Směrnice NIS2 a zákon o kybernetické bezpečnosti: nové povinnosti, nová odpovědnost
Kybernetická bezpečnost už není jen problémem IT oddělení. Nová směrnice NIS2 a nový zákon o kybernetické bezpečnosti výrazně rozšiřují okruh regulovaných firem a přinášejí i revoluční změny. Odpovědnost za kybernetická rizika se nově dotýká přímo vedení společnosti.
Týkají se nové povinnosti i vaší firmy? Co konkrétně budete muset zavést a jaké důsledky může mít porušení pravidel pro management? V článku si to srozumitelně projdeme.
Co směrnice NIS2 a český zákon o kybernetické bezpečnosti přináší
Směrnice NIS2 nastavuje evropský rámec pro kybernetickou odolnost. Sama o sobě ale přímo společnostem povinnosti neukládá. Ty vyplývají až z české implementace této směrnice, tj. zákona č. 264/2025 Sb., o kybernetické bezpečnosti, a souvisejících vyhlášek.
Dohled pak vykonává český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Nejzásadnější změny, které tyto předpisy přináší, spočívají v:
- rozšíření okruhu regulovaných subjektů,
- povinné registraci těchto subjektů,
- přísnějším režimu řízení rizik,
- zahrnutí managementu do odpovědnosti za kybernetickou bezpečnost společnosti.
Jak zjistit, zda moje firma spadá pod NIS2 a zákon o kybernetické bezpečnosti?
Základem je odpovědět na následující 3 otázky:
- Poskytujete službu, která spadá pod regulované služby podle zákona a souvisejících vyhlášek?
- Jak významná je tato služba pro společnost nebo ekonomiku?
- Splňujete velikostní parametry alespoň středního podniku?
Pokud jste si na všechny výše položené otázky odpověděli „ANO“ a dosud jste povinnostem v oblasti kyberbezpečnosti nevěnovali pozornost, pak doporučujeme raději urychleně vyhledat právní pomoc.
Tzv. regulované subjekty, na které dopadá zákon o kybernetické bezpečnosti, se nacházejí nejčastěji ve finančním sektoru, energetice, zdravotnictví, výrobním průmyslu, IT službách nebo v oblasti digitální infrastruktury.
Pokud jste na výše uvedené otázky odpověděli „NE“, nové povinnosti na vás i tak mohou dopadat. A to zejména, jste-li významným dodavatelem jiného regulovaného subjektu. V takovém případě totiž můžete být k určitým bezpečnostním požadavkům zavázaní smluvně, neboť regulované subjekty mají povinnost zajistit dodržování bezpečnostních požadavků v dodavatelském řetězci.
Registrace do evidence regulovaných subjektů NÚKIB
Pokud společnost splní zákonné podmínky, vzniká jí povinnost provést registraci do evidence regulovaných subjektů NÚKIB.
Nejde přitom o formalitu. Registrace je výchozím bodem pro další dohledové pravomoci a kontrolní mechanismy.
Společnosti, které splňovaly potřebná kritéria, měly povinnost registrovat se u NÚKIB do 31. 12. 2025. Těm, které tak neučinily, nyní hrozí pokuta až do výše 10 milionů korun nebo 2 % jejich celosvětového ročního obratu.
Povinnosti podle nového zákona o kybernetické bezpečnosti
Zákonem stanovené povinnosti jsou postavené zejména na principu řízení rizik. Svým rozsahem se pak liší podle toho, zda regulovaný subjekt spadá pod vyšší, nebo nižší režim povinností. V obou případech byste však měli minimálně:
- identifikovat svá klíčová aktiva a informační systému,
- provést analýzu rizik,
- přijmout technická a organizační opatření,
- nastavit proces hlášení incidentů,
- řídit bezpečnost dodavatelského řetězce,
- vést odpovídající dokumentaci.
Bezpečnostní opatření by však samozřejmě měla odpovídat a být přiměřená povaze a rozsahu podnikání. Jinými slovy, jako menší regionální firma nemusíte nutně mít zabezpečení na úrovni nadnárodní banky.
Právní odpovědnost statutárních orgánů v IT
Jednou z nejdůležitějších novinek, kterou právní úprava přináší, je důraz na právní odpovědnost statutárních orgánů v IT oblasti. Kybernetická bezpečnost se stala přímo součástí péče řádného hospodáře.
Co to v praxi znamená? Mimo jiné to, že už nebude možné, aby se členové statutárního orgánu v případě vzniku škody na straně společnosti z důvodu porušení jeho povinností v oblasti kyberbezpečnosti bránili tím, že se spoléhali na specialisty z IT oboru, protože oni sami znalostmi z oboru kyberbezpečnosti nedisponují.
Členové statutárního orgánu nesou odpovědnost zejména za schválení bezpečnostních opatření, dohled nad jejich plněním, hodnocením rizik a včasným a řádným hlášením incidentů. Krajní osobní sankcí přímo pro člena statutárního orgánu je možnost NÚKIB ho dočasně odstavit z výkonu funkce. Ignorování těchto povinností a rezignace na tuto oblast odpovědnosti tak může mít pro statutáry (a taktéž pro společnost) celkem citelné důsledky.
