Dočasný zákaz výkonu funkce pro členy statuárního orgánu dle zákona o kybernetické bezpečnosti a nové povinnosti pro členy statutárního orgánu

Odpovědnost členů statutárního orgánu  

Dle ust. § 58 ZoKB může být členovi statutárního orgánu poskytovatele regulované služby v režimu vyšších povinností za nesplnění nápravného opatření dle ust. § 56 ZoKB uložen dočasný zákaz výkonu funkce člena statutárního orgánu, a to až do doby odstranění zjištěných nedostatků, nejméně po dobu 6 měsíců, výkon této funkce. O dočasném zákazu výkonu funkce člena statutárního orgánu rozhoduje pouze NÚKIB, přičemž rozhodnutí lze vydat pouze vůči osobě v pozici člena statutárního orgánu (jednatel, člen představenstva).

Reklama

Základy práce s AI pro právníky a poradce (online - živé vysílání) - 14.1.2026

14.1.2026 13:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

Podmínkou pro vydání rozhodnutí je vždy existence příčinné souvislosti mezi jednáním člena statutárního orgánu a neplněním povinnosti uložené nápravným opatřením společnosti, kterou zastupuje. Důvodem pro uložení zákazu výkonu funkce tedy musí být jednání, které má přímou souvislost s ne/plněním povinnosti uložené dle ust. § 56 ZoKB nápravným opatřením NÚKIBU, které představuje závažné nebo opakované (tedy i méně závažné, ale vícečetné) porušení povinností osoby při výkonu funkce, které vede ke zmaření řádného splnění rozhodnutí NÚKIBU. [1]

Odborná literatura, z níž se dá také vyjít k tomuto uvádí, že „(s)oud rozhodne o vyloučení pouze v případě, že dotčený člen porušoval péči řádného hospodáře ‚opakovaně a závažně‘. Zákon nestanoví, kolikrát musí dojít k porušení a jak závažné toto porušení musí být, nicméně musí jít o vysokou intenzitu. U analogické formulace v trestněprávní úpravě pohrdání soudem se požaduje, aby k porušení došlo alespoň dvakrát [srov. § 336 písm. a) TrZ].“[2]

Vzhledem k výše uvedenému lze mít za to, že zákaz funkce by mohl být uložen po 1 vysoce závažném porušení povinnosti, anebo alespoň po 2 méně závažných porušeních povinností. Samotné jednání musí být osobě vykonávající funkci člena statutárního orgánu navíc vždy přičitatelné. Typicky půjde  dle důvodové zprávy o situace, kdy tato osoba odmítne provést bez relevantního důvodu povinnost uloženou nápravným opatřením NÚKIBU, nebo její splnění bezdůvodně maří či oddaluje. Může jít o případy, kdy člen statutárního orgánu odmítá zavést opatření, která jsou nápravným opatřením vyžadována, znemožňuje plnění zavedených opatření či vědomě klade překážky odpovědným pracovníkům. Pokud však povinnost uložená nápravným opatřením není plněna z jiných důvodů než v důsledku opakovaného nebo závažného porušení povinností statutárního orgánu, rozhodnutí nebude moc být vydáno a NÚKIB bude muset uložit jinou sankci.

Ukládání zákazu výkonu funkce by navíc mělo být dle důvodové zprávy používáno pouze v krajních případech, přesto lze doporučit zachovat opatrnost, neboť aplikovatelnost opatření není omezena jinými předpoklady (např. vyčerpáním zbylých sankčních mechanismů zákona).

Pokud jde o plnění nápravných opatření, tak člen statutárního orgánumusí počítat s tím, že splnění uloženého nápravného opatření nepostačí pouze deklarovat, musí být prokázáno. NÚKIB bude  u poskytovatelů regulované služby provádět kontrolu splnění uloženého nápravného opatření. Na základě výsledků provedené kontroly NÚKIB může zahájit řízení o vydání rozhodnutí o zrušení zákazu výkonu funkce. Považuje-li NÚKIB skutková zjištění za dostatečná, může být vydání rozhodnutí o zákazu výkonu funkce dokonce prvním úkonem v řízení.[3]

Doporučená opatření k omezení odpovědnosti

Pokud jde o omezení odpovědnosti členů statutárního orgánu, lze doporučit, aby poskytovatelé regulované služby určili 1 člena statutárního orgánu, který by byl zodpovědný za plnění povinností dle ZoKB. Povinnosti tohoto člena statutárního orgánu by měly být řádně vymezeny a jejich dodržování/kontrolování z jeho strany řádně a prokazatelně doložitelné. Pro omezení  odpovědnosti všech členů statutárního orgánů lze doporučit , aby došlo k rozdělení kompetencí v rámci představenstva/mezi jednateli, tak, aby za dodržování povinností dle ZoKB odpovídala primárně  1 osoba.

