Ochrana reputace v digitálním prostředí po kybernetickém incidentu Právní strategie a krizová komunikace

Mgr. Petr Hanzel, LL.M.
Mgr. Petr Hanzel, LL.M.
15.1.2026 | ARROWS advokátní kancelář

V současné digitální éře, kde jsou data často cennější než fyzická aktiva, se kybernetická bezpečnost přesunula z temných, chlazených serveroven přímo do polstrovaných křesel zasedacích místností představenstev. Kybernetický incident již v dnešní době nepředstavuje pouhou technickou nepříjemností, dočasný výpadek služeb či izolovaný problém IT oddělení; jedná se o sofistikovanou, multidimenzionální právní a reputační krizi, která má potenciál existenčně ohrozit i ty nejstabilnější a kapitálově nejsilnější obchodní společnosti.

Executive shrnutí pro management

Pro vrcholový management, investory a členy dozorčích rad, kteří potřebují okamžitý, daty podložený vhled do problematiky bez nutnosti studovat technické detaily, přinášíme exekutivní souhrn klíčových rizik a strategií vyplývajících z aktuální právní úpravy a tržní reality roku 2024 a 2025.

Změna paradigmatu odpovědnosti (NIS2 a ZoKB)

Kybernetická bezpečnost se stává mandatorní, neoddělitelnou součástí péče řádného hospodáře. Nový zákon o kybernetické bezpečnosti (transpozice směrnice NIS2) explicitně zavádí přímou odpovědnost statutárních orgánů za řízení kybernetických rizik.

  • Bezprostřední riziko: V případě závažného pochybení nebo zanedbání povinností hrozí členům statutárních orgánů nejen civilní odpovědnost za náhradu škody, ale nově i správní trest ve formě dočasného zákazu výkonu funkce (suspensace). Toto opatření má potenciál paralyzovat rozhodovací procesy ve firmě.
  • Nutná reakce: Pasivita, ignorace nebo delegování odpovědnosti již nejsou právně omluvitelné. Vedení musí aktivně schvalovat bezpečnostní politiky, účastnit se školení a dohlížet na jejich plnění.

Krizová komunikace jako defenzivní právní nástroj

Způsob, jakým o incidentu komunikujete s veřejností, médii a klienty, může být a bude použit proti vám v případném správním či soudním řízení.

  • Strategie: Je absolutně nezbytné vyvarovat se předčasného přiznání viny nebo zavádějících, "uklidňujících" prohlášení, která se později ukáží jako nepravdivá. Komunikace musí být synchronizována s právní strategií obhajoby. Transparentnost nesmí znamenat procesní "sebeobraždu".
  • Rychlost a lhůty: GDPR vyžaduje hlášení dozorovému úřadu (ÚOOÚ) bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se správce o incidentu dozvěděl.

Role ARROWS advokátní kancelář

V krizové situaci je klíčová rychlá, chladnokrevná a vysoce odborná reakce, která kombinuje právní expertizu s technickým porozuměním.

  • Bezpečnostní zázemí: Disponujeme nadstandardním pojištěním odpovědnosti ve výši 400 milionů Kč, což nám umožňuje řešit i ty nejkomplexnější případy s vysokou hodnotou sporu a poskytovat klientům maximální jistotu.
  • Mezinárodní dosah: Díky členství v prestižní mezinárodní síti efektivně řešíme přeshraniční úniky dat, notifikace vícero dozorovým úřadům a spory v rámci celé EU i mimo ni.
  • Okamžitá pomoc: V případě podezření na incident nás neprodleně kontaktujte na office@arws.cz.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Právní rámec kybernetické bezpečnosti: Od IT problému k odpovědnosti představenstva

Vnímání kybernetické bezpečnosti prošlo v posledních letech zásadní, takřka koperníkovskou transformací. Zatímco dříve byla tato oblast považována za výsostnou doménu IT ředitelů a správců sítí, dnes je pevnou a neopomenutelnou součástí agendy generálních ředitelů, finančních ředitelů a interních právních oddělení. 

