Kdo musí být pověřená osoba kybernetické bezpečnosti podle ZoKB?
Jmenování osoby pověřené kybernetickou bezpečností je neopominutelné opatření podle § 4 vyhlášky č. 410/2025 Sb. Nemusí jít o certifikovaného experta, ale musí mít pravomoci, odborné školení nebo znalost a pravidelnou vazbu na vedení.
Autor: Marco Zoratto, zakladatel Splnit.eu
Co říká vyhláška
Vyhláška č. 410/2025 Sb. v § 4 ukládá vrcholnému vedení určit osobu pověřenou kybernetickou bezpečností. Této osobě má vedení svěřit pravomoci potřebné k řízení a rozvoji kybernetické bezpečnosti, dohledu nad stavem a komunikaci s vrcholným vedením.
Vyhláška zároveň počítá s tím, že tato osoba bez zbytečného odkladu absolvuje odborné školení podle § 5 odst. 2 písm. d), nebo prokáže odbornou znalost v kybernetické bezpečnosti.
Kdo může roli zastávat
Pro malé a střední firmy je důležité, že role nemusí automaticky znamenat nového plnoúvazkového bezpečnostního specialistu. Klíčové jsou reálné pravomoci, zapojení do procesů a schopnost komunikovat s vedením.
Interní zaměstnanec IT
Nejčastější řešení. IT technik nebo IT manažer zná firemní infrastrukturu a přirozeně řeší přístupy, zálohy, aktualizace a incidenty.
Nemusí být seniorní bezpečnostní expert, ale měl by absolvovat školení a mít podporu vedení pro prosazování opatření.
Jiný zaměstnanec s technickým přehledem
Pokud nemáte interní IT, může roli zastat například provozní manažer, office manager nebo jednatel. Důležité je, aby měl přehled o systémech a dostatečnou autoritu.
Externí dodavatel
Roli lze prakticky podpořit externím IT dodavatelem nebo bezpečnostním konzultantem. U externího řešení si pohlídejte smluvní pravomoci, pravidelný reporting vedení a znalost vaší infrastruktury.
I při outsourcingu by firma měla mít interního vlastníka, který rozumí dopadu opatření na provoz.
Jaké znalosti musí mít
Vyhláška nevyjmenovává konkrétní certifikace. Pracuje s odborným školením nebo prokázáním odborné znalosti v kybernetické bezpečnosti.
- Absolvování odborného školení v kybernetické bezpečnosti, například přes dostupné vzdělávací materiály NÚKIB.
- Doložitelná praxe v IT nebo bezpečnosti, případně relevantní certifikace.
- Interní školení, pokud je konkrétní, evidované a odpovídá roli pověřené osoby.
Co musíte zdokumentovat
Pro přehled bezpečnostních opatření a případnou kontrolu potřebujete doložit, že role nebyla jen formální. Záznam by měl ukazovat jmenování, pravomoci, školení a vazbu na vedení.
- Jmenovací dokument: rozhodnutí jednatele, zápis z porady nebo samostatná listina.
- Datum jmenování a identifikace osoby.
- Doklad nebo záznam o školení či jiné odborné znalosti.
- Popis pravomocí v jmenovacím dokumentu nebo bezpečnostní politice.
- Způsob pravidelné komunikace s vrcholným vedením.
Jaké povinnosti má pověřená osoba
Po jmenování by pověřená osoba měla průběžně sledovat stav kybernetické bezpečnosti, koordinovat zavádění bezpečnostních opatření, udržovat přehled opatření a komunikovat s vedením.
V praxi nejde o to, aby sama provedla všechny technické úkoly. Má zajistit, že úkoly mají vlastníky, důkazy, termíny a že vedení ví, kde jsou otevřené mezery.
Praktický postup jmenování
Jmenování zvládnete v pěti krocích. Důležité je nezůstat u formálního podpisu, ale navázat roli na školení, pravomoci a přehled bezpečnostních opatření.
- Vyberte kandidáta s technickým přehledem a schopností komunikovat s vedením.
- Vydejte jmenovací dokument podepsaný jednatelem nebo vedením.
- Zajistěte vstupní odborné školení nebo doložení odborné znalosti.
- Zaevidujte jméno, datum, školení a pravomoci do přehledu bezpečnostních opatření.
- Nastavte čtvrtletní nebo alespoň pravidelný reporting stavu kybernetické bezpečnosti vedení.
Typické otázky
Může být pověřenou osobou jednatel? Ano, pokud reálně vykonává roli, absolvuje školení nebo prokáže znalost a má agendu kybernetické bezpečnosti pod kontrolou.
Co když nemáme žádného IT zaměstnance? Vyberte osobu s největším technickým přehledem a zajistěte jí školení a podporu externího IT dodavatele.
Musí být pověřená osoba plně uvolněna pro tuto roli? U menších firem v režimu nižších povinností může být role součástí stávající pracovní náplně, pokud má osoba dostatek času a pravomocí.
Co hrozí, když ji nejmenujeme? Jde o neopominutelné bezpečnostní opatření. Při kontrole by absence jmenování znamenala nedoložené plnění § 4 vyhlášky.
Jak pomůže Splnit.eu
Splnit.eu obsahuje pracovní postup pro evidenci pověřené osoby kybernetické bezpečnosti. Pomůže zaznamenat jméno, datum jmenování, školení, pravomoci a vazbu do přehledu bezpečnostních opatření.
Výstupem není jen interní poznámka, ale strukturovaný důkaz, který se promítne do přehledu podle § 3 odst. 2 vyhlášky č. 410/2025 Sb.
Zdroje a poznámka
Právní základ: § 4 a § 5 vyhlášky č. 410/2025 Sb. a podpůrné materiály NÚKIB pro režim nižších povinností.
Odkazy: https://www.zakonyprolidi.cz/cs/2025-410 a https://portal.nukib.gov.cz/storage/uploads/2026/01/12/videoprednaska_nizsi-rezim_uid_696502219e237.pdf.
Tento článek je praktický informační materiál. Nenahrazuje právní posouzení konkrétní regulované služby.
Související přehled předpisu
Otevřít přehled: ZoKB →Zaevidujte pověřenou osobu do přehledu opatření
Splnit.eu vás provede jmenováním, školením, pravomocemi a exportem evidence pověřené osoby do přehledu bezpečnostních opatření.
Spustit analýzu zdarma