MENU
CZ

Odpovědnost za kybernetický incident:

Kdo nese břemeno škody a jak se bránit?

21.8.2025

Odpovědnost za kybernetický incident se s novým zákonem o kybernetické bezpečnosti (NIS2) přesouvá přímo na vás, jednatele a členy představenstva. Hrozí vám nejen vysoké pokuty pro firmu, ale i postih vašeho osobního majetku a zákaz výkonu funkce. V tomto článku naleznete jasné odpovědi na to, jaké konkrétní povinnosti máte, kdo nese břemeno škody a jak se efektivně bránit.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Petr Hanzel, LL.M.", expert na dané téma.

Kybernetická bezpečnost se přesouvá z IT oddělení do zasedací místnosti

Představte si běžné pracovní ráno. Místo reportů a e-mailů však všechny obrazovky ve vaší firmě zobrazují jedinou zprávu: vaše systémy jsou zašifrovány a data nedostupná. Ransomwarový útok paralyzoval provoz, zastavil výrobu a ohrozil citlivé informace o klientech. Ještě před pár lety by tato krize spadala primárně do kompetence IT oddělení. 

S účinností nového zákona o kybernetické bezpečnosti, který do českého práva převádí evropskou směrnici NIS2, se však tento technický problém okamžitě stává osobní právní a finanční krizí pro každého jednatele, člena představenstva a vrcholového manažera. Kybernetická bezpečnost definitivně přestala být delegovatelnou technickou záležitostí. Stala se nedílnou součástí strategického řízení, firemní kultury a především osobní, zákonem vymahatelné odpovědnosti vedení.

office@arws.cz 245 007 740

Nová pravidla hry: Co musíte vědět o zákonu o kybernetické bezpečnosti (NIS2)

Evropská směrnice NIS2 (EU 2022/2555) představuje celoevropskou legislativní iniciativu, jejímž hlavním cílem je sjednotit a zásadně posílit úroveň kybernetické odolnosti napříč členskými státy. V České republice jsou její požadavky implementovány prostřednictvím nového zákona č. 264/2025 Sb. o kybernetické bezpečnosti, který nabývá účinnosti 1. listopadu 2025. Ústředním dozorovým a metodickým orgánem zůstává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Koho se nová pravidla týkají?

Zákon rozšiřuje okruh povinných subjektů a dělí je do dvou základních kategorií, které se liší rozsahem povinností a intenzitou dohledu.

  • Významné regulované subjekty (režim vyšších povinností): Do této kategorie spadají typicky větší organizace působící v klíčových odvětvích, jako jsou energetika, doprava, bankovnictví, zdravotnictví, digitální infrastruktura nebo veřejná správa. Rozhodujícími kritérii jsou odvětví a velikost – zpravidla se jedná o subjekty s 50 a více zaměstnanci nebo s ročním obratem přesahujícím 10 milionů eur. Tyto subjekty podléhají přísnějšímu, proaktivnímu dohledu ze strany NÚKIB.
  • Základní regulované subjekty (režim nižších povinností): Tato kategorie zahrnuje menší organizace, které však poskytují specifické digitální služby (např. online tržiště, internetové vyhledávače, služby cloud computingu) nebo působí v dalších sektorech, jako je potravinářství, odpadové hospodářství či poštovní služby. Dohled nad nimi je mírnější, spíše reaktivní.

Pro usnadnění identifikace, zda se zákon na vaši organizaci vztahuje, připravil NÚKIB praktický online nástroj – tzv. kalkulačku, která vám pomůže se správným zařazením.

Nevíte si s daným tématem rady?

Je však klíčové si uvědomit, že skutečný dopad zákona je mnohem širší než počet přímo regulovaných subjektů. Nová legislativa klade zásadní důraz na zabezpečení celého dodavatelského řetězce. Regulované organizace mají nově explicitní povinnost řídit bezpečnostní rizika u svých dodavatelů a smluvně po nich vyžadovat dodržování adekvátních bezpečnostních standardů. 

