Když firma přijde o peníze kvůli phishingu: Právní odpovědnost manažerů a vedení společnosti

JUDr. Jakub Dohnal, Ph.D., LL.M.
JUDr. Jakub Dohnal, Ph.D., LL.M.
20.4.2026 | ARROWS advokátní kancelář

Phishing už není jen IT problém. Nový zákon o kybernetické bezpečnosti (účinný od listopadu 2025) přesouvá osobní odpovědnost za zabezpečení firmy na manažery a vedení společnosti. Pokud firma přijde o peníze kvůli phishingu a nebyly zavedeny adekvátní bezpečnostní opatření, hrozí manažerům sankce až 20 milionů korun, pokuty pro firmu a potenciálně další právní důsledky vedoucí až k zákazu výkonu funkce. Klíčové je aktivní řízení kybernetických rizik.

Na obrázku vidíme právníka diskutujícího o tématu osobní odpovědnost manažerů.

  • Phishingové útoky zasahují firmy v Česku stále více – aktuální statistiky ukazují výrazný nárůst útoků v posledním období, přičemž průměrná firma čelí tisícům útoků týdně.
  • Nový zákon o kybernetické bezpečnosti (transpozice směrnice NIS2) přesunul odpovědnost z IT specialistů přímo na manažery; zanedbání bezpečnostních povinností vytváří přímou osobní a civilní odpovědnost vedení za způsobenou škodu.
  • Pokud vedení nezajistí minimální bezpečnostní standardy (např. vícefaktorová autentizace, školení zaměstnanců, detekce incidentů), hrozí mu nejen pokuty pro firmu (až 2 procenta ročního obratu), ale také osobní majetková odpovědnost a v závažných případech i možnost zákazu výkonu funkce v rámci souvisejících řízení.
  • Právníci z ARROWS advokátní kanceláře mohou pomoci s přípravou compliance programu, obranou proti pokutám a jednáním s regulátory, aby se vedení firem vyhnulo těmto katastrofálním scénářům.

Jakou krizi řešíme: Phishing a Business Email Compromise

Phishing se řadí mezi nejnebezpečnější kybernetické útoky právě proto, že se zaměřuje na lidský faktor, ne na technickou slabinu. Typicky jde o e-mail, který se tváří, jako by jej poslala banka, vedoucí společnosti nebo obchodní partner. Oběť – často zaměstnanec – klikne na podezřelý odkaz, zadá přihlašovací údaje, nebo autorizuje platbu, kterou si myslí, že je legitimní. Za pár sekund jsou peníze pryč. U incidentů tohoto typu se vyplatí řešit nejen technickou stránku, ale i smluvní a odpovědnostní nastavení procesů, se kterým pomáhá it a softwarové právo, kyberbezpečnost.

V České republice se situace v posledních měsících výrazně zhoršila. Aktuální data z loňského roku ukazují, že počet kyberútoků v zemi vzrostl o desítky procent, což znamená, že na průměrnou firmu míří v průměru tisíce útoků týdně. Globálně pak takzvané Business Email Compromise (BEC) scamy – kdy se útočník vydává za vedení firmy a požaduje převod finančních prostředků – způsobily za posledních deset let škody převyšující desítky miliard dolarů.

V České republice se nejčastěji setkáváme s těmito variantami phishingu: tradičním e-mailovým phishingem, kdy je e-mail rozeslán hromadně na tisíce náhodných adres; spear phishingem, což je cílený útok, ve kterém si útočník obsáhle připraví profil své oběti a upraví zprávu právě pro ni; a CEO fraud neboli podvodem vydávajícím se za vedoucího, kdy se hacker vydává za ředitele či majitele a instruuje nižší zaměstnance, aby převedli peníze. Nejnebezpečnější variantou z hlediska finančních ztrát je právě CEO fraud a Business Email Compromise, protože cílí na lidi v pozicích s autorizací k finančním transakcím a přesvědčují je psychologickou manipulací (vykonstruovaná naléhavost, předstíraná autorita).

Když pak skutečně dojde ke ztrátě, začínají problémy. Firma – nebo přesněji její vedení – se náhle ocitá v situaci, kdy musí čelit několika právním frontám současně: možnému trestnímu stíhání, sankcím od regulátorů, civilním žalobám a také vnitřním procesům. Praktické dopady pro HR a spolupráci s externisty (včetně rizik „skrytého zaměstnávání“ a daňových dopadů) shrnuje také článek Externí dodavatelé versus zaměstnanci: Jak správně nastavit smluvní vztahy a eliminovat daňová rizika skrytého zaměstnávání.

