Kybernetická bezpečnost, hackování dronů a odpovědnost za škodu

26.2.2026 | ARROWS advokátní kancelář

Hackování dronů je reálné bezpečnostní riziko, které může zásadně ohrozit vaši společnost, citlivá data i finanční stabilitu. Pokud dron vaší firmy padne do rukou útočníka, zákon vás činí odpovědným za škodu, kterou způsobí, a to na principu objektivní odpovědnosti. Tento článek vysvětluje, jak se drony hackují, jaké sankce hrozí a jak zajistit, aby vás právní systém chránil.

Na obrázku vidíme advokáta při konzultaci ohledně právní odpovědnost za hacknutí dronů.

Obsah článku

Hackování dronů je reálná hrozba, nikoliv teoretický scénář
Jak se drony hackují? Konkrétní techniky útočníků
Právní odpovědnost za hacknutý dron – kdo nese břemeno?
Kybernetická bezpečnost v praxi – co musíte udělat
Nový zákon o kybernetické bezpečnosti (NIS2) a jeho dopady

Rychlé shrnutí

Hackování dronů prostřednictvím GPS spoofingu, jammingu signálu nebo přímého průniku do softwaru představuje rostoucí hrozbu, kterou zneužívají kybernetické skupiny i státní aktéři zaměřující se na průmyslovou špionáž.
Provozovatel dronu odpovídá za škodu na principu objektivní odpovědnosti. Jste povinni nahradit škodu způsobenou provozem bez ohledu na to, zda byl dron hacknut.
Hrozí vám pokuty v řádech milionů korun, trestní stíhání i odpovědnost za újmu na zdraví.
Nový zákon o kybernetické bezpečnosti (implementace směrnice NIS2) výrazně zpřísňuje povinnosti. Zavádí nutnost hlásit incidenty a osobní odpovědnost vedení firmy, která může být vymáhána z jejich osobního majetku.
Bez odpovídající technické ochrany a smluvního zajištění dodavatelů nemůžete prokázat, že jste jednali s péčí řádného hospodáře. Právníci ARROWS advokátní kancelář tuto problematiku řeší denně a vědí, co regulátoři vyžadují.

Hackování dronů je reálná hrozba, nikoliv teoretický scénář

Není to bájka nebo přehnaný strach z budoucnosti. V praxi se ročně evidují desítky pokusů o převzetí kontroly nad bezpilotními prostředky (UAS). Hackeři se od těch, které zaměstnávají státní agentury, liší pouze v intenzitě a sofistikovanosti metod. Komerční drony nejsou mimo jejich zájem, protože často slouží k mapování infrastruktury a sbírání dat o technologiích.

Pokud operujete s drony v rámci své činnosti, ať už jde o monitoring staveb, průzkum nemovitostí nebo fotogrammetrii, musíte si uvědomit, že váš dron je potenciálním cílem. Incident, kdy útočník převezme dron na dálku, nezpůsobí jen ztrátu kontroly, ale představuje existenční hrozbu pro vaši firmu. Hacknutý dron se změní z vámi kontrolovaného zařízení na nebezpečný objekt, který může ohrozit životy, zdraví a majetek třetích osob.

Právníci z ARROWS advokátní kanceláře při jednání s klienty často zjišťují, že si firmy provozující drony nejsou vědomy právních rizik. Domnívají se, že stačí koupit dron, zaregistrovat jej a létat. V okamžiku incidentu se však stanete terčem dozorových orgánů i poškozených osob a argument, že za incidentem stáli hackeři, vás odpovědnosti nezbaví.

Jak se drony hackují? Konkrétní techniky útočníků

Útočníci nepostupují náhodně. Jejich metody jsou vyzkoušené a stále sofistikovanější. Pochopení těchto metod je klíčové pro nastavení právní i technické obrany.

GPS spoofing – podvržení falešné polohy

GPS spoofing je jednou z nejnebezpečnějších metod. Útočník vysílá falešné signály GNSS, které přesvědčí váš dron, že je na jiném místě, než kde se skutečně nachází. Dron pak postupuje podle svého programu, ale na základě chybných souřadnic. Výsledkem je, že se dron dostane mimo vaši kontrolu, může narazit do překážek nebo vletět do zakázané zóny, za což odpovídáte vy jako provozovatel.

Jamming – rušení signálu ovládání

Jamming spočívá v zahlcení komunikačních frekvencí šumem, čímž útočník přeruší spojení mezi ovladačem a dronem. Dron v takové situaci obvykle přejde do tzv. fail-safe režimu, ale jeho chování může být nepředvídatelné, zejména pokud nemá vizuální senzory nebo je zároveň rušen signál GPS. Pokud během tohoto manévru dojde k nehodě, odpovědnost nese provozovatel.

