- Barbora Arnold
- 13 min čtení
S novým zákonem o kybernetické bezpečnosti se odpovědnost za kyberbezpečnost postupně přesunula tam, kam podle evropské směrnice NIS2 patří – na úroveň vedení organizace. Pro statutární orgány, jednatele a top management to znamená jednu zásadní věc. Výkon některých činností lze delegovat na IT oddělení nebo dodavatele, odpovědnost za kyberbezpečnost ale zůstává na vedení. Jaké požadavky kyberzákon na vedení klade a jak se liší podle režimu povinností?
Proč se kyberbezpečnost řeší na úrovni vedení
Důležitý je i samotný pojem „vrcholné vedení“. Prováděcí vyhlášky zákona o kybernetické bezpečnosti ho vykládají šířeji než jen jako statutární orgán. Patří sem statutární orgán, ale také jiná osoba nebo skupina osob v obdobném řídícím postavení. Povinnosti tedy nemíří jen na jednatele zapsaného v rejstříku, ale na všechny, kdo organizaci fakticky řídí.
Společný základ: povinnosti vedení pro nižší i vyšší režim
V režimu nižších povinností stanoví požadavky na vrcholné vedení § 4 vyhlášky č. 410/2025 Sb. Jde o úplný základ, který je stejný i pro vyšší režim. Ten k němu jen přidává další povinnosti. Mezi povinnosti nižšího režimu, které vyšší režim dále rozvádí, patří:
Absolvovat bezpečnostní školení
Vedení musí prokazatelně projít školením zaměřeným na své povinnosti podle zákona a na bezpečnostní politiky organizace. Mělo by chápat, jak spolu souvisí rizika, opatření a jejich dopady na chod organizace. Cílem není udělat z vedení techniky. Cílem je, aby dokázalo dělat informovaná rozhodnutí. Školení by nemělo být jednorázové – ideálně se opakuje alespoň jednou ročně.
Určit osobu pověřenou kybernetickou bezpečností
Vedení musí určit osobu pověřenou kybernetickou bezpečností. Ta funguje jako hlavní opora vedení pro celou agendu. Stará se o řízení a rozvoj kyberbezpečnosti, dohlíží na její stav a komunikuje s vrcholným vedením. Může jít o zaměstnance organizace, proškoleného kolegu nebo dodavatele.
Důležité je, aby měla potřebné odborné znalosti a zároveň pravomoci, bez kterých tuto roli nezvládne. V praxi to znamená i nastavený proces pravidelné komunikace s vedením. Právě přes tuto osobu se k vedení dostávají informace o hrozbách, rizicích, stavu opatření a změnách, které mohou bezpečnost ovlivnit.
Zajistit dostupnost zdrojů
Vedení má zajistit zdroje potřebné pro kybernetickou bezpečnost. Nejde jen o peníze, patří sem také lidé, nástroje, technologie a čas. Rozsah zdrojů by měl odpovídat tomu, jaké služby organizace poskytuje, jak jsou pro ni důležité a jaký dopad by měl jejich výpadek. Jinak bude vypadat minimum u menší podpůrné služby a jinak u služby, na které stojí provoz celé organizace.
V praxi to znamená rozpočet na přiměřená opatření, kapacitu lidí, kteří agendu skutečně řeší, nástroje potřebné pro správu bezpečnosti a také čas na školení zaměstnanců, pravidelné vyhodnocování a rozhodování.
Prokazatelně se seznamovat se stavem plnění opatření
Vyhláška po vedení nechce, aby samo navrhovalo nebo zavádělo jednotlivá bezpečnostní opatření. Chce, aby o jejich stavu vědělo a dokázalo se o nich rozhodovat. To zahrnuje opatření zavedená, plánovaná i ta, která organizace zatím nezavedla, včetně důvodu proč. Podklady obvykle připraví osoba pověřená kybernetickou bezpečností. Na vedení je, aby vyhodnotilo, rozhodlo o prioritách a prokazatelně se s nimi seznámilo.