To v praxi znamená, že i firmy, které samy pod regulaci nespadají, budou de facto nuceny zavést srovnatelná opatření, aby si udržely své klíčové zákazníky z regulovaných odvětví. Otázka tedy nezní pouze „Týká se mě NIS2?“, ale spíše „Týká se NIS2 mých nejdůležitějších zákazníků?“. Pokud ano, pak se vás týká také – nikoli přímo skrze zákon, ale skrze smluvní požadavky, které se stanou nezbytnou podmínkou pro další obchodní spolupráci.

Klíčové povinnosti v kostce

Pro všechny regulované subjekty zákon stanovuje několik základních povinností s pevně danými lhůtami:

1. Samoidentifikace a registrace: Každá dotčená organizace má povinnost se aktivně identifikovat a ohlásit poskytování regulované služby prostřednictvím portálu NÚKIB, a to nejpozději do 60 dnů od nabytí účinnosti zákona.

2. Implementace bezpečnostních opatření: Po obdržení rozhodnutí o registraci běží roční přechodné období, během kterého musí organizace zavést přiměřená technická a organizační bezpečnostní opatření. Ta zahrnují mimo jiné analýzu a řízení rizik, plánování kontinuity činností, zabezpečení dodavatelského řetězce, řízení přístupů a pravidelné školení zaměstnanců i vedení.

3. Hlášení incidentů: Po uplynutí ročního přechodného období vzniká plná povinnost hlásit významné kybernetické bezpečnostní incidenty NÚKIBu v přísně stanovených lhůtách.

Osobní odpovědnost v první linii: Nové břemeno pro jednatele a představenstvo

Nejzásadnější změnou, kterou nový zákon přináší, je explicitní a nepřenositelné zakotvení odpovědnosti za kybernetickou bezpečnost na bedrech vrcholového vedení společnosti. Téma se tak definitivně přesouvá z technické roviny do oblasti strategického řízení podniku a stává se součástí povinnosti jednat s péčí řádného hospodáře.

Na koho se můžete obrátit?

Tento posun není radikální novinkou, ale spíše kodifikací a konkretizací toho, co již dříve implicitně pod tuto povinnost spadalo. Zanedbání kybernetické bezpečnosti se tímto krokem posouvá z kategorie provozního pochybení do kategorie fundamentálního selhání v řízení společnosti, které je srovnatelné s hrubým finančním mismanagementem nebo ignorováním klíčových obchodních rizik. 

Zákonodárce tak dává soudům i regulačním orgánům jasný signál: obhajoba založená na neznalosti technické problematiky nebo pouhém delegování úkolů na IT oddělení již není přípustná.

FAQ – Právní tipy k odpovědnosti vedení
  • Mohu jako jednatel delegovat odpovědnost za kyberbezpečnost na IT oddělení?
    Ne, nový zákon stanovuje, že konečná odpovědnost je nepřenosná a zůstává na statutárním orgánu. Delegovat můžete výkon úkolů, nikoli však právní odpovědnost. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
  • Co když nerozumím technickým detailům kybernetické bezpečnosti?
    Zákon vám ukládá povinnost se v této oblasti vzdělávat. Neznalost vás nezbavuje odpovědnosti. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.
Konkrétní povinnosti vedení

Zákon a související prováděcí předpisy definují pro statutární orgány několik klíčových povinností:

  • Aktivní dohled a schvalování: Vedení musí nejen zajistit vypracování, ale také aktivně schvalovat politiky řízení kybernetických rizik a následně dohlížet na jejich efektivní implementaci a dodržování v celé organizaci. Pouhé přidělení rozpočtu již nestačí.
  • Povinné školení: Členové vrcholového vedení se musí prokazatelně a pravidelně účastnit školení v oblasti kybernetické bezpečnosti. Cílem je, aby porozuměli rizikům, kterým jejich organizace čelí, a byli schopni činit informovaná strategická rozhodnutí.
  • Zajištění přiměřených zdrojů: Vedení nese odpovědnost za alokaci dostatečných finančních, technických a lidských zdrojů nezbytných pro zavedení a udržování efektivních bezpečnostních opatření.

office@arws.cz 245 007 740

Sankce s osobním dopadem

Porušení těchto povinností může mít pro členy vedení fatální následky, a to jak profesní, tak osobní.