Legislativní smršť, vedená především orgány Evropské unie, jasně signalizuje, že státní autority nehodlají nadále tolerovat laxní přístup k ochraně dat občanů, spotřebitelů a firem. Kybernetická bezpečnost se stala věcí veřejného zájmu a právní odpovědnosti.

NIS2 a nový zákon o kybernetické bezpečnosti: Revoluce v povinnostech

Nejdiskutovanějším a nejpalčivějším tématem současnosti je bezesporu směrnice NIS2 a její implementace do českého právního řádu prostřednictvím nového zákona o kybernetické bezpečnosti. Tato legislativa není pouhou novelizací; jedná se o fundamentální změnu přístupu státu ke kybernetické odolnosti.

Dramaticky se rozšiřuje okruh tzv. "povinných osob" – odhaduje se, že nová pravidla dopadnou na tisíce českých firem (více než 6 000 subjektů), které dosud regulovány nebyly, včetně odvětví jako je odpadové hospodářství, výroba potravin, chemický průmysl či poštovní služby.

Klíčové změny pro management a statutární orgány:

Zákon opouští technokratický přístup a explicitně stanovuje, že konečnou a nepřenositelnou odpovědnost za kybernetickou bezpečnost nese statutární orgán (jednatelé, představenstvo). Tuto odpovědnost již nelze smluvně ani fakticky přenést na podřízené zaměstnance (např. CISO) nebo na externí dodavatele IT služeb.

  • Povinnost vzdělávání a kompetence: Členové vedení se musí prokazatelně a pravidelně účastnit školení v oblasti kybernetické bezpečnosti. Neznalost problematiky již není omluvou, ale přitěžující okolností.
  • Aktivní schvalování a dohled: Vedení musí aktivně schvalovat opatření k řízení kybernetických rizik a dohlížet na jejich plnění. Nestačí pouze pasivně "vzít na vědomí" zprávu od IT oddělení. Vyžaduje se aktivní, informovaný přístup a alokace adekvátních rozpočtů.
  • Sankce zákazu činnosti (Disqualifiction): Pokud statutární orgán opakovaně neplní své povinnosti, ignoruje výzvy k nápravě a ohrožuje tím kybernetickou bezpečnost, může dozorový úřad (NÚKIB) rozhodnout o dočasném zákazu výkonu funkce člena statutárního orgánu. To je opatření drakonické povahy, které může mít pro osobní kariéru manažera fatální následky a může zcela paralyzovat chod a rozhodovací procesy ve společnosti.

Péče řádného hospodáře v digitálním věku

I pro společnosti, které nespadají přímo pod přísnou regulaci směrnice NIS2, platí obecná a trvalá povinnost jednat s péčí řádného hospodáře dle Zákona o obchodních korporacích (ZOK). Judikatura i odborná literatura se jednoznačně vyvíjí směrem, kdy ignorování kybernetických rizik je považováno za flagrantní porušení této péče.

Statutární orgán je povinen jednat informovaně a v obhajitelném zájmu společnosti. Pokud nezajistí adekvátní ochranu firemních aktiv (včetně dat, know-how a IT infrastruktury) a v důsledku kybernetického útoku dojde ke škodě, odpovídá za ni celým svým majetkem (s výjimkou zákonných limitací, které však neplatí u úmyslu či hrubé nedbalosti). 

Jak uvádějí přední právní experti, podcenění investic do kyberbezpečnosti v době rostoucích hrozeb může být vnímáno jako nedbalost, která zakládá osobní odpovědnost za vzniklou škodu. ARROWS advokátní kancelář v této souvislosti důrazně doporučuje provést důkladný právní audit vnitřních procesů, smluv o výkonu funkce a systému delegování pravomocí, aby byla rizika pro management minimalizována.

Na koho se můžete obrátit?

