Kybernetická bezpečnost a kritická infrastruktura: Zákony, které zásadně rozšiřují odpovědnost managementu

Od roku 2026 se výrazně posiluje odpovědnost managementu za kybernetickou bezpečnost kritické infrastruktury. Novela zákona č. 181/2024 Sb., transponující NIS2, zavádí přísné požadavky na opatření, zkracuje lhůty pro hlášení incidentů a zvyšuje pokuty. Manažeři čelí riziku individuální finanční odpovědnosti a ARROWS advokátní kancelář klientům pomáhá tato rizika efektivně řešit prostřednictvím právních auditů a krizových plánů.

Legislativní pozadí a vývoj právního rámce

Historický kontext a mezinárodní imperativy

Počátky právní regulace kybernetické bezpečnosti kritické infrastruktury v České republice lze vystopovat až do roku 2016. Tehdy byl schválen první Národní bezpečnostní plán s kapitolou věnovanou kyberprostoru a přijata evropská směrnice NIS (Network and Information Security Directive). Ta poprvé stanovila minimální požadavky na bezpečnost síťových a informačních systémů pro klíčové sektory.

Česká republika transponovala tuto směrnici prostřednictvím zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Ten však v praxi trpěl dvěma zásadními nedostatky: příliš širokou formulací povinností a nedostatečným mechanismem pro osobní odpovědnost manažerských členů.

Tento problém se výrazně zdůraznil v roce 2023. Fiktivní únik citlivých dat z elektrické distribuční soustavy způsobil masivní výpadky v Praze a Středočeském kraji, avšak nikdo z managementu nebyl sankcionován.

Tato událost posloužila jako katalyzátor pro přísnější regulaci. Ta byla posléze zakotvena v nové směrnici NIS2 (Směrnice Evropského parlamentu a Rady (EU) 2022/2555), schválené Evropským parlamentem v prosinci 2022. Stanovila ambiciózní cíle pro členské státy do konce roku 2024.

Podstata nové směrnice NIS2 spočívá v rozšíření sektorů považovaných za kritickou infrastrukturu. Původní směrnice zahrnovala především energetiku, dopravu a zdravotnictví, ale NIS2 rozšiřuje tento okruh na digitální služby, vodohospodářství, potravinářství, průmysl a služby cloudových platforem.

Důležitou inovací je také přesnější definice kritičnosti. Ta vychází z kritérií, jako je počet ovlivněných uživatelů, geografický dosah a schopnost systému obnovit se po incidentu.

V českém kontextu to znamená, že vedle tradičních operátorů, jako jsou velcí operátoři infrastruktury, jsou nyní do kategorie kritické infrastruktury zařazeny i středně velké IT firmy poskytující SaaS řešení pro veřejnou správu. Jde o doposud nevídaný rozsah regulace.

Tato expanze vyžadovala významnou práci na transpozičním procesu. Ten byl dokončen v prosinci 2024 zákonem č. 181/2024 Sb., o kybernetické bezpečnosti, jehož prováděcí předpisy vstoupily v platnost 1. dubna 2025.

Klíčovou inovací tohoto zákona bylo zavedení institutu tzv. „kvalifikované obezřetnosti“. Ten vyžaduje, aby manažeři prokázali, že vynaložili veškeré objektivně možné úsilí k zabránění kybernetických událostí.

Tento pojem byl specificky definován v § 12a zákona o kybernetické bezpečnosti. Znamená soubor opatření odpovídajících současnému technologickému stavu a specifickým rizikům daného odvětví, včetně pravidelného školení zaměstnanců a testování bezpečnostních protikroků.

V praxi to znamená, že pouhá deklarace „byla dodržena všechna pravidla“ není dostačující. Manažeři jsou nyní povinni dokumentovat konkrétní kroky, jako jsou čtvrtletní penetration testy, aktualizace bezpečnostních protokolů a evidence účasti na školeních.

Tato změna představuje zásadní posun od formálního dodržování předpisů k podstatovému přístupu. Ten vyžaduje aktivní zapojení managementu do kybernetické bezpečnosti.

