Dlouho očekávaný zákon o kybernetické bezpečnosti, který v pátek 25. dubna schválili poslanci a nyní čeká na schválení Senátem, přináší novou úlohu pro šéfy firem. Jednatelé či jiní členové statutárních orgánů budou totiž osobně odpovědní za dodržování této kyberbezpečností regulace, a to potenciálně i z trestněprávního hlediska.
Neznalost zákona je přitom rozhodně neomluví. Dle odhadů se novinka bude týkat až desetitisíce firem a jejich představitelů. Tématu se dále věnuje Zdeněk Kučera, advokát a partner advokátní kanceláře Dentons. „V případě porušení pravidel hrozí členům statutárních orgánů mimo jiné osobní odpovědnost za způsobenou škodu či nemajetkovou újmu, ručení věřitelům za dluhy společnosti a vyloučení z funkce a zákaz výkonu funkce až na tři roky pod sankcí až ve výši 20 milionů korun,“ varuje Zdeněk Kučera ze společnosti Dentons před možnými následky zákona o kybernetické bezpečnosti, který 13. května převzal Senát a na jehož projednání mu běží lhůta do 12. června. Snahou je vtáhnout vedení firem do procesu a motivovat je k dosažení souladu s předpisy a k tomu, aby k této regulaci přistoupila skutečně zodpovědně a věnovala jí odpovídající pozornost. „Jedná se o moderní a funkční přístup, který je zejména na evropské úrovni čím dál častější,“ komentuje Zdeněk Kučera. Že tento přístup skutečně funguje, naznačuje zkušenost ze Slovenska. To je s přijetím zákona, vycházejícího z evropské směrnice NIS2, o něco napřed. „Firmy na Slovensku již musely podstoupit proces sebeidentifikace, jestli se jich nový zákon dotýká. A již vše nasvědčuje tomu, že představitelé firem jsou raději obezřetní a nechtějí nic zanedbat. Přestože původní odhady hovořily o přibližně 9 000 regulovaných subjektech, které se budou muset zákonu podřídit, nakonec se jich dobrovolně nahlásilo více než 15 tisíc,“ říká Zdeněk Kučera. Čelní představitelé firem budou nově muset projít relevantním školením týkajícím se kybernetické bezpečnosti a podílet se na dohledu dodržování pravidel v rámci své organizace. Osobní odpovědnost člena statutárního orgánu přitom platí bez ohledu na jeho technickou kvalifikaci a této odpovědnosti se nelze zbavit ani ji omezit. „Ve zkratce je top management odpovědný za to, že subjekt, kterého se zákon dotýká, implementuje a přijme veškerá opatření, která jsou nezbytná, a dále dohlédne na to, že tato opatření budou dodržována. K tomu musí samozřejmě také alokovat nezbytné zdroje,“ přibližuje advokát z Dentons. Jde o to, aby nešlo jen o formální přijetí nějakých politik, ale aby firmy efektivně přijaly a udržovaly nařízené podmínky zásad kybernetické ochrany. Členové statutárních orgánů přitom musejí dodržovat povinnost péče řádného hospodáře, která zahrnuje také právě oblast kybernetické bezpečnosti. Jaké základní povinnosti firmy čekají a jak probíhá proces samoidentifikace Jak již bylo naznačeno, firmy, které spadají pod nový kybernetický zákon, musejí nejprve projít procesem tzv. samoidentifikace. „Tento krok je nezbytný k tomu, aby subjekt posoudil, zda vzhledem ke své velikosti, povaze činnosti a sektorovému zaměření spadá do regulace,“ připomíná Zdeněk Kučera z Dentons. Samoidentifikace je povinná a její výsledky jsou závazné pro následné plnění zákonných povinností. Regulované subjekty musí samy aktivně vyhodnotit své postavení na základě kritérií uvedených v zákoně a jeho prováděcích předpisech. Pokud firma zjistí, že podléhá regulaci, je povinna se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). „Po registraci musí podnik zavést komplexní systém opatření zahrnující řízení kybernetických rizik, zavedení bezpečnostní politiky, pravidelné hlášení kybernetických incidentů a provádění školení zaměstnanců i vedení v oblasti kybernetické bezpečnosti,“ vyjmenovává Zdeněk Kučera. Nedílnou součástí povinností je také řízení bezpečnosti dodavatelských řetězců a ochrana datových toků. Zákon navíc požaduje, aby subjekty efektivně dokumentovaly své postupy a bezpečnostní opatření tak, aby v případě kontroly mohly prokázat jejich faktickou realizaci. Neplnění povinností může mít za následek nejen vysoké finanční sankce, ale v důsledku osobní odpovědnosti vedení také významné osobní a reputační dopady. Poslanecká sněmovna Parlamentu ČR návrh nového zákona o kybernetické bezpečnosti schválila v pátek 25. dubna 2025 ve třetím čtení. K zákonu bylo podáno a projednáno několik pozměňovacích návrhů. Mezi ty, které byly schváleny, patří přechod některých pravomocí ve vztahu k mechanismu prověřování bezpečnosti dodavatelského řetězce z NÚKIB směrem na vládu a rovněž užší vymezení okruhu aktiv strategicky významných služeb, na které se bude zmíněný mechanismus vztahovat. Oproti tomu Poslanecká sněmovna neschválila návrhy týkající se pozměnění institutu zajišťování dostupnosti strategicky významných služeb z území ČR. Některé pozměňovací návrhy k tomuto institutu byly ze strany navrhovatele přímo staženy. Rovněž došlo ke schválení nové podoby ustanovení o účinnosti zákona. Ta je nyní nastavena tak, že zákon bude účinný první den třetího kalendářního měsíce následujícího po jeho vejití v platnost. Vznikne tedy legisvakační doba dvou měsíců, kdy je zákon platný, ale není účinný. Povinným osobám tedy neběží lhůty pro plnění povinností. Vzhledem k dalšímu legislativnímu procesu nejen zákona, ale i jeho prováděcích právních předpisů lze počítat s tím, že nový zákon o kybernetické bezpečnosti nabude (v případě schválení Senátem a podpisu prezidenta) účinnosti v druhé polovině letošního roku. /HK/
