- část
Nová legislativa v podobě zákona č. 264/2025 Sb., o kybernetické bezpečnosti, nahrazuje dosavadní právní úpravu a do českého prostředí přenáší přísné požadavky evropské směrnice NIS2. Pro tisíce organizací, které v závěru roku 2025 prošly povinnou registrací u NÚKIB, nyní běží jednoroční lhůta pro zavedení všech nezbytných bezpečnostních opatření. Tato moderní regulace se staví po bok stávajícího rámce GDPR, se kterým sdílí řadu požadavků na technické a organizační zabezpečení dat. Vznikající synergie mezi oběma oblastmi otevírají zásadní otázku, jakou roli má při budování systému kybernetické bezpečnosti hrát pověřenec pro ochranu osobních údajů a jak může jeho zapojení přispět k efektivní implementaci nových zákonných povinností.
Cesta k souladu s novým zákonem o kybernetické bezpečnosti
Regulace kybernetické bezpečnosti v evropském prostoru v posledních letech výrazně posiluje. Konkrétním projevem bylo přijetí tzv. směrnice NIS2,[1] která zásadně rozšiřuje rozsah regulovaných subjektů i požadavky na řízení kybernetických rizik. Do českého právní řádu byla tato směrnice transponována zákonem č. 264/2025 Sb., o kybernetické bezpečnosti („ZoKB“), jenž nahradil dosavadní právní úpravu obsaženou v zákoně č. 181/2014 Sb. Obsah bezpečnostních opatření a způsob jejich zavádění dále podrobněji upravují vyhlášky Národního úřadu pro kybernetickou a informační bezpečnost („NÚKIB“).
Pro velké množství organizací[2] byl proto rok 2025 ve znamení posuzování charakteru činností a poskytovaných služeb, velikosti podniku a jejich zařazení podle nové legislativy. Pokud byl výsledkem tohoto procesu závěr, že organizace splňuje parametry středního nebo velkého podniku a současně poskytuje regulované služby definované ve vyhlášce NÚKIB č. 408/2025 Sb., o regulovaných službách, vznikla jí v závěru roku 2025 povinnost provést registraci na portálu tohoto úřadu. Doručením rozhodnutí NÚKIB, kterým byla registrace potvrzena, začala organizaci – poskytovali regulované služby – běžet lhůta jednoho roku, ve které je povinna zavést všechna potřebná opatření k dosažení souladu s požadavky na zajištění kybernetické bezpečnosti.
Jakou roli může hrát pověřenec?
Nová právní úprava kybernetické bezpečnosti se zařadila vedle již existujícího právního rámce ochrany osobních údajů, reprezentovaného zejména nařízením GDPR,[3] jež obsahuje mimo jiné vlastní požadavky na technické a organizační zabezpečení zpracovávaných osobních údajů. Mezi oběma oblastmi tím vzniká řada průniků, a nabízí se proto otázka, jak lze těchto synergií využít při nastavování systému řízení kybernetické bezpečnosti. Správci a zpracovatelé osobních údajů, kteří zřizují pozici pověřence pro ochranu osobních údajů se mohou také logicky ptát, jakou roli může v tomto procesu hrát pověřenec.
Zaměříme se nejprve na vymezení postavení pověřence v systému kybernetické bezpečnosti a identifikaci oblastí, v nichž může jeho zapojení přispět k efektivní implementaci požadavků ZoKB.
Role v systému kybernetické bezpečnosti
ZoKB a prováděcí vyhlášky NÚKIB, ukládají poskytovatelům regulovaných služeb mimo jiné povinnost stanovit bezpečností role, tj. jmenovat konkrétní osoby a pověřit je řízením a rozvojem kybernetické bezpečnosti, dohledem nad stavem kybernetické bezpečnosti a komunikací s vrcholným vedením organizace.
Střední a menší organizace bez zásadního strategického významu, které poskytují regulovanou službu, musí podle vyhlášky NÚKIB č. 410/2025 Sb. určit konkrétní osobu pověřenou kybernetickou bezpečností.