Právní realita: Nový zákon přesouvá odpovědnost na vedení

Dlouhá léta bylo běžným postupem, že odpovědnost za kybernetickou bezpečnost spočívala na IT oddělení. Ředitel či jednatel se staral o finanční výsledky a prodej, IT manažer řešil bezpečnost sítě. Ten model se s příchodem nové legislativy explicitně změnil.

Nový zákon o kybernetické bezpečnosti (NIS2)

Nový zákon o kybernetické bezpečnosti, který vstoupí v účinnost 1. listopadu 2025, je transpozicí evropské směrnice NIS2 do českého právního řádu. Tento právní předpis změnil pravidla hry zásadním způsobem: definuje kybernetickou bezpečnost jako neodloučitelnou součást péče řádného hospodáře, což je právnický pojem pro povinnost, kterou mají všichni manažeři a vlastníci firem ve vztahu k majetku a provozu společnosti (viz např. § 52 a násl. zákona č. 90/2012 Sb., o obchodních korporacích a družstvech, pro obchodní korporace a § 159 zákona č. 89/2012 Sb., občanský zákoník, pro obecný princip).

Zákon se vztahuje na osobitě definované subjekty – právnické osoby poskytující kritické služby (energetika, doprava, zdravotnictví, vodárenství apod.), ale také na poskytovatele digitálních služeb a další subjekty, na které dopadá regulace. Odhady hovoří o tom, že v České republice se to dotýká několika tisíc subjektů.

Klíčová novela spočívá v tom, že zákon explicitně stanovuje, že konečnou a nepřenositelnou odpovědnost za kybernetickou bezpečnost nese statutární orgán – tedy jednatelé, členové představenstva a další osoby na vrcholu organizace. Tato odpovědnost se nedá smluvně převést na externího IT dodavatele, IT specialistu (CISO – Chief Information Security Officer) nebo na zaměstnance. K nastavení vztahu se SaaS dodavateli (včetně VOP, licencí a ochrany dat) může posloužit i text SaaS platforma v EU: Právní ošetření VOP, GDPR a licenčních ujednání pro AI výstupy. Delegovat můžete jednotlivé úkoly a jejich výkon, ale právní odpovědnost zůstává na manažerovi.

Přímá odpovědnost statutárních orgánů

Co to konkrétně znamená v praxi? Vedení firmy musí aktivně schvalovat bezpečnostní politiky, dohlížet na jejich implementaci, účastnit se školení v oblasti kybernetické bezpečnosti a zajistit, aby byly alokovány adekvátní lidské a finanční zdroje na bezpečnost.

Nestačí pasivní přístup – například když si vedoucí „vezme na vědomí" zprávu od IT oddělení o aktuálním stavu bezpečnosti. Zákon vyžaduje aktivní, informovaný a obhajitelný přístup. Pokud vedení později selže při zabezpečení dat, know-how nebo IT infrastruktury a dojde ke kybernetickému incidentu (včetně phishingového útoku), Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) může uložit správní sankce. Zároveň se statutární orgány mohou stát cílem nároků na náhradu škody od společnosti, pokud porušily povinnost péče řádného hospodáře.

Trestní odpovědnost právnických osob je v České republice upravena samostatně zákonem č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim. Firmy odpovídají za téměř všechny trestné činy uvedené v trestním zákoníku, pokud k nim dojde v jejich zájmu a pokud nebyly učiněny všechny kroky, které na nich bylo možné spravedlivě požadovat, aby spáchání trestného činu zabránily.

Pokud by se v průběhu vyšetřování prokázalo, že vedení mohlo incidentu zabránit (například tím, že by zavedlo patřičná technická opatření nebo školila zaměstnance) a jeho opomenutí vedlo ke spáchání trestného činu, může dojít k trestní odpovědnosti firmy a rovněž k osobní trestní odpovědnosti konkrétních manažerů, např. za trestný čin porušení povinnosti při správě cizího majetku dle § 220 trestního zákoníku.

Kdy vedení osobně ručí za škodu?

Právní odpovědnost manažerů se v případě phishingového útoku může projevit v několika rovinách. Pojďme si je projít konkrétně.

Trestní odpovědnost

Pokud v důsledku nedostatečné kybernetické bezpečnosti firmy dojde k trestnému činu (např. podvod, neoprávněný přístup do počítačového systému, neoprávněné nakládání s osobními údaji, praní špinavých peněz), státní zástupce může stíhat jak fyzické osoby (útočníky), tak i právnickou osobu (firmu) podle zákona o trestní odpovědnosti právnických osob.

