Studie PwC: české firmy pořád investují do kyberbezpečnosti málo, výdaje navýší jen necelá půlka
Přes zlepšení v posledních letech investují české firmy do kyberbezpečnosti stále míň peněz než firmy ve světě. Zhruba pětina českých firem neplánuje na příští rok žádné zásadní finanční či provozní změny v ochraně, naopak zvýšené výdaje očekává 42 % firem. To je ale výrazně méně než světový průměr, uvádí aktuální studie PwC Digital Trust Insights Survey.
Z aktuální studie PwC Digital Trust Insight mezi téměř 4000 manažery v 72 zemích světa vyplývá, že v následujících 12 měsících chce 60 % světových firem zvýšit investice do boje s kyberriziky. V České republice je to jen 42 % společností. To je i méně, než je průměr v regionu střední a východní Evropy. Při výdajích do IT bezpečnosti se zaměřují hlavně na vylepšení stávajících řízení rizik, ochranu dat či modernizaci technologií.
Kromě samotných finančních výdajů české firmy chtějí boj s kyberriziky podpořit i změnou v obchodní či provozní politice, více sázejí na pojištění, zvažují i přesun kritické infrastruktury do nové lokality. Naopak téměř pětina českých firem (19 %) říká, že žádné zásadní změny v oblasti kyberbezpečnosti v příštím roce neplánuje (ve světě jen 8 %).
„Top management firem správně vnímá kybernetickou bezpečnost jako jedno z hlavních rizik pro jejich byznys, ale zároveň tomu absolutně neodpovídá jejich ochota do této oblasti investovat: peníze, svou pozornost, čas. Tento rozpor je neudržitelný a je jen otázkou času, kdy nějaká krize v podobě masového kyberútoku donutí firmy jednat. Bude to ale jednání vynucené, pod tlakem a jako takové dražší a méně efektivní. Těch zodpovědných, kteří se chtějí připravovat strategicky, je menšina,“ uvádí k výsledkům průzkumu partner PwC pro bezpečnost Petr Špiřík.
Více jak třetina českých firem (35 %) uvádí, že součástí plánovaných změn bude i změna dodavatelů. Z velkých změn je to jediná, ve které české firmy předčí světový průměr. Středně velké firmy nebo firmy s vysokou přidanou hodnotou, ale malým počtem zaměstnanců mají podle něj často pocit, že jsou v pasti – chtějí a ví, že potřebují investovat do kybernetické bezpečnosti, ale postihuje je paralýza, že nemohou investovat do všech oblastí zabezpečení. Nejčastější pragmatická volba je, že oblasti, které jsou unikátní pro ně a pro jejich byznys a na kterých staví konkurenční výhodu si staví a rozvíjí sami a ty, které jsou společné napříč společností nebo segmentem průmyslu nakupují od specializovaných firem.
“Nastupující téma, které vidíme, je oblast celkové odolnosti. Ať už v kontextu geopolitických dopadů, ale i na křehkost IT ekosystémů. Kybernetický útok je jen jedna z hrozeb na tomto poli a mnoho firem už zažilo, jaký dopad na ně může mít prostý výpadek služeb - ať už jejich vlastních, které se v průběhu let staly kritickým bodem jejich infrastruktury, nebo nadnárodních poskytovatelů,“ doplňuje Petr Špiřík.
Při ochraně dat české firmy také méně spoléhají na AI, do jejího rozvoje investuje 39 % firem oproti 53 % ve světě. Ještě větší rozdíl je vidět v nástupu ochrany proti rizikům využívajícím nejmodernější kvantové technologie. Ochranu chránící i před těmito deep tech zavádí jen 8 % českých firem, ve světě je to 22 %. Od 1. listopadu 2025 došlo v České republice k největší legislativní změně v oblasti kybernetické bezpečnosti za posledních roky. Začal platit nový zákon o kybernetické bezpečnost známý jako NIS2, který mj. rozšiřuje okruh dotčených firem a přenáší odpovědnost na management. „České firmy ve velké míře na tento nový zákon nejsou připraveny. Teprve teď zjišťují, co vlastně obnáší, zda se na ně vztahuje a co vše musejí splňovat. Opět tím ztrácejí další měsíce, které by mohly využít v boji proti kyberkriminalitě efektivněji,“ vysvětluje Petr Špiřík.
Z interních dat PwC vychází, že jen velmi malé procento firem je dnes, v době platnosti zákona, připraveno a splňuje podmínky na ně kladené. „Spolu s EU regulaci finančního sektoru DORA jde podle mého o krok správným směrem. Přínos se ale neprojeví, pokud ho budou organizace ignorovat nebo z něj zkusí udělat trhací kalendář v honbě za papírovou compliance. Opět vidíme rozdíl mezi budoucími vítězi a poraženými, kde ti úspěšní jsou v implementaci NIS2 aktivní a chtějí získat efektivní a bezpečný chod vlastní organizace za svých podmínek – zatímco ti druzí se odsuzují reaktivitou a pasivním přístupem do role těch, kterým “se věci dějí”, místo aby je měli v rukou,“ uzavírá Petr Špiřík.
Nový zákon by pro firmy mohl být nejen nutnou regulací, ale i příležitostí. Ty firmy, které budou mít kyberbezpečnost jako součást strategického rozvoje firmy, mohou do budoucna získávat. Nejen v bezpečí, ale díky větší důvěře klientů mohou z aktivního přístupu ke kyberbezpečnosti vytvořit i konkurenční výhodu, která se odrazí ve větší ziskovosti.
