Skip to Content

Obchodní chování

Etika a hodnotový systém Skupiny ČEZ

Skupinové hodnoty

Základním kamenem hodnotového systému Skupiny ČEZ je etický rámec, kterým se řídí její provozní činnosti, včetně vztahů se zainteresovanými stranami. Vedení Skupiny ČEZ klade důraz na dodržování předpisů při veškerém jednání svých zaměstnanců i dodavatelského řetězce s cílem zajistit plný soulad s národními i mezinárodními normami. Prostřednictvím etického obchodního jednání, které odráží nejvyšší etické standardy, jsou udržovány transparentní a odpovědné vztahy se zúčastněnými stranami. Program dodržování právních a etických norem je neustále upravován tak, aby zahrnoval osvědčené postupy v oboru. V tom se také odráží závazek Skupiny ČEZ budovat důvěru a integritu při práci na udržitelné energetické budoucnosti.

Hodnoty Skupiny ČEZ jsou základem podnikové kultury a představují sdílené přesvědčení a žádoucí chování, které se očekává od všech zaměstnanců. Tyto hodnoty jsou zakotveny v klíčových řídicích dokumentech a jsou přirozeně integrovány do řízení společností.

Následující principy představují podnikové hodnoty Skupiny ČEZ:

  • bezpečnost,
  • výkonnost,
  • inovace,
  • odbornost,
  • spolupráce.

Zaměstnanci jsou podporováni, aby tyto zásady přirozeně integrovali do svého každodenního pracovního života, a pomáhali tak realizovat strategii a vizi Skupiny ČEZ. Tyto hodnoty a zásady jsou základem pro tvorbu zdravého pracovního prostředí a existenci silného týmu.

Školení a komunikace

Ve Skupině ČEZ je zaveden robustní systém vzdělávání, který přispívá k udržování, ověřování a rozvoji kompetencí potřebných pro výkon dané pozice. Absolvování školení v oblasti etických principů a požadavků systému protikorupčního managementu se vyžaduje u zaměstnanců společností Skupiny ČEZ při nástupu a dále pak jednou ročně. Cílem je účast nejméně 95 % zaměstnanců. V roce 2024 bylo takto ve společnosti ČEZ, a. s., a klíčových dceřiných společnostech proškoleno 98,11 % zaměstnanců. Školení zahrnuje širokou škálu témat a poskytuje dobré porozumění naší politice správného obchodního chování, včetně protikorupčních a etických zásad a ochrany oznamovatele (školení na Etickou linku). Představenstvo ČEZ, a. s., absolvuje školení na Etický kodex a dodržování pravidel Skupiny ČEZ včetně protikorupčních pravidel v ročním intervalu jako ostatní zaměstnanci.

Kromě toho jsou příslušné osoby pravidelně školeny v zásadách a postupech zaměřených na řešení dalších témat, např. praní špinavých peněz, pravidla hospodářské soutěže, problematiku whistleblowingu a dodržování dalších právních předpisů. Kromě toho útvar audit a compliance informuje o otázkách souvisejících s dodržováním předpisů v podnikovém časopise a na intranetu podle ročního komunikačního plánu. Útvar audit a compliance využívá tyto komunikační kanály ke zvýšení informovanosti, prevenci neetického jednání, k představení klíčových témat v oblasti compliance a vysvětlení jejich významu pro Skupinu ČEZ

Nad rámec tohoto pravidelného školení existuje řada dalších specializovaných školení zaměřených na konkrétní oblast nebo skupinu zaměstnanců, např.:

  • Obecné protikorupční školení, které je součástí vzdělávacího programu Etický kodex a dodržování pravidel Skupiny ČEZ, má přiřazeno 100 % zaměstnanců pracujících na pozicích, které mohou být vystaveny zvýšenému riziku korupce. Konkrétně jde o útvar nákup ČEZ, a. s., a odbor Koordinace nákupu ČEZ Distribuce. U těchto útvarů je rovněž nastaveno rozšířené školení problematiky systému protikorupčního managementu dle ISO 37001.
  • Dále se vybraní zaměstnanci účastní dalších specializovaných školení, a to školení na požadavky legislativy potírající legalizaci výnosů z trestné činnosti a e-learning soutěžní compliance.
  • Dále příslušné osoby dle zákona o ochraně oznamovatelů absolvují speciální školení zaměřené na splnění požadavků zákona a zajištění ochrany oznamovatele.