Klíčová otázka je: Mohlo by si vedení firmy říci „to je mimo naši kontrolu"? Podle českého práva ne. Pokud k trestnému činu dojde v zájmu firmy a vedení zanedbalo povinnosti týkající se bezpečnosti, může být firma trestně odpovědná. Zároveň může vzniknout osobní trestní odpovědnost manažerů, typicky za trestný čin porušení povinnosti při správě cizího majetku dle § 220 trestního zákoníku, pokud jejich závažné opomenutí povinnosti řádné péče způsobilo společnosti značnou škodu. Takové pochybení může vést k trestu odnětí svobody či peněžitým trestům.

Civilní odpovědnost

Na civilní úrovni – tedy v soukromém sporu – může firma či další poškozené strany (např. obchodní partneři, kterým firma selhala v ochraně jejich dat) žalovat jednotlivé manažery na náhradu škody. Právnická osoba (firma) může nárokovat náhradu škody na členech vedení, pokud ti porušili svou povinnost jednat s péčí řádného hospodáře a nezajistili adekvátní bezpečnost v souladu s příslušnými zákony a standardy.

Zde platí klíčový princip: pokud se prokáže, že jednatel nebo člen představenstva nezajistil minimální bezpečnostní opatření (např. vícefaktorovou autentizaci, pravidelné školení zaměstnanců, zálohy dat nebo monitorování bezpečnostních hrozeb) a tyto chyby přímo vedly k phishingovému útoku a ke ztrátě, nese odpovědnost za tuto škodu právě on.

Právníci z ARROWS advokátní kanceláře se s těmito situacemi setkávají: firmy se na ně obracejí s otázkou, zda mohou vymáhat peníze po svém vedení, pokud vedení zanedbalo bezpečnostní povinnosti a firma tím přišla o data či finance. Odpověď se často odvíjí od toho, zda vedení mělo sjednanou pojistku a co přesně bylo (nebo nebylo) sjednáno.

Správní pokuty

Na úrovni regulátora – NÚKIB – hrozí firmě a jejímu vedení správní sankce. Pro subjekty v režimu vyšších povinností činí pokuta až 2 procenta z celosvětového ročního obratu, pro ostatní subjekty pak až 1,4 procenta. U velkých korporací to znamená sankce v řádu desítek nebo stovek milionů korun.

Navíc nový zákon zavádí také nefinanční sankce: úřady mohou pozastavit nebo zrušit evropské bezpečnostní certifikace (např. ISO 27001, NIST, TISAX), což může způsobit závažné problémy v dodržování smluvních povinností vůči obchodním partnerům a vést k ztrátě kontraktů a tržního podílu.

A – nejvýznamnější novinkou – NÚKIB může v závažných případech uložit přímo členům statutárního orgánu pokutu až do výše 20 milionů korun.

Když se sečtou všechny tyto linie odpovědnosti, zjistíme, že vedení firmy v České republice čelí bez přehánění katastrofálnímu rozpětí rizik: pokuta pro firmu, pokuta pro jednotlivého manažera, civilní žaloba firmy na manažera, trestní stíhání státem a reputační újma. Zákaz výkonu funkce pak může být důsledkem závažného porušení povinností, nikoliv přímou sankcí od NÚKIB.

Praktické příklady: Co se děje v reálných situacích?

Aby bylo jasné, o čem si povídáme, pojďme si projít několik typických scénářů z praxe.

Případ 1: CEO fraud v průmyslové společnosti

Podnik zaměstnávající 500 lidí obdrží e-mail z „ředitele", který je zaměřen na vedoucího finančního oddělení. Ředitel v e-mailu napíše: „Jsme v jednáních o převzetí firmy XY, operaci musíme udržet v tajnosti. Potřebuji, abyste do zítřejšího rána převedli 50 milionů korun na tento účet: [falešný účet]. Děkuji, Martin Novotný, ředitel." E-mail vypadá legitimně – logika je správná, tón je vhodný, e-mailová adresa se liší jen jedním znakem od správné adresy (domain spoofing – technicky lehce ovladatelné).

Vedoucí finančního oddělení se rozhodne ověřit telefonicky. Volá se na ředitele. Ten, kdo zvedne sluchátko, říká: „Ano, je to správně, je to super-urgent, prosím proveď to teď." (Ve skutečnosti je to hacker, který se připojil na podobné číslo nebo si pronajal SIM kartu s číslicí blízkou ředitelovu číslu.) Vedoucí finančního oddělení převede peníze.

Druhý den se zjistí, že šedesát milionů korun se ocitlo na účtu kriminální sítě v Asii a je prakticky nedohledatelné.

Co se stane právně? Firma podá trestní oznámení. Policie zahájí vyšetřování (s minimální nadějí na obnovení peněz). Pojišťovna kybernetických rizik odmítá plnit s tím, že škoda vznikla kvůli „hrubé nedbalosti" vedoucího finančního oddělení (který neměl co hlášku ověřovat dalšími prostředky). Ale – a zde se věci komplikují – NÚKIB či předseda představenstva (je-li jiný než ředitel) si kladou otázku: Proč neměla firma zavedenu vícefaktorovou autentizaci na smlouvy o převodu takto velkých částek?

