Slogan Glitch Effect with Random Timing

Osobní odpovědnost vlastníků a manažerů
za kybernetickou bezpečnost

Publikováno: 21. 11. 2025, v rubrice: Bezpečnost, Management, Právo, autor: and , zobrazeno: 490x
🕒 8 min čtení

Vlastníci firem, členové představenstva i manažeři nesou odpovědnost za dodržování právních předpisů v oblasti kybernetické bezpečnosti.

Tato odpovědnost zahrnuje nejen implementaci technických opatření, ale i řízení rizik a dodržování bezpečnostních standardů podle předpisů EU jako jsou GDPR, NIS2, CRA a DORA. Ale neměl by to být ten hlavní důvod. Tím by měl být pud sebezáchovy, který možná některým zcela schází.

Povinnosti podle GDPR, NIS2, CRA a DORA

  • GDPR – Vyžaduje odpovídající technická a organizační opatření k ochraně osobních údajů, například šifrování, řízení přístupu a pravidelné audity bezpečnosti.
  • NIS2 – Ukládá povinnost provádět analýzy rizik, přijímat bezpečnostní opatření, hlásit kybernetické incidenty a zajistit řízení dodavatelského řetězce.
  • CRA – Ukládá výrobcům digitálních produktů a softwaru povinnost zajistit kybernetickou odolnost svých výrobků po celou dobu jejich životního cyklu, zahrnující bezpečnostní aktualizace, procesy řízení zranitelností a transparentnost ohledně kybernetických rizik.
  • DORA – Zaměřuje se na digitální provozní odolnost finančních institucí, včetně řízení rizik v oblasti informačních a komunikačních technologií, hlášení kybernetických incidentů, testování odolnosti a řízení rizik spojených s třetími stranami.

Poznámka: To nejsou všechny povinnosti, jedná se pouze o demonstrativní výčet. Pro vysvětlení uvádíme, že:

  • NIS2 je předpis EU označovaný jako směrnice. Pro uplatňování směrnice v členském státě se vyžaduje transpozice směrnice do právního řádu členského státu, typicky ve formě zákona. V podmínkách České republiky je proto nutné přijmout novelu zákona o kybernetické bezpečnosti.
  • GDPR, CRA a DORA jsou předpisy označované jako nařízení. Nařízení jsou přímo použitelná v členských státech EU, tzn. nevyžaduje se aktivita zákonodárce, aby bylo nařízení závazné v členském státě EU.

Finanční sankce za nesoulad

  • GDPR umožňuje sankce až 4 % celosvětového ročního obratu nebo 20 milionů EUR, podle toho, která částka je vyšší (článek 83, odstavec 5 a 6).
  • NIS2 stanoví pokuty až 10 milionů EUR nebo 2 % ročního obratu (článek 34, odstavec 4) a umožňuje zákaz výkonu funkce pro členy vedení, pokud opakovaně nebo závažně porušili své povinnosti (článek 32, odstavec 5, písmeno b)).
  • CRA zavádí pokuty za nedodržení kybernetických bezpečnostních opatření u výrobců a dodavatelů softwaru či zařízení – až do 15 milionů EUR nebo 2,5 % celosvětového obratu (článek 64, odstavec 2).
  • DORA – hrozí sankce podle zákona č. 31/2025 Sb. o digitalizaci finančního trhu za nedodržení požadavků na digitální provozní odolnost až 50 milionů Kč (ust. § 18 odstavec 2, písmeno c)).

Poznámka: Tyto sankce jen podtrhují význam dodržování uvedených předpisů a nutnost implementace adekvátních opatření k zajištění kybernetické bezpečnosti a digitální odolnosti v organizacích. Ale není to jen o sankcích, protože celkové škody mohou a také bývají mnohem vyšší.

Osobní odpovědnost členů vedení a vedoucích pracovníků

  • Zanedbali povinnost provést analýzu rizik nebo ji provedli „kreativně“ tak, že neodrážela skutečné hrozby.
  • Nezavedli adekvátní bezpečnostní opatření k ochraně systémů a dat.
  • Ignorovali bezpečnostní doporučení interních expertů nebo externích auditorů.
  • Nezajistili řádné školení zaměstnanců v oblasti kybernetické bezpečnosti.

