Neznalost zákona je přitom rozhodně neomluví. Dle odhadů se novinka bude týkat až desetitisíce firem a jejich představitelů. Tématu se věnuje advokát a partner advokátní kanceláře Dentons Zdeněk Kučera. 

„V případě porušení pravidel hrozí členům statutárních orgánů mimo jiné osobní odpovědnost za způsobenou škodu, či nemajetkovou újmu, ručení věřitelům za dluhy společnosti a vyloučení z funkce a zákaz výkonu funkce až na tři roky pod sankcí až ve výši 20 milionů korun,“ varuje Zdeněk Kučera. 

Snahou je vtáhnout vedení firem do procesu a motivovat ho k dosažení souladu s předpisy a k tomu, aby k této regulaci přistoupilo skutečně zodpovědně a věnovalo ji odpovídající pozornost. „Jedná se o moderní a funkční přístup, který je zejména na evropské úrovni čím dál častější,“ komentuje advokát. 

Že tento přístup skutečně funguje, naznačuje zkušenost ze Slovenska. To je s přijetím zákona, vycházejícího z evropské směrnice NIS2, o něco napřed. „Firmy na Slovensku již musely podstoupit proces sebeidentifikace, jestli se jich nový zákon dotýká. A již vše nasvědčuje tomu, že představitelé firem jsou raději obezřetní a nechtějí nic zanedbat. Přestože původní odhady hovořily o přibližně 9 tisíc regulovaných subjektech, které se budou muset zákonu podřídit, nakonec se jich dobrovolně nahlásilo více než 15 tisíc,“ říká Zdeněk Kučera. 

Průzkum: Kybernetickým útokům v poslední době čelila každá čtvrtá firma

Čelní představitelé firem budou nově muset projít relevantním školením týkajícím se kybernetické bezpečnosti a podílet se na dohledu dodržování pravidel v rámci své organizace. Osobní odpovědnost člena statutárního orgánu přitom platí bez ohledu na jeho technickou kvalifikaci a této odpovědnosti se nelze zbavit ani ji omezit. 

„Ve zkratce je top management odpovědný za to, že subjekt, kterého se zákon dotýká, implementuje a přijme veškerá opatření, která jsou nezbytná a dále dohlédne na to, že tato opatření budou dodržována. K tomu musí samozřejmě také alokovat nezbytné zdroje,“ přibližuje advokát. Jde o to, aby nešlo jen o formální přijetí nějakých politik, ale aby firmy efektivně přijaly a udržovaly nařízené podmínky zásad kybernetické ochrany. Členové statutárních orgánů přitom musejí dodržovat povinnost péče řádného hospodáře, která zahrnuje také právě oblast kybernetické bezpečnosti.  

Jaké základní povinnosti firmy čekají a jak probíhá proces samoidentifikace 

Jak již bylo naznačeno, firmy, které spadají pod nový kybernetický zákon, musejí nejprve projít procesem tzv. samoidentifikace. „Tento krok je nezbytný k tomu, aby subjekt posoudil, zda vzhledem ke své velikosti, povaze činnosti a sektorovému zaměření spadá do regulace,“ připomíná Zdeněk Kučera. Samoidentifikace je povinná a její výsledky jsou závazné pro následné plnění zákonných povinností. Regulované subjekty musí samy aktivně vyhodnotit své postavení na základě kritérií uvedených v zákoně a jeho prováděcích předpisech. 

Pokud firma zjistí, že podléhá regulaci, je povinna se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). „Po registraci musí podnik zavést komplexní systém opatření zahrnující řízení kybernetických rizik, zavedení bezpečnostní politiky, pravidelné hlášení kybernetických incidentů a provádění školení zaměstnanců i vedení v oblasti kybernetické bezpečnosti,“ vyjmenovává Kučera. Nedílnou součástí povinností je také řízení bezpečnosti dodavatelských řetězců a ochrana datových toků. 

Zákon navíc požaduje, aby subjekty efektivně dokumentovaly své postupy a bezpečnostní opatření tak, aby v případě kontroly mohly prokázat jejich faktickou realizaci. Neplnění povinností může mít nejen za následek vysoké finanční sankce, ale v důsledku osobní odpovědnosti vedení také významné osobní a reputační dopady. 

Návrh zákona nyní bude projednávat Senát a poté bude čekat na podpis prezidenta. Nabýt účinnosti by měl dle nynějších odhadů v červenci 2025. 

Redakčně upravená tisková zpráva