compligen

Přihlášení

Zadejte email, pošleme vám ověřovací kód.

Odesláním souhlasíte s Podmínkami užívání a Zásadami ochrany osobních údajů.

Osobní odpovědnost jednatele za NIS2: co říká zákon 264/2025

Lukáš Vencálek·18. března 2026·4 min·Naposledy aktualizováno 18. března 2026

Jednatele a členy představenstva většinou nezajímají detaily firewallu nebo šifrovacích algoritmů. Zajímá je jedna otázka: co se stane, když to nebudeme řešit?

Zákon 264/2025 Sb. na ni odpovídá jasně. A odpověď je přísnější, než na co jsou čeští jednatelé zvyklí.

Co zákon vyžaduje od vedení

Vyhláška 410/2025 Sb. v §4 stanoví povinnosti vedení firmy (statutárního orgánu):

  1. Určit pověřenou osobu. Někdo musí být zodpovědný za kyberbezpečnost. Může to být sám jednatel. Nemusí to být externista.

  2. Absolvovat školení. Vedení musí rozumět základům kyberbezpečnosti. Ne na úrovni technika – na úrovni rozhodování.

  3. Zajistit zdroje. Čas, peníze, lidé. Kyberbezpečnost nelze řešit s nulovým rozpočtem.

  4. Mít přehled. Pravidelně se seznamovat se stavem bezpečnosti. Vědět kde firma stojí.

  5. Zlepšovat. Prosazovat neustálé zlepšování bezpečnostních opatření.

  6. Stanovit priority obnovy. Které systémy obnovit první, když něco spadne.

Žádný z těchto bodů nevyžaduje technickou expertízu. Vyžadují manažerskou zodpovědnost – to samé, co jednatel dělá v každé jiné oblasti podnikání.

Zákaz výkonu funkce

Tohle je nové. GDPR nic takového nemá.

Zákon umožňuje NÚKIBu zakázat konkrétní fyzické osobě výkon funkce ve vedení firmy. Podmínky:

  • Opakované nebo závažné porušení povinností
  • Musí jít o osobu, která porušení způsobila nebo k němu přispěla
  • Maximální doba: 6 měsíců

Nejde o automatický trest. Jde o krajní opatření. Ale samotná existence této možnosti mění dynamiku – kyberbezpečnost přestává být „problém IT oddělení" a stává se tématem pro boardroom.

Kdy reálně hrozí problém

Představte si dva jednatele.

Jednatel A:

  • Nevěděl o zákonu
  • Firma se nezaregistrovala
  • NÚKIB ho oslovil, nereagoval
  • Žádná dokumentace, žádná opatření
  • Po roce stále nic

Jednatel B:

  • Určil pověřenou osobu (sebe)
  • Absolvoval online školení
  • Připravil dokumentaci
  • Implementační plán ukazuje, že 8 z 12 opatření splňuje
  • Na zbylé 4 pracuje, má termíny

Zákon dává NÚKIBu prostor pro individuální posouzení. Jednatel B je v zásadně jiné pozici. Ne proto, že je perfektní – proto, že prokazatelně řeší.

Co udělat jako jednatel

Nemusíte rozumět technice. Musíte udělat čtyři manažerská rozhodnutí:

1. Určete pověřenou osobu

Kdo za kyberbezpečnost zodpovídá? Může to být:

  • Vy sami (u menších firem běžné)
  • IT manažer
  • Provozní ředitel

Ta osoba musí mít reálné pravomoci – řídit opatření, kontrolovat stav, informovat vedení, koordinovat incidenty.

2. Absolvujte školení

Nemusí to být certifikační kurz. Stačí porozumět:

  • Co zákon vyžaduje (tento článek je dobrý začátek)
  • Jaká rizika vaše firma má
  • Jak fungují základní bezpečnostní opatření

Vyhláška v §4 písm. b) vyžaduje, aby vedení absolvovalo školení dle §5 odst. 2 písm. a).

3. Zajistěte dokumentaci

12 dokumentů. Nemusíte je psát sami – ale musíte vědět, že existují, a schválit je. Kompletní přehled dokumentů v samostatném článku.

4. Sledujte plnění

Čtvrtletně si nechte předložit stav implementačního plánu. Ptejte se: co jsme splnili, co ne, proč ne, co potřebujeme. Tím plníte §4 písm. d) vyhlášky – seznamování se stavem.

Delegování ≠ zbavení odpovědnosti

Můžete delegovat operativu na IT manažera, pověřenou osobu, konzultanta nebo software. Nemůžete delegovat zodpovědnost vedení.

Zákon explicitně říká, že statutární orgán musí:

  • Zajistit zdroje
  • Seznamovat se se stavem
  • Prosazovat zlepšování

To nejsou delegovatelné aktivity. Jsou to manažerské povinnosti jednatele.

GDPR vs NIS2: posun v odpovědnosti

GDPRNIS2
Odpovědná entitaFirma (správce/zpracovatel)Firma + vedení osobně
Osobní sankceNepřímé (obecná odpovědnost orgánu)Přímé – zákaz výkonu funkce
Školení vedeníDoporučenéPovinné (§4 vyhlášky)
Pravidelné reportyNeuloženoUloženo (§4 písm. d)

NIS2 je první česká regulace, která tak explicitně spojuje kyberbezpečnost s osobní odpovědností vedení.

Často kladené otázky

Může mi NÚKIB zakázat funkci, pokud mám dokumentaci?

Zákaz výkonu funkce je krajní opatření pro opakované nebo závažné porušení. Firma s dokumentací a implementačním plánem se k tomuto scénáři pravděpodobně nedostane.

Musím školení absolvovat osobně?

Ano. Nelze delegovat na asistentku. §4 vyhlášky ukládá povinnost přímo statutárnímu orgánu.

Stačí online školení?

Vyhláška nespecifikuje formu. Online školení, prezenční kurz, self-study s testem – záleží na výsledku, ne na formě. Důležité je prokázat, že školení proběhlo.

Co když mám víc jednatelů?

Povinnosti §4 se vztahují na celý statutární orgán. V praxi stačí, aby jeden jednatel řešil kyberbezpečnost operativně, ale všichni musí absolvovat školení a všichni nesou odpovědnost.

Jsem jednatel a zároveň pověřená osoba. Je to problém?

Ne. U firem s 50–100 zaměstnanci je to běžné. Zákon to nezakazuje. Důležité je, aby pověřená osoba měla reálné pravomoci a čas se bezpečnosti věnovat.

Shrnutí pro jednatele

Zákon po vás nechce, abyste se stali IT expertem. Chce čtyři věci:

  1. Určete kdo za bezpečnost zodpovídá
  2. Naučte se základy (tenhle blog je dobrý start)
  3. Zajistěte dokumentaci a zdroje
  4. Sledujte jak implementace pokračuje

To je manažerská práce. Stejná, jakou děláte v každé jiné regulované oblasti.

Připravte dokumentaci za odpoledne →

Informace v článku vycházejí ze zákona č. 264/2025 Sb. a vyhlášky č. 410/2025 Sb. ve znění účinném k březnu 2026. Nenahrazují právní poradenství.

Vyzkoušejte Compligen zdarma

Online průvodce vám vytvoří NIS2 dokumentaci na míru.

Začít vyplňovat
Informace v článku vycházejí ze zákona č. 264/2025 Sb. a vyhlášky 410/2025 Sb. Mají informační charakter a nenahrazují odborné právní poradenství.
← Zpět na blog