NIS2 a osobní odpovědnost jednatelů: kyberbezpečnost jako péče řádného hospodáře
Nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) přenáší odpovědnost za kybernetickou bezpečnost přímo na statutární orgány – členové vedení se už neschovají za IT oddělení. Regulace dopadá na více než 6000 firem v 18 odvětvích, nově i na e-commerce, odpady a část výroby. Přechodná lhůta běží a končí v polovině roku 2026 – kdo ji zmešká, riskuje pokuty v řádu desítek milionů a osobní odpovědnost jednatelů podle zákona o obchodních korporacích.
Proč to řešit teď: hrozba, kterou většina firem podceňuje
Transpozice evropské směrnice NIS2 do českého práva prostřednictvím zákona č. 264/2025 Sb. o kybernetické bezpečnosti není „další IT norma pro techniky". Je to zásadní posun v tom, kdo za bezpečnost odpovídá – a odpověď zní: statutární orgán. Kyberbezpečnost přestává být delegovatelnou technickou agendou a stává se součástí strategického řízení firmy, za které ručí jednatel či člen představenstva.
Pro majitele a vedení firem to znamená konkrétní finanční a osobní riziko. Regulace nově dopadá na více než 6000 subjektů v 18 odvětvích, přičemž vedle tradiční kritické infrastruktury (energetika, zdravotnictví, doprava) zasahuje i e-commerce, nakládání s odpady a významnou část výrobního sektoru. Mnoho firem přitom vůbec netuší, že do působnosti spadá. A přechodná lhůta – ta pověstná „doba na přípravu" – utíká: praktický čas na zavedení opatření a registraci u regulátora vyprší v polovině roku 2026.
Jak zjistit, zda vaše firma pod regulaci spadá
Zákon rozlišuje dva režimy povinností: režim vyšších povinností a režim nižších povinností. Zjednodušené vodítko, které byste měli aplikovat, stojí na kombinaci tří kritérií:
- Odvětví – patří vaše hlavní činnost do některého z regulovaných 18 sektorů (příloha zákona a prováděcí vyhlášky)?
- Velikost podniku – zpravidla se povinnosti aktivují u středních a velkých podniků, tedy zhruba od 50 zaměstnanců nebo obratu/bilanční sumy nad 10 mil. EUR (tzv. pravidlo velikosti „size-cap").
- Kritický charakter služby – některé subjekty jsou regulovány bez ohledu na velikost (např. poskytovatelé určitých síťových a komunikačních služeb).
Praktický postup pro jednatele:
- Zmapujte, do jakého odvětví spadá vaše hlavní i vedlejší podnikatelská činnost.
- Ověřte velikostní kritéria za celou skupinu, nikoli jen za jednu společnost.
- Posuďte, zda poskytujete službu, která je pro chod ekonomiky či státu kritická.
- Výsledek zaznamenejte písemně – i samotné rozhodnutí „nespadáme pod regulaci" musí být doložitelné a odůvodněné.
Právě bod 4 je klíčový z pohledu odpovědnosti: nedoložené tvrzení „mysleli jsme, že se nás to netýká" před soudem ani regulátorem neobstojí.
Kybernetická bezpečnost jako součást péče řádného hospodáře
Zde je jádro celé změny. Zákon o obchodních korporacích ukládá členům statutárních orgánů povinnost jednat s péčí řádného hospodáře – tedy s nezbytnou loajalitou, znalostmi a pečlivostí. Nový zákon o kybernetické bezpečnosti tento standard fakticky rozšiřuje o dimenzi kybernetické odolnosti. Jinými slovy: pokud statutár nezajistí přiměřená bezpečnostní opatření a firmu zasáhne incident, může jít o porušení péče řádného hospodáře se všemi důsledky.
Tyto důsledky nejsou teoretické. Při porušení péče řádného hospodáře:
- člen orgánu odpovídá za škodu způsobenou společnosti,
- musí případně vydat prospěch získaný v souvislosti s porušením,
- v krajních případech (typicky při úpadku) může ručit celým svým osobním majetkem.
