Kybernetická bezpečnost v online hazardu: povinnosti dle zákona a osvědčené praxe
.png)
Kybernetická bezpečnost v online hazardu a plnění zákonných povinností se v roce 2026 nachází pod mimořádně přísným dohledem. Tento článek přehledně vysvětluje, jaké kroky musí provozovatelé internetových her podniknout, aby plně vyhověli požadavkům zákona o hazardních hrách, AML legislativy, GDPR a nového zákona o kybernetické bezpečnosti podle doporučení právníků ARROWS advokátní kanceláře.
Obsah článku
- Shrnutí v bodech
- Úvod: proč je kybernetická bezpečnost v online hazardu téma pro vedení firem
- Právní rámec kybernetické bezpečnosti v online hazardu v ČR a EU
- Povinnosti provozovatelů online hazardu v oblasti kybernetické bezpečnosti
- Osvědčené technické a organizační postupy kybernetické bezpečnosti v online hazardu
- Závěrečné shrnutí
Shrnutí v bodech
Provozovatel online hazardních her v České republice je subjektem regulovaným zákonem o hazardních hrách, povinnou osobou podle AML zákona a správcem osobních údajů podléhajícím GDPR. V řadě případů navíc spadá pod regulaci nového zákona o kybernetické bezpečnosti v režimu NIS2. V praxi to znamená povinnost důsledně ověřovat identitu hráčů (KYC), kontrolovat Rejstřík vyloučených osob (RVO), implementovat sebeomezující opatření a uplatňovat robustní pravidla pro ochranu dat.
Mezi typické slabiny provozovatelů patří podceněné smluvní vztahy s IT a marketingovými dodavateli, chybějící logování a neúplné auditní stopy. Tyto nedostatky zásadně zvyšují riziko vysokých finančních sankcí, zdlouhavých správních řízení i fatální reputační újmy.
Z hlediska technické bezpečnosti je standardní ochrana v podobě antiviru již nedostatečná. Vyžadována je šifrovaná komunikace s využitím moderních protokolů TLS/HTTPS, vícefaktorové ověřování (MFA) pro všechny přístupy, pravidelné penetrační testy, spolehlivé zálohování podle schématu 3-2-1 a systematická správa zranitelností.
Kybernetická bezpečnost je strategickým tématem pro statutární orgány a vlastníky, kteří nesou osobní odpovědnost za schválení a dohled nad bezpečnostními opatřeními. Právníci ARROWS advokátní kanceláře proto doporučují integrovat kybernetickou bezpečnost do celkového řízení rizik a ochrany hodnoty společnosti.
Úvod: proč je kybernetická bezpečnost v online hazardu téma pro vedení firem
Online hazard patří v rámci digitální ekonomiky mezi obory s nejvyšší mírou regulace a nároky na bezpečnost. Provozovatel internetového kasina, sázkové kanceláře či jiné online hry pracuje s vysoce citlivými osobními a finančními údaji, které představují primární cíl pro kybernetické útočníky. Vedle standardních identifikačních údajů zpracovává informace o herním chování, finančních transakcích či potenciálních sebeomezujících opatřeních, což tato data řadí do režimu zvýšené ochrany podle GDPR.
K praktickému nastavení procesů a dokumentace včetně posouzení rizik a smluv s dodavateli může pomoci i naše podpora v oblasti gdpr.
Tento sektor podléhá v České republice přísnému dohledu ze strany Ministerstva financí na základě zákona o hazardních hrách a ze strany Celní správy ČR, která v online prostředí monitoruje a potírá nelegální hazardní hry. Nelegální provozování hazardních her na internetu představuje specifický typ kyberkriminality, jehož výskyt vykazuje dlouhodobě rostoucí tendenci.
Další zásadní rovinu představují povinnosti v oblasti boje proti legalizaci výnosů z trestné činnosti a financování terorismu. Provozovatel hazardních her je podle českého AML zákona tzv. povinnou osobou a vztahují se na něj přísné požadavky srovnatelné s bankovním sektorem. To zahrnuje identifikaci a kontrolu klientů (KYC), průběžný monitoring transakcí, vyhodnocování rizik, uchovávání dokumentace a povinnost hlásit podezřelé obchody Finančnímu analytickému úřadu (FAÚ).
Pro provozovatele, kteří kromě AML řeší i ochranu osobních údajů a bezpečnostní opatření, může být užitečné navázat na zkušenosti popsané v článku Co rozhoduje o spolupráci s ARROWS při řešení GDPR: Praktické nastavení ochrany dat, které nebrzdí byznys a efektivně eliminuje hrozbu pokut.
Do tohoto právního rámce se plně začlenil nový zákon o kybernetické bezpečnosti, který do českého právního řádu transponoval evropskou směrnici NIS2. Tato právní úprava již nevnímá kybernetickou bezpečnost jako izolovanou technickou záležitost, nýbrž jako klíčovou součást řízení rizik a kontinuity podnikání. Provozovatelé online hazardu jsou tak pod drobnohledem NÚKIB s povinností zavést robustní bezpečnostní opatření.
Pro vedení firem a investory to přináší zásadní odpovědnost. Kybernetický incident může v online hazardu způsobit nejen okamžitý výpadek služeb a přímé finanční ztráty, ale také únik databází hráčů, zneužití platebních údajů a nenávratnou ztrátu důvěry uživatelů. V kombinaci s hrozbou vysokých pokut a reálným rizikem odejmutí licence se jedná o zcela zásadní byznysové riziko.