Rozsah povinností při stanovení interních rolí se liší v návaznosti na to, zda poskytovatel regulované služby podléhá vyššímu či nižšímu režimu povinností – toto rozřazení vychází z výše zmíněného sebehodnocení, z kombinace sledovaných parametrů (velikost podniku a charakter poskytovaných služeb). Velké podniky, kritická infrastruktura nebo organizace s kritickým dopadem na stát či dané odvětví, tedy subjekty, na které se vztahuje režim vyšších povinností, mají na základě příslušné vyhlášky NÚKIB,[4] povinnost stanovit roli manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti. Středním a menším organizacím, které poskytují regulovanou službu, ale nemají zásadní strategický význam, vzniká na základě vyhlášky NÚKIB[5] povinnost určit osobu pověřenou kybernetickou bezpečností.
Pověřenec pro ochranu osobních údajů pochopitelně nemůže vzhledem k zákazu střetu zájmů podle čl. 38 odst. 6 GDPR zastávat žádnou z uvedených rolí. Současně je ale nutno zohlednit povinnost vyjádřenou v čl. 38 odst. 1 GDPR, podle kterého je nutno pověřence včas zapojit do všech záležitostí souvisejících se zpracováním osobních údajů. Opatření přijímaná k prevenci kybernetických hrozeb nepochybně mezi takové záležitosti patří a v tomto smyslu je tedy určitá forma zapojení pověřence do implementace požadavků ZoKB přímo povinností správce a zpracovatele údajů.
Role pověřence se tak nachází mimo formální strukturu kybernetické bezpečnosti, nikoli však mimo její věcný rámec.
Oblasti průniku mezi ochranou osobních údajů a kybernetickou bezpečností
Kybernetická bezpečnost je s ochranou osobních údajů přirozeně propojena, přičemž průniky vznikají zejména v oblasti řízení rizik, zvládání incidentů, dokumentace a školení. Ve všech těchto oblastech může být pověřenec zdrojem cenných zkušeností a spojovacím článkem mezi ochranou osobních údajů s širším rámcem kybernetické bezpečnosti.
a) Řízení bezpečnostních rizik („risk management“)
Základním východiskem pro správnou implementaci opatření podle ZoKB je identifikace a posouzení tzv. primárních a sekundárních aktiv a dále identifikace hrozeb, zranitelností a rizik, která tato aktiva a tím samotnou činnost organizace ohrožují. Aby k žádnému ohrožení (incidentu) nedošlo, jsou organizace povinny zavádět opatření k identifikaci hrozeb a zranitelnosti a minimalizaci rizik.
Tento tzv. risk-based přístup je společný pro oba regulatorní rámce, GDPR i ZoKB. Namísto plošného uplatňování stejných pravidel na všechny situace a procesy se opatření zaměřují primárně na oblasti s nejvyšším rizikem. K dosažení souladu s požadavky legislativy ale nestačí pouze iniciační vyhodnocení rizik a přijetí opatření, musí být zaveden kontinuální proces spočívající v identifikaci a analýze rizik, zavádění opatření k jejich zmírnění, vyhodnocování efektivity těchto opatření a jejich případná aktualizace či úprava.[6]
Pro bližší představu, co se pod uvedenými pojmy v kontextu kybernetické bezpečnosti skrývá: primárními aktivy se rozumí vše, co má pro organizaci přímou hodnotu, kterou je třeba chránit, což jsou např. i informace a data (včetně osobních údajů) nebo poskytované služby. Jako sekundární aktiva se označuje vše, co tyto chráněné hodnoty podporuje, např. IT systémy, infrastruktura nebo lidské zdroje. Pojmy zranitelnost, hrozba a riziko se v oblasti kybernetické bezpečnosti používají v tom smyslu, že hrozbou je jakýkoli (vnější i vnitřní) faktor, který může způsobit narušení bezpečnosti informací nebo systémů. Zranitelností je určitá slabina nebo nedostatek v systému, v procesech nebo v organizaci, který může být zneužit. A riziko vyjadřuje pravděpodobnost, že kombinací hrozby a zranitelnosti dojde k incidentu.