Proč neexistoval princip čtyř očí (four-eyes principle)? Proč vedení neprovádělo školení zaměstnanců o phishingu?

Vedení firmy se ocitá v situaci, kdy čelí nejen ztrátě peněz, ale také vyšetřování regulátora, civilním žalobám a potenciálně trestnímu stíhání za zanedbání povinností dle nového zákona.

Případ 2: Spear phishing v developerské společnosti

Developerská firma dostane e-mail od své banky s nabídkou „optimalizace financování". E-mail obsahuje osobní detaily o řediteli a o aktuálních projektech firmy (údaje získané z LinkedIn a veřejných zdrojů). Ředitel – což je člověk se zkušeností – si všimne, že e-mail není zcela standardní, ale text zní věrohodně.

Klikne na odkaz, který jej přivede na věrohodně vypadající repliku webové stránky banky. Zadá přihlašovací údaje. Útočník se nyní přihlásí s těmito údaji do skutečného internetového bankovnictví. Aktivuje si nové autorizační zařízení a převede dva miliony korun.

Otázka pro vedení: Proč nebyla zavedena vícefaktorová autentizace? Odpověď vedení: „Měli jsme na to málo lidí v IT, byla to malá cena na bezpečnost."

Právní důsledek: NÚKIB provede kontrolu a shledá, že vedení porušilo zákon tím, že nezajistilo základní bezpečnostní opatření. Pokuta pro firmu může být až 1,4 % z ročního obratu. Pokud by roční obrat firmy byl 2 miliardy korun, pokuta by mohla dosáhnout až 28 milionů korun. Navíc se vedení jednotlivě stává odpovědným za náhradu škody (2 miliony korun) a čelí osobní pokutě až 20 milionů korun od NÚKIB, pokud se prokáže, že mělo vědomost o riziku.

Případ 3: Phishing zaměstnance a odpovědnost firmy

Zaměstnanec dostane e-mail, který se tváří, že je od IT oddělení: „Kvůli bezpečnostní hrozbě prosím resetujte svůj SSH klíč na: [podezřelý odkaz]." Zaměstnanec klikne, zadá svoje údaje. Útočník získá přístup do interního serveru firmy a krade obchodní tajemství, která později prodá konkurenci.

Konkurence tímto získá průhled do připravovaného produktu a vývoje. Firma přijde o tržní výhodu a ztrácí kontrakty. Ztráta se vyčísluje na 50 milionů korun.

Podle českého trestního práva může být trestně stíhána i právnická osoba (firma), pokud se prokáže, že vedení selhalo v dohledu a prevenci a tím bylo umožněno spáchání trestného činu (např. neoprávněný přístup k počítačovému systému a nosiči informací). Vedení pak čelí riziku osobní trestní odpovědnosti, například za trestný čin porušení povinnosti při správě cizího majetku dle § 220 trestního zákoníku, pokud jeho opomenutí přímo vedlo ke značné škodě.

Právníci z ARROWS advokátní kanceláře v těchto situacích typicky pomáhají s obranou proti pokutám a sankcím od regulátorů, s jednáním s NÚKIB, a také s vyhodnocením, zda je možné vymáhat náhradu na jednotlivých manažerech, kteří zanedbali bezpečnostní povinnosti.

Související dotazy - Právní odpovědnost za phishingové útoky

1. Kdo přesně odpovídá za škodu způsobenou phishingem – banka, pojišťovna, zaměstnanec nebo vedení firmy?

Odpověď je: všichni, ale v různých měrách. Vedení firmy odpovídá za to, že nezajistilo adekvátní bezpečnostní opatření. Zaměstnanec odpovídá v řádu limitů – maximálně do 4,5násobku své průměrné mzdy, pokud nejednal úmyslně (viz § 257 odst. 2 zákoníku práce). Banka odpovídá za svou péči v oblasti bezpečnosti internetového bankovnictví, pokud neměla patřičné ochrany. Pojišťovna pak plní podle rozsahu pojistky, kterou si firma sjednala. Právníci z ARROWS advokátní kanceláře mohou vyhodnotit Váš případ a navrhnout řešení (office@arws.cz).

