Nový zákon o kybernetické bezpečnosti: kdy hrozí jednateli pozastavení funkce
Nový zákon o kybernetické bezpečnosti (264/2025 Sb., transpozice NIS2) přesouvá odpovědnost za kyberbezpečnost přímo na statutární orgán. K únoru 2026 se u NÚKIB ohlásilo přes 4 800 povinných subjektů a NÚKIB nově může navrhnout soudu pozastavení výkonu řídící funkce statutára. Pro majitele firem to není IT téma — je to riziko osobní odpovědnosti jednatele a ztráty kontroly nad firmou.
Proč to řešit teď, a ne „až bude čas"
Kyberbezpečnost dlouho patřila do rozpočtu IT oddělení a do agendy, kterou statutární orgán delegoval „dolů". Nový zákon o kybernetické bezpečnosti (264/2025 Sb.), kterým Česká republika transponuje evropskou směrnici NIS2, tuto logiku obrací. Odpovědnost za řízení kybernetických rizik nově leží na statutárním orgánu — tedy na jednateli s.r.o. nebo na představenstvu a.s. — a nelze ji jednoduše „odeslat" do IT.
Čísla z praxe to potvrzují: k únoru 2026 se u NÚKIB ohlásilo přes 4 800 povinných subjektů. Mnohé firmy přitom dosud netuší, že do regulace spadají. A nejcitlivější novinka? NÚKIB může nově navrhnout soudu pozastavení výkonu řídící funkce statutára. Pro majitele to znamená scénář, který dosud znali jen z insolvenčního práva: že o tom, kdo smí firmu řídit, může rozhodnout někdo zvenčí.
Koho se regulace týká — a proč jste možná „povinný subjekt", aniž to víte
NIS2 dramaticky rozšiřuje okruh dotčených subjektů. Zatímco původní úprava cílila na úzký okruh provozovatelů kritické infrastruktury, nový režim dělí povinné subjekty na subjekty vyšší a nižší důležitosti a pokrývá desítky odvětví: energetiku, dopravu, zdravotnictví, výrobu, potravinářství, odpadové hospodářství, digitální služby, poštovní a kurýrní služby a další.
Klíčová je velikostní prahová hodnota: regulace typicky dopadá na střední a velké podniky (zjednodušeně od 50 zaměstnanců nebo od 10 mil. EUR obratu) působící v dotčených odvětvích. To do hry vtahuje řadu firem, které se dosud za „kritickou infrastrukturu" nepovažovaly — běžné výrobní, logistické či distribuční společnosti.
První povinností je přitom samoidentifikace a registrace u NÚKIB. Není to akt, na který firma čeká, až ji někdo „vyzve". Je to aktivní povinnost statutára posoudit, zda firma do regimu spadá, a včas se přihlásit. Opomenutí samo o sobě zakládá riziko sankce — a hlavně signalizuje, že firma nemá řízení rizik pod kontrolou.
Nová pravomoc: pozastavení výkonu funkce statutára
Nejmedializovanějším prvkem je pravomoc NÚKIB navrhnout soudu dočasné pozastavení výkonu řídící funkce osoby ve statutárním orgánu. Jde o nástroj inspirovaný čl. 32 odst. 5 směrnice NIS2, který má fungovat jako krajní, ale reálná páka pro případy závažného a opakovaného selhání.
Z pohledu českého korporátního práva jde o citelný zásah do osobní sféry jednatele. Funkční dopady jsou srovnatelné s tím, co české právo už zná u vyloučení člena statutárního orgánu: jakmile nabude rozhodnutí o vyloučení právní moci, osoba přestává být členem statutárního orgánu ve všech obchodních korporacích (§ 64§ 64 § 64(1) Právní mocí rozhodnutí o vyloučení člena statutárního orgánu přestává být osoba, které se rozhodnutí týká, členem statutárního orgánu ve všech obchodních korporacích; zánik funkce oznámí soud, který o tom rozhodl, bez zbytečného odkladu soudu, který podle jiného právního předpisu vede obchodní rejstřík (dále jen „r…Oficiální znění ↗ odst. 1), což oznámí soud rejstříkovému soudu. Zákon o obchodních korporacích sice dává soudu možnost rozhodnout, že dotčená osoba může zůstat členem statutárního orgánu jiné korporace, pokud by vyloučení poškodilo její oprávněné zájmy nebo zájmy věřitelů (§ 64§ 64 § 64(1) Právní mocí rozhodnutí o vyloučení člena statutárního orgánu přestává být osoba, které se rozhodnutí týká, členem statutárního orgánu ve všech obchodních korporacích; zánik funkce oznámí soud, který o tom rozhodl, bez zbytečného odkladu soudu, který podle jiného právního předpisu vede obchodní rejstřík (dále jen „r…Oficiální znění ↗ odst. 2) — ale to je výjimka, nikoli pravidlo, a vyžaduje aktivní návrh.