Z pohledu organizace spadající do režimu ZoKB jsou osobní údaje jedním z primárních aktiv, jehož ochrana je regulována také dalším speciálním právním předpisem. K zajištění bezpečnosti osobních údajů slouží soubor sekundárních aktiv – technická a organizační opatření v oblasti informačních systémů, fyzické bezpečnosti a lidských zdrojů. Tato opatření přitom musí splňovat jak nároky GDPR, tak i požadavky ZoKB.
V diskuzi o zavedení a dalším rozvoji kybernetické bezpečnosti je na místě považovat pověřence za jednoho z legitimních aktérů.
Činnost pověřence je zaměřena na jeden relativně úzký segment aktiv (hodnot), která spadají do rámce kybernetické bezpečnosti. Ochrana osobních údajů také akcentuje zejména dopady na práva subjektů údajů, nikoli dopady hrozeb na dostupnost a integritu služeb poskytovaných danou organizací. Postupy a principy, jakými se řídí ochrana údajů podle GDPR a aktiv podle ZoKB, jsou nicméně velmi podobné až totožné. Z tohoto důvodu je na místě považovat pověřence za jednoho z legitimních aktérů v diskuzi o zavedení a dalším rozvoji kybernetické bezpečnosti. Přispět může zejména zkušeností s posuzováním a hodnocením rizik (risk assessment) nebo s tvorbou bezpečnostních analýz (zkušenosti s přípravou DPIA).
b) Řízení a oznamování incidentů („incident management“)
Zvládání případných incidentů je další z oblastí, kde dochází k průniku právní úpravy ochrany osobních údajů a kybernetické bezpečnosti. Podobnosti jsou jak v procesu interního řízení incidentů, tak i v jejich oznamování.
Na základě čl. 33 a 34 GDPR je správce osobních údajů povinen bezodkladně vyhodnotit každé porušení zabezpečení osobních údajů, a pokud se jedná o případ, kdy nelze vyloučit zásah do práv subjektů údajů, musí je nejpozději do 72 hodin od zjištění ohlásit Úřadu pro ochranu osobních údajů („ÚOOÚ“). Pakliže již není možné v této lhůtě poskytnout všechny informace podle čl. 33 odst. 3 písm. a) až d) GDPR, musí je správce doplnit později, jakmile je to možné.
Vícefázové hlášení incidentů obsahuje i ZoKB. Podle § 16 tohoto zákona je poskytovatel regulované služby povinen hlásit kybernetické bezpečnostní incidenty nejpozději do 24 hodin od zjištění. V této lhůtě odesílá prvotní hlášení, v němž uvede základní údaje o incidentu. V případě významných incidentů (s významným dopadem na poskytování regulované služby nebo na kybernetický prostor státu) vzniká následně povinnost aktualizovat a doplnit ohlášené údaje nejpozději do 72 hodin od zjištění incidentu a dále do 30 dnů předložit závěrečnou zprávu o vyřešení kybernetického bezpečnostního incidentu.[7]
Při incidentech, které zasahují jak kybernetickou bezpečnost, tak ochranu osobních údajů, je součinnost mezi bezpečnostními experty a pověřencem nezbytná pro správné vyhodnocení situace a efektivní koordinaci zákonných ohlašovacích povinností vůči oběma dozorovým úřadům.
V praxi lze očekávat, že některé incidenty budou zároveň porušením zabezpečení osobních údajů podle GDPR i kybernetickým bezpečnostním incidentem podle ZoKB. Organizace bude v takovém případě povinna paralelně vyhodnotit nastalou situaci podle obou zmíněných norem a případně také ohlásit oběma příslušným úřadům (NÚKIB i ÚOOÚ). Spolupráce osob odpovědných za zajištění kybernetické bezpečnosti a pověřence je v takovém případě nejen žádoucí, ale dokonce klíčová pro správnou právní kvalifikaci incidentu, při koordinaci oznamovacích povinností i navazujících opatření.
