Osobní odpovědnost za kybernetickou bezpečnost už není teorie, ale nová manažerská realita. Od 1. listopadu 2025 vstoupil v České republice v účinnost nový zákon o kybernetické bezpečnosti (ZoKB), který do českého prostředí plně přenáší principy evropské směrnice NIS2, a to včetně osobní odpovědnosti vedení firem za řízení kybernetických rizik.
Konec výmluv na IT oddělení
Představte si scénář: vaše firma čelí ransomwarovému útoku. Systémy padají, data mizí, klienti volají. IT tým dělá, co může. Jenže za týden se ukáže, že firma neměla aktualizovaný bezpečnostní plán, management neschválil investici do firewallu a poslední audit proběhl před třemi lety. A teď pozor: podle nového zákona ZoKB to není jen problém firmy, ale i váš osobní problém, pokud jste např. členem představenstva, vrcholného vedení nebo jednatel.
Nový ZoKB, který implementuje evropskou směrnici NIS2, totiž jasně posunul kybernetickou bezpečnost z domény IT oddělení na úroveň řízení společnosti. To znamená přímou odpovědnost statutárních orgánů a managementu za to, jak firma kyberrizika identifikuje, řídí a kontroluje. Není to jen formální požadavek: zákon ukládá povinnost aktivně řídit kybernetická rizika, schvalovat technická i organizační opatření a zajišťovat dohled nad jejich plněním. Pokud se prokáže, že firma tyto povinnosti zanedbala, hrozí sankce nejen organizaci, ale v určitých případech i konkrétním osobám, včetně zákazu výkonu funkce nebo regresních nároků.
„Nový zákon dělá z kybernetické bezpečnosti téma, které patří na program každého jednání vrcholového vedení," říká Marieta Vodrážková Melichárková, členka představenstva OK GROUP a.s. „Ignorovat ho znamená vystavovat riziku nejen firmu, ale i osobní majetek lidí v managementu."
Dvě pojistky, dva štíty. Proč potřebujete obě?
Právě tady vstupuje do hry pojištění, ale ne jako jedna univerzální ochrana. Moderní přístup k rizikům vyžaduje kombinaci dvou typů pojištění, které se vzájemně doplňují a společně tvoří ucelenou ochranu. Každé z pojištění řeší jinou úroveň odpovědnosti a každé chrání jiný subjekt.
Kybernetické pojištění řeší samotný incident a jeho dopady na firmu jako celek. Když dojde k útoku, pojistka financuje zásah expertů, kteří zjistí, co se stalo a jak velká je škoda. Pokrývá obnovu dat a restart systémů, zvládání ransomwarových útoků včetně případné komunikace s útočníky, náklady na výpadek provozu a ztrátu příjmů. Hradí také škody poškozeným klientům po úniku dat a zajišťuje právní podporu při oznamování útoku regulátorům podle ZoKB i GDPR. Jednoduše řečeno: kybernetické pojištění chrání firmu jako entitu a pomáhá jí incident zvládnout a vrátit se k provozu.
Pojištění D&O (Directors & Officers) funguje na zcela jiné úrovni. Kryje osobní odpovědnost členů vedení za škodu způsobenou při výkonu funkce, což v kontextu nového ZoKB nabývá na zásadním významu. Může jít například o situace, kdy je vedení obviněno z nedostatečného dohledu nad bezpečností, ignorování známých rizik, neschválení potřebných investic do zabezpečení nebo podcenění školení zaměstnanců. V takových případech hradí pojištění D&O náklady na právní obhajobu, mimosoudní urovnání nebo náhradu škody, samozřejmě za předpokladu, že nejde o úmyslné porušení zákona či hrubou nedbalost, které bývají z krytí vyloučeny.
„Pojištění kybernetických rizik chrání firmu, D&O je štít pro lidi ve vedení," vysvětluje Marieta Vodrážková Melichárková. „V souvislosti se ZoKB dává smysl mluvit o nich vždy společně, protože fungují jako spojené nádoby." A právě v tomto spojení tkví síla moderního pojistného programu – pojištění kybernetických rizik zajišťuje, že firma má prostředky na zvládnutí incidentu, zatímco D&O chrání osoby, které za firmu rozhodují, před osobními důsledky těchto rozhodnutí.
Skrytá past ve starších smlouvách
Mnoho firem má pojištění D&O už roky sjednané, což je dobře. Horší je, že starší smlouvy často obsahují výluky na kybernetické incidenty, což v praxi znamená, že management není vůči nárokům spojeným s kyberútokem fakticky chráněn. Tato mezera se stává kritickou právě teď, kdy nový ZoKB vytváří jasnou odpovědnost vedení za kybernetickou bezpečnost.