V případě, že taková nedbalost nebo úmyslné porušení povinností přispěje k bezpečnostnímu incidentu, může být náhrada škody vymáhána i po konkrétních členech vedení. Odpovědnost se přitom nemusí týkat pouze členů představenstva nebo jednatelů, ale také vedoucích pracovníků, kteří mají rozhodovací pravomoci v oblasti kybernetické bezpečnosti a odpovídají za plnění legislativních požadavků.

Ochrana proti odpovědnosti
D&O pojištění

Manažeři se proti osobní odpovědnosti mohou částečně chránit prostřednictvím D&O pojištění (Directors & Officers Liability Insurance), které kryje:

  • Právní náklady na obranu v případě vyšetřování či žaloby.
  • Úhradu pokut a sankcí (pokud to není v rozporu se zákonem).
  • Náhradu škody, pokud bude odpovědnost vedoucích pracovníků prokázána.

Avšak D&O pojištění nemusí pokrýt situace, kdy se prokáže úmyslné pochybení či hrubá nedbalost. To znamená, že pokud manažeři vědomě ignorovali bezpečnostní hrozby nebo falšovali analýzu rizik, mohou čelit osobním finančním důsledkům.

Odpovědnost vlastníka v roli manažera, generálního ředitele či jednatele

Ačkoli vlastník deleguje odpovědnost na vedení firmy, tak pokud se řízení nadále účastní v některé výše uvedené roli, věděl o nedostatečné bezpečnosti a nejednal, může být odpovědnost rozšířena i na něj, zejména v případě vědomého zanedbání opatření. Například pokud se prokáže, že:

  • Vědomě toleroval nedostatečné zabezpečení a neinvestoval do bezpečnostních opatření, přestože byl na rizika upozorněn, či je řídil kreativně.
  • Nezajistil odpovídající dohled nad plněním bezpečnostních opatření a nevyžadoval pravidelné reporty.
  • Ignoroval povinnosti vyplývající z legislativy, zejména pokud je zároveň statutárním orgánem.
  • Nezajistil kvalifikované vedení v oblasti kybernetické bezpečnosti, tj. nevybral například kvalifikovaného manažera kybernetické bezpečnosti.

Správným delegováním odpovědnosti, zajištěním odpovídajícího financování bezpečnostních opatření a pravidelným dohledem se však může riziku osobní odpovědnosti vyhnout.

Závěr

Odpovědnost manažerů a členů statutárních orgánů za škodu způsobenou společnosti se liší v závislosti na jejich postavení a způsobu výkonu funkce. Členové statutárních orgánů, jako jsou jednatelé společností s ručením omezeným nebo členové představenstva akciových společností, mají povinnost jednat s péčí řádného hospodáře, což zahrnuje loajalitu, nezbytné znalosti a pečlivost.

Pokud tuto povinnost poruší a způsobí tím společnosti škodu, odpovídají za ni v plné výši, a tedy celým svým osobním majetkem. Neexistuje zde zákonné omezení výše náhrady škody. V případě úpadku společnosti může soud rozhodnout, že člen statutárního orgánu, který porušil své povinnosti, je povinen poskytnout plnění do majetkové podstaty až do výše rozdílu mezi souhrnem dluhů a hodnotou majetku společnosti (§ 66 zákona č. 90/2012 Sb., o obchodních korporacích).

Oproti tomu manažeři, kteří vykonávají svou funkci v pracovním poměru, podléhají ustanovením zákoníku práce (§ 257 odst. 2 zákona č. 262/2006 Sb., zákoník práce), podle něhož odpovídají za škodu způsobenou z nedbalosti maximálně do výše čtyřapůlnásobku svého průměrného měsíčního výdělku. Toto omezení však neplatí, pokud byla škoda způsobena úmyslně, v opilosti nebo po zneužití jiných návykových látek, kdy odpovídají za škodu v plné výši.

Je tedy zásadní rozlišovat mezi odpovědností členů statutárních orgánů, kteří mohou ručit celým svým majetkem, a odpovědností manažerů v pracovním poměru, kteří mají odpovědnost omezenou, pokud škodu nezpůsobí úmyslně nebo za výše uvedených okolností.

I když nejsou veřejně dostupné případy v ČR, kde by byli manažeři přímo sankcionováni za nedbalost či ignoraci vedoucí k závažným kybernetickým incidentům, lze předpokládat, že některé rezignace či přesuny manažerů proběhly neveřejně. Firmy se snaží podobné kauzy utajit kvůli ochraně reputace, právním sporům a dohodám o mlčenlivosti.