Jednání musí být členovi statutárního orgánu přičitatelné a pokud bude vnitřními předpisy určen pouze 1 člen statutárního orgánur, který bude zodpovědný za plnění povinností dle ZoKB, tak by již ostatní statutáři  měli čelit riziku uložení dočasného zákazu výkonu funkce pouze pokud odmítají poskytnout součinnost či jinak maří plnění nápravného opatření.

Nové povinnosti členů statutárního orgánu

Dle ust. § 4 vyhlášky č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností mají členové statutárního orgánu  rovněž celou řadu nových povinností, a to např.:

• prokazatelně absolvovat  školení;
• zajistit  stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací, slučitelných se strategickým směřováním povinné osoby;
• zajistit  dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací;
• podílet  se na vypracování analýzy dopadů;
• podporovat  osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti;
• zajistit  stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role;
• zajistit, aby byla zachována mlčenlivost u všech relevantních osob (zejména administrátorů, osob zastávajících bezpečnostní role a dodavatelů);
• pro osoby zastávající bezpečnostní role zajistit  pravomoci potřebné pro naplňování jejich rolí a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů a;
• zajistit testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.[4]

Členové statutárního orgánu  se rovněž  prokazatelně seznamují se:

• zprávou o přezkoumání systému řízení bezpečnosti informací;
• zprávou o hodnocení rizik;
• plánem zvládání rizik;
• výsledky analýzy dopadů; a
• výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti.

Členové statutárního orgánu  v rámci systému řízení bezpečnosti informací určí rovněž složení výboru pro řízení kybernetické bezpečnosti, bezpečnostní role, jejich práva a povinnosti související se systémem řízení bezpečnosti informací. Členem tohoto výboru navíc musí být alespoň jeden člen statutárního orgánu  nebo jím pověřená osoba (zpravidla zodpovědný vedoucí pracovník – nemůže se jednat o manažera kybernetické bezpečnosti) a manažer kybernetické bezpečnosti. Zodpovědný člen statutárního orgánu  (případně jím pověřená osoba) je tedy rovněž povinen účastnit se schůzí výboru, které probíhají v pravidelném intervalu.

Členové statutárního orgánu  dále musí určit osoby, které budou zastávat bezpečnostní role:

• manažera kybernetické bezpečnosti;
• architekta kybernetické bezpečnosti;
• garanta aktiva;
• auditora kybernetické bezpečnosti; a

zajistit zastupitelnost bezpečnostních rolí, tzn. manažera a architekta kybernetické bezpečnosti.[5]

Závěr a doporučení pro společnosti

Ze shora uvedeného je patrné, že společnosti by měly  jasně určit, kdo z vedení společnosti bude primárně zodpovědný za plnění povinností dle ZoKB. Členové statutárního orgánu , kteří budou plnit povinnosti dle ZoKB by měli nejdříve  vyhodnotit jaké povinnosti musí plnit a jak svěřené úkoly případně delegovat. Plnění povinností dle ZoKB (zvláště těch o kterých se sepisují záznamy) v každém případě není radno podceňovat, neboť jejich neplněním může být společnosti uložena vysoká pokuta a členům statutárního orgánu  dokonce zákaz výkonu funkce. Pro zorientování se v této komplexní materii je vhodné poradit se s odborníky na právo kybernetické bezpečnosti.

Mgr. Ondřej Rada,
advokátní koncipient
 

VKS Legal advokátní kancelář, s. r. o.

dům u Nováků, Vodičkova 30
110 00 Praha 1 - Nové Město, 3. schodiště, 5. patro

tel.: +420 224 947 158
e-mail: office@akvks.cz