2. Jakou minimální bezpečnost musí vedení zajistit, aby se vyhnulo pokutě?

Nový zákon předepisuje minimální povinnosti, které se liší podle toho, zda spadáte do režimu nižších nebo vyšších povinností. V obou případech ale jde alespoň o: vícefaktorovou autentizaci (MFA), řízení přístupů, školení zaměstnanců, detekci bezpečnostních incidentů, plán obnovy a aktualizaci software. Vedení musí mít přehled, musí se ptát a musí mít důkazy, že bezpečnostní opatření skutečně fungují. Právníci z ARROWS advokátní kanceláře mohou pomoci s přípravou compliance programu a se zajištěním, aby vedení splňovalo všechny povinnosti dle zákona (office@arws.cz).

3. Co když zaměstnanec „hloupě" klikl na phishingový odkaz – hrozí mu vyhazov?

Zaměstnancům hrozí pracovněprávní postihy, ale český zákoník práce chrání zaměstnance limitem: odpovídá maximálně do 4,5násobku své průměrné mzdy, pokud nejednal úmyslně (§ 257 odst. 2 zákoníku práce). To znamená, že hromadný vyhazov všech zaměstnanců, kteří klikli na phishing, by pravděpodobně skončil soudem a podnikatel by ho prohrál. Vedení firmy by mělo investovat do školení a prevence, ne do pokut. Právníci z ARROWS advokátní kanceláře mohou poradit, jak správně reagovat na bezpečnostní incident v souladu s pracovněprávními povinnostmi (office@arws.cz).

Jak se bránit: Preventivní opatření a compliance

Jakmile vedení pochopí, že čelí osobní odpovědnosti, otázka zní: Jak se bránit? Odpověď spočívá v třech pilířích: technická opatření, organizační opatření a průběžná dokumentace.

Technická opatření

Vícefaktorová autentizace (MFA) musí být standard. To znamená, že každý zaměstnanec, který se přihlašuje do něčeho důležitého (e-mail, internetové bankovnictví, cloud aplikace), musí zadat nejen heslo, ale i jednorázový kód z aplikace či SMS. Důvod: i když útočník získá heslo, nezíská automaticky přístup.

Řízení přístupů podle principu nejnižších nutných práv (least privilege) znamená, že zaměstnanec má přístup jen k těm systémům a datům, které pro svou práci skutečně potřebuje. Finančník tedy nemá přístup ke všem projektům a strategickým datům.

Detekce bezpečnostních hrozeb a incidentů by měla být automatizovaná – tedy systémy, které kontinuálně monitorují síť a upozorňují na podezřelou aktivitu. Když se něco podezřelého děje, systém to zaznamenává a upozorňuje relevantní osoby.

Zálohy a plán obnovy jsou kritické: pokud dojde k útoku, firma by měla být schopna obnovit provoz bez ztráty kritických dat. To vyžaduje, aby vedení zajistilo pravidelné zálohování a testování plánu obnovy.

Aktualizace software je základ – když vyjde bezpečnostní patch pro software, firma by měla jej nasadit v rozumném čase. Zanedbávání updatů je jedním z nejčastějších důvodů, proč kybernetické útoky uspějí.

Organizační opatření

Školení zaměstnanců musí být pravidelné a konkrétní. Představuje-li vedení compliance program, ve kterém se zaměstnanci učí poznávat phishingové e-maily, hlásit je, a kde se vedení chválí těch, kteří podezřelou zprávu neshazují, vytváří se kultura odpovědnosti a bezpečnosti. To zásadně snižuje pravděpodobnost úspěšného phishingového útoku.

Bezpečnostní politika musí být psaná, jasná a dostupná všem zaměstnancům. Měla by obsahovat konkrétní pravidla: co dělat, když obdržíte podezřelý e-mail, jak se chovat s hesly, jaké jsou postupy v případě podezření na bezpečnostní incident atd.

Jmenování osob odpovědných za kybernetickou bezpečnost – například Chief Information Security Officer (CISO) či bezpečnostního manažera – usnadňuje komunikaci a zajišťuje, že témata bezpečnosti jsou systematicky řešena. Klíčové je ale, aby tyto osoby měly přímý přístup k vedení a mohly informovat management o statusu bezpečnosti bez zbytečných filtrů.

Incident response plan – plán, co dělat, když dojde k bezpečnostnímu incidentu – musí být přednapsaný a testovaný. To znamená: kdo se kontaktuje, jak se postupuje, jaké jsou fáze (detekce, izolace, obnovení, komunikace atd.). Když incident skutečně nastane, není čas na improvizaci – týmy musí vědět, co mají dělat. Tím se také minimalizuje čas, po který je firma ohrožena, a minimalizuje se škoda.

Dokumentace a audit

Zde je nejdůležitější pointa pro management: nový zákon nevyžaduje jen bezpečnost, ale i důkaz bezpečnosti. To znamená, že vedení musí mít prokazatelné evidence toho, že: schválilo bezpečnostní politiku, účastnilo se školení, provedlo audit bezpečnostních opatření, a že všechna vybraná opatření skutečně fungují.