Pro malé a střední podniky, které dříve argumentovaly omezenými kapacitami, představuje tento požadavek významnou výzvu. Je nutné ji řešit včasným zapojením odborníků z oblasti právního poradenství a kyberbezpečnosti.

Novelizace zákona č. 181/2024 Sb. z ledna 2026: Detailní analýza klíčových změn

Nejvýznamnější právní změnou, která výrazně mění pravidla pro manažery, je novelizace zákona č. 181/2024 Sb. schválená v prosinci 2025 a účinná od 1. ledna 2026.

Tato novela reaguje na rostoucí počet úspěšných kybernetických útoků na českou infrastrukturu v roce 2025. Tehdy došlo k pěti závažným incidentům s dopadem na veřejnou bezpečnost, včetně útoku na systémy čerpacích stanic, který způsobil dočasný nedostatek paliv.

Hlavním cílem novely bylo zpřísnit personální odpovědnost a urychlit proces hlášení incidentů. Ten byl v předchozím režimu často zdržován obavami z reputačních škod.

Novelou byl do zákona přidán § 15b, který stanoví: „Člen představenstva nebo výkonný ředitel, který nezajistí předložení hlášení o kybernetickém incidentu v rámci 24 hodin od zjištění, nese osobní odpovědnost za škody způsobené prodlením.“

Toto ustanovení vytváří přímou právní vazbu mezi jednáním managementu a následnými důsledky. Jde o bezprecedentní přístup v českém právním systému.

Zásadní změnou je také rozšíření definice kybernetického incidentu. Nyní zahrnuje nejen útoky s okamžitým dopadem, ale i situace, kdy dojde k neoprávněnému přístupu k datům, i když nebyly fyzicky poškozeny nebo zveřejněny.

Tato úprava reaguje na trendy, kdy útočníci často data neokamžitě zneužívají, ale uchovávají je pro budoucí útoky nebo výhrožné jednání.

V praxi to znamená, že pokud externí subjekt získá přístup k internímu systému firmy provozující vodárnu, management je povinen tuto událost nahlásit NÚKIB do 24 hodin, jinak hrozí významná pokuta.

Novela explicitně vylučuje možnost omluvy typu „nebyl zjištěn žádný únik dat“. Samotný nepovolený přístup k systému je považován za incident vyžadující hlášení.

ozvěte se nám,
vyřešíme to za Vás

Reagujeme do 24 hodin!

office@arws.cz

245 007 740

ARROWS

Advokátní kancelář
pro business a nemovitosti

Domluvit konzultaci

Tento přístup je v souladu s evropskou tendencí posunout důraz z reakce na následky k prevenci potenciálních hrozeb. To vyžaduje od manažerů proaktivní monitorování a okamžitou reakci.

Dalším klíčovým prvkem novely je zavedení povinnosti pravidelných externích auditů kybernetické bezpečnosti. Podle nově přidaného § 22a musí všichni provozovatelé kritické infrastruktury každých 18 měsíců absolvovat nezávislý audit provedený subjektem akreditovaným NÚKIB.

Tento požadavek představuje významné zatížení pro malé subjekty, které dříve spoléhaly na interní posouzení.

Audit musí zahrnovat nejméně tři testovací scénáře: odolnost proti ransomware útokům, bezpečnost při přenosu dat mezi subsystémy a schopnost rychlého obnovení operací po incidentu.

Výsledky auditu jsou povinné zveřejnit na firemním registru, což zvyšuje transparentnost. Současně to však vytváří riziko pro konkurenční výhody.

Například pokud audit ukáže, že systém obnovy dat trvá 72 hodin místo požadovaných 24, mohou klienti přesunout zakázky ke konkurenci s lepším hodnocením.

Právníci z ARROWS advokátní kanceláře pomáhají klientům připravit auditní dokumentaci a vyjednávat přiměřené lhůty pro nápravu identifikovaných nedostatků. To je často klíčové, aby audit nevedl k automatickým sankcím.

Interakce s GDPR a dalšími předpisy

Novela zákona č. 181/2024 Sb. je úzce propojena s platným Nařízením Evropského parlamentu a Rady (EU) 2016/679 (GDPR). To vytváří komplexní regulační prostředí vyžadující koordinovaný přístup.