Příslušné osoby dle zákona č. 171/2023 Sb., o ochraně oznamovatelů, a další osoby podílející se na compliance v rámci Skupiny ČEZ jsou navíc zvány na pravidelná setkání odborné pracovní skupiny pro corporate compliance v tříměsíční frekvenci, kde jsou jim představeny aktuální informace z oblasti compliance. Aby byla zajištěna informovanost zaměstnanců a efektivní komunikace o zásadách a opatřeních Skupiny ČEZ, provádí útvar audit a compliance osvětu na tato témata v podnikovém časopise PROUD a na intranetu podle ročního komunikačního plánu. Externím subjektům jsou pak etické principy a protikorupční politika přístupné přes specializovanou sekci na webových stránkách www.cez.cz. Útvar compliance využívá tyto komunikační kanály ke zvýšení informovanosti, prevenci neetického jednání, k představení klíčových témat v oblasti compliance a vysvětlení jejich významu pro Skupinu ČEZ.

Protisoutěžní chování

Dodržování pravidel ochrany hospodářské soutěže (podle zákona č. 143/2001 Sb., o ochraně hospodářské soutěže, a čl. 101–109 Smlouvy o fungování Evropské unie) považuje Skupina ČEZ za zásadní. Prevence porušování těchto pravidel je v agendě CMS považována za prioritu. V praxi se všichni zaměstnanci musí v obchodních vztazích chovat korektně a chránit pověst společnosti jako férového hráče na trhu. Zaměstnanci se musí nejen vyhýbat protisoutěžnímu jednání, ale také mu předcházet. To se týká i dodržování pravidel unbundlingu. Aby zaměstnanci jednali správně, dozvídají se o tomto tématu a o tom, co se od nich vyžaduje, na školeních o etice a prostřednictvím interních komunikačních kanálů.

Skupina soutěžní compliance útvaru právní služby ČEZ, a. s., poskytuje pravidelná školení odpovědných zaměstnanců zaměřená na specifická rizika protisoutěžního chování společností Skupiny ČEZ a konzultace ke stále rostoucímu počtu relevantních obchodních záměrů z hlediska souladu se soutěžním právem. Uvedená skupina také připravila e-learningový modul soutěžní compliance určený pro širokou skupinu zaměstnanců zabývajících se příslušnými transakcemi.

V roce 2024 nedošlo ze strany Skupiny ČEZ k žádnému nedovolenému protisoutěžnímu jednání ani jinému porušení pravidel ochrany hospodářské soutěže. Úřad pro ochranu hospodářské soutěže provedl v roce 2024 v obchodních prostorách ČEZ, a. s., šetření na místě, v jehož rámci společnost poskytovala plnou součinnost a které neznamená, že v daném případě došlo k jakémukoliv protisoutěžnímu jednání.

Zakázky Skupiny ČEZ podléhají povinné právní kontrole zaměřené mimo jiné na soulad s pravidly ochrany hospodářské soutěže (např. zákaz dohod o účasti ve výběrových řízeních na veřejné zakázky – bid rigging). Případná zjištění vedou k adekvátním opatřením.

Politická činnost

Skupina ČEZ dodržuje nejvyšší standardy transparentnosti a plně se řídí Etickým kodexem Skupiny ČEZ. Chová se apoliticky a stranicky neutrálně, nepodporuje žádnou akci nebo iniciativu s výhradně či převážně politickým cílem. Neposkytuje žádné dary politickým stranám a hnutím ani organizacím, nadacím, spolkům nebo jiným právnickým či fyzickým osobám, které jsou v úzkém vztahu s politicky exponovanými osobami. Jakákoli občanská či politická angažovanost zaměstnanců nesmí poškodit dobré jméno Skupiny ČEZ. Zaměstnanci jsou povinni se zdržet jakéhokoli střetu zájmů nebo aktivit, které jsou v rozporu s jejich prací a činnostmi vykonávanými pro Skupinu ČEZ.