Přímý průnik do softwaru a převzetí kontroly

Nejnebezpečnější metodou je hackování komunikačního protokolu, například přes Wi-Fi nebo rádiové spojení. Pokud útočník najde zranitelnost v protokolu mezi ovladačem a dronem, může převzít plnou kontrolu nebo dron ukrást. Hackeři využívají známé zranitelnosti v neaktualizovaném firmwaru. Pokud taková zranitelnost byla veřejně známá a vy jste neprovedli aktualizaci, jedná se o vaše pochybení.

Související otázky k kybernetickým rizikům u dronů

1. Jaké jsou nejčastější vstupní body pro hackery?
Nejčastěji jde o neaktualizovaný firmware dronu, slabá hesla k účtům pro správu letů, nešifrovaný přenos videa a telemetrie, a chyby na straně cloudových úložišť výrobce.

2. Může být hacknut i běžný komerční dron?
Ano. Drony značek jako DJI, Autel či Parrot jsou běžným terčem výzkumníků i hackerů. Pokud dron komunikuje bezdrátově, je potenciálním cílem.

3. Jaký je rozdíl mezi hackováním v domácnosti a v komerčním provozu?
Zatímco u hobby pilota hrozí "jen" ztráta dronu či menší škoda, v komerčním provozu může útočník získat citlivá data a obchodní tajemství. To má často likvidační právní a finanční dopady.

Právní odpovědnost za hacknutý dron – kdo nese břemeno?

Česká právní úprava je neúprosná: jako provozovatel nesete primární odpovědnost za provoz vašeho dronu. Skutečnost, že do řízení zasáhla třetí osoba, vás automaticky nevyviňuje.

Trestní odpovědnost útočníka vs. vaše realita

Trestněprávní odpovědnost padá na útočníka, jelikož hackování dronu naplňuje skutkovou podstatu trestného činu neoprávněného přístupu k počítačovému systému. Pachateli hrozí trest odnětí svobody, který se zvyšuje v závislosti na způsobené škodě či úmyslu.

Problémem je vymahatelnost, protože než policie hackera dopadne, vy řešíte bezprostřední důsledky a nároky poškozených. Právníci z ARROWS advokátní kanceláře v těchto situacích zajišťují krizové řízení a zastupování před orgány, aby minimalizovali dopady na klienta v době, kdy je pachatel neznámý.

Občanskoprávní odpovědnost – objektivní princip

Podle § 2927 a násl. občanského zákoníku odpovídá provozovatel dopravy za škodu způsobenou zvláštní povahou provozu. Jde o tzv. objektivní odpovědnost, což znamená, že odpovídáte za výsledek bez ohledu na zavinění. I když byl dron hacknut bez vašeho vědomí, poškozený se bude hojit na vás.

Zprostit se odpovědnosti lze jen ve velmi úzkých případech, kdy škodě nešlo zabránit ani při vynaložení veškerého úsilí. Pokud však nemáte důkazy o špičkovém zabezpečení, jako jsou aktualizace, šifrování a audit, soud vaši obranu pravděpodobně neuzná.

Správněprávní odpovědnost – pokuty od regulátorů

Úřad pro civilní letectví (ÚCL) dohlíží na bezpečnost letového provozu. Pokud hacknutý dron poruší pravidla létání, zahájí ÚCL řízení s provozovatelem. Pokuty pro právnické osoby a podnikající fyzické osoby se mohou podle zákona o civilním letectví vyšplhat až do výše 5 000 000 Kč.

K tomu se přidávají sankce od dalších úřadů jako NÚKIB a ÚOOÚ. Kumulace pokut může být pro firmu fatální.

Může být odpovědný i váš zaměstnanec?

Odpovědnost zaměstnance je omezena zákoníkem práce na čtyřapůlnásobek jeho průměrného měsíčního výdělku, pokud škodu nezpůsobil úmyslně. Zbytek škody, která může jít do milionů, nese zaměstnavatel. Pokud firma neprokáže, že měla zavedena odpovídající preventivní opatření, odpovědnost se plně přenáší na statutární orgány za porušení péče řádného hospodáře.

Související otázky k právním aspektům odpovědnosti

1. Hrozí mi osobní odpovědnost jako jednateli?
Ano. Pokud jako jednatel nezajistíte dodržování právních předpisů a společnosti vznikne škoda, můžete odpovídat za porušení péče řádného hospodáře celým svým majetkem.