Při kontrole ze strany NÚKIB nebudou stačit jen pěkné dokumenty na papíře – regulátor bude chtít vidět a ověřit, že systémy skutečně pracují. Typicky se to dělá prostřednictvím auditů třetích stran, které ověřují funkčnost bezpečnostních opatření a vytvářejí nezávislé zprávy o souladu se zákonem.

Právníci z ARROWS advokátní kanceláře se setkávají s tím, že vedení firem si nebere dostatečně vážně dokumentační povinnosti, a pak, když přijde regulátor, se zjistí, že bez důkazů o schvalování a monitorování bezpečnostních opatření je vedení snadnou cílem na sankce. Doporučujeme proto přípravu compliance programu, který bude zahrnovat jak technická a organizační opatření, tak i sadu postupů a záznamů, které prokáží vedení svou aktivitu (office@arws.cz).

Co dělat, když už je pozdě? Krize management po phishingovém útoku

Pokud firma zjistí, že byla obětí phishingového útoku a přišla o peníze, čas je kritický. Prvních 24–48 hodin jsou zásadní z hlediska toho, jak rychle se může škoda minimalizovat.

Bezprostřední kroky (hodiny 0–4 po detekci)

Okamžitou prioritou je technická stabilizace: napadené systémy se musí izolovat od internetu a interní sítě (bez jejich vypnutí, aby se nezničily stopy v operační paměti RAM). Evidence všech kroků – podrobný časově orazítkovaný záznam všech rozhodnutí a příkazů – se musí zahájit okamžitě, protože toto bude později zásadním důkazem pro NÚKIB či soud, že se vedení snažilo minimalizovat škodu.

Kontaktování pojišťovny kybernetických rizik (pokud si firma pojistku sjednala) je důležité v časovém okně – pojistky často obsahují lhůty, do nichž se musí incident nahlásit. Neplnění lhůty může vést k odmítnutí plnění.

Právníci z ARROWS advokátní kanceláře se setkávají se situacemi, kdy vedení firmy se snaží řešit incident samostatně a bez právní asistence dělá chyby, které později zhoršují pozici firmy. Doporučujeme proto, aby firmy kontaktovaly právníka co nejdříve po detekci incidentu – právník pak může koordinovat kroky se specialisty na krizový management, IT forenziku a komunikaci s úřady.

Nahlášení příslušným úřadům

Podle nařízení GDPR (nařízení (EU) 2016/679) – pokud v phishingovém útoku dojde k úniku osobních údajů – musí být incident nahlášen Úřadu pro ochranu osobních údajů (ÚOOÚ) bez zbytečného prodlení a nejpozději do 72 hodin od zjištění (čl. 33 GDPR).

Nový zákon o kybernetické bezpečnosti pak navíc vyžaduje, aby byly určité incidenty hlášeny NÚKIB, zejména pokud se týkají subjektů v režimu vyšších nebo základních povinností nebo jsou závažné povahy.

Oznámení policii také není automatické, ale v případě, že se jedná o trestný čin (podvod, neoprávněný přístup do systému), je doporučené, protože to nejen chrání samotnou firmu, ale i další potenciální oběti, pokud se policie následně bude věnovat pachateli.

Komunikace s veřejností a klienty

Když se o incidentu dozví zaměstnanci, klienti či obchodní partneři, jak s tím komunikovat? Zde je důležité být včasný, upřímný a jasně komunikovat, jaké kroky se dělají na nápravu. Mlčení či nedostatečné informace vedou k rychlejší ztrátě důvěry.

Doporučuje se vypracovat komunikační plán – kdo komunikuje s kým, v jakém pořadí, jaké informace se sdělují. To by mělo zahrnovat komunikaci se zaměstnanci, klienty, obchodními partnery a také médii, pokud se jedná o vážný případ, který se bude zveřejňovat.

Právníci z ARROWS advokátní kanceláře mohou pomoci s přípravou komunikační strategie, která minimalizuje reputační újmu a je v souladu s právními povinnostmi, zejména s povinnostmi notifikace dle GDPR a zákona o kybernetické bezpečnosti.

Budoucí soudní spory a vyšetřování

Po zjištění incidentu se vedení firmy často setkává se souběhem více procesů: vyšetřování od NÚKIB, vyšetřování od policie, nároky na náhradu od poškozených třetích stran, a také vnitřních procesů v samotné firmě. Každý z těchto procesů má své lhůty, procedury a rizika.