V Evropské unii prosazuje Skupina ČEZ své zájmy prostřednictvím kanceláře Public Affairs v Bruselu, která má dva zaměstnance. V Rejstříku transparentnosti EU je zapsána pod číslem ČEZ 429600710582-32. Stanovená pravidla lobbingu jsou dodržována standardním způsobem prosazování zájmů v demokratickém právním prostředí. Všechna jednání se řádně evidují včetně příslušných dokladů tak, jak pravidla rejstříku předpokládají. Záznamy lze nalézt na příslušné webové stránce unijního rejstříku.

Za dohled nad oblastí lobbingu je odpovědná ředitelka útvaru public affairs, přímo podřízená generálnímu řediteli společnosti. V ČR sleduje problematiku návrhu zákona o lobbingu tak, aby společnost plnila všechny z něj vyplývající povinnosti, až bude tento zákon přijat. Ředitelka útvaru public affairs nikdy nepůsobila ve veřejné správě.

Skupina ČEZ transparentně a otevřeně komunikuje své vize a politiky navenek. Své postoje k legislativním návrhům uplatňuje primárně ve sdruženích, ve kterých je členem. Jedná se především o Svaz průmyslu a dopravy ČR a Hospodářskou komoru ČR v České republice a o Eurelectric a NuclearEurope v Belgii.

Přístup k daním, daňová transparentnost

Snažíme se být dobrým a důvěryhodným občanem společnosti. Pěstování dobrých vztahů s komunitou je základem dlouhodobě udržitelného rozvoje. Odpovědná a transparentní daňová správa je jedním ze způsobů, jak dostát našim závazkům vůči společnosti.

Přístup k daním

Přístup Skupiny ČEZ k daňovému řízení je zakotven v interních zásadách a směrnicích, které poskytují popis obecného rámce i podrobnosti o odpovědnosti související s daňovou agendou. Skupina ČEZ, jejíž mateřská společnost sídlí v České republice, neuplatňuje konsolidovanou daň z příjmů právnických osob, protože české daňové zákony neumožňují konsolidované daňové přiznání. Z daňového hlediska jsou tedy společnosti Skupiny ČEZ samostatnými subjekty a nezávislými daňovými poplatníky. Společnosti tedy odvádějí daně lokálně podle platné legislativy v jednotlivých zemích svého působení. Přehled o celkově zaplacené dani z příjmů je součástí konsolidované účetní závěrky, která je nezávisle auditována a je veřejně dostupná na našich webových stránkách.

Hlavní odpovědnost za řízení a strategii v oblasti daní nese ředitel divize finance (CFO) Martin Novák. CFO následně deleguje každodenní provozní pravomoci v oblasti daní na útvar daně. Analýzy a zprávy útvaru daně pro představenstvo ČEZ, a. s., jsou oporou pro obchodní investiční rozhodnutí. Každoročně jsou procesy v útvaru daně prověřovány útvarem řízení rizik. Ke konci roku 2024 nebyl veden žádný soudní daňový spor týkající se společností Skupiny ČEZ.

Daňová integrita a převodní ceny

Skupina ČEZ plně dodržuje daňové standardy a předpisy ve všech činnostech a zemích, kde působí. Správa daní a řízení rizik Skupiny ČEZ podléhají řádným interním procesům a jsou v souladu s odpovědným, důvěryhodným a udržitelným přístupem. Skupina ČEZ nepřijímá žádné daňové mechanismy ani obchodní struktury, které by záměrně snižovaly její daňové zatížení, ani se přímo či nepřímo nepodílí na schématech vyhýbání se daňovým povinnostem či využívání daňových rájů. Zdanění není prvořadým cílem obchodních rozhodnutí v rámci Skupiny ČEZ.