Právníci ARROWS advokátní kanceláře proto v praxi doporučují detailní prověrku due diligence, kde je stav kybernetické bezpečnosti a compliance klíčovým faktorem při investorských transakcích. Stav zabezpečení se přímo promítá do vyjednávací pozice, výsledné kupní ceny a celkového úspěchu fúzí a akvizic.
V transakční praxi se proto často vyplatí opřít se i o zkušenosti z oblasti korporátního práva, holdingů a struktur, aby byla rizika správně promítnuta do smluvní dokumentace a odpovědnostních mechanismů.
Právní rámec kybernetické bezpečnosti v online hazardu v ČR a EU
Regulační prostředí pro provozovatele internetových her v České republice se skládá z několika provázaných právních oblastí. Pro úspěšné fungování na trhu je nezbytné porozumět vztahům mezi herní legislativou, AML předpisy, ochranou osobních údajů a novými kyberbezpečnostními standardy.
Zákon o hazardních hrách a související regulace
Základním právním předpisem pro tuto oblast v České republice je zákon č. 186/2016 Sb., o hazardních hrách (ZHH). Tento zákon komplexně upravuje podmínky provozování hazardních her, opatření pro zodpovědné hraní a kompetence dozorových orgánů. Podrobnější kontext k regulatorním požadavkům a jejich přesahům do online prostředí shrnuje také novinka Právní rámec online hazardních her a sázek v ČR a EU. Pro online hazard – v zákoně definovaný jako internetová hra – stanovuje ZHH specifické požadavky, které přímo dopadají na kybernetickou bezpečnost a správu dat.
Provozovatel internetové hry musí disponovat základním povolením vydávaným Ministerstvem financí ČR, přičemž zahraniční provozovatelé cílící na český trh plně podléhají české jurisdikci. Zákon definuje teritoriální působnost tak, že hra je považována za provozovanou na území ČR, je-li zaměřena na osoby s bydlištěm v ČR nebo je-li dostupná v českém jazyce.
ZHH klade velký důraz na opatření pro zodpovědné hraní. Provozovatel je povinen umožnit hráčům nastavení sebeomezujících opatření, jako jsou denní či měsíční limity sázek, čistých proher, délky přihlášení nebo frekvence návštěv webu. Při dosažení nastaveného limitu musí herní systém hráči automaticky zamezit v další účasti na hře a odhlásit jej.
Klíčovým nástrojem kontroly je Rejstřík vyloučených osob (RVO), přičemž provozovatel je povinen při registraci a před každým přihlášením hráče ověřit jeho status. Toto ověření probíhá v reálném čase prostřednictvím zabezpečeného rozhraní a vyžaduje bezchybnou technickou integraci a vedení podrobných auditních záznamů pro potřeby kontroly.
Provozovatelé online hazardních her mají rovněž povinnost implementovat tzv. „Panic Button“ (tlačítko pro okamžité zamezení účasti na hře). Tento technický prvek musí být po celou dobu hry viditelně dostupný v herním rozhraní a musí hráči umožnit okamžité zablokování účasti na hře u daného provozovatele po dobu přesně 48 hodin. Současně musí systém hráči nabídnout možnost podání žádosti o zápis do RVO.
Férovost internetových her je zajišťována certifikací generátoru náhodných čísel (RNG), který musí zaručit statistickou náhodnost výsledků. Pravidelný audit a certifikace RNG autorizovanou zkušebnou jsou nezbytnou podmínkou pro udržení povolení k provozování her.
AML zákon a povinnosti KYC/AML
Podle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (AML zákon), jsou provozovatelé hazardních her zařazeni mezi povinné osoby. Z hlediska AML compliance to pro ně znamená povinnosti srovnatelné s finančními institucemi.
Základním pilířem je princip Know Your Customer (KYC), což v online hazardu znamená úplné vyloučení anonymní účasti a povinnost ověření totožnosti. AML zákon pro online prostředí vyžaduje spolehlivé metody ověření, jako je využití prostředků elektronické identifikace s vysokou úrovní záruky (např. BankID) nebo zprostředkovanou identifikaci na pracovištích Czech POINT.
Vedle identifikace klienta je provozovatel povinen provádět průběžnou kontrolu klienta, monitorovat finanční transakce, vyhodnocovat rizikový profil a v případě detekce podezřelých vzorců chování bezodkladně podat oznámení o podezřelém obchodu Finančnímu analytickému úřadu (FAÚ). To vyžaduje nasazení specializovaných monitorovacích systémů a algoritmů pro detekci podvodného jednání.
AML zákon ukládá povinnost uchovávat identifikační údaje klienta, kopie dokladů a záznamy o transakcích po dobu 10 let od ukončení obchodního vztahu. Tato dlouhá archivační lhůta představuje zákonnou výjimku z práva na výmaz podle GDPR, což musí mít provozovatel správně ošetřeno ve svých vnitřních předpisech.
Z hlediska vnitřní organizace musí provozovatel vypracovat systém vnitřních zásad (interní AML program), provést hodnocení rizik, jmenovat kontaktní osobu pro styk s FAÚ a zajistit pravidelné školení zaměstnanců. Nesplnění těchto povinností může vést k pokutám do výše 50 milionů Kč a k podání podnětu k odnětí licence.