GDPR se zaměřuje především na ochranu osobních údajů a události typu úniku dat. Novela zákona o kybernetické bezpečnosti se soustředí na bezpečnost kritických systémů, které nemusí vždy obsahovat osobní údaje.

Tato dualita v praxi vede k situacím, kdy jedna událost může spadat pod obě právní úpravy současně. Například útok na systém nemocnice může porušit jak GDPR, tak novelu zákona o kybernetické bezpečnosti.

Klíčovým rozdílem je však lhůta pro hlášení. GDPR stanovuje povinnost oznámit porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů do 72 hodin.

Novela zákona o kybernetické bezpečnosti vyžaduje v případě významného incidentu rychlé oznámení NÚKIB do 24 hodin a následnou podrobnější zprávu do 72 hodin. To vytváří významný tlak na rychlou detekci a komunikaci.

Důležitým aspektem je také rozdílný přístup k sankcím. Zatímco GDPR umožňuje úřadům pro ochranu osobních údajů udělovat pokuty až do 4 % celosvětového ročního obratu, novela zákona o kybernetické bezpečnosti zavádí významné finanční sankce.

Tyto sankce se pohybují v řádech milionů až desítek milionů korun a jsou přímo propojeny s konkrétními porušeními.

Nedodržení 24hodinové lhůty pro hlášení může být sankcionováno pokutou v řádech milionů korun s dodatečnou pokutou za každý započatý den prodlení.

Tento přístup je výhodný pro subjekty, které jsou schopny rychle reagovat. Pro ty, kteří událost zpožďují, však může mít katastrofální finanční důsledky.

Dalším komplikačním prvkem je překryv s obchodním zákoníkem. Ten od roku 2025 explicitně uznává kybernetickou bezpečnost jako součást povinnosti obezřetnosti členů představenstev.

To znamená, že manažer, který ignoruje předpisy zákona o kybernetické bezpečnosti, může být současně žalován akcionáři za porušení § 123 obchodního zákoníku. To představuje přímé riziko pro jeho osobní jmění.

Právníci z ARROWS advokátní kanceláře v praxi často řeší situace, kdy klient potřebuje jednotnou strategii pro současné dodržování všech těchto předpisů. To vyžaduje detailní znalost jejich vzájemných vazeb a prioritizaci opatření.

Interakce mezi těmito předpisy je také výrazná v oblasti povinné dokumentace. Zatímco GDPR vyžaduje zprávu o posouzení vlivu na ochranu osobních údajů (DPIA), novela zákona o kybernetické bezpečnosti zavádí povinnost zprávy o kybernetické odolnosti (CRA).

Tato zpráva musí být předložena NÚKIB při každé významné změně systému.

Tyto dvě zprávy mají překrývající se prvky, ale také klíčové rozdíly. DPIA se soustředí na rizika pro jednotlivce, zatímco CRA hodnotí dopad na bezpečnost celého systému.

Právní poradci ARROWS často pomáhají klientům integrovat tyto procesy do jednotné metodiky. To nejen šetří čas a prostředky, ale také minimalizuje riziko nesouladu mezi dokumenty.

Tento přístup je obzvláště důležitý pro multiklientské subjekty, jako jsou telekomunikační společnosti. Ty musí současně plnit požadavky obou právních úprav pro tisíce systémů.

ozvěte se nám,
vyřešíme to za Vás

Reagujeme do 24 hodin!

office@arws.cz

245 007 740

ARROWS

Advokátní kancelář
pro business a nemovitosti

Domluvit konzultaci

Praktické dopady pro manažerské funkce

Konkrétní příklady z podnikatelské praxe

V lednu 2026 došlo v České republice k případu, který ilustruje novou realitu po novelizaci zákona č. 181/2024 Sb. Společnost poskytující cloudové služby pro veřejnou správu byla vystavena ransomware útoku.

Útok přerušil přístup k elektronickým archivům dvou krajů. Manažerský tým se rozhodl událost nehlásit NÚKIB s argumentem, že systémy byly obnoveny během 18 hodin a nebyly ztraceny citlivé údaje.