Interní směrnice o převodních cenách stanovují úkoly, odpovědnosti a postupy pro stanovení převodních cen ve Skupině ČEZ. Uplatňováním principu tržního odstupu naplňují převodní ceny Skupiny ČEZ tržní standard, místní daňovou legislativu a koncepty směrnic OECD. Pro zmírnění rizik spojených s převodními cenami a předcházení sporům využívá Skupina ČEZ pro společnosti se sídlem v České republice závazné posouzení cen mezi spřízněnými osobami. Závazné posouzení představuje formální dohodu s daňovými úřady o stanovení a používání převodních cen se spřízněnými stranami na určité období.

Daně a ostatní platby

V roce 2024 činila splatná daň z příjmů právnických osob Skupiny ČEZ 50,9 mld. Kč, z toho 49,9 mld. Kč v České republice a 1 mld. Kč v zahraničí, z toho v Izraeli 16 mil. Kč, v Maďarsku 178 mil. Kč, na Maltě 59 mil. Kč, v Německu 133 mil. Kč, v Nizozemsku 69 mil. Kč, v Polsku 488 mil. Kč, v Rumunsku 6 mil. Kč, na Slovensku 38 mil. Kč, ve Velké Británii 1 mil. Kč. ČEZ, a. s., se pravidelně řadí mezi největší plátce daně z příjmů právnických osob v České republice. Sazba daně z příjmů právnických osob v České republice uzákoněná pro rok 2024 činila 21 %.

V návaznosti na energetickou krizi v Evropě v roce 2022 byla ze strany států přijata speciální opatření za účelem snížení dopadu vysokých cen komodit na koncové zákazníky a v ČR byla zavedena daň z neočekávaných zisků na období let 2023–2025 ve výši 60 % nad rámec běžné daně z příjmů na část dosaženého zisku přesahující průměr dosaženého zisku Skupiny ČEZ v letech 2018–2021.

Za rok 2024 odvedla Skupina ČEZ na zálohách z titulu těchto mimořádných daní českému státu přes 29,9 mld. Kč. Navíc z titulu běžné daně z příjmů právnických osob, která činí 21 %, odvedla za rok 2024 českému státu 14,2 mld. Kč (zahrnuje i doplatek daně z příjmů za rok 2023 nad rámec záloh). Celkem Skupina ČEZ v roce 2024 odvedla českému státu na dividendách, daních z příjmů a dani z neočekávaných zisků více než 63 mld. Kč. Celkové příjmy České republiky do státního rozpočtu byly v roce 2024 dle propočtů 1 940 mld. Kč, to znamená, že společnosti ze Skupiny ČEZ do státního rozpočtu odvedly více než 3 % veškerých příjmů.

Společnosti ze Skupiny ČEZ se každoročně umisťují mezi nejlepšími daňovými subjekty podle výše uhrazené daně z příjmů právnických osob, které následně vyhlašuje Finanční správa. V roce 2024 byla na 1. místě společnost ČEZ, a. s., která uhradila daň z příjmů právnických osob ve výši 24 505 mil. Kč a na 20. místě společnost Severočeské doly a.s., která uhradila daň z příjmů právnických osob 954 mil. Kč. Údaje se vztahují k finančnímu roku 2023.

Kromě daně z příjmů právnických osob vykázal ČEZ, a. s., také 2,620 mld. Kč na zdravotním pojištění a sociálním zabezpečení (meziročně +11,55 %) jako povinný příspěvek společnosti do zdravotních a sociálních systémů organizovaných českou vládou. Kromě toho ČEZ, a. s., vybral 1,192 mld. Kč na daních ze závislé činnosti (meziroční nárůst o 16,31 %). ČEZ, a. s., vybírá od zaměstnanců daně z příjmů ze závislé činnosti jménem českého státu.

Vybrané společnosti Skupiny ČEZ poskytují širokou škálu nadstandardních sociálních benefitů včetně nezdanitelných příspěvků na penzijní spoření a životní pojištění zaměstnanců. V roce 2024 přispěla společnost ČEZ, a. s., na penzijní spoření a životní pojištění zaměstnanců částkou 101,9 mil. Kč (meziroční nárůst o 2,7 %).

Kybernetická bezpečnost a ochrana informací

Ochrana informací je jedním ze stěžejních bodů našeho podnikání. Vynakládáme proto velké úsilí, abychom splnili nejvyšší bezpečnostní standardy a pokryli s tím související rizika.