GDPR a ochrana dat hráčů
Na provozování online hazardu plně dopadá obecné nařízení o ochraně osobních údajů (GDPR). Provozovatel vystupuje jako správce osobních údajů a zpracovává rozsáhlé spektrum dat – od základních identifikačních a kontaktních údajů přes finanční transakce až po citlivé informace spojené s herními limity či zápisem v RVO.
Zpracování osobních údajů musí být podloženo jasným právním titulem a musí splňovat zásady transparentnosti, minimalizace dat a omezení uložení. Porušení pravidel GDPR může vést k vysokým pokutám až do výše 20 milionů EUR nebo 4 % celosvětového ročního obratu společnosti podle toho, která částka je vyšší.
Provozovatelé často chybují v nastavení vztahů s externími dodavateli IT platforem, cloudových služeb, platebních bran či marketingových nástrojů. Pokud tito partneři zpracovávají osobní údaje hráčů jménem provozovatele, mají status zpracovatele a je s nimi nutné uzavřít písemnou smlouvu o zpracování osobních údajů (Data Processing Agreement – DPA) splňující požadavky článku 28 GDPR.
Formální či chybějící smlouvy jsou při kontrolách Úřadu pro ochranu osobních údajů (ÚOOÚ) častým zdrojem vysokých sankcí. GDPR rovněž ukládá povinnost hlásit porušení zabezpečení osobních údajů ÚOOÚ bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o něm správce dozvěděl.
Nový zákon o kybernetické bezpečnosti a směrnice NIS2
Nový zákon o kybernetické bezpečnosti transponuje do české legislativy evropskou směrnici NIS2 a zásadním způsobem rozšiřuje okruh regulovaných subjektů. Tato legislativa dopadá na poskytovatele služeb v odvětvích s vysokou mírou digitalizace a významem pro ekonomiku, kteří splňují stanovená kritéria. Provozovatelé online hazardních her, kteří tato kritéria naplňují, se stávají poskytovateli regulované služby.
Nová úprava vyžaduje systematické řízení kybernetických rizik, což znamená povinnost identifikovat klíčová aktiva a zavést přiměřená technická a organizační opatření. Mezi minimální vyžadovaná opatření patří zavedení vícefaktorového ověřování (MFA), segmentace počítačových sítí, bezpečné zálohování a pravidelná správa zranitelností.
Významnou povinností je hlášení kybernetických bezpečnostních incidentů. Pokud dojde k incidentu s významným dopadem na poskytovanou službu, je provozovatel povinen podat NÚKIB prvotní varování do 24 hodin od zjištění incidentu. Podrobnější zprávu je nutné zaslat do 72 hodin a závěrečnou zprávu s analýzou příčin do 30 dnů.
Klíčovou změnou je přímá osobní odpovědnost členů statutárního orgánu za schválení a dohled nad implementací bezpečnostních opatření. Vrcholové vedení se nemůže zbavit odpovědnosti pouhým delegováním na IT oddělení; v případě závažného zanedbání povinností jim hrozí osobní odpovědnost i zákaz výkonu řídicích funkcí.
Národní strategie kybernetické bezpečnosti a širší kontext
Národní strategie kybernetické bezpečnosti ČR stanovuje strategický rámec pro posilování odolnosti státu i soukromého sektoru vůči kybernetickým hrozbám. Dokument zdůrazňuje nezbytnost proaktivního přístupu, sdílení informací o hrozbách a posilování spolupráce mezi veřejným a soukromým sektorem pod koordinací NÚKIB.
Sektor online hazardu, jakožto transakčně vysoce aktivní odvětví pracující s finančními prostředky, je řazen mezi atraktivní cíle kyberkriminálních skupin. Strategie identifikuje jako hlavní hrozby sofistikované útoky s využitím ransomwaru a pokročilých metod sociálního inženýrství.
V rámci EU neexistuje jednotná harmonizovaná legislativa specificky pro hazardní hry; regulace spadá do kompetence členských států, které však musí respektovat základní zásady evropského práva. Provozovatelé působící ve více jurisdikcích tak musí koordinovat své compliance programy s ohledem na specifika národních legislativ a zároveň implementovat robustní mezinárodní standardy, jako je ISO/IEC 27001.
Právníci ARROWS advokátní kanceláře v této souvislosti pomáhají klientům s nastavením přeshraničních struktur tak, aby splňovaly přísné požadavky české regulace. To umožňuje efektivní fungování v rámci mezinárodních skupin za současného využití synergií v oblasti IT infrastruktury a bezpečnosti.
Specifická kybernetická rizika v online hazardu
Provozovatelé online hazardních her čelí širokému spektru specifických hrozeb, které mohou ohrozit nejen technickou infrastrukturu, ale také samotnou existenci podnikání. Pochopení těchto rizik je prvním krokem k vybudování účinné obrany.
Ransomware, malware, spyware a útoky na data hráčů
Ransomwarové útoky představují pro online hazardní platformy jednu z nejvážnějších hrozeb s potenciálně likvidačními následky. Moderní ransomware se nesoustředí pouze na zašifrování dat a vynucení výkupného za jejich dešifrování, ale využívá metodu dvojitého vydírání (double extortion). Útočníci nejprve ukradnou citlivá data hráčů a interní dokumentaci a teprve poté systémy zašifrují. Pokud provozovatel odmítne zaplatit, vyhrožují zveřejněním dat na darknetu.