Pověřenec může v této oblasti nabídnout zkušenosti z řešení případů porušení bezpečnosti osobních údajů, včetně znalosti interních postupů pro hodnocení incidentů, rozhodování o notifikaci dozorovému úřadu nebo posuzování dopadů na třetí osoby. Přínosné mohou být i zkušenosti získané spoluprací s dalšími interními útvary a aktéry při zvládání a minimalizaci následků incidentu.
Na uvedeném nemění nic fakt, že účel notifikace podle GDPR a ZoKB se liší, když v prvním případě jde primárně o ochranu práv subjektu údajů, zatímco ve druhém o zajištění stability a bezpečnosti regulovaných služeb a kybernetického prostoru státu jako celku. Kromě těchto veřejnoprávních zájmů jsou totiž ve hře i zájmy dané organizace, jako je ochrana vlastních hodnot (aktiv), předcházení postihu za porušení právních předpisů a v neposlední řadě ochrana dobré pověsti.
c) Nastavení pravidel a sledování souladu s předpisy („governance a compliance“)
Nová právní úprava kybernetické bezpečnosti klade velmi silný důraz na osobní odpovědnost vrcholného vedení organizací. Poskytovatel služeb, který spadá do působnosti ZoKB, a zejména do režimu vyšších povinností, musí zajistit, aby byl top management přímo zapojen do implementace a rozvoje systému řízení bezpečnosti informací. To znamená zejména proškolení a pravidelné informování managementu, jeho přímou účast na stanovení bezpečnostní politiky a integraci jejích cílů do všech relevantních vnitřních procesů. Povinností vedení je také zajištění potřebných zdrojů a podpory k neustálému zlepšování systému bezpečnosti informací a zjištění informovanosti všech relevantních osob.
Nová legislativa přenáší přímou odpovědnost za kybernetickou bezpečnost na vrcholové vedení, které může při plnění těchto povinností efektivně využít zkušenosti pověřence s řízením rizik, dokumentací a komunikací s regulátory, jež se osvědčily již v rámci GDPR.
GDPR na rozdíl od ZoKB explicitně nepracuje s institucionální rolí vrcholného managementu, nicméně z principu odpovědnosti (accountability) lze jeho zapojení jednoznačně dovodit. Je to právě vymezení úkolů pověřence, kde se top management dostává výslovně do hry, neboť na základě čl. 38 odst. 3 GDPR má být pověřenec přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. Úkolem pověřence je komunikovat o tématech spojených s ochranou osobních údajů přímo s vrcholným vedením. Díky tomu disponuje zkušenostmi se zapojením vedení do nastavování a rozvoje systému řízení rizik, které jsou přenositelné i do oblasti regulované ZoKB. Stejně tak může nabídnout znalost konkrétních postupů, které se v praxi ukázaly jako neefektivní, nebo forem spolupráce, jež se naopak osvědčily.
Společným prvkem regulace podle GDPR i ZoKB je dále nezbytná dokumentace přijatých rozhodnutí a provedených opatření, bez které není možné soulad s požadavky právních předpisů doložit. Metodiky pro vedení dokumentace, příp. i některé vzory spravované pověřencem by mohly sloužit jako východisko pro potřeby dokumentace podle ZoKB.