Pověřenec pro ochranu osobních údajů

Skupina ČEZ věnuje zpracování a ochraně osobních údajů a respektování soukromí zaměstnanců, zákazníků a obchodních partnerů zvláštní pozornost. V interní řídicí dokumentaci proto zohledňuje požadavky právních předpisů, které s oblastí ochrany osobních údajů souvisejí, a to konkrétně nařízení Evropského parlamentu a Rady (EU) 2016/679 (nařízení GDPR), zákon č. 110/2019 Sb., o zpracování osobních údajů, a další relevantní právní předpisy EU či ČR zabývající se problematikou zpracování osobních údajů.

Společnost ČEZ, a. s., jmenovala podle čl. 37 nařízení GDPR pověřence pro ochranu osobních údajů (dále jen pověřenec), který své služby poskytuje pro koncernové společnosti Skupiny ČEZ a pro další vybrané společnosti. V roce 2024 poskytoval pověřenec své služby pro celkem 26 společností. Pověřenec pro ochranu osobních údajů je nezávislý monitorovací a poradní orgán, na který se mohou obracet subjekty osobních údajů, jež přišly do interakce se zmíněnými společnostmi Skupiny ČEZ. Těmito subjekty osobních údajů jsou zejména zaměstnanci, zákazníci a obchodní partneři. Spolupracuje s dozorovými orgány a je členem významných zájmových sdružení, která působí v oblasti práva a ochrany osobních údajů. Zejména je členem Spolku pro ochranu osobních údajů, Svazu průmyslu a dopravy ČR a Unie podnikových právníků. Každá koncernová společnost Skupiny ČEZ má interně nastaven robustní systém ochrany osobních údajů, který zajišťuje, že každodenní systematická zpracování osobních údajů jsou v souladu s výše uvedenou legislativou.

V rámci výkonu své činnosti oznamuje pověřenec případy porušení zabezpečení osobních údajů ve smyslu čl. 33 nařízení GDPR. Zároveň může obdržet stížnosti od dozorového úřadu (např. neoprávněné předání osobních údajů či nevyžádané obchodní sdělení). Pověřenec zajišťuje, že jsou vždy ve stanovené lhůtě provedena nápravná opatření. Pověřenec zajišťuje školení a e-learning pro zaměstnance a specialisty Skupiny ČEZ v oblasti ochrany osobních údajů a posiluje výkon ochrany práv a zájmů subjektů údajů.

V rámci výkonu své činnosti pověřenec v roce 2024 oznámil 1 případ porušení zabezpečení osobních údajů ve smyslu čl. 33 nařízení GDPR. V daném případě došlo při změně nastavení IT systému k chybě, v jejímž důsledku došlo ke zpřístupnění osobních údajů uvedených ve vyúčtování za dodávku energií celkem 2 421 zákazníků jiným zákazníkům. Pověřenec zajistil provedení nápravných opatření. Dozorový úřad nepodal podnět ke kontrole. Pověřenec v témže roce neobdržel žádnou stížnost od dozorového úřadu, pouze 1 žádost o součinnost a 2 žádosti o doplnění informací. Pověřenec zajistil, že požadovaná součinnost byla vždy poskytnuta ve stanovené lhůtě. V souvislosti s možným porušením ochrany osobních údajů nevznikly v roce 2024 společnostem Skupiny ČEZ žádné finanční sankce.

V roce 2024 podaly subjekty údajů 1 116 žádostí o výkon práv, 167 žádostí bylo zamítnuto pro neopodstatněnost a u 25 žádostí bylo následně zjištěno, že se nejedná o výkon práv ve smyslu nařízení GDPR, a byly předány příslušným správcům k řešení. Pověřenec provedl v roce 2024 celkem 11 monitoringů zaměřených na ověření souladu zpracování osobních údajů s nařízením GDPR.

