MENU
CZ

Kyberbezpečnost se stává osobní odpovědností jednatelů

12.5.2025

Kybernetická bezpečnost již není jen technickou záležitostí IT oddělení – s příchodem evropské směrnice NIS2 a nového českého zákona o kybernetické bezpečnosti se z ní stává prioritní téma pro vrcholové vedení firem. Od 1. července 2025 by měl v ČR vstoupit v platnost nový zákon transponující NIS2. Tato legislativa si klade za cíl podstatně zvýšit kybernetickou odolnost organizací a zásadně rozšiřuje okruh firem a institucí, na které dopadne – odhady hovoří o několika tisících subjektů v ČR. Pro jednatele a další členy statutárních orgánů to znamená nejen nové povinnosti, ale také osobní odpovědnost za jejich splnění. Neznalost zákona přitom neomlouvá a případné selhání může mít vážné důsledky. Tento článek vysvětluje hlavní změny a povinnosti, zdůrazňuje rizika neplnění a nabízí praktická doporučení, jak se připravit – to vše srozumitelně, na příkladech z praxe a s ohledem na odpovědnost managementu.

Autor článku: ARROWS advokátní kancelář (JUDr. Kateřina Müllerová, office@arws.cz, +420 245 007 740)

Nové povinnosti pro jednatele v oblasti kyberbezpečnosti

Směrnice NIS2 a nový zákon kladou mnohem větší důraz na zapojení vrcholového vedení do zajištění kybernetické bezpečnosti. Jednatelé a členové představenstva ponesou přímou odpovědnost za to, že jejich firma splňuje požadavky těchto předpisů. Prakticky to znamená, že pokud vaše společnost spadá do regulace, musíte zajistit zavedení všech potřebných opatření, dohlížet na jejich dodržování a vyčlenit na kybernetickou bezpečnost dostatečné zdroje. Tato odpovědnost přitom platí bez ohledu na vaši technickou odbornost – nelze se jí zprostit ani ji na někoho převést. Nová úprava výslovně vyžaduje, aby členové statutárního orgánu jednali s péčí řádného hospodáře, do které nyní spadá i oblast kyberbezpečnosti.

Ještě před tím, než firma začne plnit konkrétní bezpečnostní opatření, musí vyhodnotit, zda na ni zákon dopadá. K tomu slouží proces tzv. samoidentifikace, při němž podnik posoudí svou velikost, obor činnosti a další kritéria stanovená zákonem. Pokud zjistí, že spadá pod regulaci, má povinnost se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Následně je nutné zavést komplexní systém technických a organizačních opatření, mezi něž patří zejména:

  • Řízení kybernetických rizik a bezpečnostní politika: Identifikace a správa rizik, tvorba interních bezpečnostních směrnic a pravidel.
  • Hlášení incidentů: Nastavení procesu pro včasné ohlášení kybernetických incidentů NÚKIB a řešení těchto situací.
  • Školení zaměstnanců i vedení: Pravidelné vzdělávání pracovníků na všech úrovních (včetně vrcholového vedení) o kybernetických hrozbách a bezpečnostních postupech.
  • Bezpečnost dodavatelského řetězce: Kontrola a zajištění, že i dodavatelé a partneři splňují odpovídající standardy kybernetické bezpečnosti.
  • Ochrana datových toků: Přijetí opatření k ochraně sítí, systémů a citlivých dat před neoprávněným přístupem.

Všechna přijatá opatření a postupy je navíc nutné efektivně dokumentovat, aby firma v případě kontroly mohla prokázat, že bezpečnostní pravidla nejen zavedla na papíře, ale také reálně uplatňuje. Formální přijetí politik bez skutečné realizace již nestačí – úřady budou požadovat důkazy o funkčním zabezpečení a průběžném dodržování pravidel. Jednatelé budou povinně absolvovat školení o kybernetické bezpečnosti a aktivně se podílet na dohledu nad dodržováním všech těchto pravidel.

office@arws.cz 245 007 740

Rizika a sankce při neplnění povinností

Nová regulace dává kyberbezpečnosti podobnou váhu, jakou má například finanční účetnictví – a tomu odpovídají i sankce. Nesplnění povinností může mít pro firmu i její vedení velmi citelné následky. Regulované společnosti mohou dostat pokuty až do výše 2 % z celkového ročního obratu (u největších firem) nebo 1,4 % u méně kritických subjektů. To může pro velké podniky znamenat sankce v řádu desítek či stovek milionů korun. Kromě těchto finančních postihů zavádí NIS2 také nefinanční sankce – úřady mohou například pozastavit platnost bezpečnostních certifikací společnosti nebo dočasně zakázat dané firmě poskytovat určité služby.

