Odpovědnost vedení společnosti za kyberbezpečnost: co dnes riskuje jednatel?
Víte, co dnes osobně riskujete jako jednatel, pokud vaše firma nesplní povinnosti v oblasti kybernetické bezpečnosti? Nový zákon přenáší odpovědnost přímo na vedení a sankce mohou dopadnout na konkrétní osobu. Přečtěte si, co musíte zajistit a čemu se vyhnete včasným jednáním.
Stručné shrnutí
Za splnění povinností podle zákona o kybernetické bezpečnosti odpovídá vedení společnosti, tedy jednatel nebo představenstvo. Tuto odpovědnost nelze přenést na IT oddělení ani na externího dodavatele. Při nesplnění hrozí nejen pokuty, ale i osobní odpovědnost a dočasný zákaz výkonu funkce. Vedení proto musí kybernetickou bezpečnost aktivně řídit, schvalovat dokumentaci a zajistit její soulad s vyhláškou 410/2025 Sb.
Proč vedení společnosti ručí za kyberbezpečnost
Kybernetická bezpečnost se s novým zákonem přesunula z technické roviny do roviny řízení firmy. Odpovědnost za ni leží na nejvyšší úrovni, což pro mnoho jednatelů představuje zásadní změnu. Souvislosti s rolemi ve firmě jsme rozebrali v článku o bezpečnostních rolích.
Co o odpovědnosti vedení říká nový zákon
Zákon 264/2025 Sb. klade odpovědnost za kybernetickou bezpečnost přímo na vedení společnosti. Vyhláška 410/2025 Sb. navíc mezi neopominutelná opatření výslovně řadí požadavky na vrcholné vedení.
To znamená, že vedení musí kybernetickou bezpečnost aktivně řídit, schvalovat klíčové dokumenty a dohlížet na jejich plnění. Nejde o symbolickou roli, ale o konkrétní zákonnou povinnost, jejíž nesplnění má reálné důsledky.
Proč odpovědnost nelze přenést na IT
Mnoho firem se mylně domnívá, že kybernetickou bezpečnost vyřeší IT oddělení. IT správce ale zavádí technická opatření, zatímco odpovědnost za jejich zajištění zůstává na vedení.
Vedení rozhoduje o prioritách, rozpočtu a o tom, kdo má jednotlivé oblasti na starosti. Proto nelze odpovědnost delegovat na techniky ani na externí firmu. Pověřit konkrétní osoby výkonem úkolů možné je, konečná odpovědnost ale vždy zůstává na statutárním orgánu.
Co musí vedení firmy zajistit
Odpovědnost vedení není jen formální deklarace. Pojí se s ní konkrétní povinnosti, které musí vedení aktivně plnit a být schopno je doložit.
Povinnosti vedení podle ZoKB
Vedení společnosti má podle zákona několik klíčových povinností. Mezi ty hlavní patří:
- Zajistit zavedení bezpečnostních opatření podle vyhlášky.
- Schválit a podporovat bezpečnostní politiku firmy.
- Určit odpovědné osoby a bezpečnostní role.
- Vyčlenit potřebné zdroje na kybernetickou bezpečnost.
- Dohlížet na plnění povinností a jejich průběžnou aktualizaci.
Tyto povinnosti nelze splnit jednorázově. Vyžadují trvalou pozornost a pravidelnou kontrolu ze strany vedení.
Schvalování dokumentace a bezpečnostní politiky
Jednou z nejdůležitějších povinností vedení je schválení bezpečnostní politiky. Jde o základní dokument, který definuje pravidla, odpovědnosti a cíle firmy v oblasti kybernetické bezpečnosti.
Vedení musí politiku nejen schválit, ale také zajistit, aby byla skutečně dodržována. Stejně tak odpovídá za to, že firma má kompletní dokumentaci ke všem opatřením a že je tato dokumentace průběžně aktualizována.
Přehled bezpečnostních opatření je přitom nutné uchovávat minimálně čtyři roky a aktualizovat alespoň jednou ročně.