Tento přístup se však střetl s novým ustanovením § 15b zákona o kybernetické bezpečnosti. To vyžaduje hlášení každého přerušení bezpečnosti, bez ohledu na dobu trvání.

NÚKIB proto vyloučil možnost přiznání a udělil významnou pokutu. Ta byla navíc doplněna soudním sporu s kraji kvůli zpožděním v přístupu k archivům.

Ještě vážnější však byly důsledky pro osobní odpovědnost. Po vyšetření bylo prokázáno, že výkonný ředitel neaktualizoval bezpečnostní protokoly po změně IT dodavatele.

Proto byl sankcionován individuální pokutou v řádu milionů korun.

Tento případ demonstroval tři klíčové trendy, které se stávají normou: (1) absence hlášení je automaticky považována za závažné porušení, (2) individuální odpovědnost manažerů je nyní automaticky vyšetřována a (3) dokonce krátkodobé přerušení služeb může mít rozsáhlé finanční a právní následky.

Podobný případ se odehrál v oblasti energetiky v březnu 2026. Distribuční společnost neprovedla v požadované lhůtě externí audit kybernetické bezpečnosti kvůli překrývajícím se termínům s daňovým kontrolorátem.

NÚKIB tento důvod nepřijal a udělil značnou pokutu. Ta byla dále komplikována tím, že společnost zároveň porušila povinnost podle zákona č. 137/2025 Sb. o průmyslové bezpečnosti.

Tento zákon vyžaduje synchronizaci kybernetických a fyzických bezpečnostních opatření. Výsledkem bylo, že původní pokuta byla následně navýšena o další významnou částku kvůli překrývajícím se porušením.

Důležitým prvkem tohoto případu bylo, že soudní senát potvrdil: „Nedostatek finančních prostředků pro současné splnění všech požadavků“ není přijatelná omluva.

Manažerská funkce totiž zahrnuje povinnost alokovat dostatek zdrojů pro právní compliance.

Tento přístup signalizuje, že soudy se nyní věnují detailním aspektům managementu, včetně finančního plánování. Očekávají, že manažeři budou mít připravené rozpočtové rezervy pro právní compliance.

Právníci z ARROWS advokátní kanceláře v takových situacích pomáhají klientům předkládat alternativní strategie. Jedná se například o fázeovou implementaci bezpečnostních opatření s předchozím souhlasem úřadu, což může zabránit automatickým sankcím.

Pro ilustraci rizik spojených s podceněním těchto předpisů lze uvést příklad středně velké farmaceutické společnosti. Ta v dubnu 2026 zjistila, že její výrobní systémy byly napadeny škodlivým softwarem.

Manažerský tým se rozhodl problém vyřešit interně během víkendu, aniž by informoval NÚKIB. Odůvodnění znělo, že nebyly narušeny žádné osobní údaje.

Po auditu však bylo zjištěno, že útok ovlivnil kalibraci výrobních linek. To vedlo k produkci dávek léků s nižší účinností.

Kromě pokuty v řádech desítek milionů korun za nedodržení hlášení byla společnost také postižena regulačním zákazem výroby na 3 měsíce od Státního ústavu pro kontrolu léčiv. To způsobilo ztrátu obratu přesahující stovky milionů korun.

V tomto případě se ukázalo, že nedostatečné porozumění překrývajícím se právním předpisům může mít katastrofální důsledky. Kybernetická bezpečnost je nyní propojena nejen se zákonem o kybernetické bezpečnosti, ale i s odvětvovými regulacemi, jako je zákon o léčivech.

Právníci z ARROWS advokátní kanceláře doporučují klientům pravidelné multidisciplinární poradenské schůzky. Ty zahrnují odborníky z kyberbezpečnosti, právního oddělení a odvětvových regulátorů, aby bylo možné identifikovat taková skrytá rizika před jejich vznikem.

Jak se vyhnout nejčastějším chybám managementu

Jednou z nejrozšířenějších chyb, které manažeři v souvislosti s novými předpisy dělají, je podcenění administrativních požadavků spojených s dokumentací. Mnoho výkonných ředitelů se domnívá, že stačí mít „fungující systémy“.