K povinnostem pověřence dále patří komunikace s dozorovými orgány a zvyšování povědomí zaměstnanců o zpracování osobních údajů, např. prostřednictvím školení, e-learningu či newsletterů. Všichni zaměstnanci absolvují vždy jednou za dva roky školení formou e-learningu. V roce 2024 pověřenec uspořádal celkem 14 rozšířených školení L2 zaměřených na specialisty v oblasti zpracování a ochrany osobních údajů, kterých se zúčastnilo 697 zaměstnanců. Na jaře 2024 uspořádal pověřenec dvoudenní workshop pro pověřence spolupracujících společností nejen z oblasti energetiky a na podzim pak pověřenec ve spolupráci s útvarem ochrana kategorizovaných informací uspořádal pro určené osoby všech 26 společností, pro které pověřenec poskytuje služby, dvoudenní workshop. Pověřenec ve spolupráci s útvarem ochrana kategorizovaných informací vydal v roce 2024 celkem 6 čísel newsletteru. Pověřenec dále pořádá vždy jednou měsíčně poradu odborné pracovní skupiny ochrany osobních údajů. Specialistům pro oblast zpracování a ochrany osobních údajů pověřenec dále poskytuje jednou týdně monitoring tisku, prostřednictvím kterého dotčené zaměstnance seznamuje s novinkami v dané oblasti.

Kybernetická bezpečnost

Politika ochrany Skupiny ČEZ je vrcholový dokument, který stanovuje závazek představenstva ČEZ, a. s., a statutárních orgánů ostatních dotčených společností ve Skupině ČEZ, definuje vize, cíle a rozsah systému řízení ochrany Skupiny ČEZ v oblastech informační a kybernetické bezpečnosti, ochrany informací, projektů a zájmů, zabezpečení jaderného zařízení a jaderného materiálu a zajištění kontinuity podnikání a krizového řízení. Její součástí je Politika informační a kybernetické bezpečnosti, která byla vydána již v roce 2017 a je veřejně dostupná na webu ČEZ, a. s.

Kritická informační infrastruktura a informační systémy jsou řízeny v souladu se zákonem o kybernetické bezpečnosti č. 181/2014 Sb. Dodržování tohoto zákona je každoročně prověřováno interním auditem. Odpovědně jsou zabezpečovány také počítačové systémy používané pro řízení jaderné bezpečnosti podle zákona č. 263/2016 Sb. (atomový zákon). Zajištění shody s požadavky legislativy s důrazem na principy řízení rizik, zvýšenou ochranu systémů a podporu kultury kybernetické bezpečnosti je vnímáno jako priorita strategie kybernetické bezpečnosti Skupiny ČEZ. V průběhu roku 2024 nebyl zaznamenán žádný případ nedodržení norem a předpisů v oblasti kybernetické bezpečnosti.

V rámci Skupiny ČEZ je zřízen tým s názvem integrované Bezpečnostní dohledové centrum (iSOC), který dohlíží na ochranu Skupiny ČEZ z hlediska fyzické, informační a kybernetické bezpečnosti. Úkolem iSOC je odhalovat případné hrozby nebo incidenty a zabránit jejich opakování v budoucnu. Úzká spolupráce probíhá i s národními bezpečnostními složkami, jako je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), Vojenské zpravodajství a Policie ČR. Tato snaha přináší výsledky – snižováním rizika hrozeb a eliminací útoků se zároveň předchází i ekonomickým ztrátám. V roce 2024 se pokračovalo v práci na zajištění schopnosti společností Skupiny ČEZ reagovat na počítačové bezpečnostní incidenty zřízením týmu CSIRT, který jim usnadňuje vypořádat se s velkými kybernetickými hrozbami lépe než kdykoli předtím. Cílem Skupiny ČEZ je zapsat se na seznam vedený asociací Forum of Incident Response and Security Teams.

Jaderné elektrárny Skupiny ČEZ prošly v září 2024 každoročním auditem systému řízení informační bezpečnosti, v roce 2024 šlo o tzv. recertifikační audit pro ověření souladu s normou ISO/IEC 27001:2022. Předmětem auditu bylo mimo jiné ověření nastavení informačních systémů a dodržování zákonných požadavků a informovanosti zaměstnanců. Nová mezinárodní certifikace je platná do října 2027. ČEZ, a. s., je tak jednou z prvních společností na světě, která tuto certifikaci pro své jaderné elektrárny získala. Certifikát je dostupný na webových stránkách Skupiny ČEZ.

