Odpovědnost manažerů za kyberbezpečnost

9. 10. 2025

Kyberbezpečnost

Nový zákon o kybernetické bezpečnosti

Dne 1. listopadu nabývá účinnosti nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti („ZKB“), který přináší pro celou řadu subjektů plnění nových povinností. Ty zahrnují zejména:

(i) ohlášení u Národního úřadu pro kybernetickou a informační bezpečnost („NÚKIB“);

(ii) přijetí bezpečnostních opatření; či

(iii) hlášení kybernetických bezpečnostních incidentů.

V případě bezpečnostních opatření a hlášení incidentů jde sice o povinnosti spíše „staronové“, neboť je zná již současná právní úprava, nicméně ZKB okruh povinných subjektů značně rozšiřuje. Sám NÚKIB odhaduje, že ZKB nově dopadne na více než 6 000 subjektů poskytující tzv. „regulované služby“, které vymezuje napříč odvětvími – od energetiky a průmyslu až po finanční trh a zdravotnictví.

V našem článku se vedle obecných povinností detailněji zabýváme jedním ze zásadních dopadů nového ZKB na manažerské pozice v jednotlivých společnostech. ZKB totiž zpřísňuje odpovědnost členů statutárních orgánů společností za zajištění a dodržování kybernetické bezpečnosti. Nově totiž těmto osobám hrozí mj. uložení zákazu výkonu funkce statutárního orgánu.

Obecně k povinnostem poskytovatelů regulovaných služeb

ZKB se vztahuje na poskytovatele regulovaných služeb. Pokud tedy Vaše činnost spadá mezi služby uvedené v nové vyhlášce o regulovaných službách (např. průmyslová výroba potravin, provoz zařízení pro nakládání s odpady nebo výroba zdravotnických prostředků) a zároveň jste středním či malým podnikem, případně splňujete kritéria významnosti pro zajištění důležitých společenských či ekonomických činností nebo pro bezpečnost České republiky (opět upřesněno v připravované vyhlášce), bude se na vás ZKB a v něm stanovené povinnosti s velkou pravděpodobností vztahovat.

Ohlašovací povinnost

Jednou z prvotních povinností poskytovatele regulované služby je do 60 dnů ode dne, kdy začne splňovat podmínky pro registraci podat NÚKIB ohlášení, na jehož základě NÚKIB vydá rozhodnutí o registraci regulované služby. Subjekty, které budou podmínky pro registraci splňovat již ke dni účinnosti zákona tak musí ohlášení provést nejpozději do konce tohoto roku. Tuto povinnost není radno podceňovat, neboť ZKB umožňuje za její porušení uložit pokutu až do výše 250 000 000 Kč nebo do výše 2 % čistého celosvětového skupinového obratu.

Režim vyšších a nižších povinností

Vedle dalších obecných povinností, jako je např. hlášení změn údajů o regulované službě, ZKB rozlišuje povinnosti specifické dle toho, zda je služba zařazena do režimu nižších, či vyšších povinností. O zařazení rozhodne připravovaná vyhláška, přičemž klíčovými kritérii jsou zejména velikost podniku, kvantitativní ukazatele (těmi je u finančních institucí např. objem platebních transakcí za určité období či počet provozovaných čerpacích stanic na území ČR u jejich provozovatelů).

Služby spadající do režimu nižších povinností musí naplňovat jen základní požadavky, jako je zavedení systému pro zajištění minimální úrovně kybernetické bezpečnosti nebo detekce a evidence bezpečnostních incidentů. Naopak poskytovatelé služeb v režimu vyšších povinností musí zajistit komplexní organizační a technická opatření, včetně vyhodnocování jednotlivých incidentů. Přehled konkrétních bezpečnostních opatření obsahuje § 14 ZKB, přičemž jejich bližší specifikaci stanoví vyhlášky o bezpečnostních opatřeních pro nižší a vyšší režim povinností.

Odpovědnost manažerů

Případné nesplnění vybraných povinností dle ZKB může mít přímé důsledky i pro statutární orgány společností. ZKB totiž pracuje s mechanismy, kterým by manažeři měli věnovat zvýšenou pozornost.

U poskytovatelů regulovaných služeb v režimu vyšších povinností zavádí ZKB v případě porušení plnění povinností stanovených rozhodnutím NÚKIB poměrně přísnou sankci. NÚKIB bude nově oprávněn v případě závažného nebo opakovaného porušování povinností statutárním orgánem, které znemožnilo řádné splnění rozhodnutí úřadu směřujícího k odstranění nedostatků na úseku kybernetické bezpečnosti, zakázat dotčené osobě výkon funkce statutárního orgánu – a to minimálně na dobu šesti měsíců.

Případné zanedbání plnění zákonných povinností vyplývajících ze ZKB může rovněž vést k porušení zákonné povinnosti statutárního orgánu jednat s péčí řádného hospodáře. Pokud tedy například dojde k bezpečnostnímu incidentu anebo uložení pokuty ze strany NÚKIB, může být management společnosti odpovědný za škodu, která v této společnosti vaší firmě vznikne. Může se jednat například o situaci, kdy si společnost dostatečně kvalifikovaně nevyhodnotí, že na ni nová legislativa dopadá, včas neohlásí regulované služby NÚKIBu a následně dostane pokutu, případně nepřijme včas dostatečná bezpečnostní opatření.

Povinnost k náhradě škody a případný zákaz výkonu funkce tak mohou mít na management zásadní dopad. Vystavit se takovému riziku je tedy naprosto zbytečným hazardem, obzvlášť, když postačí zodpovědně přistoupit k posouzení povinností dle ZKB a implementovat jednotlivá opatření.

Závěr

Závěr

Je důležité, aby management společnosti nebral kybernetickou bezpečnost na lehkou váhu, včas nechal provést posouzení, zda činnost společnosti spadá pod regulovanou službu, zajistil registraci u NÚKIB a přijal nezbytná opatření. Jedině tak se totiž může vyhnout případné osobní odpovědnosti. Navíc kybernetická bezpečnost není jen o plnění zákonných požadavků, jde primárně o ochranu vlastní integrity Vaší společnosti včetně zajištění komplexní bezpečnosti v rámci dodavatelského řetězce. Dodržování kybernetické bezpečnosti se v byznysu stává běžným standardem, a naopak jeho zanedbávání může představovat konkurenční nevýhodu.

Kybernetická bezpečnost je oblast, kterou se v naší kanceláři detailně zabýváme. Pokud si nejste jistí posouzením toho, zda spadáte do definice regulované služby, potřebujete pomoct s implementací bezpečnostních opatření nebo provést komplexní audit plnění povinností, neváhejte se na nás obrátit.

Zajistíme, že v kybernetickém prostoru budete vždy o krok napřed.