Dočasný zákaz výkonu funkce statutára dle zákona o kybernetické bezpečnosti a nové povinnosti pro statutáry

Odpovědnost statutárů

Dle ust. § 58 ZKB může být členovi statutárního orgánu poskytovatele regulované služby v režimu vyšších povinností uložen dočasný zákaz výkonu funkce člena statutárního orgánu, a to až do doby odstranění zjištěných nedostatků, nejméně po dobu 6 měsíců, výkon této funkce. O dočasném zákazu výkonu funkce člena statutárního orgánu rozhoduje pouze NÚKIB, přičemž rozhodnutí lze vydat pouze vůči osobě v pozici člena statutárního orgánu (jednatel, člen představenstva).

Podmínkou pro vydání rozhodnutí je vždy existence příčinné souvislosti mezi jednáním statutárního orgánu a neplněním povinnosti uložené nápravným opatřením společnosti, kterou zastupuje. Důvodem pro uložení zákazu výkonu funkce tedy musí být jednání, které má přímou souvislost s ne/plněním povinnosti uložené nápravným opatřením NÚKIBU, které představuje závažné nebo opakované (tedy i méně závažné, ale vícečetné) porušení povinností osoby při výkonu funkce, které vede ke zmaření řádného splnění rozhodnutí NÚKIBU. [1]

Odborná literatura, z níž se dá vyjít k tomuto uvádí, že „(s)oud rozhodne o vyloučení pouze v případě, že dotčený člen porušoval péči řádného hospodáře ‚opakovaně a závažně‘. Zákon nestanoví, kolikrát musí dojít k porušení a jak závažné toto porušení musí být, nicméně musí jít o vysokou intenzitu. U analogické formulace v trestněprávní úpravě pohrdání soudem se požaduje, aby k porušení došlo alespoň dvakrát [srov. § 336 písm. a) TrZ].“[2]

Reklama

Vybraná judikatura vysokých soudů k zástavnímu právu (online - živé vysílání) - 23.1.2026

23.1.2026 09:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

Vzhledem k výše uvedenému lze mít za to, že zákaz funkce by mohl být uložen po jednom vysoce závažném porušení povinnosti, anebo alespoň po dvou méně závažných porušeních povinností. Samotné jednání musí být osobě vykonávající funkci statutárního orgánu navíc vždy přičitatelné. Typicky půjde o dle důvodové zprávy o situace, kdy tato osoba odmítne provést bez relevantního důvodu povinnost uloženou nápravným opatřením NÚKIBU, nebo její splnění bezdůvodně maří či oddaluje. Může jít o případy, kdy statutární orgán odmítá zavést opatření, která jsou nápravným opatřením vyžadována, znemožňuje plnění zavedených opatření či vědomě klade překážky odpovědným pracovníkům. Pokud však povinnost uložená nápravným opatřením není plněna z jiných důvodů než v důsledku opakovaného nebo závažného porušení povinností statutárního orgánu, rozhodnutí nebude moc být vydáno a NÚKIB bude muset uložit jinou sankci.

Ukládání zákazu výkonu funkce by navíc mělo být dle důvodové zprávy používáno pouze v krajních případech, přesto lze doporučit zachovat opatrnost, neboť aplikovatelnost opatření není omezena jinými předpoklady (např. vyčerpáním zbylých sankčních mechanismů zákona).

Pokud jde o plnění nápravných opatření, statutár musí počítat s tím, že splnění uloženého nápravného opatření nepostačí pouze deklarovat, musí být prokázáno. NÚKIB má totiž u poskytovatelů regulované služby provádět kontrolu splnění uloženého nápravného opatření. Na základě výsledků provedené kontroly NÚKIB může zahájit řízení o vydání rozhodnutí o zrušení zákazu výkonu funkce. Považuje-li NÚKIB skutková zjištění za dostatečná, může být vydání rozhodnutí o zákazu výkonu funkce dokonce prvním úkonem v řízení.[3]

Doporučená opatření k omezení odpovědnosti členů představenstva

Pokud jde o omezení odpovědnosti člena statutárního orgánu, mělo by být dostačující, pokud budou povinnosti člena statutárního orgánu řádně vymezeny a jejich dodržování/kontrolování z jeho strany řádně a prokazatelně doložitelné. Pro vyloučení odpovědnosti všech statutárů by mělo stačit, aby došlo k rozdělení kompetencí v rámci představenstva/mezi jednateli, tak, aby za dodržování povinností dle ZKB odpovídala pouze 1 osoba.