Únik databáze hráčů má pro provozovatele drtivé právní i komerční důsledky, včetně hrozby vysokých pokut ze strany ÚOOÚ a žalob na náhradu újmy. Vedle ransomwaru čelí platformy rizikům spojeným s malwarem a spywarem cílícím na kompromitaci administrativních účtů zaměstnanců. Škodlivý kód se do systémů nejčastěji dostává prostřednictvím zranitelností v softwaru.
Spyware nainstalovaný v síti může dlouhodobě monitorovat interní komunikaci, zaznamenávat stisky kláves (keylogging) a získat přístupové údaje k herním serverům nebo platebním rozhraním. Detekce těchto skrytých hrozeb vyžaduje pokročilé nástroje pro monitorování koncových bodů (EDR/XDR) a neustálou analýzu síťového provozu.
DDoS útoky a dostupnost služeb
Distributed Denial of Service (DDoS) útoky jsou v sektoru online hazardu běžným nástrojem vydírání a nekalého konkurenčního boje. Cílem útoku je zahltit servery provozovatele enormním množstvím uměle generovaného provozu, což vede ke zpomalení nebo úplné nedostupnosti platformy pro legitimní hráče.
Pro online kasino či sázkovou kancelář znamená i krátkodobý výpadek v řádu minut přímou ztrátu tržeb a rychlý odchod hráčů ke konkurenci. Útočníci často spouštějí DDoS útoky jako nátlakový prostředek a požadují výkupné v kryptoměnách za jeho ukončení.
DDoS útoky mohou také sloužit jako krycí manévr pro zakrytí mnohem nebezpečnější aktivity. Zatímco IT tým plně soustředí svou pozornost a zdroje na obnovu dostupnosti webu, útočníci se na pozadí pokoušejí o průnik do databází nebo kompromitaci platebních systémů. Účinná obrana vyžaduje využití specializovaných mitigačních služeb a robustní síťovou infrastrukturu.
Phishing a sociální inženýrství
Lidský faktor zůstává nejčastějším slabým článkem v bezpečnostním řetězci. Útočníci s oblibou využívají metody sociálního inženýrství, zejména phishing (podvodné e-maily), vishing (podvodné telefonáty) a smishing (podvodné SMS), aby od zaměstnanců nebo samotných hráčů vylákali přístupové údaje.
V kontextu online hazardu cílí phishingové kampaně jak na samotné hráče s cílem zneužít jejich účty, tak na zaměstnance zákaznické podpory. Zákaznická podpora denně komunikuje s velkým množstvím neznámých osob a otevírá externí přílohy. Útočník může poslat infikovaný soubor, který po otevření infikuje pracovní stanici malwarem.
Obrana proti těmto útokům vyžaduje kombinaci technických filtrů a systematického, opakovaného vzdělávání zaměstnanců formou praktických cvičení a simulovaných phishingových kampaní. Pouhá teoretická školení bez praktického otestování v reálném provozu bývají neúčinná.
Nelegální online hazard jako konkurenční i bezpečnostní hrozba
Nelegální provozovatelé hazardních her na internetu představují pro legální trh nejen ekonomickou hrozbu, ale také závažné bezpečnostní riziko. Tyto subjekty nepodléhají licenčnímu řízení, neověřují identitu hráčů přes RVO, ignorují AML pravidla a neimplementují standardy kybernetické bezpečnosti.
Pro legální provozovatele to znamená nerovné konkurenční prostředí, přičemž nelegální platformy často slouží k distribuci malwaru a praní špinavých peněz. Pokud dojde k masivnímu zneužití dat na nelegálním webu, může to negativně ovlivnit vnímání bezpečnosti celého sektoru online hazardu veřejností.
Celní správa ČR sice aktivně vyhledává a blokuje nelegální weby a platební metody, avšak potírání nelegálního hazardu je dlouhodobý proces. Legální provozovatelé by měli ve svém vlastním zájmu spolupracovat s právními zástupci na monitorování trhu a podávání podnětů příslušným orgánům k eliminaci nelegální konkurence.
Související dotazy
1. Jak velké riziko představuje ransomware pro licencované provozovatele?
Riziko je extrémně vysoké. Online hazardní platformy jsou závislé na nepřetržité dostupnosti a zpracování transakcí v reálném čase, což z nich dělá ideální cíle pro ransomwarové skupiny požadující výkupné. Úspěšný útok může paralyzovat provoz na dny i týdny, přičemž hrozí masivní úniky citlivých dat hráčů s rizikem vysokých pokut a žalob. Přípravu obranné strategie a plánů obnovy doporučujeme konzultovat s našimi specialisty na office@arws.cz.
2. Proč jsou DDoS útoky v online hazardu tak časté a jak se jim bránit?
DDoS útoky jsou technicky relativně snadno realizovatelné a pro provozovatele znamenají okamžitou finanční ztrátu a poškození pověsti. Útočníci je často používají jako nátlakový nástroj pro vymáhání výkupného. Účinná obrana spočívá v nasazení specializovaných cloudových mitigačních služeb, správné konfiguraci síťové infrastruktury a integraci těchto postupů do plánu kontinity podnikání (BCP). S právním a smluvním nastavením těchto služeb vám rádi pomůžeme; kontaktujte nás na office@arws.cz.