Prokazatelnost může mít podobu zápisu ze schůzky, schváleného přehledu opatření nebo jiného seznamu, ze kterého bude jasné, že vedení stav bezpečnosti skutečně řešilo. Právě tohle je jeden z hlavních způsobů, jak organizace doloží, že vedení není v celé agendě jen na papíře.
Podporovat průběžné zlepšování kybernetické bezpečnosti
Kybernetická bezpečnost se nedá jednou nastavit a odložit. Organizace se mění, přibývají nové systémy, dodavatelé, služby i rizika. Úkolem vedení je proto podporovat průběžné zlepšování. V praxi to znamená odstraňovat překážky, které brání zavedení potřebných opatření, schvalovat priority a termíny a reagovat na změny, které mohou bezpečnost ovlivnit. Typicky půjde například o akvizice, fúze, zavedení nové technologie, změnu významného dodavatele nebo změny ve vedení organizace.
Stanovit prioritu obnovy klíčových aktiv
Vedení má stanovit priority obnovy primárních aktiv. Prakticky jde o rozhodnutí, co se musí po incidentu nebo výpadku obnovit jako první, protože na tom stojí poskytování regulované služby. Tato rozhodnutí nevznikají od stolu. Vedení je má dělat společně s lidmi, kteří rozumí provozu, technologiím, smluvním závazkům a dopadům na zákazníky nebo uživatele služby.
Výsledkem má být jasná odpověď na otázky: které služby a procesy jsou pro organizaci nejdůležitější, jak dlouhý výpadek si může dovolit a jaká ztráta dat už by znamenala problém pro provoz, finance nebo smluvní závazky. Tyto povinnosti spolu logicky souvisejí. Začínají tím, že vedení ví, na čem organizace stojí a kdo má bezpečnost řídit.
Nižší režim | Vyšší režim | |
|---|---|---|
Rámec řízení | Zajišťování minimální kybernetické bezpečnosti | Systém řízení bezpečnosti informací (ISMS) integrovaný do procesů |
Řídicí orgán | Osoba pověřená kybernetickou bezpečností | Výbor pro řízení kybernetické bezpečnosti a manažer kybernetické bezpečnosti |
Bezpečnostní role | Neřeší se samostatně | Určení rolí a zajištění jejich zastupitelnosti |
Dohled vedení | Seznamování se stavem plnění bezpečnostních opatření | Navíc audity, hodnocení rizik a analýza dopadů |
Kontinuita | Priority obnovy primárních aktiv | Testování plánů kontinuity a obnovy |
Nižší vs. vyšší režim – v čem se liší. Vyšší režim staví na stejném základu, jen ho víc formalizuje, rozpracovává a přidává požadavky na řízení, dohled a kontinuitu.
Povinnosti vedení ve vyšším režimu
Vyšší režim povinností dopadá na organizace s největším společenským a ekonomickým významem. Požadavky na vedení tu upravuje § 4 vyhlášky č. 409/2025 Sb. Jsou podrobnější než v nižším režimu: stejné základní oblasti rozdělují do více dílčích bodů a přidávají k nim povinnosti navíc. Jaké povinnosti ve vyšším režimu jsou navíc?
Systém řízení bezpečnosti informací (ISMS) jako rámec
Zatímco v nižším režimu se mluví o zajišťování minimální kybernetické bezpečnosti, vyšší režim stojí na formálním systému řízení bezpečnosti informací. Vedení zajišťuje stanovení bezpečnostní politiky a cílů tohoto systému, jejich soulad se strategickým směřováním organizace a začlenění celého systému ISMS do běžných procesů.
Výbor pro řízení kybernetické bezpečnosti
To je jeden z nejviditelnějších rozdílů. Vedení musí zřídit výbor pro řízení kybernetické bezpečnosti a určit jeho členy. Ve výboru musí být alespoň jeden člen vedení, případně osoba pověřená vedením a manažer kybernetické bezpečnosti. Výbor se schází nejméně jednou ročně, z jednání se pořizují záznamy a jeho členové musí mít odpovídající pravomoci i odbornou způsobilost.
