IT & TechnologyDoporučovaná advokátní kancelář pro IT právo

Risk management a analýza cybersecurity compliance.

Rizika existují. Klíčem je mít dokumentovaný právní rámec pro jejich řízení, než přijde regulátor nebo útočník.

Regulatorní předpisy (NIS2, DORA, GDPR) ukládají povinnost dokumentovaného řízení rizik. Zpracujeme právní rámec pro risk management vaší organizace, integrujeme ho do regulatorních povinností a pomůžeme s interní dokumentací, která obstojí při auditu. Propojujeme právní a procesní pohled na řízení rizik.

C on á so d l i š u j e

Risk management jako propojení právních povinností a byznysového řešení.

Nejlepší risk management framework je ten, který skutečně použijete, ne ten, který sbírá prach v šuplíku.

Propojení regulatorních povinností a praxe

NIS2, DORA i GDPR vyžadují dokumentované řízení rizik. Integrujeme tyto požadavky do jednoho konzistentního frameworku.

Právní pohled na registr rizik

Registr rizik psaný právníkem je jiný než registr psaný IT oddělením. Zahrnuje právní expozice, regulatorní rizika a odpovědnostní dopady.

Reporting pro vedení společnosti

Vedení společnosti musí risk management schvalovat a sledovat. Připravíme rámec reportingu, který splňuje regulatorní požadavky i praktické potřeby vedení.

Připravenost na audit

Risk dokumentace připravená k auditu regulátora (NÚKIB, ČNB) nebo externího auditora. Víme, co auditor hledá a jak to správně prezentovat.

D e t a i l n ě

Čtyři kroky k právně korektnímu risk managementu.

Risk management policy a metodika

Zpracujeme politiku řízení rizik a metodiku pro identifikaci, hodnocení a sledování rizik v souladu s regulatorními požadavky.

Registr rizik s právní dimenzí

Vytvoříme registr kybernetických a regulatorních rizik s vazbou na právní povinnosti, sankce a odpovědnostní dopady.

Integrace do compliance frameworku

Propojíme risk management s NIS2, DORA a GDPR povinnostmi tak, aby každý prvek risk managementu přispíval ke splnění regulatorních povinností.

Management reporting

Připravíme šablony pro pravidelný reporting risk managementu správní radě a managementu ve formátu odpovídajícím regulatorním požadavkům.

V á š   p a r t n e r
PORTRAIT · J. MENČÍK
Jaroslav Menčík

Jaroslav Menčík

Partner
Vedoucí týmu pro IT & Technology

Jaroslav Menčík je partnerem advokátní kanceláře Ambit a vede tým pro IT a Technologie. Za více než 15 let praxe uzavřel přes 200 transakcí v oblasti softwarového práva, kybernetické bezpečnosti, regulace AI a technologického transferu. Klientům z řad startupů, scale-upů i globálních korporací poskytuje odborné poradenství ukotvené v realitě podnikání. Vystudoval právo na Masarykově univerzitě v Brně a Karlově univerzitě v Praze (JUDr., Ph.D.) a jako Hauser Global Scholar získal titul LL.M. na NYU School of Law. Ekonomické vzdělání (Ing.) mu umožňuje integrovat finanční a strategický pohled do každého mandátu.

15+
let zkušeností v IT právu
200+
uzavřených transakcí
Č a s t o   k l a d e n é   d o t a z y

Otázky, které klienti často pokládají.

Nenašli jste tu svou? Napište přímo vedoucímu partnerovi — odpověď obvykle do jednoho pracovního dne.

Zeptejte se přímo Jaroslava
Co musí obsahovat risk management framework podle NIS2?
NIS2 vyžaduje zejména: politiku analýzy rizik, postupy pro řízení incidentů, business continuity management, bezpečnost dodavatelského řetězce, politiku pro lidské zdroje a kryptografii. Vše musí být dokumentováno a pravidelně přezkoumáváno.
Jak se liší risk management pro NIS2 a DORA?
NIS2 má obecnější požadavky na řízení rizik kybernetické bezpečnosti. DORA je lex specialis a vyžaduje detailní ICT risk management framework s přesnými metodikami pro finanční instituce. Propojíme oba požadavky do jednoho konzistentního dokumentu.
Musí risk management schvalovat vedení společnosti?
Ano, NIS2 i DORA ukládají, že vedení organizace musí schvalovat bezpečnostní opatření a risk management politiky. Vedení nese osobní odpovědnost za jejich implementaci. Risk management tedy nelze delegovat výhradně na IT oddělení.
Jak dokumentovat rizika pro audit NÚKIB?
NÚKIB při kontrole povinných subjektů prověřuje existenci a kvalitu risk managementu. Dokumentace musí prokázat systematický přístup k identifikaci, hodnocení a ošetření rizik s vazbou na konkrétní bezpečnostní opatření.
Co je právní expozice v kybernetickém risk managementu?
Právní expozice zahrnuje rizika regulatorních sankcí (pokuty od NÚKIB, ČNB, ÚOOÚ), civilní odpovědnosti za škodu způsobenou kybernetickým incidentem nebo únikem dat, a trestní odpovědnosti managementu. Právní dimenze risk managementu je nezbytnou součástí celkového risk frameworku.