3. Jak efektivně eliminovat riziko phishingu u zaměstnanců zákaznické podpory?
Technická opatření (filtry, sandboxing) jsou nezbytná, ale klíčové je pravidelné vzdělávání. Zaměstnanci musí procházet praktickými školeními a simulovanými útoky, aby se naučili rozpoznávat podezřelé vzory komunikace a dodržovali přísné bezpečnostní protokoly při manipulaci s externími soubory a odkazy. Pro nastavení vnitřních směrnic a školicích programů nás kontaktujte na office@arws.cz.
Povinnosti provozovatelů online hazardu v oblasti kybernetické bezpečnosti
Splnění zákonných standardů vyžaduje od provozovatelů zavedení konkrétních procesních a technických opatření. Tato opatření musí být plně integrována do každodenního chodu společnosti a pravidelně auditována.
Identifikace a ověřování hráčů (KYC) a Rejstřík vyloučených osob
V souladu se ZHH a AML zákonem je provozovatel povinen zajistit spolehlivou identifikaci a ověření totožnosti každého hráče před zřízením herního účtu. V online prostředí se za tímto účelem využívají systémy elektronické identifikace napojené na národní identitní autoritu (např. BankID) s vysokou úrovní záruky.
Pokud provozovatel implementuje dálkové ověřování skenováním dokladů a biometrickým ověřením, musí technické řešení garantovat vysokou odolnost proti podvrhům a splňovat GDPR. Při registraci a před každým přihlášením hráče musí herní systém automaticky odeslat dotaz do Rejstříku vyloučených osob (RVO).
Rozhraní pro dotazování do RVO musí být zabezpečeno šifrováním, přístupovými certifikáty a robustní autentizací. Provozovatel must logovat každý odeslaný dotaz a obdrženou odpověď a tyto záznamy uchovávat pro potřeby kontrolních orgánů. Výpadek spojení s RVO nebo chyba v systému ověřování, která by umožnila hru vyloučené osobě, zakládá závažné porušení zákona.
Sebeomezující opatření, Panic Button a odpovědné hraní
Implementace sebeomezujících opatření vyžaduje, aby herní platforma spolehlivě a v reálném čase sledovala a vyhodnocovala nastavené limity pro každého hráče. Technické řešení musí zajistit, že limity nelze obejít a že se jejich zpřísnění projeví v systému okamžitě.
Od zavedení této povinnosti musí být v herním rozhraní trvale dostupné tlačítko pro okamžité zamezení účasti na hře neboli Panic Button. Jeho aktivace musí vést k okamžitému ukončení všech aktivních herních relací hráče, uzamčení účtu na dobu přesně 48 hodin a odeslání potvrzení hráči s nabídkou zprostředkování zápisu do RVO.
Povinnosti podle AML: monitoring a hlášení podezřelých obchodů
Provozovatelé musí mít zaveden efektivní systém pro sledování herních a finančních transakcí s cílem detekovat neobvyklé či podezřelé aktivity. Monitorovací systém musí v reálném čase analyzovat parametry, jako jsou neobvyklé vklady, rychlé výběry bez adekvátní herní aktivity či podezřelé změny v chování hráče.
Pokud systém identifikuje transakci jako podezřelou, musí být automaticky pozastavena a postoupena odpovědné osobě k posouzení. V případě potvrzení podezření je provozovatel povinen podat oznámení o podezřelém obchodu na FAÚ a striktně dodržet mlčenlivost vůči klientovi. Všechny kroky analýzy a rozhodování musí být podrobně dokumentovány.
GDPR a kybernetická bezpečnost: smlouvy, retention, breach management
V souladu s GDPR musí provozovatelé zajistit ochranu osobních údajů hráčů po celý jejich životní cyklus. To zahrnuje detailní smluvní zajištění vztahů s IT dodavateli, kteří mají přístup k datům hráčů, formou zpracovatelských smluv (DPA) definujících technické a organizační záruky zabezpečení.
Osobní údaje smí být uchovávány pouze po nezbytnou dobu, přičemž po uplynutí zákonných lhůt musí být data bezpečně smazána. Provozovatel musí disponovat procesem pro detekci a vyhodnocování narušení bezpečnosti. Pokud dojde k úniku dat, musí být incident do 72 hodin nahlášen ÚOOÚ.
Povinnosti podle NIS2/ZoKB: řízení rizik, incidenty, role vedení
Podle nového zákona o kybernetické bezpečnosti (ZoKB) implementujícího směrnici NIS2 musí provozovatelé, kteří splňují kritéria poskytovatelů regulované služby, zavést komplexní systém řízení bezpečnosti informací (ISMS). To zahrnuje pravidelnou analýzu rizik a prioritizaci bezpečnostních opatření.
Při vzniku incidentu s významným dopadem na dostupnost herní platformy je provozovatel povinen odeslat prvotní hlášení NÚKIB do 24 hodin. Statutární orgán společnosti nese přímou odpovědnost za schválení bezpečnostní strategie, přidělení adekvátních zdrojů a dohled nad jejím plněním.
Povinnosti při porušení zabezpečení dat a kybernetických incidentech
Při vzniku kybernetického incidentu, jako je úspěšný ransomwarový útok, dochází k souběhu povinností vůči více regulátorům najednou. Je nutné odeslat oznámení NÚKIB do 24 hodin, ÚOOÚ do 72 hodin a v případě vysokého rizika pro práva hráčů informovat také přímo dotčené uživatele.
