Povinnosti vyplývající ze zákona se přitom stávají nově součástí péče řádného hospodáře manažerů společností, a kybernetická bezpečnost tak v praxi přestává být pouze záležitostí firemního IT oddělení.
Na koho se zákon vztahuje
Nový zákon o kybernetické bezpečnosti dopadá na 15 hlavních sektorů, mezi které například patří veřejná správa, finanční trh, zdravotnictví, energetika, doprava, poštovní a kurýrní služby, potravinářský průmysl či vesmírný sektor. Přesné vymezení regulovaných služeb stanoví prováděcí vyhláška k zákonu.
Zákon se primárně vztahuje na střední a velké podniky. Tedy takové společnosti, které mají alespoň 50 zaměstnanců a jejichž roční obrat a/nebo bilanční suma roční rozvahy přesahuje 10 milionů euro (v případě středních podniků), a společnosti, které zaměstnávají nejméně 250 osob a jejichž roční obrat přesahuje 50 milionů eur a/nebo jejichž bilanční suma roční rozvahy přesahuje 43 milionů eur (v případě velkých podniků).
Pokud tedy sice podnikáte v zákonem regulovaném odvětví a budete poskytovat některou z vyhláškou definovaných služeb, ale nejste středním či velkým podnikem, zákon se na vás s největší pravděpodobností neuplatí. Výjimku pak tvoří poskytovatelé digitálních služeb, například služby cloud computingu, datového centra, internetového vyhledávače nebo platformy sociální sítě, na které se zákon uplatní vždy, a to bez ohledu na jejich velikost, a kterým současně ukládá zvláštní právní povinnosti.
Co se týče otázky, zda se u konkrétní společnosti jedná o povinnou osobu podle zákona, či nikoli, platí u naprosté většiny z nich princip tzv. samoidentifikace. To znamená, že společnosti si samy musí vyhodnotit, jestli jsou povinnou osobou podle zákona, nebo ne. V praxi se přitom nemusí jednat o úplně jednoduchou otázku, a to zejména v případech, kdy hlavní náplní činnosti organizace bude služba neregulovaná, ovšem jedna z jejích doplňkových či podpůrných činností do regulovaných služeb již spadne. I v takovém případě totiž společnost – ve vztahu k těmto doplňkovým či podpůrným službám – bude muset povinnosti stanovené zákonem plnit.
Povinnosti povinných subjektů
Zavedení nového zákona si vyžádá zásadní změnu v řízení firemní bezpečnosti. Společnosti, které se doposud kybernetickou bezpečností nezabývaly, jsou nově povinni zavést soubor bezpečnostních opatření.
Prvním krokem je registrace u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) do 60 dnů od účinnosti zákona. V návaznosti musí povinné osoby úřadu nahlásit údaje fyzických osob, které budou za společnost oprávněny s NÚKIB řešit záležitosti týkající se kyberbezpečnosti, společně s údaji o vlastnické struktuře poskytovatele. Úřadu musí být sděleny i technické údaje týkající se regulované služby a informace o jejím geografickém rozšíření a přeshraničním poskytování.
Dalším nezbytným krokem pro poskytovatele je vymezení rozsahu tzv. aktiv, tj. souboru informací, služeb, technických prostředků a lidí, za pomoci kterých poskytovatel danou regulovanou službu poskytuje a kterých k poskytování využívá. Pokud to neudělá, zákon stanoví nevyvratitelnou právní domněnku, že za taková aktiva se budou považovat veškeré informační, technické a personální prostředky poskytovatele. Tedy všechen jeho majetek a zaměstnanci či dodavatelé. Ve vztahu k těmto aktivům pak bude poskytovatel muset zajišťovat zákonem vyžadovaná bezpečnostní opatření, což může na jeho straně způsobit vznik neopodstatněných nákladů. Vymezení aktiv tedy doporučujeme věnovat potřebnou pozornost.
Mezi bezpečnostní opatření, která poskytovatel regulované služby musí přijmout k ochraně citlivých dat a informačních systémů před kybernetickými hrozbami, patří například:
- Technická opatření – zahrnují řízení přístupů k síti, šifrování citlivých dat a detekci či prevenci bezpečnostních incidentů
- Organizační opatření – zahrnují řízení rizik, implementaci interních bezpečnostních politik a školení zaměstnanců
- Incident reporting – zahrnuje mechanismus hlášení významných bezpečnostních incidentů NÚKIB
- Implementace a hodnocení – zahrnuje průběžné zavádění a aktualizaci, testování a hodnocení bezpečnostních opatření z hlediska jejich účinnosti, aby byla zajištěna reálná ochrana systémů a dat.
