Kybernetická bezpečnost už dávno není jen technickou disciplínou, ale stále více otázkou geopolitiky. Varování vydaná Národním úřadem pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) mají přímý dopad na fungování finančního trhu, protože ukazují, že rizika mohou přicházet přímo od dodavatelů technologií a služeb, na nichž stojí celé banky, pojišťovny či burzy. Do hry se tak dostávají i fintechy, které se jako součást dodavatelského řetězce mohou stát terčem útoku a tím zasáhnout své klienty. Některé fintechy mohou podléhat požadavkům Nařízení DORA i nového zákona č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen „nZKB“), který do českého práva provádí směrnici NIS2, a to buď přímo jako poskytovatelé regulovaných služeb, nebo nepřímo prostřednictvím smluvních závazků vůči těmto poskytovatelům (což se vztahuje nejen k odvětví finanční trh, ale i k odvětví digitální infrastruktura a služby). Jde o střet národních zájmů, evropské regulace a globálních dodavatelů, který nutí všechny hráče přehodnotit, na čem jejich digitální infrastruktura stojí. A právě na tomto pozadí je třeba se ptát, co pro fintechové subjekty znamená varování před čínskými technologiemi a jaká opatření jim pomohou adaptovat se v prostředí, kde se kybernetická bezpečnost stává otázkou ekonomické síly a důvěryhodnosti.
Varování NÚKIB jako nástroj prevence
Institut varování byl původně upraven v § 12 dnes již zrušeného zákona č. 181/2014 Sb., o kybernetické bezpečnosti („sZKB“). Od 1. listopadu 2025 jej v plném rozsahu nahradil nZKB, který částečně převzal také úpravu opatření a tzv. protiopatření (§ 20 odst. 1 nZKB), kam varování patří. Materiálně však zůstává právní úprava prakticky totožná a varování vydaná podle sZKB se považují za varování podle nZKB.
Podle § 22 nZKB vydává NÚKIB varování z úřední povinnosti, pokud zjistí závažnou hrozbu nebo zranitelnost v oblasti kybernetické bezpečnosti. Jde o preventivní nástroj, který má upozornit na rizika dříve, než dojde ke kybernetickému incidentu (na rozdíl od tzv. reaktivního protiopatření). Varování se tedy vydává tehdy, když už existuje reálná a významná hrozba, jíž nelze čelit běžnými preventivními opatřeními, a je nutné na ni upozornit celý relevantní ekosystém.
Varování před předáváním dat a vzdálenou správou z Číny
Dne 3. září 2025 vydal NÚKIB varování „před předáváním dat a vzdálenou správou z Číny“ (dále jen „Varování“). NÚKIB zde upozorňuje, že čínská legislativa umožňuje státním orgánům Čínské lidové republiky požadovat přístup k systémovým i uživatelským datům, která čínské společnosti shromažďují nebo spravují, a to i v případě, že se tato data fyzicky nacházejí mimo území Číny..
Podle Varování je Čínská lidová republika dlouhodobě aktivní v oblasti právní a politické kontroly internetových dat a využívá rozsáhlý systém zákonů a nařízení, kterými zavazuje soukromé čínské korporace ke spolupráci s veřejnými orgány. Tyto společnosti jsou tak povinny na vyžádání poskytovat systémová a uživatelská data čínské administrativě, což může mít zásadní dopad na ochranu informací mimo území ČLR.
Jestliže NÚKIB vydá takové Varování za účelem obecné informovanosti českých povinných subjektů, může mít toto upozornění nepřímý dopad i na další subjekty působící v Česku, které jsou součástí dodavatelských řetězců (§ 27 a násl. nZKB). Samotné Varování není právně závazné, neukládá povinnost a jeho nesplnění nelze sankcionovat. Jeho účelem je především naplnit ústavní a zákonnou povinnost státu zajišťovat bezpečnost (čl. 2 odst. 3 Ústavy ve spojení s čl. 3 odst. 2 ústavního zákona o bezpečnosti ČR).
Odpovědnost jako důsledek nečinnosti
Pokud však NÚKIB na hrozbu řádně upozorní, každý povinný subjekt, který nepřijme odpovídající opatření (např. neukončí smlouvu s rizikovým subjektem, neprověří bezpečnost používaného softwaru), nese zvýšené riziko odpovědnosti. Pokud v důsledku této nečinnosti vznikne škoda, může poškozený partner uplatnit nárok na její náhradu dle § 2900 a § 2901 občanského zákoníku. V případě škody způsobené provozní činností pak může přicházet v úvahu i aplikace § 2924 občanského zákoníku.