Ještě významnější novinkou je však přímá osobní odpovědnost statutárních orgánů. Pokud firma poruší povinnosti kybernetické bezpečnosti, mohou být postiženi přímo její jednatelé či členové představenstva. Hrozí jim osobní odpovědnost za způsobenou škodu (včetně nemajetkové újmy) – například pokud kvůli podceněné bezpečnosti uniknou citlivá data obchodních partnerů, mohou po nich poškození vymáhat náhradu. Dále může dojít i na ručení věřitelům za dluhy společnosti, pokud se firma kvůli bezpečnostnímu incidentu dostane do platební neschopnosti. Regulátor (NÚKIB) navíc získá pravomoc iniciovat vyloučení člena vedení z funkce až na 3 roky – tedy zákaz výkonu funkce statutára – a uložit mu peněžitou pokutu až 20 miliónů Kč. Ani případná trestní odpovědnost není vyloučena – v extrémních situacích může hrubé zanedbání povinností vést až k trestněprávním důsledkům.

Tyto sankce nejsou jen teoretické hrozby. Osobní postihy vedoucích pracovníků by znamenaly vážné reputační dopady jak pro dotčené manažery, tak pro celou firmu – málokterá společnost si může dovolit, aby byl její jednatel veřejně pokutován či dočasně odstaven z vedení. Už samotné vyšetřování či řízení o sankci může paralyzovat vnitřní chod firmy a poškodit důvěru klientů. I proto je cílem nové úpravy motivovat vedení firem, aby kyberbezpečnost nepodceňovalo. Tento moderní přístup „accountability“ ze strany EU má firmy vtáhnout do aktivní ochrany: když management ví, že nese kůži na trh, bude oblasti věnovat patřičnou pozornost. Skutečnost, že to funguje, ukazuje příklad ze Slovenska – tam již podobný zákon (rovněž podle NIS2) platí a firmy raději nic neponechávají náhodě. Při tzv. sebeidentifikaci se na Slovensku raději přihlásilo pod regulaci o 60 % více společností, než se očekávalo (přes 15 000 místo původně odhadovaných 9 000). Tento trend jasně ukazuje, že podniky a jejich šéfové si rizika neplnění uvědomují – a čeští jednatelé by měli učinit totéž dříve, než nastanou první kontroly či incidenty.

Jak se připravit a chránit (praktická doporučení)

Dobrou zprávou je, že na splnění nových povinností nejste sami a při včasné přípravě se dá mnohým rizikům předejít. Níže uvádíme několik praktických kroků, jak se jako jednatel či manažer na novou regulaci připravit a ochránit tak sebe i svou firmu:

  • Zjistěte, zda se na vás regulace vztahuje: Projděte proces samoidentifikace – zhodnoťte sektor své činnosti a velikost podniku dle kritérií zákona. NÚKIB zveřejnil pomůcky, například online kalkulačku, která napoví, zda patříte mezi regulované subjekty. Pokud ano, nezapomeňte se včas zaregistrovat u NÚKIB.
  • Nepodceňte plánování a zdroje: Kyberbezpečnost začleňte do strategií firmy a alokujte na ni odpovídající rozpočet i personál. Jmenujte nebo najměte kvalifikovaného manažera kybernetické bezpečnosti (CISO) či vytvořte specializovaný tým, který se bude agendě věnovat. Pamatujte, že zavedení funkčního systému může trvat měsíce až roky – čím dříve začnete, tím lépe.
  • Zaveďte potřebná opatření krok za krokem: Sestavte plán implementace bezpečnostních opatření podle požadavků zákona. Zmapujte existující slabiny a postupně zavádějte zmíněné prvky: analýzu a řízení rizik, bezpečnostní politiky, systémy detekce incidentů, zálohování dat, kontrolu přístupu (např. vícefaktorové ověřování) apod. Každý krok si průběžně dokumentujte.
  • Delegujte, ale udržte si přehled: Rozdělte agendu kybernetické bezpečnosti mezi kompetentní osoby – IT manažery, bezpečnostní specialisty, externí konzultanty. Delegace úkolů je nezbytná, nezbavuje vás však odpovědnosti. Nastavte proto mechanismy reportování na úroveň vedení: pravidelné zprávy o stavu bezpečnosti, incidentech a plnění opatření. Jednatel či člen představenstva by měl mít o kybernetickém riziku ve firmě neustále aktuální přehled.
  • Vzdělávejte sebe i ostatní: Absolvujte povinné školení od NÚKIB a dále se aktivně vzdělávejte v kyberbezpečnosti – sledujte trendy hrozeb, poučte se z incidentů u jiných firem. Zároveň zaveďte pravidelná školení pro zaměstnance zaměřená na bezpečnostní zásady (např. práce s hesly, rozpoznání phishingu, reakce na incident). Podporujte bezpečnostní kulturu ve firmě – když zaměstnanci chápou rizika, výrazně tím snížíte pravděpodobnost lidské chyby.
  • Vypracujte krizový scénář: I přes veškerou prevenci se nelze 100% vyhnout incidentům. Připravte proto plán reakce na kybernetický incident (Incident Response Plan) – kdo co bude dělat při napadení systému, koho kontaktovat (NÚKIB, policie, právníci, PR), jak obnovit provoz. Pravidelně tento plán testujte simulacemi. Tím prokážete, že plníte svou povinnost nejen v prevenci, ale i v reakci na krizové situace.