Důsledek pro majitele firmy je zásadní: kyberbezpečnostní pochybení už není jen otázkou pokuty pro společnost. Může vést ke ztrátě osoby v čele firmy a k narušení kontinuity řízení. U rodinných firem, kde je majitel současně jednatelem, jde de facto o riziko ztráty kontroly nad vlastní společností.
Provázanost s odpovědností statutára podle ZOK
Nová kyberpovinnost se nepřidává do vzduchoprázdna — zapadá do existujícího rámce péče řádného hospodáře. Pokud statutár zanedbá řízení kybernetických rizik a firmě tím vznikne škoda (například po ransomwarovém útoku, odstávce výroby nebo úniku dat), otevírá se otázka jeho osobní odpovědnosti za škodu.
Zvlášť citlivá je vazba na úpadkové scénáře. Zákon o obchodních korporacích upravuje zvláštní povinnosti při úpadku (§ 69§ 69 Zvláštní povinnosti při úpadku obchodní korporace(1) Je-li členem statutárního orgánu obchodní korporace právnická osoba, použijí se ustanovení § 63 až 66 i na fyzickou osobu, která tuto právnickou osobu při výkonu funkce zastupuje. (2) Ustanovení § 63 až 66 se použijí obdobně na bývalého člena statutárního orgánu, na osobu v obdobném postavení člena statutárního org…Oficiální znění ↗) a tato pravidla se použijí nejen na člena statutárního orgánu, ale i na bývalého člena, na osobu v obdobném postavení a na každou další osobu, která se fakticky v takovém postavení nachází, byť není formálně členem orgánu (§ 69§ 69 Zvláštní povinnosti při úpadku obchodní korporace(1) Je-li členem statutárního orgánu obchodní korporace právnická osoba, použijí se ustanovení § 63 až 66 i na fyzickou osobu, která tuto právnickou osobu při výkonu funkce zastupuje. (2) Ustanovení § 63 až 66 se použijí obdobně na bývalého člena statutárního orgánu, na osobu v obdobném postavení člena statutárního org…Oficiální znění ↗ odst. 2). To je pro praxi varování: pozastavení funkce nezbavuje odpovědnosti za to, co se dělo „na hodinkách" statutára — a faktické řízení firmy „z pozadí" odpovědnost naopak zakládá.
Jinými slovy: jednatel, který kyberbezpečnost ignoroval, se nezprostí odpovědnosti tím, že po útoku odstoupí. A pokud firmu fakticky řídí majitel bez formální funkce, dopadnou některé povinnosti i na něj.
Co konkrétně firma riskuje — řízení rizik pohledem QUADMOND™
V metodice řízení rizik QUADMOND™ patří kyberbezpečnostní compliance po nástupu nového ZoKB do kvadrantu Q1 — vysoká pravděpodobnost dopadu, vysoká závažnost, krátký časový horizont. Důvody:
- Vysoká pravděpodobnost kontroly i incidentu. Přes 4 800 registrovaných subjektů znamená, že NÚKIB má reálné penzum dohledové činnosti. Současně roste počet kybernetických útoků na české firmy.
- Závažnost sankcí. NIS2 zavádí pokuty v řádech procent celosvětového obratu — jde o čísla srovnatelná s GDPR, tedy o existenční riziko, nikoli o „provozní náklad".
- Osobní dopad na statutára. Riziko pozastavení funkce a navazující odpovědnosti za škodu podle režimu péče řádného hospodáře.
- Krátký horizont. Povinnosti běží — registrace, zavedení bezpečnostních opatření, hlášení incidentů. Odklad je sám o sobě porušením.