Přeshraniční aspekty a mechanismus One-Stop-Shop

V globalizovaném digitálním světě se data nezastavují na hranicích. Pokud vaše společnost působí ve více zemích EU nebo zpracovává data občanů z různých členských států, situace se v případě incidentu výrazně komplikuje. Mechanismus One-Stop-Shop (OSS) sice teoreticky umožňuje komunikovat pouze s jedním "vedoucím" dozorovým úřadem (obvykle tam, kde má firma hlavní sídlo), ale praxe ukazuje řadu úskalí a výjimek.

  • Riziko vyloučení OSS: Pokud nemáte v EU tzv. "hlavní provozovnu" (main establishment) s rozhodovacími pravomocemi o účelech zpracování, mechanismus OSS se neuplatní. V takovém případě musíte incident hlásit v každé zemi, kde byli dotčeni občané, což znamená komunikovat paralelně s úřady v Německu, Francii, Itálii atd., a to v jejich úředních jazycích.
  • Určení hlavní provozovny: Určení "hlavní provozovny" je často složitou právní otázkou a předmětem sporů mezi regulátory. Zde je nezbytná asistence mezinárodní advokátní kanceláře. Díky našemu členství v mezinárodní síti dokáže ARROWS advokátní kancelář koordinovat obhajobu klienta napříč jurisdikcemi, zajistit lokální právní zastoupení a zabránit riziku vícenásobných sankcí za jeden skutek (princip ne bis in idem).

MicroFAQ: Právní odpovědnost a prevence

Může být jednatel s.r.o. osobně postihován za kybernetický útok, který provedl externí hacker?

Ano. Nikoli však za útok samotný (který je trestným činem třetí osoby), ale za zanedbání prevence a povinnosti péče řádného hospodáře. Pokud se prokáže, že jednatel nezajistil adekvátní zabezpečení v souladu s aktuálními standardy nebo požadavky NIS2 (např. neaktualizoval software, neškolil zaměstnance, neměl zálohy), nese odpovědnost za vzniklou škodu společnosti a může být sankcionován i zákazem činnosti.

Vztahuje se na naši firmu nový zákon o kybernetické bezpečnosti, i když nejsme banka ani nemocnice?

S vysokou pravděpodobností ano. Zákon dopadá na mnohem širší okruh subjektů než dříve (tzv. regulované služby). Zahrnuje nově například odpadové hospodářství, výrobu potravin, chemický průmysl, digitální služby a mnoho dodavatelských řetězců. Doporučujeme neprodleně provést právní analýzu "sebeidentifikace" dle kritérií zákona. Kontaktujte office@arws.cz pro provedení auditu povinností.

Prvních 72 hodin: Závod s časem, byrokracií a reputací

Okamžikem zjištění (detection) nebo důvodného podezření na bezpečnostní incident se spouští neúprosný odpočet. Článek 33 GDPR stanovuje striktní povinnost ohlásit porušení zabezpečení osobních údajů dozorovému úřadu bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o něm správce dozvěděl. Tento časový úsek je kritický nejen pro splnění zákonné povinnosti, ale i pro nastavení tónu celé krizové komunikace a budoucí právní obrany.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Časová osa reakce: Minuta po minutě

Schopnost efektivně řídit těchto prvních 72 hodin často rozhoduje o tom, zda firma vyvázne s pouhým šrámem, nebo utrpí devastující ránu.

Hodina 0-4 (Detekce a aktivace Crisis Teamu)

  • Technická stabilizace: Okamžitá izolace napadených systémů od internetu a vnitřní sítě (nikoliv však jejich tvrdé vypnutí, aby nedošlo ke ztrátě cenných forenzních stop v operační paměti RAM).
  • Svolání krizového štábu: Aktivace předem definovaného týmu, který musí zahrnovat: CEO (rozhodovací pravomoc), CISO/IT ředitele (technický vhled), právního zástupce (ARROWS advokátní kancelář pro řízení právních rizik), PR manažera a DPO (pověřence pro ochranu osobních údajů).
  • Evidence (Logging): Zahájení vedení detailního, časově oraženého logu (záznamu) všech kroků, rozhodnutí a příkazů. Tento log bude v budoucnu klíčovým důkazem pro ÚOOÚ nebo soud, prokazujícím snahu o minimalizaci škod.