Právníci z ARROWS advokátní kanceláře mohou reprezentovat firmu a vedení ve všech těchto fázích – od počáteční komunikace s regulátory až po obhajobu proti pokutám a sankcím. Pojištění ARROWS advokátní kanceláře až do výše 400 milionů korun poskytuje klientům dodatečný komfort, že když se věci stávají vážnými, kancelář má prostředky na kvalitní obranu.

Možné problémy

Jak pomáhá ARROWS (office@arws.cz)

Vedení firmy neví , jaké bezpečnostní povinnosti ukládá nový zákon o kybernetické bezpečnosti, a jaká je jeho osobní odpovědnost.

Právníci z ARROWS advokátní kanceláře vypracují právní stanovisko s přesným výčtem povinností dle zákona a aktuálních standardů, a definují, co musí vedení aktivně zajistit, aby se vyhnulo pokutám a osobní odpovědnosti.

Firma se podrobuje kontrole od NÚKIB nebo jiného regulátora a chce se obhájit proti podezření, že bezpečnostní opatření nebyla dostatečná.

ARROWS advokátní kancelář zajistí právní reprezentaci při jednáních s regulátory, připraví důkazní materiály (audit, certifikace, záznamy o schvalování opatření), a bude obhajovat firmu a vedení proti uloženým pokutám.

Po phishingovém útoku, který vedl ke ztrátě peněz , vedení čelí hrozbě trestního stíhání a civilních žalob od klientů či partnerů.

Právníci z ARROWS advokátní kanceláře reprezentují vedení a firmu v trestním řízení (koordinace s prokuratorem, státní zástupce) i v civilních sporech, snažící se minimalizovat odpovědnost a dosáhnout nejlepšího možného výsledku.

Vedení chce připravit compliance program , aby se v budoucnu vyhnulo bezpečnostním incidentům a splnilo zákonné povinnosti.

ARROWS advokátní kancelář spolupracuje s IT specialisty na vytvoření compliance programu, který zahrnuje technická opatření, školení zaměstnanců, bezpečnostní politiky a systém dokumentace a auditů, aby vedení mohlo prokázat aktivní řízení kybernetických rizik.

Firma chce vymáhat náhradu škody na zaměstnanci , který kvůli phishingu způsobil škodu, nebo chce pochopit, jaké jsou její povinnosti vůči pojišťovně.

Právníci z ARROWS advokátní kanceláře analyzují konkrétní situaci , pracovněprávní omezení odpovědnosti zaměstnance, pojistné podmínky a aktuální judikaturu, a navrhují postupy, jak postupovat v souladu s právem bez zbytečného ohrožení pozice firmy.

Závěrečné shrnutí

Když se firma setkává s phishingovým útokem, který vede ke ztrátě peněz, realita se výrazně změnila v posledních měsících díky vstupu v platnost Nového zákona o kybernetické bezpečnosti. Odpovědnost již nespočívá pouze na IT oddělení – převádí se přímo na vedení firmy. Jednatelé a členové představenstva nyní osobně ručí za to, že jejich firma zavede adekvátní bezpečnostní opatření, dohlíží na jejich dodržování a má dokumentaci svého aktivního přístupu k řízení kybernetických rizik.

Tento právní posun má hluboký praktický dopad. Vedení, které dosud považovalo kybernetickou bezpečnost za okrajovou technickou záležitost, se nyní ocitá pod tlakem regulátorů, potenciálními sankcemi až desítky či stovky milionů korun pro firmu a až 20 milionů korun pro jednotlivého manažera, a také pod tlakem civilních žalob od poškozených třetích stran. Zároveň se vedení čelí reputační újmě – když se o bezpečnostním incidentu dozví klienti či veřejnost, důvěra ve firmu může být závažně poškozena a někdy již nebude obnovena.

Doporučujeme proto řešit toto téma bez odkládání. Prvním krokem je zajistit právní analýzu, která upřesní konkrétní povinnosti vaší firmy dle nového zákona. Druhým krokem je vypracování a implementace compliance programu, který bude zahrnovat technická opatření (MFA, řízení přístupů, detekce hrozeb), organizační opatření (školení zaměstnanců, bezpečnostní politiky, incident response plán) a důkazní záznamy (dokumentace rozhodnutí vedení, auditní zprávy, certifikace).

Pokud se vaší firmě podaří minimalizovat rizika bezpečnostních incidentů, ušetří si desítky milionů korun. Pokud ale k incidentu přesto dojde a vedení bude mít podezření, že mohlo být více připraveno, právníci z ARROWS advokátní kanceláře mohou pomoci s obranou proti regulačním pokutám, s řešením trestního řízení a s minimalizací civilní odpovědnosti. Kontaktujte ARROWS advokátní kancelář, pokud si chcete nechat vypracovat právní stanovisko nebo pokud čelíte bezpečnostnímu incidentu a potřebujete právní podporu (office@arws.cz).