Zásadní je, že zákon o kybernetické bezpečnosti ukládá povinnosti spojené se schvalováním a dohledem nad bezpečnostními opatřeními přímo vedení, nikoli IT oddělení. Statutár se tedy nemůže exkulpovat pouhým odkazem „to má na starost náš správce sítě". Delegace výkonu je možná a žádoucí, ale odpovědnost za dohled a schválení strategie zůstává nahoře. To je právě onen posun, kvůli kterému se „vedení už neschová za IT specialisty".
Co konkrétně musí firma zavést
Rozsah povinností se liší podle režimu, jádro je však společné. Firma musí zejména:
- provést analýzu rizik a přijmout odpovídající technická a organizační opatření (řízení přístupů, šifrování, zálohování, segmentace sítě);
- zavést řízení dodavatelského řetězce – tedy prověřovat kybernetickou bezpečnost svých dodavatelů (mimořádně podceňovaná oblast);
- nastavit procesy detekce a hlášení incidentů regulátorovi ve stanovených lhůtách;
- zajistit kontinuitu podnikání (business continuity a disaster recovery);
- provést registraci u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) ve stanovené lhůtě;
- zajistit proškolení vedení – schvalování opatření předpokládá, že jim vedení rozumí.
Nedodržení může vést k pokutám v řádu procent z celosvětového obratu (u nejzávažnějších pochybení až do desítek milionů korun a výše), a to jak pro firmu, tak potenciálně s dopadem do osobní roviny odpovědnosti vedení.
Pohled řízení rizik: proč přechodná lhůta není „čas volna"
Z metodiky řízení rizik QUADMOND™ (kvadrant Q1 – rizika s vysokou pravděpodobností a vysokým dopadem) plyne jasné doporučení: NIS2 patří mezi priority nejvyššího řádu. Kombinuje totiž tři nepříjemné vlastnosti rizika:
- Vysoká pravděpodobnost dopadu – regulace je účinná, lhůta pevná, sankce reálné.
- Vysoký finanční i reputační dopad – pokuty, přerušení provozu, ztráta zakázek.
- Osobní přesah – riziko se z firmy přelévá na majetek konkrétních lidí ve vedení.
Přechodné lhůty přitom firmy tradičně podceňují – ostatně nejde o nový jev. Připomeňme, jak zákon o obchodních korporacích v přechodných ustanoveních dával firmám 6 měsíců na přizpůsobení zakladatelských dokumentů (§ 777§ 777 § 777(1) Ujednání společenských smluv, která jsou v rozporu s donucujícími ustanoveními tohoto zákona, se zrušují dnem nabytí účinnosti tohoto zákona. (2) Obchodní korporace přizpůsobí do 6 měsíců ode dne nabytí účinnosti tohoto zákona listiny podle odstavce 1 úpravě tohoto zákona a doručí je do sbírky listin. Neučiní-li ta…Oficiální znění ↗ odst. 2) a 2 roky na dobrovolné podřízení se zákonu jako celku (§ 777§ 777 § 777(1) Ujednání společenských smluv, která jsou v rozporu s donucujícími ustanoveními tohoto zákona, se zrušují dnem nabytí účinnosti tohoto zákona. (2) Obchodní korporace přizpůsobí do 6 měsíců ode dne nabytí účinnosti tohoto zákona listiny podle odstavce 1 úpravě tohoto zákona a doručí je do sbírky listin. Neučiní-li ta…Oficiální znění ↗ odst. 5). Kdo tehdy otálel, řešil vše na poslední chvíli a draho. NIS2 má stejnou logiku: lhůta neslouží k odkládání, ale k realizaci – a zavedení systému řízení bezpečnosti reálně trvá mnoho měsíců.