  • Finanční postih společnosti: Organizaci jako takové hrozí za nedodržení zákona vysoké pokuty, které mohou dosáhnout až 250 milionů Kč nebo 2 % z čistého celosvětového ročního obratu, podle toho, která částka je vyšší.
  • Osobní odpovědnost za škodu: V případě, že společnosti vznikne škoda v důsledku porušení povinností vedení (například v podobě uhrazené pokuty, nákladů na obnovu systémů nebo náhrad škod klientům), může ji společnost, její akcionáři nebo věřitelé vymáhat přímo po členech statutárního orgánu z jejich osobního majetku.
  • Zákaz výkonu funkce: Nejzávažnější osobní sankcí je možnost dočasného zákazu výkonu funkce člena statutárního orgánu, a to až na dobu tří let. Za porušení tohoto zákazu navíc hrozí další pokuta až do výše 20 milionů Kč.

Nový zákon tak vytváří přímý a snadno prokazatelný kauzální řetězec: zanedbání konkrétní zákonné povinnosti vedením (např. neschválení implementace vícefaktorové autentizace) vede k selhání zabezpečení, což umožní kybernetický incident. Ten způsobí finanční škodu (včetně pokuty), která zakládá přímý nárok společnosti na náhradu této škody po členech vedení. 

Na rozdíl od složitého dokazování, že určité obchodní rozhodnutí bylo porušením péče řádného hospodáře, zde bude stačit poukázat na konkrétní, měřitelnou a nesplněnou povinnost stanovenou zákonem. Důkazní břemeno pro poškozenou společnost je tak dramaticky sníženo a riziko osobního postihu pro management je reálnější než kdykoli předtím.

Osobní odpovědnost vedení společnosti

Riziko k řešení a potenciální problémy a sankce

Jak pomáhá ARROWS

Vysoké finanční pokuty pro společnost (až 250 mil. Kč / 2 % obratu) za nesplnění zákonných povinností.

Příprava dokumentace, která ochrání před pokutami a sankcemi – Potřebujete připravit ochrannou dokumentaci? Napište nám na office@arws.cz.

Osobní odpovědnost za škodu (vymáhání pokut a nákladů z osobního majetku jednatele).

Právní stanoviska a zastupování u soudů – Čelíte hrozbě osobního postihu? Spojte se s námi na office@arws.cz.

Zákaz výkonu funkce (až na 3 roky) za závažné nebo opakované porušování povinností.

Právní konzultace, které chrání před pokutami a kontrolami – Chcete předejít nejzávažnějším sankcím? Kontaktujte nás na office@arws.cz.

Trestní odpovědnost (např. za poškození záznamu v počítačovém systému z nedbalosti dle § 232 trestního zákoníku).

Zastupování u soudů a správních orgánů – Potřebujete komplexní právní obranu? Napište na office@arws.cz.

Domino efekt: Jak se odpovědnost šíří firmou i mimo ni

Odpovědnost za kybernetický incident se nezastavuje u dveří zasedací místnosti. Šíří se jako domino napříč celou organizační strukturou a zasahuje i externí partnery. Pochopení těchto vazeb je klíčové pro komplexní řízení rizik.

Zaměstnanec jako (chráněný) nejslabší článek

Lidský faktor je často označován za nejslabší článek v řetězci kybernetické bezpečnosti. Zaměstnanec, který z nedbalosti způsobí incident – například kliknutím na phishingový e-mail a kompromitací svých přihlašovacích údajů – odpovídá zaměstnavateli za vzniklou škodu.

Nevíte si s daným tématem rady?