Pro zvládnutí těchto krizových situací je nezbytné mít předem vypracovaný, otestovaný a pravidelně aktualizovaný plán reakce na incidenty. Tento plán musí jasně definovat komunikační toky, odpovědnosti a předpřipravené vzory hlášení pro jednotlivé úřady.
|
Možné problémy |
Jak pomáhá ARROWS (office@arws.cz) |
|
Zanedbání kontroly RVO Chyba v technické integraci umožní hru vyloučené osobě, což vede k riziku vysokých pokut a odejmutí licence. |
Právní audit a revize smluv Provedeme právní audit integračních procesů , revidujeme smlouvy s IT dodavateli platformy a nastavíme odpovědnost za technické výpadky. |
|
Nedostatečná AML kontrola Formální nebo neúplný monitoring transakcí s rizikem sankcí ze strany FAÚ do výše 50 mil. Kč. |
AML compliance program Vypracujeme hodnocení rizik a systém vnitřních zásad na míu , vyškolíme zaměstnance a připravíme vás na kontrolu z FAÚ. |
|
Chybějící zpracovatelské smlouvy Předávání dat IT a marketingovým partnerům bez DPA splňující čl. 28 GDPR s rizikem vysokých pokut od ÚOOÚ. |
GDPR smluvní audit Zanalyzujeme toky dat a identifikujeme zpracovatele , připravíme či vyjednáme robustní zpracovatelské smlouvy chránící vaše zájmy. |
|
Neodpovídající reakce na incident Chaos při úniku dat, nesplnění zákonných lhůt pro hlášení NÚKIB a ÚOOÚ. |
Krizové řízení a incident response Připravíme právní a komunikační část plánu reakce na incidenty , zajistíme krizovou podporu v režimu 24/7 a zastoupíme vás před regulátory. |
|
Osobní odpovědnost vedení Členové statutárního orgánu čelí osobní odpovědnosti za zanedbání kybernetické bezpečnosti podle NIS2. |
Corporate Governance a školení Nastavíme reportingové toky pro vedení , připravíme metodiky rozhodování a provedeme specializovaná školení pro statutární zástupce. |
Osvědčené technické a organizační postupy kybernetické bezpečnosti v online hazardu
Technická opatření tvoří základní pilíř kybernetické bezpečnosti každé online platformy. Aby byla tato opatření skutečně účinná, musí odpovídat aktuálním technologickým standardům a osvědčené praxi v oboru.
Zabezpečení komunikace a infrastruktury: TLS/HTTPS, datová centra, zálohování
Veškerá komunikace mezi zařízením hráče a herními servery musí být šifrována pomocí aktuálních a bezpečných kryptografických protokolů TLS 1.3, případně TLS 1.2 se silnými šifrovými sadami. Použití HTTPS s platnými a důvěryhodnými SSL/TLS certifikáty je standardem bránícím odposlechu.
Servery a datová úložiště herní platformy musí být umístěny v certifikovaných datových centrech garantujících vysokou úroveň fyzické i logické bezpečnosti. Zálohovací strategie musí striktně dodržovat pravidlo 3-2-1, které vyžaduje minimálně tři kopie dat na dvou různých typech médií, s jednou zálohou uloženou off-site.
Minimálně jedna záloha musí být zcela izolovaná od produkční sítě (tzv. air-gapped záloha), což je klíčová obranná linie proti zašifrování záloh ransomwarem. Proces obnovy dat ze záloh (disaster recovery) must be pravidelně testován a doložen písemnými protokoly.
Řízení přístupu: hesla, MFA a privilegované účty
Provozovatel musí implementovat přísnou politiku řízení přístupů založenou na principu nejnižších privilegií, kdy zaměstnanci smí mít přístup pouze k těm systémům a datům, které nezbytně potřebují pro výkon své práce.
Klíčovým opatřením je povinné zavedení vícefaktorového ověřování (MFA) pro všechny zaměstnance přistupující do interních systémů a administrace. Heslová politika musí vyžadovat používání silných hesel a správců hesel pro bezpečné ukládání přihlašovacích údajů.
Penetrační testy, audity a ISO 27001
Pravidelné testování odolnosti systémů je nezbytným prvkem proaktivní bezpečnosti. Provozovatel by měl minimálně jednou ročně a vždy po významné změně herní platformy či infrastruktury zajistit provedení nezávislých penetračních testů pokrývajících vnější síťový perimetr i vnitřní síť.
Zavedení a certifikace systému řízení bezpečnosti informací podle standardu ISO/IEC 27001 představuje nejlepší způsob, jak systematicky řídit kybernetická rizika. Tento mezinárodní certifikát prokazuje vysokou úroveň zabezpečení partnerům, investorům i dozorovým orgánům.
Aktualizace softwaru a správa zranitelností
Většina kybernetických útoků zneužívá známé zranitelnosti v softwaru, pro které již výrobci vydali opravné záplaty, avšak provozovatelé je včas nenainstalovali. Osvědčený postup vyžaduje automatizovaný scanning zranitelností a systematický Patch Management.
Stanovení jasných lhůt pro instalaci bezpečnostních aktualizací na základě kritičnosti zranitelnosti je základem preventivní ochrany. Pokud provozovatel vyvíjí vlastní software, musí být bezpečnostní testy integrovány přímo do procesu vývoje a nasazování kódu.