2. Co když dron hackl konkurent?
Vůči poškozeným třetím stranám stále odpovídáte vy z titulu provozovatele. Následně můžete uplatňovat regresní nárok vůči útočníkovi, pokud se jeho vinu podaří prokázat.

3. Pokud dron spadl a nikdo se nezranil, musím to hlásit?
Letecké nehody a incidenty je nutné hlásit Ústavu pro odborné zjišťování příčin leteckých nehod (ÚZPLN). Pokud jde o kybernetický bezpečnostní incident a jste povinnou osobou dle zákona o kybernetické bezpečnosti, musíte hlásit i NÚKIB.

Pokud je dron vybaven kamerou nebo jiným senzorem schopným zachytit osobní údaje, stáváte se správcem osobních údajů a podléháte GDPR.

Povinnosti při zpracování dat dronem

Musíte mít právní důvod, například oprávněný zájem nebo plnění smlouvy, protože nelze plošně monitorovat veřejná prostranství bezdůvodně. Klíčová je zásada minimalizace údajů.

Podle článku 32 GDPR musíte zajistit bezpečnost zpracování, což zahrnuje šifrování dat, řízení přístupů a schopnost obnovit dostupnost dat. Argument "byli jsme hacknuti" není obhajobou, pokud jste neměli zavedena odpovídající bezpečnostní opatření. Úřad pro ochranu osobních údajů (ÚOOÚ) bude zkoumat, zda jste udělali maximum pro to, aby k úniku nedošlo.

ÚOOÚ může uložit pokutu až do výše 20 milionů EUR nebo 4 % celosvětového ročního obratu. I v českém kontextu padají pokuty v řádech statisíců až milionů korun, zejména pokud dojde k úniku dat velkého rozsahu nebo dat citlivých.

1. Pokud dron snímá veřejný prostor, vztahuje se na mě GDPR?
Ano, pokud je na záznamu možné identifikovat konkrétní fyzické osoby (obličej, RZ vozidla, specifické znaky), jedná se o zpracování osobních údajů.

2. Jaká opatření musím zavést?
Technicky je nutné šifrování komunikace, zabezpečení úložiště a pravidelné mazání nepotřebných dat. Organizačně je třeba vést záznamy o činnostech zpracování a mít interní směrnice pro piloty.

Co vám hrozí a jak pomáhá ARROWS advokátní kancelář

Rizika a sankce	Jak pomáhá ARROWS (office@arws.cz)
Pokuta od ÚCL za porušení leteckých předpisů: až 5 milionů Kč pro právnické osoby, zákaz činnosti, zabavení dronu.	Zastupování ve správním řízení: efektivní obhajoba před ÚCL s cílem minimalizovat sankci nebo dosáhnout zastavení řízení.
Sankce dle GDPR: až 20 milionů EUR nebo 4 % obratu při úniku dat z dronu.	GDPR audit a compliance: nastavení procesů zpracování dat, příprava dokumentace (DPIA, záznamy o činnostech) a krizová komunikace s ÚOOÚ.
Náhrada škody třetím osobám: neomezená objektivní odpovědnost za škodu na zdraví a majetku.	Soudní zastupování a vyjednávání: řešení sporů s poškozenými a pojišťovnami, snaha o mimosoudní vyrovnání.
Kybernetický incident a pokuta dle ZKB: vysoké sankce pro povinné subjekty (až desítky/stovky milionů Kč dle kategorie).	Implementace NIS2: právní podpora při zavádění požadavků nového zákona o kybernetické bezpečnosti, reporting incidentů.
Odpovědnost managementu: ručení osobním majetkem za škodu způsobenou firmě nedbalostí při zajištění bezpečnosti.	Compliance programy: nastavení vnitřního kontrolního systému, který chrání statutární orgány před osobní odpovědností.

Kybernetická bezpečnost v praxi – co musíte udělat

Pro minimalizaci rizik a posílení právní pozice je nutné provést konkrétní kroky.

Technická opatření – nutné minimum

Používejte drony, které podporují robustní šifrování přenosu (např. AES-256).
Data na SD kartách v dronu by měla být šifrována, aby byla pro nálezce nečitelná.
Silná hesla a vícefaktorová autentifikace (MFA) do cloudových služeb výrobce jsou nutností.
Pravidelná instalace firmwaru a softwaru záplatuje známé bezpečnostní díry.

Dodavatelský řetězec a smlouvy

Pokud využíváte externí dodavatele, jako je servis nebo pronájem dronů, nesete za bezpečnost stále odpovědnost vy jako správce. Smlouvy s dodavateli musí obsahovat garance dodržování bezpečnostních standardů a povinnost hlásit incidenty.

