Od listopadu 2025 platí v Česku nový zákon o kybernetické bezpečnosti, který do českého prostředí přenáší principy evropské směrnice NIS2. Největší změna není technologická, ale manažerská. Odpovědnost za kybernetická rizika už neleží pouze na IT oddělení, ale přímo na vedení firem.
ZoKB: Kyberbezpečnost jako téma představenstva
Nový zákon o kybernetické bezpečnosti (ZoKB) posouvá kyberbezpečnost z provozní roviny do roviny strategického řízení. Firmy, které do regulace spadají, musí systematicky identifikovat a řídit kybernetická rizika. A vedení musí být schopno doložit, že tato rizika skutečně řeší.
Pokud se po incidentu prokáže, že firma dlouhodobě zanedbávala bezpečnostní opatření, může jít nejen o sankce vůči společnosti, ale i o osobní důsledky pro členy vedení. V extrémních případech mohou přijít regresní nároky nebo zákaz výkonu funkce.
„Pojištění kybernetických rizik chrání firmu, D&O je štít pro lidi ve vedení. V souvislosti se ZoKB dává smysl mluvit o nich vždy společně.“
Když útok odhalí slabé řízení
Ransomwarový útok dnes není výjimečný scénář. Provoz se zastaví, data jsou nedostupná, klienti čekají. Teprve následné šetření často ukáže, že bezpečnostní audit proběhl před lety, investice do ochrany byly opakovaně odloženy a reakční plán neexistoval.
V takové chvíli už nejde jen o IT. Regulátor i soud budou řešit, zda vedení o rizicích vědělo, jak o nich rozhodovalo a zda svá rozhodnutí dokumentovalo. Kyberbezpečnost se tak stává součástí osobní odpovědnosti managementu a péče řádného hospodáře.
Dvě úrovně ochrany
V praxi se dnes mluví o dvou typech ochrany, které se doplňují. Kybernetické pojištění kryje samotný incident a jeho dopady na firmu, od obnovy dat přes výpadek provozu až po právní podporu při komunikaci s regulátory. Chrání firmu jako celek.
Pojištění D&O naopak chrání členy vedení před osobní odpovědností za škodu způsobenou při výkonu funkce. V kontextu ZoKB může jít například o obvinění z nedostatečného dohledu nad bezpečností nebo z ignorování známých rizik.
„Pojištění kybernetických rizik chrání firmu, D&O je štít pro lidi ve vedení. V souvislosti se ZoKB dává smysl mluvit o nich vždy společně,“ říká Marieta Vodrážková Melichárková, členka představenstva OK GROUP.
Pozor na staré smlouvy
Řada firem má pojištění D&O sjednané už roky. Starší smlouvy ale často obsahují výluky na kybernetické incidenty. V praxi to může znamenat, že v klíčové situaci management krytý není, přestože si myslí opak.
Vedle samotných pokut bývají největší zátěží náklady na právní zastoupení a případné regresní nároky, které mohou dosahovat milionových částek ještě před samotným rozhodnutím soudu. Revize pojistného programu je proto základním krokem řízení rizik.
Nová realita vyžaduje nový přístup
Kyberbezpečnost už není pouze technická disciplína. Stává se součástí strategického řízení společnosti. Vedení by mělo pravidelně řešit stav bezpečnosti, vyhodnocovat rizika a důsledně dokumentovat svá rozhodnutí, včetně těch o odložení investic.
Riziko útoku dnes není otázkou toho, zda přijde, ale kdy přijde. A protože ZoKB přenesl odpovědnost přímo na vedení, je jasné, že kyberbezpečnost patří na úroveň představenstva, nejen kvůli ochraně firmy, ale i kvůli ochraně osobní odpovědnosti těch, kteří za ni rozhodují.
Zdroj: TZ OK GROUP a.s.