  • Konzultujte právní aspekty: Nová regulace je komplexní a průběžně upřesňovaná prováděcími předpisy. Spolupracujte s právníky, kteří vám pomohou správně vyložit konkrétní povinnosti a nastavit interní procesy v souladu se zákonem. Právní audit připravenosti může odhalit mezery, na které by se úřad zaměřil při kontrole.

  • Pojištění a další ochranná opatření: Zvažte uzavření pojištění kybernetických rizik, které může zmírnit finanční dopady případného útoku či úniku dat. Přestože pojištění nenahradí nutnost plnit zákon, může poskytnout prostředky na rychlé zvládnutí krizové situace (např. úhradu odborníků na obnovení systému, PR komunikaci, právní výlohy).

Všechny výše uvedené kroky je důležité řádně zaznamenat a archivovat – od analýz rizik, přes záznamy o školeních, až po zprávy pro vedení. Tato dokumentace poslouží jednak k internímu monitoringu pokroku, ale také jako důkaz při případné kontrole, že management jednal proaktivně a s náležitou péčí. Jednateli, který bude moci doložit, že bezpečnost nepodcenil a podnikl rozumná opatření, hrozí mnohem menší riziko osobních sankcí. Naopak ignorování povinností či spoléhání na “to nás určitě mine” by bylo v dnešní situaci velmi nebezpečné.

office@arws.cz 245 007 740

Závěr: Neodkládejte akci – odpovědnost je na vás

Pro vedení firem v Česku nastává nový věk kybernetické odpovědnosti. Jednatelé už nemohou považovat kyberbezpečnost za okrajovou technickou záležitost, kterou stačí přenechat specialistům. Regulace NIS2 jasně říká, že pokud firma spadá do jejího rozsahu, vrcholový management musí aktivně konat – a osobně ručí za výsledek. Výše naznačené sankce a rizika představují pádný důvod, proč se tématu věnovat s maximální vážností. Zároveň však platí, že kdo se včas připraví, může tímto sítem projít bez úhony a dokonce z toho vytěžit konkurenční výhodu (firmy s pověstí bezpečných partnerů budou pro klienty atraktivnější).

Nevyplatí se čekat až na první inspekce nebo incidenty. Naopak, začít s přípravou už nyní je strategický krok, kterým ochráníte jak svou firmu, tak sebe. Pokud si nejste jisti, kde začít nebo zda plníte vše potřebné, neváhejte využít odbornou pomoc. Naše advokátní kancelář má s problematikou kyberbezpečnostní regulace bohaté zkušenosti a rádi vám pomůžeme – od úvodní analýzy dopadů NIS2 na váš byznys, přes nastavení vnitřních procesů a dokumentace, až po školení managementu či řešení bezpečnostních incidentů. Kyberbezpečnost je novou výzvou pro jednatele – postavte se jí čelem a ujistěte se, že vaše společnost splňuje veškeré požadavky. Tím ochráníte nejen firemní data a dobré jméno, ale i sebe před osobní právní odpovědností.

Zajímají vás legislativní novinky v roce 2025? Připravili jsme si pro vás webinář.

Proč si vybrat právě nás?

Podnikání dnes představuje nejen příležitost k růstu a seberealizaci, ale také řadu právních a organizačních otázek, které je třeba správně uchopit již od samotného začátku. E-book Firma nabízí podnikatelům a firmám jasný a praktický návod, jak zvládnout zásadní kroky při zakládání a řízení společnosti s důrazem na právní jistotu a prevenci rizik. Co vám přinášíme?

  • Právní jistotu a přehlednost v podnikání - přehledně vysvětlujeme právní rámec, který podnikatelé potřebují znát. Od volby vhodné právní formy společnosti až po nastavení vnitřních vztahů ve firmě a ochranu duševního vlastnictví.
  • Praktická a srozumitelná řešení - naše zkušenosti transformujeme do konkrétních doporučení a návodů. E-book se neomezuje na teoretický výklad práva, ale nabízí praktické postupy pro každodenní rozhodování ve firmě.
  • Prevence právních a provozních rizik - upozorňujeme na časté chyby, se kterými se podnikatelé setkávají. Pomáháme jim jim předcházet tak, aby byla zajištěna kontinuita podnikání a minimalizovány dopady případných sporů.

V ebooku najdete:

✅ Praktické rady pro založení a efektivní vedení společnosti
✅ Přehled nejčastějších právních omylů a doporučení, jak se jim vyhnout
✅ Ukázku našeho přístupu — důraz na jasnost, použitelnost a orientaci na reálnou podnikatelskou praxi

Správně nastavené právní procesy tvoří základ bezpečného a dlouhodobě udržitelného podnikání. E-book Firma je cenným zdrojem pro každého, kdo chce podnikat v souladu se zákonem a současně s maximální mírou právní jistoty.

Napište si o e-book Firma ZDE 

Nechcete tenhle problém řešit sami? Věří nám více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference.

office@arws.cz 245 007 740