Hodina 4-24 (Předběžná analýza a právní kvalifikace)

  • Rozsah incidentu: Určení, co přesně se stalo. Jedná se o ransomware? Došlo k exfiltraci (krádeži) dat? Jsou mezi nimi osobní údaje? Jsou ohrožena práva a svobody fyzických osob?
  • Klíčový rozhodovací bod: Ne každý incident se musí hlásit. Hlásí se pouze ty, které představují "riziko" pro práva a svobody fyzických osob. Pokud jsou data bezpečně šifrována a klíč nebyl odcizen, povinnost hlásit pravděpodobně nevzniká. Toto posouzení je však čistě právní otázkou a chybné vyhodnocení (např. "nebudeme to hlásit, je to malé") může vést k mnohem vyšším pokutám za zatajování incidentu.
  • Pojištění: Kontaktování pojišťovny. V případě klientů ARROWS advokátní kancelář aktivujeme asistenční služby v rámci pojištění a koordinujeme postup s likvidátorem, aby nedošlo k porušení pojistných podmínek.

Hodina 24-48 (Příprava hlášení a holding statement)

  • Formulace hlášení: Příprava formuláře pro ÚOOÚ (případně NÚKIB). Zákon umožňuje v této fázi poskytovat informace po částech (fázovaně), pokud není možné zjistit vše najednou. Je strategicky výhodnější podat včasné, byť neúplné hlášení, než podat perfektní hlášení po lhůtě.
  • Komunikační příprava: Finalizace tzv. "Holding Statement" (viz kapitola Krizová komunikace). Ujednocení komunikace směrem k zaměstnancům (aby nevynášeli informace) a směrem k veřejnosti.

Hodina 48-72 (Notifikace a exekuce)

  • Odeslání hlášení: Oficiální odeslání hlášení regulátorovi (datovou schránkou).
  • Informování subjektů údajů: Pokud je vyhodnoceno, že riziko pro osoby je "vysoké" (např. únik hesel, čísel kreditních karet, zdravotních dat, rodných čísel), vzniká dle čl. 34 GDPR povinnost informovat přímo i dotčené osoby (klienty, zaměstnance) bez zbytečného odkladu. Toto je nejcitlivější část, která spouští reputační lavinu.

Co musí obsahovat hlášení pro ÚOOÚ a jak ho formulovat?

Hlášení dle článku 33 GDPR není jen byrokratický úkon, je to první verze vaší obhajoby. Musí obsahovat:

  1. Popis povahy incidentu (např. útok ransomware, ztráta zařízení, neoprávněný přístup).
  2. Kategorie a přibližný počet dotčených subjektů údajů a záznamů.
  3. Jméno a kontakt na DPO nebo jinou kontaktní osobu.
  4. Popis pravděpodobných důsledků (např. riziko krádeže identity, finanční podvod).
  5. Popis přijatých nebo navrhovaných opatření k nápravě a zmírnění dopadů.
Strategické varování

Vše, co uvedete v hlášení, je úředním záznamem. Pokud do kolonky "příčina" napíšete "zapomněli jsme aktualizovat firewall", de facto podepisujete přiznání viny. Formulace musí být striktně faktické, objektivní a právně revidované. Právníci ARROWS advokátní kancelář jsou specialisté na formulaci těchto hlášení tak, aby splnila zákonnou povinnost transparentnosti, ale zároveň zbytečně nezhoršovala procesní postavení klienta v následném správním řízení o pokutě.

Nesplnění ohlašovací povinnosti

Typ pochybení

Finanční riziko

Neohlášení incidentu (Zatajování)

Pokuta až 10 mil. EUR nebo 2 % obratu (jen za neohlášení, plus pokuta za únik).

Pozdní ohlášení (>72h)

Zvyšuje pravděpodobnost hloubkové kontroly (auditu) ze strany ÚOOÚ.

Chybné vyhodnocení rizik

Zvýšené riziko hromadných žalob o náhradu nemajetkové újmy od subjektů údajů.