Tato odpovědnost je však výrazně omezena. Podle zákoníku práce je výše náhrady škody způsobené zaměstnancem z nedbalosti limitována na 4,5násobek jeho průměrného měsíčního výdělku. Tento limit neplatí pouze v případech, kdy byla škoda způsobena úmyslně, v opilosti nebo pod vlivem jiných návykových látek.

Tato zákonná limitace vytváří právní paradox, který zvyšuje tlak na management. Představme si, že zaměstnanec s průměrným platem 50 000 Kč způsobí z nedbalosti škodu ve výši 10 milionů Kč. Jeho maximální odpovědnost činí pouze 225 000 Kč. Zbytek škody, tedy 9 775 000 Kč, zůstává na bedrech společnosti. 

Pokud následné vyšetřování ukáže, že incidentu mohla zabránit systémová opatření, za jejichž implementaci je odpovědné vedení (např. pokročilejší technická ochrana, efektivnější školení), přesouvá se břemeno odpovědnosti za tuto nenahraditelnou škodu právě na management. Zákon tak brání plnému zhojení na bezprostřední příčině (chyba zaměstnance) a o to silněji dopadá na příčinu systémovou (selhání vedení).

Odpovědnost za dodavatele: Smluvní štít je nezbytností

Jak již bylo zmíněno, zákon explicitně vyžaduje řízení bezpečnostních rizik v celém dodavatelském řetězci. Pokud incident způsobí váš IT dodavatel, bez pečlivě nastavené a právně neprůstřelné smlouvy se odpovědnosti nezbavíte a přenesení nákladů na něj bude téměř nemožné. Každá smlouva s dodavatelem IT služeb či systémů by proto měla obsahovat jasná ujednání, ideálně v souladu s metodikou NÚKIB:

  • Specifikace bezpečnostních standardů: Přesné vymezení technických a organizačních opatření, která je dodavatel povinen dodržovat.
  • Povinnosti hlášení a součinnosti: Definice lhůt a postupů pro hlášení bezpečnostních incidentů a povinnost poskytnout plnou součinnost při jejich řešení.
  • Právo na audit: Smluvně zakotvené právo provádět u dodavatele pravidelné i mimořádné bezpečnostní audity a kontroly.
  • Odpovědnost za škodu a smluvní pokuty: Jasné vymezení odpovědnosti dodavatele za škodu způsobenou porušením jeho povinností a stanovení odpovídajících smluvních pokut.
  • Pojištění odpovědnosti: Požadavek na dodavatele, aby měl sjednáno adekvátní pojištění odpovědnosti za škodu způsobenou svou činností.
Na koho se můžete obrátit?

Dodavatelé a zaměstnanci

Riziko k řešení a potenciální problémy a sankce

Jak pomáhá ARROWS

Incident způsobený dodavatelem a nemožnost vymáhat škodu kvůli slabé smlouvě.

Přípravu nebo revizi smluv – Potřebujete revidovat smlouvy s dodavateli? Napište na office@arws.cz.

Chyba zaměstnance způsobí milionové škody, ale jeho odpovědnost je zákonem omezena na 4,5násobek platu.

Vyhotovení interních směrnic a odborná školení – Chcete posílit prevenci a proškolit zaměstnance? Kontaktujte nás na office@arws.cz.

Únik osobních údajů a riziko dvojí pokuty (od NÚKIB i ÚOOÚ) a žalob od poškozených osob.