Na konci roku 2022 vstoupila v platnost směrnice NIS2 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v členských státech EU. Tato směrnice významně rozšířila okruh povinných subjektů a rozsah povinností v oblasti kybernetické bezpečnosti pro stávající regulované společnosti. V České republice bude směrnice transponována do nového zákona o kybernetické bezpečnosti, bude se jím muset řídit zhruba 47 společností Skupiny ČEZ. Mnoho dalších společností mimo Českou republiku se bude řídit požadavky zákonů příslušných zemí v rámci EU, ve kterých společnosti Skupiny ČEZ působí. Pro splnění těchto požadavků byl ve Skupině ČEZ zahájen program implementace NIS2. Tento program pomůže všem společnostem Skupiny ČEZ pochopit, jak nová pravidla dodržovat a jak zajistit, aby byly v bezpečí před kybernetickými hrozbami. V roce 2024 došlo k významnému posunu v rámci návrhu nového systému řízení i konkrétních plánů budování nutných kompetencí v této oblasti ve všech společnostech Skupiny ČEZ. Program zahrnuje hlubší revizi kybernetické strategie Skupiny ČEZ s ohledem na nové požadavky kybernetické regulace a aktuální kybernetické hrozby. Výsledky klíčových fází a rizik programu jsou pravidelně předkládány členům představenstva společnosti.

Na zajištění bezpečnosti informačních a technologických systémů je kladen velký důraz. Skupina ČEZ se řídí zákony, mezinárodními normami a doporučeními, aby její produkty a služby byly pro její zákazníky a partnery spolehlivé. V oblasti informační a kybernetické bezpečnosti se Skupina ČEZ řídí metodou PDCA (naplánuj-proveď-ověř-jednej). Cílem je dosáhnout rovnováhy mezi náklady na ochranu majetku a jeho hodnotou. Za tímto účelem byl vytvořen akční plán informační a kybernetické bezpečnosti, který stanoví, jak komplexně řešit všechny aspekty související s informační bezpečností v rámci celé organizace. Dodržováním tohoto plánu je možné udržet naše podnikání v bezpečí a zároveň snížit rizika plynoucí z potenciálních hrozeb nebo narušení bezpečnosti.

Pro zaměstnance Skupiny ČEZ je závazný uživatelský manuál informační a kybernetické bezpečnosti. Příručka srozumitelně vysvětluje složitosti kybernetické bezpečnosti tak, aby byly využitelné v reálných situacích. Každý rok se připravuje Zpráva, která shrnuje, jak si Skupina ČEZ vede z pohledu bezpečnosti a jaká rizika byla zjištěna prostřednictvím auditů nebo jiných kontrol. Tato Zpráva obsahuje podrobnosti o dodržování oborových standardů a je předkládána Výboru pro ochranu Skupiny ČEZ k dalšímu projednání.

V roce 2024 byl systém řízení v oblastech informační a kybernetické bezpečnosti hodnocen jako funkční a odpovídající požadavkům organizace. Projevy kybernetických hrozeb se meziročně významně nezměnily a jejich skutečné dopady na chráněná aktiva byla v akceptovatelných mezích. Kontrolní a auditní činnost během roku 2024 nezaznamenala žádné významné odchylky od definované úrovně kybernetické bezpečnosti anebo neplnění požadavků legislativy. Hlavním cílem pro rok 2025 zůstává realizace a prověřování účinnosti nastavených bezpečnostních opatření informační a kybernetické bezpečnosti napříč Skupinou ČEZ, díky kterým bude Skupina ČEZ schopna efektivně řídit a měnit úroveň ochrany klíčových aktiv pro fungování klíčových business procesů odstupňovaným přístupem a v souladu s platnou legislativou. Oblasti a aktivity pro rok 2025 jsou rozpracovány v akčním plánu.