Co hrozí za nesplnění směrnice NIS2 a zákona o kybernetické bezpečnosti?
Rizika při nesplnění povinností mohou být různá:
- vysoké správní pokuty,
- uložení nápravných opatření ze strany NÚKIB,
- odpovědnost za škodu vůči třetím osobám,
- reputační dopad,
- odpovědnost statutárních orgánů z důvodu porušení péče řádného hospodáře,
- dočasné pozastavení výkonu funkce statutárního orgánu ze strany NÚKIB.
Vedle zákonných sankcí je však třeba také počítat i s určitými obchodními riziky, například nemožností účastnit se veřejných zakázek. Dá se předpokládat, že požadavky na kybernetickou bezpečnost budou stále častěji vídány jako jeden z kvalifikačních požadavků anebo kritérium výběru.
Digitální imunita firmy jako strategická výhoda
Digitální imunitou není pouze odškrtnutí splnění minimálních zákonných povinností. Jde o schopnost dlouhodobě odolávat kybernetickým hrozbám, včas zachytit bezpečnostní incidenty, minimalizovat jejich dopady a rychle obnovit provoz bez zásadního narušení vašeho byznysu. V praxi pak to, jak dobře budete na incident reagovat, může hrát větší roli než samotná skutečnost, že k němu došlo.
Digitální imunita společností stojí na kombinaci správně nastavené právní odpovědnosti, kvalitní smluvní dokumentace, funkčních bezpečnostních procesů a informovaného managementu, který kybernetická rizika aktivně řídí. Toto nastavení pak může i na velmi konkurenčním trhu takové společnosti přinést reálnou konkurenční výhodu.
Nevíte, jak začít? Právní audit kyberbezpečnosti vám napoví
Pokud si nejste jistí, do jakého režimu povinností spadáte, jaké povinnosti se na vás vztahují nebo případně zda vůbec jste regulovaným subjektem, je pro vás nejefektivnějším prvním krokem právní audit od advokáta specializujícího se na kyberbezpečnost.
Právní audit vám
- vyhodnotí, zda vaše firma patří mezi regulované subjekty,
- určí rozsah povinností, které musíte plnit,
- identifikuje slabá místa ve smlouvách a interních firemních předpisech.
A co říct na závěr?
Směrnice NIS2 a zákon o kybernetické bezpečnosti představují zásadní změnu v oblasti řízení rizik. Nejde jen o technickou ochranu systémů, ale o právní odpovědnost, compliance a strategické řízení.
Kybernetická bezpečnost firem dnes už může například ovlivnit i jejich hodnotu, zejména z hlediska její (ne)důvěryhodnosti vůči obchodním partnerům, případně zákazníkům. A právě proto by žádný firemní management neměl otázku kyberbezpečnosti přehlížet.
Další články
Sloučení kontrolní agendy krajských státních zastupitelství jako cesta k zachování menších okresních státních zastupitelství
Justice čelí zahlcení. Zatímco ministerstvo plánuje velkou reformu soudů až na rok 2028, efektivnějších úřadů a obřích úspor lze dosáhnout okamžitě. Stačí sloučit dozor a dohled na krajích. Má to však háček: nejdříve musíme utnout bezbřehý instanční dohled, ze kterého se v éře umělé inteligence stal nástroj šikanózních stěžovatelů a anonymů z internetu. Pokud systém nezačne podněty přísně filtrovat, zkolabuje a poškodí ty, kteří pomoc státu skutečně potřebují.
Přelomové rozhodnutí německého soudu k odpovědnosti za výroky AI chatbotů
Dne 12. května 2026 vydal Oberlandesgericht Hamm rozsudek, který představuje zásadní mezník v oblasti přičitatelnosti jednání systémů umělé inteligence podnikatelským subjektům. V rozhodnutí se soud zabýval otázkou, zda může podnik nést odpovědnost za nepravdivé informace generované jeho AI chatbotem, a to i v situaci, kdy k poskytnutí těchto informací nedošlo na základě jeho pokynu a chatbot byl původně trénován na správných údajích.
Rušíte dovolenou kvůli bezpečnostní situaci? Ne vždy máte nárok na vrácení peněz
Geopolitická situace ve světě dokáže změnit plány během okamžiku. Ozbrojené konflikty, teroristické útoky, masové nepokoje nebo náhlé uzavření vzdušného prostoru mohou vést ke zrušení celé dovolené ještě před odletem. V takových situacích může být poměrně matoucí, kdy vzniká nárok na vrácení peněz za letenky, ubytování i zaplacené služby.
Předkupní právo k nemovitosti
Za jakých podmínek předkupní právo vzniká a jaká jsou jeho specifika? V tomto článku bychom se zaměřili na institut předkupního práva k nemovitostem.
Digitální auditní stopa jako „svědek“ činnosti správního orgánu
Digitalizace veřejné správy postupně mění nejen způsob vedení řízení, ale i samotnou povahu dokazování. Tam, kde dříve hrály hlavní roli listiny, doručenky, úřední záznamy nebo svědecké výpovědi, dnes stále častěji vstupují do hry logy, metadata, časová razítka, změnové historie a workflow záznamy informačních systémů.