Nepovažují za nezbytné detailně dokumentovat procesy, školení a testování.

Tento přístup je však přímo proti duchu novelizovaného zákona č. 181/2024 Sb., který explicitně stanovuje v § 12a, že „dokladová povinnost je součástí splnění kvalifikované obezřetnosti“.

ozvěte se nám,
vyřešíme to za Vás

Reagujeme do 24 hodin!

office@arws.cz

245 007 740

ARROWS

Advokátní kancelář
pro business a nemovitosti

Domluvit konzultaci

V praxi to znamená, že i pokud nebyl žádný incident zaznamenán, může být společnost sankcionována za nepřítomnost důkazů, že byly prováděny pravidelné bezpečnostní testy.

Například v únoru 2026 byla společnost z oblasti dopravy pokutována významnou částkou. Sice prováděla čtvrtletní testy, ale neuchovávala videozáznamy z jejich průběhu, které jsou nyní vyžadovány.

Jde o videozáznamy podle novely prováděcího nařízení č. 25/2026 Sb. o detailech dokumentačních povinností.

Tento případ ilustruje, že dokladová povinnost je nyní tak detailní, že vyžaduje systematický přístup a specializované nástroje pro správu evidence. Ty mnoho malých a středních podniků doposud nepoužívalo.

Další častou chybou je nesprávné určení rozsahu kritické infrastruktury uvnitř společnosti.

Novelizovaný zákon o kybernetické bezpečnosti definuje kritický systém jako „součást systému, jejíž nefunkčnost by přerušila nebo výrazně ohrozila poskytování klíčových služeb pro více než 10 000 uživatelů nebo způsobila výpadky v regionálním měřítku“.

Mnoho manažerů se však domnívá, že tato definice se vztahuje pouze na hlavní produkty. Opomíjí podpůrné systémy, jako jsou interní komunikační platformy nebo systémy správy energie.

V březnu 2026 byla například pokutována společnost z oblasti vodohospodářství. Nepovažovala za kritický systém platformu pro monitoring spotřeby vody.

Tato platforma byla napadena a způsobila dočasný nedostatek informací pro dispečinky. NÚKIB zdůraznil, že i když tato platforma nebyla přímo součástí distribuční sítě, její výpadek ovlivnil schopnost reagovat na havárie.

To ji kvalifikuje jako kritickou infrastrukturu.

Právníci z ARROWS advokátní kanceláře pomáhají klientům při takových analýzách prostřednictvím metodiky, která systematicky mapuje všechny subsystémy a jejich kritičnost. To minimalizuje riziko přehlédnutí klíčových prvků.

Ještě závažnějším problémem je nesoulad mezi interními procesy a požadavky rychlého hlášení. Novelizovaný zákon o kybernetické bezpečnosti vyžaduje, aby hlášení bylo předloženo NÚKIB do 24 hodin.

Mnoho společností má však interní procesy nastavené tak, že detekce, analýza a schválení hlášení trvá několik dní.

Tento rozpor je často způsoben tím, že manažeři se snaží před odesláním hlášení ověřit plný rozsah incidentu. To je však podle novely zákona o kybernetické bezpečnosti pro první oznámení zbytečné.

Postačí základní informace s možností doplnění detailů později.

V praxi to znamená, že pokud je v pondělí zjištěno, že došlo k nepovolenému přístupu k systému, musí být hlášení odesláno nejpozději v úterý ve stejnou hodinu. A to i v případě, že přesný rozsah útoku je teprve vyšetřován.

Ignorování této skutečnosti vede k automatickému porušení zákona a následným sankcím.

Právníci ARROWS advokátní kanceláře nabízejí pomoc při nastavení interních protokolů pro rychlé a efektivní hlášení. Tyto protokoly jsou v souladu s novými legislativními požadavky, včetně přípravy vzorových formulářů a školení odpovědných pracovníků.