Jestliže subjekt provozuje závod, například poskytuje softwarové služby, a nevynaloží veškerou péči, kterou lze rozumně požadovat s ohledem na známá rizika v oblasti kybernetické bezpečnosti, nemůže se odpovědnosti zprostit poukazem na to, že varování NÚKIB nebylo právně závazné. V krajním případě mu může vzniknout povinnost nahradit nejen skutečnou škodu, tedy minimálně náklady na obnovu celého informačního systému, ale také ušlý zisk. Taková újma přitom nemusí být kryta běžným pojištěním odpovědnosti. Navíc nedostatečná implementace opatření kybernetické bezpečnosti může vést i k vyšším platbám pojistného u pojištění kybernetických rizik nebo ke snížení pojistného plnění, pokud pojišťovna vyhodnotí, že subjekt nepostupoval s náležitou odbornou péčí.
Z uvedeného dále vyplývá, že povinné subjekty mohou uplatnit regresní náhradu škody nebo její části i vůči nepovinným subjektům v dodavatelském řetězci, které svým jednáním či opomenutím k újmě přispěly. Proto nelze Varování NÚKIB vnímat jen jako doporučení bez právních následků. I když samo o sobě nevytváří přímou povinnost, určuje standard péče řádného hospodáře a odborné péče, podle něhož se bude hodnotit odpovědnost jak povinných subjektů, tak i jejich dodavatelů. Jak připomíná Metodika NÚKIB k danému Varování (bod 4.3), je sice na zvážení nepovinných subjektů, zda budou hrozbu reflektovat, avšak z výše uvedeného je zřejmé, že opomenutí může mít významné dopady.
Důsledky Varování pro fintech subjekty
Jak bylo uvedeno výše, povinnosti z nZKB se mohou dotknout i fintechů, a to nepřímo, zejména skrze prověřování dodavatelů a digitální provázanost trhu. V tomto ohledu je nutné uvést, že odvětví digitální infrastruktura a služby má v rámci unijní úpravy zvláštní postavení, jelikož požadavky na bezpečnostní opatření vycházejí z Prováděcího nařízení Komise (EU) 2024/2690, kterým se stanoví pravidla na uplatňování směrnice NIS2, pokud jde o technické a metodické požadavky na opatření k řízení kybernetických bezpečnostních rizik („Prováděcí nařízení k digitálním službám“). Bod 5 přílohy č. 1 Prováděcího nařízení k digitálním službám navíc stanovuje konkrétní požadavky na bezpečnost dodavatelského řetězce, v rámci čehož se vnitrostátní nástroj Varování dá dle našeho názoru prakticky aplikovat. Typickými místy napojení fintechů na povinné subjekty jsou platební a karetní platformy, cloudová řešení, výrobci bezpečnostních prvků, SWIFT service bureau, systémy pro AML a bankovní infrastrukturu nebo různé formy outsourcingu. Mějme příklad společnosti XYZ, která je povinným subjektem dle nZKB a která využívá evropský software pro správu obchodů s cennými papíry. Tento software spravuje lokální poskytovatel služeb (který není povinným subjektem dle nZKB), avšak samotný provoz běží v cloudové infrastruktuře čínského dodavatele, například Huawei Cloud. V takové konfiguraci je sice jádro systému evropské a správa lokální, ale kritická část dodavatelského řetězce se nachází pod čínskou jurisdikcí. Pokud by NÚKIB vydal protiopatření vůči využívání daného cloudu, dopadlo by to nejen na software, ale i na navazující správu a provozní prostředí. Společnost XYZ by musela zajistit okamžitou náhradu technologické infrastruktury, nebo žádat o dočasnou výjimku, pokud by se jednalo o strategicky významnou službu (§ 30 nZKB), aby zachovala kontinuitu svých služeb. Protiopatření NÚKIB se v takových případech může vztahovat nejen na samotný software, ale i na poskytovatele správy či cloudové prostředí, v němž systém běží. A tedy se následně dotkne subjektů, které samy povinnými osobami nejsou.