Bezpečnostní role a jejich zastupitelnost
Vyšší režim počítá s definovanými bezpečnostními rolemi. Vedení stanovuje pravidla pro určení administrátorů a osob v bezpečnostních rolích, zajišťuje jim potřebné pravomoci i zdroje včetně rozpočtu a stará se o jejich zastupitelnost. Součástí je i povinnost zajistit mlčenlivost relevantních osob, typicky administrátorů, osob v bezpečnostních rolích a dodavatelů.
Širší dohled vedení nad stavem bezpečnosti
V nižším režimu se vedení prokazatelně seznamuje se stavem plnění opatření. Ve vyšším režimu je výčet konkrétnější. Patří sem zpráva o přezkoumání systému řízení bezpečnosti informací, zpráva o hodnocení rizik, plán zvládání rizik, výsledky analýzy dopadů a výsledky auditů a kontrol. Vedení se navíc přímo podílí na vypracování analýzy dopadů. V praxi to znamená, že vedení nemá dostávat jen obecnou informaci typu „bezpečnost řešíme“. Potřebuje podklady, ze kterých pozná, kde jsou hlavní rizika, co organizace plánuje udělat, co už udělala a kde zůstává otevřený problém.
Testování plánů kontinuity a obnovy
Zatímco v nižším režimu vedení stanovuje priority obnovy primárních aktiv, ve vyšším režimu k tomu přibývá povinnost tyto plány pravidelně testovat. Vedení zajišťuje testování plánů kontinuity činností, plánů obnovy a procesů pro zvládání incidentů. Cílem je ověřit dopředu, jestli nastavené procesy opravdu fungují. Při skutečném výpadku už bývá pozdě zjišťovat, že plán obnovy existuje jen v dokumentu, nikdo neví, kdo má co dělat, a klíčový dodavatel není dostupný.
Jak zákon řeší neplnění povinností
Smyslem zákona není organizace trestat. Má je vést k tomu, aby měly kybernetická rizika pod kontrolou a byly připravené zvládat incidenty. Přesto je dobré vědět, co může nastat, když organizace své povinnosti neplní.
Za závažná porušení může úřad uložit pokutu. V nižším režimu až do 175 milionů korun nebo 1,4 % čistého celosvětového ročního obratu, ve vyšším režimu až do 250 milionů korun nebo 2 % obratu. Platí vždy vyšší částka. Konkrétní výše závisí na závažnosti porušení a jeho dopadech. Úřad zároveň zohledňuje, zda organizace rizika aktivně řídí a zda se do řízení zapojuje vedení.
Jeden nástroj míří přímo na členy statutárního orgánu: dočasný zákaz výkonu funkce podle § 58 zákona. Týká se pouze vyššího režimu a přichází v úvahu jen tehdy, když organizace opakovaně nebo závažně poruší povinnosti tak, že tím zmaří splnění rozhodnutí úřadu. Zákaz trvá do odstranění nedostatků, nejméně však šest měsíců. V nižším režimu tento postih není.
Co si z článku odnést
Kybernetická bezpečnost patří do řízení organizace stejně jako finance, provoz nebo právní agenda. Vrcholné vedení nastavuje priority, zajišťuje zdroje, dohlíží na stav bezpečnosti a vstupuje do rozhodování při incidentech. Svým přístupem zároveň ovlivňuje bezpečnostní kulturu celé organizace. Zaměstnanci totiž velmi dobře vnímají, jestli vedení bere bezpečnost jako skutečnou součást řízení, nebo jen jako další povinnost na papíře.
Pokud si chcete povinnosti vedení projít podrobněji a zasadit je do kontextu vaší organizace, připravili jsme školení pro vrcholné vedení – pro režim nižších povinností i pro režim vyšších povinností. Obě vycházejí ze zkušeností z reálných projektů a incidentů. Projdeme v nich, co se od vedení očekává, jaké má klást otázky a jak svou roli uchopit v praxi.
- Obsah byl připraven s pomocí AI, následně prošel důkladnou lidskou editací a faktickou kontrolou.
