Kybernetická bezpečnost už není jen problémem IT oddělení. Nová směrnice NIS2 a nový zákon o kybernetické bezpečnosti výrazně rozšiřují okruh regulovaných firem a přinášejí i revoluční změny. Odpovědnost za kybernetická rizika se nově dotýká přímo vedení společnosti.
Týkají se nové povinnosti i vaší firmy? Co konkrétně budete muset zavést a jaké důsledky může mít porušení pravidel pro management? V článku si to srozumitelně projdeme.
Co směrnice NIS2 a český zákon o kybernetické bezpečnosti přináší
Směrnice NIS2 nastavuje evropský rámec pro kybernetickou odolnost. Sama o sobě ale přímo společnostem povinnosti neukládá. Ty vyplývají až z české implementace této směrnice, tj. zákona č. 264/2025 Sb., o kybernetické bezpečnosti, a souvisejících vyhlášek.
Dohled pak vykonává český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Nejzásadnější změny, které tyto předpisy přináší, spočívají v:
- rozšíření okruhu regulovaných subjektů,
- povinné registraci těchto subjektů,
- přísnějším režimu řízení rizik,
- zahrnutí managementu do odpovědnosti za kybernetickou bezpečnost společnosti.
Jak zjistit, zda moje firma spadá pod NIS2 a zákon o kybernetické bezpečnosti?
Základem je odpovědět na následující 3 otázky:
- Poskytujete službu, která spadá pod regulované služby podle zákona a souvisejících vyhlášek?
- Jak významná je tato služba pro společnost nebo ekonomiku?
- Splňujete velikostní parametry alespoň středního podniku?
Pokud jste si na všechny výše položené otázky odpověděli „ANO“ a dosud jste povinnostem v oblasti kyberbezpečnosti nevěnovali pozornost, pak doporučujeme raději urychleně vyhledat právní pomoc.
Tzv. regulované subjekty, na které dopadá zákon o kybernetické bezpečnosti, se nacházejí nejčastěji ve finančním sektoru, energetice, zdravotnictví, výrobním průmyslu, IT službách nebo v oblasti digitální infrastruktury.
Pokud jste na výše uvedené otázky odpověděli „NE“, nové povinnosti na vás i tak mohou dopadat. A to zejména, jste-li významným dodavatelem jiného regulovaného subjektu. V takovém případě totiž můžete být k určitým bezpečnostním požadavkům zavázaní smluvně, neboť regulované subjekty mají povinnost zajistit dodržování bezpečnostních požadavků v dodavatelském řetězci.
Registrace do evidence regulovaných subjektů NÚKIB
Pokud společnost splní zákonné podmínky, vzniká jí povinnost provést registraci do evidence regulovaných subjektů NÚKIB.
Nejde přitom o formalitu. Registrace je výchozím bodem pro další dohledové pravomoci a kontrolní mechanismy.
Společnosti, které splňovaly potřebná kritéria, měly povinnost registrovat se u NÚKIB do 31. 12. 2025. Těm, které tak neučinily, nyní hrozí pokuta až do výše 10 milionů korun nebo 2 % jejich celosvětového ročního obratu.
Povinnosti podle nového zákona o kybernetické bezpečnosti
Zákonem stanovené povinnosti jsou postavené zejména na principu řízení rizik. Svým rozsahem se pak liší podle toho, zda regulovaný subjekt spadá pod vyšší, nebo nižší režim povinností. V obou případech byste však měli minimálně:
- identifikovat svá klíčová aktiva a informační systému,
- provést analýzu rizik,
- přijmout technická a organizační opatření,
- nastavit proces hlášení incidentů,
- řídit bezpečnost dodavatelského řetězce,
- vést odpovídající dokumentaci.
Bezpečnostní opatření by však samozřejmě měla odpovídat a být přiměřená povaze a rozsahu podnikání. Jinými slovy, jako menší regionální firma nemusíte nutně mít zabezpečení na úrovni nadnárodní banky.
Právní odpovědnost statutárních orgánů v IT
Jednou z nejdůležitějších novinek, kterou právní úprava přináší, je důraz na právní odpovědnost statutárních orgánů v IT oblasti. Kybernetická bezpečnost se stala přímo součástí péče řádného hospodáře.
Co to v praxi znamená? Mimo jiné to, že už nebude možné, aby se členové statutárního orgánu v případě vzniku škody na straně společnosti z důvodu porušení jeho povinností v oblasti kyberbezpečnosti bránili tím, že se spoléhali na specialisty z IT oboru, protože oni sami znalostmi z oboru kyberbezpečnosti nedisponují.
Členové statutárního orgánu nesou odpovědnost zejména za schválení bezpečnostních opatření, dohled nad jejich plněním, hodnocením rizik a včasným a řádným hlášením incidentů. Krajní osobní sankcí přímo pro člena statutárního orgánu je možnost NÚKIB ho dočasně odstavit z výkonu funkce. Ignorování těchto povinností a rezignace na tuto oblast odpovědnosti tak může mít pro statutáry (a taktéž pro společnost) celkem citelné důsledky.
Co hrozí za nesplnění směrnice NIS2 a zákona o kybernetické bezpečnosti?
Rizika při nesplnění povinností mohou být různá:
- vysoké správní pokuty,
- uložení nápravných opatření ze strany NÚKIB,
- odpovědnost za škodu vůči třetím osobám,
- reputační dopad,
- odpovědnost statutárních orgánů z důvodu porušení péče řádného hospodáře,
- dočasné pozastavení výkonu funkce statutárního orgánu ze strany NÚKIB.
Vedle zákonných sankcí je však třeba také počítat i s určitými obchodními riziky, například nemožností účastnit se veřejných zakázek. Dá se předpokládat, že požadavky na kybernetickou bezpečnost budou stále častěji vídány jako jeden z kvalifikačních požadavků anebo kritérium výběru.
Digitální imunita firmy jako strategická výhoda
Digitální imunitou není pouze odškrtnutí splnění minimálních zákonných povinností. Jde o schopnost dlouhodobě odolávat kybernetickým hrozbám, včas zachytit bezpečnostní incidenty, minimalizovat jejich dopady a rychle obnovit provoz bez zásadního narušení vašeho byznysu. V praxi pak to, jak dobře budete na incident reagovat, může hrát větší roli než samotná skutečnost, že k němu došlo.
Digitální imunita společností stojí na kombinaci správně nastavené právní odpovědnosti, kvalitní smluvní dokumentace, funkčních bezpečnostních procesů a informovaného managementu, který kybernetická rizika aktivně řídí. Toto nastavení pak může i na velmi konkurenčním trhu takové společnosti přinést reálnou konkurenční výhodu.