Co dělá a kolik bere Manažer kybernetické bezpečnosti? Kompletní průvodce pro rok 2026

Konec éry „to je věc IT“. Odpovědnost přebírá statutární orgán.

Kybernetická odolnost už není technický parametr, ale stala se právní a manažerskou povinností. S účinností nového Zákona o kybernetické bezpečnosti (264/2025 Sb.) se odpovědnost za incidenty přesouvá ze serveroven přímo na bedra CEO, jednatelů a představenstev. Lucie Balýová a Aleš Pilný v tomto rozhovoru vysvětlují, proč může neznalost managementu v roce 2026 vést k osobní odpovědnosti statutárních činitelů, sankcím a proč kyberbezpečnost definitivně opustila IT oddělení.

Aleš Pilný (AP): Lucie, dříve management kyberbezpečnost ignoroval delegoval s tím, že „je to záležitost IT“. A pak přišel nový zákon č. 264/2025 Sb. a tohle alibi definitivně zrušil. Co to v praxi znamená pro jednatele a CEO?

Lucie Balýová (LB): Znamená to revoluci v odpovědnosti. Evropská směrnice NIS2 (Network and Information Security Directive), konkrétně EU 2022/2555 je transpozicí zákona o kybernetické bezpečnosti, který najdeme ve Sbírce zákonů pod číslem 264/2025 Sb., to definuje jasně:

Statutární orgán je přímo odpovědný za schválení a dohled nad bezpečnostními opatřeními. Pokud se v případě kybernetického incidentu zjistí, že vedení zanedbalo své povinnosti (nebo se odmítlo vzdělávat, posilovat bezpečnost), sankce nejdou za firmou jako takovou, ale míří na konkrétní osoby. Už to není „problém to týpka z IT“, je to vysoké riziko, které míří na záda statutárnímu orgánu.

AP: Stále tu jsou jednatelé, kteří uzavřeli jakousi "pojistku" na kybernetická rizika. jednatelů si stále myslí, že když si koupí pojistku nebo to za ně řeší HW/SW produkt se samolepkou "NIS2 ready", tak že mají klid.

LB: Právě naopak. Pojistka nepomůže, pokud auditor zjistí, že management neprošel povinným školením, které zákon vyžaduje. V TAYLLORCOX učíme management, jak se stát „poučeným vlastníkem“. CEO nemusí vědět, jak nastavit VPN, ale musí rozumět analýze rizik, aby mohl s čistým svědomím podepsat strategii rozvoje. Kybernetická bezpečnost se prostě stala součástí péče řádného hospodáře.

AP: Takže když za mnou (Auditorem) přijde jednatel a řekne „já tomu nerozumím, zeptejte se našeho IT manažera“, nebo "my to outsourcujeme, to musíte zavolat na jejich helpdesk), tak je to vlastně přiznání k porušení zákona?

LB: V podstatě ano. Podle nové legislativy se vedení musí aktivně účastnit procesu řízení bezpečnosti. Do ČR jsme jako první přinesli kompletní EU Cyber Security akademii (EUCC), která komplexně pokrývá nejen technické kurzy, ale také executive programy pro C-level a Manažery. Učíme je metodicky řídit, mluvit stejnou terminologií, pomáháme dávat správné otázky a celkově tvořit ekosystém, jak ochránit sami sebe před právními následky kybernetického útoku.

AP: Pojďme k tomu, co zajímá management nejvíc, čísla. Řada statutárů žije v představě, že pokuta bude pár desítek tisíc, které firma „nějak odepíše“. Jaká je realita s novým zákonem č. 264/2025 Sb.?

LB: Takový omyl může přijít draho. Nová legislativa počítá s pokutami, které jsou nastaveny podobně jako u GDPR, procentem z celosvětového obratu. Mluvíme o částkách až do 250 milionů Kč nebo 2 % z celkového ročního obratu (podle toho, co je vyšší).

AP: To už zní jako likvidační záležitost pro středně velkou firmu. Ale co ta osobní rovina, o které jsme mluvili?

LB: To je ta největší změna. Pokud se prokáže, že statutární orgán (jednatel, člen představenstva) zanedbal své povinnosti (ignoroval výsledky auditů, neschválil bezpečnostní opatření atd.) tak zde hrozí osobní odpovědnost za škodu způsobenou společnosti. V extrému můžeme dojít i k dočasnému zákazu výkonu funkce.

AP: Takže když jako auditor do zprávy napíšu, že vedení odmítlo školení managementu, a pak přijde útok, mají v rukou „vlastní rozsudek“?

LB: Přesně tak. Právě proto je školení v EU Cyber Security akademii pro management formou právní pojistky. Když jednatel doloží, že se aktivně vzdělává, schvaluje analýzy rizik a řídí bezpečnost jako součást péče řádného hospodáře, jeho právní pozice je diametrálně odlišná. V TAYLLORCOX jim nedáváme jen znalosti, dáváme jim důkaz o tom, že svou odpovědnost berou vážně.

AP: Lucie, u auditů lze stále narazit na případy, kdy vedení firmy schválí nákup bezpečnostního softwaru, ale pak zjistíš, že heslo k němu je "Admin123". 

Nedávno jsme testovali švýcarskou banku, do jedné hodiny 68% uživatelů kliklo na phishing a téměř polovina se snažila vyplnit formulář a "odevzdala hesla". To se opravdu stalo. Proč je ta propast mezi technologií a managementem stále tak hluboká?