Připomeňme také, že zákon o obchodních korporacích je normou transponující evropské předpisy (§ 774§ 774 USTANOVENÍ ZÁVĚREČNÁ A PŘECHODNÁTento zákon zapracovává příslušné předpisy Evropské unie1).Oficiální znění ↗) – stejně jako zákon o kybernetické bezpečnosti transponuje směrnici NIS2. Evropský původ znamená, že prostor pro „český výklad zdola" a benevolenci dozoru je omezený.
Kritické zhodnocení: kde firmy nejčastěji chybují
Z praxe vyplývají čtyři typické chyby:
- Chybné vyhodnocení působnosti. Firmy testují jen mateřskou společnost, opomíjejí skupinu, vedlejší činnosti nebo přesah do regulovaného odvětví přes dceřiné subjekty.
- Delegace bez dohledu. Vedení podepíše smlouvu s IT dodavatelem a považuje věc za vyřešenou – přitom povinnost dohledu a schválení strategie je nepřenosná.
- Ignorování dodavatelského řetězce. Nejčastější reálná cesta útoku vede přes slabšího dodavatele; regulace to reflektuje, firmy zpravidla ne.
- Absence dokumentace rozhodnutí. Bez písemných záznamů o analýze rizik a přijatých opatřeních je pro statutára velmi obtížné prokázat, že jednal s péčí řádného hospodáře.
Doporučený harmonogram do konce přechodné lhůty: Q1 2026 – dokončit posouzení působnosti a gap analýzu; Q2 2026 – dokončit registraci u NÚKIB a mít zavedena klíčová opatření i dokumentaci. Kdo začne až v pololetí 2026, nestihne to kvalitně.
Jak vám pomůžeme / Další krok
Kybernetická bezpečnost dnes není otázkou pouze IT – je to otázka osobní odpovědnosti vedení a strategického řízení rizik. Advokátní kancelář Legal Partners posoudí v systému QUADMOND™, zda vaše firma spadá pod zákon č. 264/2025 Sb., v jakém režimu, a připraví vám realistický plán souladu i právní ochranu statutárů před osobní odpovědností.
Domluvte si nezávaznou konzultaci zdarma s advokátem Legal Partners. Projdeme s vámi test působnosti, upozorníme na největší rizika a řekneme přesně, co je třeba stihnout do konce přechodné lhůty – dokud je čas jednat s předstihem, ne v panice.
Časté dotazy
Vztahuje se NIS2 i na e-shopy a menší výrobní firmy?
Ano, nově regulace zasahuje i e-commerce, nakládání s odpady a významnou část výroby. Rozhodující je kombinace odvětví, velikosti podniku (zpravidla od střední velikosti) a kritického charakteru služby. I když si myslíte, že do působnosti nespadáte, doporučujeme provést a písemně doložit test působnosti – nedoložené rozhodnutí je pro statutára rizikové.
Může jednatel ručit osobním majetkem za kybernetický incident?
Ano, v krajních případech. Kybernetická bezpečnost je nově součástí péče řádného hospodáře podle zákona o obchodních korporacích. Pokud statutár nezajistí přiměřená opatření a firmě vznikne škoda, odpovídá za ni; při úpadku spojeném s porušením povinností může ručit i celým svým majetkem.
Dokdy musí firma splnit povinnosti podle nového zákona?
Zákon č. 264/2025 Sb. je účinný od listopadu 2025 a přechodná lhůta pro zavedení opatření a registraci u NÚKIB běží do poloviny roku 2026. Vzhledem k tomu, že zavedení systému řízení bezpečnosti trvá měsíce, je nutné začít neprodleně, nikoli až na konci lhůty.
Stačí odpovědnost za kyberbezpečnost přenést na IT oddělení nebo dodavatele?
Ne. Výkon opatření lze delegovat, ale povinnost schválit bezpečnostní strategii a dohlížet na ni zůstává na statutárním orgánu. Vedení se odpovědnosti nezbaví pouhým odkazem na IT specialistu – právě to je jádrem změny, kterou NIS2 přináší.