Jednání musí být statutárovi přičitatelné a pokud bude vnitřními předpisy určen pouze 1 statutár, který bude zodpovědný za plnění povinností dle ZKB, tak by již ostatní statutáři neměli čelit riziku uložení dočasného zákazu výkonu funkce.

Povinnosti statutára zodpovědného za plnění povinností dle ZKB

Dle ust. § 5 Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností má statutár rovněž celou řadu nových povinností, a to např.:

a) prokazatelně absolvuje školení;

b) zajišťuje stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací, slučitelných se strategickým směřováním povinné osoby;

c) zajišťuje dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací;

d) podílí se na vypracování analýzy dopadů;

e) podporuje osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti;

f) zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role;

g) zajistí, aby byla zachována mlčenlivost u všech relevantních osob (zejména administrátorů, osob zastávajících bezpečnostní role a dodavatelů);

h) pro osoby zastávající bezpečnostní role zajistí pravomoci potřebné pro naplňování jejich rolí a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů a;

ch) zajistí testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.[4]

Statutár se také prokazatelně seznamuje se:

• zprávou o přezkoumání systému řízení bezpečnosti informací;
• zprávou o hodnocení rizik;
• výsledky analýzy dopadů; a
• výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti.

Statutár v rámci systému řízení bezpečnosti informací určí rovněž složení výboru pro řízení kybernetické bezpečnosti, bezpečnostní role, jejich práva a povinnosti související se systémem řízení bezpečnosti informací. Členem tohoto výboru navíc musí být alespoň jeden statutár nebo jím pověřená osoba (zpravidla zodpovědný vedoucí pracovník – nemůže se jednat o manažera kybernetické bezpečnosti) a manažer kybernetické bezpečnosti. Statutár (případně jím pověřená osoba) je tedy rovněž povinen účastnit se schůzí výboru, které probíhají v pravidelném intervalu, a to alespoň jednou ročně.

Statutár dále musí určit osoby, které budou zastávat bezpečnostní role:

• manažera kybernetické bezpečnosti;
• architekta kybernetické bezpečnosti;
• garanta aktiva;
• auditora kybernetické bezpečnosti; a zajistit zastupitelnost bezpečnostních rolí, tzn. manažera a architekta kybernetické bezpečnosti.[5]

Závěr a doporučení pro společnosti a statutáry

Ze shora uvedeného je patrné, že společnosti musí jasně určit, kdo z vedení společnosti bude zodpovědný za plnění povinností dle ZKB. Statutár, který bude plnit povinnosti dle ZKB, by měl nejprve vyhodnotit, jaké povinnosti musí plnit a jak svěřené úkoly případně delegovat. Plnění povinností dle ZKB (zvláště těch o kterých se sepisují záznamy) v každém případě není radno podceňovat, neboť jejich neplněním může být společnosti uložena vysoká pokuta a statutárovi dokonce zákaz výkonu funkce. Pro zorientování se v této komplexní materii je vhodné poradit se s odborníky na právo kybernetické bezpečnosti.

Mgr. Ondřej Rada,
advokátní koncipient
 

VKS Legal advokátní kancelář, s. r. o.
 

dům u Nováků, Vodičkova 30
110 00 Praha 1 - Nové Město, 3. schodiště, 5. patro

tel.: +420 224 947 158
e-mail: office@akvks.cz