Jaké pokuty ohledně kyberbezpečnosti hrozí nově vedení firem?
Od listopadu roku 2025 vstupuje v České republice v platnost zcela nový právní rámec týkající se kyberbezpečnosti, který představuje jednu z nejzásadnějších změn v oblasti digitální bezpečnosti za posledních několik let. Tento nový zákon o kybernetické bezpečnosti vznikl jako přímá implementace evropské směrnice NIS2 (Network and Information Security Directive 2), která stanovuje harmonizované standardy kybernetické bezpečnosti napříč celou Evropskou unií. Nová legislativa přináší dramatické zpřísnění pravidel a požadavků na kyberbezpečnost firem, zejména pak těch, které provozují kritickou infrastrukturu nebo poskytují klíčové služby pro fungování společnosti a ekonomiky.
Rozšíření odpovědnosti vedení firem
Jedním z nejvýznamnějších aspektů nové legislativy je fundamentální změna v přístupu k odpovědnosti za kyberbezpečnost na úrovni vedení společností. Zatímco dříve byla odpovědnost za kybernetickou bezpečnost často delegována na technické týmy nebo externí dodavatele, nová právní úprava jasně stanovuje, že vrcholný management společností nese přímou a osobní odpovědnost za implementaci a udržování adekvátních bezpečnostních opatření. Tato změna znamená, že jednatelé, ředitelé a členové představenstev již nemohou považovat kyberbezpečnost za čistě technickou záležitost, ale musí ji chápat jako strategickou prioritu, která vyžaduje jejich aktivní zapojení, pravidelné vzdělávání a systematické řízení.
Sankční režim pro společnosti vyššího bezpečnostního stupně
Společnosti, které budou podle nové legislativy zařazeny do kategorie s vyšší úrovní bezpečnostního režimu, čelí mimořádně přísným finančním sankcím v případě nedodržení stanovených povinností. Pokuta může dosáhnout až 2 procent z celkového ročního obratu společnosti, což představuje skutečně devastující finanční dopad, který může ohrozit samotnou existenci firmy. Tato výše pokuty není stanovena náhodně - odráží závažnost potenciálních důsledků kybernetických incidentů u společností, které spravují kritickou infrastrukturu nebo poskytují služby nezbytné pro fungování klíčových sektorů ekonomiky, jako jsou energetika, telekomunikace, bankovnictví, zdravotnictví nebo doprava. Regulátor tak jasně signalizuje, že u těchto subjektů nebude tolerovat žádné pochybení v oblasti kyberbezpečnosti.
Sankce pro společnosti s nižšími bezpečnostními požadavky
I společnosti spadající do kategorie s nižšími bezpečnostními povinnostmi se nemohou cítit v bezpečí před finančními sankcemi. Ačkoli je sazba pokuty pro tyto subjekty stanovena na "pouhých" 1,4 procenta ročního obratu, stále se jedná o částku, která může mít pro mnohé firmy katastrofální dopady. Tato diferenciace výše pokut odráží skutečnost, že i menší společnosti nebo ty s omezenějším dosahem svých služeb mohou způsobit značné škody v případě kybernetického incidentu, avšak jejich systémová důležitost je hodnocena jako nižší než u kritických subjektů. Přesto však zákonodárce jasně deklaruje, že ani tyto společnosti nebudou moci ignorovat své povinnosti v oblasti kyberbezpečnosti bez rizika významných finančních následků.
Přímá osobní odpovědnost manažerů za způsobené škody
Možná nejzásadnější a nejkontroverznější změnou, kterou nová legislativa přináší, je ustanovení přímé osobní odpovědnosti členů vedení společností za škody způsobené nedostatečnou kyberbezpečností. Toto ustanovení znamená průlom v tradičním chápání korporátní odpovědnosti a přenáší část rizika z úrovne společnosti přímo na fyzické osoby zastávající nejvyšší manažerské pozice. Jednatelé společností s ručením omezeným, členové představenstev akciových společností, výkonní ředitelé a další vrcholoví manažeři se tak mohou ocitnout v situaci, kdy za škody způsobené kybernetickými incidenty budou odpovídat i svým osobním majetkem, pokud prokáží, že nedostatečně plnili své povinnosti v oblasti řízení kybernetické bezpečnosti.
Konkrétní příklady odpovědnosti za úniky dat
Pro ilustraci závažnosti nových pravidel lze uvést konkrétní scénář, kdy společnost nedostatečně zabezpečí svá IT systémy a dojde k úniku citlivých osobních údajů nebo obchodních informací jejích klientů, obchodních partnerů či dodavatelů. V takové situaci mohou poškozené strany požadovat náhradu nejen po společnosti samotné, ale také přímo po jejích vedoucích pracovnících. Tato náhrada může zahrnovat jak materiální škody (například náklady na obnovu dat, ztráty z přerušení obchodní činnosti, náklady na právní služby), tak i nemajetkovou újmu (například poškození dobrého jména, duševní útrapy v případě fyzických osob). Osobní odpovědnost manažerů tak může v extrémních případech vést až k osobnímu bankrotu vedoucích pracovníků, pokud výše způsobené škody převýší jejich finanční možnosti.
Důsledky pro vedení a řízení rizik
Implementace těchto nových pravidel bude mít zásadní dopad na způsob, jakým jsou společnosti řízeny a jak přistupují k managementu rizik. Vedení firem bude muset zásadně přehodnotit své priority a alokaci zdrojů, přičemž kyberbezpečnost se stane jednou z klíčových oblastí strategického řízení. Společnosti budou muset investovat nejen do technologických řešení, ale také do vzdělávání svých zaměstnanců, vytváření a testování krizových plánů, pravidelných auditů bezpečnostních opatření a etablování robustních postupů pro hlášení a řešení kybernetických incidentů. Manažeři budou muset prokázat, že věnovali dostatečnou pozornost kyberbezpečnosti, což bude vyžadovat dokumentování jejich rozhodnutí, účasti na školeních a aktivního zapojení do bezpečnostních procesů společnosti.