Zastupování u rejstříků a regulátorů včetně plnění povinností – Potřebujete pomoci s komunikací s úřady? Napište na office@arws.cz.
Když uniknou osobní údaje: Souběh s GDPR

Kybernetický incident velmi často znamená zároveň porušení zabezpečení osobních údajů ve smyslu nařízení GDPR. Tím se spouští paralelní a nezávislý proces s vlastními pravidly a riziky:

  • Ohlašovací povinnost vůči ÚOOÚ: Vzniká povinnost ohlásit porušení Úřadu pro ochranu osobních údajů (ÚOOÚ), a to bez zbytečného odkladu, nejpozději do 72 hodin od jeho zjištění.
  • Informační povinnost vůči subjektům údajů: Pokud porušení představuje vysoké riziko pro práva a svobody fyzických osob, je nutné o něm informovat i samotné dotčené osoby.
  • Riziko dvojího postihu: Organizace může čelit sankcím jak od NÚKIB za porušení zákona o kybernetické bezpečnosti, tak od ÚOOÚ za porušení GDPR.
  • Nároky na náhradu újmy: Fyzické osoby, jejichž data unikla, mohou po společnosti požadovat náhradu majetkové i nemajetkové újmy, která může spočívat i v pouhém strachu a stresu ze zneužití jejich údajů.

Budování digitální pevnosti: Váš průvodce efektivní obranou

Odpovědnost za kybernetickou bezpečnost vyžaduje dvoukolejný přístup: robustní proaktivní obranu pro prevenci incidentů a precizně připravenou reaktivní strategii pro případ, že k incidentu přesto dojde. V ARROWS se specializujeme na IT a softwarové právo i kyberbezpečnost. Více o této službě najdete na našem webu.

office@arws.cz 245 007 740

Proaktivní obrana: Dokumentace, procesy a pojištění

V případě kontroly ze strany NÚKIB nebo soudního sporu o náhradu škody bude klíčové prokázat, že vedení nejednalo nedbale a přijalo všechna přiměřená opatření. Nejlepší obranou je proto důkladná a systematicky vedená dokumentace. Ta by měla zahrnovat:

  • Analýzy rizik a schválené politiky řízení bezpečnosti.
  • Záznamy o provedených školeních zaměstnanců i vrcholového vedení.
  • Zápisy z jednání statutárních orgánů, kde byla kybernetická bezpečnost projednávána a kde byla schválena alokace zdrojů.
  • Výsledky interních i externích bezpečnostních auditů.

Dalším důležitým prvkem strategie řízení rizik je pojištění kybernetických rizik. Je třeba zdůraznit, že pojištění nenahrazuje plnění zákonných povinností, ale slouží jako nástroj pro zmírnění finančních dopadů incidentu. Kvalitní pojistka typicky kryje široké spektrum nákladů:

  • Náklady na reakci na incident: Výdaje na forenzní IT specialisty, právní poradenství, krizovou komunikaci a PR.
  • Náklady na obnovu: Obnova zničených či zašifrovaných dat a zprovoznění systémů.
  • Přerušení provozu: Kompenzace ušlého zisku a stálých nákladů po dobu, kdy byl provoz firmy ochromen.
  • Odpovědnost vůči třetím stranám: Náhrady škod způsobených klientům a partnerům, náklady na právní obhajobu.
  • Regulatorní pokuty: Některé pojistné produkty mohou krýt i pokuty uložené dozorovými orgány, například ÚOOÚ.
FAQ – Právní tipy k prevenci
  • Kde mám s dokumentací začít?
    Základem je provedení analýzy rizik, na jejímž základě vytvoříte bezpečnostní politiky, plány školení a záznamy o jejich plnění. Neváhejte se obrátit na naši kancelář – office@arws.cz.
  • Stačí, když si sjednám kvalitní pojištění kybernetických rizik?
    Pojištění je důležitou součástí řízení rizik, ale nenahrazuje vaši zákonnou povinnost zavést preventivní opatření. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.
Reaktivní obrana: Plán reakce a správné hlášení incidentu

I nejlepší prevence nemusí být stoprocentní. Proto je nezbytné mít předem připravený, otestovaný a všem klíčovým osobám známý plán reakce na incidenty (Incident Response Plan). Tento plán musí jasně definovat kroky, role a odpovědnosti pro případ krize a musí obsahovat i přesné postupy pro splnění zákonných ohlašovacích povinností.