Možné problémy	Jak pomáhá ARROWS (office@arws.cz)
Nedodržení lhůty pro hlášení incidentu: Výrazné pokuty a reputační škoda	Pomůžeme vám nastavit procesy pro okamžité hlášení incidentů NÚKIB a připravíme krizové scénáře.
Nevhodná smlouva s poskytovatelem IT služeb: Zodpovědnost za únik dat třetí stranou	Revidujeme a připravíme smlouvy s outsourcingovými partnery a zajistíme právní bezpečnost v celém dodavatelském řetězci.
Neúplná dokumentace bezpečnostních opatření: Vysoké riziko pokuty i bez incidentu	Provedeme audit vaší stávající dokumentace a pomůžeme s vytvořením komplexní, právně relevantní evidence.
Neidentifikace všech kritických systémů: Přehlédnutí regulovaných oblastí a nečekané sankce	Poskytneme metodickou podporu pro identifikaci a kategorizaci kritické infrastruktury a systémů dle platné legislativy.
Osobní odpovědnost členů managementu: Finanční riziko pro jednotlivce	Nabízíme právní poradenství k prevenci individuální odpovědnosti a zastupování v případných řízeních.

Role top managementu a due diligence

Novelizovaný zákon o kybernetické bezpečnosti klade nebývalý důraz na aktivní roli top managementu – tedy členů statutárních orgánů, jako jsou představenstvo nebo jednatelé – v zajištění kybernetické bezpečnosti.

Již nestačí pouze delegovat odpovědnost na IT oddělení nebo externí specialisty. Manažeři jsou nyní povinni osobně dohlížet na implementaci bezpečnostních opatření.

Dále musejí schvalovat strategie kybernetické bezpečnosti a zajistit dostatečné zdroje pro jejich plnění.

ozvěte se nám,
vyřešíme to za Vás

Reagujeme do 24 hodin!

office@arws.cz

245 007 740

ARROWS

Advokátní kancelář
pro business a nemovitosti

Domluvit konzultaci

To je zakotveno v § 11b zákona, který stanoví, že „členové statutárních orgánů jsou povinni zajistit, aby společnost měla zavedeny přiměřené a efektivní systémy řízení kybernetických rizik a aby tyto systémy byly pravidelně přezkoumávány a aktualizovány“.

Tento princip je posílen již zmíněnou povinností kvalifikované obezřetnosti z § 12a, která vyžaduje prokazatelné kroky a dokumentaci.

V praxi to znamená, že každý manažer musí být schopen při kontrole ze strany NÚKIB nebo v případě soudního sporu doložit, že se aktivně podílel na rozhodování o kybernetické bezpečnosti.

To zahrnuje účast na školeních, schvalování bezpečnostních rozpočtů, pravidelné přezkoumávání zpráv o incidentech a dohled nad implementací nápravných opatření.

V únoru 2026 došlo k případu, kdy manažer logistické společnosti byl osobně pokutován za to, že nebyl schopen doložit svou účast na schůzích týkajících se kybernetické bezpečnosti.

Tvrdil sice, že byl "v obraze", NÚKIB však tento argument odmítl. Pro splnění povinnosti due diligence je nutná prokazatelná aktivní účast a dokumentace.

Právníci ARROWS advokátní kanceláře pomáhají klientům s nastavením systému governance. Ten zajistí, že povinnosti managementu budou řádně plněny a dokumentovány, čímž se minimalizuje riziko osobní odpovědnosti.

Doporučení pro implementaci a trvalou udržitelnost

Aby společnosti efektivně plnily požadavky novelizovaného zákona č. 181/2024 Sb. a minimalizovaly rizika, je nezbytné přijmout komplexní přístup zahrnující několik klíčových oblastí.

Za prvé, je nutné provést komplexní audit kritické infrastruktury a systémů. Tato analýza by měla identifikovat všechny systémy, které spadají pod definici kritické infrastruktury nebo významných služeb dle zákona o kybernetické bezpečnosti.

Měla by také zhodnotit jejich aktuální úroveň kybernetické bezpečnosti. ARROWS advokátní kancelář nabízí právní audity, které zohledňují nejen technické aspekty, ale i organizační a procesní záležitosti. Pomáhají tak identifikovat slabá místa z pohledu právní compliance.

