Nový zákon o kybernetické bezpečnosti: NIS2 a odpovědnost statutárů

Co se mění a proč to musíte řešit hned

Evropská směrnice NIS2 dramaticky rozšiřuje okruh firem, na které dopadají povinnosti v oblasti kybernetické bezpečnosti. Česká republika ji transponovala novým zákonem o kybernetické bezpečnosti (publikovaným pod č. 264/2025 Sb.), který nabývá účinnosti v listopadu 2025. Podle dostupných odhadů se počet regulovaných subjektů zvyšuje z původních zhruba 400 na více než 6 000 – a mnoho z nich o tom zatím netuší.

Klíčová zpráva pro vedení firem zní jasně: kyberbezpečnost přestala být technickým detailem v gesci IT a stala se otázkou správného řízení společnosti. Nový zákon zavádí výslovnou odpovědnost vrcholového vedení za schválení a kontrolu zavedení bezpečnostních opatření. To znamená, že jednatel či člen představenstva se nemůže odpovědnosti zbavit pouhým delegováním na interní IT či externího dodavatele.

Po nabytí účinnosti běží firmám lhůty: nejprve povinnost registrace u NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost), zpravidla do několika měsíců od okamžiku, kdy firma zjistí, že spadá do regulace, a následně roční lhůta na zavedení bezpečnostních opatření – orientačně do poloviny roku 2026. Tyto termíny nejsou formalitou: jejich zmeškání může vést k sankcím a u některých kategorií i k osobní odpovědnosti vedení.

Spadáte pod regulaci? První test pro majitele

NIS2 rozlišuje subjekty základní (essential) a subjekty důležité (important). Zjednodušeně se regulace týká středních a velkých podniků (zpravidla od 50 zaměstnanců nebo od 10 mil. EUR obratu) působících ve vyjmenovaných odvětvích. Mezi ně patří:

• energetika, doprava, bankovnictví, zdravotnictví, pitná a odpadní voda;
• digitální infrastruktura, poskytovatelé cloudu, datová centra, správa ICT služeb;
• výroba (zdravotnické prostředky, elektronika, stroje, automotive), potravinářství;
• poštovní a kurýrní služby, odpadové hospodářství, chemie, veřejná správa.

Praktický problém spočívá v tom, že mnoho firem si dnes neuvědomuje, že do některé z těchto kategorií spadá – typicky výrobní podnik, který je zároveň dodavatelem do automotive, nebo poskytovatel IT služeb pro nemocnice. Posouzení, zda jste regulovaným subjektem, je proto prvním a nejdůležitějším právním krokem. Chybný úsudek („nás se to netýká") je sám o sobě porušením povinné péče.

Kyberbezpečnost jako součást péče řádného hospodáře

Z pohledu českého korporátního práva je rozhodující, že nové povinnosti vznikají ode dne účinnosti zákona a řídí se jím práva a povinnosti vzniklé od tohoto okamžiku – obdobně, jako přechodná ustanovení zákona o obchodních korporacích stanoví, že se zákonem řídí práva a povinnosti vzniklé ode dne jeho účinnosti (§ 775§ 775 USTANOVENÍ PŘECHODNÁTímto zákonem se řídí práva a povinnosti vzniklé ode dne jeho účinnosti.Oficiální znění ↗). Členové statutárního orgánu tedy musí reagovat aktivně, nikoli čekat na výzvu úřadu.

Jádrem věci je institut péče řádného hospodáře. Jednatel s.r.o. či člen představenstva a.s. je povinen jednat informovaně, loajálně a s potřebnými znalostmi. Nově se do obsahu této péče fakticky včleňuje i kyberbezpečnost: vedení musí

• ověřit, zda firma spadá do regulace, a zajistit registraci u NÚKIB;
• schválit přiměřená bezpečnostní opatření a dohlížet na jejich zavedení;
• zajistit řízení dodavatelského řetězce (dodavatelé jsou častou branou útoku);
• nastavit hlášení incidentů ve stanovených lhůtách;
• prokazatelně doložit, že vedení tématu věnovalo pozornost (zápisy, audity, školení).

Pokud člen vedení tyto kroky zanedbá a firmě tím vznikne škoda (pokuta, ztráta dat, výpadek provozu, žaloby zákazníků), vystavuje se riziku, že bude muset prokazovat, že jednal s péčí řádného hospodáře – a v opačném případě ručí za škodu, a to potenciálně i svým osobním majetkem. To je zásadní posun: dosud se odpovědnost za kyberbezpečnost rozpíjela v IT, nově má jasného adresáta v zasedací místnosti.

Sankce: proč je riziko reálné a vysoké

NIS2 zavádí citelné pokuty, které se v českém zákoně promítají:

• pro subjekty základní až 10 mil. EUR nebo 2 % celkového ročního obratu (vyšší z obou hodnot);
• pro subjekty důležité až 7 mil. EUR nebo 1,4 % obratu.