Co jednatel riskuje při nesplnění povinností
Nesplnění povinností není jen administrativní pochybení. Zákon počítá s konkrétními sankcemi, které mohou dopadnout jak na firmu, tak na konkrétní osobu ve vedení.
Pokuty a finanční sankce
Za nesplnění povinností hrozí firmě citelné pokuty. V nižším režimu se sankce u nejzávažnějších porušení pohybují až do výše 175 milionů korun nebo 1,4 procenta obratu, podle toho, která hodnota je vyšší.
Konkrétní výše pokuty závisí na závažnosti pochybení a na tom, zda firma povinnosti zcela ignorovala, nebo je splnila jen částečně. I nižší sazby ale mohou znamenat výrazný zásah do rozpočtu firmy.
Osobní odpovědnost a zákaz výkonu funkce
Nejzávažnějším důsledkem je osobní odpovědnost členů vedení. Zákon výslovně umožňuje uložit dočasný zákaz výkonu funkce člena statutárního orgánu.
To znamená, že důsledky nedopadají pouze na firmu jako celek, ale přímo na konkrétního jednatele nebo člena představenstva. Právě tato osobní rovina odpovědnosti je tím, co odlišuje nový zákon od dřívějších, méně závazných pravidel.
| Riziko | Koho se týká |
|---|---|
| Pokuta až 175 mil. Kč nebo 1,4 % obratu | Firma |
| Nápravná opatření od NÚKIB | Firma |
| Osobní odpovědnost | Člen vedení |
| Dočasný zákaz výkonu funkce | Člen vedení |
Jak může vedení odpovědnost zvládnout
Odpovědnost vedení může na první pohled působit zatěžující. Při systematickém přístupu je ale zcela zvládnutelná. Klíčové je jednat včas a nenechávat přípravu na poslední chvíli.
První kroky, které by mělo vedení udělat
Vedení by mělo začít tím, že si ověří, zda firma pod zákon spadá, a dokončí registraci u NÚKIBu. Od doručení rozhodnutí o registraci začíná běžet dvanáctiměsíční lhůta na splnění všech povinností.
Následně je potřeba určit odpovědné osoby a bezpečnostní role, zmapovat aktiva a posoudit aktuální stav kybernetické bezpečnosti. Na základě toho firma připraví dokumentaci ke 13 opatřením podle vyhlášky 410/2025 Sb.
Připravit tuto dokumentaci ručně je náročné. Právě s tím pomáhá Compligen. Online průvodce vás provede celým procesem, od nastavení rolí přes bezpečnostní politiku až po kompletní dokumentaci v souladu s vyhláškou. Vedení tak získá jistotu, že firma splňuje povinnosti a je připravena na případnou kontrolu.
Závěr
Odpovědnost vedení společnosti za kyberbezpečnost znamená, že za splnění povinností podle zákona ručí přímo jednatel nebo představenstvo, nikoli IT oddělení. Jednatel při nesplnění riskuje nejen pokuty až do výše 175 milionů korun, ale i osobní odpovědnost a dočasný zákaz výkonu funkce. Vedení proto musí kybernetickou bezpečnost aktivně řídit, schvalovat dokumentaci a zajistit její soulad s vyhláškou 410/2025 Sb. Prvním krokem je registrace u NÚKIBu a včasné zahájení příprav. S přípravou dokumentace vám pomůže Compligen, který celý proces zpřehlední a zrychlí.
Přečtěte si také
- Základní prvky kybernetické bezpečnosti, které musíte mít zvládnutéZjistěte, které základní prvky kybernetické bezpečnosti musí mít vaše firma zvládnuté. Od hesel a zálohování po školení a řízení rizik podle NIS2.
- Co je to NIS2?Slýcháte zkratku NIS2 stále častěji? Přečtěte si, co NIS2 je, na koho dopadá a co konkrétně musí vaše firma splnit.
- Bezpečnostní role a odpovědnost vedení: kdo ve firmě ručí za kyberbezpečnost?Kdo ve firmě skutečně ručí za kyberbezpečnost? Nový zákon přenáší odpovědnost z IT na vedení. Zjistěte, jaké role musíte nastavit a co vám hrozí při porušení.