Incident response plán a cvičení
Mít připravený plán reakce na incidenty (Incident Response Plan) je zásadní pro minimalizaci škod při úspěšném útoku. Plán musí být písemný, snadno dostupný i při úplném výpadku IT infrastruktury a musí obsahovat přesnou definici a kategorizaci incidentů.
Incident Response Plan musí určit konkrétní role v týmu a obsahovat komunikační matici pro informování vedení, právníků a dozorových úřadů. Funkčnost plánu musí být pravidelně ověřována formou simulovaných cvičení za účasti IT, právního oddělení i vedení.
Compliance, kontroly a sankce: co hrozí provozovatelům online hazardu
Dozor nad online hazardními hrami je v České republice velmi přísný a rozdělený mezi několik státních institucí. Nedůsledné plnění povinností může mít pro provozovatele vážné právní i finanční důsledky.
Kontroly Ministerstva financí, Celní správy, FAÚ, ÚOOÚ a NÚKIB
Provozovatel online hazardu podléhá dohledu několika specializovaných státních orgánů, z nichž každý kontroluje specifickou oblast. Ministerstvo financí provádí licenční řízení, zatímco Celní správa ČR vykonává přímý dozor a ověřuje dodržování herních pravidel a napojení na RVO.
Finanční analytický úřad (FAÚ) kontroluje plnění povinností v oblasti AML, ÚOOÚ dohlíží na dodržování pravidel GDPR a NÚKIB prověřuje kybernetickou bezpečnost. Tyto kontroly mohou být plánované i namátkové, často na základě podnětu od nespokojeného hráče či konkurenčního boje.
Typické chyby provozovatelů v praxi
Zkušenosti právníků ARROWS advokátní kanceláře ukazují na nejčastější systémové chyby, které vedou k sankcím. Patří sem formální compliance, kdy provozovatel sice disponuje vypracovanými směrnicemi, které však neodpovídají realitě a zaměstnanci je neznají.
Častým problémem je také podcenění dodavatelských rizik, zejména absence nebo nedostatečnost smluv s klíčovými IT partnery. Systémy navíc často nevedou podrobné a chráněné auditní stopy, což provozovateli znemožňuje prokázat řádné ověření v RVO nebo vyšetření incidentu.
Sankce podle ZHH, AML, GDPR a ZoKB/NIS2
Finanční i nefinanční postihy za porušení zákonných povinností mohou mít pro provozovatele fatální následky. Za závažná porušení zákona o hazardních hrách hrozí pokuta až do výše 50 milionů Kč, přičemž Ministerstvo financí může v krajním případě přistoupit k odejmutí základního povolení.
Za porušení AML předpisů může FAÚ uložit pokutu až do výše 50 milionů Kč nebo do výše 10 % celkového ročního obratu. V případě závažného porušení GDPR hrozí od ÚOOÚ pokuta do výše 20 milionů EUR nebo 4 % celosvětového ročního obratu. Podle nového ZoKB (NIS2) pak mohou sankce dosáhnout až 10 milionů EUR.
Jak strukturovat compliance program a governance
Účinná ochrana před sankcemi a incidenty vyžaduje zavedení robustního compliance programu integrovaného do řízení společnosti. Vedení společnosti musí jasně deklarovat prioritu compliance, schválit klíčové politiky, jmenovat kvalifikované odpovědné osoby a zajistit jim adekvátní rozpočet.
Základem úspěšného compliance programu je pravidelné hodnocení rizik, tvorba srozumitelné dokumentace a interaktivní školení zaměstnanců. Celý systém musí být průběžně monitorován a doložen nezpochybnitelnými auditními stopami, které prokážou funkčnost opatření v praxi.
Strategický přístup: kybernetická bezpečnost jako součást řízení hodnoty firmy v online hazardu
Kybernetická bezpečnost se stává jedním z klíčových faktorů, které určují celkovou hodnotu a stabilitu moderního herního podniku. Proaktivní přístup k ochraně dat představuje jasnou konkurenční výhodu.
Kybernetická bezpečnost, reputace a hodnota značky
V digitálním prostředí online hazardu je reputace nejcennější komoditou. Hráči svěřují provozovateli nejen své finanční prostředky, ale také vysoce citlivé osobní údaje a důvěru ve férovost hry. Kybernetický bezpečnostní incident okamžitě ničí pracně budovanou důvěru v hodnotu značky.
Investice do kybernetické bezpečnosti proto představují strategický nástroj pro zvyšování celkové hodnoty firmy. Bezpečné herní prostředí přitahuje bonitnější hráče a usnadňuje navazování partnerství s renomovanými mezinárodními poskytovateli herního obsahu a platebních služeb.
Integrace právního, technického a byznysového pohledu
Účinné řízení kybernetické bezpečnosti vyžaduje překonání tradičního přístupu, kdy IT bezpečnost, právní compliance a obchodní vedení fungovaly izolovaně. Strategický přístup vyžaduje jejich úzkou integraci.
Právníci a compliance specialisté v této struktuře působí jako integrující prvek překládající komplexní požadavky do srozumitelných technických zadání. Pomáhají vedení společnosti činit informovaná rozhodnutí s ohledem na minimalizaci právních, finančních a reputačních rizik.
ARROWS advokátní kancelář jako partner pro dlouhodobou spolupráci
Právní a technologické prostředí v oblasti online hazardu a kybernetické bezpečnosti se vyvíjí mimořádným tempem. Provozovatelé musí neustále reagovat na legislativní novely, nová stanoviska regulátorů a měnící se spektrum kybernetických hrozeb.
