a povědomí zaměstnanců o bezpečnosti klíčovou součástí due diligence.

Právní tým ARROWS má rozsáhlé zkušenosti s prověřováním smluvních závazků s dodavateli a posouzením, jak jsou v nich ošetřena rizika a odpovědnost za bezpečnostní incidenty. Tato analýza je zásadní pro efektivní řízení rizik plynoucích z dodavatelského řetězce a pro ochranu vaší investice.

Identifikace Hrozeb v Předakviziční Fázi

Následující tabulka shrnuje klíčová rizika, která je nutné prověřit před podpisem smlouvy, a ukazuje, jak vám mohou naši právníci pomoci je efektivně řešit.

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Nezjištěný nesoulad s GDPR/NIS2. Hrozí pokuty až do 4 % celosvětového obratu, reputační škoda.	Právní stanoviska a compliance audit. Posoudíme soulad cílové společnosti s platnou regulací a identifikujeme kritická rizika.
Historie neohlášených úniků dat. Riziko snížení kupní ceny (viz Yahoo), budoucí soudní spory a pokuty.	Revize smluv a vyjednávání. Pomůžeme Vám vyjednat specifické representations and warranties v kupní smlouvě, které vás ochrání.
Slabé nebo neexistující interní bezpečnostní směrnice. Zvyšuje riziko interních hrozeb a lidských chyb.	Vyhotovení interních směrnic. Připravíme nebo zrevidujeme interní dokumentaci tak, aby odpovídala best practice a snižovala rizika.
Nevýhodné smlouvy s IT dodavateli. Skryté závazky, nedostatečné záruky bezpečnosti, riziko "vendor lock-in".	Příprava nebo revize smluv. Analyzujeme smlouvy s třetími stranami a identifikujeme smluvní rizika a nedostatečné záruky.
Nejasné vlastnictví duševního vlastnictví (IP) a dat. Riziko krádeže obchodního tajemství a klíčového IP.	Právní konzultace a ochrana IP. Prověříme ochranu a vlastnictví klíčových digitálních aktiv a navrhneme opatření k jejich zabezpečení.
Absence plánu reakce na incidenty (Incident Response Plan). Zvyšuje dopad případného útoku, prodlužuje odstávku.	Příprava dokumentace, která ochrání před pokutami. Pomůžeme nastavit právní rámec pro efektivní plán reakce na incidenty.
Probíhající vyšetřování ze strany regulačních orgánů. Potenciální pokuty a zákazy činnosti.	Zastupování u správních orgánů. Poskytneme plnou právní podporu při jednání s úřady a v rámci případných správních řízení.

Nová Směrnice NIS2 a GDPR: Jaké Právní Povinnosti Nesmíte Ignorovat?

Regulatorní prostředí v oblasti kybernetické bezpečnosti se neustále zpřísňuje a neznalost zákona neomlouvá. Dvě klíčové regulace – GDPR a nová směrnice NIS2 – představují pro M&A transakce zásadní právní rámec, jehož porušení může vést k likvidačním pokutám.

Na koho se můžete obrátit?

Směrnice NIS2, která musí být implementována do národních legislativ do října 2024, dramaticky mění pravidla hry, a to především zavedením osobní odpovědnosti managementu. Pro vás jako vedoucí pracovníky, investory nebo členy statutárních orgánů to znamená, že kybernetická bezpečnost již není jen odpovědností firmy, ale i vaší osobní.

Klíčové povinnosti podle NIS2 zahrnují:

• Odpovědnost managementu: Vedení společnosti je přímo odpovědné za schvalování a dohled nad opatřeními v oblasti řízení kybernetických rizik. Členové vedení musí absolvovat povinná školení a v případě hrubé nedbalosti jim mohou být dočasně zakázány manažerské funkce.
• Řízení rizik v dodavatelském řetězci: NIS2 vyžaduje, aby společnosti aktivně posuzovaly a řídily kybernetická rizika spojená s jejich klíčovými dodavateli a partnery. Nestačí se starat jen o vlastní bezpečnost, musíte prověřovat i své okolí.
• Přísné ohlašovací povinnosti: V případě závažného bezpečnostního incidentu musí dotčená společnost podat první varování úřadům do 24 hodin, detailnější hlášení do 72 hodin a finální zprávu do jednoho měsíce.

Sankce za nedodržení NIS2 jsou tvrdé. Pro tzv. "základní subjekty" mohou pokuty dosáhnout až 10 milionů EUR nebo 2 % z celkového celosvětového ročního obratu, podle toho, která částka je vyšší. Tyto povinnosti se navíc sčítají s již existujícími přísnými pravidly GDPR, které chrání osobní údaje a za jejichž porušení hrozí pokuty až 4 % z celosvětového obratu.

