Vláda předložila návrh nového zákona o odolnosti subjektů kritické infrastruktury z pera Ministerstva vnitra. Cílem je modernizovat a sjednotit pravidla pro ochranu klíčových funkcí státu. Zákon transponuje evropskou směrnici CER (Critical Entities Resilience Directive) a představuje zásadní krok k posílení bezpečnosti, krizové připravenosti a odolnosti České republiky. Vzhledem k rozsahu této úpravy byla otázka ochrany kritické infrastruktury vyjmuta z krizového zákona a byla přenesena do samostatného zákona.
Co zákon přináší?
- Namísto určování fyzických prvků kritické infrastruktury (např. budovy, zařízení apod.) se nově budou určovat subjekty, které zajišťují základní služby.
- Mezi tyto služby patří oblasti jako energetika, doprava, zdravotnictví, bankovnictví, veřejná správa, bezpečnost nebo digitální infrastruktura.
- Konkrétní základní služby a kritéria významnosti budou definována nařízením vlády.
- O samotném zařazení subjektu na seznam kritických subjektů bude rozhodovat Ministerstvo vnitra, jiný ústřední správní úřad nebo Česká národní banka. Jejich působnost je stanovená v příloze tohoto zákona, podle odvětví ve kterém poskytovatel základní služby působí. Jsou zde uvedena jednotlivá ministerstva, ČNB, Správa státních hmotných rezerv, Digitální a informační agentura, Český telekomunikační úřad a Národní úřad pro kybernetickou bezpečnost a informační bezpečnost.
Co je to základní služba?
Pojem základní služby nově definuje směrnice CER jako službu „bez které by bylo ohroženo zachování základních funkcí státu, hospodářských činností, veřejného zdraví nebo životního prostředí.”
Poskytovatelé těchto služeb budou mít povinnost poskytovat veškeré informace nezbytné k zařazení na seznam subjektů kritické infrastruktury. Tyto informace budou doplněny kritériem významnosti, které je zásadní pro rozhodnutí o zařazení mezi kritické subjekty.
Za kritickou infrastrukturu se nově považují všechny prvky nezbytné pro poskytování základní služby. Patří sem zejména budovy a zařízení, technologickou infrastrukturu, data a informace, informační systémy, kritické zásoby materiálu a finanční prostředky. Identifikaci těchto prvků budou provádět samotní poskytovatelé základních služeb.
Novinky v oblasti odolnosti
Další novinkou je důraz na odolnost subjektů kritické infrastruktury. Nejde už jeno fyzickou ochranu jednotlivých prvků, ale o celkovou bezpečnost subjektu kritické infrastruktury a zajištění kontinuity poskytování služeb.
Ministerstvo vnitra, jako ústřední orgán a koordinátor v oblasti kritické infrastruktury, bude provozovat portál kritické infrastruktury – neveřejný informační systém pro digitální komunikaci mezi subjekty kritické infrastruktury a státem. Bude sloužit k ohlašování incidentů, výměně informací, cvičením, kontrolám a zasílání zpráv o odolnosti.
Postup
- Poskytovatelé základních služeb budou mít povinnost předat informace nezbytné pro rozhodnutí o jejich zařazení na seznam subjektů kritické infrastruktury.
- Kritéria významnosti pro zařazení zahrnují počet uživatelů závislých na poskytované službě, její nezbytnost pro jiná odvětví, dopady incidentů na hospodářskou a společenskou činnost, tržní podíl a dostupnost alternativ.
- Ministerstvo vnitra, jiný ústřední správní úřad nebo Česká národní banka posoudí předložené informace a rozhodnou o zařazení poskytovatele na seznam subjektů kritické infrastruktury. Tento seznam bude neveřejný. Od okamžiku zařazení na seznam budou tyto subjekty povinny plnit povinnosti stanovené zákonem.
Povinnosti subjektů kritické infrastruktury
Subjekty budou muset přijmout technická, bezpečnostní a organizační opatření k řízení rizik, zajištění kontinuity a ochraně dodavatelského řetězce. Budou povinny ověřovat spolehlivost svých pracovníků prostřednictvím výpisu z rejstříku trestů a dalších kontrolních mechanismů.
Nově se také budou muset účastnit cvičení, která buď provádí sám subjekt kritické infrastruktury, nebo jsou organizována podle plánu cvičení, který připravuje ministerstvo nebo jiný ústřední správní úřad.
Subjekty budou dále muset:
· Informovat o poskytované službě, o působení v dalších státech EU, zapojení do koncernu a změnách ve vedení.
· Označit kritické dodavatele a poskytnout jejich identifikační údaje.
· Zpracovat posouzení rizik (do 9 měsíců od zařazení) a plán odolnosti (do 10 měsíců od zařazení) a určit manažera kritické infrastruktury.
· Přijímat opatření k zajištění odolnosti a hlásit případné incidenty.
· Umožnit kontroly a přijímat případná nápravná opatření.
· Informovat ministerstvo nebo jiný ústřední správní úřad o nutnosti zabezpečení věcnými prostředky k poskytování základní služby, pokud to není možné zajistit jinak.
Kontroly a sankce
Pokud Ministerstvo nebo jiný ústřední správní úřad během kontroly zjistí pochybení, může subjektu stanovit lhůtu k nápravě a určit způsob jejího provedení.
V případě neplnění povinností hrozí subjektu pokuta až do výše 50 milionů Kč nebo 1,5 % čistého ročního obratu, a to při opakovaném porušení.
První informace o poskytování základní služby musí potenciální subjekty poskytnout do 1. března 2026.
Omezení práva na informace
Tato úprava také přináší omezení práva na informace.
Povinný subjekt nebude muset poskytovat informace o poskytovateli základní služby nebo o subjektu kritické infrastruktury, pokud by to ohrozilo práva těchto osob, poskytování základní služby nebo její odolnost.
„Zákon je klíčovým nástrojem pro prevenci dopadů hybridních hrozeb a extrémních událostí jako jsou kyberútoky, blackouty, pandemie. Představuje krok k tomu, aby Česká republika dokázala efektivně reagovat na narušení služeb, které mají zásadní vliv na bezpečnost a ekonomickou stabilitu země. Zároveň má potenciál zlepšit mezinárodní interoperabilitu a datovou kompatibilitu mezi členskými státy EU.„
Tomáš Opat, expert projektu Odolné Česko