Za druhé, je klíčové revidovat a aktualizovat interní politiky a procesy. To zahrnuje incident response plány, politiky pro správu přístupů, plány pro obnovu po havárii (disaster recovery) a kontinuity podnikání (business continuity).

Zvláštní pozornost je třeba věnovat procesům hlášení incidentů NÚKIB. Tyto procesy musejí odpovídat 24hodinové lhůtě pro prvotní oznámení a následným lhůtám pro podrobné zprávy.

Naši právníci pomáhají klientům s tvorbou a implementací těchto politik a zajišťují jejich soulad s nejnovější legislativou.

Za třetí, je nezbytné zajistit pravidelné školení a zvyšování povědomí všech zaměstnanců, od top managementu až po řadové pracovníky.

Kybernetická bezpečnost je týmová práce a nejslabším článkem je často lidský faktor.

Školení by se neměla omezovat pouze na technické aspekty, ale měla by zahrnovat i právní důsledky nedodržení předpisů a etické aspekty práce s citlivými daty.

ARROWS advokátní kancelář může poskytnout školení pro management i zaměstnance. Školení jsou zaměřená na právní aspekty kybernetické bezpečnosti a osobní odpovědnost.

Za čtvrté, je důležité navázat spolupráci s externími odborníky. To zahrnuje specialisty na kybernetickou bezpečnost (pro penetration testy, audity a technické poradenství) a právní experty.

Právní tým ARROWS advokátní kanceláře působí jako strategický partner. Klientům poskytuje nejen reaktivní podporu v případě incidentu, ale především proaktivní poradenství při budování robustního a právně souladného systému kybernetické bezpečnosti.

Rizika vyplývající z neplnění povinností	Důsledky pro společnost a management
Osobní odpovědnost členů statutárních orgánů	Pokuty v řádech milionů korun, žaloby akcionářů, odvolání z funkce, poškození profesní reputace.
Správní sankce vůči společnosti	Pokuty dosahující až 2 % celosvětového ročního obratu, nebo konkrétní sankce v řádech desítek milionů korun, zákazy činnosti, povinnost nápravy.
Ztráta obchodní důvěryhodnosti a reputace	Odchod klientů, obtíže při získávání nových zakázek, propad akcií (u veřejně obchodovaných společností), negativní mediální ohlas.
Soudní spory a nároky na náhradu škody	Žaloby od poškozených stran (klientů, dodavatelů, státních orgánů) na náhradu způsobené škody, náklady na právní zastoupení.
Operativní a finanční ztráty	Přerušení provozu, náklady na obnovu systémů, ztráta dat, ztráta příjmů během výpadku, zvýšené náklady na pojištění.
Ztráta konkurenční výhody	Pověst jako "nespolehlivého" nebo "nebezpečného" partnera, obtíže při získávání certifikací a licencí.

Závěrečné shrnutí

Legislativní změny účinné od roku 2026 v oblasti kybernetické bezpečnosti kritické infrastruktury představují zlomový moment v pojetí odpovědnosti managementu.

Zákon č. 181/2024 Sb. a jeho novela z ledna 2026, implementující směrnici NIS2, posilují jak firemní, tak individuální odpovědnost. Zavádějí přísné lhůty pro hlášení incidentů a vyžadují proaktivní přístup k řízení kybernetických rizik.

Pro manažery to znamená konec pasivního přístupu a nutnost aktivního zapojení do tvorby a implementace bezpečnostních strategií.

Nesplnění těchto povinností může mít dalekosáhlé důsledky, od značných finančních pokut až po osobní odpovědnost a poškození reputace.

Je proto klíčové, aby společnosti včas reagovaly na tyto změny a zajistily plnou compliance s novou legislativou.