K tomu se přidávají méně viditelné, ale možná závažnější náklady: pozastavení činnosti, reputační škoda, ztráta zakázek (zejména pokud jste dodavatelem regulovaného subjektu, který bude vyžadovat doložení vašich opatření) a regresní nároky společnosti vůči nedbalému vedení. Kyberbezpečnost se tak stává standardní podmínkou B2B obchodu – i firma mimo přímou regulaci může být donucena ji řešit tlakem odběratelů.

Pohled řízení rizik QUADMOND™ (kvadrant Q1)

Z hlediska systému řízení rizik QUADMOND™ patří NIS2 do kvadrantu Q1 – rizika s vysokou pravděpodobností dopadu i vysokou závažností, která je nutné řešit prioritně a systémově, nikoli ad hoc. Doporučujeme postupovat v logice OODA (Observe–Orient–Decide–Act):

1. Observe (zjisti stav). Proveďte právní a faktickou analýzu, zda a do které kategorie firma spadá. Zmapujte aktiva, dodavatele a stávající úroveň zabezpečení.

2. Orient (zasaď do kontextu). Posuďte dopad na smlouvy s dodavateli a odběrateli, na pojistné krytí (kybernetické pojištění) a na rozdělení odpovědnosti uvnitř vedení. Promítněte téma do smlouvy o výkonu funkce a vnitřních předpisů – analogicky k tomu, jak zákon o obchodních korporacích vyžaduje, aby ujednání smluv o výkonu funkce odpovídala zákonu (§ 777§ 777 § 777(1) Ujednání společenských smluv, která jsou v rozporu s donucujícími ustanoveními tohoto zákona, se zrušují dnem nabytí účinnosti tohoto zákona. (2) Obchodní korporace přizpůsobí do 6 měsíců ode dne nabytí účinnosti tohoto zákona listiny podle odstavce 1 úpravě tohoto zákona a doručí je do sbírky listin. Neučiní-li ta…Oficiální znění ↗ odst. 3).

3. Decide (rozhodni a doložitelně to zaznamenej). Statutární orgán by měl usnesením schválit plán zavedení opatření, určit odpovědné osoby a rozpočet. Tento krok je zároveň důkazem o jednání s péčí řádného hospodáře.

4. Act (zaveď a kontroluj). Realizujte registraci u NÚKIB, zaveďte technická i organizační opatření, nastavte hlášení incidentů a pravidelný reporting směrem k vedení. Dokumentaci průběžně aktualizujte – obdobně jako jednatel zakládá úplné znění dokumentů do sbírky listin bez zbytečného odkladu (§ 197§ 197 § 197Jednatel bez zbytečného odkladu poté, co se dozví, že došlo ke změně společenské smlouvy na základě jakékoliv právní skutečnosti, vyhotoví úplné znění společenské smlouvy a uloží je spolu s listinami prokazujícími změnu do sbírky listin obchodního rejstříku (dále jen „sbírka listin“).Oficiální znění ↗).

Co konkrétně udělat v nejbližších týdnech

• Posouzení dopadu (scoping). Nečekejte na výzvu NÚKIB. Nechte si odborně posoudit, zda jste regulovaným subjektem; chybný závěr je sám o sobě porušením péče.
• Revize smluvní dokumentace. Aktualizujte smlouvy s IT dodavateli (požadavky na bezpečnost, audity, hlášení incidentů) a smlouvy o výkonu funkce.
• Rozdělení a doložení odpovědnosti. Určete, kdo ve vedení za agendu odpovídá, a vytvořte stopu rozhodování (zápisy, schválení rozpočtu).
• Kybernetické pojištění. Ověřte, zda krytí zahrnuje odpovědnost členů orgánů (D&O) ve vztahu ke kyberincidentům.
• Harmonogram k termínům. Naplánujte registraci a zavedení opatření tak, abyste stihli zákonné lhůty (registrace v řádu měsíců, opatření orientačně do poloviny 2026).

Kritické posouzení: nejde o byrokracii, ale o odpovědnost

Lze namítnout, že jde o další regulační zátěž. Realita je ale jiná: NIS2 pouze formalizuje to, co odpovědné vedení mělo dělat už dnes – chránit majetek a provoz společnosti před reálnou a rostoucí hrozbou. Nový zákon přidává jasného adresáta odpovědnosti a citelné sankce, čímž odstraňuje dosavadní „šedou zónu", v níž se odpovědnost za kyberbezpečnost ztrácela mezi managementem a IT. Pro majitele firem je to paradoxně příležitost: téma, které bylo dosud obtížně vymahatelné interně, má nyní pevný právní rámec.

Jak vám pomůžeme / Další krok

V Legal Partners spojujeme korporátní právo, řízení rizik QUADMOND™ a praktickou znalost regulace NIS2. Pomůžeme vám rychle zodpovědět tu nejdůležitější otázku – zda vaše firma spadá mezi nově regulované subjekty – a navrhneme konkrétní postup k registraci, smluvní revizi a doložení odpovědnosti vedení.

Domluvte si nezávaznou konzultaci zdarma s advokátem Legal Partners. Společně posoudíme vaši expozici, identifikujeme rizika v kvadrantu Q1 a připravíme realistický harmonogram tak, abyste stihli zákonné lhůty a ochránili sebe i firmu dříve, než to za vás vyřeší pokuta.