Skupina ČEZ zřídila Výbor pro ochranu Skupiny ČEZ, který je poradním orgánem generálního ředitele ČEZ, a. s. Tento výbor projednává zejména: jak chránit Skupinu ČEZ, jaké hrozby existují a jak se s nimi vypořádat, jaká bezpečnostní opatření jsou nejdůležitější a kdy je třeba je provést, kterým velkým projektům je třeba věnovat zvláštní pozornost, analýzy bezpečnostních incidentů a návrhy nápravných opatření. Bezpečnostní ředitel informuje generálního ředitele o informační a kybernetické bezpečnosti ve Skupině ČEZ. Jednou ročně nebo při mimořádných událostech předkládá zprávu. Ředitel útvaru audit a compliance ČEZ, a. s., poskytuje nezávislé vyjádření o stavu IKB v ČEZ, a. s., a ostatních společnostech Skupiny ČEZ představenstvu ČEZ, a. s., případně statutárním orgánům společností Skupiny ČEZ.

Skupina ČEZ pravidelně posiluje svou odolnost v online prostředí a pečlivě monitoruje možná bezpečnostní rizika. V roce 2024 bylo zaznamenáno 2 938 událostí/incidentů souvisejících s informační nebo kybernetickou bezpečností, což je oproti předchozímu roku nárůst o 11 %, a to z důvodu zavedení nových pravidel prevence ztráty dat. Kybernetická bezpečnost se také stala nedílnou součástí všech investičních projektů Skupiny ČEZ. Vývoj aplikací se ve Skupině ČEZ řídí přísnými pravidly založenými na zásadách bezpečného vývoje a provozu softwaru. Při pravidelném testování ICT/OT zařízení jsou odhalována slabá místa a v případě nedostatků dochází k jejich odstranění. Změny systémů v ostrém prostředí jsou vždy nejprve testovány ve zkušebním prostředí.

Zavedený Plán rozvoje bezpečnostního povědomí má za cíl rozvíjet kulturu bezpečného chování a zacházení s informacemi, zvyšovat odbornost zaměstnanců a snižovat rizika spojená s lidským faktorem. Plán také obsahuje konkrétní školení pro různé skupiny uživatelů. Tento plán je pravidelně aktualizován a přizpůsobován aktuálním hrozbám. Vychází především z požadavků zákona o kybernetické bezpečnosti. Všichni zaměstnanci jsou každé dva roky školeni ohledně zvyšování povědomí a porozumění kybernetické bezpečnosti.

V roce 2024 bylo otestováno 16 tisíc zaměstnanců předpřipravenými testovacími phishingovými kampaněmi a v příštích letech je plánováno toto testování dále rozšířit. Odborná školení jsou pak předepisována specifickým skupinám, které se podílejí na zajištění požadavků informační a kybernetické bezpečnosti, např. administrátoři a osoby zastávající bezpečnostní role.

Vybraní zaměstnanci Skupiny ČEZ jsou členy ISACA nebo ISACA Czech Republic Chapter (CRC). Tato skupina je součástí mezinárodní organizace, která pomáhá se správou, auditem, kontrolou a zabezpečením informačních systémů. Místní pobočka má více než 300 členů z různých oblastí podnikání a státní správy.

Bezpečnost při udržování vztahů s dodavateli v oblasti informační a kybernetické bezpečnosti ve Skupině ČEZ je řešena v souladu se zákonem č. 181/2014 Sb. v § 3 písm. c), d), f) a g), a vyhláškou o kybernetické bezpečnosti v § 8 – povinnosti při řízení dodavatelů. Ve společnostech Skupiny ČEZ jsou nastavena a implementována přísná pravidla. Je pravidelně prováděna kontrola jejich dodržování. Porušení je považováno za závažný problém, který je náležitě řešen. Při výběru dodavatelů se mimo jiné vychází z dotazníku pro posouzení rizik vyplývajících ze spolupráce s dodavatelem. Bezpečnostní požadavky na zajištění bezpečnosti informací, kybernetické bezpečnosti a pokyny pro dodavatele jsou součástí smlouvy s dodavatelem. Vybrané minimální požadavky na zveřejňování informací (konkrétně cíle a ukazatele) nejsou zveřejněny, protože byly podle interních pravidel společnosti posouzeny jako neveřejné.