NIS2 vs DORA
Nutno ještě připomenout, že právní rámec kybernetické bezpečnosti má dvojí úroveň plynoucí z unijního práva:
- obecnou úpravu podle směrnice NIS 2,
- speciální úpravu pro finanční sektor podle Nařízení DORA, kde příslušným dohledovým orgánem je Česká národní banka.
Mezi oběma úpravami platí vztah speciality, tedy finanční sektor se řídí zvláštní úpravou, kterou doplňuje obecná regulace dle NIS2. Přesto však oba režimy fungují ve vzájemné koordinaci. Dohledové orgány, NÚKIB a ČNB, spolu úzce spolupracují na základě memoranda o vzájemné spolupráci z 31. května 2022.
Rozsah působnosti varování dle režimu povinností
Varování se vztahuje na všechny poskytovatele regulovaných služeb, a to v režimu vyšších i nižších povinností (§ 8 nZKB) dle vyhlášky NÚKIB č. 408/2025 Sb., o regulovaných službách (dále jen „VRS“). Jak již bylo uvedeno, jeho dopady se mohou nepřímo dotknout i subjektů, které samy pod režim zákona nespadají, typicky fintech subjekty, ale jsou součástí dodavatelského řetězce.
Dle důvodové zprávy k VRS se kolize dvou právních úprav v případě finančních institucí řeší následovně: „Tato situace tedy vede k tomu, že i když návrh vyhlášky stanovuje v odvětví Finančního trhu regulované služby (aby byla správně provedena transpozice směrnice), již dopředu musí brát v potaz, že tyto subjekty budou v otázce plnění bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů a výkonu kontroly spadat nikoliv pod režim směrnice, ale pod režim nařízení DORA. Na níže uvedené finanční subjekty se tak použijí pouze ostatní ustanovení zákona o kybernetické bezpečnosti, především národní instituty, zejména tzv. protiopatření.“ Jak již bylo řečeno, mezi protiopatření se řadí i varování, tedy zde ke střetu právních úprav nedochází a bude třeba použít úpravu nZKB i na finanční instituce, které by naplnily definici dle bodu 17 přílohy k VRS.
Aplikace varování NÚKIB na fintechové subjekty
Varování NÚKIB se významně dotýká i fintechového sektoru, jehož služby často stojí na technologiích dodávaných velkými čínskými korporacemi. U síťových prvků Huawei nebo ZTE jde o samotnou komunikační infrastrukturu, jejíž správa a telemetrie mohou vést k úniku provozních dat mimo EU. Kamerové systémy Hikvision a Dahua zase integrují funkce vzdáleného dohledu a rozpoznávání, a tím mohou představovat potenciální vstupní bod do interních sítí finančních institucí. Serverová zařízení Lenovo nebo Inspur nesou rizika spojená s firmwarem a vzdálenými aktualizacemi, které mohou ovlivnit stabilitu bankovních systémů. Cloudové služby Alibaba, Tencent nebo Huawei ukládají data pod čínskou jurisdikcí, což zvyšuje hrozbu neoprávněného přístupu k citlivým informacím. A platební terminály PAX, přímo propojené s karetními transakcemi, mohou v případě kompromitace zasáhnout samotný platební styk.
Pro český fintechový trh to znamená, že riziko nespočívá pouze v kybernetických incidentech, ale i v regulatorních důsledcích. Povinné subjekty mohou být nuceny rizikové technologie nahradit, což se nevyhnutelně dotkne i jejich menších dodavatelů. Fintechy by tak měly aktivně sledovat, zda jejich infrastruktura není závislá na rizikových technologiích a mít připravené alternativy. Jinak riskují nejen bezpečnostní incidenty, ale i ztrátu důvěry ze strany partnerů či investorů. Kybernetická bezpečnost se tak pro fintechy stává nejen otázkou compliance, ale především strategickým faktorem důvěry a dlouhodobé obchodní stability.
Autorem právního okénka je AK FINREG PARTNERS
FINREG PARTNERS je advokátní kancelář. Její právní a regulatorní poradenství přesahuje hranice tradičního výkonu advokacie. Klientům poskytuje široké spektrum právních služeb v oblasti finančního trhu, včetně externího výkonu compliance a interního auditu. Soustředí se rovněž na problematiku občanského a obchodního práva zejména v souvislosti s přípravou smluv, obchodních podmínek a jiných dokumentů, které klienti potřebují při své činnosti.
Autor