ARROWS advokátní kancelář disponuje týmem specialistů s hlubokou znalostí herního práva, transakčního byznysu a technických aspektů online platforem. Naše kancelář disponuje prestižním pojištěním profesní odpovědnosti s limitem 400 milionů Kč, což našim klientům poskytuje maximální jistotu.
Závěrečné shrnutí
Kybernetická bezpečnost v online hazardu v roce 2026 představuje vysoce komplexní disciplínu na pomezí herní regulace (ZHH), AML předpisů, GDPR a nového zákona o kybernetické bezpečnosti (NIS2). Provozovatelé jsou vystaveni sofistikovaným útokům a přísnému dohledu dozorových orgánů, které mohou ukládat likvidační sankce.
Úspěšné zvládnutí těchto požadavků vyžaduje zavedení robustních technických opatření a jejich integraci do vnitřních compliance procesů. ARROWS advokátní kancelář je připravena stát se vaším dlouhodobým partnerem, který vám pomůže postavit funkční compliance program, bezpečně nastavit smluvní vztahy s dodavateli a provede vás licenčními i kontrolními procesy.
FAQ
1. Jaké jsou přesné finanční limity pro určení, zda provozovatel spadá pod nový zákon o kybernetické bezpečnosti (NIS2)?
Nový zákon o kybernetické bezpečnosti (ZoKB) v souladu se směrnicí NIS2 dopadá obecně na subjekty, které poskytují regulovanou službu a splňují kritéria středního nebo velkého podniku – tj. zaměstnávají 50 a více zaměstnanců, nebo dosahují ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (v přepočtu cca 250 mil. Kč). NÚKIB však může v odůvodněných případech určit jako regulovaný subjekt i menší firmu, pokud má její služba zásadní význam pro ekonomiku či společnost. Pro přesnou analýzu vaší povinnosti nás kontaktujte na office@arws.cz.
2.Jak v praxi vyřešit rozpor mezi povinností smazat data podle GDPR a povinností uchovat je po dobu 10 let podle AML zákona?
Tento rozpor je řešen principem přednosti specifické zákonné povinnosti. Právo na výmaz podle článku 17 GDPR se neuplatní v rozsahu, v jakém je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje podle práva Unie nebo členského státu (což je právě případ uchovávání transakčních a identifikačních dat po dobu 10 let podle AML zákona). Po uplynutí této desetileté lhůty však musíte data bez zbytečného odkladu bezpečně vymazat.
3. Do jaké doby musím nahlásit incident NÚKIB a co se stane, pokud lhůtu nestihnu?
Pokud spadáte pod nový ZoKB, musíte významný kybernetický bezpečnostní incident nahlásit NÚKIB do 24 hodin od okamžiku, kdy jste se o něm dozvěděli (tzv. prvotní varování). Pokud tuto lhůtu bez objektivního důvodu nedodržíte, dopouštíte se přestupku s rizikem vysoké pokuty ze strany NÚKIB (až do výše milionů eur či procentuálního podílu z obratu). Zpoždění navíc brání efektivní koordinaci obrany na národní úrovni.
4.Je nutné uzavírat zpracovatelskou smlouvu (DPA) i s externím auditorem nebo právní kanceláří?
Zpravidla nikoli. Právní kanceláře (včetně ARROWS) a certifikovaní auditoři vystupují při poskytování svých služeb obvykle v roli samostatných správců osobních údajů, nikoli jako vaši zpracovatelé, protože sami určují účely a prostředky zpracování dat v souladu se svými profesními zákony (zákon o advokacii, zákon o auditorech). Smlouva o zpracování osobních údajů podle čl. 28 GDPR se s nimi tedy neuzavírá, avšak musí být splněny obecné informační povinnosti vůči subjektům údajů a zajištěna ochrana dat na základě zákonné povinnosti mlčenlivosti.
5.Co přesně musí obsahovat systém Panic Button z hlediska ochrany osobních údajů?
Aktivace Panic Buttonu vede ke zpracování vysoce citlivých údajů o tom, že se hráč rozhodl okamžitě přerušit účast na hře (což může indikovat herní problém či závislost). Informace o aktivaci Panic Buttonu, zablokování účtu na 48 hodin a podání zprostředkované žádosti o zápis do RVO musí být uloženy v zabezpečené databázi s přísně omezeným přístupem pouze pro vybrané zaměstnance compliance. Tato data nesmí být v žádném případě zneužita k marketingovým účelům (např. k zasílání nabídek po uplynutí 48 hodin) – takové jednání by představovalo závažné porušení GDPR i ZHH.
6.Jak často se musí provádět školení zaměstnanců v oblasti AML a kybernetické bezpečnosti a jaká je doporučená forma?
Podle AML zákona musí školení probíhat minimálně jednou ročně, u kybernetické bezpečnosti (ZoKB/NIS2) se vyžaduje pravidelné vzdělávání přiměřené rizikům. Pouhá e-learningová prezentace s formálním testem je z pohledu regulátorů často vnímána jako nedostatečná. Doporučujeme kombinovat interaktivní výklad (přednášku s příklady z praxe) s praktickými simulacemi (např. kontrolovaný phishingový test s okamžitou zpětnou vazbou pro chybující zaměstnance). Všechna školení musí být doložena podrobným písemným protokolem se jmény účastníků, datem, obsahem školení a podpisem lektora.
Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.