Kybernetická bezpečnost už dávno není jen IT téma. Nový zákon o kybernetické bezpečnosti klade odpovědnost přímo na vedení firem. Pokud jste tedy dosud počítali s tím, že nové povinnosti vyřeší IT oddělení, jste na omylu. Nově tento přístup již nebude stačit.

Odpovědnost je na vedení

Zákon o kybernetické bezpečnosti (ZoKB) stanovuje konkrétní povinnosti pro firmy poskytují tzv. regulovanou službu. Co je však klíčové pro vedení firem je to, že odpovědnost nevztahuje pouze na konkrétní technická opatření. Od společnosti je vyžadován komplexní přístup ke změnám procesů v rámci celého podniku. A právě za to odpovídá statutární orgán společnosti.

Tato odpovědnost má i trestněprávní rovinu. Podle § 8 odst. 1 zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob, může být společnost stíhána, pokud vedení neprovede dostatečné kroky k naplnění zákonných povinností.

Navíc novela trestního zákoníku (zákon č. 270/2025 Sb.) umožní postihnout členy vedení osobně, pokud nedbalostí nebo nečinností umožní, že firma poruší předpisy, které mají chránit informační nebo provozní bezpečnost.

Ignorovat novou legislativu nebo ji považovat za starost IT oddělení a nikoliv jako organizace, jako celku, tedy může být pro vedení i právním rizikem.

Co všechno má vedení firmy zařídit?

Z právního pohledu je statutární orgán firmy povinen zajistit:

• zavedení bezpečnostních opatření, která odpovídají rozsahu činností a míře rizik,

• dohled nad efektivitou těchto opatření (plánování, realizace, kontrola, náprava),

• určení odpovědných osob, např. manažera kybernetické bezpečnosti (CISO),

• zajištění zdrojů, ať už finančních, lidských nebo technických.

Jak to ale konkrétně uchopit v praxi?

Možnosti zajištění změn a nových bezpečnostních opatření se liší na základě velikosti a struktury podniku. Většinou půjde o kombinaci některých z následujících čtyř cest.

1. Zaměstnat specialistu na kybernetickou bezpečnost

Větší podniky obvykle volí cestu interního manažera kybernetické bezpečnosti (Chief Information Security Officer). Ten má přehled o infrastruktuře, nastavuje procesy, odpovídá za implementaci bezpečnostních opatření a komunikaci s NÚKIBem.

Výhodou je přímá kontrola a kontinuální přehled, nevýhodou jsou vysoké náklady a nedostatek kvalifikovaných lidí – podle odborníků dnes chybí v Česku stovky bezpečnostních odborníků.

2. Zaškolit stávajících zaměstnance

Menší firmy často využívají stávající zaměstnance, kteří rozumí provozu i interním procesům. Role manažera bezpečnosti tak může dočasně připadnout například IT manažerovi, compliance officerovi nebo vedoucímu provozu. Klíčové ale je, aby tito lidé získali potřebné vzdělání a metodickou podporu.

Whirr Crew nabízí školení vedení a odpovědných osob, která vysvětlují povinnosti podle ZoKB, principy řízení rizik i způsob, jak správně připravit dokumentaci.

V případě stanovení odpovědností na stávající zaměstnance pečlivě zvažte kapacitní možnosti, aby se kybernetická bezpečnost neřešila na úkor činností spojených přímo s vaším podnikáním.

3. Využít outsourcingu

Externí manažer kybernetické bezpečnosti je ideálním řešením pro organizace, které nemají vlastního manažera. Typicky se jedná o dlouhodobou spolupráci nebo několikaměsíční spolupráci za účelem stanovení nových procesů, kontrolních mechanismů, reportingu a případně i školení nového interního týmu, který bude bezpečnost následně spravovat samostatně.

4. Spolupráce s velkými konzultačními společnostmi

U větších firem bývá řešením spolupráce s mezinárodními konzultačními firmami pokrývajícími i právní, procesní a auditní část.

Výhodou je komplexní přístup, nevýhodou však bývá vysoká cena a pomalejší implementace. Tyto projekty se obvykle vyplatí organizacím s více pobočkami nebo složitou infrastrukturou.

NIS2 není jen o technologiích

I když požadavky NIS2 vypadají technicky, jejich implementace je hlavně o organizaci a řízení. Management musí zajistit, aby kybernetická bezpečnost měla své místo v dlouhodobé firemní strategii – stejně jako finance nebo compliance.

Jestliže Vám při implementaci změn chybí řád a chcete vyzkoušet efektivní řízení kybernetické bezpečnosti, vyzkoušejte chytrý nástroj AuditMaster.ai. Zkušební verze je zdarma.

Shrnutí

Vedení společnosti nese konečnou odpovědnost za to, že firma dodržuje zákonné povinnosti v oblasti kybernetické bezpečnosti. Zanedbání těchto kroků může mít právní i finanční následky, včetně osobní odpovědnosti členů managementu.