7. 5. 2025 11:50

Zákon o kybernetické bezpečnosti ukládá jednatelům osobní odpovědnost

Dlouho očekávaný zákon o kybernetické bezpečnosti, který 25. dubna schválili poslanci a nyní čeká na schválení Senátem, je velmi přísný na nejvyšší vedení firem. Jednatelé, či jiní členové statutárních orgánů budou totiž osobně odpovědní za dodržování této kyberbezpečností regulace, a to potenciálně i z trestně-právního hlediska.

„V případě porušení pravidel hrozí členům statutárních orgánů mimo jiné osobní odpovědnost za způsobenou škodu, či nemajetkovou újmu, ručení věřitelům za dluhy společnosti a vyloučení z funkce a zákaz výkonu funkce až na tři roky pod sankcí až ve výši 20 milionů korun,“ varuje Zdeněk Kučera z advokátní kanceláře Dentons.

Snahou je vtáhnout vedení firem do procesu a motivovat ho k dosažení souladu s předpisy a k tomu, aby k této regulaci přistoupilo skutečně zodpovědně a věnovalo ji odpovídající pozornost. „Jedná se o moderní a funkční přístup, který je zejména na evropské úrovni čím dál častější,“ komentuje Zdeněk Kučera.

Že tento přístup skutečně funguje, naznačuje zkušenost ze Slovenska. To je s přijetím zákona, vycházejícího z evropské směrnice NIS2, o něco napřed. „Firmy na Slovensku již musely podstoupit proces sebeidentifikace, jestli se jich nový zákon dotýká. A již vše nasvědčuje tomu, že představitelé firem jsou raději obezřetní a nechtějí nic zanedbat. Přestože původní odhady hovořily o přibližně 9 tisíc regulovaných subjektech, které se budou muset zákonu podřídit, nakonec se jich dobrovolně nahlásilo více než 15 tisíc,“ říká Zdeněk Kučera.

Návrh českého zákona o kybernetické bezpečnosti bude nyní projednávat Senát a poté bude čekat na podpis prezidenta. Nabýt účinnosti by měl podle odhadů v červenci 2025.

Čelní představitelé firem budou nově muset projít relevantním školením týkajícím se kybernetické bezpečnosti a podílet se na dohledu dodržování pravidel v rámci své organizace. Osobní odpovědnost člena statutárního orgánu přitom platí bez ohledu na jeho technickou kvalifikaci a této odpovědnosti se nelze zbavit ani ji omezit.

„Ve zkratce je top management odpovědný za to, že subjekt, kterého se zákon dotýká, implementuje a přijme veškerá opatření, která jsou nezbytná a dále dohlédne na to, že tato opatření budou dodržována. K tomu musí samozřejmě také alokovat nezbytné zdroje,“ vysvětluje Zdeněk Kučera.

Jde o to, aby nešlo jen o formální přijetí nějakých politik, ale aby firmy efektivně přijaly a udržovaly nařízené podmínky zásad kybernetické ochrany.

Jak probíhá proces samoidentifikace

Firmy, které spadají pod nový kybernetický zákon, musejí nejprve projít procesem tzv. samoidentifikace. „Tento krok je nezbytný k tomu, aby subjekt posoudil, zda vzhledem ke své velikosti, povaze činnosti a sektorovému zaměření spadá do regulace,“ připomíná Zdeněk Kučera.

Samoidentifikace je povinná a její výsledky jsou závazné pro následné plnění zákonných povinností. Regulované subjekty musí samy aktivně vyhodnotit své postavení na základě kritérií uvedených v zákoně a jeho prováděcích předpisech.

Pokud firma zjistí, že podléhá regulaci, je povinna se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). „Po registraci musí podnik zavést komplexní systém opatření zahrnující řízení kybernetických rizik, zavedení bezpečnostní politiky, pravidelné hlášení kybernetických incidentů a provádění školení zaměstnanců i vedení v oblasti kybernetické bezpečnosti,“ vyjmenovává Zdeněk Kučera.

Nedílnou součástí povinností je také řízení bezpečnosti dodavatelských řetězců a ochrana datových toků. Zákon navíc požaduje, aby subjekty efektivně dokumentovaly své postupy a bezpečnostní opatření tak, aby v případě kontroly mohly prokázat jejich faktickou realizaci. Neplnění povinností může mít nejen za následek vysoké finanční sankce, ale v důsledku osobní odpovědnosti vedení také významné osobní a reputační dopady.