FAQ: Otázky ohledně phishingových útoků

1. Kdy jsou peníze ztracené phishingovým útokem opravdu neobnovitelné, a existuje nějaký právní prostředek, jak je získat zpět?

V naprosté většině případů jsou peníze, které útočníci převedou phishingovým útokem, prakticky nedohledatelné. Tím, že se peníze přeposílají přes několik účtů a finanční sítě (často přes kryptoměny), policie a finanční instituce je nejsou schopny zajistit. V právní rovině má postižená firma v zásadě tři možnosti: požádat banku o vrácení peněz (banka zpravidla odmítá argumentem, že transakce byla autorizována), vymáhat náhradu od pojišťovny (pokud si pojistku sjednala) a podívat se na možnost, zda lze vymáhat náhradu na vedení firmy, pokud se prokáže, že vedení porušilo zákonné bezpečnostní povinnosti. Právníci z ARROWS advokátní kanceláře mohou projednat s bankou a pojišťovnou a hájit práva firmy na základě dostupných právních prostředků (office@arws.cz).

2. Co když zaměstnanec tvrdí, že si nechtěl ověřit e-mail, protože měl spěch a čelil tlaku nadřízeného?

Fakt, že byl zaměstnanec pod tlakem, není právně akceptovatelným omluvením. Každý zaměstnanec by měl dodržovat bezpečnostní postupy bez ohledu na časový tlak. To není soudním nebo právním zprostředkováním – je to společenským standardem. Pokud se vedení chce bránit pokutám regulátora s poukazem na „selhání jednotlivého zaměstnance", obvykle to nefunguje. NÚKIB bude argumentovat, že vedení mělo zajistit lepší procesy (princip čtyř očí, automatické kontroly apod.), aby se zabránilo jednomu zaměstnanci v tom, aby způsobil tak velkou škodu. Právníci z ARROWS advokátní kanceláře se setkávají s těmito situacemi a znají argumenty, kterých NÚKIB typicky používá – mohou tedy pomoci s přípravou obrany, která bude věrohodná a legální (office@arws.cz).

3. Jaká je lhůta, do níž musí vedení nahlásit bezpečnostní incident regulátorům?

Pokud bezpečnostní incident zahrnuje únik osobních údajů, musí být nahlášen Úřadu pro ochranu osobních údajů (ÚOOÚ) bez zbytečného prodlení a nejpozději do 72 hodin od zjištění (čl. 33 GDPR). Nový zákon o kybernetické bezpečnosti pak vyžaduje, aby byly určité závažné incidenty hlášeny NÚKIB také v časovém okně, zpravidla bez zbytečného prodlení, přičemž upřesňuje konkrétní lhůty pro jednotlivé fáze hlášení. Neplnění těchto lhůt samo o sobě může vést k dodatečné pokutě.Právníci z ARROWS advokátní kanceláře mohou pomoci koordinovat všechny tyto notifikace a zajistit, aby byly prováděny správně a včas (office@arws.cz).

4. Lze vedení firmy odradit od odpovědnosti pojistkou, která pokrývá kybernetické riziko?

Pojistka kybernetických rizik může výrazně snížit finanční dopad bezpečnostního incidentu – pokud si firma pojistku sjednala a pokud pojistka pokrývá konkrétní situaci. Avšak pojistka nechrání vedení před tím, že musí splnit zákonné bezpečnostní povinnosti. To znamená, že pojistka nezbavuje vedení povinnosti zavést opatření dle zákona. Pokud NÚKIB zjistí, že vedení zcela zanedbalo bezpečnostní povinnosti, regulátor bude trvat na pokutě i přes existenci pojistky.Právníci z ARROWS advokátní kanceláře doporučují pojistku jako součást komplexního přístupu k řízení rizik, ale nikoli jako náhradu za aktivní řízení bezpečnosti (office@arws.cz).

5. Co když firma operuje v globálním trhu a podléhá také americké či evropské regulaci mimo ČR?

Pokud firma operuje v USA, podléhá také americkým zákonům o ochraně dat a kybernetické bezpečnosti (např. CCPA, HIPAA, různým státním zákonům). V EU se postupně zavádí pravidla podobná NIS2 v jednotlivých členských státech, případně navazující nařízení jako DORA pro finanční sektor. Znamená to, že vedení firmy čelí mozaice regulačních povinností v různých jurisdikcích. To zvyšuje složitost a riziko porušení. Právníci z ARROWS advokátní kanceláře prostřednictvím mezinárodní sítě ARROWS International se mohou podílet na koordinaci právní strategie a obrany v různých zemích, aby byla zajištěna konzistence a účinnost přístupu (office@arws.cz).

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.

Čtěte také