Přiznání viny v hlášení

Přímá cesta k maximální možné sazbě pokuty v daném rozmezí.

Strategie krizové komunikace: Jak neztratit důvěru a neprohrát soud

V digitálním prostoru se zprávy šíří rychlostí světla, často rychleji než samotný virus. Běžným scénářem je, že se veřejnost nebo média dozvědí o úniku dat (např. z Dark Webu nebo od whistleblowerů) dříve, než firma stihne vydat oficiální stanovisko. Krizová komunikace v tomto kontextu není o "spinování" pravdy či marketingu, ale o precizním řízení toku informací tak, aby nevznikla panika a aby nebyla ohrožena právní pozice společnosti. Každé slovo může být později použito u soudu.

Holding Statement: První linie obrany a psychologie důvěry

V prvních hodinách po incidentu vedení firmy často neví, co přesně se stalo. Forenzní analýza trvá dny. Přesto mlčet nemůžete – mlčení vytváří prostor pro spekulace, fámy a nedůvěru. Řešením je tzv. "Holding Statement" – předpřipravené, právně ošetřené stanovisko, které uznává existenci problému, prokazuje aktivitu, ale nezabíhá do nebezpečných spekulací.

Klíčové zásady pro Holding Statement:

  • Nikdy nelžete: Pokud řeknete "žádná data neunikla" a za týden se na internetu objeví databáze vašich klientů, vaše reputace je nenávratně zničena. Používejte přesné fráze jako "aktuálně nemáme důkazy o úniku", pokud je to v danou chvíli pravda.
  • Vyhněte se prázdným korporátním frázím: Věty typu "Vaše bezpečnost je pro nás nejvyšší prioritou" působí v momentě, kdy vám právě unikla data, jako výsměch a cynismus. Psychologické studie ukazují, že taková prohlášení v době krize paradoxně snižují důvěru zákazníků. Zaměřte se na fakta, činy a nápravu.
  • Nespekulujte o pachateli: Nepřisuzujte útok konkrétní skupině (např. "ruskí hackeři", "konkurence"), dokud to nepotvrdí forenzní audit a policie. Falešné obvinění může mít právní následky.

Pasti v komunikaci: Co NIKDY neříkat (a proč)

Z právního hlediska je veřejná komunikace minovým polem. Mnoho manažerů v dobré víře a snaze se "omluvit" nevědomky přizná právní odpovědnost za škodu, což pojišťovny a právníci protistrany okamžitě využijí.

  • Chyba: "Je nám to moc líto, naše zabezpečení selhalo a uděláme vše pro nápravu."
  • Právní překlad: Tímto prohlášením explicitně přiznáváte porušení právní povinnosti (selhání zabezpečení) a otevíráte dveře hromadným žalobám o náhradu škody. Pojišťovna může odmítnout plnění, protože jste prejudikovali svou vinu bez jejího souhlasu.
  • Správně: "Je nám líto komplikací a nejistoty, které tato mimořádná situace způsobila. Intenzivně pracujeme na vyšetření příčiny a minimalizaci dopadů."
  • Vysvětlení: Vyjadřujete empatii a lítost nad situací (regret), ale nepřiznáváte zavinění (liability).
  • Chyba: "Všechna data jsou bezpečně zálohována, nic se neztratilo."
  • Riziko: Pokud se ukáže, že zálohy byly rovněž zašifrovány ransomwarem (což je běžná taktika útočníků), byli jste přistiženi při lži.
  • Správně: "Prověřujeme integritu našich záložních systémů a postupně obnovujeme kritické služby."

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Dilema transparentnosti a právní ochrany (Attorney-Client Privilege)

V USA a stále častěji i v prostředí EU se řeší zásadní otázka, zda interní zprávy o incidentu (např. detailní technická zpráva od mandiantů/forenzních auditorů identifikující bezpečnostní díry) podléhají ochraně v rámci advokátního tajemství (Attorney-Client Privilege).