Se zavedením NIS2 se očekává větší tlak na osobní odpovědnost manažerů a možnost jejich individuálního postihu. U státních institucí je situace jiná – bezpečnostní incidenty často proniknou na veřejnost (například úniky dat z nemocnic, městských úřadů či univerzit), ale ani zde dosud nebyli veřejně obviněni konkrétní manažeři.

V zahraničí už však k podobným případům došlo. Například vedoucí bezpečnosti Uberu Joe Sullivan byl odsouzen k podmínce za zatajení úniku dat 57 milionů uživatelů. British Airways dostala pokutu 20 milionů liber za únik 400 000 údajů o platebních kartách, zatímco T-Mobile USA se musel vyrovnat se zákazníky po úniku dat 76 milionů lidí. Tyto případy ukazují, že trend osobní odpovědnosti manažerů roste a s postupným zpřísňováním regulací se dá očekávat i v Evropě.

Dodržování GDPR, NIS2, CRA a DORA není jen otázkou compliance, ale i osobní odpovědnosti vedení firmy. Neplnění těchto povinností může vést k významným pokutám, které mohou být v některých případech vymáhány i po členech představenstva. Zajištění D&O pojištění může poskytnout určitou ochranu, ale pokud se prokáže porušení povinnosti jednat s péčí řádného hospodáře, vědomé pochybení či hrubá nedbalost, nemusí být dostačující.

Pokud vás téma strategického řízení informační a kybernetické bezpečnosti zaujalo, tak vězte, že více se dozvíte v knize "Jak proměnit kyberbezpečnost v konkurenční výhodu, aneb Za hranicemi best practice a proč CEO selhávají".

LITERATURA

ČESKÁ REPUBLIKA. Zákon č. 90/2012 Sb., o obchodních korporacích. Online. In: Sbírka zákonů České republiky. 2012. Dostupné z: https://www.zakonyprolidi.cz/cs/2012-90. [cit. 2025-02-03].

ČESKÁ REPUBLIKA. Zákon č. 262/2006 Sb., zákoník práce. Online. In: Sbírka zákonů České republiky. 2006. Dostupné z: https://www.zakonyprolidi.cz/cs/2006-262. [cit. 2025-02-03].

EVROPSKÁ UNIE. Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru (DORA). Online. In: Úřední věstník Evropské unie. 2022, L 333, s. 1–79. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32022R2554. [cit. 2025-02-03].

EVROPSKÁ UNIE. Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních pro vysokou společnou úroveň kybernetické bezpečnosti v Unii (NIS2). Online. In: Úřední věstník Evropské unie. 2022, L 333, s. 80–119. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32022L2555. [cit. 2025-02-03].

EVROPSKÁ UNIE. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR). Online. In: Úřední věstník Evropské unie. 2016, L 119, s. 1–88. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32016R0679. [cit. 2025-02-03].

EVROPSKÁ UNIE. Nařízení Evropského parlamentu a Rady o harmonizovaných pravidlech pro kybernetickou bezpečnost produktů s digitálními prvky (akt o kybernetické odolnosti). Online. 2024. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32024R2847. [cit. 2025-02-03].

QR kód pro podporu

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav a CHLIPALA, Miroslav. Osobní odpovědnost vlastníků a manažerů
za kybernetickou bezpečnost. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/osobni-odpovednost-vlastniku-a-manazeru-za-kybernetickou-bezpecnost/. [cit. 2025-12-13].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. GDPR: Co je to osobní údaj
  2. Jak žádat o navýšení rozpočtu na kybernetickou bezpečnost
  3. Jak žádat o navýšení rozpočtu na kybernetickou bezpečnost – 2. díl
  4. Informační bezpečnost vs. kybernetická bezpečnost
  5. Přeneste odpovědnost na klienta

K článku se zde nenachází žádný komentář – buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Text vaší reakce:

 

Tento web používá Akismet k omezení spamu. Podívejte se, jak data z komentářů zpracováváme.

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil

Avatar photo

Miroslav Chlipala

Advokát a vedoucí partner advokátní kanceláře s více než 21 lety praxe, zaměřený na právo IT, moderní technologie...

veřejný profil