Výše uvedená opatření se mohou lišit v závislosti na typu poskytovatele regulovaných služeb. Zákon rozlišuje mezi subjekty s vyššími a nižšími povinnostmi, a to podle toho, jak významnou službu s ohledem na kybernetickou bezpečnost daná osoba na území ČR poskytuje.
Společnosti s vyššími povinnostmi musí zavést všechna opatření platná pro subjekty s nižšími povinnostmi, a k tomu navíc přijmout další organizační a technická opatření. Patří sem například řízení dodavatelů, pravidelný audit bezpečnostních opatření nebo nasazení systémů pro sledování a prevenci bezpečnostních incidentů. Přesné vymezení toho, zda daný poskytovatel spadá do režimu vyšších povinností či nižších, stanoví prováděcí vyhláška k zákonu.
Všechna tato opatření přitom musí být zavedena nejpozději do jednoho roku ode dne doručení rozhodnutí NÚKIB o registraci regulované služby. To NÚKIB vydá ve většině případů právě na základě registrace ze strany poskytovatele, řízení o registraci však v některých případech může zahájit i sám úřad z úřední povinnosti.
Jaké hrozí sankce
Neplnění povinností stanovených zákonem může mít pro společnosti závažné finanční dopady. Regulované subjekty s vyššími povinnostmi mohou být ze strany NÚKIB sankcionovány pokutou až do výše 250 milionů Kč nebo 2 % z celkového ročního obratu. Poskytovatelé s nižšími povinnostmi poté mohou čelit pokutě až do výše 175 milionů Kč nebo 1,4 % celkového ročního obratu.
Úřad ve zvláštních případech, po odsouhlasení vládou, může poskytovateli uložit dokonce i omezení nebo úplný zákaz využití konkrétního dodavatele k poskytování služby.
Odpovědnost členů statutárního orgánu
Výše uvedená pravidla a správné plnění povinností podle zákona o kybernetické bezpečnosti se nově stávají záležitostí nejvyšší manažerské úrovně. Zásadní novinkou totiž je, že kybernetická bezpečnost se od 1. listopadu 2025 stává nedílnou součástí odpovědnosti členů statutárních orgánů a jejich péče řádného hospodáře. Statutární orgán společnosti tak nese osobní odpovědnost za to, že společnost dodržuje pravidla kybernetické bezpečnosti. Tuto odpovědnost přitom nelze zcela delegovat na jiné osoby ani se jí zprostit.
V případě porušení povinností může člen statutárního orgánu být odpovědný za způsobenou škodu nebo nemajetkovou újmu společnosti (spočívající např. právě v uložení pokuty ze strany úřadu), ručit věřitelům za dluhy společnosti nebo mu může být uložen zákaz výkonu funkce, a to nejméně na dobu šesti měsíců.
Mění se pravidla hry
Nový zákon o kybernetické bezpečnosti zásadně mění pravidla hry v řízení bezpečnosti a klade na vedení společností nové přísnější povinnosti. Cíl zákona, kterým je posílit odolnost společností vůči kybernetickým hrozbám, snížit riziko systémových výpadků a zajistit rychlou reakci na incidenty, které by mohly ohrozit národní hospodářství, veřejnou bezpečnost či fungování kritické infrastruktury státu, je zcela legitimní a nová právní úprava s ohledem na rozpínavost Ruska zřejmě přichází ve správnou chvíli.
Prostředky a způsob, jakým tak zákon činí, jsou však již více problematické a v řadě oblastí vyvolávají oprávněné námitky soukromého sektoru. Jejich důsledkem totiž bezpochyby bude zvýšená finanční a administrativní zátěž společností na zavedení nových bezpečnostních mechanismů.
Mgr. Tomáš Hubáček je vedoucím advokátem kanceláře Štilec & Partners, Mgr. et Mgr. Hana Nečasová působí v této kanceláří jako advokátní koncipientka.
Text byl publikován v rámci spolupráce s partnerem legalwebu Štilec & Partners.