Pověřenec může dále nabídnout poznatky ze zavedení interních kontrolních mechanismů, realizace kontrol a dohledu nad plněním nápravných opatření, která z kontrol vyplynula. V neposlední řadě má dnes již řada pověřenců zkušenosti s komunikací s příslušnými regulátory (ÚOOÚ), ať již v rámci konzultací, nebo řešení incidentů.
d) Školení a posilování povědomí (awareness)
Informování a proškolení osob, které se podílejí na zpracování osobních údajů, je klíčovým momentem při zajištění ochrany zpracovávaných dat a dosažení souladu s požadavky GDPR. Bez náležitého informování a zahrnutí povinností vyplývajících z GDPR do závazných interních předpisů nebo smluv nelze hovořit o řádném splnění povinnosti zavést odpovídající organizační opatření ve smyslu čl. 24 a 25 GDPR. Doložitelné proškolení spojené s kontrolou plnění nastavených pravidel také hraje důležitou roli v případě posuzování odpovědnosti za porušení GDPR, resp. jejího rozsahu u správce a zpracovatele.
Pověřenec může díky tematickému průniku obou oblastí využít své zkušenosti z GDPR k vytvoření efektivního systému společného vzdělávání, čímž organizaci pomůže splnit zákonné požadavky na zvyšování bezpečnostního povědomí podle nového ZoKB.
Obdobně i ZoKB zdůrazňuje význam bezpečnostního povědomí zaměstnanců nebo osob v podobném postavení, které mohou mít jakýkoli podíl na systému řízení bezpečnosti informací. Úkolem top managementu, jak již bylo zmíněno, je nejen informovat zaměstnance a všechny dotčené osoby o významu systému řízení bezpečnosti informací a o potřebě dosáhnout nastavených cílů, ale také podporovat zaměstnance v dalším rozvíjení efektivity bezpečnostních opatření.
Uvedené povinnosti nelze efektivně plnit bez propracovaného systému školení, přičemž v tomto ohledu může pověřenec opět nabídnout řadu svých praktických poznatků a zkušeností. Vzhledem k tematické blízkosti se přímo nabízí propojení školení a zvyšování povědomí v oblasti ochrany osobních údajů a kybernetické bezpečnosti současně.
Spojení agendy ochrany osobních údajů a kybernetické bezpečnosti je praktické i v rámci ad hoc kampaní, které většina zaměstnavatelů pravidelně připravuje za účelem zvýšení povědomí o základních pravidlech a nových hrozbách v obou oblastech.
Závěr
Ochranu osobních údajů a kybernetickou bezpečnost je v praxi zapotřebí vnímat jako úzce související disciplíny. Ačkoli regulace sledují odlišné cíle, sdílejí obdobné principy i nástroje. Klíčovou otázkou proto není, zda pověřence pro ochranu osobních údajů do systému kybernetické bezpečnosti zapojit, ale jakým způsobem nastavit jeho roli tak, aby byla efektivní a současně v souladu s požadavky právních předpisů.
Příště rozebereme praktické aspekty této spolupráce, zejména nastavení vztahů mezi jednotlivými rolemi, koordinaci notifikace incidentů nebo propojení procesů řízení rizik.
[1] Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).
[2] Odhady hovořily o tom, že do režimu ZoKB bude spadat cca 6 000 organizací; k 8. únoru 2026 provedlo registraci u 4825 subjektů (viz webové stránky NÚKIB, sekce aktuality, https://nukib.gov.cz/cs/infoservis/aktuality/2372-ohlaseni-podle-noveho-zakona-o-kyberneticke-bezpecnosti-provedlo-pres-4800-organizaci).
[3] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů).
[4] Konkrétně § 5 vyhlášky NÚKIB č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
[5] Vyhláška č. 410/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností.
[6] Jedná se o tzv. PDCA cyklus (Plan – Do – Check – Act).
[7] Poskytovatelé služby v režimu vyšších povinností musí hlásit všechny incidenty pocházející z kyberprostoru, pokud u nich do 24 hodin od zjištění není možné vyloučit úmyslné zavinění. Další etapy hlášení se uplatní až v případě, kdy NÚKIB incident klasifikuje jako významný. Poskytovatelé v režimu nižších povinností hlásí pouze ty incidenty, které vyhodnotí jako významné podle kritérií stanovených příslušnou vyhláškou.
Ludmila Probstová
Autorka je GDPR specialistka ve společnosti Bosch