Při přeshraničních M&A transakcích je nezbytné rozumět, jak se národní implementace NIS2 a GDPR v jednotlivých zemích liší. Díky deset let budované síti ARROWS International denně řešíme problematiku s mezinárodním prvkem a dokážeme zajistit soulad s regulacemi napříč jurisdikcemi, což je pro úspěch mezinárodních transakcí klíčové.

Jak Vypadá Efektivní Proces Due Diligence v Praxi?

Úspěšná due diligence kybernetické bezpečnosti není jednorázová akce, ale strukturovaný proces, který probíhá v několika fázích. Pro lepší přehlednost jej můžeme rozdělit na kroky před, během a po transakci.

Před transakcí: Strategická příprava

V této fázi je cílem získat co nejlepší přehled o rizicích s minimálním zásahem do cílové společnosti.

• Vytvoření rizikového profilu: Začíná se analýzou velikosti, složitosti a odvětví cílové firmy. Působí v regulovaném sektoru, jako je zdravotnictví nebo finance? Jaká data zpracovává? To určí hloubku a zaměření následné prověrky.
• Analýza externí stopy: Pomocí specializovaných nástrojů se provede pasivní skenování veřejně dostupných informací o cílové společnosti. Hledají se zranitelnosti v jejích webových aplikacích, nezabezpečené servery nebo uniklé přihlašovací údaje na dark webu. Tento krok lze provést diskrétně, bez přímé spolupráce s cílem.
• Revize dokumentace: Po navázání kontaktu se vyžádá klíčová dokumentace: interní bezpečnostní směrnice, plány reakce na incidenty, protokoly z minulých auditů a platné certifikace (např. ISO 27001). ARROWS provádí právní analýzu těchto dokumentů, aby zajistila jejich soulad se zákonem a identifikovala potenciální právní odpovědnost.

Během transakce: Hloubková prověrka

Tato fáze zahrnuje přímou spolupráci s cílovou společností a detailní technickou i právní analýzu.

• Hloubková analýza a technické testování: Probíhají rozhovory s managementem a IT týmem, skenování zranitelností a případně i penetrační testy. Cílem je ověřit, zda deklarovaná bezpečnostní opatření skutečně fungují v praxi.
• Inventarizace aktiv: Vytvoří se podrobný soupis všech klíčových digitálních aktiv – serverů, databází, aplikací, cloudových služeb – a posoudí se úroveň jejich zabezpečení.
• Právní a smluvní prověrka: Naši právníci detailně analyzují smlouvy s IT dodavateli, licenční ujednání, smlouvy se zákazníky a interní směrnice o ochraně osobních údajů, aby odhalili skryté závazky a rizika.

Nevíte si s daným tématem rady?

Po transakci: Bezpečná integrace

Podpisem smlouvy práce nekončí, naopak začíná kritická fáze integrace.

• Plánování integrace: Na základě zjištění z due diligence se vytvoří detailní plán pro bezpečné sloučení IT systémů, sjednocení bezpečnostních politik a proškolení zaměstnanců obou firem na nová pravidla. Tento plán je klíčový pro minimalizaci rizik v období po akvizici.

Integrace po Fúzi: Proč Práce Kybernetickou Bezpečností Nezačíná ani Nekončí Podpisem Smlouvy?

Období bezprostředně po uzavření M&A transakce je z hlediska kybernetické bezpečnosti tím nejrizikovějším. Pozornost managementu se často přesouvá na provozní a finanční aspekty integrace, zatímco IT a bezpečnostní týmy čelí obrovskému tlaku a chaosu. Útočníci si jsou této zranitelnosti dobře vědomi a cíleně ji zneužívají. Statistiky ukazují, že počet phishingových útoků na společnosti po oznámení akvizice může vzrůst až o 400 %.

Post-integrační fáze přináší několik specifických výzev, které je nutné aktivně řídit:

• Střet bezpečnostních kultur: Každá firma má jiný přístup k bezpečnosti, jiné postupy a jinou úroveň povědomí zaměstnanců. Sloučení dvou odlišných kultur bez jasného plánu a komunikace nevyhnutelně vede k nedorozuměním, bezpečnostním mezerám a frustraci na obou stranách.
• Integrace nesourodých IT systémů: Spojit dvě odlišné sítě, různé verze softwaru a nekompatibilní aplikace je technicky extrémně náročné. Uspěchaná nebo špatně naplánovaná integrace může vytvořit nové zranitelnosti, způsobit ztrátu dat nebo vést k neplánovaným výpadkům, které poškodí jak interní provoz, tak vztahy se zákazníky.
• Problémy se správou identit a přístupů (IAM): V chaosu po fúzi je klíčové zajistit, aby noví zaměstnanci získali správné přístupy do systémů a aby ti odcházející o ně okamžitě přišli. Špatně řízený proces IAM je jednou z nejčastějších příčin úniků dat v tomto období.