Požadavky nového zákona o kybernetické bezpečnosti a GDPR se liší v adresátovi, lhůtách i obsahu hlášení. Zmatek v krizové situaci může vést k jejich nesplnění a dalším zbytečným sankcím.

Nevíte si s daným tématem rady?

Proměňte riziko v příležitost

Nový zákon o kybernetické bezpečnosti představuje zásadní změnu paradigmatu. Kybernetická bezpečnost se stala nezpochybnitelnou součástí corporate governance, odpovědnost vedení je nyní osobní, přímá a vymahatelná a prevence je prokazatelně levnější než následná náprava škod.

Tuto legislativní změnu však není nutné vnímat pouze jako břemeno a zdroj nových rizik. Organizace, které k ní přistoupí aktivně a zodpovědně, mohou toto riziko proměnit v příležitost. Prokazatelná shoda se zákonem a robustní systém řízení kybernetické bezpečnosti se stávají významnou konkurenční výhodou. Budují důvěru u zákazníků, posilují pozici ve výběrových řízeních a činí z vaší firmy preferovaného a bezpečného partnera v dodavatelském řetězci.

Nečekejte na první incident nebo na první kontrolu z NÚKIB. Postavte se této výzvě čelem. V ARROWS jsme připraveni vám poskytnout komplexní právní podporu – od auditu a nastavení interních procesů, přes revizi smluv až po zastupování před úřady. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

FAQ – Nejčastější právní dotazy k odpovědnosti za kybernetický incident

1. Co je největší změnou, kterou přináší nový zákon o kybernetické bezpečnosti (NIS2)?
Nejzásadnější změnou je zavedení přímé, osobní a nepřenositelné odpovědnosti členů statutárních orgánů (jednatelů, představenstva) za zajištění kybernetické bezpečnosti, což se stává součástí péče řádného hospodáře. Pokud řešíte, jak se na nové povinnosti připravit, kontaktujte nás na office@arws.cz.

2. Jaké jsou nejvyšší finanční sankce?
Společnosti hrozí pokuta až 250 milionů Kč nebo 2 % z celosvětového obratu. Pro členy vedení je rizikem osobní odpovědnost za škodu (vymáhanou z jejich majetku) a zákaz výkonu funkce. Potřebujete právní pomoc s minimalizací rizik? Kontaktujte nás na office@arws.cz.

3. Když incident způsobí můj zaměstnanec, jsem jako jednatel z obliga?
Ne. Odpovědnost zaměstnance za škodu z nedbalosti je zákoníkem práce omezena na 4,5násobek jeho platu. Zbytek škody jde za společností a pokud nebyly zavedeny dostatečné preventivní systémy, odpovědnost dopadá na vedení. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

4. Musím hlásit každý bezpečnostní problém?
Ne. Zákon o kybernetické bezpečnosti vyžaduje hlášení pouze tzv. „významných“ incidentů NÚKIBu. Pokud však zároveň dojde k porušení zabezpečení osobních údajů, musíte incident hlásit do 72 hodin Úřadu pro ochranu osobních údajů (ÚOOÚ). Spojte se s námi na office@arws.cz a získejte právní řešení na míru.

5. Moje firma přímo nespadá pod regulaci. Znamená to, že se mě to netýká?
Ne nutně. Pokud jsou vaši klíčoví obchodní partneři regulovanými subjekty, budou po vás smluvně vyžadovat dodržování srovnatelných bezpečnostních standardů, aby splnili své vlastní zákonné povinnosti týkající se zabezpečení dodavatelského řetězce. Neváhejte se obrátit na naši kancelář – office@arws.cz.

6. Naše společnost působí v zahraničí. Jak nám můžete pomoci?
Díky naší deset let budované síti ARROWS International řešíme problematiku kybernetické bezpečnosti s mezinárodním prvkem prakticky denně. Pomůžeme vám sladit vaše povinnosti napříč jurisdikcemi a zajistit soulad s lokálními i evropskými předpisy. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.

office@arws.cz 245 007 740