Pokud si forenzní analýzu objedná a zaplatí přímo vaše IT oddělení, zpráva pravděpodobně nebude chráněna a může být vyžádána policií, regulátorem nebo právníky protistrany u soudu jako "důkaz č. 1" proti vám.

 Pokud však analýzu zadá a řídí advokátní kancelář za účelem poskytování právních služeb (obhajoby klienta), je šance na ochranu tohoto dokumentu před zveřejněním podstatně vyšší.

Strategické doporučení: V případě vážného incidentu by veškerá komunikace s externími forenzními auditory a experty měla probíhat prostřednictvím vašeho právního zástupce. To vytváří nezbytný "štít" advokátního tajemství nad citlivými zjištěními, která by jinak mohla být použita k vaší inkriminaci.

Od reaktivity k proaktivní strategii odolnosti

Kybernetický incident je ultimátním testem dospělosti a odolnosti firmy. Může vás zničit, poškodit na léta, nebo naopak posílit vaši pozici jako důvěryhodného partnera, který umí řešit krize. Rozdíl mezi těmito scénáři nespočívá v náhodě, ale v přípravě. V digitálním světě, kde se hrozby vyvíjejí exponenciálně, již neplatí strategie "snad se nám to nestane". 

Právní rámec v čele s NIS2, GDPR a zákonem o kybernetické bezpečnosti tvrdě tlačí firmy k tomu, aby braly bezpečnost vážně, a činí manažery osobně odpovědnými za selhání.

Nenechávejte svou reputaci, majetek a svobodu náhodě. V případě potřeby preventivní konzultace nebo okamžité pomoci při incidentu se s důvěrou obraťte na experty, kteří rozumí právu i technologiím.

FAQ: Často kladené dotazy

  1. Musím hlásit každý kybernetický útok policii?

Ne, obecná povinnost hlásit každý kybernetický incident policii v ČR neexistuje (pokud nejste specifický subjekt kritické infrastruktury). Nicméně, podání trestního oznámení může být nezbytnou podmínkou pro plnění z kybernetického pojištění. Hlášení ÚOOÚ (GDPR) a NÚKIB (ZoKB) jsou samostatné správní procesy s vlastními pravidly a lhůtami, nezávislé na policii.

  1. Jak se bránit, když o nás média píší nepravdy v souvislosti s útokem?

Máte právo na ochranu dobré pověsti právnické osoby. Pokud média zveřejňují prokazatelně nepravdivé informace (např. "unikla hesla", když unikly jen e-maily), lze žádat o uveřejnění odpovědi dle tiskového zákona, případně se bránit žalobou na ochranu pověsti. Klíčová je však rychlost, právní přesnost a doložení faktů.

  1. Vztahuje se naše pojištění odpovědnosti managementu (D&O) na pokuty za GDPR?

To je velmi složitá otázka, která záleží na konkrétním znění pojistné smlouvy a jurisdikci. V některých zemích a případech je pojištění správních pokut považováno za nepojistitelné z důvodu veřejného pořádku (aby pojištění nemařilo výchovný účinek trestu). Náklady na právní zastoupení, obhajobu a vyšetřování však bývají standardně kryty. Doporučujeme nechat si smlouvu zrevidovat odborníky z ARROWS advokátní kancelář.

  1. Co když data unikla vinou našeho dodavatele cloudu?

Z pohledu GDPR jste jako "správce" osobních údajů odpovědní vůči subjektům údajů (klientům) vy, i když chybu udělal "zpracovatel" (dodavatel). Následně však můžete vymáhat škodu (regres) po dodavateli, pokud máte správně a robustně nastavenou zpracovatelskou smlouvu (DPA) s jasně definovanými zárukami a odpovědností. Bez kvalitní smlouvy je vymahatelnost často nulová.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je proto nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme žádnou odpovědnost za případné škody či komplikace vzniklé samostatným užitím informací z tohoto článku bez naší předchozí individuální právní konzultace a odborného posouzení. Každý případ vyžaduje řešení na míru, proto nás neváhejte oslovit.