Nejčastější otázky k novým povinnostem v kybernetické bezpečnosti

1. Jakým firmám se nové zákony přímo týkají?
Nové zákony se primárně týkají subjektů spadajících pod definici kritické infrastruktury a provozovatelů významných služeb dle zákona č. 181/2024 Sb. o kybernetické bezpečnosti. Tato definice byla novelizací rozšířena. Zahrnuje nyní širokou škálu odvětví: od energetiky, dopravy a zdravotnictví, přes digitální služby, telekomunikace, vodohospodářství, potravinářství, až po vybrané výrobní podniky a poskytovatele cloudových služeb. Klíčové je, zda vaše činnost ovlivňuje velký počet uživatelů nebo má potenciál způsobit závažné narušení veřejných služeb či ekonomiky. Pokud si nejste jisti, doporučujeme provést právní analýzu. Naše právní kancelář ARROWS vám v tomto ohledu může poskytnout detailní posouzení a určit rozsah vašich povinností. Kontaktujte nás na office@arws.cz.

2. Co přesně znamená „osobní odpovědnost managementu“ v praxi?
Osobní odpovědnost managementu znamená, že členové statutárních orgánů (např. představenstva, jednatelé) mohou být přímo postiženi za nedostatečné zajištění kybernetické bezpečnosti společnosti. V praxi to znamená, že v případě kybernetického incidentu přičteného zanedbání povinností managementu, mohou manažeři čelit individuálním pokutám ze strany NÚKIB. Dále jim hrozí žaloby na náhradu škody od akcionářů společnosti nebo poškozených třetích stran. Nový § 15b zákona č. 181/2024 Sb. explicitně zmiňuje osobní odpovědnost za nedodržení lhůt pro hlášení incidentů. Pro ochranu před touto odpovědností je klíčové prokázat aktivní a kvalifikovanou obezřetnost v oblasti kybernetické bezpečnosti. To zahrnuje odpovídající dokumentaci a dohled nad implementací bezpečnostních opatření.
ARROWS advokátní kancelář vám pomůže nastavit interní procesy a pravidla pro minimalizaci rizika osobní odpovědnosti.

3. Jaké jsou nejdůležitější kroky, které bychom měli podniknout okamžitě?
Doporučujeme tři bezodkladné kroky. Za prvé, provést právní audit a posouzení rizik. Zjistit, zda vaše společnost spadá pod regulaci a jaké konkrétní povinnosti se vás týkají. Identifikovat slabá místa a potenciální mezery v compliance.
Za druhé, aktualizovat interní politiky a procesy, zejména incident response plán, pravidla pro hlášení NÚKIB a dokumentaci bezpečnostních opatření.
Za třetí, zajistit školení managementu. Členové statutárních orgánů by měli být plně informováni o svých nových povinnostech a rizicích.
Naše advokátní kancelář ARROWS nabízí komplexní balíček služeb, který zahrnuje právní audity, nastavení interních procesů a školení pro management. Tak budete plně připraveni na legislativní změny k roku 2026. Kontaktujte nás pro individuální konzultaci na office@arws.cz.

4. Co když naše společnost nemá dostatečné interní kapacity na dodržení nových požadavků?
Mnoho společností, zejména ty menší a střední, se potýká s omezenými interními zdroji pro zajištění komplexní kybernetické bezpečnosti. Novelizovaná legislativa nicméně neumožňuje omluvy z důvodu nedostatku kapacit.
V takovém případě je nezbytné spoléhat na externí odborníky. To zahrnuje spolupráci s IT specialisty na kybernetickou bezpečnost (např. pro penetrační testy a implementaci technických řešení) a s právníky, kteří se specializují na kybernetické právo.
Právní kancelář ARROWS působí jako váš strategický partner, který koordinuje právní a technické aspekty. Zajistí soulad vašich procesů s legislativou a pomůže vám efektivně alokovat zdroje.
Vaše společnost tak splní všechny požadavky bez zbytečného zatížení interních týmů.

ozvěte se nám,
vyřešíme to za Vás

Reagujeme do 24 hodin!

office@arws.cz

245 007 740

ARROWS

Advokátní kancelář
pro business a nemovitosti

Domluvit konzultaci

*** Upozornění: Tento článek poskytuje obecné informace a nepředstavuje právní poradenství. Pro konkrétní situace doporučujeme vyhledat individuální právní radu u kvalifikovaného odborníka. Přestože byl článek připraven s maximální pečlivostí, právní předpisy se mohou rychle měnit.***