Právníci ARROWS advokátní kanceláře připravují smlouvy tak, aby umožňovaly regresní vymáhání škody po dodavateli v případě jeho pochybení. Součástí smluv by mělo být také právo na provedení auditu u dodavatele.

Související otázky k praxi

1. Je zabezpečení povinné pro všechny?
Základní povinnost předcházet škodám dle občanského zákoníku platí pro každého. Specifické povinnosti dle GDPR a ZKB dopadají na správce dat a regulované subjekty.

2. Kdo odpovídá za bezpečnost ve firmě?
Statutární orgán, tedy jednatel nebo představenstvo. Může delegovat úkoly na CISO nebo IT manažera, ale odpovědnost za dohled zůstává nahoře.

Registrace, pojištění a právní povinnosti

Většina provozovatelů dronů se musí registrovat u Úřadu pro civilní letectví na portálu DronView. Po registraci obdržíte číslo provozovatele, kterým musíte označit všechny své drony.

Povinné pojištění

Podle Nařízení (ES) č. 785/2004 a platné české legislativy je pojištění odpovědnosti povinné pro každého provozovatele bezpilotního systému, který má povinnost registrace. Pojistné plnění kryje škody způsobené třetím osobám. Pro komerční subjekty je vhodné i havarijní pojištění dronu a připojištění kybernetických rizik.

Nový zákon o kybernetické bezpečnosti (NIS2) a jeho dopady

Připravovaný nový zákon o kybernetické bezpečnosti, který do českého práva transponuje evropskou směrnici NIS2, zásadně mění pravidla hry.

Koho se týká?

Zákon dopadne na mnohem širší okruh firem než dosud, například v energetice, dopravě, digitální infrastruktuře, ale i ve výrobě. Pokud provozujete drony v těchto sektorech, zpozorněte.

Hlavní povinnosti a sankce

Povinností je hlásit významný incident NÚKIBu do 24 hodin a zavést bezpečnostní opatření včetně analýzy rizik. Vrcholové vedení nese osobní odpovědnost za dohled nad opatřeními, přičemž hrozí pokuty až do výše 10 milionů EUR nebo 2 % obratu. Pokud si nejste jisti, zda spadáte pod novou regulaci, kontaktujte ARROWS advokátní kancelář pro provedení analýzy.

Jak se chránit – praktický plán

Analýza rizik: Zmapujte, jaké drony máte, jaká data sbírají a kde jsou slabá místa.
Technický audit: Zajistěte šifrování, aktualizace a fyzickou bezpečnost zařízení.
Právní audit: Zkontrolujte registraci, pojištění a soulad s GDPR.
Smlouvy: Revidujte smlouvy s dodavateli a zaměstnanci.
Compliance: Nastavte interní směrnice a procesy pro případ incidentu.

Závěr

Kybernetická bezpečnost dronů je komplexní právní a technický problém, jehož ignorování může vést k likvidačním pokutám. Právní rámec se zpřísňuje a odpovědnost se přesouvá přímo na vedení firem.

Právníci z ARROWS advokátní kanceláře mají zkušenosti s právem IT, letectvím i krizovým řízením. Pomůžeme vám nastavit procesy tak, abyste splnili zákonné požadavky a byli chráněni v případě incidentu.

Pokud řešíte zabezpečení dronů, implementaci NIS2 nebo incident, neváhejte se na nás obrátit. Kontaktujte nás na office@arws.cz.

FAQ – Nejčastější právní dotazy

1. Co dělat ihned po zjištění, že byl dron hacknut?
Zajistěte bezpečnost, zdokumentujte incident a pokud došlo k úniku dat, nahlaste incident příslušným úřadům (ÚOOÚ, NÚKIB, ÚZPLN) v zákonných lhůtách. Kontaktujte právního zástupce.

2. Jaké jsou lhůty pro hlášení?
Dle GDPR musíte hlásit do 72 hodin ÚOOÚ. Dle nového zákona o kybernetické bezpečnosti je nutné včasné varování do 24 hodin NÚKIBu.

3. Stačí mi pojištění odpovědnosti?
Pojištění kryje finanční škody třetím osobám, ale nezbaví vás trestní odpovědnosti, správních pokut ani reputační škody. Je to jen jedna část skládačky.

4. Co když nezavedu opatření dle NIS2?
Vystavujete se riziku vysokých pokut, zákazu činnosti a osobní odpovědnosti členů statutárních orgánů.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je proto nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme žádnou odpovědnost za případné škody či komplikace vzniklé samostatným užitím informací z tohoto článku bez naší předchozí individuální právní konzultace a odborného posouzení. Každý případ vyžaduje řešení na míru, proto nás neváhejte oslovit.