LB: Kyberbezpečnost byla dlouho vnímána jako "nutné zlo", které ukrajuje z rozpočtu IT. Ale realita roku 2026+ je taková, že kybernetické průšvihy nezačínají v serverovně, ale v zasedačce. Pokud majitel firmy nepochopí, že on nese odpovědnost za kontinuitu byznysu, žádný software ho nezachrání. Skutečná odolnost vyžaduje standardy, metodiku a strategii, nikoliv jen "krabice".

AP: To mě přivádí k roli Manažera kybernetické bezpečnosti (MKB, nebo také CISO). Hodně lidí si pořád myslí, že je to seniorní týpek z IT. Jak ho definuješ ty?

LB: MKB je v podstatě manažerský „single point of contact“ mezi technickou vrstvou a byznysem. MKB neřeší, jaký model firewallu se koupí, to si má řešit Architekt. Manažer KB určuje, CO a PROČ musíme chránit. Nastavuje ISMS (Systém řízení bezpečnosti informací), řídí rizika a zajišťuje compliance s ISO 27001 nebo NIS2.

AP: Lucie, trh je teď v šíleném tlaku. Kolik dnes takový kvalifikovaný Manažer Kybernetické Bezpečnosti vlastně bere peněz?

LB: Ten hlad je neuvěřitelný. Kvůli legislativě spadlo do přísné regulace přes 6 000 firem. A výsledek? Junior MKB (menší firmy): 90 000 – 130 000 Kč / měsíc. Přitom v době platnosti starého zákona 181/2014 Sb. to bylo v rozmezí 40 000 - 80 0000. Seniorní MKB (střední podnik) je na tom o dost lépe, 140 000 – 200 000 Kč / měsíc. A v korporátu a financích dnes hledají na pozici Manažera s rozpočtem 200 000 – 350 000 Kč / měsíc.

AP: To jsou obrovské náklady na jednoho zaměstnance. Máme pro firmy, které na to nemají rozpočet, nějakou jinou cestu?

LB: Rozhodně. Raketově roste trend vCISO (Virtual CISO). Je to outsourcing manažera na pár dní v měsíci. Firma získá seniorní know-how, hotovou metodiku a zkušenosti z desítek jiných projektů za zlomek ceny interního zaměstnance.

AP: Jako auditor vidím, že největší tření vzniká tam, kde si lidé pletou kompetence a slučují neslučitelné role. Nemáš nějaký tip ze školení, jak si to jednou pro vždy vyjasnit?

LB: Mám :-) Je to jako na stavbě. Manažer KB (MKB / CISO) je takový projektant. Ví, co má hodnotu / cenu a jaká jsou rizika. Architekt (ArKB) zkrátka statik a inženýr. Navrhuje, jak to postavit, aby nám to nespadlo na hlavu. 

A když to stojí, přijde Auditor (AKB). To je kolaudační komise. Nezávisle prověří, zda dům stojí podle plánu. Abych nezapomněla, ty největší firmy mají i více jako 100 Garantů aktiv. A právě Garant aktiva (GA) má radost, to je ten uživatel budovy (např. HR ředitel). Ten ví, jaká data uvnitř "bydlí".

AP: Už slyším od MKB, ArKB jak jim ten auditor "háže klacky pod nohy". Já to ale vidím obráceně. Nebo?

LB: Přesně tak! My učíme, že nálezy auditora jsou nejlepším podkladem, když jdete za vedením žádat o rozpočet. Auditor mu vlastně dává do ruky "důkaz", že je potřeba investovat.

AP: Otočme list. Jak se může Manažer KB dostat na statisícový plat?

LB: Praxe je jedna věc, ale trh vyžaduje mezinárodní certifikace. V TAYLLORCOX campusu postupujeme podle standardů ENISA a certifikujeme dle požadavků ECSF. Klíčové je porozumět ISMS dle ISO 27001 a řízení rizik dle ISO 27005.

AP: Vzpomínám si na Elišku Houhovou z Grant Thornton. Ta k nám přišla jako junior konzultantka compliance.

LB: Ano, Eliška je skvělý příklad kariérního posunu. Díky našemu kurzu propojila teorii se Zákonem o kybernetické bezpečnosti (264/2025 Sb.). Získala jistotu před regulátory i klienty. To je ten rozdíl – u nás se neučíte text zákona, ale to, jak ho aplikovat v reálné firmě.

AP: Lucie, na trhu je spousta školení. Jaký je nejčastější důvod, proč volí TAYLLORCOX campus? A stručně :-)

LB: Jsme technologicky neutrální. Neprodáváme software ani hardware. Naším jediným zájmem je vaše bezpečnost. Trenéři jsou, stejně jako ty, praktikující auditoři. To znamená, že nečtou z prezentací, ale sdílejí zkušenosti z reálných kontrol v bankách a pojišťovnách. A v neposlední řadě mezinárodní i národní akreditace NÚKIB. Prakticky nic víc nejde, neexistuje. Pokud vezmu fakt, že kurz ani nevyčnívá cenou, jde o bezkonkurenčně nejlepší poměr kvality a ceny.

FAQ na které už nebyl prostor:

Co vyžaduje NIS2 a nový ZKB (264/2025 Sb.)?

Vyžaduje prokazatelné řízení rizik, vzdělávání managementu a hlášení incidentů. Pro vedení firem to znamená přímou odpovědnost za kybernetickou bezpečnost.

Je certifikace od TAYLLORCOX mezinárodně uznávaná?

Ano, naše akreditace odpovídají globálním standardům ISO a doporučením agentury ENISA. Školíme týmy z řad kritické informační infrastruktury státu i soukromého sektoru.

Jaký je rozdíl mezi interním a virtuálním CISO (vCISO)?

Interní CISO je zaměstnanec na plný úvazek. vCISO je externí expert/auditor, který vaši bezpečnost řídí na bázi outsourcingu (např. 4 dny v měsíci).