Konkrétní dopady pro majitele firem lze shrnout do tří rovin:
| Rovina | Co hrozí | Kdo nese dopad |
|---|---|---|
| Korporátní | Pokuta až v procentech obratu, nápravná opatření, audit NÚKIB | Společnost |
| Osobní | Pozastavení výkonu funkce, odpovědnost za škodu, ručení v úpadku (§ 69§ 69 Zvláštní povinnosti při úpadku obchodní korporace(1) Je-li členem statutárního orgánu obchodní korporace právnická osoba, použijí se ustanovení § 63 až 66 i na fyzickou osobu, která tuto právnickou osobu při výkonu funkce zastupuje. (2) Ustanovení § 63 až 66 se použijí obdobně na bývalého člena statutárního orgánu, na osobu v obdobném postavení člena statutárního org…Oficiální znění ↗) | Statutár / faktický vedoucí |
| Provozní | Odstávka, ztráta zakázek, vyřazení z dodavatelských řetězců | Celá firma a vlastníci |
Dopad na dodavatelské řetězce — i pro firmy „mimo" regulaci
I když vaše firma do působnosti ZoKB nespadá přímo, NIS2 vyžaduje po povinných subjektech řízení bezpečnosti dodavatelského řetězce. Velcí odběratelé proto začnou smluvně přenášet kyberbezpečnostní požadavky na své dodavatele — formou auditních doložek, bezpečnostních příloh ke smlouvám a sankčních mechanismů. Kdo neprokáže odpovídající úroveň, riskuje vyřazení z tendrů a ztrátu klíčových zakázek. Regulace se tak fakticky šíří i mimo formálně povinný okruh.
Co s tím — praktické kroky pro statutáry
- Posuďte působnost. Spadáte do okruhu povinných subjektů? Rozhodují odvětví a velikost. Toto posouzení patří k péči řádného hospodáře.
- Zaregistrujte se včas u NÚKIB, pokud jste povinným subjektem — registrace je první formální milník.
- Zaveďte bezpečnostní opatření odpovídající úrovni důležitosti subjektu (řízení rizik, řízení přístupů, zálohování, plány kontinuity, řízení incidentů).
- Nastavte hlášení incidentů — lhůty pro hlášení jsou krátké a jejich nedodržení je samostatným porušením.
- Aktualizujte smlouvy o výkonu funkce a vnitřní governance. Stejně jako ZOK vyžaduje sladění smluv o výkonu funkce (§ 777§ 777 § 777(1) Ujednání společenských smluv, která jsou v rozporu s donucujícími ustanoveními tohoto zákona, se zrušují dnem nabytí účinnosti tohoto zákona. (2) Obchodní korporace přizpůsobí do 6 měsíců ode dne nabytí účinnosti tohoto zákona listiny podle odstavce 1 úpravě tohoto zákona a doručí je do sbírky listin. Neučiní-li ta…Oficiální znění ↗ odst. 3), je vhodné výslovně upravit kyberbezpečnostní odpovědnosti a delegace.
- Doložte odpovědnost a delegaci. Klíčem k obraně statutára je prokazatelné, že rozhodoval informovaně a s péčí řádného hospodáře — interní směrnice, zápisy, školení, audit.
Pozn.: Přechodná ustanovení ZOK obecně dávají korporacím lhůty k přizpůsobení listin a smluv (např. § 777§ 777 § 777(1) Ujednání společenských smluv, která jsou v rozporu s donucujícími ustanoveními tohoto zákona, se zrušují dnem nabytí účinnosti tohoto zákona. (2) Obchodní korporace přizpůsobí do 6 měsíců ode dne nabytí účinnosti tohoto zákona listiny podle odstavce 1 úpravě tohoto zákona a doručí je do sbírky listin. Neučiní-li ta…Oficiální znění ↗, § 780§ 780 § 780(1) Účinnost ovládacích smluv a smluv o převodu zisku uzavřených přede dnem nabytí účinnosti tohoto zákona zaniká posledním dnem účetního období závazného pro řídící osobu, který následuje bezprostředně po uplynutí šesti měsíců ode dne nabytí účinnosti tohoto zákona, pokud účinnost těchto smluv nezanikne dříve jinak. (…Oficiální znění ↗). U nového ZoKB se ale neorientujte podle těchto korporátních lhůt — kyberbezpečnostní povinnosti běží v samostatném režimu nového zákona a jsou aktuální nyní.
Jak vám pomůžeme / Další krok
Kyberbezpečnostní compliance podle nového ZoKB není IT projekt — je to právní a governance téma s přímým dopadem na osobní odpovědnost jednatele a na kontinuitu vlastnictví firmy. Advokáti Legal Partners vám v rámci metodiky QUADMOND™ pomohou posoudit, zda jste povinným subjektem, nastavit governance a delegace tak, aby chránily statutára před osobní odpovědností, ošetřit dodavatelské smlouvy i připravit firmu na případnou kontrolu NÚKIB.
Nabízíme vám nezávaznou konzultaci zdarma. Na úvodním setkání s advokátem získáte jasnou mapu rizik vaší firmy a konkrétní plán dalších kroků. Ozvěte se nám — čím dříve riziko zmapujete, tím menší je jeho cena.