„Mnoho manažerů se dívá hlavně na to, jestli D&O kryje pokuty," upozorňuje členka představenstva „V praxi ale nejvíc bolí náklady na právníky a případné regresní nároky, které mohou jít do milionů korun ještě před prvním rozsudkem." Proto je klíčové nejen mít pojištění D&O, ale také důkladně prověřit jeho rozsah a aktuálnost. Smlouva uzavřená před pěti lety byla psána pro jiné rizikové prostředí a s největší pravděpodobností nepočítala s tím, že kybernetická bezpečnost se stane předmětem osobní odpovědnosti vedení.
Pojištění jako důkaz profesionality
Je důležité si uvědomit, že žádné pojištění vás neochrání, pokud jste vědomě a dlouhodobě ignorovali zákonné povinnosti nebo se dopustili hrubé nedbalosti. To ale neznamená, že pojištění je jen pasivní záchranná síť. Kvalitní pojištění kybernetických rizik a D&O má totiž ještě jeden, méně zřejmý, ale o to důležitější efekt: je to signál pro regulátory i soudy, že firma bere řízení rizik vážně a profesionálně.
„Kvalitní pojištění není odpustek, ale vizitka toho, že firma nehrála ruskou ruletu," vysvětluje Marieta Vodrážková Melichárková. „Pro regulátory i soud je to důkaz, že vedení prošlo náročným auditem pojišťovny a nastavilo přiměřená opatření."
Pojišťovny totiž před uzavřením smlouvy provádějí detailní audit kybernetické bezpečnosti firmy a vyžadují splnění určitých minimálních standardů. Samotná existence kvalitního pojištění tak dokládá, že firma má zavedené procesy, které nezávislý subjekt považuje za přiměřené. V případě sporu to může být zásadní argument pro obhajobu péče řádného hospodáře.
Co byste měli udělat právě teď
Prvním krokem je prověření aktuálního stavu. Zkontrolujte, zda vaše stávající pojištění D&O neobsahuje výluky na kybernetické incidenty, a ověřte, jestli parametry pojištění kybernetických rizik odpovídají reálné velikosti a povaze těchto rizik ve vaší společnosti. Nestačí se jen podívat na sublimity plnění, důležité jsou i konkrétní výluky, limity pro specifické druhy škod či další podmínky pro vznik nároku na pojistné plnění.
Druhým krokem je propojení IT, risk managementu a vedení do funkčního celku. Kybernetická bezpečnost už není jen technická záležitost, kterou řeší IT oddělení někde v suterénu. Je to téma strategického řízení, které vyžaduje, aby IT dodávalo fakta a varování, risk management pracoval s možnými scénáři a jejich dopady, a vedení pak přijímalo, a také dokumentovalo svá rozhodnutí. Všichni musí mluvit stejným jazykem a chápat, že bezpečnost není jednorázový projekt, ale kontinuální proces.
Třetím, často podceňovaným krokem je důsledná dokumentace. Každé rozhodnutí o investici do zabezpečení (ale také každé rozhodnutí o jejím odložení) musí být zdůvodněné a dohledatelné. V případě incidentu to může být zásadní rozdíl mezi prokázanou hrubou nedbalostí a pečlivým zvážením rizik v kontextu dostupných zdrojů a priorit firmy. Dobře vedená dokumentace ukazuje, že vedení situaci nebralo na lehkou váhu, i když se možná rozhodlo jinak, než by ze zpětného pohledu bylo ideální.
Nová realita vyžaduje nový přístup
„Naším cílem je, aby se management nemusel rozhodovat mezi investicí do bezpečnosti a vlastní osobní jistotou," Marieta Vodrážková Melichárková. „Dobře nastavené D&O a pojištění kybernetických rizik mu umožní dělat správná rozhodnutí beze strachu, že jeden incident zničí nejen roky práce, ale také osobní budoucnost odpovědné osoby."
V tom tkví podstata moderního managementu rizik. Místo pouhého vyhýbání se hrozbám se soustředíme na jejich kvalifikovanou správu, podloženou osobní odpovědností a praktickými řešeními pro jejich zvládání.
Praktický checklist pro management
- Máme aktuální bezpečnostní dokumentaci?
- Proběhl v posledních 12 měsících audit kybernetické bezpečnosti?
- Kryje naše D&O pojištění kybernetické incidenty?
- Odpovídá naše pojištění kybernetických rizik skutečným rizikům firmy?
- Projednává management pravidelně stav kybernetické bezpečnosti?
- Máme nastavený reakční plán na incident?
- Jsou zdokumentována veškerá rozhodnutí o investicích do bezpečnosti?
Pokud na většinu těchto otázek neznáte odpověď, není problém v kybernetické bezpečnosti, ale v tom, že byste o ní měli vědět mnohem víc. A protože podle nového ZoKB už to není jen odpovědnost IT, ale vaše osobní odpovědnost, čas na „nevím" právě vypršel.