Neúspěch v post-integrační fázi může zmařit očekávané synergické efekty celé transakce, vést k neplánovaným nákladům a trvale poškodit reputaci nově vzniklé společnosti.

S našimi zkušenostmi z poskytování dlouhodobých služeb pro více než 150 akciových společností a 250 s.r.o. rozumíme komplexitě a rizikům post-integrační fáze. Víme, jaké právní kroky jsou nezbytné pro hladký a bezpečný přechod a pomáháme našim klientům toto kritické období úspěšně zvládnout.

Zvládání Rizik Během a po Integraci

Následující tabulka se zaměřuje na dynamická rizika, která vznikají během a po technické a kulturní integraci obou společností, a ukazuje, jak vám ARROWS může pomoci je řídit.

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Ztráta nebo poškození dat během migrace systémů. Provozní výpadky, ztráta důvěry zákazníků, porušení GDPR.	Příprava smluvní dokumentace. Zajistíme, aby smlouvy s IT integrátory obsahovaly silné záruky a klauzule o odpovědnosti za ztrátu dat.
Nekonzistentní bezpečnostní politiky a postupy. Vytváří bezpečnostní mezery a zmatek mezi zaměstnanci.	Vyhotovení sjednocených interních směrnic. Pomůžeme vytvořit a implementovat jednotný a právně platný soubor bezpečnostních pravidel.
Interní hrozby od odcházejících zaměstnanců. Krádež dat, sabotáž systémů, zneužití přístupových údajů.	Právní konzultace a pracovněprávní poradenství. Navrhneme postupy pro bezpečné ukončení pracovních poměrů a ochranu firemních dat.
Nedostatečné proškolení zaměstnanců na nové systémy a hrozby. Zvyšuje riziko lidské chyby a úspěšnosti phishingu.	Odborná školení pro zaměstnance a vedení. Poskytneme certifikovaná školení zaměřená na nové politiky a aktuální kybernetické hrozby.
Nesoulad s novými regulatorními povinnostmi (např. NIS2). Akvizicí menší firmy může vzniknout povinnost plnit NIS2.	Získání licencí nebo potřebných povolení. Posoudíme regulatorní dopady transakce a zajistíme veškeré potřebné registrace a povolení.
Spory s dodavateli ohledně integračních prací. Zpoždění projektu, překročení rozpočtu, nekvalitní práce.	Zastupování u soudů a správních orgánů. Poskytneme plnou právní podporu při řešení sporů s dodavateli, včetně mimosoudního jednání.
Nezabezpečená likvidace nepotřebných dat a hardwaru. Riziko úniku citlivých informací ze starých zařízení.	Příprava podkladů stanovených zákonem. Zajistíme, aby proces likvidace aktiv proběhl v souladu se zákony o ochraně dat a životního prostředí.

Váš Partner pro Bezpečné Transakce: Jak Vám Může ARROWS Pomoci?

Jak jsme ukázali, due diligence kybernetické bezpečnosti je komplexní a nepostradatelnou součástí každé moderní M&A transakce. Nejde o volitelný doplněk, ale o zásadní proces, který chrání finanční hodnotu vaší investice, minimalizuje právní rizika a zajišťuje soulad s neustále se zpřísňující legislativou. Podcenění těchto rizik může vést nejen ke snížení kupní ceny, ale i k dlouhodobým finančním ztrátám, poškození reputace a osobní odpovědnosti managementu.

V ARROWS si ceníme podnikatelských nápadů a rádi propojujeme naše klienty, pokud vidíme zajímavé investiční či obchodní příležitosti. Chápeme, že M&A transakce nejsou jen o právu, ale především o byznysu. Naším cílem je být vaším strategickým partnerem, který vám pomůže dosáhnout vašich cílů bezpečně a efektivně.

Plánujete akvizici a chcete mít jistotu, že vás nečekají žádná nepříjemná překvapení? Nepodceňujte skrytá kybernetická rizika. Kontaktujte nás. Naši specialisté v ARROWS jsou připraveni provést vás celým procesem, ochránit hodnotu vaší investice a zajistit, aby vaše transakce byla nejen úspěšná, ale i bezpečná.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.